Historia de la Seguridad de la Información

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.
Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

Beneficios de contar con la norma 27001

los beneficios de la certificación en Sistemas de Seguridad de la Información conforme a la Norma ISO 27001:2005 están enfocados al usuario, que no tendrá que enfrentar vulnerabilidades en sistemas que den paso a fugas de información, y hacia los accionistas de una empresa, quienes se sentirán seguros de sus inversiones. El directivo de origen brasileño señaló que "BSI es una empresa que cree que la Certificación en sistema de Gestión de Seguridad de Información es una forma de aumentar la competitividad nacional e internacional". Sigue Certificadas 15 empresas mexicanas. dos. internacional Refirió que México y Brasil son los países con el mayor número de empresas certificadas en Latinoamérica, mientras que en los mercados claves a nivel mundial el primer lugar es Japón, seguido de la India. El costo de una certificación puede ir de los cinco mil dólares hasta más de 100 mil, aunque es variable en función del alcance que tenga por área de las empresas, el perfil de la auditoría y la cantidad de personas involucradas.
"Es una inversión segura, pues el beneficio que se logra con la certificación es visto en el corto plazo cuando una empresa entiende el beneficio por medio de la capacitación, seguramente busca luego la certificación".
México es una economía clave en la región por sus niveles de exportación e importación, por lo que los inversionistas necesitan tener la confianza de que el país tiene conciencia de la preservación de secretos industriales, trabaja en contra de la piratería y sabe de la importancia de la seguridad de la información.

Seguridad de la Información

Cada día es mayor la importancia de la información, especialmente capatada, procesada, almacenada o transmitida (ya sea de forma escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.) por lo que el impacto de los fallos, los accesos no autorizados o la revelación de la información, así como otras incidencias tienen un impacto mucho mayor que hace algunos años.

En la actualidad se busca mantener la seguridad no solo de los datos sino también la de la información puesto que son los activos más estratégicos y valiosos para una organización debido a que están relacionados con los sistemas y el uso de las tecnologías de información, es por ello que garantizar la seguridad de éstos se debe gestionar correctamente, y para ello es necesario comprender el concepto de información, el cual de acuerdo a lo establecido por Emilio del Peso Navarro es un conjunto de datos organizados en poder de una entidad y que tiene un valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.).

Una vez comprendido el concepto y la importancia de la misma, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, que permita mantener un enfoque de riesgo empresarial el cual se base en los pilares de la información que son:

Confidencialidad. Asegurar que la información sea accesible sólo para quienes estén autorizados para ello.
Integridad. Salvaguardar la información para que los métodos de procesamiento sean exactos y completos.
Disponibilidad. Asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando se requiere.

Estos tres pilares son esenciales en toda organización, para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar su beneficio económico.

Finalidad del SGSI
En la actualidad, toda organización está expuesta a un sin número de amenazas que, aprovechando cualquiera de las vulnerabilidades existente, pueden someter los activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informático, el hacking o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también no se debe pasar por alto otro tipos de riesgos como son el sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por desastres naturales y/o fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de gran ayuda para la gestión de las organizaciones.