Normas ISO aplicadas a la tecnología computacional

 

¿QUÉ ES ISO?

ISO (Internacional Organización for Standardization) es la Organización Internacional de Normalización, cuya principal actividad es la elaboración de normas técnicas internacionales.

 

Las normas ISO contribuyen a que el desarrollo, la producción y el suministro de bienes y servicios sean más eficaces, seguros y transparentes. Gracias a estas normas, los intercambios comerciales entre países son más fáciles y justos. Proporcionan a los gobiernos un fundamento técnico para la legislación en materia de salud, seguridad y medio ambiente. También contribuyen a la transferencia de tecnología a los países en vías de desarrollo y, además, sirven para proteger a los consumidores y usuarios en general, ante cualquier problema surgido de un producto o servicio, haciéndoles la vida más sencilla.

 

¿QUÉ ES UNA NORMA?

 

La norma es un documento público, consensuado por todas las partes interesadas y aprobado por un Organismo de Normalización reconocido.

 

Las normas contienen especificaciones técnicas basadas en los resultados de la experiencia y del desarrollo tecnológico. Son una herramienta de desarrollo económico y social de un país, ya que sirven como base para mejorar la calidad en la gestión, el diseño y producción de los productos y servicios, y para aumentar la competitividad en los mercados nacionales e internacionales.

 

La ventajas del uso de las normas en vez de especificaciones privadas, es que las normas:

 

Están al alcance de todos, y por tanto pueden ser documentos de referencias nacionales e internacionales.

Son documentos aceptados por el mercado y por la sociedad, ya que son fruto del consenso de todas las partes interesadas, incluyendo consumidores y usuarios.

Marco histórico

 El Organismo Internacional de Normalización (ISO) fue creado en 1947 y cuenta con 91 estados miembros, que son representados por organismos nacionales de normalización. Dicho organismo trabaja para lograr una forma común de conseguir el establecimiento del sistema de calidad, que garantice la satisfacción de las necesidades y expectativas de los consumidores.A comienzos del año 1980, la ISO designó una serie de comités técnicos para que trabajaran en el desarrollo de normas comunes que fuesen aceptadas universalmente. El resultado de este trabajo fue publicado siete años más tarde a través del compendio de normas ISO 9000, posterior a la publicación de la norma de aseguramiento de la calidad-vocabulario (ISO 8402), que fue dada a conocer en 1986.El desarrollo y diversificación de las normas ISO han sido muy importantes, desdoblándose en diferentes ramas o familias que tratan aspectos diversos como la calidad, el medio ambiente, la seguridad y riesgos laborales y la responsabilidad social. El proceso es continuo y periódicamente van apareciendo actualizaciones y nuevos ámbitos de tratamiento.

Norma ISO 17799 Vs. ISO 27001

Se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes.

En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo

sobre la British Standard.

La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad

de la información y permite a las compañías certificar ISO y no la BS.

El resumen de normas es:

- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de

la serie).

- ISO 27001, especificación del sistema de gestión de la seguridad de la información

(SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.

- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas

para la gestión de la seguridad de la información.

- ISO 27003, que contiene una guía de implementación.

- ISO 27004, estándar relacionado con las métricas y medidas en materia de

seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la

información.

- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.

A su vez, la norma ISO 17799:2000 sufrió modificaciones, teniendo ahora una nueva versión, la ISO 17799:2005 compuesta por:

a) Security Policy;

b) Organizing Information Security;

c) Asset Management;

d) Human Resources Security;

e) Physical and Environmental Security;

f) Communications and Operations Management;

g) Access Control;

h) Information Systems Acquisition, Development and Maintenance;

i) Information Security Incident Management;

j) Business Continuity Management;

k) Compliance.

ISO 27001: Sistemas de Gestión de la Seguridad de la Información

Esta norma ISO es muy importante en la actualidad ya que se encarga de asegurar las buenas prácticas y gestiones de la información que maneja una empresa. La norma ISO 27001 protege la confidencialidad, disponibilidad e integridad de los datos de una empresa, mediante un sistema de análisis de los principales riesgos y amenazas que podrían afectar a la información.

 

Las principales ventajas de disponer de una certificación ISO 27001 para una empresa son:

 

·         Se minimiza la posibilidad de tener un incidente que comprometa la información o las identidades.

·         Aumenta la confianza de clientes, proveedores y otras entidades, en los servicios de la empresa.

·         Aumenta el prestigio y proyecta una imagen de profesionalidad.

·         Permite cumplir la legislación vigente en materia de seguridad de la información.

·         ISO 20000: Sistema de Gestión de Servicios de TI

·         Esta norma ISO garantiza que los servicios gestionados de TI adoptan un enfoque de procesos integrados basados en la mejora continua con el objetivo de satisfacer los requisitos del negocio, bien de la propia organización, o bien de clientes externos.

 

·         Con la implantación de esta norma, se consigue que los servicios TI estén orientados al negocio para dar un servicio de máxima calidad y seguridad, considerando los riesgos de TI. 

 

Ventajas para la empresa:

·         Alinear los servicios de TI a las necesidades de negocio.

·         Ofrecer una gestión de calidad del servicio de TI.

·         Reducir los riesgos asociados a los servicios de TI.

·         Reducir costes y aumentar la satisfacción del cliente y de los proveedores.

·         Minimizar el tiempo del ciclo de incidentes y cambios

·         Mejorar resultados y decisiones basadas en métricas y en indicadores de negocio, KPI.

·         Aportar un valor añadido de confianza y distinción frente a la competencia.

·         Contempla las nuevas tendencias como son Cloud, Agile-Devops, securitización, etc.

 Referencia Bibliografica

 Isotools. (2021). Isotools excelence. Recuperado el 2021, de Isotools excelence: https://www.isotools.org/normas/

SGSI. (17 de 07 de 2019). SGSI. Obtenido de SGSI: https://www.escuelaeuropeaexcelencia.com/cursos/diplomado-implementador-seguridad-informacion-iso-27001-2013/