viernes, 19 de abril de 2013

Lo que deben esperar las empresas mexicanas sobre la nueva ISO 27001

Mario Ureña, instructor de British Standards Institution (BSI) señala que contar con una certificación en ISO27001 ayuda a las empresas a gestionar y proteger uno de más valiosos activos que posee toda organización: la información.
 Asimismo indicó que la norma se creó para garantizar la selección de controles de seguridad, siendo la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI).
ISO/IEC 27001 es una norma adecuada para cualquier organización grande o pequeña, de cualquier sector o parte del mundo y particularmente interesante si la protección de la información es crítica, como en el sector público, de finanzas, de sanidad y de tecnologías de la información (TI), enfatizó el instructor de BSI.
También mencionó que la norma es eficaz para organizaciones que gestionan información por encargo de otros, por ejemplo, empresas de subcontratación de TI, porque puede utilizarse para garantizar a los clientes que su información está protegida.
Sobre la actualización de la norma Ureña destaca, entre otros cambios, que la importancia de las partes interesadas (que puede incluir a los accionistas, autoridades, requisitos legales y reglamentarios, clientes, socios, entre otros) se reconoce en la ISO 27001.

Además informó que los activos, las vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos, sólo se requiere identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. Al respecto opinó que los autores de la norma quieren permitir una mayor libertad en la forma en que se identifican los riesgos, “pero se asume que la metodología de activos-vulnerabilidad-amenazas se mantendrá como una buena práctica por mucho tiempo”, puntualizó el instructor.
Finalmente Ureña explica que la nueva ISO 27001 pretende ser más fácil de integrar con otras normas como ISO 9001, ISO 22301, ISO 20000 y dar mayor libertad a las empresas (especialmente las pequeñas) para escalar el SGSI a sus necesidades. Sin embargo, menciona que esto también puede llegar a ser la mayor debilidad de la norma, explicando que a causa de sus definiciones sueltas, algunas empresas pueden tratar de centrarse en la satisfacción de los requisitos mínimos en lugar de centrarse en aumentar la seguridad.
 “En otras palabras, para las empresas que tienen buenas intenciones y realmente quieren aumentar su nivel de seguridad será más fácil ahora cumplir con el estándar”, concluyo Mario Ureña.
 
Fuente: esemanal.mx/