La historia de la norma ISO 27001 e ISO 27002
El estándar predecesor de la norma ISO 27001, fue el estándar de Reino Unido BS7799, que originalmente fue el resultado de unir las iniciativas determinadas por el Departamento de Comercio e Industria acompañado de los negocios del sector privado de Reino Unido. Dicho estándar nació en febrero de 1995. Básicamente fue un conjunto simple de buenas prácticas para la gestión de seguridad en el departamento de TI.
BS7799 Parte 1
Las organizaciones que desarrollaron un Sistema de Gestión de Seguridad de la Información basados en este conjunto de buenas prácticas fueron capaces de realizar inspecciones independientes pero no existían certificaciones acreditadas formales, eran imposibles. Entonces, una solución alternativa, fue adoptar un marco para la implementación de estándar BS7799, el cual estaba disponible a partir de abril de 1997. Entonces, nació la confusión de contar con un marco que aún no contaría con una certificación formal por parte del estado, sin embargo recibía más adeptos lentamente hasta ser aceptado por su efectividad, con mayor fuerza en el año 2000. Pero, hay que resaltar que el estándar BS7799 sufrió una revisión significante en 1998, el cual recogió recomendaciones relevantes que fueron puestos en marcha en 1999. Esta “segunda versión”, se le conoce como BS7799 parte 2, considerándose la versión inicial como la parte 1. Entonces, la parte 1 se tituló como “Código de prácticas para la gestión de seguridad de la información” y brindó una guía de mejores prácticas en la gestión de seguridad de la información. Como código de buenas prácticas, BS7799 Parte 1 tomó la forma de una guía con recomendaciones. Su prólogo claramente establece que no sea tratado como especificaciones. En Diciembre de 2000 se convierte en ISO/IEC 17799 de manera internacional.
BS7799 Parte 2
La parte 2, se tituló “Especificaciones para los Sistemas de Gestión de Seguridad de la Información”, y este estableció lo que un Sistema de Gestión de Seguridad de la organización debe evaluar y certificar. La parte 2 sufrió una revisión adicional en el año 2002, y se realizaron un número significante de cambios. Esta versión se ha mantenido hasta la actualidad y fue convertida como la primera versión internacionalizada del estándar ISO 27001 en el año 2005, entonces, ¿Qué pasó con el estándar ISO 17799?, pues, fue revisada ese mismo año con el objetivo de asegurar que no se presenten conflictos con ISO 27001 y BS7799-1, fue entonces, que se estableció la familia ISO 27001, considerándose a la norma ISO 17799 ahora bajo el nombre de ISO 27002:2005.
El toque final
ISO 27001 e ISO 27002 se han sometido a extensas revisiones desde el 2008 hasta la actualidad, y las versiones más sólidas (o los que más se utilizan), son las de Octubre del 2013. ISO 27001 establece las bases de evaluación para el Sistema de Gestión de Seguridad de la Información de manera completa o parcial en la organización, y por ende, ser utilizado como base para un esquema de certificación formal. Esto es, en otras palabras, el documento específico contra el cual el SGSI será evaluado. Esto es el estándar más importante que emergido de la familia ISO 27001, ya que brinda una especificación contra el cual el SGSI debe ser evaluado. A parte de la ISO 27000, el cual es nominativamente referenciado como ISO 27001, los otros estándares brindan un consejo y guía útil, y no tienen efectos mandatorios.
Consejo audit
Los conceptos básicos y orígenes de la gestión en seguridad de la información, establece un escenario general de comprensión respecto a las diversas etapas de evolución de la seguridad en diversas tendencias tecnológica, permitiendo a los responsables de la seguridad de la información en las organizaciones en definir claramente la posición en la que se encuentra su contexto empresarial. En audit, identificamos el escenario actual de su organización con respecto a la gestión en seguridad de la información, por ende, nuestro equipo especializado puede contactarse con su organización para el estudio correspondiente.