ISO 27001: ¿Hacia un cumplimiento obligatorio

Anuncio
ISO 27001: ¿Hacia un cumplimiento obligatorio?
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de
gestión de Seguridad de la Información. Desde su publicación en 2005, año en que
ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005,
la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo
de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser
certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la
ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la
Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a
nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente
conocido estándar que establece los requisitos de un sistema de Gestión de la
Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se
trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás
certificado bajo 9001, estás fuera del mercado. Así de rotundo.
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera
publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las
empresas que operan en el mercado dependen ya de una manera absoluta de la
información, parece lógico pensar que ISO 27001 va a ir ganando peso
progresivamente tanto en organizaciones de carácter público como en la empresa
privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se
convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o
de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero
también es cierto que empezamos a ver ciertos signos indicativos de que quizás no
estemos hablando de un futuro tan lejano.
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas
prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones
públicas desde el año 2004, fijando así un estándar para las operaciones de la
Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno
Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento
obligatorio para algunos sectores. Es el caso de los operadores de información, que de
conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al
cumplimiento del estándar.
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001
en el lugar que le corresponde, debido al importante papel que puede desempeñar un
SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de
riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad
de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el
regulador británico al que las empresas de ese país que cotizan en bolsa deben
reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas
Flint, de HSBC Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas
prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas
por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC
publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la
importancia del control interno y la gestión de riesgos en el gobierno corporativo de las
empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy
familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en
gestión de Seguridad de la Información, no se limita a gestionar los sistemas de
información de las organizaciones, sino que va bastante más allá. Supone todo un
examen del proceso o procesos que pretendemos certificar, obteniendo un
conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la
organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los
controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de
la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de
Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L
Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG).
Este concepto supone superar el de responsabilidad social corporativa, integrando
buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la
Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la
Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es
hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene
pendiente la Seguridad de la Información para hacerse un hueco en la empresa y
quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el
Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business
Results and Mitigating Financial Risk. Según los datos que recoge el informe, las
organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías
de la Información- superan la media de ingresos en un 17%, que se traduce en un
13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando
posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001
en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse
en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la
seguridad de su información, sino también para incrementar sus resultados y, por
supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado
lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en
serio la seguridad de sus activos de información.
Áudea Seguridad de la Información
Manuel Díaz San Pedro
Consultor de Seguridad
www.audea.com
Descargar