ISO 27001: ¿Hacia un cumplimiento obligatorio? Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación. Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI). No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001. Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo. Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada. En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano. Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar. Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere. Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc. La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas. Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo. Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados. Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información. Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre. Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios. Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información. Áudea Seguridad de la Información Manuel Díaz San Pedro Consultor de Seguridad www.audea.com