La norma ISO 27001 se centra en definir requisitos técnicos para un Sistema de gestión de la seguridad de la información. A diferencia de otras normas, el grado de complejidad a la hora de su implantación es alto por lo que la empresa deberá de disponer de conocimiento técnico en cuanto a gestión de TIC debido a los cambios que demanda la norma.
La implantación de esta norma requiere tiempo ya que en ocasiones se modifican parámetros informáticos que obliga al personal asimilarlos y que afectan directamente en el día a día. Por nuestra experiencia, no es recomendable reducir la implantación a menos de 6 meses. Igualmente vemos recomentable disponer de un periodo superior a un mes entre Fase 1 y Fase 2, garantizando así que los cambios se ajustan adecuadamente a los requisitos de la certificadora ISO.
Como ocurre con otras normas de la familia ISO, su estructura es igual y en la misma se aplica el ciclo Deming (Planear, Hacer, Comprobar y Mejorar).
Podemos hablar de una norma joven, siendo los primeros pasos iniciados en 2002 bajo el comité del British Standards Institution (BSI) y siendo elevada a categoria ISO en 2005 con el cambio de nomenclatura de BS 7799-2:2002 a ISO/IEC 27001.
Hay que destacar que en 2004 desde AENOR, ya se publicó la UNE 71502 denominada Especificaciones para los Sistemas de Gestión de la Seguridad de la información, siendo está una norma adaptada de la norma Británica.
No siendo una norma muy desarrollada en la gestión empresarial al tener un enfoque específico en la privación de datos, la norma ISO 27001 no recibe su primera actualización hasta 2013 con la publicación de una nueva versión. Los cambios principales:
– Modificación de su estructura (para adecuarlo a otras normas)
– El enfoque a procesos, da paso a la aplicación de metodologías adaptadas según necesidades de una organización.
– Aumento de requisitos y reducción de controles.
– Un estudio DAFO, se centra en el nucleo de la norma.
Durante la segunda década de los 2000, la norma no permetea en ninguna industria, salvo en empresas muy concretas. Dicho contexto empeza a cambiar a finales de la década con el big data y los hakers. La protección digital sufre un cambio exponencial entre las empresas, centralizada hasta la fecha en la disposición de un archivo con llave y un mero antivirus en la mayoría de los casos.
En 2022, se inicia el desarrollo de una nueva norma ISO 27001 cuyo nacimiento se fija en 2023. El ecosistema digital forma parte de la norma y la tranversalidad, origen, gestión y destino de los datos es parte fundamental.
Adopta los estándares globales de calidad y mejora tu negocio con las normas ISO
©Copyright 2024 ISO Certificación