ISO 27000 ¿EN MANOS DE QUIEN ESTAMOS?

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

Dentro de estos rangos de númeración, hay estandares que ya están definidos y otros en fase de definición, Por ejemplo:

 ISO 27031, en fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
 ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.
 ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011…………………..

Llama la atención, que siendo una norma aún no madura y en fase de desarrollo, asistamos atónitos a todo tipo de presentaciones y cursillos organizados por entidades privadas y públicas.

Recientemente, he asistido a una presentación sobre esta norma. En la misma, he escuhado todo tipo de lindezas; en mi opinión muy poco cualificadas, por ser venébolo en el calificativo.

Entre otras lindezas, escuché pasmado la respuesta de uno de los ponentes a pregunta de un asistente, que la difernecia entre la ISO 9002:2008 y la ISO 27000, era que “la primera ya estaba muy vista” y que la segunda “estaba más de moda” O sea “vestía más y categorizaba a la empresa que la tenía”.

Salí alarmado de la presentación.Y me hacía las siguientes reflexiones y preguntas.

Estamos bien entrados en el siglo XXI. Vivimos en la Sociedad de la Información, del Conocieminto y de la Inteligencia.

La ciberdelincuencia de todo tipo en red, es una realidad que además crece a velocidades de vértigo. El ciberterrorismo, es una amenaza permanete y real Hoy todos estos peligros y amenzadas, están globalizadas, y no hay frontera para el delito al igual que no lo hay para la economía.

La semana pasada, aparecia una noticia alarmante en toda la prensa mundial:

Javier Solana reconoce haber sido espiado durante meses por "una potencia"

http://www.europapress.es/internacional/noticia-ue-solana-reconoce-haber-sido-espiado-meses-potencia-20090609224851.html

Me pregunto. Una empresa, un empresario, ¿debería de considerar seriemante a quien contrata para que le implante un sistema de seguridad de la información?.

Información que probablemente es absolutamente determinante para la vida y la evolución de esta empresa en el sector en el que se mueve.

¿Debería algún organismo de ámbito Nacional en España, otrogar algún tipo de acreditación, o ejercer algún control, sobre aquellas personas o empresas, que nos dedicamos a implantar sistemas de seguridad de la información, y que tenemos acceso al mayor activo de una compañía?.

¿Atenta esto no solo contra la seguridad de la empresa afectada, sino contra la seguridad de la economía Nacional?.

¿Que pasa, si un desarrollo industrial importante antes de ser patentado, es copiado por otra empresa de otro país competidor a trevés de un agugero informático en la seguridad de la empresa afectada? ¿Afecta esto al PIB, al PNB?

Por hoy me despido.

Salu2,

Gonzalo Huerta Fernández