¿Qué es norma ISO 27001?

BitPerfect desarrolla todas sus aplicaciones de acuerdo a la norma ISO 27001, sin embargo siempre queda en el ambiente ¿Que es la norma ISO 27001?

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento.

La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta década, muestra algunas visiones diferenciales y en parte contrastantes en temas de gran importancia para una empresa.

Seguridad informática
Uno de esos temas, entre los mas significativos, es que la mayoría de los "especialistas en seguridad"  basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT, aunque una parte de ellos también consideran las cuestiones propias del "nuevo" aspecto de las comunicaciones y que ha hecho que hoy se hable del ICT o TIC.

Pero además el enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente para hablar de los riesgos correspondientes.

Para un análisis o valuación de riesgos (risk assessment, RA) aunque se refieran a lo técnico, es necesario realizar también valuaciones de los activos, así com una identificación de las amenazas que puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabiidades y amenazas, cada uno medido en rangos apropiadados de niveles (Típicamente 3 para vulnerabiliades, 3 a 5 para amenazas y 5 a 8 o aún más para activos).

Y luego se trata de determinar que se hace con los riesgos, en la mayoría de los casos corresponde mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.

El proceso es tal que a partir de tales riesgos de características técnicas, el enfoque más eficiente es realizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie 800, o bien una norma de enfoque corporativo como la ISO 27002 ( anteriormente ISO 17799), para establecer qé controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles aceptables.

Hasta aquí se puede hablar de seguridad informática. Si bien este término es una buena traducción del correspondiente en inglés, information security, el sentido que se ha venido dando a esta problemática está mucho mas cercano a algo como "computer security" o en todo caso "network security".