El estándar ISO/IEC 27001:2005 es el marco de referencia para cualquier proceso sistemático de mejora continua dentro de una organización. Debido a que proporciona su modelo basado en Deming, el cual permite proteger de manera continua
los activos críticos
Actualmente es notoria la necesidad de determinadas organizaciones del ámbito privado de contar con un Sistema de Gestión de Seguridad de la Información, para demostrar que los riesgos que podrían impactar a los activos críticos de datos son administrados de manera sistemática, disciplinada y proactiva durante todo su ciclo de vida.
En este contexto, el estándar ISO/IEC 27001:2005 es el marco de referencia para cualquier proceso sistemático de mejora continua dentro de una organización. Debido a que proporciona -independientemente de la industria a la cual pertenezca- su modelo basado en Deming, el cual permite a una organización proteger de manera continua los activos críticos contra la divulgación, pérdida, uso inapropiado, cambios no autorizados, hurto, etc. Esto, con la consecuencia lógica de generar para las partes interesadas la sensación de confianza, reputación e impermeabilidad respecto a determinados riesgos resultantes de la evaluación de las amenazas y vulnerabilidades.
La experiencia local
Chile, el año 2010, fue el primer país sudamericano en incorporarse a la Organización para la Cooperación y Desarrollo Económico (OCDE), lo que tiene como consecuencia que implementemos a conciencia las mejores prácticas para gobiernos corporativos miembros de este organismo, como por ejemplo, combatir el mal uso de información privilegiada y reforzar los requerimientos para los auditores externos. Por consiguiente, se puede asumir, ya sea por tendencia o consecuencia, que determinados organismos públicos entiendan como meta, la ventaja de apuntar hacia una mejora continua.
Llevado a la práctica, Chile cuenta actualmente con una significativa normativa vigente, que se orienta a la modernización del Estado, gobierno electrónico, transparencia, acceso a la información pública, procedimientos administrativos y otras leyes de apoyo, las cuales permiten soportar determinados requisitos normativos del estándar ISO/IEC 27001:2005, y así se ven materializadas de manera operativa en la aplicación de las diferentes Leyes, Decretos Supremos, Reglamentos de Ley y determinados instructivos presidenciales.
Adicionalmente mediante el Comité Técnico “Conjunto de Caracteres y Codificación” de la División de Normas del Instituto Nacional de Normalización (INN), de manera proactiva, se ha tendido a la realización del estudio, preparación y homologación de los estándares de la serie ISO/IEC 2700. Un ejemplo de ello es NCh-ISO 27007:2010 (actualmente en discusión), orientada a la auditoría a Sistemas de Gestión de Seguridad de la Información.
Estos esfuerzos, resultado de innumerables lecciones aprendidas, han permitido posicionar a los organismos de Estado soportados por sus leyes actuales, en un marco de referencia público para procesos sistemáticos de mejora continua, lo que conlleva a replantearse el punto de vista privado acerca de las ventajas significativas de estar alineado con el estándar ISO 27001: mejora en la cultura organizacional, mayor control interno, apoyo a la gestión de gobierno corporativo, importancia de su implementación para la organización donde el patrocinio de la dirección será crucial para el éxito de su implementación, así como también la facilidad de integración con otros sistemas de gestión, donde la evaluación del riesgo, control y monitoreo sobre las amenazas y vulnerabilidades, materializado con el proceso mandatorio “Planear, Hacer Verificar y Actuar”, no estará siempre asociado a las Tecnologías de Información.