Preguntas y respuestas:
P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.
P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.
P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.
P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.
Comments Off 