¿Cuándo y dónde se originó ISO 27001?
Para entender el propósito del estándar ISO 27001, es importante saber cómo surgió el marco.
Una breve historia de ISO 27001
El estándar ISO/IEC 27001 es publicado por la Organización Internacional de Normalización en asociación con la Comisión Electrotécnica Internacional.
A principios de los años 1990, el Departamento de Comercio e Industria (DTI) del gobierno del Reino Unido solicitó al Centro Comercial de Seguridad Informática (CCSC) que creara un conjunto de criterios de evaluación para determinar la seguridad de los productos informáticos. (Esto llevó a la creación de ITSEC.)
También se le pidió al CCSC que creara un código de mejores prácticas para la seguridad de la información. El resultado fue un documento conocido como DISC PD003. El trabajo en DISC PD003 continuó y se dividió en dos frentes principales: BS7799-1 y BS7799-2.
A finales de los años 1990, el documento BS7799-1 se organizó en 10 secciones, cada una de las cuales describe una serie de controles y objetivos de control. Este documento sentó las bases para el estándar ISO 27002.
Mientras tanto, BS7799-2 creó un estándar formal para desarrollar un Sistema de Gestión de Seguridad de la Información (ISMS). Publicado por primera vez en 1998 por el Instituto de Normas Británico (BSI), este documento eventualmente evolucionó hasta convertirse en ISO 27001.
En diciembre de 2000, la Organización Internacional de Normalización (ISO) adoptó BS7799-1 como base para crear su estándar ISO/IEC 17799.
ISO/IEC celebró una reunión en Oslo en abril de 2001 para discutir revisiones importantes al ISO 17799, y el trabajo en una nueva versión del estándar continuó desde 2001 hasta 2004. La nueva versión de ISO 17799 fue votada y confirmada en abril de 2005 en Viena y publicada en junio de 2005.
Mientras tanto, en octubre de 2005, BS7799-2 fue formalmente adoptado como ISO 27001.
Desde entonces, ha habido algunas actualizaciones: en 2007, ISO 17799 fue renombrado como ISO 27002. Y en 2017, ISO/IEC 27001:2013 fue publicado como la última versión del estándar, incorporando cambios menores en la redacción y el formato.
Lecturas Recomendadas
Actualizaciones de ISO 27001:2022 Simplificadas: Los Principales Cambios que Necesita Saber
Read MoreEl origen del Sistema de Gestión de Seguridad de la Información (ISMS)
A medida que las empresas se adentraban en la era digital y la seguridad de los datos se convertía en una prioridad, la mayoría de las compañías contaban con controles de seguridad específicos. Sin embargo, esos controles generalmente se implementaban de manera ad hoc o en un intento de seguir diversas mejores prácticas. Diferentes departamentos y ubicaciones de oficinas tenían diferentes controles y procesos, lo que hacía que iniciativas más grandes, como la planificación de la continuidad del negocio, fueran difíciles.
El concepto de un sistema de gestión de seguridad de la información (ISMS) se introdujo para ayudar a las empresas a adoptar un enfoque holístico y sistemático de la seguridad de la información en toda la organización. Construir y mantener un ISMS ayuda a las empresas a tomar un enfoque más reflexivo e intencional para identificar y gestionar riesgos.
La norma ISO 27001 detalla los requisitos para construir, mantener y mejorar continuamente un ISMS.