Por Judith Quinatoa Arias
La información es un activo valioso que puede hacer crecer o destruir a una organización, para ello es importante asegurar la confidencialidad, integridad y disponibilidad de la información de una organización. Los sistemas y aplicaciones que la tratan en las organizaciones son de vital importancia para todos. Esto se puede lograr mediante la implementación de la norma NTE INEN ISO/IEC 27001.
Es importante indicar que la norma NTE INEN ISO/IEC 27001 no es solo una norma de ciberseguridad, sino también es una norma de Seguridad de la Información, en formato digital, en papel, microfilm, video o cualquier otro medio. Además de los requisitos, la ISO/IEC 27001 nos aporta un Sistema de Gestión de Seguridad de la Información (SGSI) sólido en medidas direccionadas a proteger la información, independientemente del formato contra cualquier tipo de amenaza, y garantiza la seguridad de la información en cada paso del proceso y en las actividades de las organizaciones.
Figura 1: Recomendaciones para administrar la información, disponible en: https://www.unir.net/ingenieria/revista/iso-27001/
Tomando en cuenta estos aspectos, el Servicio Ecuatoriano de Normalización (INEN), desde el año 2014 realiza adopciones de los documentos normativos de la familia de ISO/IEC 27000 y las actualizaciones respectivas. En el 2022, el INEN empezó a participar como miembro Participante (miembro P) en el Comité Internacional ISO/IEC JTC 1/SC 27, para lo cual el INEN ha aportado activamente y se han realizado, hasta el momento, 110 votaciones que han incidido en documentos normativos de retiro, revisión, confirmación y nuevos proyectos.
El Comité Técnico ISO/IEC JTC 1, Tecnologías de la información, es un comité técnico conjunto (JTC) de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) y su propósito es desarrollar, mantener y promover normas en los campos de las tecnologías de la información y las comunicaciones (TIC).
Con este antecedente en el mes de agosto de 2022, el INEN realizó el Comité Nacional Espejo, “Tecnologías de la Información”, en la cual se revisó el documento ISO/IEC FDIS 27001, Information security, cybersecurity and privacy protection Information security management systems — Requirements, para el cual se emitieron observaciones como posición país al Comité ISO/IEC JTC 1/SC 27.
ISO/IEC FDIS 27001 tiene como objeto especificar “los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. Este documento también incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en este documento son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.”. (ISO/IEC 27001:2022).
Finalmente, en noviembre del 2022, el INEN participó de manera presencial en la Reunión Plenaria del Comité Internacional ISO/IEC JTC 1, Tecnologías de la Información en Tokyo – Japón. En esta Reunión Plenaria se evidenció que el Comité Técnico JTC1 es extremadamente grande, contiene varios subcomités y grupos de trabajo, lo que hace que este comité trate varias aristas temáticas que van con la tendencia tecnológica y mundial sobre el desarrollo, la revisión y aprobación de las normas técnicas relacionadas a Tecnologías de la Información. Además, fue posible conocer de forma directa la planificación del año 2023 y los documentos que se encuentran en cada etapa de estudio.
Bibliografía
· ISO/IEC 27001, Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
· Consultoría Online, (septiembre, 2021), ISO 27001 SEGURIDAD DE LA INFORMACIÓN, Normas ISO. https://www.normas-iso.com/iso-27001/
