Conoce la norma ISO que puede impulsar la seguridad de tu información

En este artículo conocerás cómo se desarrollan las normas ISO, así como aquella indicada para garantizar la seguridad de la información de tu negocio.

Muchos hemos escuchado hablar o visto la palabra ISO en algún momento de nuestras vidas. El entorno más común pudo haber sido una empresa, un profesional de alguna rama de ingeniería, administración o afines, incluso en el empaque de algún producto comercial, etc; y cuando lo hacen utilizan varios adjetivos para calificar, "la norma", "el estándar", "el cumplimiento", "el framework", "el certificado", en fin. 

¿Qué es la norma ISO?

Así que vamos a definirlo de una vez para los que no lo conocen. ISO (Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial, y es una organización internacional no gubernamental independiente con una membresía de 166 organismos nacionales de normalización. 

A través de sus miembros, reúne a expertos para compartir conocimientos y desarrollar normas internacionales voluntarias, consensuadas y relevantes para el mercado, que respaldan la innovación y brindan soluciones a los desafíos globales, para lo cual el sector público y privado tienen preponderancia.

Normativa ISO

¿Cómo nacieron las normas ISO?

Esta historia comenzó en 1946 cuando delegados de 25 países se reunieron en el Instituto de Ingenieros Civiles de Londres y decidieron crear una nueva organización internacional, cuyo objeto sería "facilitar la coordinación internacional y la unificación de estándares industriales", y todo esto formalmente se inicia en Ginebra Suiza el 23/02/1947.

Acá abajo les dejo una foto de esos grandes visionarios.

Founders of ISO, London 1946. Fuente: https://www.iso.org/

Desde su año de fundación a la fecha se han creado más de veinte mil estándares, que abarcan todo, desde productos manufacturados y tecnología hasta seguridad alimentaria, agricultura y atención médica.

Algunas de las normas más populares que podemos encontrar tenemos:

• ISO 9001  Sistemas de Gestión de Calidad.
• ISO 18001 (OSHAS) Sistemas de Gestión de la Seguridad y la Salud (OHSMS)
• ISO 16949 (ISO/TS 16949) Sistemas de Gestión de calidad para la industria automotriz
• ISO 19011 Directrices para la auditoría de los sistemas de gestión.
• ISO 27001 Sistemas de Gestión de la Seguridad de la Información.
• ISO 22000 Sistema de Gestión Alimentario.
  
  

¿Cómo se crean las normas ISO?

1. Fase de propuesta: Los miembros se reúnen y votan por una propuesta.
   
   
2. Fase de preparación: Grupos de trabajo de expertos se reúnen y preparan un borrador de trabajo.
   
   
3. Fase de comisión: listo el borrador se registra en secretaría y se distribuye para la votación de los miembros. Al crearse un consenso se presenta como proyecto.
   
   
4. Fase de consulta: La secretaría distribuye a todos los miembros para votar y comentar en un plazo de 5 meses, para su presentación como un "proyecto" final de Norma Internacional, y será aprobado sí cumple con las siguientes características:
   • El proyecto es aprobado por mayoría de dos tercios de los miembros.
   • El proyecto no tiene más de un cuarto de votos negativos.
     
     
5. Fase de aprobación: Se distribuye a todos los miembros de ISO por secretaría y en un plazo de 2 meses no se aceptan comentarios técnicos, ya no se consideran en esta etapa pero se registran para una futura revisión como Norma Internacional, si se cumple con las siguientes características se aprueba como norma internacional:
   
   • Una mayoría de dos tercios de los miembros está a favor.
   • No más de una cuarta parte del número total de votos emitidos son negativos.
     
     
6. Fase de publicación: Aprobado, si se requiere se hacen ajustes de redacción y se envía a secretaría ISO para publicar la Norma Internacional.

Y después de esa serie de etapas podemos decir ¡Habemus papam!, o mejor ¡Habemus Norma Internacional! y soltar humo blanco.

Ahora que conocemos el proceso para la creación de una Norma Internacional ISO, hay que destacar que la adopción de ella es voluntaria y finalmente en su texto no incluye requisitos contractuales, legales o estatutarios, ni sustituyen a las leyes nacionales de cualquier país, que se entiende que cumplen los usuarios de las normas y que tienen prioridad.

Norma ISO 27001

¿Qué obtiene mi empresa si implementa la norma ISO/IEC 27001?

Esta pregunta se puede entender con mayor facilidad al leer mi anterior artículo "Cómo impulsar una cultura de ciberseguridad en mi empresa que soporte la estrategia.", allí dedique una sección que se titula "¿En qué consiste el Framework ISO/IEC 27001:2013?".

¿Qué pasa si mi empresa no cumple con la norma ISO/IEC 27001?

La respuesta es simple no pasa nada, como ya mencioné el espíritu de la misma es de carácter voluntario, nadie lo puede obligar a cumplirla si no lo quiere. 

Sin embargo, estos estándares son de altísima calidad y mejora los procesos internos, de tal manera que una parte de los sectores público y privado lo adoptan, y a su vez deben exigir a todas aquellas empresas que forman o hacen parte de su cadena de valor el cumplimiento de esta normativa, y en caso de no hacerlo, se estimula a su cumplimiento o simplemente se busca el reemplazo por una que si cumpla o quiera cumplirlo.