20 años de ISO 27001
DOS DÉCADAS DE EVOLUCIÓN EN SEGURIDAD DE LA INFORMACIÓN: aprendizajes clave y desafíos actuales para las organizaciones. La evolución de los estándares internacionales transformó la seguridad de la información en una disciplina clave para la gestión empresarial. Cuando en 2004 comenzamos a enseñar seguridad de la información en Uruguay, pocos en la región sabían qué era BS 7799, la norma británica que sentó las bases de la gestión moderna de la seguridad de la información. Hoy, dos décadas después, acompañamos a organizaciones en procesos de certificación en distintos países. La historia de Datasec con estos estándares, sin embargo, es anterior. Desde 1987, mucho antes de que existiera el concepto de ciberseguridad tal como se entiende hoy, trabajamos en buen gobierno de TI, aseguramiento y gestión de riesgos. Esa trayectoria es la que nos llevó, de forma natural, a ser de los primeros en la región en adoptar y promover BS 7799 como modelo de gestión. En 2004 comenzamos a dictar cursos en UNIT, organismo nacional de normalización del Uruguay, basados directamente en BS 7799-2, en un contexto donde también empezaban a surgir referencias como la UNE 71502 en España. Aún no existía ISO/IEC 27001. No había ecosistema, ni consultores especializados, ni una demanda empresarial consolidada. Había, sobre todo, la convicción de que la seguridad de la información debía dejar de ser una práctica técnica aislada y evolucionar hacia un sistema de gestión estructurado. Ese mismo año iniciamos nuestro primer proyecto de implementación basado en BS 7799-2. Fue una experiencia que combinó rigor con una inevitable dosis de adaptación: escasos referentes locales, documentación mayoritariamente en inglés y organizaciones que aún asociaban la seguridad informática con soluciones puntuales como antivirus o firewalls. En ese contexto, construir un lenguaje común, definir qué era un SGSI, por qué era clave gestionar riesgos y cómo estructurar un plan de tratamiento, formaba parte esencial del trabajo. _________________________________ OCTUBRE 2005 _________________________________ Ese mismo año participamos en la constitución del comité técnico especializado de UNIT en seguridad de la información, junto a organismos del Estado, el sector bancario, la academia y la industria tecnológica. Este proceso contribuyó directamente a que Uruguay homologara ISO/IEC 27001 e ISO/IEC 27002 como normas técnicas nacionales en 2006, posicionándose entre los primeros países de América en adoptar formalmente estos estándares. EL CAMINO RECORRIDO Desde la publicación de ISO/IEC 27001, acompañamos su evolución a través de sus distintas versiones (2005, 2013 y 2022), en paralelo con la maduración del mercado. Cada actualización implicó desafíos específicos para las organizaciones. En 2013, la incorporación de la estructura de alto nivel exigió adaptar modelos existentes. En 2022, la reorganización de controles planteó nuevas interpretaciones. A esto se suma la necesidad de gestionar procesos de transición en contextos reales, con restricciones de tiempo y presupuesto. En este recorrido, la experiencia práctica resulta determinante. Por eso, en Datasec también somos una organización certificada ISO/IEC 27001 (recertificada por LSQA). Entendemos que no es posible acompañar adecuadamente un proceso que no se ha transitado desde adentro. El resultado acumulado de estos años se refleja en organizaciones certificadas a lo largo de América, incluyendo Uruguay, Argentina, Brasil, Chile, Bolivia, Perú, Colombia, Panamá, Costa Rica, México y Puerto Rico, así como en Estados Unidos. En varios de estos países acompañamos las primeras certificaciones ISO/IEC 27001 de su historia. En Uruguay, cuando el país alcanzó sus primeras 21 certificaciones, Datasec había participado en 16 de ellas. Más allá de las certificaciones obtenidas, el principal valor de este recorrido ha sido la transformación que se produce dentro de las organizaciones cuando la seguridad de la información se gestiona correctamente. Cuando la alta dirección comprende su rol en la gestión del riesgo, la conversación deja de centrarse en lo técnico y pasa a enfocarse en decisiones estratégicas, continuidad operativa y confianza. Esa transición es, en definitiva, el verdadero resultado del trabajo. “Ser pioneros no fue un objetivo. Fue la consecuencia de haber creído, antes de que fuera evidente, que gestionar la seguridad de la información con rigor es una ventaja competitiva, no un costo de cumplimiento.” UNA ACLARACIÓN NECESARIA Hoy se repite con insistencia una idea como si fuera novedosa: que la seguridad de la información no es un tema técnico, sino estratégico, del negocio. Sin embargo, no es una idea nueva. Este enfoque ya estaba claramente definido desde mediados de los años 90. COBIT, publicado por ISACA en 1996, establecía que la tecnología de la información debía ser gobernada por la dirección de la organización, y no gestionada exclusivamente por áreas técnicas. En ese marco, la seguridad de la información no era un problema del Departamento de Sistemas, sino una responsabilidad de negocio, con impacto directo en los objetivos estratégicos, la continuidad operativa y la confianza de clientes y socios. En paralelo, BS 7799 partía del mismo principio. Un sistema de gestión de seguridad de la información es definido por la dirección, que establece el contexto, aprueba la política, asigna recursos y asume el riesgo residual. Eso es gobierno. No es un concepto reciente. Es un fundamento. Lo que sí ha cambiado es el contexto en el que este principio se aplica. La superficie de exposición es significativamente mayor, la velocidad de los incidentes es más alta y la dependencia digital de las organizaciones es mucho más profunda. La distancia entre una decisión inadecuada y una crisis operativa es cada vez más corta. Esto no redefine el concepto, pero sí incrementa su urgencia. Confundir urgencia con novedad implica perder de vista décadas de desarrollo conceptual sólido sobre el que hoy es posible , y necesario, seguir construyendo. LO QUE VIENE La publicación de ISO/IEC 42001, el primer estándar certificable para la gestión de la inteligencia artificial, marca el inicio de una nueva etapa en la evolución de los sistemas de gestión. A diferencia de lo ocurrido con ISO/IEC 27001 en sus inicios, este nuevo ciclo encuentra a muchas organizaciones con una base ya desarrollada. Aquellas que durante estos años construyeron capacidades en gestión de seguridad de la información cuentan con una ventaja concreta: comparten estructura, metodología y procesos que pueden ser reutilizados. Esto permite abordar la adopción de ISO/IEC 42001 con mayor rapidez y madurez, en comparación con organizaciones que parten desde cero. La diferencia, esta vez, es que la región no llega tarde. Existe una base construida y una experiencia acumulada que cambia el punto de partida. Y en Datasec, como en 2004, estamos trabajando en ello antes de que sea evidente para todos. El rigor en la gestión no es un lujo ni una formalidad. Es una condición para operar con confianza. Dos décadas de evolución en seguridad de la información lo confirman. — Implementar ISO/IEC 27001 es un proceso estratégico. Contar con experiencia hace la diferencia.
ISO publica la primera edición de ISO/IEC 27001. Lo que habíamos estado enseñando y aplicando como BS 7799 se consolidaba como estándar internacional. No fue una sorpresa: era la dirección lógica de un proceso que veíamos de cerca.
En Datasec, estamos para acompañarte. Escribinos: contacto@datasec-soft.com