En este último par de meses han visto la luz algunas nuevas normas de la familia ISO 27000 (la serie de normas relacionadas con la seguridad de la información). En concreto, me parece muy destacable la publicación de:
- ISO/IEC 27007:2011: Guía para realizar auditorías de SGSIs, publicada el mes pasado.
- ISO/IEC TR 27008:2011: Guía técnica para auditar controles de seguridad de la información, publicada en Octubre.
En conjunto, me parecen un complemento muy interesante para realizar auditorías de sistemas de gestión basados en ISO 27001, ya que incorporan matices específicos en torno a la seguridad de la información y constituyen una guía sobre cómo realizar una auditoría de seguridad completa (sistema de gestión + controles). Eso sí, que nadie espere encontrar en ellos un checklist de verificaciones ni nada similar, ya que este tipo de estándares son metodologías, no guia-burros.
Y si crece la familia de normas de seguridad de la información, también lo hace el número de empresas certificadas en ISO 27001 a nivel mundial. Según el
extracto de prensa del último ISO Survey, con datos de 2010, la certificación ISO 27001 ha crecido un 21%, alcanzándose los 15625 certificados mundiales en 117 países.
En definitiva, parece que la seguridad de la información no sufre la crisis... al menos, con datos de 2010.