AENOR 15 EXPERIENCIAS Referencia internacional René Salinas CIO Buró de Crédito (México) Buró de Crédito es una empresa con la misión de ofrecer soluciones a otorgantes de crédito y consu-midores (público) para la administración del riesgo crediticio. Para ello cuenta con un amplio catálogo de productos y servicios que ofrece, principalmente, a través del uso de tecnología. Hoy en día, nuestras operaciones son reguladas por una Ley Federal -Ley para regular las Socieda-des de Información Crediticia (SIC)-, y por Reglas Ge-nerales para SIC emitidas por el Banco de México. Es por esto, y por la sensibilidad de la información que administramos, que es indispensable considerar en nuestras operaciones la confidencialidad, integri-dad y disponibilidad de la información. Para resolver esta necesidad, Buró de Crédito im-plantó desde hace más de ocho años la Norma ISO 27001 (antes ISO 17799) como un marco de referen-cia formal y de mejores prácticas en el ámbito inter-nacional en materia de Seguridad de la Información. La implantación de esta norma de Gestión de Se-guridad de la Información nos ha apoyado no sólo en los riesgos informáticos, sino también en el pro-ceso integral de administración de riesgos de la em-presa. Asimismo, hemos cubierto, a través de un proceso formal y estandarizado, las necesidades de Seguridad de la Información. Es importante subrayar que las actualizaciones que ha tenido la norma han sido de utilidad para Bu-ró de Crédito, ya que la adopción de nuevos produc-tos y servicios, esquemas de operación e implemen-tación de nuevas tecnologías trae consigo nuevas amenazas a la Seguridad de la Información. Contar con esta certificación ha sido esencial para mante-nernos al día en los controles de seguridad que he-mos ido implementado, con el objetivo de ofrecer un mejor servicio y con aún más calidad. Además, per-mite brindar confianza a los clientes y usuarios so-bre el uso y control de la información. CURSOS Y PUBLICACIONES DE AENOR RELACIONADAS • Cambios en las Normas ISO 27001 e ISO 27002. Repercusión en un SGSI • Fundamentos de la gestión de la seguridad de la información según ISO 27002 • Implantación de un sistema de gestión de seguridad de la información según ISO 27001 • Auditoría de sistemas de gestión de seguridad de la información según ISO 27001 • Gestión de riesgos en seguridad de la información • Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes. 2.ª edición • Modelo para el gobierno de las TIC basado en las normas ISO La norma identifica áreas o dominios a los que asocia uno o varios objetivos de seguridad. A su vez, por cada objetivo se definen uno o más controles de seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado Con respecto a los objetivos de control y controles, la tabla 1 indica el número de controles por domi-nios donde se puede apreciar una reestructuración (nuevos, modifica-dos, eliminados) de los controles del Anexo A. ISO 27001 (ISO 27002) quedando en total 114 controles con respecto a los 133 controles anterio-res de la ISO/IEC 27001:2005. El proceso de certificación es el mismo que para la anterior versión de la ISO/IEC 27001:2005, si-guiendo las normas internacionales en las que AENOR está acreditada -ISO/IEC 17021 e ISO 27006-. Las organizaciones certificadas según la versión de 2005 deberán iniciar la transición hacia la nueva versión para que sus certificados sigan en vi-gor. AENOR ya ha realizado más de diez auditorías de certificación con-templando la nueva versión de la ISO/IEC 27001 y comprobando que las organizaciones se han adaptado adecuadamente a esta nueva versión de la norma. En definitiva, la nueva versión de la UNE ISO/IEC 27001:2014 con-templa una mayor orientación hacia la ciberseguridad y los ciberriesgos, tanto en el mundo de la gestión em-presarial (ISO 27001-ISO 27002) co-mo en el ámbito de los procesos in-dustriales (ISO 27001-SCADA). Ac-tualmente, AENOR tiene vigentes cerca de 300 certificados según la Norma ISO 27001. ◗
298
To see the actual publication please follow the link above