Comprender cómo surgió la ISO 27001 permite valorar su alcance actual y entender por qué se ha convertido en el referente mundial en seguridad de la información. Desde sus primeros pasos en el marco europeo hasta su confirmación como estándar global vigente, la norma ha recorrido más de dos décadas de evolución continua.
¿Cómo nació la norma ISO 27001 y cuál fue su origen?
Todo comenzó en 1995 con la publicación del estándar británico BS 7799 [01:10]. Este documento recogía las mejores prácticas en seguridad de la información, enfocándose en cómo administrar un sistema de gestión y cómo proteger la información dentro de los procesos de una compañía. Sin embargo, en ese momento solo se ofrecían recomendaciones: no existía certificación alguna, ni a nivel individual ni empresarial. Su aplicación se limitaba al marco europeo.
Tres años después, en 1998, se publicó la segunda versión del BS 7799 [02:10]. Esta revisión introdujo de manera más formal el concepto de sistema de gestión de seguridad de la información (SGSI), ampliando las prácticas con mayor detalle y especificidad.
¿Cuándo se involucró la Organización de Estándares Internacionales?
En el año 2000, la ISO (Organización de Estándares Internacionales) tomó el trabajo previo del estándar británico y creó la ISO 17799 [02:46]. Este paso fue determinante porque sacó la norma del entorno exclusivamente europeo y le dio un alcance global, estableciendo un marco de seguridad de la información reconocido en todo el mundo.
Paralelamente, el estándar británico continuó su desarrollo. En 2002 se publicó una nueva versión del BS 7799 con un avance clave: ya incluía certificación para empresas [03:16]. Las organizaciones que gestionaban sus procesos conforme a la norma podían obtener una certificación formal, lo que generaba mayor confianza entre inversores, socios y stakeholders.
¿Qué ocurrió en 2005 con la versión oficial?
En 2005 llegó el momento decisivo [03:52]. La ISO fusionó la versión certificable del estándar británico con la ISO 17799 y publicó oficialmente la ISO 27001:2005. Este es el punto de partida formal de la norma tal como la conocemos.
- En 2007 la ISO renombró definitivamente la norma y publicó además la ISO 27002 [04:16], que recoge las buenas prácticas en gestión de seguridad. Ambas normas están diseñadas para complementarse entre sí.
- En 2013 se publicó una actualización con cambios significativos [04:42]. El más relevante fue la incorporación de la evaluación y tratamiento de riesgos, un componente que fortalece la capacidad de las organizaciones para identificar amenazas a la continuidad del negocio. Esta versión ofrece certificación tanto a nivel de persona como de compañía.
¿Cuál es la versión vigente de la ISO 27001?
La versión 2013 fue revisada en 2019 por la Organización de Estándares Internacionales [05:24]. El resultado de esa revisión confirmó que la norma se mantiene sin cambios sustanciales. Se adicionaron aspectos relacionados con el cumplimiento de normatividad derivado de la evolución legislativa a nivel mundial, pero la estructura central permanece intacta.
En la página oficial de la ISO se puede verificar que la ISO 27001:2013, revisada y confirmada en 2019, sigue siendo la norma vigente en seguridad de la información [05:56]. Esto significa que cualquier proceso de certificación o implementación actual se basa en esta versión.
¿Qué conceptos fundamentales aparecen en esta evolución?
A lo largo de la historia de la norma se consolidan varios elementos esenciales:
- Sistema de gestión de seguridad de la información (SGSI): estructura organizativa que define cómo proteger los activos de información de una empresa.
- Gestión de riesgo: proceso de identificar, evaluar y tratar los riesgos que pueden afectar la seguridad y la continuidad del negocio.
- Certificación: reconocimiento formal de que una organización o persona cumple con los requisitos establecidos por la norma.
- Stakeholders: partes interesadas que incluyen inversores, socios y cualquier actor con interés en la seguridad de la organización.
Conocer el recorrido histórico de la ISO 27001 ayuda a dimensionar la solidez del estándar y prepara el terreno para profundizar en cada uno de sus componentes. Si tienes dudas sobre algún punto de esta evolución, compártelas en los comentarios.
