Como muchos freelance o profesionales sabréis, los certificados ISO constas de un conjunto de normas elaboradas por la Organización Internacional de Estandarización (ISO) con el propósito de ordenar la gestión dentro de las empresas en sus diferentes ámbitos y departamentos. Para los freelance o empresas, es básicamente para poder acceder a clientes que exigen que la empresa/freelance cumple con lo establecido en la norma (como clientes de Organismos Públicos).
¿Qué es el ISO 27001?
ISO 27001 es una norma internacional que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) en una organización. Su objetivo principal es ayudar a proteger la confidencialidad, integridad y disponibilidad de la información sensible y valiosa para la empresa.
¿Cumpliré la normativa ISO 27001 si uso tecnología obsoleta como PHP 5.6?
El hecho de que una organización utilice tecnología como PHP 5.6, que puede considerarse insegura, no invalida el valor del ISO 27001 en sí mismo. ISO 27001 es una norma de gestión que se enfoca en establecer un marco para identificar, analizar y mitigar los riesgos de seguridad de la información en una organización. También promueve la implementación de controles de seguridad adecuados para proteger los activos de información. (Aunque en la cláusula 6.1.2 de la ISO, dice claramente que se deben tener en cuenta, pero como en los procesos de certificación no miran estas cosas …)
Sin embargo, es esencial tener en cuenta que la seguridad de la información es un enfoque holístico y que la tecnología utilizada también desempeña un papel crucial en la seguridad general. En el caso de PHP 5.6, es cierto que esta versión ha alcanzado su fin de vida (End of Life, EOL) y ya no recibe actualizaciones de seguridad, lo que significa que existen vulnerabilidades conocidas que no serán corregidas por el equipo de desarrollo.
El uso de tecnologías obsoletas y sin soporte como PHP 5.6 puede exponer a una organización a riesgos de seguridad significativos, ya que los atacantes pueden aprovechar estas vulnerabilidades conocidas para comprometer sistemas y acceder a datos sensibles. Además, los proveedores de software y sistemas operativos también pueden dejar de ofrecer soporte para versiones antiguas, lo que dificultará aún más mantener un ambiente seguro.
En resumen, aunque ISO 27001 es valioso para establecer un marco de seguridad en una organización, también es esencial mantener actualizada la tecnología y adoptar prácticas de seguridad modernas para garantizar la protección adecuada de la información y mitigar los riesgos de seguridad. Utilizar tecnologías obsoletas e inseguras puede poner en peligro los esfuerzos de cumplimiento de la norma y aumentar la exposición a amenazas cibernéticas.