ISO 27001 desde un enfoque práctico

Según un informe realizado por la empresa *Norton Cyber Security, en 2017 978 millones de usuarios fueron afectados por el cibercrimen a nivel global; esto nos permite ver que el tema de la protección de la información tiene un impacto global y puede afectar tanto a personas como a empresas.

Para comenzar es importante conocer la diferencia entre seguridad informática y seguridad de la información. Seguridad de la información se refiere a todo aspecto relacionado con la protección de datos que se encuentre en cualquier medio, sea o no digital, por ejemplo: un contrato, un registro de asistencia, una copia de seguridad, entre otros. Por su parte, la seguridad informática abarca la información contenida en medios informáticos y digitales, son los activos de información asociados al mundo digital. Por lo anterior, la seguridad informática está contenida dentro de la seguridad de la información y abarca todos los procesos. En cambio, la seguridad informática abarca sólo los procesos de TI.

El SGSI es un proceso que permite implementar y gestionar la seguridad de la información en una organización y cumple con el ciclo PHVA; además, permite proteger tres atributos muy importantes: confidencialidad, entendiendo que la información solo debe ir y llegar a quien va dirigida, integridad, ya que los datos no pueden ser alterados o manipulados en el camino y disponibilidad, para que encontremos la información en el momento que la necesitemos.

¿De donde surge la ISO 27001?

Su antecesor es la norma inglesa BS7799 y antes la ISO 17799; estas normas traían un listado de controles para proteger la información en la organización. En muchas empresas a esos controles se les llamaba políticas de seguridad. Por ejemplo, tener los equipos con una contraseña específica, dejar los equipos apagados al salir de la oficina, etc, eran algunas de las políticas de seguridad. Pero estos controles estaban separados y aislados, muchas veces no se monitoreaban ni se les realizaba seguimiento. Adicionalmente, estos controles se mantenían en el tiempo y no se les realizaba mejora alguna, contrario a los sistemas de gestión de seguridad que buscan evolucionar y mitigar los riesgos en la organización, realizar seguimiento y control de los activos de la información, son una guía para saber por dónde avanzar, pero para poder  avanzar en la implementación de un SGSI es importante pensar siempre en gestión de riesgos, tener una matriz legal SST que muestre donde hay mayor impacto, dando una luz al camino que debemos seguir.

¿Qué nos permite la norma ISO 27001?

Certificarnos, no sólo para mostrar que se logró, sino como un examen que ayuda a validar el conocimiento que tenemos y ver si hicimos bien la tarea.

Existen diferentes estándares que guían la seguridad de la información, pero la ISO 27001 es global, integral y se complementa bien con otras normas por su enfoque basado en riesgos, lo que nos permite auditorias combinadas.

¿Cuáles son algunos puntos claves de seguridad de la información?

1. La norma no me dice cómo implementar la seguridad, me dice qué debo hacer, cuáles son los objetivos de seguridad, hacia dónde debo ir y para ello trae más de 100 controles, claros y precisos a implementar. El cómo lo hagamos depende de cada organización, de los recursos y prioridades, ya que la norma no exige que sean implementados todos los controles.
2. Aunque se requiere inversión para implementar la ISO 27001, la inversión no necesariamente tienen que ser grande, ya que cada organización define hasta dónde quiere llegar, lo importante es cumplir con los requerimientos de seguridad.
3. Si bien el área de TI puede liderar el proyecto del SGSI, este también lo puede liderar y administrar el área de calidad, de control interno o cualquier área de la organización que tenga el interés, el compromiso y el liderazgo para hacerlo. En algunos casos se elige nombrar un oficial de riesgo.
4. Un SGSI ayuda a prevenir algunos ataques informáticos, pero estos no se pueden evitar completamente; lo que sí podemos es hacernos menos vulnerables y más resistentes y preparados para responder ante un ataque informático.
5. El beneficio un sistema de gestión de riesgos no es solamente comercial, el principal beneficio es que ayuda a disminuir y a mitigar los riesgos, aún más hoy cuando en las organizaciones dependemos tanto de los datos y la información.

¿Qué tener en cuenta para iniciar con la implementación del sistema?

1. Hacer un análisis GAP de los requisitos de la norma vs lo que tenemos implementados en la empresa, para darnos cuenta del porcentaje de avance.
2. Definir un alcance claro y preciso, en el que esté identificada cuál es la parte crítica.
3. Necesitamos un sponsor del proyecto que lo lidere y lo saque a flote con el apoyo de los líderes de la empresa.
4. Identificar los riesgos y tener la matriz donde veamos el impacto que estos tienen para identificar los controles.
5. Tener partners, aliados y pares que nos pueden ayudar a ver, de una manera más sencilla, cómo implementar el sistema.

Para finalizar, tengamos en cuenta que dentro del SGSI debemos contemplar la ley 1581 del 2012 de protección de datos, la cual es obligatoria implementar en las empresas colombianas registradas en la Cámara de Comercio. El enfoque de esta ley es proteger los datos personales de las personas naturales de la organización, para lo cual se deben implementar medidas de seguridad y donde el SGSI cumple con gran parte de estos requisitos legales a cumplir.

*http://now.symassets.com/content/dam/norton/global/pdfs/norton_cybersecurity_insights/NCSIR-global-results-US.pdf