De un tiempo para acá y gracias al Internet la cantidad de información que ronda en la red es inimaginable, mucha de ella es basura pero hay otra que es indispensable, incluso puede ser peligroso si cae en manos equivocadas.
Por eso las empresas que manejan altos flujos de datos e información sensible deben garantizar el uso correcto de la misma y es acá donde es protagonista la norma ISO 27001. Y es que con el paso de los años la Internet se ha convertido en algo habitual, sería difícil imaginarnos un mundo sin internet, pues con ella podemos comprar cualquier producto, contactarnos con gente de otros países, hacer transferencias bancarias o simplemente captar datos.
En vista de la importancia que ha tomado el servicio en línea, la Organización Internacional de Estandarización (ISO, por sus siglas en inglés) estableció la norma ISO 27001, que se emplea para la certificación de los sistemas de gestión de seguridad de la información (SGSI) en las organizaciones.
Con la ISO 27001 se busca asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que la tratan.
De este modo las empresas podrán demostrar a clientes actuales y potenciales, así como a proveedores y accionistas, la integridad en el manejo de la seguridad de la información. También permite reforzar la seguridad de la información y disminuir los riesgos de fraude, pérdida o filtración de información.
La implementación de la norma ISO 27001 tiene como resultados:
- La armonización con normas de sistemas de gestión como ISO 9001 e ISO 14001.
- El énfasis en la mejora continua de procesos del sistema de gestión de seguridad de la información.
- La claridad en los requisitos de documentación y registros.
- Procesos de evaluación y gestión de los riesgos involucrados mediante el modelo del proceso Planificar, Hacer, Verificar, Actuar (PDCA, por sus siglas en inglés).
- La protección de los activos de la empresa, desde la información digital, los documentos y activos físicos (computadoras y redes) hasta los conocimientos de los empleados.
¿A quiénes está dirigida?
- Empresas de servicios.
- Prestadores de servicios tercerizados (BPO, ITO y demás modelos).
- Empresas del sector financiero de banca y seguros.
- Empresas del sector de tecnología de la información.
- Empresas de comunicaciones.
- Empresas de seguridad y custodia.
- Entidades públicas.
- Todo tipo de empresas de cualquier sector económico o industrial, públicas o privadas que hagan uso intensivo de la tecnología de la información.
Las empresas que implementen este sistema encontrarán una serie de beneficios que van desde la habilitación y potencialización del uso de herramientas de colaboración y de gestión de información, hasta la prevención y reducción eficaz de los niveles de riesgo a través de controles adecuados.
También facilita la comunicación entre la alta dirección empresarial, los responsables de la gestión y custodia de la información y los clientes y demás interesados. La hace más eficaz. Permite a la dirección monitorear, evaluar, asignar y gestionar los recursos necesarios para la seguridad de la información e incrementa el nivel de conciencia del personal respecto a los tópicos de seguridad de la información.
¿Cómo se implementa?
La ISO 27001 se basa en la teoría de gestión de la calidad PDCA, también conocida como ciclo de Deming, cuya estructura es:
Planificar: Esta es la etapa inicial de diseño del Sistema de Gestión de Seguridad de la Información, en la que se identifican los riesgos asociados a la seguridad de la información y se complementa con un análisis cualitativo y cuantitativo de los riesgos identificados y la planificación de la respuesta y los controles necesarios para la mitigación de estos.
Hacer: Esta fase consiste en la implantación y operación del Sistema de Gestión de Seguridad de la Información definido y desarrollado.
Verificar: Etapa de revisión y evaluación de la eficiencia del sistema. Si el desempeño no es el esperado analizar las causas y determinar las mejoras.
Actuar: Mejora continua del sistema.
Cabe mencionar que el sistema de gestión de seguridad de la información no solo abarca los antivirus o softwares que la empresa usa para proteger sus datos, en éste se incluye una definición de la gestión de procesos, recursos humanos o asuntos jurídicos relacionados con la seguridad de la información.
Por suerte la implementación, automatización y continua mejora del SGSI es posible gracias a las diversas plataformas tecnológicas que permiten centralizar las operaciones de seguridad que se manejan comúnmente; apoyar en la gestión y reportar de incidentes.
