Para gestionar seguridad de la información es necesario conocer la norma ISO 27001. En este sentido, aunque es muy probable que hayamos oído hablar de esta normativa, posiblemente, no tengamos muy claro de qué se trata. Pero, la Seguridad de la información es un asunto de suma importancia para las empresas e instituciones.
Los Sistemas de Gestión de la Seguridad de la Información (SGSI) incluyen una serie de estándares con el objetivo de gestionar los riesgos y poner control. Por lo tanto, garantizar una información segura es el máximo propósito teniendo en cuenta el número de vulnerabilidades a las que estamos expuestos.
La seguridad de la información es todo un reto
Se puede decir que la normativa ISO/IEC 27001 ofrece una serie de pautas que ayudan a gestionar dicha seguridad con el fin de preservar la autenticidad, confidencialidad, disponibilidad e integridad de la información de una compañía u organización. Por lo tanto, la norma ISO 27001 es aplicable a todo tipo de organizaciones que se dedican al comercio, finanzas, turismo, etc.
En palabras de Álvaro Maraver (CEO de Soluciones Qes): “Es importante señalar que esta norma hace una introducción a los SGSI y describe el proceso para planificar, verificar y actuar en lo que se denomina el Plan-Do-Check-Act, PDCA. Es la forma de analizar las principales amenazas y vulnerabilidades a partir de una evaluación de los riesgos que afectan a los activos de la información”.
¿A qué tipo de incidencias técnicas nos referimos? Principalmente a ataques informáticos, infecciones con malware, incendios, cortes de luz o errores humanos que expongan a la organización a ciertas vulnerabilidades. Por dicha razón, hay que realizar un proceso de identificación previo para identificar las amenazas y el impacto que podrían tener.
La importancia de la implementación de controles
El objetivo es que cada riesgo pueda ser cubierto y auditable, por este motivo, la última versión de la norma establece hasta 113 puntos de control divididos en grandes objetivos.
- Las políticas de seguridad de la información.
- Los controles para operar en cada empresa según sea conveniente.
Una vez que se ha realizado el análisis se deberá definir un plan de tratamiento para evitar que se produzcan las amenazas. Habrá que estudiar si este riesgo es crítico y pone en peligro a la organización, por lo tanto, habrá que eliminarlo previamente.
Si bien es cierto que en muchas ocasiones no se puede erradicar en su totalidad, se podría aceptar el riesgo y monitorearlo con el fin de controlarlo. El propósito es implantar las medidas preventivas o correctivas necesarias para reducir el impacto.
Como bien sabemos, hay que tener en cuenta que hay organizaciones que manejan mayor volumen de información que otras. Por lo tanto, en función del número de clientes, datos u oficinas deberán implantar un SGSI como primera medida y determinar si se necesita un protocolo específico. Además, los empleados deberían contar con las competencias necesarias en materia de seguridad según su rol en la empresa.
En definitiva, esta normativa ISO 27001 es de vital importancia para proteger la información que manejan las empresas. Hoy en día, es un activo muy importante que podría poner en peligro su actividad, así como a clientes y proveedores si no se adoptan las medidas necesarias.
