ISO 27001 y la seguridad de la información

La norma ISO 27001 trata sobre la seguridad de la información y sobre cómo gestionarla en un mundo en constante cambio. Las empresas hoy, no solo tienen que lidiar con los efectos de la digitalización, el big data y el Internet de las cosas, sino con las crecientes demandas de la globalización, la regulación y la protección contra las amenazas informáticas.

Lo que ISO 27001 les proporciona es un método para implementar un sistema de gestión de seguridad de la información en base a las mejores prácticas. Tener este sistema implementado y obtener la certificación ISO significa que puede demostrar a los clientes y socios que se está comprometido con la seguridad de la información. Además, certificarse con la ISO 27001 aumenta las posibilidades de ganar licitaciones con clientes gubernamentales o cerrar acuerdos con grandes clientes corporativos, que a menudo exigen que sus proveedores cumplan con este estándar.

Por qué conviene tener en cuenta la ISO 27001

En los últimos meses, distintas organizaciones han sido víctimas de graves violaciones de seguridad. Además de los daños materiales y costes asociados, el perjuicio de este tipo de eventos para la reputación e imagen de la compañía puede ser devastador.

Con el objetivo de ayudar a las empresas a gestionar de manera más efectiva la seguridad de su información surge la ISO 27001.

¿Qué implica la implementación del sistema que propone la ISO 27001?

Gestionar la seguridad de la información significa preservar tanto su confidencialidad, integridad y disponibilidad, como la de las instalaciones que se utilizan para procesarla (los sistemas de TI, su infraestructura o los edificios reales en los que se ubica la organización).

La implementación de la ISO 27001 impulsa la efectividad de esta gestión actuando sobre la:

1. Confidencialidad. Al asegurar que la información no esté disponible para personas u organizaciones que no tienen autorización para verla.
2. Integridad. Garantizando que la información sea precisa y completa.
3. Disponibilidad. Haciendo posible que la información pueda estar disponible y usarse cuando una persona u organización autorizada lo exija.

Una de las ventajas de la ISO 27001 es su carácter comprensivo. De hecho, algunas empresas pueden haber estado tan concentradas en mantener la confidencialidad de la información que hayan pasado por alto la integridad y la disponibilidad. Pero ahora que los datos digitales y de TI son, o es probable que se conviertan, en elementos vitales del negocio, hay que tener en cuenta los tres aspectos.

¿Cómo gestionar la seguridad de la información de manera efectiva?

ISO 27001 impulsa la creación de un sistema de procesos, documentos, tecnología y personas enfocado en la gestión, monitorización, auditoría y mejora de la seguridad de la información. La ventaja de este enfoque es que facilita la administración de todas las prácticas de seguridad de manera consistente y rentable.

No obstante, es importante no entender la seguridad de la información como responsabilidad exclusiva del equipo de TI. La información no se limita a los archivos del ordenador y las redes y, por eso, tal como establece la ISO 27001, la seguridad de la información debe ser una preocupación de toda la organización, incorporada en todas las prácticas, políticas y procedimientos y comunicada claramente a cada empleado.

La participación de la alta dirección es otro aspecto clave para lograr el nivel de efectividad en la gestión que promueve la norma ISO. Sin ella, no sería posible alcanzar el nivel de diligencia que se necesita para lograr la certificación.

La incorporación de prácticas ISO 27001 en la organización es complicada e implica realizar cambios sustanciales en la estrategia, operaciones y cultura empresarial. No hay que demorar más esta decisión y menos aún cuando la empresa está operando en un entorno de negocio que cambia rápidamente, obligando a evolucionar y mejorar de forma continua para seguir siendo efectivo.