Software

ISO 27001

Los esfuerzos realizados por las organizaciones para afrontar la problemática de la seguridad de la información, con relación a los riesgos que conlleva la pérdida de su confidencialidad, integridad o disponibilidad, ha llevado a que las mismas aumenten cada año sus inversiones para minimizar el nivel de su exposición al riesgo.

Estas inversiones se traducen en proyectos que van desde una implementación tecnológica, que constituye un control de seguridad específico para la información, hasta proyectos tendientes a definir e implementar modelos de seguridad que permitan hacer una gestión continua de una estrategia de seguridad de la información, que debe implementarse y mejorase a través del tiempo.

¿Qué es ISO 27001?

La norma internacional ISO/IEC 27001 ha sido presentada como un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información, lo cual a priori nos indica que se puede generar un marco formal a través del cual se gestiona la seguridad de la información en las organizaciones. Es interesante ir a lo básico y preguntar: ¿Qué es la seguridad de la información? ¿Qué significa gestionar seguridad de la información?

La seguridad de la información es definida por la norma ISO/IEC 27001 como: “La Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad”, de otra forma, y en un sentido práctico, como elemento de valor al negocio, puede definirse como: “La protección de la información contra una serie de amenazas para reducir el daño al negocio y maximizar las oportunidades y utilidades del mismo”. Esta última definición nos sugiere con más fuerza que la seguridad de la información es un tema estratégico y de negocio que debe ser atendido desde la alta dirección.

En este sentido gestionar es coordinar y dirigir una serie de actividades, con uno recursos disponibles, para conseguir determinados objetivos, lo cual implica amplias y fuertes interacciones fundamentalmente entre el entorno, las estructuras, los procesos y los productos que se deseen obtener1.

Teniendo en cuenta lo anterior, debemos reconocer que la gestión de la seguridad de la información requiere de una estrategia alineada con el negocio y sus objetivos, requiere de unos recursos y de un conjunto de actividades dirigidas y coordinadas por una organización de la seguridad que se extienda a través de toda la organización, desde la alta dirección hasta los usuarios finales.

Esta modelo es una propuesta para que las organizaciones puedan controlar y dirigir sus acciones y decisiones con respecto a la mejora de la seguridad de su información, para llegar a obtener un modelo coherente con la naturaleza del negocio, y alineado con sus objetivos. Se presenta un conjunto de gestiones que deberían definir e implementar las empresas para ir avanzando en el nivel de madurez de su modelo de seguridad de la información, teniendo como base:

  • Los activos de información.
  • Los riesgos de seguridad de la información.
  • Los incidentes de seguridad de la información.
  • El cumplimiento.
  • La continuidad del Negocio.
  • El cambio y cultura para la seguridad de la información.
  • La Estrategia de seguridad de la información.

Para cada una de las gestiones se presenta su definición, la relación con cada una de las etapas del ciclo de mejora continua PHVA (Planear, Hacer, Verificar, Actuar) y la relaciones y dependencias que existen entre cada una de estas.

En este sentido es importante ir más allá de tener unos requisitos normativos y de conformidad con un estándar internacional y presentar los elementos prácticos que permitan que las organizaciones comprendan y dimensionen los esfuerzos que hay que llevar a cabo para gestionar la seguridad de la información de manera sistemática.

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla. Además el Software para la norma ISO 27001, presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.