Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______Encuentra acá todo lo que necesitas saber sobre la gestión de riesgos →
_______La norma ISO 27001 establece buenas prácticas para implementar un sistema de gestión de seguridad de la información. Hacerlo no solo permite proteger los datos de tu organización, que son el activo más importante, sino también generar mayor confianza entre tus clientes, proveedores y empleados.
Desde hace algunos años, muchas empresas han comenzado a implementar un proceso de transformación digital, que entre otras cosas requiere del uso de nuevas tecnologías y almacenamiento de la información en la nube y en diferentes dispositivos electrónicos.
Y aunque esto, sin duda, trae muchas ventajas, también genera más exposición a riesgos cibernéticos, por eso cada vez es más importante contar con un sistema de gestión de seguridad de la información basado en la norma ISO 27001 para proteger los datos y prevenir las consecuencias que traería la materialización de un riesgo de este tipo.
En general, esta norma ofrece herramientas que permiten asegurar, integrar y tener de manera confidencial toda la información de la compañía y los sistemas que la almacenan, evitando así que un ciberataque se materialice y así mismo, hacer más competitiva a la empresa y cuidar su reputación.
En este especial encontrarás los lineamientos que debes seguir, según la norma ISO 27001, para establecer un sistema de seguridad de la información conforme a lo que necesita tu empresa para que así puedas identificar y evaluar los riesgos a los que está expuesta y apliques los controles necesarios para mitigar tanto su probabilidad de ocurrencia como su impacto en caso de presentarse.
Y con una herramienta tecnológica como Pirani y su módulo de seguridad de la información podemos ayudarte a cumplir esta normativa. Con este módulo puedes identificar los activos de información de tu organización, clasificarlos según su criticidad y gestionar los riesgos, amenazas y vulnerabilidades asociadas de manera simple, adecuada y eficiente.
La seguridad de la información se define como un proceso integrado que permite proteger la identificación y gestión de la información y los riesgos a los que esta se puede ver enfrentada. Esta gestión se hace a través de estrategias y acciones de mitigación para asegurar y mantener de manera confidencial los datos de una empresa.
Según la Universidad Libre de Colombia, se define como “todas las medidas preventivas y de reacción del individuo, la organización y las tecnologías para proteger la información; buscando mantener en esta la confidencialidad, la autenticidad y la integridad.
Es importante tener claro que los términos seguridad de la información y seguridad Informática son diferentes. Este último trata solamente de la seguridad en el medio informático, mientras que el primero es para cualquier tipo de información, sea esta digital o impresa.
La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la información, por ejemplo: la disponibilidad, la comunicación, la identificación de problemas, el análisis de riesgos, la integridad, la confidencialidad y la recuperación de los riesgos".
Para implementar la seguridad de la información en tu organización, es importante que tengas en cuenta tres elementos claves: las personas, los procesos y la tecnología.
Es una norma internacional creada por la Organización Internacional de Normalización (ISO) para garantizar buenas prácticas de seguridad de la información. Además, la norma ISO 27001 brinda herramientas que permiten a las empresas gestionar su información de manera segura.
Este estándar internacional se creó, entre otras razones, para proporcionar a las organizaciones un modelo consistente que permita establecer, implementar, monitorear, revisar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).
En 2005 fue publicada su primera versión, enfocada en la norma británica BS 7799-2, y en 2013 fue actualizada ajustándose a las novedades tecnológicas del mercado y basándose en normas como ISO/IEC 17799:2005, ISO 13335, ISO/IEC TR 18044:2004 y las directrices de la Organización para la Cooperación y el Desarrollo Económico (Ocde) para la seguridad de sistemas y redes de información. Esta norma puede aplicarse a cualquier tipo de empresa, sin importar su industria o tamaño.
En términos generales, la norma ISO 27001 permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales para protegerlos de los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza entre los clientes, proveedores y empleados, además, es un referente mundial.
Así mismo, la implementación de esta norma permite evaluar y controlar los riesgos que se hayan identificado, creando un plan que ayude a prevenirlos y, en caso de presentarse, a mitigar su impacto.
ISO 27001 también sirve a las empresas para:
Por otro lado, es bueno que tengas en cuenta que la norma ISO 27001 otorga certificación, esto permite a las empresas demostrarle a sus clientes, empleados y proveedores que realmente están blindadas en materia de seguridad de la información.
Con el módulo de seguridad de la información de Pirani en tu organización pueden cumplir esta normativa porque podrán implementar buenas prácticas de seguridad de la información, documentar de manera fácil sus activos de información y conocer cuál es su nivel de criticidad, registrar los riesgos, amenazas y vulnerabilidades a los que están expuestas, así como los eventos o incidentes detectados, analizarlos y ejecutar planes de acción, entre otras funcionalidades.
Como lo hemos mencionado, hoy en día la información de las compañías, su activo más importante, puede sufrir algún tipo de fraude, hackeo, sabotaje, vandalismo, espionaje o un mal uso por parte del recurso humano.
Estos actos delictivos, generalmente, son realizados por ingenieros, hackers, empleados u organizaciones dedicadas al robo de datos, que lo único que buscan es interferir en la reputación de la empresa. Por esta razón, es tan importante contar con herramientas que te permitan evitar que este tipo de hechos sucedan.
Tener en tu empresa un Sistema de Gestión de Seguridad de la Información te permite cumplir con los requerimientos legales, pues muchos países lo exigen. En la norma ISO 27001 encuentras la metodología que debes seguir para implementarlo y poder cumplir con lo exigido.
Obtener la certificación en ISO 27001 genera un valor agregado para tu compañía con respecto a tus competidores, además, mayor confianza entre tus clientes y futuros clientes. Esta certificación también ayuda a disminuir la probabilidad de ocurrencia de incidentes que generen grandes pérdidas para tu empresa, así evitas consecuencias perjudiciales y ahorras dinero.
Antes de entrar en detalle en estos protocolos, lo primero que debes saber es que cuando tú o cualquier persona realiza alguna búsqueda en internet, el navegador intercambia datos con las diferentes páginas que visitas, esto pasa de manera automática o consciente.
Por eso, para proteger la información se utilizan protocolos que garantizan la seguridad e integridad por medio de reglas establecidas. Estos protocolos se diseñaron para prevenir que agentes externos no autorizados tengan acceso a los datos, están compuestos por:
El Sistema de Gestión de Seguridad de la Información (SGSI) es el concepto central sobre el que se construye la norma ISO 27001. De acuerdo con esta normativa, la seguridad de la información consiste en la preservación de la confidencialidad, integridad y disponibilidad y es bajo estos tres términos que se realiza el análisis y evaluación de los activos de información.
El SGSI debe estar enfocado en cuatro fundamentos:
Disponibilidad |
Confidencialidad |
Integridad |
Autenticación |
Se refiere a tener acceso a la información necesaria. Es importante evitar que el sistema tenga problemas o que algún ente externo intente acceder de manera ilícita a los programadores de la compañía. |
Es la información que solo está disponible para el personal autorizado, por ende esta no debe ser distribuida por terceros. |
La información que está registrada debe ser la correcta y no tener errores o algún tipo de modificaciones. Esto se hace para evitar amenazas externas o errores humanos. |
Esta información la brinda directamente un usuario y se debe validar que los datos otorgados sean los correctos. |
Este proceso permite garantizar que la gestión de la seguridad de la información se realiza de la manera adecuada, por eso debe documentarse para que toda la organización lo conozca y sepa cómo actuar frente a situaciones de posible amenaza.
Como hemos mencionado anteriormente, la información de una compañía es uno de sus activos más importantes, por eso es indispensable protegerla porque esta es esencial para el cumplimiento de los objetivos.
Un SGSI es de gran ayuda para cumplir con la legalidad y la protección de los datos, pues permite definir los procedimientos y controles que se llevarán a cabo para mantener los datos blindados. Además, establecer las políticas que deben conocer todos los miembros de la organización y tener claridad de cuáles son los riesgos que pueden sufrir y de qué manera se pueden mitigar.
Un Sistema de Gestión de Seguridad de la Información, según la norma ISO 27001, debe incluir los siguientes elementos:
Este documento contiene la guía de cómo se debe implementar y seguir el Sistema de Gestión de Seguridad de la Información. Aquí se incluye toda la información como objetivos, alcance, responsables, políticas, directrices, entre otras actividades que se decidan llevar a cabo.
Estos se relacionan con las actividades operativas, ya que estos dan los parámetros que se deben seguir para que la gestión sea eficaz y la planificación, la operación y el control sean los adecuados en los procesos de seguridad de la información.
Es la descripción de lo que se debe hacer paso a paso, cuáles son las tareas y actividades que se deben cumplir para que la gestión sea eficiente.
Es la evidencia de la información que ha sido documentada durante toda la gestión para verificar que se estén cumpliendo con los objetivos propuestos.
A continuación te presentamos y explicamos cada uno de los pasos que debes seguir para implementar un Sistema de Gestión de Seguridad de la Información.
Aquí debes determinar los objetivos, el marco general, los requerimientos legales, los criterios con los que serán evaluados los riesgos y para esto debes establecer la metodología, que debe estar aprobada por la dirección o la junta directiva.
Debes tener claridad de qué se logrará una vez se ponga en marcha el plan de acción en la organización, ten en cuenta los activos, las tecnologías y la descripción de cada uno de ellos.
En esta fase debes reconocer las posibles amenazas a las que puede estar expuesta la compañía, quiénes son los responsables directos, a qué son vulnerables y cuál sería el impacto en caso de que se llegue a violar la confidencialidad, la integridad y la disponibilidad de los activos de información.
Debes evaluar el impacto que tendría alguno de los riesgos si se llega a materializar, identificar cuál es la probabilidad de ocurrencia y cómo esto podría afectar a los controles que ya están implementados, de igual manera, verificar si se puede aceptar o debe ser mitigado.
Con el módulo de seguridad de la información de Pirani puedes evaluar de una manera simple los diferentes riesgos que pueden afectar la confidencialidad, disponibilidad e integridad de los activos de información de tu organización.
Es decir, aplicar los controles adecuados, clasificar los niveles de riesgo, evitarlos o transferirlos a terceros si es posible.
Debes establecer los objetivos de control y seleccionar los controles que se van a implementar.
Consiste en definir cómo será el tratamiento de los riesgos, aplicar el tratamiento teniendo en cuenta los controles que fueron identificados, y las responsabilidades de cada uno, implementar los controles, definir el sistema de métricas, generar conciencia dentro de la organización y fomentar una cultura que permita que todos los empleados conozcan el SGSI, además, gestionar su operación y utilizar los recursos necesarios para su cumplimiento.
Periódicamente debes hacer una revisión del SGSI para identificar si está cumpliendo con lo que señala la norma ISO 27001, con los objetivos planteados y si es efectivo, así mismo, para reportar las mejoras que deben hacer y cuáles serán las acciones a ejecutar para lograr esto.
La siguiente lista resume cada una de las actividades que debes tener en cuenta:
¿Qué tal te pareció toda esta información que te compartimos sobre la norma ISO 27001 y la implementación de un Sistema de Gestión de Seguridad de la Información basada en esta? Déjanos tus comentarios.
*Este artículo ha sido revisado y validado por Yeraldín Sandoval, especialista en Sistemas de Administración de Riesgos y en Sistemas de Seguridad de la Información y Continuidad de Negocio.
Lleva la gestión de riesgos de tu empresa a otro nivel con un software especializado que se ajusta a tus necesidades.
Prueba gratis