ISO 27001: Desafíos para las organizaciones en Seguridad
ISO 27001
La norma ISO 27001 ayuda a las organizaciones asegurando la Gestión de la Seguridad de la Información. Existen diferentes retos de carácter estructural que a los que hacen frente cada día las organizaciones y que es bastante importante conocer. El conocimiento hace que se puedan anticipar a dichos retos estructurales.
Los principales desafíos son la gran necesidad de adoptar una visión más global de la Seguridad de la Información tanto en sus servicios como en sus procesos. Solamente llevar a cabo la supervisión no es suficiente, ya que surgen requisitos puntuales de seguridad en los diferentes sistemas o aplicaciones, por lo que se debe disponer de controles encargados por los procesos de negocio que soportan la empresa.
Llegado a este punto, el primer cambio que debemos afrontar es la percepción que tenemos de la organización, por lo que la seguridad debe pasar de la clásica concepción de que es un mal necesario hacia que es un factos habilitador de negocio que aumenta la confianza de los clientes o proveedores hacía la organización.
Los clientes de las organizaciones también han evolucionado por lo que hoy día se preocupan mucho más de la confianza que trasmita una organización, además de otros aspectos como pueden ser:
- Confidencialidad de sus datos a la hora de realizar operaciones o tener algún tipo de relación con la organización que se encuentra prestando sus servicios.
- La habilidad de poder continuar prestando sus servicios pese a que se encuentre ante una amenaza de continuidad de negocio.
- Aumenta la posibilidad de relacionarse mediante canales alternativos, como puede ser, el correo electrónico, mediante la firma electrónica, etc. siempre con la misma garantía que ofrecían los servicios tradicionales.
Se hace necesario recordar y destacar el incremento que ha sufrido la complejidad de los negocios y los entornos TIC que se encuentran soportándolos, además de la nueva formas de trabajar que son mucho más cómodas, aunque deben seguir unos requisitos muy complejos de seguridad.
Las palabras clave que podemos utilizar para definir la seguridad en dicha situación serían la flexibilidad y la adaptación. Todos los controles de protección que se realizan se encuentran parcialmente protegidos por la legislación y por las normativas vigentes, como pueden ser la protección de datos de carácter personal.
La realidad es que el cambio que se debe realizar del paradigma debe ir muchísimo más allá, ya que se tiene que tener encuentra el activo principal que diferencia a la organización: es la confianza. Dicha percepción de la importancia e impacto de la confianza en las realizaciones entre clientes y usuarios varía mucho aunque la necesidad es considerada un hecho en los diferentes sectores como pueden ser, el financiero o el sanitario, ya que se intuye su relevancia en otros muchos.
Entre todos los casos, la relación que hay entre la Gestión de la Seguridad de la Información con ISO27001 y la confianza es de carácter intrínseco y no se debe subestimar por parte de la organización.
Después de todo esto, se debe apreciar de una forma justa el valor que añade la Gestión de Seguridad de la Información con ISO-27001 a una organización, además debemos tener en cuenta otra consideración no menos importante, como puede ser que la seguridad quede subordinada a la operativa de la organización. Además, de forma evidente no deben existir factores o controles de dificulten el rendimiento de los procesos o servicios que ofrece la organización, a menos que pueda ser justificado de una forma clara y concisa.
Los aspectos normativos son precisamente los que adivinan los principales aspectos sobre los que se debe construir la estrategia de cumplimiento y gestión de la empresa en los próximos momentos. En diferentes sectores, como puede ser el financiero existen diferentes regulaciones que no sólo incentivan o incluso obligan a que la dirección de la organización a que sea consciente del riesgo al que se enfrenta su empresa, además debe aceptar por escrito el nivel de riesgo que puede soportar.
Las ramificaciones que podemos encontrar respecto a este asunto pueden ser agotadoras, ya que el cumplimiento es obligatorio para poder alcanzar un alto nivel de apoyo y compromiso en las diferentes áreas de dirección, lo que a su vez puede condicionar el planteamiento de la Gestión de la Seguridad de la Información. El nuevo enfoque no se acepta que los responsables de cada área técnica solamente hablen de los elementos de carácter operativo, sino que deben modificar la estrategias que plantean sus movimientos en baso a los factores de riesgo que pueden afectar a los proceso de negocio, por lo que se debe justificar y planificar las acciones necesarias para paliar estos riesgos.
El cambio supone un numeroso grupo de profesiones no sean capaces de completar la transición que les llevará de una forma operativa y reactiva a otra muy diferente que se encuentra marcada por el plan estratégico, lo que genera que sea necesario obtener unas serie de conocimientos y habilidades diferentes a las que ya tenían.
Nos encontramos en una nueva época en la que la seguridad es muy importante, ya que en determinadas organizaciones ya se encuentra muy presente. Las áreas de seguridad tienen que poder justificar, tanto a nivel económico como operativo todas las decisiones que se toman y además deben controlar su rendimiento. Los instrumentos que históricamente se han asociado a las diferentes áreas de la organización, pasan a convertirse en herramientas de gestión de la estrategia de seguridad.
Podemos citar como las más relevantes lo Cuadro de Mando, los Planes Directorios y los Sistemas de Gestión Integrada. Además todas estas herramientas ayudarán a controlar la Gestión de la Seguridad de la Información en toda la organización, ya que deben ser capaces de ofrecer información a diferentes niveles.
Otra clave que nos marca la Gestión Estratégica de Seguridad de la Información es la disponibilidad de la información estratificada y segregada según su destinatario y su ámbito, intentando ofrecer información de carácter operativo las diferentes áreas técnicas.
Como consecuencia de dicha orientación a la mejora continua en la seguridad, se debe medir el grado de madurez de la persona encargada de operar en la organización, ya que se convierte en un punto de alta relevancia.
Software para SGSI
El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.