Las incógnitas de la norma ISO 27001
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 nos permite implementar un Sistema de Gestión de Seguridad de la Información, ya que cuenta con todos los requisitos necesarios para aumentar la seguridad de la información en las organizaciones. Los primero que debemos conocer sobre la seguridad de la información en el ámbito de la informática es que existen muchos mitos, y es importante que los conozcan antes de tomar la decisión de implementar un Sistema de Gestión de Seguridad de la Información para cometer los menos errores posibles. Vamos a explicar cada uno de los mitos que se conocen:
Primer mito: La ciberseguridad es lo mismo que la tecnología de la información
Imaginemos la siguiente situación, un administrador de sistemas que no está conforme desactiva de forma intencionada una aplicación central y elimina las bases de datos más importantes. Esto no sería un asunto de TI (tecnología de la información) sino que sería un tema de Recursos Humanos y este riesgo no puede ser evitado ya que la persona que se encuentra al cargo de la administración de sistemas tiene acceso directo a todos los sistemas. La manera de prevenir este tipo de situaciones queda fuera del área tecnológica y tiene que ver con la selección de empleados, de cómo supervisarlos, de los documentos legales que han firmado, la forma en la que se trata al personal de la organización y otras muchas cuestiones más. No hay que malinterpretar estas palabras anteriores, ya que la tecnología de la información y las medidas de seguridad de éstas son muy importantes en el tema de la ciberseguridad, pero éstas no son suficientes. Las medidas tienen que estar combinadas con otros tipos de protección para que sean efectivas.
Segundo mito: La dirección de la organización no tiene nada que ver con la ciberseguridad
Los primero que tenemos que saber es que las medidas de seguridad son imposibles de implementar sin un gasto de dinero y tiempo de trabajo de los empleados. Si los gerentes de la organización no se encuentran convencidos de que la protección es necesaria y necesita una gran inversión, no se proporcionarán los recursos necesarios. Por lo que el proyecto fracasará. Si las personas encargadas de dirigir la organización no cumplen con las normas establecidas sobre seguridad, por ejemplo, dejan olvidado un ordenador en una zona donde cualquier puede acceder a la información, todos los esfuerzos en seguridad serán en vano. En conclusión, los gerentes de la organización son una parte muy importante en la seguridad de la información de su empresa.
Tercer mito: la mayor inversión se hará en tecnología
Esto es falso, ya que la mayoría de las organizaciones ya cuentan con casi toda la tecnología necesaria. Con lo que no contaban eran con los pasos básicos sobre cómo utilizar la tecnológica de una manera segura. La información se encontrará protegida si todas las personas de la empresa que tiene acceso conocen lo que está permitido y lo que no y quien es la persona responsable de cada parte de la información. Esto se consigue definiendo unas reglas, las cuales deben cumplir todos, y que normalmente aparecen la política de la empresa o en los procedimientos. Por lo general, la inversión en tecnología normalmente puede ser menos de la mitad de la toda la inversión necesaria en la organización. En muchos casos, puede ser inferior al 10%. La mayoría del presupuesto se invierte en el desarrollo de políticas y procedimientos, capacitación, etc.
Cuarto mito: La seguridad no conlleva el rendimiento de la inversión (ROI)
La seguridad necesita de una inversión, la cual no siempre reporta ingresos adicionales a la organización. La idea que se tiene con la ciberseguridad es la disminución de los costos relacionados con los problemas de seguridad, es decir, evitar incidentes indeseados. Si eres capaz de disminuir la cantidad o la duración de los incidentes de seguridad, se ahorrará dinero. En la mayoría de los casos, los ahorros que se consiguen son mucho mayores que los costos que generan las medidas de seguridad que se han implementado, es por esto por lo que se puede decir que ganarás dinero gracias a la ciberseguridad.
Quinto mito: la ciberseguridad es un proyecto único
Esto es falso, la ciberseguridad es un proceso que dura permanentemente. Si desarrollas un procedimiento que dé respuesta a los incidentes que pueden encontrase tus trabajadores y tienen que ser notificados al jefe de seguridad de la información cada vez que se produzca un incidente, pero si esta persona deja de trabajar en la organización, es lógico que no quería que sigan llegándole a esta persona los avisos de incidentes, si lo que desea es que el sistema funcione correctamente. Los procedimientos y las políticas de seguridad deben ser actualizados cada cierto tiempo, pero no solo esto sino también el software, el equipo, los acuerdos, etc. Y este es un trabajo que nunca finaliza.
Sexto mito: el mito de la documentación
El tener que redactar muchas políticas de seguridad y procedimientos no significa que los trabajadores tengan que comenzar automáticamente a cumplirlos todos. La seguridad, por lo general, implica un cambio bastante grande, y hay que ser coherentes, a nadie le gusta modificar sus prácticas diarias. Podemos poner el ejemplo de la contraseña, si actualmente la empresa no cuenta con un sistema de seguridad de la información, los empleados pueden tener contraseñas tales como “1234”, y con la seguridad de la información pasaran a tener que cambiar la contraseña cada 90 días y ahora las contraseñas tienen que contar con 8 dígitos de los cuales al menos uno debe ser un número y otro un carácter especial. Esto significa que los trabajadores se resistirán al cambio y que intentarán buscar todos los atajos posibles para eludir los nuevos requisitos de la norma ISO 27001. La forma de ayudarlos a superar esta etapa es la concienciación.
Software para ISO 27001
El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.