ISO 27001: ¿Cuál es la situación actual de las empresas?
ISO 27001
Desde nuestro punto de vista, existe la visión que tienen en general todas las empresas de la información que manejan esta vista desde el lado práctico. Lo ven como algo que está ahí, que siempre se encuentra disponible y sólo en caso de algún accidente, se toman las acciones para su protección.
Además no lo ven como algo productivo, ya que no genera beneficios, con lo que no ponen mucho cuidado. Pero cuando el beneficio puede verse mermado, por su falta, lo consideran un activo muy importante para la organización.
Existen diferentes formas de pensar si nos encontramos en distintos países, e incluso podemos encontrar una gran diferencia entre las pequeñas y medianas empresas o las grandes organizaciones.
¿Considera que las empresas y organizaciones tienen un cuidado especial en este punto?
Las pequeñas y medianas empresas no tienen ningún cuidado especial, viven al día. Proponen remedios cuando surge algún incidente. Si les hablas de Sistema de Gestión de Seguridad de la Información es algo nuevo para ellas. No aplicarán la norma ISO 27001 ni ninguna otra norma salvo que les sea requerida por las autoridades. En el caso de las grandes organizaciones es diferente. Unas lo toman en serio porque lo consideran realmente interesante. Esta manera de proceder se encuentra en la cultura empresarial, porque sus directivos se han encargado de ellos vía convencimiento. Esta situación es la ideal, ya que entienden la importancia de la información que manejan.
Por otra parte, algunas grandes organizaciones toman lo de “Certificado ISO 27001” como una opción más de publicidad. Para ello una vez obtenido el certificado, se despreocupan hasta que le llega la hora de renovar el certificado. Es una situación peligrosa, ya que crean una falsa seguridad.
¿Cómo afecta el uso del cloud en las auditorías?
Las empresas serias que proporcionan servicios de cloud, van a tener una serie de procedimientos de protección de la información más avanzados y puestos al día que una organización cuyo negocio es el de no proteger dicha información. En la organización sí que nos podemos encontrar con quien tiene un Sistema de Gestión de Seguridad de la Información y pueden estar certificadas bajo la norma ISO 27001.
Cuando vayamos a contratar sus servicios, debería ser un requisito a tener en cuenta. Es en esos contratos, donde realmente delegamos la responsabilidad de custodia de nuestra información, donde debemos poner las exigencias que queremos. Entre ellas las posibilidades de que se audite nuestra información cada cierto tiempo. También se permite el acceso a la información a los auditores externos. Deben proporcionar más beneficios que perjuicios.
En el caso de utilizar los dispositivos móviles, e incluso para la utilización en el trabajo, el papel del auditor puede ser difícil ya que implementar medidas de control en este tipo de dispositivos es difícil. Por una parte en este tipo de dispositivos suelen convivir aplicaciones de la vida laboral y de la vida personal que no siempre tienen los mismos requisitos de seguridad. Por otra parte nos encontraremos que los usuarios tienen diferencias muy grandes en cuanto al manejo de las tecnologías de la información.
Si se aplica un plan de seguridad demasiado estricto para los dispositivos, no se pueden realizar instalación de aplicaciones no autorizadas, copiar toda la actividad en un repositorio seguro, etc. El auditor deberá ver toda la información tanto en el dispositivo como en la copia en la nube. Si el dispositivo no es de la organización, entonces la obligación que ésta debe tener no será posible. El auditor lo va a tener muy difícil a la hora de realizar su trabajo. Si esta nueva situación puede complicar la gestión de la seguridad de la información y el trabajo de los auditores, solo se deberían utilizar las políticas de seguridad para obtener una seguridad óptima.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.