¿Qué importancia tiene la mejora continua en la seguridad de la información?
Seguridad de la información
Mantener la seguridad de la información de una empresa requiere no solo de la implantación de un Sistema de Gestión de Seguridad de la Información, sino que se deberá realizar un mantenimiento y mejora de las medidas de seguridad.
Si tu empresa cuenta con un excelente Sistema de Gestión de Seguridad de la Información, no lo deje pasar. La excelencia se encuentra en la mejora continua del sistema y no solo en su implementación.
Todas las empresas, sean del ámbito que sean, afrontan de manera diaria un gran número de riesgos e inseguridad que proviene de una amplia variedad de fuentes distintas.
La norma ISO 27001 constituye una solución de mejora continua muy apropiada para evaluar los distintos riesgos y establecer las estrategias y controles oportunos que permitan asegurar la protección y defender la información.
Por esto, el Sistema de Gestión de Seguridad de la Información en la norma ISO 27001 sigue el enfoque basado en procesos que utilizan en el ciclo Deming o en el ciclo de mejora continua, que consiste en planificar, hacer, verificar y actuar.
Cuando se ha realizado la evaluación de los riesgos y son aplicados a los controles, siempre queda lo que se conoce como riesgo residual que tendrá que ser revisado por lo menos una vez al año para tomar las medidas preventivas oportunas.
El ciclo Deming en el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 cuenta con indicadores y métricas con los cuales es posible medir la eficiencia de los diferentes controles utilizados. De esta forma aporta datos reales que se encuentran relacionados con la seguridad de los sistemas de información. Con dichos datos se puede contar con mecanismos de alerta, y hacer las correcciones oportunas.
Es necesario señalar que la norma ISO 27001 es un sistema activo e integrado en la empresa orientado a los objetivos empresariales y con proyección de futuro. En este sentido es muy importante señalar que, cada vez que se introduce una nueva herramienta en las tecnologías de la información y la comunicación a la empresa, es necesario actualizar el análisis de riesgos para mitigar y minimizar los riesgos a la hora de incorporar una nueva herramienta.
La norma ISO 27001 se encuentra relacionada con otras normas que constituyen el modelo de gobierno y gestión de las TIC. De este modelo se pueden obtener dos certificados, la ISO 38500 (gobierno corporativo de las TIC) y la norma ISO 22301 (sistemas de continuidad de negocio). Al implantar los sistemas de gestión, se controla también la calidad y la seguridad de los servicios de las TIC, de forma que se pretende minimizar los riesgos que se encuentran relacionados con la seguridad de la información e incrementar la seguridad de las TIC.
La certificación basada en la norma ISO 27001 se utiliza para implementar el Sistema de Gestión de Seguridad de la Información en las organizaciones. Gracias a las nuevas tecnologías y la globalización, se han extendido los sistemas informáticos con las ventajas que esto conlleva, pero también sus peligros.
La certificación ISO 27001 se generó para avanzar en la gestión de la seguridad de la información, es decir, para mantener sus principios fundamentales. La norma describe como gestionar la seguridad de la información en una organización. Por este motivo cuenta con 10 pilares básicos:
- La certificación ISO 27001 vela para que la información sólo sea accesible por aquellos que tienen permiso para ello, no debe acceder nadie sin el debido permiso.
- La información debe mantenerse intacta y sólo la podrán modificar quienes tengan los permisos oportunos.
- La información deberá estar disponible cuando los usuarios autorizados requieran acceder a ella.
- Deberá existir un conjunto de procesos, personas y tecnología, que analicen los riesgos de la información.
- El conjunto referido anteriormente debe eliminar riesgos de seguridad en la información o minimizarlos mediante un ciclo de mejora continua.
- La ISO 27001 establece un sistema con los parámetros que se deben seguir para gestionar la seguridad de la información.
- Implementar y operar el sistema. Cada organización que cumpla con ISO 27001 debe llevar a cabo esta actividad de implementar y operar con el sistema.
- Mantener y mejorar el sistema. Es otra de las filosofías a las que deben comprometerse las empresas que tienen certificación ISO 27001.
- Revisar el sistema. Se trata de una actividad de mejora que se debe llevar a cabo para ver fallos y minimizarlos.
- Las empresas con la certificación ISO 27001 deben comprometerse a renovarla, algo que es más difícil que obtenerla ya que en la primera auditoría se pueden permitir que no tengan muchos controles implantados y que incluso los controles que ya operan no sean muy buenos, pero en la recertificación se deben desarrollar mejores controles según avance el ciclo de mejora continua.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.