ISO 27001: El interés generado en las organizaciones
Sistema de Gestión de Seguridad de la Información
A las organizaciones que trabajan hoy en día, les ha tocado vivir una época interesante, la norma ISO 27001 facilita mucho el trabajo a la hora de controlar la Seguridad de la Información. Los procesos de negocio cada día crecen más en complejidad y además, cada día son más dependientes de la tecnología.
Paralelamente las organizaciones se enfrentan al aumento de las exigencias legales y a la regulación de la eficiencia, es decir, disminuir el tiempo y los costes.
Hoy en día el miedo a que se vean vulnerados los documentos que contengan información importante para la organización está aumentando, por lo que las organizaciones deben adoptar una visión y conciencia clara de la importancia que tienen para sus procesos y servicios que se encuentren cimentados en la tecnología, por lo que deben estar perfectamente protegidos gracias a la norma ISO27001.
La dificultad que podemos encontrar puede ser las dotaciones necesarias de presupuesto apropiada para llevar a cabo el Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001. En un principio se necesita una alta inversión, pero la inversión es amortizada con el tiempo. Aunque se deben razonar los gastos que se van a producir.
Lo primero que debe tener en cuenta la organización es la importancia de la Seguridad de la Información, ya que abarca diferentes áreas que tienen un foco común. En diferentes ocasiones la tecnología incluye otros enfoques que se encuentran asociados a la estructura organizativa de la empresa, al cumplimiento de la legislación vigente e incluso a procesos los procesos de negocio.
Por lo que fundamentalmente se debe adoptar una visión integrada de la Seguridad de la Información, para así poder dar una respuesta completa y eficiente a las preguntar que surjan sobre la protección y la seguridad que se está ofreciendo dentro de la organización.
No sólo se debe tener en cuenta la tecnología, como hemos venido planteando hasta ahora. El principal motivo que facilita que la organización prospere y que representa su principal capital es la información, y sobre ella es donde se debe construir la seguridad.
En este momento nace la necesidad de crear el enfoque correcto, es decir, que no debe situarse en el plano puramente operativo o táctico, ya que nos encontramos ante implicaciones demasiado relevantes durante el rumbo de la organización y afecta a la organización directamente.
Para realizar un planteamiento adecuado se debe alinear el negocio con la dimensión estratégica que se quiera seguir. Se deben superar las barreras para poder comprender cómo serán los requisitos de la organización en el futuro, facilitando el cumplimiento de sus objetivos. Como conclusión, debemos conocer la entrega de valor de forma concisa y mesurable.
¿Se encuentran las organizaciones de hoy en día preparadas para el cambio de mentalidad?
La respuesta puede variar atendiendo a diferentes valores:
- Negocio de la organización
- Cultura interna
- Orientación de mejora
- Flexibilidad de los procesos
De todos modos debemos saber que la seguridad tiene que estar planificada alineándola con la estrategia que sigue la organización y fundamentada en diferentes metodologías pero que sean claras y concisas
Este cambio de mentalidad supone dejar atrás la seguridad basada en intuiciones, y construir una nueva seguridad desde un nuevo enfoque, el de la estrategia. Para salga bien la construcción de esta nueva visión, nos debemos basar en tres puntos principales:
- El autoconocimento de todas las necesidades para proteger los procesos de negocio, por lo que debemos priorizar y comprender la distinción entre lo que aporta valor y lo que no lo aporta.
- El origen desde el que partimos para controlar la Seguridad de la Información y el compromiso que adquiere la organización ante este proceso.
- El destino al que se pretende llegar, bien sea en términos cualitativos o cuantitativos, pero siempre utilizando la mejora continua para conseguirlo.
Con todos estos datos se puede definir el camino que se desea seguir, es decir, se realiza una planificación clara y medible. Para que el proceso sea mucho más fácil existen diferentes normas y guías de buenas prácticas, como puede ser la norma ISO 27001.
Se debe conocer que partes de la organización necesitarían implantar el Sistema de Gestión de Seguridad de la Información, para así llevarlo a cabo solo en las zonas que generen beneficios para la organización.
No podemos olvidar que el fin de cualquier área de Sistema de Información, es el apoyo a los diferentes procesos productivos de la organización, generando un valor añadido y disminuyendo el costo de los servicios que lo soportan.
Para poder conseguir los beneficios que ofrece la implementación de un Sistema de Gestión de Seguridad de la Información en la organización, es imprescindible que se realice una profunda reflexión sobre la propia empresa.
En dicho escenario se pueden tratar:
- Partidas presupuestarias necesarias para llevar a cabo los cambios organizacionales.
- Plantear nuevos enfoques de gestión y diferentes normas.
- Llevar a cabo procesos de referencia.
Resulta fácil caer en el desánimo, pero para las organizaciones que tengan paciencia y valentía seguirán profundizando en la gestión estratégica de la seguridad, gracias a los Sistemas de Gestión de Seguridad de la Información, ya que esto le abre nuevas oportunidades de negocio y deja claro en qué y por qué se consumen recursos económicos en la organización dedicados a la seguridad.
Como resumen, podemos decir que el objetivo de la implantación de un Sistema de Gestión de Seguridad de la Información facilita el trabajo al encargado del departamento de Sistemas de Información de la organización y facilita el paso a la Gestión Estratégica de la Seguridad. El Director Gerente de la organización también se verá influenciado ya que debe plasmar su compromiso con respecto a la seguridad de la información de su organización.
Software para SGSI
El Software ISO para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.