ISO 27001: El porqué de adoptar medidas de seguridad con un SGSI
Sistema de Gestión de Seguridad de la Información
El estándar internacional ISO 27001 permite a las organizaciones la implementación de un Sistema de Gestión de Seguridad de la Información que proporciona la seguridad necesaria en cuanto a su información más sensible.
Tenemos varios motivos por los que las organizaciones deciden adoptar un Sistema de Gestión de Seguridad de la información. Dichos sistemas se adecuan sobradamente a dos categoría diferentes:
- Una primera que asegura el Mercado
- Una segunda que se encarga de Gobierno
Con lo de asegurar el Mercado nos referimos a la capacidad con las que cuenta un Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO27001 para generar una gran confianza, en el mercado y en la capacidad que tiene la organización para custodiar la información, más importante, de una forma bastante segura. Algo que inspira mucha confianza a los clientes y proveedores, es la confidencialidad, la integridad y la disponibilidad con la que manejen la información de estos.
El Gobierno menciona cómo se deben gestionar las organizaciones. En este caso concreto, un Sistema de Gestión de Seguridad de la Información según el estándar internacional ISO-27001 es reconocido de manera proactiva a la hora de gestionar la seguridad de la información en las empresas.
Una escena típica de la seguridad de Mercado es cuando una organización exige diferentes garantías a los proveedores con el fin de continuar haciendo negocios juntos, esto le interesa mucho al proveedor para poder seguir siendo los proveedores de dicha organización. Las empresas antes pedían a los proveedores la certificación o que cumplieran con el estándar internacional ISO 9001, pero cada vez más las empresas también buscan garantía en la seguridad de la información por eso también están pidiendo que sus proveedores cumplan con el estándar internacional ISO 27001. En dicho caso, la organización para poder exigir esto tiene que poder guardar de forma segura la información que tiene sobre sus proveedores, es decir, que se convierte en un ciclo y la organización también tendrá el deber de preservar la Seguridad de la Información bajo su custodia. Si la información con la que cuenta la organización es compartida con otro proveedor, la empresa estará incumpliendo su deber, no cuidando que la manipulación de cierta información por parte del proveedor puede ser peligrosa. No importa si la organización opta por hacer esto por razones gubernamentales o de seguridad del mercado, lo único que importa es la acción que está realizando.
Como estas dos categorías se encuentran estrechamente relacionadas, la organización puede optar inicialmente por implementar un Sistema de Gestión de Seguridad de la Información con el fin de inspirar la suficiente confianza en el mercado por el que la organización se ve influida.
Una vez que la empresa cuenta con un Sistema de Gestión de Seguridad de la Información maduro, proporciona que las personas que trabajan en la organización puedan experimentar con los beneficios que genera dicho sistema de gestión a la hora de gestionar la información. Por lo que podemos concluir que la organización al implementar un Sistema de Gestión de Seguridad de la Información ISO27001 puede englobar las dos categorías, seguridad de mercado y gobernabilidad.
De la misma forma, otra empresa puede comenzar por implementar un Sistema de Gestión de Seguridad de la Información para mejorar la gestión de su organización. Sin embargo, cuando el SGSI haya madurado, esta puede comunicar todas sus experiencias y notificar su certificación exitosa para ampliar mercado, aprender y dar una mayor garantía a los nuevos clientes.
El estándar internacional ISO-27001:2013 especifica todos los requisitos para poder establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información. Dichos requisitos describen el comportamiento previsto por el Sistema de Gestión de Seguridad de la Información una vez se encuentre a pleno funcionamiento. El estándar internacional ISO 27001 no es una guía paso a paso sobre cómo se debe construir o crear un Sistema de Gestión de Seguridad de la Información.
Podemos encontrar una serie de normas, que pertenecen a la familia de la norma ISO 27000, que nos pueden ayudar mucho a la hora de implementar un SGSI. Hay tres normas fundamentales:
- ISO 27003: genera las directrices básicas para implementar el Sistema de Gestión de Seguridad de la Información. Es un soporte del estándar internacional ISO27001. Fue publicada el 1 de febrero del año 2010.
- ISO 27004: es una métrica para la gestión de la seguridad de la información. Proporciona todas las recomendaciones de quién, cuándo y cómo debe realizar todas las mediciones de seguridad de la información. Fue publicada el día 7 de diciembre de 2009.
- ISO 27005: habla sobre la gestión de los riesgos en la seguridad de la información. Es la que genera las recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad de la Información, utiliza como soporte el proceso de gestión de riesgos de la norma ISO-27001. Se encuentra relacionada con la actual BS 7799 parte 3. Fue publicada en junio del año 2008.
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO–27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.