ISO 27001: La información y la seguridad, los aspectos cruciales en toda empresa
ISO 27001
No podemos dudar los beneficios que generan en los ciudadanos la utilización de los medios electrónicos, informáticos y telemáticos, pero tampoco se puede ocultar la preocupación que genera la vulnerabilidad en las organizaciones y la necesidad de tomar las medias idóneas para recuperar la confianza, aquí entra la posibilidad de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
El crecimiento que están experimentando las redes y la conectividad entre diferentes sistemas representa las nuevas oportunidades de trabajo y comunicación, en general suelen ser positivas, aunque también nos podemos encontrar con negativas, es decir, se facilitan los accesos, aunque también los no-autorizados, hay más flexibilidad en la utilización del control, aunque también se reduce la facilidad y la relativa tranquilidad que daba un control centralizado siendo obligatorio ponerlo en manos de especialistas.
El tratamiento que se le da a la información tiene una creciente importantica, que no por ser conocida es menos importante para el correcto funcionamiento e incluso la supervivencia de cualquier empresa, ya sea pública o privada. La importancia se suele pasar por alto y el riesgo que se corre no teniendo la información con la suficiente seguridad sólo es tenido en cuenta cuando sucede un problema que, normalmente, no tiene solución.
La información es un activo inmaterial que necesita de soportes para poder ser almacenado de diferentes formas. Por lo que la información:
- Se almacena en diferentes sistemas informáticos.
- Se transmite mediante las redes.
- Se registra en papel, en disquete u otros soportes magnéticos transportables.
- Se transmite o registra como comunicación oral.
La necesidad de contar con la suficiente seguridad afecta a todas las formas de información y sus soportes, sea cual sea el método utilizado para trasmitir el suficiente conocimiento, ideas o datos. La información y los sistemas que la soportan constituyen recursos muy valiosos para la empresa. La dependencia de la información se pone en evidencia cuando se presenta alguna amenaza que afecta al flujo normal de datos por la estructura organizativa.
El Sistema de Gestión de Seguridad de la información es imprescindible para mantener valores esenciales en el sector público, en el sector privado o en ambos. Se trata de una suma de poder para depositar una confianza en la capacidad de manejar la información sosteniendo en todo el momento el funcionamiento adecuado de las funcionalidades y los valores de cada organización.
La falta de Seguridad de los Sistemas de Información es endémica de toda la empresa en el conjunto de los países desarrollados. Los sistemas de información se encuentran amenazados por diferentes agresores malintencionados o no, más o menos sofisticados y mutantes, que interaccionan con los sistemas de información para disminuir e incluso eliminar algunas de la funciones que realizan. No debe existir la resignación, ya que hay soluciones, aunque el coste depende de una implementación inteligente. La seguridad siempre es barata, pero a largo plazo. El ahorro y la eficacia son mucho mayores si los requerimientos y especificaciones de seguridad se incorporan incluso durante el desarrollo de los sistemas y los servicios de información. Cuanto antes se actúe para proporcionar seguridad al Sistema de Gestión de Seguridad de la Información, más sencillo y económico será para la organización.
La solución se traduce en un proyecto de seguridad, es decir, un tipo especial de desarrollo de seguridad para modificar el estado inicial de seguridad del sistema actual y conseguir un estado final de seguridad suficiente. Un proyecto que, como todos, tiene un sujeto y un objeto:
- Un sujeto global de un proyecto de seguridad es un dominio del conjunto de la organización compuesto por activos estructurados metódicamente.
- El objeto u objetivo del proyecto de seguridad del sujeto consiste en soportar la continuidad de todos los procesos organizativos sustentados, es decir, buscar la minimización del coste global de la ejecución, además de evitar pérdidas en los recursos asignados a su funcionamiento.
La seguridad en el marco europeo y mundial
El Consejo de Ministros de la Unión Europea aprobó el día 31 de marzo del año 1992 la primera decisión que hace referencia a la Seguridad de los Sistemas de Información, en que se incluía un Plan de Acción y formalizaba el SOG-IS (Senior Officials for the Security on Information Systems) Grupos de Altos Funcionarios para el SSI. Estos ya habían editado en el año 1991 los ITSEC (Information Technology Security Evaluation Criteria), siguiendo la experiencia previa de los métodos utilizados en EEUU y Europa. Por lo que desde entonces:
- El SOG-IS completó el ITSEC con un manual para la aplicación. La versión 1.0 de ITSEM, editada el día 10 de septiembre de 1993, completa a la versión 3 de ITSEC y busca armonizar los criterios de los países europeos.
- La Dirección General de la Comisión Europea encargada de las Tecnologías de la Información comenzó a preparar el libro verde sobre la seguridad de los Sistemas de Información.
- El aumento en la preocupación por la Seguridad de los Sistemas Informáticos en los máximos niveles comunitarios culmina con una cadena de menciones que arranca en el Libro Blanco del Presidente Delors, que amplía el informe del Comisario Bangemann sobre la sociedad global de la información.
- Los proyectos de investigación INFOSEC, iniciados en el año 1992 por el SOG-IS, clarificaron alguno de los elementos básicos como; sistematizar la información, estudiar las estructuras que enmarcan a los Sistema de Gestión de Seguridad de la Información, analizar todos los problemas más agudos que se producen en el Sistema de Seguridad de la Información dentro de las comunicaciones, establecer las directrices metodológicas genéricas o específicas o simplemente ayudar a aplicar los ITSEC.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.