ISO 27001 ¿Cuáles son las buenas prácticas que se utilizan en seguridad de la información?
ISO 27001
La seguridad de la información es un requisito cada día más importante en el entorno profesional, por ello se utiliza la norma ISO 27001. La legislación europea es implacable en las empresas y los profesionales que desprotegen la información sensible, debido a las malas prácticas.
Los proyectos de informatización de los entornos empresariales, junto con la infraestructura TI, también tiene que incluir un sistema que permita conservar y mantener los datos y los documentos que los contienen durante, al menos, su período de vigencia legal. En la práctica se aplicará con las mismas medidas de seguridad de forma independiente a la índole de los datos de los documentos, pudiéndose considerar la protección de datos un subconjunto dentro de la estructura de seguridad de la información.
El cumplimiento de todas las disposiciones legales por parte de los sistemas de información, procesos empresariales y proyectos de consultoría, lo que suele ser suficiente para un país determinado. En última instancia, son los intereses de las personas físicas cuyos datos aparecen en los documentos, y no los interés empresariales, además de su principal propósito.
Las organizaciones necesitan contar con una solución sistemática con la que puedan asegurar su información con un enfoque basado en la gestión, que al mismo tiempo cumpla con las exigencias jurídicas. El cumplimiento con las leyes relativas a la seguridad es un paso importante, pero no garantiza la cobertura internacional de los proyectos y la importación o exportación de las soluciones de consultoría.
La norma ISO 27001 estandariza de forma universal todos los criterios jurídicos y permite evitar las amenazas mediante un enfoque basado en la gestión de riesgos. En la mayoría de los casos se evita tener que realizar adaptaciones a las exigencias legales en cada mercado. En los casos en los que los sistemas de información y los procesos cumplan con todas las exigencias legales de la normativa de protección de datos, partirán de una posición mucho más ventajosa con respecto a los casos del que se parte de cero.
La norma se encuentra centrada en garantizar la confidencialidad, la integridad, la disponibilidad y la autenticidad de la información para intentar evitar las incidencias de tipo físico o lógico que pueda comprometer los niveles de competitividad, de rentabilidad, de conformidad legal y de imagen empresarial, siendo necesarios para conseguir los objetivos de la empresa y asegurar la continuidad del negocio.
Es necesario otorgar una capa de seguridad de los entornos de gestión documental con las siguientes medidas de control:
- Identificación de los cambios y revisiones de los documentos.
- Acceso legible a las últimas versiones de los documentos.
- Identificación correcta de los documentos internos y externos.
- Disponibilidad de los documentos para aquellos que los precisen en su ejercicio laboral.
- Control de la distribución de los documentos.
- Prevenir el uso indebido de documentos obsoletos en procesos de negocio actuales y asegurar la disponibilidad de su consulta en cualquier caso.
Es necesario que se constituya un modelo flexible que se adapte a cualquier tipo de tamaño de empresa y permita obtener el reconocimiento necesario por parte de una entidad de certificación independiente, la cual demuestra de forma pública el compromiso de la empresa con la protección de la seguridad y es una garantía que otorga confianza en el cliente, con respecto a otras organizaciones que no la tengan en cuenta.
La norma ISO 27001 cumple el papel de formalizar por escrito las pautas adecuadas para que la empresa pueda utilizar de manera segura los elementos de hardware y software que integran su sistema de información. Como es un sistema de gestión, en la línea de la ISO 9001 permite la elaboración de política, procedimientos y manuales técnicos en relación con todos los aspectos de la gestión por procesos, los recursos humanos, la protección jurídica, la protección física y la gestión de la continuidad del negocio, que se relacionan con la seguridad de la información.
Es necesario que la implementación se lleve a cabo mediante especialistas, que utilizan metodologías de gestión de proyectos y llevan a cabo un complejo trabajo documental para realizar las auditorías, definir las políticas de actuación, realización de evaluaciones e implementación de procedimientos. La contratación suele ser externa al no contar con background entre su personal interno. Los casos en los que las organizaciones no se dedican al ámbito tecnológico, y que generan un gran volumen de información, dificilmente de abarcar sin la tecnología y los conocimientos adecuados. La externalización del servicio puede ser una alternativa mucho más apropiada:
- Por la experiencia del personal contratado.
- Por las instalaciones especialmente ideadas para la seguridad que posee la empresa.
- Para que un tercero se encargue de garantizar la tediosa tarea del cumplimiento legal a lo largo del tiempo.
- Por disponer de hardware y software específico, necesario para este tipo de gestión de información.
- Por aportar valor al cliente, abaratando sus costes y ahorrando su tiempo de gestión.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.