Primeros pasos en seguridad de la información
El estándar para la gestión de seguridad de la información no es geográficamente limitado (por ejemplo, a sólo Reino Unido, Japón o Estados Unidos), no está restringido a un sector específico (por ejemplo, sólo al departamento de defensa de un país o a la industria del software), no está restringido a un producto específico (como un Sistema ERP, o Software como Servicio). Entonces, este estándar brinda beneficios particulares a los miembros de la junta directiva, directores, ejecutivos, dueños y gerentes de cualquier organización que dependa de la información, que usa regularmente computadoras como base del negocio, o que sea responsable para los datos personales de la empresa, o que tiene un aspecto de internet dentro de sus estrategias.
ISO/IEC 27001
La seguridad de la información es un componente clave del gobierno de TI. La información y las tecnologías relacionadas se convierten cada vez más en habilitadores de actividades organizacionales, entonces, la gestión efectiva de las mismas, se convierte en un tema crítico para la alta dirección. Es ahí donde estándares como ISO 27001 posibilitan a los directores ejecutivos y a los gerentes de las organizaciones (de todos los tamaños), que sus estrategias de seguridad de tecnologías de la información sean coordinadas, coherentes, completas, efectivas en costo, y alineadas a las necesidades del negocio.
4 fuertes razones
Las empresas deben siempre asegurar que cualquier proceso que ellos implementen deben ser adaptados a su propio contexto, y esto se puede lograr con estas cuatro razones: (1) Las políticas, los procesos y los procedimientos, deben siempre reflejar el estilo, y la cultura, de la organización para la cuál serán utilizadas. Esto ayudará que la documentación sea aceptada en la organización. (2) Los procesos y procedimientos que son adoptados deben reflejar la evaluación de riesgos llevada a cabo por asesores de seguridad de la información para la organización. Mientras algunos riesgos son comunes para muchas organizaciones, el enfoque para controlarlos debe ser apropiado según los recursos económicos de los que dispone la organización, sus objetivos individuales y ambiente operativo. (3) Es importante que la organización entienda, en detalle, sus políticas, procesos y procedimientos. Habrá que revisarlas después de cualquier significante incidente de seguridad por lo menos una vez al año. La mejor manera de entenderlos a fondo es a través de una redacción detallada de los procesos. (4) Lo más relevante, es que las amenazas a los activos de información están evolucionando al igual que ellos. Esto es esencial debido a que los procesos y procedimientos deben estar completamente actualizados, y reflejar la realidad de los riesgos inherentes en ellos.
¿Por qué necesitamos seguridad de la información?
Es necesario un sistema de gestión de seguridad de la información porque las amenazas de la disponibilidad, integridad y confidencialidad de la información de la organización son grandes, y siempre incrementan. Cualquier padre de familia cuidadoso cuya casa haya sido construida a orillas de un río caudaloso, enfrenta el riesgo de una inundación, y toma decisiones urgentes para mejorar las defensas para que no ingrese agua a su hogar. Sería imprudente solamente bloquear la puerta de entrada para evitar el ingreso de agua, de hecho, la decisión correcta es bloquear cada posible canal que permita el ingreso de agua, y luego tratar de construir un muro alto que refuerce el bloqueo, en caso empeore la situación. Con este ejemplo, se trata de manifestar que las amenazas pueden incrementar en escenarios imaginarios que uno podría pensar que nunca sucederán, pero cuando sucede, es muy impactante (p.e. una inminente pandemia).
Consejo audit
Inicie con un plan de seguridad de la información donde se determine y calcule cuánta inversión necesita para aumentar el nivel de protección de información en su organización, apoyándose en la norma internacional ISO 27001 y construya una base sólida de cultura de prevención. En audit brindamos el servicio de consultoría y análisis específico para iniciar en el camino de seguridad de la información.