Un manejo responsable de la información

18.08.2011 | Tendencias

Beatriz Martínez Cándano del GRUPO SIGEA afirma que la norma ISO 27001 se aplica cada vez más entre las empresas. Se trata de un estándar internacional publicado en octubre de 2005 por la International Organization for Standardization (ISO) que certifica y proporciona el aseguramiento de la confidencialidad, la integridad y la disponibilidad de la información que maneja diariamente una entidad (cuentas bancarias, manuales operativos, procesos, datos de vivienda y de salud).


 

Las especificaciones de la ISO 27001 establecen el modo en que una empresa debe de seguir un sistema de prácticas de negocio y políticas desarrolladas con el fin de facilitar la seguridad de los sistemas, los procesos, las personas que los ejecutan y los datos, bajo los únicos propósitos de reducir las vulnerabilidades a las que se enfrenta una empresa, atenuar sus riesgos y afianzar asegurar seguridad de datos.
La ISO crea estándares cada uno de los cuales es una especificación que forma la base de un esquema que deberá seguirse con el fin de conseguir la certificación de una entidad. Más que un código de buenas prácticas, contiene un completo sistema de medidas de seguridad y procesos que incluyen restricciones físicas del acceso, seguridad en la red, medidas anti-intrusión y de protección contra virus, controles para asegurar la continuidad del negocio ante desastres y requisitos para revisar la responsabilidad de la gerencia y la mejora continua, entre otros.
Además, con carácter previo a que una organización reciba la certificación de ISO 27001, ésta debe de cumplir toda esta serie de exigencias y pasar una auditoría externa detallada que debe de ser llevada a cabo siempre por expertos.
La ISO 27001 no es requerida por ninguna ley o regulación legal ya que su implantación y certificación es voluntaria. Sin embargo, dado que el buen gobierno de la tecnología es reconocido cada vez más como un área específica de atención hacia la responsabilidad social corporativa, los estándares internacionales relacionados con la seguridad de la información se han convertido en piedras angulares de un eficaz gobierno de Seguridad de la Información que las empresas albergan acerca de sus clientes (consumidores).
Según un informe publicado en noviembre de 2005 por Forrester, las certificaciones ISO 27001 están siendo utilizadas por las empresas y muchas administraciones públicas para validar la seguridad de un socio de negocio y son requeridas frecuentemente con carácter previo al comienzo de negociaciones con una compañía. De ello podemos entrever que las empresas que optan por no conseguir esta certificación pueden estar en riesgo de perder terreno ante competidores que sí están dispuestos a conseguir estos certificados.
No obstante, nos encontramos en muchos casos con el enorme esfuerzo necesario en la implantación de un sistema de gestión de certificado bajo la ISO 27001. Las diversas partes del proceso de certificación requieren el disponer de recursos importantes como son el tiempo, el esfuerzo y el gasto. Aunque debemos decir que el coste de implantación puede variar considerablemente en función tanto del tamaño de la compañía, como del ámbito que pretenda certificarse o de lo arraigadas que estén las prácticas de seguridad con carácter previo a la implantación. Todos estos son factores que es necesario tener en cuenta a la hora de acometer un proceso de estas características. Sin embargo las ventajas, en la mayoría de los casos, superan con creces a los inconvenientes, empezando por la confianza del consumidor.
Para muchos de nosotros, consumidores de cientos de productos cuyos fabricantes manejan nuestros hábitos de compra y consumo, es una garantía el darnos cuenta de que una de estas entidades se preocupa de la seguridad de nuestros datos y de que éstos no caen en manos indebidas o son manejados y destripados por miles de terceras, cuartas o quintas manos. Cuando vemos prácticas en las que se asegura - valga la redundancia - la seguridad de la información de los clientes de una organización, nos quedamos más tranquilos a la hora de adquirir un producto o servicio.
Con la ISO 27001 y el nivel de seguridad que proporciona, las compañías pueden aseverar que sus datos, incluyendo la información específica de cada cliente que de alguna forma custodia, serán protegidos hasta el extremo. Si a todo ello añadimos el que la seguridad e integridad de datos son una ventaja competitiva puesto que pueden ayudar a proteger la reputación de una marca ante el castigo del mercado, de los competidores o de las leyes - en países con legislación en protección de datos - la decisión es fácil de tomar.
Para poner en marcha un sistema certificable en ISO 27001 una entidad debe, indiscutiblemente, de buscar la ayuda de una consultora externa especializada en implantación de Sistemas de Gestión de Seguridad de la Información. Las pocas pero especializadas firmas en esta índole que existen actualmente en el mercado, proporcionarán en todo caso la dirección detallada que ayudará a la compañía a pasar su auditoría de certificación no sin antes realizar en la empresa un riguroso trabajo de implantación de políticas, procedimientos, instrucciones y metodología que afiance la seguridad de la información que la empresa ha decidido que es vital para el desarrollo de su negocio.
Para concluir este artículo, nos acercamos nuevamente al informe Forrester en el que se recomienda que las entidades que pretendan certificarse en ISO 27001, hagan de esta tarea un proceso, pero no un esfuerzo o un proyecto a acometer de una sola vez. Esto es debido fundamentalmente a que la certificación requiere de una cuidadosa planificación, incluyendo el desarrollo de un modelo de negocio, la definición del ámbito y el alcance del sistema, el establecimiento de un riguroso análisis de riesgos respaldado por una métrica contrastada y el desarrollo de un plan de continuidad, todo ello bajo un prisma de tiempo realista.

Las especificaciones de la ISO 27001 establecen el modo en que una empresa debe de seguir un sistema de prácticas de negocio y políticas desarrolladas con el fin de facilitar la seguridad de los sistemas, los procesos, las personas que los ejecutan y los datos, bajo los únicos propósitos de reducir las vulnerabilidades a las que se enfrenta una empresa, atenuar sus riesgos y afianzar asegurar seguridad de datos.

La ISO crea estándares cada uno de los cuales es una especificación que forma la base de un esquema que deberá seguirse con el fin de conseguir la certificación de una entidad. Más que un código de buenas prácticas, contiene un completo sistema de medidas de seguridad y procesos que incluyen restricciones físicas del acceso, seguridad en la red, medidas anti-intrusión y de protección contra virus, controles para asegurar la continuidad del negocio ante desastres y requisitos para revisar la responsabilidad de la gerencia y la mejora continua, entre otros.

Además, con carácter previo a que una organización reciba la certificación de ISO 27001, ésta debe de cumplir toda esta serie de exigencias y pasar una auditoría externa detallada que debe de ser llevada a cabo siempre por expertos.
La ISO 27001 no es requerida por ninguna ley o regulación legal ya que su implantación y certificación es voluntaria. Sin embargo, dado que el buen gobierno de la tecnología es reconocido cada vez más como un área específica de atención hacia la responsabilidad social corporativa, los estándares internacionales relacionados con la seguridad de la información se han convertido en piedras angulares de un eficaz gobierno de Seguridad de la Información que las empresas albergan acerca de sus clientes (consumidores).

Según un informe publicado en noviembre de 2005 por Forrester, las certificaciones ISO 27001 están siendo utilizadas por las empresas y muchas administraciones públicas para validar la seguridad de un socio de negocio y son requeridas frecuentemente con carácter previo al comienzo de negociaciones con una compañía. De ello podemos entrever que las empresas que optan por no conseguir esta certificación pueden estar en riesgo de perder terreno ante competidores que sí están dispuestos a conseguir estos certificados.

No obstante, nos encontramos en muchos casos con el enorme esfuerzo necesario en la implantación de un sistema de gestión de certificado bajo la ISO 27001. Las diversas partes del proceso de certificación requieren el disponer de recursos importantes como son el tiempo, el esfuerzo y el gasto. Aunque debemos decir que el coste de implantación puede variar considerablemente en función tanto del tamaño de la compañía, como del ámbito que pretenda certificarse o de lo arraigadas que estén las prácticas de seguridad con carácter previo a la implantación. Todos estos son factores que es necesario tener en cuenta a la hora de acometer un proceso de estas características. Sin embargo las ventajas, en la mayoría de los casos, superan con creces a los inconvenientes, empezando por la confianza del consumidor.

Para muchos de nosotros, consumidores de cientos de productos cuyos fabricantes manejan nuestros hábitos de compra y consumo, es una garantía el darnos cuenta de que una de estas entidades se preocupa de la seguridad de nuestros datos y de que éstos no caen en manos indebidas o son manejados y destripados por miles de terceras, cuartas o quintas manos. Cuando vemos prácticas en las que se asegura - valga la redundancia - la seguridad de la información de los clientes de una organización, nos quedamos más tranquilos a la hora de adquirir un producto o servicio.
Con la ISO 27001 y el nivel de seguridad que proporciona, las compañías pueden aseverar que sus datos, incluyendo la información específica de cada cliente que de alguna forma custodia, serán protegidos hasta el extremo. Si a todo ello añadimos el que la seguridad e integridad de datos son una ventaja competitiva puesto que pueden ayudar a proteger la reputación de una marca ante el castigo del mercado, de los competidores o de las leyes - en países con legislación en protección de datos - la decisión es fácil de tomar.

Para poner en marcha un sistema certificable en ISO 27001 una entidad debe, indiscutiblemente, de buscar la ayuda de una consultora externa especializada en implantación de Sistemas de Gestión de Seguridad de la Información. Las pocas pero especializadas firmas en esta índole que existen actualmente en el mercado, proporcionarán en todo caso la dirección detallada que ayudará a la compañía a pasar su auditoría de certificación no sin antes realizar en la empresa un riguroso trabajo de implantación de políticas, procedimientos, instrucciones y metodología que afiance la seguridad de la información que la empresa ha decidido que es vital para el desarrollo de su negocio.

Para concluir este artículo, nos acercamos nuevamente al informe Forrester en el que se recomienda que las entidades que pretendan certificarse en ISO 27001, hagan de esta tarea un proceso, pero no un esfuerzo o un proyecto a acometer de una sola vez. Esto es debido fundamentalmente a que la certificación requiere de una cuidadosa planificación, incluyendo el desarrollo de un modelo de negocio, la definición del ámbito y el alcance del sistema, el establecimiento de un riguroso análisis de riesgos respaldado por una métrica contrastada y el desarrollo de un plan de continuidad, todo ello bajo un prisma de tiempo realista.