La norma 27001 y su importancia en seguridad de la información IT

Alexandra Rodríguez, directora Normalización INTECO

INTECO, Alexandra Rodríguez

En los últimos años ha sido un objetivo de estrategia empresarial el integrar la Gestión de la Calidad, el medio ambiente y la seguridad y salud en el trabajo. Cuando estos objetivos se han alcanzado, entran en escena otros aspectos a tratar y que se están convirtiendo en puntos clave para los modelos de negocio actuales.

Cada vez toma más importancia la gestión de riesgos como base para la toma de decisiones. Entre los diferentes aspectos a considerar está la información; es decir, todos aquellos datos que desde algún punto de vista se considera necesario controlar, ya sea por obligación legislativa, por interés de terceros o bien por ser esenciales para la actividad y estrategia de la organización.

La información es un activo valioso que puede impulsar o destruir una organización. La defensa de este activo es una tarea esencial para asegurar la continuidad y la sostenibilidad del negocio, así como también es una exigencia legal (protección de la propiedad intelectual, protección de datos personales, servicios para la sociedad de la información), y además genera confianza a los clientes y/o usuarios.

Esto es especialmente importante en ambientes de negocio cada vez más interconectados, pues, la información está ahora expuesta a un número mayor y a una variedad más amplia de amenazas y vulnerabilidades. Cuanto mayor es el valor de la información, mayores son los riesgos asociados a su pérdida, deterioro, manipulación indebida o malintencionada.

El incremento de la cantidad de incidentes de seguridad de la información a nivel de las organizaciones, que afectan la operación y continuidad de negocio de las mismas, con impacto a nivel económico, legal y de imagen; hacen que sea necesario la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Mediante el uso de la familia de normas INTE/ISO/IEC 27000 las organizaciones pueden desarrollar e implantar un marco para la gestión de la seguridad de sus activos de información, incluyendo información financiera, propiedad intelectual y detalles de sus empleados, o información confiada a la organización por sus clientes o terceras partes. Estas normas también pueden ser utilizadas para prepararse para una evaluación independiente de sus SGSI aplicada a la protección de la información.

Mejorar los aspectos relacionados con la seguridad de la información, proveer confianza a sus clientes o socios, son algunos de los motivos por los cuales las organizaciones deciden adoptar normas de seguridad y la implementación de un SGSI. La gestión de la Seguridad de la Información ofrece la libertad para crecer, innovar y ampliar la base de clientes sabiendo que toda la información confidencial seguirá siéndolo.

Beneficios de la norma INTE/ISO/IEC 27001 de Gestión de la Seguridad de la Información

  • Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
  • Confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información
  • Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas
  • Conseguir que las partes interesadas y los clientes confíen en la protección de los datos
  • Demostrar conformidad y conseguir el estatus de proveedor preferente
  • Alcanzar las expectativas demostrando conformidad