Norma ISO 27001
La norma ISO 27001 asiste a las empresas asegurando la Gestión de la Seguridad de la Información. Existen distintos retos de carácter estructural a lo que se enfrentan las organizaciones cada día y que es importante saber. Para que las empresas puedan anticiparse a dichos retos estructurales se basan en el conocimiento.
El desafío principal es adoptar una visión más global de la Seguridad de la Información tanto en los servicios que ofrecen como en sus procesos. Llevar a cabo la supervisión solamente no es suficiente ya que surgen requerimientos puntuales de seguridad en las distintas aplicaciones o sistemas por lo que se debe de contar con controles encargados por los procesos de negocio que sustentan la organización.
El primer cambio que tenemos que hacer frente es la apreciación que tenemos de la empresa por lo que la seguridad debe convertirse en un factor habilitador de negocio que aumenta la confianza de los proveedores y clientes hacia la empresa en vez de la clásica concepción de que es un mal necesario.
Los clientes de las empresas también han cambiado por lo que, hoy en día, se interesan mucho más de la confianza que transmite una empresa además de otros factores y aspectos como pueden ser:
- La capacidad de poder seguir prestando sus servicios pese a que se encuentre ante una amenaza de continuidad de negocio.
- Incrementa la probabilidad de relacionarse mediante canales variables, como puede ser, el correo electrónico, la firma electrónica, etc. siempre con la misma garantía que ofrecían los tradicionales servicios.
- Confidencialidad de sus datos a la hora de desempeñar operaciones o tener algún tipo de relación con la empresa que se encuentra prestando sus servicios.
Es importante recordar y destacar el crecimiento que ha sufrido la complejidad de los negocios y los entornos TIC que se encuentran sustentándolos, además de las nuevas formas de trabajar ahora que son mucho más cómodas aunque deben seguir unos requerimientos de seguridad muy complejos.
La flexibilidad y la adaptación serían las palabras clave que podemos utilizar para definir la seguridad en dicha situación. Todos los controles de protección que se realizan se encuentran, parcialmente, protegidos por las normativas vigentes y la legislación, como pueden ser la protección de datos de carácter personal.
Realmente el cambio que se debe desarrollar del paradigma debe ir mucho más lejos ya que se debe tener en cuenta el principal activo que diferencia a la empresa: la confianza. Dicha visión del impacto e importancia de la confianza en las relaciones entre usuarios y clientes cambia mucho aunque la necesidad es considerada un hecho en los distintos sectores como pueden ser el sanitario o financiero ya que se intuye su relevancia en muchos otros.
En todos estos casos, el vínculo que existe entre la confianza y la Gestión de la Seguridad de la Información con la ISO27001 es de carácter interno y no se debe infravalorar por parte de la empresa.
Después de ello, se debe apreciar, de una forma más justa y clara, el valor añadido que supone la implantación de un Sistema de Gestión de Seguridad de la Información con ISO-27001 a una empresa, además tenemos que tener en cuenta que la seguridad quede subordinada a la actuación de la empresa. Asimismo, no deben existir controles o factores, de forma evidente, que dificulten el rendimiento de los procesos o servicios que ofrece la empresa, a menos que pueda ser justificado de una forma concisa y clara.
Precisamente, los aspectos de normas o normativos son los que adivinan los principales aspectos sobre los que se debe construir la estrategia de gestión y cumplimiento de la organización en los próximos momentos. En distintos ámbitos como puede ser el financiero, existen distintas regulaciones que no solo estimulan o, incluso, obligan a que la dirección de la empresa sea consciente del riesgo al que se enfrenta su organismo o entidad. Además debe aceptar, por escrito, el nivel de riesgo que puede soportar.
Las bifurcaciones que podemos encontrar en relación a este asunto pueden ser agotadoras ya que el cumplimiento es obligatorio para poder obtener un nivel alto de compromiso y apoyo en las distintas áreas de dirección, lo que a su vez, puede condicionar el planteamiento de la Gestión de la Seguridad de la Información.
La nueva visión no acepta que los responsables de cada área técnica hablen solamente de los elementos de carácter operativo sino que deben cambiar las estrategias que plantean sus movimientos en base a los factores de riesgo que pueden dañar a los procesos de negocio, por lo que se debe planificar y justificar las acciones necesarias para paliar estos riesgos.
El cambio supone que un gran grupo de profesiones no sean capaces de plantear la transición que les llevara, de una forma reactiva u operativa, a otra muy diferente que se encuentra marcada por el plan estratégico, lo que genera que sea destacable obtener una serie de habilidades y conocimientos distintos a las que ya tenían.
Actualmente, la seguridad es muy importante porque en determinadas empresas ya se encuentra muy presente. Las áreas de seguridad tienen que poder justificar, tanto a nivel operativo como económico todas las decisiones que se toman y además deben controlar su rendimiento.
Los instrumentos que, históricamente, se han vinculado a las distintas secciones de la empresa pasan a convertirse en instrumentos o herramientas de gestión de la estrategia de la seguridad.
Las más relevantes podrían ser el cuadro de mando, los planes directorio y los Sistemas de Gestión Integrados. Además, todas estas herramientas ayudarán a controlar la Gestión de la Seguridad de la Información en toda la empresa ya que deben ser capaces de ofrecer información a distintos niveles.
Otro elemento que nos marca los Sistemas de Gestión Estratégica de Seguridad de la Información es la disponibilidad de la información segregada y estratificada según su ámbito y destinatario, intentando ofrecer información de carácter operativo a las distintas áreas técnicas.
Como resultado de dicha orientación a la mejora continua en la seguridad, se debe controlar y evaluar el grado de madurez del encargado de operar en la empresa ya que se convierte en un punto de alta relevancia.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…