Seguridad de la Información
El estándar internacional ISO-27001 posibilita a las empresas la implantación de un Sistema de Gestión de Seguridad de la Información que proporciona la seguridad necesaria en base a su información más sensible.
Tenemos varios motivos por los que las entidades deciden adoptar un Sistema de Gestión de Seguridad de la Información. Estos sistemas se adecuan sobradamente a dos categorías distintas:
- Una primera que asegura el Mercado
- Una segunda que se encarga de Gobierno
Con lo de garantizar el Mercado nos referimos a la capacidad con la que cuenta un Sistema de Gestión de Seguridad de la Información fundamentado en el estándar internacional ISO 27001 para generar una mayor confianza, en el mercado y en la capacidad que tiene la entidad para custodiar a información, más importante, de una manera bastante segura. Algo que inspira mucha confianza a los clientes y proveedores, es la confidencialidad, la integridad y la disponibilidad con la que manejan la información de estos.
El Gobierno menciona cómo se tienen que gestionar las empresas. En este caso concreto, un SGSI basado en la norma ISO27001 es reconocido de forma proactiva en el momento de gestionar la seguridad de la información de las organizaciones.
Una típica escena de la seguridad de Mercado es cuando una empresa exige distintas garantías a los proveedores para continuar haciendo negocios juntos, esto le interesa mucho al proveedor para poder seguir siendo los proveedores de esta entidad. Las organizaciones antes solicitaban a los proveedores la certificación o que cumplieran con el estándar internacional ISO 9001, pero cada vez más las entidades también buscan garantía en la seguridad de la información por eso también están pidiendo que sus proveedores cumplan con el estándar internacional ISO 27001. En este caso, la empresa para poder exigir esto tiene que poder guardar de manera segura la información que tiene acerca de sus proveedores, esto es, que se convierte en un ciclo y la empresa también tendrá el deber de preservar la Seguridad de la Información bajo su custodia. Si la información con la que cuenta la empresa es compartida con otro proveedor, la entidad estará incumpliendo su deber, no cuidando que la manipulación de cierta información por parte del proveedor puede ser peligrosa. No importa si la empresa opta por hacer esto por motivos gubernamentales o de seguridad del mercado, lo único que importa es la acción que está realizando.
Como estas dos categorías se encuentran estrechamente ligadas, la empresa puede optar en primer lugar por implementar un Sistema de Gestión de Seguridad de la Información para inspirar la suficiente confianza en el mercado por el que la empresa se ve influida.
En el momento que la organización cuenta con un SGSI maduro, proporciona que las personas que trabajan en la empresa puedan experimentar con los beneficios que produce dicho sistema de gestión a la hora de gestionar la información, Por lo que podemos concluir que la empresa al implementar un Sistema de Gestión de Seguridad de la Información ISO 27001 puede englobar las dos categorías, seguridad de mercado y gobernabilidad.
De la misma manera, otra organización puede comenzar por implantar un Sistema de gestión de Seguridad de la Información para mejorar la gestión de su entidad. Asimismo, cuando el SGSI haya madurado, esta puede comunicar todas sus experiencias y notificar su certificación exitosa para ampliar mercado, aprender y dar una mayor garantía a los clientes nuevos.
El estándar internacional ISO 27001 describe todos los requisitos para poder establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información. Estos requisitos detallan el comportamiento previsto por el SGSI una vez se encuentre a pleno funcionamiento. La norma ISO 27001 no es una guía paso a paso acerca de cómo se tiene que construir o crear un Sistema de Gestión de Seguridad de la Información.
Podemos encontrar una serie de normas, que pertenecen a la familia de la norma ISO 27000, que nos pueden ayudar mucho en el momento de implantar un SGSI. Hay tres normas fundamentales:
- ISO 27003: produce las directrices básicas para implementar el Sistema de Gestión de Seguridad de la Información. Es un soporte del estándar internacional ISO 27001. Fue publicada el 1 de febrero del año 2010.
- ISO 27004: es una métrica para la gestión de la seguridad de la información. Proporciona todas las recomendaciones de quién, cuándo y cómo debe realizar todas las mediciones de seguridad de la información. Fue publicada el día 7 de diciembre de 2009.
- ISO 27005: habla sobre la gestión de los riesgos en la seguridad de la información. Es la que genera las recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad de la Información, utiliza como soporte el proceso de gestión de riesgos de la norma ISO27001. Se encuentra relacionada con la actual BS 7799 parte 3. Fue publicada en junio del año 2008.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…