ISO 27001

A las empresas que trabajan hoy en día, les ha tocado vivir una época de innovación tecnológica, la norma ISO 27001 favorece mucho el trabajo a la hora de controlar la Seguridad de la Información. Los procedimientos de negocio crecen cada día más en dificultad y, además cada día, son más dependientes de la tecnología.   

Las empresas, paralelamente, se enfrentan al incremento de las exigencias legales y a la reglamentación de la eficacia, es decir, reducir los costes y el tiempo.

El miedo de las empresas a que los documentos que contengan información importante se vean vulnerados está aumentando por momentos. Para evitar esta situación, las empresas deben adoptar una visión y conciencia clara de la importancia que tienen para sus servicios y procesos que están incluidos en la red estén perfectamente protegidos gracias a la norma ISO27001.

La contrariedad que podemos encontrar puede ser la cantidad necesaria de presupuesto para implementar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Se necesita una alta inversión para ejecutar dicha acción pero la inversión se amortiza con el tiempo. No obstante, es importante y se debe dar razones sobre los gastos que se van a producir.

La empresa debe tener en cuenta, principalmente, la importancia de la Seguridad de la Información ya que engloba a diferentes áreas que tienen un foco común. En diferentes ocasiones, la tecnología incluye otros enfoques que se encuentran asociados al cumplimiento de la legislación vigente, a la estructura organizativa de la entidad e, incluso, a procesos de negocio.

Fundamentalmente, se debe adoptar una visión integrada y total de la Seguridad de la Información para poder dar una respuesta eficiente y completa a las preguntas que surjan sobre la seguridad y la protección que se está ofreciendo dentro de la empresa.

Como se ha venido planteando hasta el momento, no solo se debe tener en cuenta la tecnología. El motivo principal que ayuda a la empresa para que prospere y que representa su principal capital es la “información” y, en torno a ella, se debe construir la seguridad.

En este momento, surge la necesidad de crear el enfoque correcto, es decir, que nos encontramos ante implicaciones bastante importantes y relevantes que afecta a la organización directamente.

Para establecer un planteamiento adecuado se debe alinear el negocio con la dimensión estratégica que se quiera seguir, se deben superar las barreras para poder comprender cómo serán los requisitos de la empresa en el futuro, facilitando el cumplimiento de sus fines. Como conclusión, debemos conocer la entrega de valor de forma mesurable y concisa.

¿Se encuentran las actuales empresas preparadas para el cambio de mentalidad?

La respuesta puede variar atendiendo a diferentes valores:

• Orientación de mejora.
• Flexibilidad de los procesos.
• Negocio de la organización.
• Cultura interna.

De todas formas, debemos saber que la seguridad de la información tiene que estar programada en relación con la estrategia que sigue la empresa y basada en distintas metodologías concisas y claras.

Este cambio de mentalidad, da lugar a dejar a un lado la seguridad basada en intuiciones y establecer una nueva desde una nueva visión, el de la estrategia.

Para que se desarrolle bien la construcción de esta nueva visión, nos debemos basar en tres puntos fundamentales:

• El origen desde el que partimos para controlar la Seguridad de la Información y el compromiso que adquiere la empresa ante este proceso.
• El destino al que se pretende llegar, bien sea en términos cuantitativos o cualitativos, pero siempre empleando la mejora continua para conseguirlo.
• El autoconocimento de todas las necesidades para proteger los procesos de negocio, por lo que debemos priorizar y comprender la distinción entre lo que aporta valor y lo que no lo aporta.

Con todos estos datos se puede establecer el camino que se desea seguir, es decir, se realiza una planificación medible y clara. Para que el proceso sea mucho más fácil existen distintas guías y normas de buenas prácticas, como puede ser la norma ISO 27001.

Se debe conocer qué partes de la empresa necesitarían implantar el Sistema de Gestión de Seguridad de la Información, para que de esta forma sepan llevarlo a cabo sólo en las zonas que generen beneficios para la entidad en su conjunto.

El fin de cualquier área de Sistema de Información es el apoyo a los distintos procesos productivos de la empresa, produciendo un valor añadido y reduciendo el costo de los servicios que lo soportan.

Es imprescindible que realizar una profunda reflexión sobre la propia empresa para poder conseguir los beneficios que ofrece la implementación de un Sistema de Gestión de Seguridad de la Información en la organización.

En dicho escenario se pueden tratar:

• Establecer nuevos enfoques de gestión y diferentes normas.
• Partidas presupuestarias necesarias para llevar a cabo los cambios de la organización.
• Realizar procesos de referencia.

Puede resultar aparatoso pero para las empresas que tengan valentía y paciencia seguirán ahondando y trabajando en la gestión estratégica de la seguridad, gracias a los Sistemas de Gestión de Seguridad de la Información ya que les abre nuevas oportunidades de negocio y ofrece una visión clara sobre en qué y por qué se invierten recursos económicos dedicados a la seguridad en la empresa.

En resumen, el objetivo de la implantación de un Sistema de Gestión de Seguridad de la Información ayuda al encargado del departamento de Sistemas de Información de la organización y facilita el paso a la Gestión Estratégica de la Seguridad. El Director Gerente de la empresa también se verá influenciado ya que debe reflejar su compromiso y responsabilidad en relación a la seguridad de la información de su entidad.