La seguridad de la información consiste en un sistema dirigido a conservar y mantener en un nivel de seguridad adecuado, la confidencialidad, integridad y disponibilidad de los datos dentro de una empresa, incluyendo los sistemas afectados en el tratamiento de los datos, para así poder garantizar un nivel de seguridad, que proteja los datos, todo ello bajo el esquema de la norma ISO/IEC 27001.
El uso de un procedimiento organizado, documentado y conocido, es esencial para asegurar que la seguridad de la información es gestionada correctamente dentro de una empresa, teniendo en cuenta el riesgo empresarial y que es conocido como Sistema de Gestión de la Seguridad de la información (SGSI).
Los sistemas, procesos y programas, son activos dentro de la empresa que tratan información y por tanto mantener su confidencialidad, integridad y disponibilidad, particularmente cuando tratan datos sensibles, son esenciales para lograr los objetivos y beneficios económicos dentro de la empresa y mantener la rentabilidad e imagen empresarial necesarios.
El incremento de los ciberataques hace necesario mejores mecanismos de seguridad de la información
En la actualidad, nos encontramos que nuestras empresas u organizaciones cada día reciben innumerables ataques, ya sean virus informáticos, hacking o similares, con el fin de aprovechar las vulnerabilidades existentes en nuestra entidad y que pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo, sin embargo no debemos olvidar los riesgos de sufrir incidentes de seguridad dentro de la propia empresa o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
El cumplimiento de la ley y la adaptación a los cambios, la protección de los objetivos de la empresa para alcanzar el máximo beneficio y el aprovecharse de oportunidades de negocios, son aspectos básicos en los que un SGSI puede ser de gran utilidad en la gestión empresarial.
Respecto al modelo de gestión de la seguridad de la información, es un modelo que no solo se ciñe al responsable que tengamos en nuestra empresa encargado de la seguridad de la información, sino que atañe también a la gerencia o consejo directivo de la entidad, comprendiendo a su vez a clientes y proveedores y observando un procedimiento adecuado en la planificación e implantación de las medidas de seguridad, derivados de una evaluación de riesgos y la valoración de su eficacia, lo que gracias a la ISO/IEC 27001 permite a las entidades efectuar una evaluación de los posibles riesgos y la implantación de unas medidas para prevenirlos o eliminarlos.
Beneficios que reporta una implantación en la norma ISO/IEC 27001
Sin embargo, a pesar de todo lo dicho, algunos os estaréis preguntado ¿Qué reporta a mi negocio la implantación y posterior certificación a través de la norma ISO/IEC 27001 de un Sistema de Gestión de Seguridad de la Información? ¿Cuáles son los beneficios que voy a observar después de todo este proceso?
En primer término, reduciremos los riesgos y/o vulnerabilidades, gracias a la implantación de una serie de controles, disminuyendo las amenazas hasta llegar a un nivel al que nuestra empresa puede hacer frente, de manera que, ante un incidente de seguridad, nos aseguramos de la continuidad de nuestra empresa y a su vez reducimos los daños.
En segundo término y en relación con lo anterior, reduciremos los costes, ya que, gracias a la racionalización de los recursos, evitamos realizar inversiones innecesarias.
En tercer lugar, la seguridad deja de ser un conjunto de actividades sin ningún sentido, para convertirse en un sistema, que implica un ciclo de vida organizado y participado por toda la organización y además nos aseguramos el cumplimiento de la ley que nos protege.
Por último, pero no por ello menos importante, la certificación del Sistema de Gestión de Seguridad de la Información a través de la ISO/IEC 27001, nos permite mejorar nuestra competitividad en el mercado, diferenciando las empresas que lo han obtenido, haciéndolas más fiables e incrementando su prestigio, ya que gracias a la certificación mejoraremos la imagen y confianza de nuestra empresa entre clientes, proveedores y socios que, poco a poco, nos exigen la certificación para abrir y compartir sus sistemas de información con cualquier empresa.
Es, por tanto, un aval de confianza, que permite que las empresas cumplan con la legislación vigente en materia de información personal y protección de datos, mejoren su imagen corporativa, la protección y continuidad del negocio y, a su vez, eviten graves daños económicos, de seguridad, legales y de credibilidad para la organización, aunque si bien, todo ello ha de complementarse con las buenas prácticas o controles establecidos en la norma ISO 27002.
