Seguridad de la información – Gestión según ISO 27001

Por Luis Salomón - Exclusivo para Comercio y Justicia

Estamos tan acostumbrados a llegar a nuestro trabajo, conectarnos y tener a mano toda nuestra información con sólo un clic, que muchas veces ignoramos el peligro a los que estamos expuestos y seguimos nuestro camino.

Pero un día y como salido de una película de terror, abrimos y no nos podemos conectar. Pareciera que ya no podemos trabajar, buscamos en nuestro computadora y no encontramos nada, vamos al sistema y el listado de nuestros clientes no aparece, y como si fuera poco, nuestra lista de precios y descuentos a clientes aparece en nuestros competidores.

El listado de peligros y ataques que reciben las empresas lo podríamos extender y no terminar más; pero la pregunta fundamental es qué están haciendo las empresas para evitar esa película de terror. Además, sabiendo que nos regula la “ley 25326 de protección de datos personales”, en la cual están previstas sanciones que muchas veces no se aplican pero, como siempre, en algún momento y generalmente cuando estamos en falta, comienzan a aplicarse sin la protección legal y admitiendo que no podemos utilizar en nuestra defensa “no lo conocía”.

Para ayudar en este sentido ISO definió una norma de Gestión ISO 27001 para la seguridad de la información, muy amigable, con un esquema de gestión simple muy similar al esquema de la conocida ISO 9001 y, sobre todo; aporta un conjunto de controles y buenas prácticas para ayudar a las empresas a gestionar y disminuir el riesgo a lo que están expuestos los activos de información.

Se considera activo de información a toda información (de nuestros clientes, proveedores, personal, operaciones, instalaciones, productos, know how) que es sensible para la empresa o para nuestros clientes y que son necesarios para la continuidad de negocio.

Los parámetros básicos para la seguridad de la información son:
• Confidencialidad: es decir que a esa información sólo puede acceder las personas autorizadas para ello.

• Integridad: la información debe estar completa y correcta en todo momento.

• Accesibilidad: es decir, acceder a la información en el momento que se la necesita.

La norma ISO 27001 pide que definamos una gestión de riesgos sobre los activos de información que posee la empresa, de manera asumir los peligros asociados, trabajar en la posibilidad de eliminarlos o mitigarlos y, en el caso de no poder tomar acciones, tener previsto la transferencia a terceros.

Para una buena gestión de nuestra información y para implementar controles eficientes que nos ayuden a eliminar o mitigar nuestros riesgos, es necesario un buen socio tecnológico que nos gestione nuestras conexiones, redes, accesos, entre otros.

Además, es necesario entender claramente que nuestra información es tan valiosa que no la podemos dejar en manos de cualquier persona.

En el Cluster Córdoba Technology (CCT) existen empresas que ofrecen gestiones profesionales para este tipo de servicios, con los medios, conocimientos y recursos humanos especializados para ayudar en la implementación de los controles que exige este sistema de Gestión de la Seguridad de la Información.

Entre los beneficios podemos mencionar el cumplimiento legal y reglamentario, la optimización de recursos, la reducción de costos, la mejora de competitividad, mejora de la imagen corporativa, reducción de riesgos, mejora de calificación crediticia y, por sobre todo, la protección del negocio.

Hoy tenemos las ventajas en las renovaciones de tecnologías, de contar con asesores especializados y con auditores nacionales, por lo que los costos de una certificación de ISO 27001 se ha reducido considerablemente con respecto al pasado, lo que permite a empresas pymes iniciar un proceso de certificación fácilmente.

Por último una pregunta: en su empresa ¿las claves se comparten? ¿Sabe quiénes acceden a su información? ¿Está seguro?

La semana pasada el CCT y ASG Group, junto con otras empresas, desarrollaron una  jornada de capacitación sobre ISO 27001, datos personales y medidas técnicas y  organizativas para el resguardo de la información. Asistieron 50 personas.

La semana pasada el CCT y ASG Group, junto con otras empresas, desarrollaron una
jornada de capacitación sobre ISO 27001, datos personales y medidas técnicas y
organizativas para el resguardo de la información. Asistieron 50 personas.

*  Director ASG Consultora, www.asg-consultora.com.ar

Artículos destacados