Porque implantar un sistema de gestión de seguridad de información

La información hoy en día, es uno de los más importantes activos no solo para las empresas y organizaciones, sino para cada individuo. Por este motivo la misma requiere ser asegurada y protegida en forma apropiada. La seguridad de la información es el conjunto de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad.

Con frecuencia el concepto de Seguridad de la Información es usado para hacer referencia o de forma alterna a la Seguridad informática, Seguridad de Computación o Aseguramiento de la Información ya que estas áreas se correlacionan entre si y comparten las metas comunes de proteger la confidencialidad, integridad, disponibilidad y fiabilidad de la información; sin embargo, hay algunas diferencias sutiles entre estas áreas. Estas diferencias se acentúan principalmente en las metodologías usadas y las áreas de concentración. Siendo una de las principales características diferenciales de la Seguridad de la Información que esta busca proteger la información sin importar la forma en que la misma pueda tomar: Medio electrónico, formato impreso, u otras formas.

La implantación de un Sistema de Gestión de la Seguridad de Información (SGSI) es algo que toda organización debe plantearse para la buena marcha de su negocio. Así como ha ocurrido con los conceptos de Aseguramiento de la Calidad (normas ISO 9000) y de Gestión del Medio Ambiente (normas ISO 14000), las cuales se han convertido en estándares de facto para todos los segmentos del mercado, el concepto de SGSI llegará a ser una necesidad en casi todas las empresas.

Es por ello que ETEK desea llamar la atención de las organizaciones actuales, en las cuales la información está continuamente amenazada por diversos factores que pueden ser internos, externos, accidentales o maliciosos. Con el incremento del uso de la tecnología informática para almacenar, transmitir y procesar información, la cantidad y tipos de amenazas se ha incrementado de manera exponencial. Hoy más que nunca, existe una necesidad por establecer un Sistema de Gestión de la Seguridad de Información en las empresas, que asegure tres factores primordiales: Integridad, Confidencialidad y Disponibilidad.

“Si estos factores no están asegurados en la empresa, será muy difícil mantenerse con ventajas competitivas frente a sus rivales del mercado”, dijo Ricardo Céspedes, Chief Information Officer, ETEK. “La implantación de un sistema SGSI le permite a las organizaciones llevar sus riesgos al mínimo y al mismo tiempo, asegurarle a terceros –socios de negocios, empleados, clientes y proveedores- que se tiene un sistema de información confiable”

El Estándar para SGSI

La normativa ISO/IEC 27001 es un estándar que plantea los requerimientos para un Sistema de Gestión de Seguridad de Información en las empresas. La norma ayuda de forma sistemática a identificar, gestionar y minimizar el rango de amenazas a la cual la información está sujeta. Se trata de un enfoque paso a paso para gestionar información sensible para que esté segura. La implantación de un SGSI supone asegurar tres factores:

La Confidencialidad, para que sólo las personas autorizadas tengan acceso a la información.

La Integridad, garantizar que no se realicen modificaciones por personas no autorizadas y que los datos tengan la misma consistencia tanto interna como externamente.

La Disponibilidad, para asegurar el acceso de usuarios autorizados a la información y a los activos relacionados.

“La implantación de un SGSI debe tomarse como un área de negocios adicional dentro de la organización, lo cual conlleva a asignar recursos financieros y administrativos”, continuó Ricardo Céspedes. “Este aspecto marcará sin dudas la diferencia competitiva entre empresas que tengan un modelo SGSI y otras que no lo tengan. Tal implantación no solo proporcionará la seguridad que necesita la información en la empresa, sino que además le demostrará a los socios de negocios lo importantes que son para la compañía”.

SGSI: de la mano con la Norma ISO/IEC 27001

La norma ISO/IEC 27001 es un amplio plan para la implementación de la seguridad efectiva de la información mediante un SGSI. El código de normas de seguridad  brinda a los profesionales de tecnología de la información un anteproyecto para que desarrollen políticas y procesos de seguridad empresarial. Esta norma tiene la virtud de ser útil en la mayor parte de las situaciones y organizaciones y de establecer una referencia común para el sector de la seguridad de los sistemas de información que favorezca el intercambio de productos, sistemas y servicios entre proveedores, clientes, contratistas y otros socios de negocios.

La norma ISO/IEC 27001 expone que la valoración de los riesgos a los que están sometidos los activos en cualquier empresa se puede realizar en términos cuantitativos y/o  cualitativos, en relación con las posibles consecuencias derivadas de la pérdida de Confidencialidad, Integridad y Disponibilidad detalladas anteriormente.

El funcionamiento de la seguridad para proteger la información es un aspecto fundamental en las organizaciones actuales. Aunque el proceso de implantación de un Sistema de Gestión de Seguridad de Información puede resultar complejo, la norma ISO/IEC 27001 facilita y orienta adecuadamente a las empresas en la administración efectiva de sus sistemas de información.