26 Mar Seguridad informática. ISO 27001
La seguridad informática sigue siendo una de las asignaturas pendientes de muchas empresas. Cada dia la seguridad informática es violada por hackers y usuarios que acceden a información privilegiada, así como realizan operaciones no permitidas. El valor de su información y la seguridad de que es utilizada por quién usted considera y permite, es fundamental, en muchos casos, para la competitividad de su negocio.
En materia de seguridad informática, actualmente exite un referente a nivel mundial denomninado Auditoria de seguridad informática ISO 27001. En España, gracias a iniciativas como los planes AVANZA, se ha introducido como un estándar mas a cumplir por las empresas. La normativa ISO 27000 establece 4 clausulas y 133 puntos de control que preparan a una empresa u organización para poder certificarse en ISO 27001.
Aunque uno de los objetivos es que las empresas se auditen y se certifiquen, digamos consiguiendo una ‘medalla’ que reconoce mundialmente sus buenas prácticas, no solo ganan en cuestiones de seguridad sino también en imagen al exterior
Las empresas que deben de seguir el camino de asegurar su SGSI (sistema de gestión de la seguridad de la información) son organizaciones que valoran y dan peso especifico a las TI dentro de su estrategia, independientemente de su tamaño, abarcando sl’s de 8-9 trabajadores hasta multinacionales, pasando por organizaciones públicas.
La ISO 27001 va dirigido a organizaciones que:
- Ven las ventajas de aplicar las buenas prácticas de un estándar de seguridad de la información.
- Las TI son base para su estrategia. Por ejemplo, empresas que dan mucho valor a su TI o que incluso reducen personal en Pro de crear servicios a través de Internet.
- Pertenecen a un grupo y se marca como directriz certificarse en seguridad TI.
Las ventajas de una empresa en el cumplimiento de esta norma son muchas, entre ellas:
– Demostrar la conformidad y la eficacia de las elecciones organizativas y de las actividades operativas puestas en práctica para garantizar la:
- Confidencialidad
- Integridad
- Disponibilidad de la información incluida en el perímetro cubierto por el SGSI (Sistema de gestión de la seguridad de la información)
– Asegurar la continuidad del business:
- Minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).
- Maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
- Mejora continua de la eficacia organizativa y operativa.
- Construir o supervisar la seguridad perimetral.
- Concienciar al personal mediante documentos de seguridad.
En la consultoría de implantación de ISO 27001, mi objetivo, es ofrecer a las empresas el camino para implantar la norma, adecuándose al alcance que la empresa quiera certificar.
Preguntémonos las siguientes cuestiones:
- ¿Sabemos que nuestra organización está procediendo bien para asegurar nuestros sistemas ante intrusos, robos de información, ataques…?
- ¿Estamos aplicando buenas prácticas para proteger nuestras implantaciones LOPD?
- ¿Están nuestros empleados utilizando los SI de forma segura y dentro de la funcionalidad para que hayan sido entregados?
- ¿Los datos privados del negocio a los cuales nadie más que el CEO deberían tener acceso están suficientemente protegidos?
- ¿Estamos cumpliendo el marco legal a nivel de licencias, leyes de propiedad intelectual,…?
La ISO 27001 mide el riesgo de estas y otras muchas cuestiones, para poder aplicar medidas y procedimientos que aseguren un sistema SGSI óptimo y que de respuesta al alineamiento de las Ti con la estrategia empresarial.
Si tiene cualquier necesidad respecto de implantación, medición o auditoria en materia de seguridad informática, no dude en contactar conmigo.