Proteja su información y la de sus clientes.

Para bien o para mal, la ley lo dice claro: «Los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra en tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas» (Reglamento UE 2016/679 de 27 de abril de 2016).

Todo el mundo sabe cuales pueden ser las medidas técnicas que se deben utilizar, pero ¿sabemos cuáles son las organizativas? El estandar de Seguridad de la Información 27001 resuelve este tema ya que permite coordinar todas las acciones, legales, informáticas, y de concienciación de manera que se justen entre sí y puedan mejorarse si cambian las amenazas del entorno.

 

 

Acciones básicas en Seguridad de la Información

La Seguridad de la información es ir un poco más allá de instalar antivirus, cumplir la LOPD y decirle al personal que tenga cuidado.

Consiste en considerar la información un activo económico, valorable y gestionable, para no quedarse solo en ser reactivo y esperar a que pase algo. Las tres patas de la seguridad de la información son: la seguridad de los sistemas de información (normalmente informáticos), la seguridad de los accesos físicos, y la seguridad ligada a las personas (a fin de cuentas, las personas manejan los sistemas).

Seguridad desde el diseño

Una de las grandes novedades emanadas del Reglamento UE 216/679 es el enfoque a que todas las acciones que estén relacionadas con la información personal se conciban antes de su implantación sopesando las aciones que van a premitir protegerla. Este planteamiento supone un empuje a la toma de conciencia organizacional de que la información es un activo a proteger.

Cumplimiento de los requisitos legales

Cumplir con la legalidad en cuanto a seguridad de la información supone reducir el riesgo en un doble sentido: en el de la protección de la información personal y las patentes y licencias; y en el de proteger a la propia empresa del riesgo económico por posibles denuncias o detección de incumplimientos detectados en posibles auditorías de oficio por parte de las adminsitraciones del estado.

Evaluación de riesgos

Es un punto clave clave de la seguridad de la información ya que de él depende la anticipación y la respuesta a varios niveles permitiendo a la empresa acciones estratégicas capaces de prevenir los reducir la posibilidad de incidentes. La dificultad proviene de que en muchas de sus valoraciones hay que realizar estimaciones cuidadosas. En ISO 27001 es uno de documentos obligatorios y de los que se revisan con mayor cuidado en las auditorías.

Plan de acción ante desastres

El desastre es improbable, pero el incidente muy plausible. En ocasiones no es tan grave la posibilidad de un desastre como la acumulación de decenas de errores pequeños que terminan comprometiendo la seguridad del sistema. En cualquiera de los casos, hay que tener previstas aciones capaces de salvaguardar la información de clientes y trabajadores, así como mantener la empresa en funcionamiento, incluso si el caso supone un auténtico reto.

Seguridad de los sistemas informáticos

Los grandes volúmenes de datos y el tratamiento de los mismos se efectúa mediante sistemas informáticos y dispositivos tecnológicos. El control de estos sistemas, del flujo de información, los registros de logs, y las formas en las que la información entra y sale de la organización requiren amplios conocimientos técnicos y nadie duda de su relevancia actual y futura.

Seguridad de los sistemas físicos

Contempla aspectos como el control de los accesos físicos mediante puertas y cerraduras, los racs de comunicaciones, pero también vallas perimetrales, y puertas de emergencia, así como los asuntos relacionados con la ubicación de las instalaciones y su seguridad y mantenimiento. A simple vista suele ser un área bien trabajada, pero no exenta de complejidad ya que es fácil descuidar algún elemento.

Concienciación y seguridad ligada a las personas

Seamos serios. La mayor parte de los incidentes de seguridad de la información proviene del error humano. Ya sea por la concepción del mismo sistema o por el uso descuidado del usuario, lo más frecuente es que sea la persona que está detrás de la máquina la que desencadena el incidente. Este reto, con frecuencia descuidado, depende de planificar acciones concretas de formación y concienciación.

Control de activos

Asumir que la información es un activo puede no ser tarea fácil, pero si pensamos que tanto documentos, discos duros, BBDD, personas, o incluso bases de datos en cloud pueden describirse y tasarse como herramientas o piezas de un sistema productivo, entonces puede que la organización se valore a sí misma de otra forma. La acción maestra de todo sistema de seguridad pasa por inventariar, controlar, y valorar los activos de información.

¿A quién interesa un sistema de gestión de la Seguridad de la Información?

Un sistema de seguridad de la información como es ISO 27001:2014 interesa a cualquier empresa u organización que trabaje con datos que por su volumen, importancia, o sensibilidad supongan deba ser especialmente protegidos de intrusiones, filtraciones, falta de disponibilidad, falta de fiabilidad, robo…

UNA EMPRESA NECESITA UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SI:

 

(Existen muchas razones para implementar un sistema de gestión de seguridad de la información, pero aquí vemos algunas de las más frecuentes. Además ISO 27001 encaja perfectamente con otras ISOs, como 9001, lo que la hace muy práctica).

la empresa trabaja con datos médicos o de salud.

Empresas como son clínicas, hospitales (públicos o privados), consultas médicas, clinicas de fisioterapia, empresas aseguradoras de salud, laboratorios clínicos, y similares.

la su empresa trabaja con volúmenes de datos muy grandes.

Como hacen consultoras informáticas que mantengan o gestionen BBDD de clientes, o provean de servicios de hosting, almacenamiento físico…

la empresa gestiona campañas publicitarias.

Los lanzamientos de producto se cuidan al detalle, sobre todo las grandes marcas, y no es fácil comprobar que una fecha y un emplazamiento no son lo mismo que otros. Asegurar que no hay filtraciones es garantizar que una campaña funciona.

la organización trabaja con datos de especial sensibililidad.

Sindicatos, ONGs, fundaciones de ayuda, agencias de seguridad o de detectives, bufetes de abogados…

la empresa está ligadas a secretos industriales.

Puede que se trate de pocos datos, a veces sólo son algunos planos o especificaciones, pero pueden tener mucho valor para la empresa o implicar el mayor activo de una sóla compañía, como puede ser la fórmula de una famosa bebida carbonatada a base de cola.

las empresas clientes se lo requieren

La norma ISO 27001 supone una garantía de buena gestión que puede ser muy apreciada por sus clientes, sobre todo si ya la cumplen, por lo que puede ser una opción muy valorable de cara a imagen de marca.

¿Cómo lo hacemos?

Un sistema de gestión suele seguir pasos conocidos.

Lo primero es saber a qué complejidad nos enfrentamos, y para ello deberemos conocer la complejidad de la empresa: número de sedes, número de empleados, grado de complejidad de sus sistemas, proveedores, activos… Sobre esto, se podrán estimar las horas de trabajo necesarias y los plazos previstos para ir resolviendo los aspectos del trabajo imprescindibles.

Por supuesto, el presupuesto.

Una vez evaluado lo principal de la empresa, elaboraremos un presupuesto…

En el que se incluirán los pasos, y las fechas lo más aproximadas posibles para tener listo el proyecto. Este no es un trabajo sólo del consultor sentándose a hacer documentos: debe contar con la Información Documentada que sostendrá el sistema, y con la ejecución de las correcciones que se detecten. Por eso, aunque habrá un cronograma con fechas límite, otras contarán con paroximaciones. De todo ello, y de la complejidad de la organización, dependerá el presupuesto.

Finalmente, el objetivo.

Quizá su objetivo sea mejorar la empresa, pero quizá lo sea obtener el certificado.

Si es así, perfecto. Contactaremos con entidades certificadoras en busca de presupuestos razonables, y procuraremos organizar las fechas de auditoría.

Antes de trabajar con usted:

Miembros de nuestro equipo participaron con diferentes niveles de responsabilidad en la auditoría, implantación o mantenimiento de  Sistemas de Gestión de Seguridad de la Información bajo el estandar ISO 27001:2014 en empresas de diferentes tamaños y sectores, como fueron Oracle Spain, GroupM y Parcesa Parques de la Paz. Por ello sabemos de lo que hablamos.

Marcos Nocete, IS Consultant

Contacto:

¿Como te podemos ayudar?

¿Tienes alguna pregunta o deseas dejar algún comentario?


Av. Honorio Lozano, 14 - Oficina 10

28400 Madrid

+0034 91 482 94 71