¿Cómo funciona la seguridad de la información en ISO 27001?

ISO 27001 es un estándar de gestión de riesgos de seguridad de la información universalmente compatible, diseñado para guiar la selección de controles adecuados y pensados para proteger la información en las organizaciones.

Este estándar se comporta como un paraguas sobre otros requisitos legales, aborda controles técnicos, físicos y regulatorios en los procesos de gestión de riesgos de seguridad de la información.

Pero, ¿cómo funciona la seguridad de la información en ISO 27001? Con nuestro artículo de hoy, nos aproximamos a una respuesta a este interesante tema.

¿Cómo no funciona la seguridad de la información en ISO 27001?

Un especialista en seguridad de la información que aterrice por primera vez en los dominios de ISO 27001, probablemente espere encontrar instrucciones específicas, recomendaciones concretas. Por ejemplo, es posible que busque obtener información sobre la frecuencia con la que debe realizar copias de seguridad, la forma correcta de diseñar e implementar claves de acceso o consejos para recuperar información en caso de un ataque cibernético o un desastre natural.

Pues, esta no es la lógica bajo la cual funciona ISO 27001. Imaginemos que ISO 27001, en aras de proteger la seguridad de la información de las organizaciones, indicara que se deben realizar back-ups de la información al finalizar cada día de operación.

¿Esto es suficiente o es demasiado? Para una industria que procesa pedidos para ser suministrados a dos o tres clientes cada mes, y que pasa días o hasta semanas sin realizar movimientos, parece demasiado. En cambio, para una organización del sector financiero, que realiza un poco más de 500 transacciones por hora, en cada una de sus sucursales, que fácilmente pueden ser 50, es muy poco.

Para la primera organización, una copia de seguridad semanal es más que suficiente, en tanto que la segunda tal vez requiera por lo menos, una copia cada hora. Cada empresa tiene sus circunstancias particulares, y por ello ISO 27001 no puede ser un estándar que prescriba, recomiende o requiera acciones específicas.

El especialista en seguridad de la información de nuestra historia, se pregunta: entonces, ¿para qué me sirve una norma que no me aporta nada concreto para mi organización?

Por supuesto, es una pregunta razonable. De hecho, ISO 27001 podría haberse diseñado y propuesto de forma diferente: para el ejemplo anterior, podría haber incorporado una tabla basada en tamaño, tipo de industria, complejidad, número de empleados; y con base a esta información haber prescrito periodos de realización de back-ups. De ser así, tendría que haber adoptado la misma metodología en cuanto a cien aspectos diferentes que involucran la seguridad de la información.

El resultado hubiese sido un enorme texto de más de 5.000 páginas, difícil de consultar y muy poco amigable con el usuario y que tampoco terminaría de ajustarse a las condiciones particulares y cambiantes de las empresas. Su destino probable  habría sido el archivo en un lugar en donde supusiera el menor estorbo posible.

Por ello, se ha optado por algo diferente, que exige mayor implicación que aplicar unas medidas prescritas, pero que sin duda se acerca más a las necesidades en seguridad de la información de cada empresa.

#ISO27001 es un estándar de gestión de riesgos de #SeguridadInformación reconocido a nivel global. ¿Cómo funciona? Apréndalo aquí. Clic para tuitear

¿Cómo sí funciona la seguridad de la información en ISO 27001

ISO 27001 funciona con un enfoque de arriba hacia abajo, tecnológico neutral y basado en el riesgo. La norma ayuda a comprender la organización y su contexto en relación al uso de la información. Define para ello procesos de planificación, que incluyen la definición de una política de seguridad, la determinación del alcance del sistema de gestión, la realización de una evaluación de riesgos, la gestión de los riesgos evaluados, la selección de los objetivos de control que se implementarán y la preparación de una declaración de aplicabilidad.

ISO 27001 ayuda a establecer formas de coordinación y comunicación entre todas las secciones de una organización, a generar una cultura de seguridad  y a mejorar la responsabilidad de la gestión; impulsa la evaluación y la mejora por medio de auditorías internas, acciones correctivas y preventivas.

En definitiva, ISO 27001 funciona creando un marco para que, como especialista en seguridad de la información o como miembro de la alta dirección de la organización, pueda decidir de manera fundamentada y con garantías cuáles son esas medidas específicas para la protección adecuada de la organización en su singularidad.

La seguridad de la información en ISO 27001 y la gestión de riesgos

A pesar de todo lo señalado, la norma no impide adoptar buenas prácticas que se consideren eficaces en otras organizaciones. Pero sí exige que las medidas aprobadas se escojan tras realizar una evaluación de riesgos. Es fácil: se identifican los riesgos, se evalúan, y se decide qué acciones son las más adecuadas para eliminarlos, mitigarlos, compartirlos o tolerarlos. Esta es la lógica de ISO 27001, donde la gestión de riesgos es fundamental.

Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013

Sabemos que la información es un activo en extremo valioso para cualquier organización. Por supuesto, la seguridad de la información es un tema que debe ser tratado con relevancia y necesita de profesionales que entiendan la norma y sepan adecuarse a las circunstancias particulares de cada organización.

El Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013 enseña a sus alumnos a comprender cada apartado de la norma y a obtener las herramientas necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información basado en ISO 27001.

Asegure una plaza aquí y prepárese para implementar un sistema de seguridad de la información en base a las necesidades de su organización.