Qué Sí y Qué No Hace ISO 27001 en tu Empresa
Integrar la Seguridad de la Información a tus procesos sin duda abre una nueva dimensión de calidad en tus servicios, además de ser una acción importante de prevención para tu organización, pero ISO 27001 no es un “remedio para todo mal”.
Existe una serie de malentendidos sobre para qué sirve la norma ISO 27001. Veamos los más comunes y también veamos para qué realmente sí sirve.
Lo primero que debemos tener claro es que la norma ISO 27001 no es una norma de ciber seguridad o de seguridad informática. Es una norma sobre seguridad de la información ya sea física o digital.
Para qué no sirve ISO 27001
La primera idea equivocada sobre la utilidad de ISO 27001 es la que acabamos de mencionar.
ISO 27001 no es para implementar un sistema de ciber seguridad exclusivamente. La norma va más allá de este objetivo. Es para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Esto significa que, si una empresa tiene información en papel que por razones legales, administrativas o de cualquier otro tipo deba conservar, entonces el SGSI debe incluir este tipo de información en los criterios de seguridad en su manejo de acuerdo con los requisitos que marca la norma.
La segunda idea equivocada es que la norma sirve para eficientar los procesos de una empresa. Es una idea que comúnmente se escucha, creyendo erróneamente que además de tener un proceso de manejo de la información seguro, será más eficiente en sus procesos de recursos humanos, comerciales, administrativos y demás. Si quiere mejorar en estos aspectos, la empresa debe implementar las normas especiales para estas áreas. Para dejarlo claro, lo procesos que sí eficienta son los relacionados al manejo de la información.
La tercera idea equivocada más frecuente es que una vez certificada la empresa, esta se vuelve totalmente segura. Es otro error.
Para que esto sea una realidad, la empresa debe implementar tres actividades permanentes después de la certificación:
- Auditorías internas de cumplimiento de procesos de seguridad de la información
- Evaluaciones continuas de vulnerabilidades y
- Capacitación permanente al personal de la empresa sobre la importancia de cumplir con las políticas de seguridad.
Pero pensar que, por el simple hecho de que la auditoría oficial fue aprobada, la seguridad en la información es permanente, es un error. Y es el error que potencialmente puede ser de peores consecuencias: cuando una empresa piensa que es segura y no verifica constantemente que esto es cierto.
Para qué sí sirve ISO 27001
Exploremos el tipo de acciones para las que sí es útil la norma ISO 27001:
- Para diseñar un Sistema de Gestión de la Seguridad de la Información adecuado a las características y necesidades de la empresa.
- Para no perder información.
- Para evaluar permanentemente que el personal cumple con las políticas de seguridad de la información.
- Para identificar vulnerabilidades.
- Para asegurar al cliente que la información que ha compartido con la empresa no está vulnerable.
- Para establecer un plan de acción, proactivo, en caso de un ataque exitoso.
En este último punto es importante aclarar que cuando esto sucede se debe principalmente a tres causas y que, si se cumple con los puntos 1, 3 y 4 anteriores, se puede evitar o disminuir tanto que pueden pasar años para que un ataque sea efectivo:
- descuido del personal,
- vulnerabilidad no identificada o
- intención de daño de algún colaborador.
Por lo tanto, implementar la ISO 27001 es un tema sencillo, lo complicado es que requiere una firme disciplina en el cumplimiento de las políticas y procesos de seguridad de la información por parte del personal y esto es lo más difícil porque, en muchos casos, lo ven inclusive como algo absurdo… Hasta que sucede algo.
Por lo demás certificarse en esta norma es un tema abordable para cualquier empresa sin distinción de actividad, tipo o tamaño, y que además de brindarle prevención de seguridad a la información, también le abrirá las puertas a negocios con clientes que exigen una certificación en esta norma como un requisito para alianzas y proveeduría.
Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.