ISO 27001 suele ser tomado por una norma de ciberseguridad, pero su objetivo cubre más que la información digital de las empresas. Aclaremos este y otros mitos.
Integrar la Seguridad de la Información a tus procesos sin duda abre una nueva dimensión de calidad en tus servicios, además de ser una acción importante de prevención para tu organización, pero ISO 27001 no es un “remedio para todo mal”.
Existe una serie de malentendidos sobre para qué sirve la norma ISO 27001. Veamos los más comunes y también veamos para qué realmente sí sirve.
Lo primero que debemos tener claro es que la norma ISO 27001 no es una norma de ciber seguridad o de seguridad informática. Es una norma sobre seguridad de la información ya sea física o digital.
La primera idea equivocada sobre la utilidad de ISO 27001 es la que acabamos de mencionar.
ISO 27001 no es para implementar un sistema de ciber seguridad exclusivamente. La norma va más allá de este objetivo. Es para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Esto significa que, si una empresa tiene información en papel que por razones legales, administrativas o de cualquier otro tipo deba conservar, entonces el SGSI debe incluir este tipo de información en los criterios de seguridad en su manejo de acuerdo con los requisitos que marca la norma.
La segunda idea equivocada es que la norma sirve para eficientar los procesos de una empresa. Es una idea que comúnmente se escucha, creyendo erróneamente que además de tener un proceso de manejo de la información seguro, será más eficiente en sus procesos de recursos humanos, comerciales, administrativos y demás. Si quiere mejorar en estos aspectos, la empresa debe implementar las normas especiales para estas áreas. Para dejarlo claro, lo procesos que sí eficienta son los relacionados al manejo de la información.
La tercera idea equivocada más frecuente es que una vez certificada la empresa, esta se vuelve totalmente segura. Es otro error.
Para que esto sea una realidad, la empresa debe implementar tres actividades permanentes después de la certificación:
Pero pensar que, por el simple hecho de que la auditoría oficial fue aprobada, la seguridad en la información es permanente, es un error. Y es el error que potencialmente puede ser de peores consecuencias: cuando una empresa piensa que es segura y no verifica constantemente que esto es cierto.
Exploremos el tipo de acciones para las que sí es útil la norma ISO 27001:
En este último punto es importante aclarar que cuando esto sucede se debe principalmente a tres causas y que, si se cumple con los puntos 1, 3 y 4 anteriores, se puede evitar o disminuir tanto que pueden pasar años para que un ataque sea efectivo:
Por lo tanto, implementar la ISO 27001 es un tema sencillo, lo complicado es que requiere una firme disciplina en el cumplimiento de las políticas y procesos de seguridad de la información por parte del personal y esto es lo más difícil porque, en muchos casos, lo ven inclusive como algo absurdo… Hasta que sucede algo.
Por lo demás certificarse en esta norma es un tema abordable para cualquier empresa sin distinción de actividad, tipo o tamaño, y que además de brindarle prevención de seguridad a la información, también le abrirá las puertas a negocios con clientes que exigen una certificación en esta norma como un requisito para alianzas y proveeduría.
Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.
No te confíes al no detectar incidentes. Para la seguridad de la información, algo de tecnología y empleados confiables son insuficientes. ¿Por qué?
Conoce qué es ISO 27001: el estándar de seguridad de la información más importante, estructura, beneficios y las fases para su implementación exitosa.
Ante el aumento de ciberataques a empresas de todo tipo y tamaño, contar con un SGSI certificado es obligación de todo negocio. Conoce más aquí.