Con la llegada y desarrollo de la tecnología, hay un aumento considerable en los riesgos de seguridad de la información para las organizaciones. Uno de los más vulnerables son los datos personales, que se han convertido en un blanco fácil para cometer ciberdelitos.
Ante este panorama, la Organización Internacional de Normalización (ISO) creó la norma ISO 27001, cuya política es la seguridad de la información del cliente.
Principal objetivo
Esta certificación surge para proteger los datos personales como: dirección, contraseñas bancarias, números de tarjetas de crédito, teléfono, número de seguridad social, entre mucha otra información que, en las manos equivocadas, puede poner en riesgo la seguridad del cliente y por lo tanto, de la organización.
Los problemas cibernéticos traen como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes, así como graves problemas a nivel financiero. Esta norma es el primer paso para lograr que las organizaciones inviertan de manera adecuada y oportuna en la ciberseguridad.
La ISO 27001, al igual que otros estándares de sistemas de gestión ISO, es recomendable, pero no obligatoria. Esta certificación la puede implementar cualquier tipo de organización, con o sin fines de lucro.
Cómo puedes obtener esta certificación
Es importante resaltar que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de los mismos.
Los controles de seguridad que requiere la norma se implementan a través de softwares y equipos. También establece la definición de políticas y procedimientos.
Vale la pena comentar que la ISO no realiza la certificación, se apoya de organismos externos para este propósito.
¿Cómo pueden las organizaciones prepararse para cumplir con la norma 27001?
El trabajo de certificación es un proceso continuo y el equipo debe estar conformado por personal que conozca e implemente el Sistema de Gestión de Seguridad de la Información (SGSI). También deberá demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el estatus en relación con el alcance definido.
Es necesario auxiliarse de herramientas como un análisis de riesgos o una evaluación de brechas contra la norma 27001 para identificar y mitigar las amenazas a las que se encuentra expuesto. Ello le ayudará a prepararse para la siguiente etapa.
Una vez implementados los controles, conservar la documentación necesaria para soportar el SGSI. Estos documentos serían todos aquellos procesos, procedimientos, guías y evidencias que más tarde serán revisadas por el auditor.
Después de que se implemente el SGSI con todos los controles de seguridad aplicables, la institución o empresa está lista para la certificación a través de un organismo externo.
Contar con las certificaciones de ciberseguridad, ayudará a minimizar los riesgos que podrían llevar a una ciberpandemia. También impulsa el aumento de confianza de las organizaciones, incremento de reputación, reducción de costos y facilitación de la continuidad del negocio.
