ISO 27001 es una norma emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Hoy en día se ha convertido en la principal norma a nivel mundial para la seguridad de la información.
Sin estructuras sólidas de control y gobierno junto con una cultura de transparencia y accesibilidad de la información, es complejo mantener la competitividad, lograr la escalabilidad necesaria para hacer frente a modelos de negocio en un entorno de cambio continuo, y alcanzar un crecimiento de la estructura organizativa equilibrado y eficaz. Establecer un Sistema de Gestión que integre todos los sistemas y procesos de una organización en una estructura completa, permite a las empresas o despachos trabajar con objetivos unificados, y es una base sólida para la implantación de buenas prácticas de gobierno corporativo.
La importancia de un adecuado tratamiento de la información, de los procesos y la tecnología, requiere de un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma ISO 27001 nos ofrece las bases sobre las que desarrollar una herramienta de control y gestión para atenuar los posibles riesgos que puedan surgir contra la seguridad de la información en la empresa, por ello esta norma está basada en un enfoque de mejora continua.
Actualmente, existen muchos riesgos relacionados con la tecnología, que ponen en peligro la información y el desarrollo de los negocios, y que lamentablemente aumentan cada día. Estos riesgos provienen tanto del exterior como del interior de nuestras empresas. Para gestionar esos riesgos, desde las empresas se puede asegurar los datos e información de valor a través de un SGSI.
La implementación de un SGSI y certificación en la ISO 27001 supone un esfuerzo muy significativo para toda organización, pero reporta beneficios desde el momento en que se implementa la norma. Permite conocer el detalle de la situación respecto a la seguridad de la información, y tener definido de manera formal una política respecto a los riesgos relacionados con la seguridad de la información y así mejorar en este aspecto según lo considere adecuado la dirección, convirtiéndose en parte de la gestión de la empresa.
La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el que toda la organización participa en la identificación y reducción de riesgos. Finalmente, también permite tener una visión integrada de los procesos de la empresa y, así, facilitar la optimización de recursos para ejecutar esos procesos de la forma más eficaz y segura.
El desarrollo y mejora del Sistema Integrado de Gestión no termina con la certificación. Esta genera tareas de seguimiento y mejora, y un SGSI requiere una planificación e involucración a todos los niveles de la organización para ejecutar las tareas previstas y desarrollar el sistema. Además, cada año se realizarán auditorías internas y externas con el certificador para asegurar el progreso del sistema y la realización de todas las acciones necesarias para renovar la certificación.
En conclusión, implementar la norma ISO 27001 va a ayudar a las firmas y empresas a gestionar la seguridad de un activo muy importante: la información. La adecuada gestión de la información nos ayuda a mejorar la toma de decisiones, así como los procesos, productos y servicios de la organización, y hoy cobra una mayor importancia con el uso extensivo de la tecnología. Es un requisito que el SGSI forme parte y esté integrado con los procesos de la organización y con la estructura de gestión global de la empresa, siendo parte crucial de la gestión del riesgo en una empresa.
Desde ESKARIAM decidimos integrar en nuestra forma de trabajar un Sistema de Gestión de la Seguridad de la Información, basado en la norma UNE-ISO/IEC 27001, como herramienta de control y gestión para atenuar los posibles riesgos que puedan surgir contra la seguridad de la información en la empresa.
