Cómo poner en marcha un plan de seguridad de la información en las empresas

La información es uno de los más preciados activos de cualquier empresa, por lo que debe ser protegida ante cualquier amenaza interna o externa. Para ello es necesario desarrollar un Sistema de Gestión de la Infomación (SGSI) basado en un estándar reconocido internacionalmente como la norma ISO 27001 donde, en base a una evaluación inicial de los riesgos, se establezcan los planes adecuados para eliminarlos, o bien mitigarlos o trasladarlos.

Aunque la información automatizada (informatizada) constituye solamente una parte de la información manejada por una empresa, pues existen otra serie de soportes como los documentos en papel o los soportes analógicos, es evidente que, a fecha de hoy, la mayor parte de datos gestionados por una empresa se sustentan en la nuevas herramientas de las Tecnologías de la Información y la Comunicación (TICs).

Principales beneficios de un SGSI

• Garantizar el cumplimiento de la legalidad vigente.
• Proteger adecuadamente los objetivos de negocio, asegurando el máximo beneficio y el aprovechamiento de nuevas oportunidades.
• Establecer una metodología de gestión de la seguridad clara y estructurada.
• Mejorar la confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Identificar las debilidades del sistema y las áreas a mejorar a través de las auditorías internas.
• Posibilidad de integración con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Garantizar la continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Mejora la imagen de la empresa a nivel internacional.
• Conseguir ventaja competitiva.
• Reducción de costos y mejora de los procesos y servicios.
• Aumentar la motivación y satisfacción del personal.

Las distintas fases de un plan de seguridad de la información

Análisis del riesgo de los activos de la información

Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos.

Implantación de controles y acciones concretas de prevención y tratamiento de los riesgos

En base al análisis anterior, es necesario implantar una serie de acciones de control y prevención de todos los riesgos posibles, con el fin de, siempre que sea posible, eliminarlo completamente, o bien mitigarlo hasta niveles aceptables o trasladarlo. Está última opción está relacionada con la contratación de algún tipo de seguro que reduzca las consecuencias económicas de una pérdida o deterioro de la información.

Los controles

El objetivo de estos controles es que cada riesgo previamente identificado previamente quede cubierto y pueda ser auditable,

De cualquier modo, cada empresa, según su parecer, puede añadir más puntos de control si lo considera conveniente.

Establecimiento del liderazgo y la asignación de responsabilidades y competencias

Como toda la familia de normas ISO, la ISO 27001 otorga mucha importancia a la definición de roles y asignación de responsabilidades y competencias a los distintos profesionales de la empresa. Es decir, es necesario definir la estructura organizacional del SGSI. En este cuestión, se establece la figura de Responsable de Riesgo, que no tiene por qué ser la persona que finalmente ejecuta los controles.

El proceso de documentación

La norma ISO 27001 pone también mucho énfasis en la elaboración y control de la documentación, estableciendo de manera muy estricta cómo se debe gestionar la misma y exigiendo que la organización cuente con unos procedimientos en esta cuestión muy concretos y detallados.

Auditorías internas y externas

Finalmente, es necesario poner en marcha un programa de auditorías internas con el objeto de comprobar si las medidas están eficazmente implementadas y mantenidas, y si se están consiguiendo los objetivos planteados.

Al tratarse de una norma certificable, también se realizan auditorías externas por parte de una empresa autorizada, las cuales deben ser revisadas periódicamente, con el fin de conseguir y mantener dicha certificación.

También se realizan revisiones periódicas del SGSI por parte de la Alta Dirección con el propósito de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y si se está produciendo un Retorno de la Inversión (ROI).

Con ISOTools es posible automatizar un SGSI basado en la norma ISO 27001

A través de un software de automatización es posible llevar poder llevar a cabo una gestión muy eficaz y exhaustiva de los riesgos relacionados con las seguridad de la información e integrarlos con otro tipo de amenazas: financieras, industriales, legales. operativas, etc. La ISO 27001 es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.