Descubre qué es un SGSI y cuáles son sus elementos esenciales

Norma ISO 27001: Sistema de Seguridad de la Información

La norma ISO 27001 fue diseñada para evaluar los riesgos a los que están expuestos los datos y la información que forma parte de la identidad de las organizaciones. Tras su adopción, la información corporativa gana en integridad, seguridad, confidencialidad y ayuda a que las empresas sean más competitivas.

¿Sabes lo que es un SGSI y cuál es su función principal?

El Sistema de Seguridad de la Información (SGSI) es el elemento más importante de la norma ISO 27001, que unifica los criterios para la evaluación de los riesgos asociados al manejo de la información corporativa en las empresas.

Suele creerse que la gestión de la información es un elemento que sólo compete a las compañías que trabajan directamente con datos, como por ejemplo las empresas de telefonía móvil, las firmas aseguradoras o todas aquellas a las que los consumidores les confían el uso de información personal.

Sin embargo, no es del todo cierto. Por información corporativa entendemos todos los datos que aportan valor a las empresas, independiente del área o del formato en el que estén recogidos. Es decir, todo lo que sea patrimonio organizacional.

Así las cosas, la información de este tipo puede ser de varia índole, desde financiera, económica, judicial, laboral, contractual, de Recursos Humanos, cultural y de aspectos y procesos que se relacionan con el carácter de las empresas.

Un SGSI es, por tanto, el conjunto de prácticas orientadas a garantizar la seguridad, la integridad y la confidencialidad de estos datos.

Funciones y elementos clave de un SGSI

Como todo sistema, el SGSI debe implementarse de manera estratégica para que los resultados sean acordes con los objetivos propuestos. Si sólo se aplicara parcialmente, no habría garantías para el resto de información proveniente de aquellas secciones o áreas que han quedado sin cobertura.

Tal como adelantábamos, el Sistema de Seguridad de la Información está basado en tres principios básicos que explicamos a continuación:

• Confidencialidad:

Es una característica esencial de la información corporativa. Según este principio, los datos internos o que forman parte del capital de una empresa no se revelan ni se ponen a disposición de terceros individuos, entidades o procesos no autorizados. Son propiedad exclusiva y como tal deben preservarse.

• Integridad:

La integridad habla de la exactitud y la inalterabilidad de la información, así como de sus métodos de proceso. Esto quiere decir que no deben alterarse ni modificarse bajo ningún fin, salvo que la propia empresa así lo decida y siempre y cuando haya motivos que justifiquen tal medida.

• Disponibilidad:

El tercer elemento de un SGSI señala la posibilidad de que individuos, entidades o procesos autorizados tengan pleno acceso al manejo de la información que esté en la base de datos de una compañía, así como los sistemas que la regulan. Este no es un principio que se oponga a la confidencialidad, pues se trata del acceso a todos los agentes, internos o externos, que tengan autorización.

SGSI: otros elementos a tener en cuenta

Teniendo claros la función de un Sistema de Seguridad de la Información y sus tres principios básicos, veamos ahora otros elementos que las organizaciones no pueden perder de vista en el proceso de implementación:

• Compromiso y apoyo de la dirección. Debe ser el área más comprometida a la hora de la difusión, la gestión y el seguimiento del proceso.

• Definición del alcance. Es preciso definir qué objetivos tendrá nuestro SGSI, qué beneficios supondrá y por cuánto tiempo queremos aplicarlo.

• Formación del personal interno. Los trabajadores de una empresa deben ser parte activa del proceso y para ello es necesario que reciban la formación necesaria que les permita estar a la altura del mismo.

• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados al manejo y la gestión de la información, que en cada empresa tiene características distintas y, por tanto, soluciones distintas.

• Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI supone la adopción de la mejora continua como elemento de identidad corporativa.

El valor de la Gestión de Riesgos y Seguridad

Si bien supone costes e inversión, la Gestión de Riesgos y Seguridad en el Trabajo en un valor a largo plazo para cualquier empresa. En lo referente a un SGSI, las empresas que protegen y gestionan adecuadamente sus datos están preparadas para cualquier riesgo o amenaza asociada a la información que gestionan internamente.

La norma ISO 27001 no excluye la implementación de otros estándares similares. Por el contrario, debido a su flexibilidad permite la aplicación de indicadores y requisitos de otras normas, algo en lo que el software ISOTools puede ser de utilidad.