ISO 27001 - Certificación de sistemas de gestión de seguridad de la información

Beneficios que aporta a la organización

• Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad.
• Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
• Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
• Compromiso de la dirección de la organización con la seguridad de la información.
• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Muchas veces no se es consciente de la importancia que tiene la información dentro de las empresas y organizaciones; prácticamente la totalidad de actividades que se desarrollan generan información y se necesita información para trabajar.

Sin embargo, no siempre se le presta la atención adecuada, pues controlar adecuadamente toda esa información es un esfuerzo, un coste, que no parece que tenga rentabilidad alguna hasta que se produce un error y no se encuentra determinada información.

La norma ISO 27001 aporta unas pautas para controlar y gestionar adecuadamente toda la información que se genera en la empresa, tanto en soporte papel como en soporte electrónico. Es perfectamente compatible con la norma ISO 9001 o ISO 14001; participa de los mismos principios y fundamentos.

Obliga a realizar un análisis de todos los flujos de información y de toda la información (registros) que se genera en la organización para poder establecer unas pautas de actuación, que van más allá de las habituales copias de seguridad, con lo que hoy en día parece que queda resuelto todo el problema de la seguridad de la información.

Una vez definidos todos los flujos de información y conocidas todas las informaciones que se generan, se podrán establecer las pautas de actuación, que podrán ir, dependiendo de la empresa, de su complejidad, del tipo de información, etc. desde definir niveles de confidencialidad y dar accesibilidad a la información a cada persona dependiendo de su jerarquía, hasta minimizar los efectos que pueden provocar actos de sabotaje por parte de algún empleado u otra persona.

Las posibilidades son muchas; habrá que compaginar siempre seguridad con operatividad, pues medidas de seguridad excesivamente complejas en organizaciones simples pueden provocar un parón importante.

Un sistema de seguridad de la información puede ayudar de manera importante al cumplimiento de la normativa sobre protección de datos de carácter personal, aunque el sistema de seguridad de la información representa un escalón más, pues no sólo abarca a los datos de carácter personal, sino a toda la información de la organización.

La norma ISO 27001 puede servir de guía y orientación en esta tarea de optimizar la información. No deja de ser una aplicación específica del control de los registros de la norma ISO 9001 o de la norma ISO 14001.

La certificación puede ser una exigencia de algunos clientes que confían información a sus proveedores y subcontratistas y quieren tener garantía de que dicha información será adecuadamente custodiada, en algunos casos por motivos de confidencialidad (accesibilidad) y otras veces por meros motivos de seguridad, pueden confiar determinada información cuya pérdida podría ser costosa de recuperar (piénsese por ejemplo en un despacho de abogados al que se le confían determinados documentos originales).