Norma iso 27001, ¿cómo cumplirla en mi empresa?

Toda empresa, sea grande o pequeña, maneja información importante para su desarrollo. El problema es que existen personas, o grupo de personas, que se dedican a obtener esta información para cometer actos delictivos. 

Para evitar esto, se han creado una serie de normas que apuntan a la protección de datos. Estas han tomado un protagonismo importante dentro de los últimos años debido a la transformación digital, ya que muchas empresas han comenzado a manejar sus activos de información en la nube, ampliando el rango de vulnerabilidad.

En este artículo te explicamos qué son las normas ISO para la seguridad de la información, qué implican estos estándares y cómo implementarlo en tu organización.

>> Leer más: Importancia de la seguridad informática en las empresas <<

¿Qué son las normas ISO?

Son normas internacionales creadas, establecidas y promovidas por la Organización Internacional de Normalización. Estas tienen el propósito de ayudar a las empresas, de distintos rubros, a estandarizar la gestión, la prestación de servicios y el desarrollo de productos, para tener una mayor productividad, disminuir costos de producción, incrementar la competitividad, etc.

Es así como se han creado más de 23.000 estándares que apuntan a obtener una mejor gestión de calidad, gestión de medio ambiente, mayor seguridad informatica gestión de riesgos, entre otros.

Una de las más conocidas es la norma ISO 9001 la cual establece ciertos parámetros para un sistema de gestión de calidad. Esta norma es utilizada por todo tipo de empresas, sean grandes o pequeñas, de cualquier tipo de rubro.

La normas ISO 27000: claves para la seguridad de la información

Dentro de las normas ISO existen estándares específicos que apuntan a la seguridad de la información de las empresas. Estas normas han sido trabajadas entre la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

El conjunto de normativas ISO 27000 son las encargadas de apoyar a las organizaciones entregando marcos normativos para mantener sus activos de información de forma segura. Este conjunto de estándares plantea los términos y definiciones de un sistema de gestión de la seguridad de la información (SGSI). 

Norma ISO 27001

El estándar ISO/IEC 27001 es la principal y se encarga de proveer los requerimientos y regular según estándares internacionales, la gestión de seguridad de la información para preservar su confidencialidad, integridad y disponibilidad. Es decir, promueve que las empresas utilicen sistemas seguros para resguardar la información que manejan, tanto interna como de clientes.

Norma ISO 27002

Esta es una guía de recomendaciones y buenas prácticas en cuanto a la seguridad de la información. Esta norma también pone énfasis en que la organización conozca todos los activos informáticos con los cuales cuenta, es decir, recursos de información, recursos de software, activos físicos y servicios.

El resto de normas ISO 27000 son estándares más específicos que se desprenden de la norma 27001. 

Implementando las normas ISO 27000 en tu empresa

Toda empresa, sea grande o pequeña, que maneja información impresa o digital, de procesos internos o con clientes, debería preocuparse de cumplir con el estándar 27001 de seguridad de la información. Es importante cumplir las normas y certificarse en ellas porque de ese modo la organización añade más valor a su quehacer diario y le entrega más seguridad a sus clientes. 

Los pasos para implementar la norma ISO 27001 son:

• Analizar el contexto de la organización.
• Designar una persona o equipo que se encargue de la implantación y mantenimiento del Sistema de Gestión de la Seguridad de la Información.
• Establecer y comunicar política de seguridad de la información.
• Análisis de riesgos, definiendo amenazas y vulnerabilidades.
• Formación y concienciación de los trabajadores.
• Desarrollar el Sistema de Gestión de la Seguridad de la Información.
• Documentar todos aquellos requisitos exigidos por la norma.
• Poner en funcionamiento el Sistema de Gestión.
• Realizar auditoría interna.
• Revisión por la Dirección.
• Solicitar la auditoría de certificación.

Fuente: Sustant Consultoría

Dentro de esta búsqueda por cumplir las normativas ISO para la seguridad de la información es clave identificar las personas que estarán involucradas (enseñarles lo importante que es la seguridad de la información de la empresa), identificar los procesos y la tecnología que la organización tiene a su disposición (teniendo claro cuáles son los activos de información).

Definitivamente el tema de la protección de datos es fundamental para el buen desarrollo de las organizaciones, especialmente en tiempos donde el teletrabajo y el manejo de información en la nube han pasado a tomar el protagonismo. Seguir los protocolos internacionales y/o establecer un plan propio de seguridad será una inversión clave para el futuro de la empresa.