Seguridad de la información, de asignatura pendiente a activo empresarial
| Resumen: |
| La seguridad de la información ha sido una asignatura pendiente por parte de las empresas españolas, aunque el avance de las nuevas tecnologías e Internet y su consumerización (el usuario final es usuario personal de tecnologías, servicios electrónicos y medios sociales) están siendo factores clave en ese proceso evolutivo. A estos se unen la presencia de normativa legal aplicable que establece entre su articulado requerimientos específicos de seguridad (normativa sobre protección de datos, prevención de blanqueo de capitales, ley de autonomía del paciente, y un largo etc). |
En la actualidad, son cada vez más las empresas las que establecen de manera “intuitiva” medidas de seguridad de carácter básico para la protección y conservación de la información y datos personales que trata en el ejercicio de su actividad. Hechos como el ya famoso incendio del Edificio Windsor en Madrid, o los atentados del 11-S tuvieron mucho que ver.
Pero también, la concienciación de las compañías en materia de seguridad ha aumentado notablemente. Son más conscientes de la importancia de proteger su información corporativa, tienen la exigencia del cumplimiento de normativa legal con requerimientos de seguridad, la necesaria innovación y desarrollo, la necesidad de mejora continua, la garantía de calidad de los servicios, todo ello como factor clave para la continuidad del negocio.
La implantación y certificación en Sistemas de Seguridad de la Información a través de ISO 27000, ISO 20000, y otras normas, se han popularizado, y cada vez más empresas inician proyectos de este tipo, que además les permitan acceder a procesos de contratación pública y privada, que ya exigen, entre sus requerimientos técnicos, el tener establecidos sistemas de gestión de seguridad de la información como garantía.
Abordar proyectos de implantación de Sistemas de Gestión de Seguridad de la Información es factible para cualquier empresa (tamaño, sector, …). Para el éxito en la implantación de un proyecto de este tipo, es necesario, además de la necesaria implicación de la Dirección, establecer un alcance viable para el tipo de compañía, actividad y recursos con los que vayamos a contar para conseguir una primera certificación (este alcance podrá ser ampliado progresivamente en función de las necesidades).
La implantación del sistema de gestión de seguridad de la información se basa, principalmente, en procedimental, documentar y establecer medidas de seguridad, conforme a una evaluación de riesgos realizada teniendo en cuenta los activos de información y la actividad de la compañía.
El establecimiento e implantación de medidas de seguridad se realizará conforme al análisis de riesgos realizado, teniendo en cuenta los controles de seguridad con los que cuentan los estándares de seguridad, como el de la ISO 27001.
Posteriormente, se procederá a documentar y procedimentar el mantenimiento, seguimiento y control de las medidas de seguridad implantadas, a los efectos de poder realizar una monitorización de cumplimiento, detectar y gestionar incidencias, establecer sistemas de mejora continua, etc.
Para concluir, es necesario establecer procedimientos a nivel organizativo, entre los que destacaran la calificación de la información en base a su sensibilidad, los flujos a seguir en cada categoría de información, planes de formación y concienciación del personal, la administración de dispositivos corporativos o personales utilizados en el ámbito laboral, etc.
Y recordando a un gran profesional del que mucho aprendí “La Seguridad no es un producto, es un proceso” y como tal, ha de ser mantenido, gestionado, actualizado y mimado por la compañía, pues su éxito supondrá, en gran parte, el éxito de la compañía.
Enlace al artículo: http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=591#.UHxYsZi9G6R