Para quien no lo sepa, la norma ISO 27001:2015: “Sistemas de Gestión de Seguridad de la Información (SGSI)” es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
Cualquier organización posee información sensible o confidencial que desea proteger frente a situaciones que supongan un riesgo o amenaza. Esta información que resulta fundamental para la organización es lo que llamamos activo, y la norma ISO 27001 tiene como objetivo proteger dichos activos de información.
La gestión de la calidad en la ciberseguridad
En la actualidad, las empresas se enfrentan a muchos riesgos procedentes de múltiples fuentes. La seguridad de estos activos de información está en función de la correcta gestión de una serie de factores que son los que rigen la norma, como, por ejemplo: la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias del personal de la empresa, el grado de involucración de la Dirección, las inversiones en seguridad, etc.
En cuanto a la ciberseguridad, la asociación de profesionales de seguridad ISACA (Information Systems Audit and Control Association) la define como:
“Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”.
La ciberseguridad, por tanto, tiene como objetivo la protección de la información digital disponible en los sistemas que intercambian o comparten información.
ISO 27001 y la seguridad de toda la información
Por ello, la seguridad de la información, preocupación principal de la norma ISO 27001, tiene un alcance mayor que la ciberseguridad, puesto que la primera busca proteger los activos de información de riesgos que puedan afectarla, pero esta información puede estar en diferentes formatos, no solo digital, como sería la información manuscrita, impresa, etc. Un ejemplo sencillo sería el uso de un post-it para apuntar la contraseña de acceso a nuestro sistema. Esto no sería un riesgo de ciberseguridad pero si alguien con malas intenciones lo encuentra, supondría un riesgo para la empresa y sus activos.
Beneficios de certificarse en la norma ISO 27001
La ISO 27001 es una norma certificable, lo que permite a las organizaciones demostrar su compromiso y conformidad con los mejores estándares y prácticas en materia de seguridad de la información. Esto genera confianza en los clientes, por lo tanto, supone una ventaja competitiva frente a la competencia.
Cumplir con la norma ISO 27001 tiene muchos beneficios, pero los más relevantes serían los siguientes:
Confianza y credibilidad
Toda certificación genera confianza y credibilidad. En el caso de la ISO 27001, se demuestra a clientes y proveedores el correcto tratamiento de su información durante todo el ciclo de vida de los productos.
Ventaja competitiva
Como ya hemos mencionado anteriormente, los mercados cada día son más competitivos y las empresas que establecen un SGSI y que obtienen la certificación ISO 27001 tienen una ventaja sobre las que no la han implementado, ya que pueden demostrar que se rigen bajo estrictos estándares internacionales, y que todos sus procesos funcionan de acuerdo a las mejores prácticas posibles, definidas por los mejores expertos en la materia. Además, tal y como ocurrió con la norma ISO 9001, muy probablemente se llegará a un punto en el que todas las organizaciones estarán obligadas a cumplirla y se convertirá en un requisito global, de manera que será necesario tenerla implementada para poder permanecer en el mercado; no solo para ser competitivo.
Disminución de costes en incidentes imprevistos
Todos los incidentes de seguridad implican costes para las organizaciones, que pueden variar de leves a muy graves dependiendo de la empresa y del tipo de información que maneja, pudiendo resultar gravemente dañada su credibilidad en caso de violación de la seguridad, y por tanto pudiendo poner en peligro su continuidad en el mercado. Tener implementados los controles que la norma establece, ayuda en gran medida a prevenir los riesgos de manera proactiva, evitando que sucedan y que se repitan las causas por las que se originaron, reduciendo en gran medida los costes derivados de dichos incidentes.
Cumplimiento de leyes
Con la cantidad de leyes y normativas que existen alrededor de la seguridad de la información, la norma ISO 27001 proporciona la metodología necesaria para su cumplimiento. De hecho, su implantación ayuda al cumplimiento del RGPD: El Reglamento General de Protección de Datos, que ha supuesto el mayor cambio en la normativa de protección de datos a nivel europeo y mundial en los últimos 20 años. La finalidad que persigue es la protección de la privacidad de la información personal de todos los ciudadanos residentes en la Unión Europea.
Dado que la norma ISO 27001 es la norma internacional por excelencia para garantizar la seguridad de la información, las empresas ven en la certificación de la norma ISO 27001 un buen punto de partida para cumplir con el Reglamento General de Protección de Datos.
Mar Martínez Carrascosa, alumna del Master en Gestión de Calidad de EIPE Business School. Licenciada en Ingeniería Informática por la Universidad de Alicante, donde después estuvo 11 años trabajando. Después fue Project Manager en la EUIPO (Oficina Europea de la Propiedad Intelectual). Actualmente es especialista en metodologías ágiles y SCRUM y trabaja como Team Leader de Quality Assurance en MTP – Digital Business Assurance. LinkedIn
Descubre la Escuela de Ciberseguridad para los profesionales de la nueva era digital.
Formación Relacionada
Latest posts by El Blog de IMF Business School (see all)
- Los proyectos y sus características principales - 02/01/2023
- Consejos para elaborar el currículum - 29/12/2022
- 10 razones para estudiar un MBA - 22/08/2022
