¿Qué es la seguridad de la información?

Conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para la misma, independientemente del formato que tengan (electrónicos, papel, audios, videos,…).

Podemos entender como seguridad un estado de cualquier sistema o tipo de información, que nos indica que está libre de peligro, daño o riesgo.

¿Qué es un Sistema de Gestión de la Seguridad de la Información (SGSI)?

Un sistema de gestión de la seguridad de la información persigue la protección de la información y los sistemas de información del acceso, de utilización, divulgación o destrucción no autorizada.

Consiste en asegurar que los recursos del sistema de información de una empresa se utilicen de la forma que ha sido decidido y el acceso a la información se encuentra contenida, así como controlar que la modificación solo sea posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de los límites de la autorización.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe identificar su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D:

  • Confidencialidad: es la propiedad de prevenir que se divulgue la información a personas o sistemas no autorizados.
  • Integridad: es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada.
  • Disponibilidad: es una característica, cualidad o condición de la información que se encuentra a disposición de quien tiene que acceder a esta, bien sean personas, procesos o aplicaciones.

 

 

BENEFICIOS

  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Reducción del riesgo de pérdida, robo o corrupción de información.
  • Los clientes tienen acceso a la información a través medidas de seguridad.
  • Los riesgos y sus controles son continuamente revisados.
  • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
  • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
  • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
  • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
  • Confianza y reglas claras para las personas de la organización.
  • Reducción de costes y mejora de los procesos y servicio.
  • Aumento de la motivación y satisfacción del personal.
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

 

Basado el ciclo PHVA:

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los ‘’activos de información’’ que deben ser protegidos y en qué grado.

Aplicándose el ciclo PHVA y repitiéndolo de manera continua.

  • PLANIFICAR
  • HACER
  • VERIFICAR
  • ACTUAR

 

 

IMPORTANCIA DE UN SGSI

La pérdida de información puede producirse accidental o malintencionadamente, pero, en cualquier caso, puede y suele acarrear un daño económico y de prestigio, afectando a la empresa y su marca asociada.

Perder información o dejarla expuesta a diferentes riesgos es más sencillo de lo que parece, por ejemplo ¿Quién no ha enviado un correo electrónico a una dirección equivocada? El problema se agrava en función del tipo de información que se maneje, pero como humanos que somos, cometemos errores.

Por otro lado, cada vez son más habituales las fugas de información intencionadas, casos de espionaje o filtraciones por parte de los trabajadores.

El uso de las tecnologías debe ayudarnos a proteger la privacidad de los datos, la propiedad intelectual y el cumplimiento normativo, permitiendo en todo momento advertir sobre el acceso a información protegida y, en caso necesario, bloqueo de acciones realizadas, si existe incumplimiento de la política de seguridad de la empresa o de los derechos.

Para hacer una correcta gestión de la información de una empresa hay que cimentar las bases, apoyándose  en las normativas y en las buenas prácticas existentes, como la norma ISO 27001, y por supuesto, en las distintas soluciones tecnológicas que ayuden a cumplir el objetivo final.

 

 

¿Cómo te podemos ayudar?

Desde SERVICIOS DE CONSULTORÍA INTEGRAL te facilitamos los medios necesarios para poder conseguir la certificación en la norma UNE-EN ISO/IEC 27001:2014 colaborando con tu organización desde la planificación inicial del sistema a partir del alcance pretendido, pasando por las fases de elaboración de la documentación, implantación del sistema, realización de la auditoría interna y ayuda en la defensa del sistema en las auditorías externas.

Así mismo impartimos la formación necesaria y te ayudamos en la elaboración de los registros del sistema hasta la certificación.