Sistema de Gestión de Seguridad de la Información “SGSI” conforme a la ISO 27001:2022

Todos los negocios disponen o tienen acceso a información sensible. El hecho de no proteger adecuadamente dicha información puede tener consecuencias operativas, financieras y legales graves, que pueden incluso llevar a la quiebra del negocio o provocar indeseables consecuencias.

El reto para los negocios es proporcionar un adecuado tratamiento a la información, de tal forma que garantice su confidencialidad, integridad y disponibilidad. Es de especial importancia asegurar que se han identificado los riesgos a los que están expuestos y se identifique también cómo gestionarlos de forma proporcional, sostenible y efectiva. Para la implementación del SGSI es indispensable el compromiso y liderazgo de la dirección de la empresa, junto con el departamento de sistemas que juega un rol muy importante y los colaboradores, se deben proponer mediante de la identificación y tratamiento de riesgos, establecer una cultura de gestión de seguridad de la información.

ISO 27001:2022 es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información, desarrollada por la Organización Internacional de Normalización (ISO por sus siglas en inglés) con el propósito de ayudar a gestionar la Seguridad de la Información de una empresa, en esta actualidad, donde la información fluye a velocidades cada vez más rápidas, las empresas precisan de velar por su protección.

¿Qué es un Sistema de Gestión de Seguridad de la Información “SGSI”?

Se compone de una serie de procesos para implementar, mantener y mejorar de forma continua la seguridad de la información, tomando como base los riesgos que afectan a la seguridad de la información en una empresa u organización.

Este sistema se utiliza para proteger la confidencialidad, integridad y disponibilidad de la información.

Confidencialidad

Se entiende por confidencialidad a la garantía de que la información solo es accesible a personas o entidades autorizadas, protegiéndola de su divulgación o acceso no autorizado. Los componentes clave de la confidencialidad según la ISO 27001 son:

• Acceso restringido: La información confidencial solo puede ser vista por aquellos que tienen permisos específicos para acceder a ella.

• Protección contra la divulgación: Implica medidas para evitar que la información sea compartida o revelada a terceros sin autorización.

• Acuerdos de no divulgación (NDA): Un control específico de la ISO 27001, donde se requiere documentar, revisar y firmar contratos o acuerdos que obliguen a no divulgar información sensible a terceros.

• Capacitación del personal: La información sobre la importancia de la confidencialidad y los procedimientos de manejo de datos es crucial para prevenir la divulgación no intencionada.

• Control de accesos: Se requiere establecer procesos y controles para gestionar y verificar quién tiene acceso y a qué información tiene acceso.

  
  

¿Por qué es importante la confidencialidad para las organizaciones?

Por el cumplimiento legal y normativo, ayuda a cumplir las leyes de protección de datos personales y evitar cuantiosas multas, sin bien en primera instancia los acuerdos de confidencialidad y avisos de privacidad ayudan sin embargo no son suficientes ya que la gestión efectiva de los procedimientos establecidos en ellos es de lo que el SGSI se encarga de garantizar.

Por la ventaja competitiva, demuestra un compromiso con la seguridad de los datos, generando confianza en clientes, socios y colaboradores.

Por la protección de activos, salvaguarda información valiosa, incluyendo datos personales y empresariales, contra uso indebido.

Integridad

La integridad se refiere a la salvaguarda exacta y completa de la información, asegurando que no sea alterada o destruida de forma no autorizada, ya sea accidental o intencionalmente. Los componentes clave de la integridad, según la ISO 27001 son:

• Exactitud, la información debe ser precisa y consistente.

• Exhaustividad, la información debe estar completa, sin partes faltantes o incorrectas.

• Prevención de modificaciones no autorizadas, se deben implementar controles para evitar que personas o procesos no autorizados alteren los datos.

• Protección contra daños y pérdidas, los datos deben estar resguardados de forma que se eviten daños o pérdidas que puedan afectar su confiabilidad.

  
  

¿Cuáles son los mecanismos y técnicas para asegurar la integridad?

Control de acceso: implementar procedimientos para que solo el personal autorizado pueda modificar la información.

Cifrado: utilizar técnicas de cifrado para proteger la confidencialidad e integridad de los datos.

Respaldos (backups) y recuperación: realizar copias de seguridad periódicas y contar con planes de recuperación para restaurar la información en caso de pérdida o daño.

Verificación de datos: aplicar mecanismos como las sumas de comprobación (checksums) o hashes para verificar que los datos no se hayan alterado.

Control de versiones: mantener un historial de los cambios realizados en documentos y sistemas para poder recuperar versiones anteriores.

Auditorias y registros: llevar un registro de las actividades relacionadas con la información y realizar auditorías periódicas para detectar y corregir anomalías.

Disponibilidad

La disponibilidad se refiere a la cualidad de la información y en los sistemas de ser accesibles y utilizables por usuarios autorizados en el momento que se necesiten. Las características clave de la disponibilidad, según la ISO 27001, son:

• Accesibilidad, garantiza que la información esté accesible para quienes la necesitan.

• Oportunidad, la información debe estar disponible en el momento adecuado, no solo presente.

• Continuidad, se enfoca en asegurar que los sistemas funciones sin interrupciones.

• Prevención de interrupciones, implica la implementación de controles y procedimientos para evitar fallos técnicos o interrupciones no autorizadas.

¿Cuál es la importancia de la disponibilidad?

Funcionalidad del negocio, asegura que la organización pueda operar sin problemas y mantener su eficiencia.

Confianza en los usuarios, los clientes, socios y empleados confían en que tendrán acceso a la información y los servicios que necesitan.

Mitigación de riesgos, ayuda a prevenir o reducir el impacto negativo de la inactividad del sistema en las operaciones de la empresa.

¿A quién le interesa implementar la norma ISO 27001 “Certificación del Sistema de Gestión de Seguridad de la Información”?

Implementar la ISO 27001, le interesa a cualquier tipo de empresa sin importar su tamaño y actividad. El factor clave para decidir sobre la implementación de un sistema de gestión de seguridad de la información radica en la importancia que los activos de la información tienen dentro de una organización como elementos imprescindibles para la obtención de sus objetivos.

Controles de la norma ISO 27001

La norma ISO 27001 incluye una serie de controles para garantizar la confidencialidad, integridad y disponibilidad de la información, algunos de los controles incluidos en la norma son:

Acceso Controlado. Permite la restricción del acceso a los recursos de información solamente a personas autorizadas, se deben erradicar los “perfiles maestros” que suelen permitir a ciertos departamentos y/o colaboradores acceder sin restricción alguna a la totalidad de la información de la empresa.

Clasificación de la información. La identificación y clasificación de la información crítica permite determinar el nivel de protección necesario.

Seguridad física. Medidas de seguridad para proteger los recursos de información físicos, como dispositivos de almacenamiento, edificios y áreas. Restricción de acceso con dispositivos ajenos a la organización, así como el bloqueo de puertos USB, incluye también el resguardo de papeles y hojas recicladas.

Control de dispositivos. Medidas para proteger y controlar los dispositivos que acceden a la información.

Criptografía. Uso de técnicas de cifrado para proteger la información en reposo y en tránsito.

Copias de seguridad y recuperación. Planificación y realización de copias de seguridad regulares para asegurar la disponibilidad de la información en caso de un desastre.

Monitoreo y auditoría. Monitoreo y revisión periódica de los sistemas y registros de seguridad para detectar posibles vulnerabilidades y actividades sospechosas.

Estos son algunos de los controles, la versión de la norma se compone de 93 controles dispuestos en 4 grandes grupos de controles: Organizacionales, Personal, Físicos; y Tecnológicos.

Ventajas de la implementación de la norma ISO 27001

• Certificado de confianza y calidad empresarial, si bien es cierto que las ventajas y desventajas de la ISO 27001 pueden ser variadas, no se puede negar la calidad y reconocimiento que recibirá una empresa al conseguir el certificado SGSI. Éste dará a conocer al mercado nacional e internacional que los procesos de tratamiento de datos son completamente seguros.

• El mejor sistema de seguridad interna, gracias a los métodos y procedimientos detallados en la norma para su óptima cumplimentación, se creará un sistema interno del negocio que ofrecerá la mayor seguridad en la información que se maneja. Es por ello que este certificado está ampliamente reconocido en el sector empresarial.

• Reducción de los casos de riesgo, la implementación del SGSI permite reducir de manera exponencial los casos de fuga o deterioro de la información de socios accionistas, clientes, proveedores o trabajadores de la empresa. De esta manera, también se minimizan los gastos derivados de denuncias y juicios.

• Aumenta la conciencia y compromiso, la aplicación de la ISO 27001 en los procedimientos internos del negocio creará una conciencia general de compromiso en los trabajadores, que se implicarían cada vez más en evitar pequeños errores o detalles negativos que podrían provocar la filtración. ¡Una nueva visión que los trabajadores implementaran en su trabajo e incluso hasta en su vida personal!

Desventajas de la norma ISO 27001

• Elevada inversión inicial, la realidad es que al comienzo de su implementación conlleva una fuerte inversión. Los cambios y modificaciones en los sistemas y políticas internas costaran dinero y esfuerzo, pero es importante tener en cuenta que esto se realiza por un bien futuro mayor.

• Modificación de rutinas y procesos internos ¿Cómo afectará la norma ISO 27001 a las tareas diarias de los trabajadores? Lo cierto es que implementar este SGSI no solo cuesta dinero, sino también esfuerzo, tiempo y dedicación por parte de los operadores, que deberán reducir su “jornada productiva” para asistir a formaciones y aplicar la metodología.

• Complejidad, la norma es exhaustiva y puede ser difícil de entender e implementar, especialmente para organizaciones con recursos limitados en seguridad de la información.

Conclusiones.

Cada negocio cuenta con características, condiciones y riesgos determinados, por ello se debe hacer un análisis detallado del mismo antes de implementar la norma, en GPF Asesoría de Negocios nos interesa que se mantenga protegido y a la vanguardia en las prácticas recomendadas para los negocios, por ello estamos a su disposición para apoyarle en cualquier situación legal o comercial que se encuentre ya se con referencia a este tema o cualquier otro, agradecemos su valiosa atención y le invitamos a seguir leyendo nuestros artículos!

Autor: Lic. Luis Garcia.