El creciente número de ciberataques se traduce cada vez más en una mayor concienciación sobre la necesidad de proteger los activos de información y así evitar el daño económico y reputacional que estas injerencias pueden comportar. Pero ¿cuál es la mejor manera de defenderse?

La revolución tecnológica que ha cambiado radicalmente la forma de hacer negocios, también ha aumentado los riesgos de las empresas que constantemente se exponen a nuevas amenazas. En un contexto en el que diariamente se manejan grandes cantidades de información, la preocupación por la protección de datos se hace cada vez más patente. 

Nunca antes la seguridad de la información y de sus infraestructuras había sido tan importante para las organizaciones que ahora se ven forzadas a construir un entorno seguro de control de riesgos para hacer frente a amenazas que pueden menoscabar la viabilidad del negocio, y que pueden responder tanto a acciones ilícitas y malintencionadas como a vulnerabilidades de los sistemas informáticos. Los ataques cibernéticos son cada vez más sofisticados y es importante estar preparado para actuar con rapidez y eficacia ante cualquier imprevisto. En este sentido, son claves los Sistemas de Gestión de la Seguridad de la Información (SGSI).

¿Qué son los SGSI?

Los SGSI (ISMS, por sus siglas en inglés) son un conjunto de políticas de administración de la seguridad de la información. Se trata de sistemas que permiten identificar vulnerabilidades, establecer las medidas de seguridad necesarias para minimizar su impacto y, al mismo tiempo, disponer de controles de evaluación de su eficacia. Su implantación es una decisión estratégica de la dirección de la empresa y su objetivo principal es preservar la confidencialidad, integridad y disponibilidad de los activos de información de la organización. Los SGSI tienen en cuenta cinco niveles básicos de aplicación: 

  • Seguridad en las redes: Transporte seguro de la información a través de infraestructuras de comunicación.
  • Gestión de acceso e identidad: Protección de los mecanismos responsables de establecer permisos y vigilar accesos a los sistemas y aplicaciones.
  • Seguridad en los sistemas: Asesoría específica para técnicos y administradores de sistemas sobre la aplicación de medidas de protección de forma centralizada, preventiva y reactiva.
  • Seguridad en aplicaciones y datos: Seguridad de los sistemas de almacenamiento remotos y locales. 
  • Protección en el puesto de trabajo: Protección del usuario y de su equipo, incluyendo hardware y software.

Con el fin de guiar a las empresas en este proceso, la norma ISO/IEC 27001 establece un conjunto de estándares internacionales para el diseño, la implantación y el mantenimiento de un SGSI. Es fundamental que el sistema de gestión esté en constante evolución, permitiendo la incorporación de mejoras que se adapten a los cambios tanto internos como externos a la organización. En este sentido, la norma señala el modelo PDCA (Plan, Do, Check, Act), que permite verificar los resultados obtenidos y mejorar el sistema a través de cuatro fases cíclicas de gestión.

 

Plan PDCA

 

 

Ventajas de la implantación de un SGSI

  • Asegura la continuidad del negocio:

Una filtración de datos puede dañar una empresa hasta el punto de comprometer su viabilidad. La implantación de un SGSI prepara a las organizaciones para reaccionar rápidamente ante cualquier amenaza o eventualidad, minimizando su impacto o incluso evitándolo.

  • Optimización de recursos y costes:

El establecimiento de un sistema de gestión garantiza que los riesgos sean asumidos, gestionados y minimizados de forma sistemática. El proceso de evaluaciones periódicas ayuda a mejorar continuamente el sistema asegurando su fiabilidad y máxima eficiencia. Un mal funcionamiento del SGSI podría comportar pérdidas económicas asociadas tanto a ataques cibernéticos y filtraciones de datos como a interrupciones del servicio y fallos del sistema. 

  • Ventaja competitiva: 

Cada vez más mercados valoran positivamente las políticas de control de la seguridad de la información. Los SGSI mejoran la credibilidad de las organizaciones, ya que su implantación supone una garantía de calidad que demuestra el compromiso de la empresa con la protección de la información que almacena y/o transmite. En este sentido, disponer de la certificación ISO/IEC 27001 puede convertirse en un elemento que diferencia una empresa de sus competidores. 

  • Fortalece la confianza en la empresa: 

Mantener la privacidad y la integridad de los datos es una prioridad de la mayoría de las organizaciones y, especialmente, de aquellas que manejan información personal y sensible de sus clientes, usuarios y proveedores. Un SGSI aumenta la confianza en la empresa, ya que es una garantía de su compromiso con la confidencialidad y protección de sus datos.

  • Cumplimiento de la ley:

Las empresas evitan sanciones relacionadas con datos almacenados, privacidad y protección de datos, adecuando sus políticas de seguridad a las normativas y requisitos legales tanto nacionales como internacionales.

El futuro del testing: satisfacción del usuario, bots e Inteligencia Artificial.
Impacto empresarial de la Inteligencia Artificial | Perspectivas 2018