La Información actualmente constituye uno de los elementos de mayor importancia para el negocio de una Organización y en consecuencia necesita una protección adecuada y eficaz. Además, la enorme diversidad de Información de la que disponen las empresas, la posibilidad de que ésta sufra daños y la dificultad de controlar todo lo que rodea a los procesos de Información puede llegar a convertirse en una tarea muy difícil y casi imposible de realizar. Como respuesta a este problema surgen los Sistemas de Gestión de Seguridad de la Información o SGSI, que tienen como principal objetivo mantener siempre el riesgo por debajo de unos umbrales asumidos por la propia Organización.
Para conseguir estar por debajo de este umbral de riesgo será necesario implementar un adecuado conjunto de controles, que incluyan políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y de hardware. Además, es necesario implementar herramientas que permitan analizar y ordenar la estructura de los Sistemas de Información, establecer procedimientos de trabajo para definir la seguridad y disponer de controles que permitan medir la eficacia de las medidas de seguridad que se han implementado.
El principal objetivo que persigue la Seguridad de la Información es proteger la confidencialidad, integridad y disponibilidad de la Información dentro de un sistema con independencia de la forma en los que estos se puedan obtener.
Y para ello el Sistema de Gestión de la Seguridad de la Información (SGSI), preserva la confidencialidad, integridad y disponibilidad de la Información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los mismos.
La Norma UNE-ISO/IEC 27001:2014/COR 1:2015 junto a la Norma UNE-EN-ISO/IEC 27001:2014 se ha preparado para proporcionar los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un SGSI.
También hay que tener muy presente que la decisión de adoptar un SGSI debe ser fruto de una decisión estratégica de la Organización que la involucre en su conjunto. Es importante que el SGSI forme parte y esté integrado con todos los procesos de la Organización y con la estructura de gestión global, y que la Seguridad de la Información se considere durante el diseño de procesos, de los sistemas de información y de los controles.
Implantar un SGSI proporciona una serie de ventajas que si bien no erradicarán totalmente los riesgos si ayudarán a minimizarlos.
Los principales Beneficios de un SGSI son:
- Minimizar Riesgos. La aplicación de los controles permitirá garantizar ciertos niveles de Seguridad en la Información, haciendo posible la viabilidad del negocio. Establecer un seguimiento de control sobre los riesgos es la mejor forma de evitarlos.
- Reducir Gastos. Implantar un SGSI significa racionalizar los recursos. Unificar los esfuerzos de todo el personal permitirá ahorrar a la Empresa en inversiones tecnológicas. Una vez que están claramente definidos los aspectos organizativos es más sencillo reducir gastos innecesarios, prever y solucionar posibles contratiempos que puedan suponer en el futuro un gasto añadido.
- Sistematización de la Seguridad. Una vez que la seguridad comienza a formar parte del día a día de la Empresa pasa a convertirse en un aspecto más del trabajo habitual, la seguridad pasa de ser un conjunto de actividades más o menos organizadas a transformarse en un ciclo de vida metódico y controlado.
- Cumplimiento de la Legalidad. La Norma UNE-ISO/IEC 27001 exige ciertos aspectos de conformidad legales en función de la legislación del país: su verificación, adecuación y cumplimiento.
- Mejora de la Posición del Negocio en el Mercado. La ventaja de implantar un SGSI es transversal: minimizar riesgos y reducir costes repercutirá positivamente en la posición de la Empresa dentro del Mercado. Además, respecto a este punto tendremos otros beneficios añadidos:Es un factor diferenciador con respecto a la competencia.Mejora la imagen externa de la Organización.Aumenta la confianza del cliente.
Como resumen, si consideramos que la Seguridad de la Información es la protección de la Información ante un amplio rango de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales, hoy más que nunca se hace necesario la implantación de un Sistema de Gestión de Seguridad de la Información o SGSI en toda Organización.