La gestión de la información en el seno de la empresa es un valor intangible y crucial para el desarrollo de cualquier organización. La defensa y protección de esta información no solo garantiza la proyección de la empresa y su buen funcionamiento, sino que también es exigible legalmente en aspectos relacionados con la protección de datos de carácter personal (LOPD), la propiedad intelectual o los servicios de la sociedad de la información y comercio electrónico (LSSICE).
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es la herramienta que permite garantizar la seguridad de la información en las organizaciones y el fundamento de la norma ISO 27001.
¿Qué es la certificación ISO 27001?
La certificación ISO 27001 es un reconocimiento público con el que una empresa puede garantizar que el Sistema de Gestión de la Seguridad de la Información implantado en su organización cumple con todos los estándares sobre seguridad de la información que han sido publicados por la Organización Internacional para Estandarización (ISO).
Según esta norma, la seguridad de la información queda garantizada si se cumplen tres premisas:
–Confidencialidad: Es decir, que la información solo esté a disposición de entidades, individuos o procesos autorizados.
–Disponibilidad: Garantizar que siempre que un usuario autorizado necesite la información, va a poder acceder a ella con facilidad.
–Integridad: Asegurar que tanto el almacenamiento de la información como sus métodos de proceso son completos y exactos.
Implementación de la norma ISO 27001
La implementación de la norma ISO 27001 requiere aplicar una metodología rigurosa. Se deben tener en cuenta todos los aspectos que comprende la norma y comprobar que el Sistema de Gestión de la Seguridad de la Información existente en la empresa o el que se está poniendo en funcionamiento se ajusta a sus estándares. Por eso, muchas empresas optan por el asesoramiento experto de una consultoría de protección de datos. De esta forma se aseguran que la aplicación de la norma ISO 27001 ha sido correcta y que obtendrán la certificación.
El principal objetivo que se propone la norma ISO 27001 es analizar y gestionar los posibles riesgos y contingencias que amenazan la información de una organización. Puede que sean físicos como incendios, inundaciones, vandalismo o sabotaje, pero también pueden ser riesgos derivados del uso en las empresas de las tecnologías de la información. Este tipo de amenazas pueden ser ataques de intrusión o virus informáticos. Para defenderse de este segundo tipo de amenazas, será muy importante contar con un buen asesoramiento en Derecho de las Nuevas Tecnologías.
Ventajas de la certificación ISO 27001
Obtener una certificación de una organización como la ISO es una manera de potenciar la imagen corporativa de la empresa y una forma de generar confianza en los clientes actuales y en nuevos clientes. La certificación es una muestra de fiabilidad en los procesos y la gestión de la información, sobre todo si la empresa desarrolla su actividad centrándose en redes sociales, modelos de administración basada en la relación con los clientes (CRM, por sus siglas en inglés), cloud computing, o sistemas de reservas online.