La filtración de datos corporativos o información crítica es una preocupación constante en todas las organizaciones debido a las amenazas de ciberataques, fraude informático, phishing, competencia desleal, entre otros.
Por ello, mejorar la seguridad de la información de tu empresa es una prioridad que, en muchas ocasiones, no se aborda de la manera más eficiente o no se aborda en absoluto.
Para Carolina Cueva, socia del área Compliance de CMS Grau, tener un Sistema de Gestión de Seguridad de la Información (SGSI) es vital porque propone herramientas aplicables por cualquier organización que buscan resguardar la disponibilidad, confidencialidad, integridad de la información de las empresas y de sus clientes.
De igual manera resulta importante porque permite el cumplimiento de las obligaciones normativas; mientras que, a nivel operativo, aporta información valiosa y contribuye al conocimiento sobre la marcha del negocio. Además evita sanciones administrativas y penales e impacta positivamente en la reputación de la organización.
“La seguridad de la información en las empresas debe comprender de manera integral aspectos como la tecnología, las personas responsables y los procesos de la compañía”, señala.
Garantizar la seguridad de la información
Una de las formas de mejorar la gestión de la seguridad de la información en las organizaciones es tener como referencia los estándares internacionales que procuran la idoneidad del Sistema de Gestión de la Seguridad de la Información implementado.
“Una de estas normas es el estándar ISO 27001, norma de alto nivel más reconocida porque adopta un enfoque integral que protege la información digital, documentos en papel, activos físicos e incluso los conocimientos de los empleados, proveedores, contratistas y clientes”, explica Carolina Cueva.
Asimismo señala que la implementación de un SGSI requiere del compromiso por parte de los líderes de la organización; así como el involucramiento de diferentes áreas y profesionales.
“De manera muy similar a la implementación de otros sistemas de gestión, al implementar uno de seguridad de la información debemos considerar algunas fases indispensables como la definición del alcance del sistema, realizar un inventario de los activos de información vitales en la empresa, realizar un análisis de vulnerabilidades y la posterior definición de controles”, señala.
La definición del alcance permitirá establecer los límites y aplicabilidad del sistema, identificando contexto interno, externo e interfaces entre la compañía y otras organizaciones.
El inventario de activos de información permitirá la identificación y filtro de los activos críticos en la organización, tangibles e intangibles, para su posterior tratamiento con la finalidad de gestionar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de estos.
Por último, el análisis de vulnerabilidades definirá la probabilidad, impacto y nivel de riesgo, y los controles serán de tipo organizacional, de personal, físicos y tecnológicos.
Ventajas de un SGSI
- Protege la información crítica de la organización, evitando que sea comercializada, dañada o empleada por terceros.
- Protege la información de terceros (clientes y proveedores, entre otros).
- La gestión de la seguridad de la información da confianza a los stakeholders y crea una ventaja competitiva respecto de otras empresas en el mercado.
- Permite adoptar acciones laborales en caso de incumplimientos.
- Previene sanciones penales (atentado contra la integridad de sistemas informáticos, interceptación de datos informáticos, fraude informático, estafas, entre otros).