Afianzar la seguridad de la información de las organizaciones debe ser una prioridad debido a las constantes amenazas de la actualidad y como una garantía en el proceso de transformación digital.
La filtración de datos corporativos o información crítica es una preocupación constante en todas las organizaciones debido a las amenazas de ciberataques, fraude informático, phishing, competencia desleal, entre otros, por lo que mejorar la seguridad de la información es una prioridad que, en muchas ocasiones, no se aborda de la manera más eficiente o no se aborda en absoluto.
Para Carolina Cueva, socia del área Compliance de CMS Grau, tener un Sistema de Gestión de Seguridad de la Información (SGSI) es vital porque propone herramientas aplicables por cualquier organización que buscan resguardar la disponibilidad, confidencialidad, integridad de la información de las empresas y de sus clientes.
De igual manera, resulta importante porque permite el cumplimiento de las obligaciones normativas, mientras que, a nivel operativo, aporta información valiosa y contribuye al conocimiento sobre la marcha del negocio. Además, evita sanciones administrativas y penales e impacta positivamente en la reputación de la organización.
“La seguridad de la información en las empresas debe comprender de manera integral aspectos como la tecnología, las personas responsables y los procesos de la compañía”, señala Carolina.
Garantizar la seguridad de la información
Una de las formas de mejorar la gestión de la seguridad de la información en las organizaciones es tener como referencia los estándares internacionales que procuran la idoneidad del Sistema de Gestión de la Seguridad de la Información implementado.
“Una de estas normas es el estándar ISO 27001, norma de alto nivel más reconocida porque adopta un enfoque integral que protege la información digital, documentos en papel, activos físicos e, incluso, los conocimientos de los empleados, proveedores, contratistas y clientes”, explica Carolina, socia de Compliance de CMS Grau.
Carolina, experta en materia de seguridad de la información, señala que la implementación de un SGSI requiere del compromiso por parte de los líderes de la organización, así como el involucramiento de diferentes áreas y profesionales.
“De manera muy similar a la implementación de otros sistemas de gestión, al implementar uno de seguridad de la información debemos considerar algunas fases indispensables como la definición del alcance del sistema, realizar un inventario de los activos de información vitales en la empresa, realizar un análisis de vulnerabilidades y la posterior definición de controles”, señala.
La definición del alcance permitirá establecer los límites y aplicabilidad del sistema, identificando contexto interno, externo e interfaces entre la compañía y otras organizaciones.
El inventario de activos de información permitirá la identificación y filtro de los activos críticos en la organización, tangibles e intangibles, para su posterior tratamiento con la finalidad de gestionar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de éstos. Finalmente, el análisis de vulnerabilidades definirá la probabilidad, impacto y nivel de riesgo y los controles serán de tipo organizacionales, de personal, físicos y tecnológicos.
Ventajas de un SGSI
- Protege la información crítica de la organización, evitando que sea comercializada, dañada o empleada por terceros.
- Protege la información de terceros (clientes y proveedores, entre otros).
- La gestión de la seguridad de la información da confianza a los stakeholders y crea una ventaja competitiva respecto de otras empresas en el mercado.
- Permite adoptar acciones laborales en caso de incumplimientos.
- Previene sanciones penales (atentado contra la integridad de sistemas
informáticos, interceptación de datos informáticos, fraude informático, estafas, entre otros).
