En integra it somos promotores e impulsores de la seguridad de la información, es por ello que consideramos parte de nuestra misión, concientizar y difundir la importancia de la información como uno de los activos más valorados dentro y fuera de las organizaciones, destacando que no debemos centrarnos en ser gestores y usuarios de datos, sino que también tenemos la obligación de protegerlas de todas aquellas amenazas que se encuentra tanto al interior como fuera de la organización.
Por lo anterior, consideramos necesario centrarnos en acciones que permitan de una manera estructurada y sistemática, la implantación de medidas que garanticen el resguardo de la información y desde luego, que a su vez, nos permita evaluar acciones y riesgos.
De esta manera, resulta eficaz apoyarnos en el conjuntos de normas o estándares vigentes como el “ISO/IEC 27000, que es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña”.
Precisamente en este tenor, resaltamos la importancia de que cualquier empresa, sin importan giro o tamaño, se sume a la adopción de normas como ésta, y desde luego, del SGSI el cual es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.
Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización gracias a que se cuenta con un único sistema de gestión, para ello el uso de ciclo PDCA, también conocido como ciclo de mejora continua de Deming, el cual está constituido por 4 fases: planificar, hacer, actuar y verificar. Integrar estas normas es labor sencilla, especialmente al consultar sus anexos.
Por lo anterior, partir del arranque de un proyecto ISO 27000, implica dos aspectos importantes:
Se requiere del compromiso de los altos mandos como la dirección, ya que en ésta recae el peso y la responsabilidad de la toma de desiciones, necesaria para la implantación del ciclo de mejora continua. Al respecto, vale la pena señalar que este no es sólo un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.
Organización y planificación: en este rubro cobra verdadera importancia ser consciente de a quiénes se le designan las responsabilidades y acciones, así como los tiempos en que debe ejecutar las actividades encaminadas al logro de los objetivos, en fin, implica un verdadero proceso de planeación estratégica.
Cuando se cuenta con el apoyo de las autoridades directivas de la empresa y cada quién es consciente del rol que le corresponde y del momento en que deberá desarrollar la estrategia, incluyendo el cómo, se estará listo para dar el siguiente paso en el resguardo de información con la norma ISO 27000.
ISO 27000 Cómo arrancar un proyecto con esta norma
