implementación de la gestión de seguridad de la información ISO 27001

Directrices para pequeñas y medianas empresas para la implementación de la gestión de seguridad de la información ISO/IEC 27001.

Hoy en día, la información es el producto central de la mayoría de las organizaciones, y para muchas es el único producto. Otras organizaciones dependen en gran medida del procesamiento de la información para fines comerciales.

Sin embargo, hay personas con intenciones maliciosas que intentan manipular la demanda de información para su propio beneficio. Recientemente, hemos visto muchos ejemplos de sus actividades ilegales, como ataques de ransomware de virus (WannaCry, Petya), filtraciones de datos personales de grandes empresas (como Equifax) y filtraciones de herramientas de espionaje de agencias de inteligencia.

A medida que aumenta la cantidad de amenazas, las organizaciones se ven obligadas a pensar más en formas de proteger la información que procesan, por ejemplo, aplicando las siguientes medidas de seguridad simples:

  • implementar contraseñas de acceso a computadoras y sistemas;
  • instalar software antivirus en estaciones de trabajo de usuarios finales y entornos de servidor;
  • deshabilitar unidades flash USB dentro de la organización; o
  • adquirir soluciones más avanzadas y costosas.

Si bien muchas de estas medidas son efectivas para proteger el sistema, otras son una completa pérdida de recursos financieros y humanos. Esto no se debe a que las herramientas anteriores sean malas o ineficaces. El principal problema aquí es decidir qué herramientas elegir y determinar sus costos y cómo implementarlos de manera efectiva en el negocio de cada organización.

Debido a la complejidad del entorno de información y la complejidad del flujo de información, muchas organizaciones ahora incluyen las necesidades del personal dedicado profesionalmente, como gerentes de seguridad de la información, personas de seguridad de red y comités de seguridad de la información. Algunos todavía crean departamentos/equipos especiales para la seguridad de la información y la reacción a las medidas de seguridad cibernética. Sin embargo, muchas organizaciones no están seguras de si su inversión en medidas de seguridad vale la pena.

Las brechas de seguridad cibernética pueden causar problemas graves y se pueden dividir en tres categorías principales:

  • Pérdida de disponibilidad, impidiendo las actividades comerciales;
  • Pérdida de confidencialidad, causando daño a la reputación de la organización o incluso acciones legales;
  • Pérdida de integridad, que conduce al uso de datos incorrectos o incluso falsificados.

La ciberseguridad es clave para proteger los activos en empresas de todo tipo y tamaño. Pero, ¿qué es exactamente la ciberseguridad?

Definición de ciberseguridad.

La ciberseguridad no tiene una definición formal, pero su significado es similar al de la seguridad de la información. A menudo se considera que la ciberseguridad incluye los aspectos más técnicos de la seguridad de la información, cuyo objetivo es proteger la información que puede estar almacenada en papel, en una computadora o incluso en manos humanas. La ciberseguridad implica principalmente la protección y el procesamiento de la información almacenada electrónicamente. Se define como un estado en el que, a través de medidas apropiadas, los riesgos asociados con el uso de la tecnología de la información, teniendo en cuenta las amenazas y vulnerabilidades, se reducen a un nivel aceptable. Los factores humanos, incluidos los intereses nacionales, también juegan un papel cada vez más importante en la seguridad cibernética. Por lo tanto, la seguridad cibernética significa utilizar las medidas adecuadas para proteger la confidencialidad, la integridad y la disponibilidad de la información y la tecnología de la información.

Obtener libro
Obtener libro