La seguridad de la información es un tema recurrente en todos los ámbitos empresariales. La creciente informatización de todos los datos de las organizaciones, obliga a la Alta Dirección a pensar en mantener la seguridad y la confidencialidad de la información que circula en su entorno y por ende en la aplicabilidad de la norma ISO 27001.
El tema es un poco más complejo cuando pensamos en la aplicabilidad de la norma ISO 27001 en la industria. Y lo es porque la seguridad física y la infraestructura tecnológica requieren que se garantice la invulnerabilidad de los sistemas, lo que involucra cuestiones tales como las políticas de acceso, auditorías, la criptografía, gestión de riesgos, seguridad de redes entre otros.
ISO 27001 define la forma en que la organización logra blindar su información contra varios tipos de amenazas, lo que permite la continuidad de las operaciones del negocio, minimizando pérdidas, aumentando el retorno de la inversión y multiplicando las oportunidades de negocio.
¿Cómo iniciar el proceso de aplicabilidad de la norma ISO 27001 en la industria?
Debemos tener claro que, ISO 27001 no es una norma para el uso exclusivo de organizaciones dedicadas a las tecnologías de la información. Por el contrario, ISO 27001 puede ser aplicada en cualquier tipo de organización, y por supuesto, también en la industria.
La norma reúne una serie de protocolos, que constituyen un marco de gestión para cualquier organización. Pero debemos tener en cuenta que, aunque cada día es mayor el número de información que se almacena por medios informáticos, garantizar la seguridad y la calidad de esta, resulta tan importante como velar por la información que se ha conservado en papel, o en formatos audiovisuales, e incluso la que solo vive en la experiencia de nuestros colaboradores.
Los primeros pasos
Conocer la norma podría ser el primer paso. Sin embargo, familiarizarse con el lenguaje común que se utiliza resulta aún más importante en la industria.
Una vez que todos los colaboradores de la organización, comprometidos con la seguridad de la información hablan el mismo idioma, es preciso obtener el apoyo de la Alta Dirección, lo cual resulta apenas obvio. Alguien puede pensar que esta iniciativa debe partir de la dirección. Generalmente, en organizaciones industriales no es así. Esta es una de las grandes diferencias entre la aplicabilidad de la norma ISO 27001 en la industria y en empresas de servicios o las llamadas TI.
Evaluar los riesgos y definir la metodología para la aplicabilidad de la norma ISO 27001 en la industria
Identificar y evaluar los riesgos resulta una labor dispendiosa en una organización dedicada a la industria. Y lo es, por cuanto los procesos son muchos y las variantes de cada uno forma una verdadera telaraña, que puede resultar, en ocasiones muy difícil de entender.
El objetivo de esta labor es identificar los procesos que encierren vulnerabilidades que comprometan la seguridad de la información, o las amenazas que tengan altas probabilidades de afectar la seguridad de la organización.
La declaración de aplicabilidad
Este es un término que se repite a menudo en la literatura acerca de ISO 27001. Una vez ha finalizado el proceso de evaluación e identificación de riesgos, lo procedente es diligenciar la declaración de aplicabilidad.
Este documento, que como ya lo hemos advertido, es mencionado de forma recurrente en cualquier texto que hable acerca de la norma, contiene 133 controles a establecer con el ánimo de garantizar la seguridad de la información en la organización.
Es probable que su industria no los requiera todos. Pero seguro si necesitará más que otro tipo de empresas. Es esta otra gran diferencia en cuanto a la aplicación de la norma en una organización de servicios y una que involucre procesos industriales.
Llegar a este punto implica que el camino de aplicación de la norma ha iniciado con éxito y que es irreversible. Implementar los programas pedagógicos de la norma, la capacitación y concienciación, así como el funcionamiento del SGSI, los procesos de auditoría y la aplicación de medidas preventivas y correctivas, forman parte del largo camino que aún falta por recorrer.
Le puede interesar conocer 12 Beneficios de Implantar un SGSI de acuerdo a ISO 27001.
ISOTools Excellence agiliza la implementación de ISO 27001
La plataforma tecnológica ISOTols Excellence permite a las organizaciones la implementación de ISO 27001 de forma automatizada agilizando y optimizando el proceso de puesta en marcha y de mantenimiento del Sistema de Gestión de Seguridad de la Información.
Contacte con uno de nuestros consultores si quiere conocer cómo esta herramienta tecnológica y nuestro equipo de expertos consultores puede ayudarle a implementar con éxito un SGSI basado en la norma ISO 27001.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…