Independientemente del tamaño de la empresa, la información es vital para la empresa. Entre la información más relevante puede encontrarse oportunidades de negocio, ventas, datos relevantes de la cartera de clientes, recursos humanos y proveedores, estrategias y acciones de marketing, información sobre productos, informes de riesgos financieros, acuerdos con socios, patrimonios, contratos vigentes, prevención de riesgos laborales, competencia, entidades financieras, y de carácter personal o legal.
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
«La seguridad de la información, contempla tanto los medios electrónicos como físicos (como el papel).»
Nuestros Servicios:
- Consultoría y Asesoramiento en materia de Seguridad de la Información y Seguridad Informática:
- Análisis de Riesgos.
- Plan de Prevención.
- Plan de Contingencia.
- Plan de Recuperación.
- Auditoría de Sistemas de Gestión de la Seguridad de la Información.
¿Por qué debe proteger la información?
Podríamos darle multitud de motivos técnicos, económicos, … Pero la información tiene el valor que le da su propietario. Por eso, le invitamos a que reflexione un momento respondiendo sobre la información que posee y qué impacto económico supondría el robo o la pérdida de la misma.
Reflexione un momento respondiendo a las siguientes preguntas:
- Qué tipo de información tiene y qué valor tiene para su empresa.
- Qué daño puede ocasionar la alteración de la información, bien por un empleado, ciberdelincuente o programa malintencionado (troyanos, virus, …).
- Qué coste tiene NO tener disponibilidad a la Información.
- Qué coste tiene restaurar y poner nuevamente operativo los sistemas de información Físicos y Digitales.
- Qué beneficios tendría para su empresa conocer los riesgos a los que están expuestos la información más valiosa, así como disponer de un Plan de Preventivo y Plan de Recuperación/Reactivación ante el robo o pérdida de información.
¿Qué debe proteger? Las propiedades de la Información:
Confidencialidad: garantiza que está accesible únicamente a personal autorizado a acceder a dicha información. La confidencialidad ha sido definido por la Organización Internacional de Estandarización (ISO) en la norma ISO-17799 como «garantizar que la información es accesible sólo para aquellos autorizados a tener acceso» y es una de las piedras angulares de la seguridad de la información.
Disponibilidad: condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. Ejemplo de NO DISPONIBILIDAD son:
– Caída de una Web.
– Servidor u ordenadores no operativos.
– Falta de corriente eléctrica al equipamiento informático.
– No poder acceder a un archivador o recinto dónde se guardan documentación física en papel.
– Destrucción total o parcial de documentación física o digital.
Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas y por tanto sin ser manipulada o alterada por personas o procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información.
El concepto de Seguridad de la Información no debe ser confundido con el de Seguridad Informática ni mucho menos con la actual LOPD (Ley Orgánica de Protección de Datos Personales).
ISO 27001
Es un estándar para la seguridad de la información ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisiónInternational Electrotechnical Commission
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
Si bien, la ISO 27001 no es obligatoria, en dicho estándar se establecen unas bases mínimas, compuestas de 165 puntos de control físicos y digitales que se recomiendan implantar en la empresa, vaya o no Certificarse.