| 25 años generando CONFIANZA
Cómo alinear la estrategia y la seguridad de la información de acuerdo a ISO 27001
Considerada por muchas organizaciones de todo el mundo, como el compendio de las mejores prácticas internacionales en materia de gestión de seguridad de la información, la norma ISO 27001 ha sido aclamada como una de las armas más poderosas en la lucha diaria contra la ciber delincuencia. Sin embargo, poco se habla de la exigencia que tiene la norma de alinear la estrategia y la seguridad de la información.
La estrategia de la organización
Cada organización define su estrategia, de acuerdo con su modelo de negocio y con el área de producción en que se desempeña, entre otros muchos factores. Si quisiéramos definir la estrategia, podríamos decir que es un conjunto de elementos que requiere una organización para competir, de acuerdo con sus objetivos y las políticas que cree necesarias para alcanzar esos objetivos.
Pero la dirección estratégica es otra cosa. En una definición muy elemental, la dirección estratégica equivale a la visión de la organización, acompañada de estrategia y táctica. Es preciso identificar los objetivos y proveer los recursos necesarios para el logro de los objetivos.
La seguridad de la información, de acuerdo a ISO 27001, va de la mano con la estrategia de la organización, en forma sincronizada y armoniosa.
Los beneficios de la seguridad de la información
La información es un activo valioso que, de perderse, puede hacer quebrar un negocio. ISO 27001 permite gestionar la seguridad de la información, permitiendo el crecimiento de la organización, innovando y ampliando la base de cliente, bajo la premisa de que toda información confidencial se mantiene de esa manera. Otros beneficios son:
- Identificar los riesgos y establecer controles para controlarlos o reducirlos.
- Flexibilidad para adaptarse a todos los controles o a determinadas áreas de la organización.
- Aumento de la confianza en las partes involucradas, como los clientes, dándoles la seguridad de que sus datos están protegidos.
- Aportar valor a la condición de proveedor preferente.
- Aumentar valor frente a la competencia, mediante la demostración de cumplimiento, seguridad y transparencia.
Alinear la estrategia y la seguridad de la información de acuerdo a ISO 27001
La organización ya ha definido su estrategia. También conoce los beneficios de la seguridad de la información y de la norma ISO 27001. ¿Qué sigue? Tomar las decisiones estructurales, que permitan la adecuación sincronizada y armoniosa de la estrategia de la organización y la seguridad de la información. Estas decisiones son optativas. Esto significa que plantean una disyuntiva y es preciso que la alta dirección elija entre dos opciones. Veamos algunos ejemplos:
- La creatividad versus la implantación de mecanismos de control que aseguren la integridad de la información.
- Camaradería y confianza con los empleados, versus medidas que restringen el acceso de estos a determinada información.
- Facilitar los mecanismos de negociación, versus aumento de controles y requisitos previniendo la exposición a las amenazas.
- Llevar a cabo todos los procesos desde el interior de la organización, versus tercerizar algunas actividades.
- Cuidar la imagen amigable de la organización versus el establecimiento de murallas que impidan el fácil acceso de terceros a espacios físicos como a información clasificada.
Aunque pensemos que la decisión es apenas previsible, en la práctica, la alta dirección de la organización no la tiene fácil. La facilidad de comunicar y socializar estas decisiones resultará fundamental a la hora de lograr el apoyo de los empleados, clientes y proveedores en el cumplimiento de los objetivos propuestos.
ISO 27001 no solo intenta salvaguardar la seguridad de la información. También pretende que la información segura y confiable, se convierta en herramienta de desarrollo eficaz, que acompañe a la organización en el cumplimiento de sus objetivos a mediano y largo plazo.
Software ISOTools Excellence
Desde la plataforma Software ISOTools Excellence sobre ISO 27001 para Riesgos y Seguridad de la Información, encontrarás distintos controles para la gestión de la información ya que cuenta con aplicaciones de éxito totalmente configurables y adaptados a cada requisito de las distintas organizaciones. El Software trabaja para que la información que gestionan las empresas no pierda la confidencialidad, integridad y disponibilidad. Y, a su vez, ayuda a las organizaciones a alinear la estrategia y la seguridad de la información.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...