ISO 27001: Protegiendo la información sensible en la era digital

ISO 27001: Protegint la informació sensible en l'era digital

ciberseguridad
  • La norma ISO 27001 estableix els requisits per a la gestió de la seguretat de la informació a les organitzacions i els proporciona un marc estructurat i sistemàtic
  • La normativa ISO 27001 implementa i millora un sistema de gestió de seguretat de la informació, incloent-hi la protecció de dades contra amenaces internes i externes
  • Mentre que la norma ISO 27001 és un estàndard internacional de gestió de seguretat de la informació, l'ENS és una normativa espanyola centrada sobretot en el sector públic
  • La certificació ISO 27001 mostra el compromís d'una organització amb la protecció de dades, transmetent confiança i credibilitat a les parts interessades i aborda aspectes com la comunicació segura, la criptografia i el compliment normatiu, com el RGPD.
La rellevància de la protecció de la informació digital

Qualsevol organització que requereixi un enfocament sistemàtic i estructurat de gestió de la seguretat de la informació compta amb la normativa internacional ISO 27001. Es tracta d'una norma que delimita els requisits per establir, implementar, mantenir i millorar un sistema de gestió de seguretat de la informació (SGSI) a l'organització.

Desenvolupada per l'Organització Internacional de Normalització (ISO) i la Comissió Electrotècnica Internacional (IEC), es tracta d'un estàndard que aporta un marc de confiança per a la protecció de les dades contra amenaces internes i externes. A més, aquesta normativa propicia el desenvolupament d'una cultura de la seguretat, dins de cada empresa, alineada amb el compliment de tota mena de requisits legals, reglamentaris i contractuals.

Així, una companyia que salvaguarda i protegeix informació també és una companyia que envia senyals de confiança als seus clients. En obtenir la certificació ISO 27001, qualsevol entitat explicita el seu compromís amb la protecció de les dades i amb la confidencialitat, un atribut que transmet fiabilitat i credibilitat a les diverses parts interessades de l'organització.

La implementació de la norma ISO 27001

Cal destacar que la implementació de la norma ISO 27001 incorpora les referències normatives que asseguren que es tingui en compte l'experiència i el coneixement acumulat en l'àmbit de la seguretat de la informació. D'aquesta manera, amb les referències a la norma, s'estableix una base sòlida per a la implementació de controls de seguretat i la gestió de riscos.

Així mateix, el sistema inclou la gestió d'actius d'informació a l'organització, incloent-hi els emmagatzemats en sistemes, xarxes, documents impresos, registres físics, entre d'altres. A més, s'han d'establir mesures de protecció adequades per a cada actiu identificat, considerant-ne el valor i la criticitat i fent una anàlisi dels riscos associats. A més d'aquesta anàlisi, també se n'estableix la gestió, articulada mitjançant línies d'acció que inclouen la seva avaluació sistemàtica, amb la intenció de mitigar-ne l'impacte negatiu.

En aquest marc normatiu també entra en joc la ciberseguretat, ja que bona part de les actuals amenaces per a una companyia provenen d'elements com els atacs de pirates, el malware i els intents de phishing. Els protocols i requisits ISO 27001 estan alineats amb els criteris de l'Institut Nacional de Ciberseguretat (INCIBE).

ISO 27001 al núvol: Protecció en entorn cloud

A més, l'aplicació de l'ISO 27001 també estén el seu efecte fins a l'entorn de la informació allotjada al núvol, ja que implica avaluar els riscos associats que estigui dipositada en aquest entorn, a més de fixar criteris per seleccionar proveïdors de confiança, implementar controls de seguretat adequats i garantir la continuïtat del negoci i la recuperació de les dades en el cloud.

Cal remarcar que la norma assenyala a la criptografia com una de les mesures de control efectives per protegir la confidencialitat, integritat i disponibilitat de la informació. Així, mitjançant la criptografia, es pot codificar i descodificar la informació i assegurar que només les parts autoritzades puguin accedir-hi.

Així mateix, entre els requisits específics de la norma ISO 27001 hi ha el control d'accessos, la finalitat del qual és garantir que només les persones autoritzades accedeixen als actius d'informació i els sistemes. Amb aquest control, es minimitza el risc de bretxes i infraccions de la confidencialitat.

La suma dels aspectes exposats anteriorment converteix la norma ISO 27001 en un sistema complet, alineat amb el Reglament general de protecció de dades (RGDP) de la Unió Europea, que fixa els requisits per a la salvaguarda de la informació personal als països membres. La seva efectivitat, que potencien la seva aplicació en el treball d'algoritmes i tècniques de xifrat moderns, converteixen la normativa en una base sòlida amb un marge d'error cada vegada més reduït.

És important destacar que la norma ISO 27001 proporciona un marc general, però cada organització ha d'adaptar els seus controls i mesures de protecció de dades segons les seves pròpies necessitats i requisits específics. A més, aquesta norma no garanteix automàticament el compliment de totes les lleis i regulacions de protecció de dades, com a compliment del RGPD, però pot ser una eina útil per establir una base sòlida per a la protecció de dades dins d'una organització.

Com a màxim responsable de la seguretat de la informació dins d'una organització, el rol dels CISO (chief information security officer) és establir i supervisar l'estratègia i els programes de seguretat de la informació de l'organització i, generalment, és el responsable de liderar la implementació i compliment de la norma ISO 27001 dins de l'organització.

Finalment, cal destacar que, a Espanya, hi ha una altra norma que estableix els requisits i procediments en l'àmbit de la seguretat de la informació, que és l'Esquema Nacional de Seguretat (ENS). Aquesta norma, només d'àmbit nacional, és de compliment obligat per a les Administracions públiques i les empreses del sector privat que prestin serveis digitals a entitats públiques. Per bé que ambdues normes són eficaces per establir un model de gestió de la seguretat de la informació, l'ISO 27001 té un enfocament més generalista a l'hora d'establir requisits de seguretat d'una companyia, i aporta més flexibilitat entre les mesures de seguretat i l'operativa de la companyia. Per part seva, l'ENS estableix de manera més granular els controls de seguretat necessaris sobre la base de la categorització dels sistemes d'informació de la companyia en funció de la seva criticitat i impacte. Ambdues normes tenen un procés de certificació mitjançant una auditoria externa, renovable cada 2 anys en el cas de l'ENS i cada 3 anys en el cas de l'ISO27001, amb un seguiment anual.

S

SEIDOR

SEIDOR es una consultora tecnológica que ofrece un portafolio integral de soluciones y servicios de innovación, customer experience, ERP, analytics, employee experience, cloud, workplace y ciberseguridad. Con una plantilla formada por más de 8.000 profesionales altamente cualificados, SEIDOR tiene presencia directa en 44 países de Europa, América Latina, Estados Unidos, Oriente Medio, África y Asia, prestando servicio a más de 8.500 clientes. La consultora es partner de los principales líderes tecnológicos; entre los que destacan SAP, Microsoft, IBM, Adobe, Salesforce, Google, AWS y Cisco.

Veure més contingut d'aquest autor

Contingut relacionat

També et pot interessar...

VEURE TOT