¿Qué sucede con la información almacenada en los dispositivo tecnológicos extraviados o robados? ¿Cómo una organización protege su propia privacidad e información? ¿Qué información de los clientes se debe asegurar?, interrogantes de este tipo las cubrimos con un SGSI.
Como respuesta a las violaciones de datos, las autoridades y entidades de control en cada industria, se encuentran estableciendo nuevas regulaciones que rigen cómo se deben almacenar y compartir los datos recopilados para proteger la privacidad y garantizar la seguridad de la información. Se han instituido regulaciones como el Esquema Gubernamental de Seguridad de la Información (EGSI), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) para transacciones financieras y el Reglamento General de Protección de Datos (GDPR) en la UE para garantizar que las empresas protegen adecuadamente los datos recopilados de empleados, socios y clientes.
Si su organización se toma en serio la protección de datos de los usuarios, es necesario que implemente en un Sistema de Gestión de Seguridad de la Información (SGSI).
¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
Es un conjunto de políticas, controles, procesos y procedimientos que una organización implementa para proteger sus propios activos de información y otros activos de información de los que es responsable. Las organizaciones que diseñan e implementan su propio SGSI encontrarán formas de reducir la probabilidad de que ocurra una violación de datos, formas de limitar su responsabilidad cuando ocurra una violación de datos y otras formas de mitigar el impacto de cualquier problema de seguridad de datos.
Elementos clave que conforman un SGSI eficaz:
1. Un SGSI es dinámico, no estático
La organización gobierna la gestión de seguridad de la información con el ciclo PDCA (Plan, Do, Check, Act), revisando regularmente los políticas, controles, procedimientos y ajustándolos según sea necesario. Las organizaciones deben establecer el SGSI ( plan ), implementar y operar el SGSI ( hacer ), monitorear y revisar el SGSI ( verificar ), y mantener y mejorar el SGSI ( actuar ). El SGSI debe revisarse y actualizarse regularmente para reflejar un entorno cambiante de seguridad de la información y nuevas prácticas recomendadas para la seguridad de los datos.
2. Clasificación de la Información
El SGSI describe cómo la organización debe proteger los datos, pero no tiene que tratar todos los datos de la organización de la misma manera. Las organizaciones crean, registran e intercambian muchos tipos diferentes de datos cada día. Algunos tipos de datos son: registros financieros de la empresa, detalles de inicio de sesión e información para los servicios que utiliza la organización, información y perfiles de clientes y credenciales de clientes, tarjetas de crédito corporativas y detalles bancarios. También se encuentran correos electrónicos, informes, datos de inventario, datos de instalaciones, registros de servicio para equipos, etc.
No todos los datos de la organización deben estar bajo el mismo nivel de seguridad, y existen costos financieros y de productividad asociados con la protección de ciertos tipos de datos.
3. El cumplimiento del SGSI es crucial para una implementación exitosa
Crear un SGSI y almacenarlo en una carpeta en algún repositorio no hace nada para mejorar la seguridad de la información en su organización: es la implementación efectiva de las políticas y la integración de la seguridad de la información en su cultura organizacional lo que lo protege de las violaciones de datos. La capacitación de los empleados en el SGSI y la integración del cumplimiento en los procesos y actividades diarias en su organización es una prioridad si desea asegurar adecuadamente sus datos.
4. Un SGSI eficaz se basa en el riesgo
Es importante comprender que proteger sus datos organizacionales de las violaciones de seguridad en un sentido absoluto es probablemente imposible. Las organizaciones deben realizar una evaluación de riesgos que determine qué activos necesitan estar más protegidos y asignar recursos de manera efectiva para la protección de esos activos.
Las organizaciones pueden obtener la certificación ISO 27001
La Organización Internacional de Normalización (ISO) es una entidad global que publica normas y mejores prácticas para las organizaciones. Publicó un documento formalmente conocido como ISO/IEC 27001, que establece el estándar internacional para los Sistemas de Gestión de Seguridad de la Información. Las organizaciones que construyen su SGSI de acuerdo con estos últimos estándares de seguridad de la información pueden obtener una certificación que indica a sus clientes y socios que han establecido un sistema apropiado para asegurar sus activos informativos.
La certificación ISO 27001 proporciona una ventaja comercial para las organizaciones, permitiéndoles demostrar su cumplimiento con las mejores prácticas más actuales para la gestión de la seguridad de la información.