Los ataques que acaparan titulares casi siempre afectan a gigantes corporativos, departamentos gubernamentales o grandes organizaciones de servicios, pero ninguna organización, por pequeña que sea, puede considerarse a salvo de las actividades de lo que en la práctica son operaciones delictivas organizadas.
Incluso antes de la pandemia, la digitalización y la interconectividad eran cada vez más importantes para las organizaciones modernas. Permitir a los trabajadores conectarse a las redes desde casi cualquier punto del planeta mantenía o incluso aumentaba la productividad y reducía los costes.
Aunque es inevitable, el aumento de la digitalización y la interconectividad conlleva riesgos que en muchas organizaciones no se comprenden bien. Los virus informáticos, gusanos y troyanos llevan circulando por Internet casi tanto tiempo como su existencia, y a menudo sólo se consideran una molesta distracción de la que debe ocuparse el departamento de informática. El alcance de las posibles perturbaciones de la actividad empresarial y de las pérdidas económicas que conllevan no ha hecho más que empezar a conocerse.
Posiblemente la mayor amenaza en este momento sea el ransomware, que chantajea a las organizaciones y a los propietarios de redes infectadas para que entreguen grandes sumas de dinero para recuperar el control de sus sistemas. Según un informe del especialista en ciberseguridad estadounidense SonicWall, en 2021 se produjeron unos 623 millones de ataques de ransomware. Con un riesgo tan elevado, es vital que las empresas tomen medidas para comprender su contexto empresarial y protegerse.
Es fácil decirlo, pero ¿por dónde empezar?
En general, se admite que la gestión de la información, los datos y la ciberseguridad no es tan diferente de la gestión de cualquier otra forma de riesgo empresarial. Es decir, establecer procedimientos y formar a los empleados para que comprendan cómo surgen los riesgos y cuál es la mejor manera de prevenirlos o, al menos, gestionarlos para minimizar los trastornos. Un primer paso para ello es ver cómo un sistema certificado de gestión de la seguridad de la información (SGSI) ayuda a las empresas a comprender su panorama de riesgos, gestionarlos y mejorar su rendimiento.
ISO/IEC 27001 es la norma internacional más reconocida para los sistemas de gestión de la seguridad de la información. Detalla los requisitos para establecer, implantar, mantener, supervisar y mejorar un SGSI. Es la norma certificable de la serie ISO/IEC 27000. Las demás normas proporcionan orientación, como el Anexo A ISO/IEC 27002, que contiene requisitos para que los controles de seguridad aborden las amenazas relacionadas con la nube y la automatización, el malware y el ransomware, la ciberseguridad y la privacidad.
Esto la hace ideal para gestionar de forma estructurada un panorama de riesgos en constante cambio. Como ocurre con todas las normas ISO de sistemas de gestión, no se trata de un ejercicio de "ajuste y olvido" de una sola vez. La norma está sujeta a revisión para garantizar que la protección que ofrece es tan dinámica como los intentos de los delincuentes de idear nuevos medios para conseguir sus fines. La versión de 2022 está diseñada para abordar mejor los escenarios tecnológicos actuales y armonizarse con las demás normas principales de sistemas de gestión ISO, por ejemplo, calidad, medio ambiente y salud y seguridad en el trabajo.
Ventajas de la certificación por terceros
Como ya se ha mencionado, la norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, mantener y mejorar continuamente una gestión de la seguridad de la información. Pero incluso si se sigue al pie de la letra y se implanta con éxito, ¿cómo puede estar completamente seguro de que todo está en línea y transmitir su rendimiento a los clientes y otras partes interesadas?
En el mundo empresarial moderno, la prueba independiente del rendimiento es importante para generar confianza entre las partes interesadas internas y externas. Necesitan saber que usted no sólo se toma las cosas en serio, sino que está comprometido y ha aplicado las medidas necesarias para gestionar los riesgos pertinentes, mejorar el rendimiento y salvaguardar su empresa. En algunos casos, poder aportar pruebas es importante para seguir sobreviviendo.
La seguridad de la información está ascendiendo rápidamente en esa lista, no sólo por la confianza interna. A medida que más y más organizaciones exigen que sus socios tomen medidas para gestionar la información, los datos y los riesgos de ciberseguridad, la certificación de terceros se está convirtiendo en un paso esencial.
Puede que algunos no estén familiarizados con la norma ISO/IEC 27001, pero no hay razón para dudar de que adoptarla y certificarse mejorará el rendimiento. Numerosos estudios sugieren que en varias normas de sistemas de gestión, los que son certificables disfrutan de un éxito significativamente mayor.
La función principal de un organismo de certificación es evaluar si un sistema de gestión cumple los requisitos de la norma ISO/IEC 27001. Sin embargo, es casi seguro que han visto muchos sistemas en funcionamiento y en sus auditorías periódicas han identificado todo tipo de problemas y la mejor forma de abordarlos. Aunque no puedan orientar las mejoras para evitar conflictos de intereses, la competencia y la experiencia del auditor pueden aportar una valiosa perspectiva sobre los mayores riesgos y las medidas aplicadas por sus homólogos para subsanar las deficiencias.
