Como web de Perito Informático Madrid queremos hoy explicarles que es la norma ISO 27001 y cómo se debe gestionar en las empresas. Esta nueva norma es internacional y fue realizada por la Organización Internacional de Normalización. Quien es la encargada de crear el uso de estándares para el uso en industrias, comercio y la propiedad intelectual. Todo esto a nivel mundial, para formalizar normas comunes entre países. Es una organización independiente y no gubernamental formada por 163 países.
La norma ISO 27001 y cómo se debe gestionar en cualquier organización competente
Como hemos apuntado antes, esta norma fue creada por la Organización Internacional de Normalización. La función principal es establecer normas y reglamentos que cubran la creación de gestiones, productos o cualquier otro, que sean comunes a todos los países. Concretamente, esta norma la cual estamos comentando, describe la gestión de seguridad de información.
Está dirigida a las empresas, compañías y cualquier negocio que este dentro de este sector. Proporciona una metodología específica, dando a aquella organización que la tenga como una empresa con certificación a nivel mundial. Todo esto para la protección de las informaciones y de los datos que puedan manejar y guardar. El perito informático judicial, la conoce muy bien, debido a que debe estar en constante contacto con dichas normas.
La mayoría de las empresas actuales operan con informaciones y datos que son enviados y emitidos a diferentes puntos del mundo. Incluso, algunos se relacionan con organizaciones gubernamentales. Por eso, es vital estar preparados para poder enfrentarse a cualquier incidencia que se pueda dar. Sin dejar en ningún momento, las medidas preventivas que consiguen minimizar los riesgos.
Debemos tener en cuenta que cada año, una empresa puede encontrarse con ataques o intrusiones informáticas. De hecho, se calcula que en nuestro país es uno de los más atacados por los hacker u organizaciones criminales del ciberespacio.
España, uno de los países objetivos de los cibercriminales y piratas informáticos
España es el tercer país más afectado por estas prácticas ilícitas. Cada año, muchas empresas nuestras se ven afectadas por estos ataques producidos. No sólo en compañías privadas, también se han visto afectados organismos gubernamentales.
Incluso hay cibervoluntarios para repeler ataques, ya que el 35% de nuestras empresas, habían sido atacadas. Pero lo peor, según los expertos de la ciberseguridad, es que este dato es orientativo. Ya que hay muchas compañías que no han sacado a la luz, dichas incidencias. Los países de donde proceden la mayoría de estos ataques informáticos son Rusia y China.
Desde hace ya muchos años, se está viendo una política en España, encaminada a salvaguardar la seguridad. Creando nuevos departamentos y “reclutando” a personal experto en conocimientos necesarios de este sector. Eso a nivel nacional, pero a nivel individual cada empresa debe salvaguardar sus propios intereses.
La norma ISO 27001 fue creada precisamente para que todas las empresas tuvieran un proceder idéntico para repeler ataques. Ante todo, saber cómo protegerse y reaccionar ante una incidencia, grande o pequeña.
Claves para saber cómo implantar la norma ISO 27001 y gestionarla correctamente
Esta norma pretende llevar a cabo diligencias que puedan seguir las empresas o negocios. Su objetivo más importante es la de proteger la información y datos que puedan tener o llegar a tener. En este siglo donde la información es importante, se ha creado un mercado negro donde las bases de datos, se venden y compran.
La información de una persona, con datos confidenciales, supone tener unos datos que faciliten llegar a ella o él. Por eso, muchas compañías intentan proteger esos datos y otras, lo contrario. La competencia desleal de los sectores empresarios, han hecho que se necesite crear mecanismos para parar esto. Unos de los profesionales, que saben muy bien como es esta competencia, son las agencias de detectives.
Que cada día, deben lidiar con este grave problema que sacude los entresijos de las empresas. La gestión de la seguridad en empresas se ha convertido en el objetivo de las organizaciones. El peligro que conlleva el robo de estos datos e informaciones ha hecho despertar a muchas empresas. Sobre todo, cuando se habla de la seguridad nacional y de organizaciones criminales como grupos terroristas.
Pasos para entenderla y ponerla en funcionamiento. Seguridad ante desconocimiento
Los incidentes de seguridad se pueden producir por muchas razones, algunas veces son pro imprudencias. No obstante, se sabe que muchos de estos problemas se producen por la negligencia o desconocimiento del personal. Muchos empleados desconocen una seguridad básica como pasar siempre el pendrive por el antivirus. O cuando se llevan el portátil, conectarse a redes públicas sin protección de un cortafuegos.
Muchas veces, cuando realizamos una pericial informática, nosotros mismos nos damos cuenta de estos puntos débiles. Por ello, esta norma pretende crear unas medidas que puedan orientar a las empresas o negocios. Dicha norma, fue creada por expertos en el medio lo que hace que sea perfecta para la seguridad.
La aplicación de la norma ISO 27001 es la adaptación al mundo tecnológico, que constantemente, está cambiando. El conjunto de herramientas como de políticas o procedimientos, junto con las medidas que se deben adoptar, confirma esta norma. La gestión de los sistemas de seguridad de la información, se convierte en una parte más de la organización. Mediante unos conocimientos y controles, se puede mantener la protección de los datos.
Puntos concretos iguales pero cada empresa tiene su propio ritmo
Esta norma tiene puntos similares, pero al mismo tiempo, deja que cada empresa tome sus decisiones. Cada una de ellas tiene un perfil concreto y una finalidad. Un ejemplo sería asumir que áreas deben ser protegidas. Un ejemplo, sería cuando nos contratan para la detección de dispositivos.
Son servicios que van dirigidos a empresas que manejan información delicada o importante. Y sus rivales o competidores pueden querer conseguirla. Esos servicios que ofrecemos sólo los contratan para empresas de grandes niveles. En cambio, para unas pequeñas pymes, no es tan necesario. Más bien con unas periciales se podría saber quién realiza esta competencia.
La norma de la que estamos viendo nos facilita unas plantillas de políticas. Del mismo modo, una empresa debe saber utilizar los softwares para evaluar riesgos. Simplifica y mejorando el proceso, dándonos una aplicación de los criterios de la información. Nos da el ISO 27001, diferentes aplicaciones que conforman un conjunto de herramientas. Todas ellas dirigidas a esta protección y a saber cómo aplicarlas. Facilitándonos a la vez, el cumplimiento de los requisitos legales que piden actualmente.
Que nos ofrece la norma ISO 27001 para nuestras empresas o pymes
Esta norma nos da la identificación de los riesgos y como establecer los controles para gestionar. Y en caso, si existe alguna incidencia, como detectarla y eliminarla. Un punto fundamental es la confidencialidad y trazar círculos de seguridad.
La ISO 27001 indica la autorización de algunos empleados, los cuales son los que manejan datos. Y los cuales, deben acceder y saber proteger esas informaciones. También otorga una flexibilidad para la adaptación de controles en todas las áreas. Se consigue que los empleados y los propios clientes, lleguen a confiar en que se estén protegiendo los datos. Todo esto hace que la norma se convierta en una ayuda tan necesaria como vital para la protección.
Cómo funciona la norma ISO 27001 y cómo se debe gestionar es algo que muchas empresas deberían saber. Si necesita un asesoramiento sobre esta norma, nuestros expertos le ayudaran, solo tienen que ponerse en contacto con nosotros.
D. Eduardo García de la Beldad Sanchis
Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).
