La seguridad de la información es un asunto neurálgico de toda organización porque la información crítica es amenazada constantemente y protegerla contribuye a la continuidad de las operaciones, al éxito sostenido, a cimentar una buena reputación; además que es un requisito intrínseco o muchas veces explícito de contratos, pedidos y otro tipo de acuerdos con partes interesadas. Sabemos que no nos podemos tomar a la ligera todo esto porque desde La Casa Blanca hasta grandes corporaciones y pequeñas empresas han sido atacadas, ya es popular la expresión “hay 2 clases de empresas, las que han sido hackeadas y las que no saben que han sido hackeadas”. 

Tema crucial, objeto de debate, tópico recurrente entre los entendidos, las palabras confidencialidad, disponibilidad e integridad deslizándose en leyes y artículos especializados. Nadie duda de la relevancia de la seguridad de la información. Pero ¿cómo aproximarnos a ella?  Hoy llegaremos a la raíz del asunto mientras exploramos requisitos clave de la norma ISO/IEC 27001- Sistemas de gestión de seguridad de la información. Para ello nos vamos a enfocar en los principios que necesitamos comprender y aplicar: 

1. Mejora continua: La mejora continua es el pulso que mantiene vivo el sistema de gestión de seguridad de la información (SGSI). Nos deja saber que nuestro trabajo puede evolucionar y producir resultados sorprendentes, no importa desde qué nivel de madurez partas, siempre hay oportunidad de mejorar y adaptarse según los retos del contexto. No se trata de cumplir con un conjunto estático de criterios, sino de adoptar un proceso iterativo de evaluación y ajuste. Esto significa que la organización debe estar siempre en busca de maneras de hacer que los controles de seguridad sean más eficaces. Implementar un ciclo PHVA (planificar, hacer, verificar y actuar) garantiza que los procesos de seguridad no solo se mantengan relevantes frente a las amenazas numerosas y a las tecnologías cambiantes, sino que también mejoren continuamente.

1. Apreciación de riesgos de seguridad de la información: identificar, analizar y evaluar los riesgos de seguridad de la información es fundamental. Si no lo hacemos, el equivalente sería estar en un campo de batalla desnudos y con los ojos vendados. Un enfoque efectivo de gestión de riesgos comienza con la comprensión del impacto de las amenazas potenciales y su probabilidad de ocurrencia. Ello incluye no solo riesgos tecnológicos, sino también factores humanos y de ejecución de los procesos. Si conocemos nuestra situación y a lo que nos exponemos tendremos una visión capaz de ayudarnos a implementar las medidas de seguridad más apropiadas, oportunas y priorizadas que también deberían estar alineadas con los objetivos estratégicos de la empresa.

2. Plan de tratamiento de riesgos: Ya conocemos al enemigo, lo medimos y valoramos. ¿Cómo lo atacaremos? Es necesario trazar un plan que detalle qué haremos con cada riesgo identificado. Podemos escoger entre mitigar, transferir, aceptar y evitar. ¡Como en la vida misma! La selección de controles adecuados y su integración en los procesos de la organización serán esenciales para tener riesgos a niveles aceptables. Y como hay mucho en juego, este plan tiene que ser eficaz y asegurar que los recursos de seguridad de la información se utilicen de la mejor manera. 

3. Declaración de aplicabilidad: es una hoja de ruta, un mapa preciso que nos indica qué controles de ISO/IEC 27001 seleccionamos y por qué. También justifica los controles que no se han implementado, proporciona claridad y justificación para las decisiones de gestión de riesgos. Este documento no solo ayuda a gestionar la seguridad de la información de una manera estructurada y justificada, sino que también actúa como una herramienta de comunicación clave con las partes interesadas, lo que demuestra el compromiso de la organización con la ciberseguridad y ayuda a que seamos percibidos como confiables. 

5. Monitoreo continuo: ¡Ya hemos hecho mucho como para descuidar todo el trabajo! Establecer controles es importantísimo, pero también es necesario monitorear su eficacia y asegurar que sigan siendo adecuados frente a las circunstancias cambiantes. Por ejemplo, haremos modificaciones si detectamos problemas de seguridad potenciales, antes de que se conviertan en brechas. Si existen nuevas necesidades en nuestras partes interesadas, tendremos que hacer ajustes. No hay una sola forma de monitorear, podemos hacerlo, por ejemplo, al revisar regularmente los sistemas de seguridad, aplicar inteligencia de amenazas y al hacer auditorías internas. La clave es la adaptación, pues los desafíos abundan y tenemos que estar listos para ellos. 

Puede decirse que explicamos de qué está hecho el corazón de la seguridad de la información. Y para ponerlo a latir de manera fuerte, vamos a requerir muchísimo compromiso con cada principio explicado. Necesitamos entenderlos y aplicarlos para vivir en un entorno organizacional basado en la protección.