- Brinda un marco que cuenta con requerimientos legales, regulatorios y contractuales.
- Provee una meta común, la cual facilita la implementación del sistema de gestión de seguridad de la información y los controles de seguridad.
- Formaliza y verifica de forma independiente los procesos, procedimientos y documentos de seguridad de información.
- Verifica de forma independiente que los riesgos para la organización estén propiamente identificados y administrados.
- Demuestra a los clientes que la seguridad de su información es algo serio.
- Ayuda a proveer a la organización de una ventaja competitiva.
Certificación que asegura tu información
Normas como ISO/IEC 27001 generan mayor lealtad y confianza de los clientes hacia las organizaciones. Te decimos por qué.
México se encuentra entre los primeros 50 países de la lista de los más afectados por troyanos financieros, un tipo de malware que puede interceptar y redireccionar transacciones desde las sesiones de banca en línea. Las empresas del sector financiero han luchado contra el malware por más de 10 años, y precisamente en enero (de 2015) el sector fue blanco del 29% de las estafas dirigidas (spear phishing) a nivel mundial, según información de Symantec.
En otro estudio, Kaspersky Lab cita que más de 25 países fueron víctimas de un grupo de ciberdelincuentes, quienes robaron más de 1,000 millones de dólares en los últimos dos años, al infiltrarse en su red a través del malware y espiando las computadoras de sus empleados para facilitar un gran número de transferencias.
Son claros ejemplos de que éstas y otras organizaciones, que supuestamente deberían estar altamente protegidas, llegan a presentar fuga de información confidencial sin que se den cuenta, poniendo en riesgo el activo más importante de la compañía y ocasionando un daño irreparable a su imagen y reputación.
Existen diversas medidas y alternativas para mitigar dichos riesgos, a lo cual se suma que las empresas deben fundamentar sus operaciones y servicios a través de un SGSI (Sistema de Gestión de la Seguridad de la Información), concepto central sobre el que se ha diseñado la Certificación ISO/IEC 27001. Su revisión más reciente fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
Esta norma internacional, emitida por la Organización Internacional de Normalización (ISO), consiste en proteger la confidencialidad, integridad y disponibilidad de la información en una compañía, y puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Además se fortalece la credibilidad, demostrando claramente la validez de los datos y el compromiso efectivo para mantener altos estándares de seguridad de la información.
ISO 27001 se centra en investigar cuáles son los potenciales problemas que podrían afectar la información, y luego define las medidas a implementar para evitar que estas dificultades se produzcan. Cabe aclarar que la gestión de la seguridad de la información no sólo se basa en la infraestructura tecnológica; también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, entre otros aspectos.
De acuerdo con el último estudio presentado por el Comité ISO/IEC 27001 (JTC 1/ SC27/ WG 1), los cuatro sectores que se preocupan y cuentan con dicha certificación son: Servicios (27%), Telecomunicaciones (18%), Tecnología (15%), y Finanzas y Seguros (12%). Algunos de los beneficios que las compañías obtienen con esta certificación, de acuerdo con BSI Group México, miembro fundador de la Organización Internacional de Normalización, son:
