Hoy en día no es extraño ver que empresa cuenten con certificaciones ISO 9001, lo cual se relaciona inmediatamente con Sistemas de Gestión de la Calidad, pero existen además otro tipo de Sistemas de Gestión, los cuales se relacionan con las Tecnologías de Información y Comunicación (TIC).

Por: Andrés Del Alcázar Cavallo, Director Carreras Escuela Informática y Telecomunicaciones. DuocUC, Sede Padre Alonso de Ovalle

La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la empresa. El hecho de disponer de certificaciones ayuda a gestionar y proteger la información. Tanto las pequeñas, medianas y grandes empresas, reconocen que los sistemas de información representan para su funcionamiento y supervivencia un alto grado de vulnerabilidad, inherente a la propia naturaleza de estos sistemas. Y lo que es más grave, la insuficiencia de las políticas y normas de seguridad implantadas.

Con frecuencia se es testigo y/o víctimas de ataques de virus, de hackers, e incluso de empleados o usuarios mal intencionados que acceden a información confidencial y la utilizan en beneficio propio. En muchas ocasiones se es consciente de los daños causados cuando es demasiado tarde.

Otras situaciones reflejan retrasos o ineficiencias en los casos de fallos de aplicaciones, ausencias de personal calificado o certificado, sistemas de respaldo incompletos o ineficientes, costos excesivos o baja rentabilidad. Muchas veces la alta gerencia aspira a que sus negocios funcionen sin interrupción o con un grado de riesgo que represente una baja probabilidad que dichas interrupciones se materialicen, además quieren que el trabajo que realiza su personal sea eficaz en tiempos y costos. Cada interrupción puede hacer perder a la empresa miles o millones de pesos, retrasos en la facturación, pérdidas de credibilidad frente a sus accionistas, empleados, proveedores y/o clientes.

Estándares Internacionales

Para salvaguardar la información dentro de las empresas, existen varios estándares internacionales que pueden ser aplicados a cualquier empresa u organización de cualquier parte del mundo.

Dentro de estos estándares, la Organización ISO (International Organization for Standardization) y la Comisión IEC (International Electrotechnical Commission) han venido publicando distintas normas, entre las que se encuentran las certificaciones y una de ella es la ISO/IEC 27001, la cual es una norma internacional auditable que permite a las empresas certificar su Sistema de Gestión de la Seguridad de la Información (SGSI), esta se creo para garantizar la selección de controles de seguridad adecuados y proporcionales.

Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

Otra de las normas relacionadas con el aseguramiento de la información es la Norma ISO 17799 en el año 2005 (ISO/IEC27002), que es un Código de Buenas Prácticas orientadas a reducir los riesgos y a aproximarse a una continuidad del negocio derivada de la adecuada Gestión de la Seguridad de la Información. Es un marco unificado de control de seguridad interno que recorre toda la compañía, desde la Dirección hasta los activos pasando por la seguridad física, la lógica, el cumplimiento legal, etc.

De esta manera, existe una referencia oficial orientada a que los usuarios de los servicios no sufran las consecuencias de la falta de continuidad del servicio de las empresas o instituciones que los ofrecen.

Por qué es importante contar con una certificación

Porque es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad, sector público y tecnología de la información (TI). También es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.

Cómo prepararse para la Certificación

La preparación de una empresa para conseguir la certificación de su SGSI, es un trabajo de especialistas que requiere amplios conocimientos de organización, gestión de los sistemas de información y de la tecnología actual relativa a la seguridad de la información. Si la empresa está interesada en certificarse, pero no cuenta con especialistas, la opción más económica, práctica y rápida, es contratar una consultora especializada en Seguridad de la Información para llevar a cabo esta preparación.

Acciones involucradas en un SGSI

Asumir y hacer parte intrínseca determinados procesos, comportamientos y acciones para mejorar.
Establecer y/o reordenar la gestión de la Seguridad de la información, en concordancia con sus Planes Estratégicos y su negocio.
Gestionar eficazmente la Seguridad, lo que permite garantizar la Confidencialidad, la Integridad y la Disponibilidad de la información.
Ejercer el control interno sobre los principales activos mediante un ciclo de mejora continua.

Política de seguridad de la información para Chile

En Chile el Instituto Nacional de Normalización (INN) desarrolló la norma NCh 2777, declarada oficial de la Republica de Chile por Resolución Exenta Nº 92 Del Ministerio de Economía, Fomento y Reconstrucción y tiene por objeto resguardar la seguridad, integridad, fidelidad y confiabilidad de la información que procesan las empresas y organismos de distinta naturaleza, esta norma es una homologación de la certificación ISO 17799.

Los propósitos de esta norma son los siguientes:

Confidencialidad
Disponibilidad
Evaluación de Riesgo
Gestión de Riesgo
Integridad
Seguridad de la información

Además considera controles que son esenciales en una empresa, desde el punto de vista legislativo, como:

Protección de datos personales
Salvaguarda los registros organizacionales de información
Derechos de propiedad intelectual

Desde el punto de vista de las mejores prácticas en seguridad de la información, como:

Documentación de las políticas
Asignación de responsabilidades
Educación y entrenamiento
Informes de incidentes en la seguridad
Gestión de la continuidad comercial

Por último, se deben tomar en cuenta los factores críticos para la implementación exitosa de la seguridad de la información en la empresa, como:

Políticas de seguridad
Apoyo visible de la gerencia
Buen entendimiento de los requisitos de seguridad, evaluación y gestión de riesgo
Distribución de las normas y políticas de seguridad de la información a todos los empleados y contratistas
Entrenamiento y educación adecuada
Utilización de sistemas de medición

Cabe destacar que si no se establecen políticas para asegurar la información, criterios internos en las empresas, existe compromiso por parte de los empleados y la gerencia, será más difícil implementar, tanto las certificaciones como normas existentes, además es necesario el compromiso y revisiones de los procesos.

El contar con una certificación internacional, le da a las empresas una ventaja competitiva y por ende un valor agregado, además de estar constantemente revisando sus procesos para una mejora continua y cumplir con los estándares de las certificaciones y normas.