No te despistes y protege tus datos



El último informe de amenazas de ciberseguridad realizado por la compañía ESET refleja que España es uno de los países que mayor número de ataques informáticos sufre, siendo los métodos más comunes el phishing, los troyanos bancarios y el ransomware. Muchos de los ciberataques que sufren las empresas se deben principalmente a dos factores: la falta de ciberseguridad de los equipos y la falta de formación de los empleados.

La brecha de seguridad más frecuente es el correo electrónico, puerta que la mayoría de ciberatacantes aprovechan para engañar a las víctimas mediante la ingeniería social. En España, las pymes forman el 99% del tejido productivo, y apenas el 30% de ellas ha implementado soluciones de ciberseguridad para proteger sus datos de forma efectiva.

La falta de cultura digital y el desconocimiento acerca de las soluciones que deben implementar explican en gran medida el por qué la mayoría de pequeñas y medianas empresas no tienen un protocolo de ciberseguridad. Proteger los equipos informáticos no debe verse como un gasto, sino como una gran inversión a futuro.

Teniendo todo esto en cuenta, es muy recomendable la puesta en marcha de un Sistema de Gestión de la Seguridad de la Información (ISO 27001). Una norma de carácter internacional que garantiza la integridad y confidencialidad de los datos, así como de los sistemas que se encargan de su procesamiento.

Gracias a la ISO 27001, compañías de todos los tamaños y sectores de actividad pueden evaluar el riesgo en tiempo real y aplicar los controles que consideren oportunos para mitigarlos o eliminarlos. Un Sistema de Gestión de la Seguridad de la Información supone una diferenciación con respecto a la competencia ya que aumenta la confianza de los clientes y mejora la imagen de la empresa.

ISO 27001: estructura

La estructura de la norma ISO 27001 es la siguiente:

  • Objeto y campo de aplicación: la norma comienza aporta una serie de indicaciones acerca del uso y el objetivo de aplicación del Sistema de Seguridad de la Información.
  • Referencias Normativas: recomienda la consulta de determinados documentos para la aplicación de la norma.
  • Términos y Definiciones: describe la terminología que se aplica a la norma 27001.
  • Contexto de la Organización: engloba una serie de indicaciones sobre el conocimiento de la organización y la comprensión de las necesidades
  • Liderazgo: hace hincapié en la necesidad de que todos los trabajadores se formen en ciberseguridad para contribuir a la puesta en marcha del Sistema de Seguridad de la Información con el apoyo de la alta dirección.
  • Planificación: es importante determinar las amenazas y las oportunidades, así como definir objetivos y trazar el camino para alcanzarlos.
  • Soporte: la compañía debe contar con las competencias y recursos necesarios.
  • Operación: para cumplir con los requisitos que exige la ISO 27001, es necesario la planificación, implementación y análisis de todos los procesos de la compañía.
  • Evaluación del Desempeño: la empresa debe aplicar un plan de seguimiento y medición del Sistema de Gestión de la Seguridad de la Información para garantizar que funciona tal y como se ha planificado.

¿Cuáles son los beneficios?

Una de las ventajas más destacadas de la ISO 27001 es que integra la Gestión de Riesgos de Seguridad de la Información en base a la mejora continua. La norma está alineada con los objetivos del negocio.

A esto hay que sumar que garantiza el cumplimiento del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

Para obtener la certificación, la empresa debe implementar controles eficaces para la notificación de brechas de seguridad en tiempo real. Esto demuestra transparencia y eficacia en el tratamiento de los datos personales.