La Nch ISO 27001 fue generada para proporcionar los requisitos, establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de seguridad.

Lo destacable aquí está en el hecho de que la adopción de normas como la citada en cuanto a sistemas de gestión de la información obedece principalmente a una decisión estratégica de la organización.

Una organización que no cuenta con la madurez suficiente y carece de una visión clara respecto a lo que es Gobierno TI, basa fuertemente su seguridad en el esfuerzo individual de especialistas específicos, lo único que demuestra es una ignorancia perjudicial para toda la organización, comenzando desde quien dirige el Area TI.

La relevancia de adoptar un sistema de gestión de la seguridad de la información radica en el esfuerzo organizacional de trabajar en conservar la confidencialidad, integridad y disponibilidad de la información al aplicar procesos de gestión de riesgo, entregando confianza a las partes interesadas cuyos riesgos son gestionados de manera adecuada.

Cuando la seguridad de la información está definida de manera reactiva por lo que un “Oficial de Seguridad Indique” o lo que cada profesional involucrado estime conveniente, se generan riesgos inherentes al criterio de cada uno de ellos, llegando a ser a veces tan disperso como los peces en el océano.

Es importante que el sistema de gestión de seguridad de la información sea parte de y esté integrado a los procesos de la organización y a la estructura de gestión general, considerando por supuesto a la seguridad en el diseño de los procesos, sistemas de información y controles vinculados.

En general se espera que la implementación de un sistema vinculado a la gestión de seguridad de la información sea escalada de acuerdo a las necesidades de cada organización, pero aun así, jamás se debe asociar este tipo de prácticas a solo instituciones bancarias, pues cualquier organización relativamente madura debe de una u otra forma considerar en sus procesos el concepto de seguridad.

Lamentablemente existen “Profesionales” que lideran áreas TI aplicando nociones obsoletas y excluyendo completamente la visión sistémica en lo que respecta a gestión de riesgos informáticos. Por lo general, este tipo de “profesionales” está mas enfocado en que cada profesional del área TI haga su trabajo bajo sus propios criterios, en lugar de implementar un sistema que gestione adecuadamente los riesgos para toda la organización.

En general la norma ISO 27001:2013 puede ser utilizada por partes internas y externas para evaluar la capacidad dela organización para cumplir con sus propios requerimientos de seguridad y para ello hay que comenzar por definirlos.

Leave a comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.