¿Cómo optimizar la seguridad de la información en tu organización?

Seguridad de la información

El pasado 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información. Se viene haciendo desde 1988 con el nombre Computer Security Day, como iniciativa de la Association for Computing Machinery de EEUU. El objetivo es concienciar e invitar a reflexionar a los usuarios sobre los peligros que amenazan a la integridad de nuestros equipos informáticos y de la información que contienen.

Es la mejor fecha para recordar algunas claves fundamentales para proteger tu privacidad y la de la información con la que trabaja día a día un abogado.

Plan Director de Seguridad

Se destinan recursos y tiempo para crear un Plan Director de Seguridad. A menudo se comete el error de no llevar una gestión planificada de la ciberseguridad de tu organización o despacho como se lleva de cualquier otro proceso productivo. Es necesario proteger la información para proteger tu negocio.

Un buen plan te ayuda a plasmar los diferentes objetivos estratégicos y las obligaciones legales en materia de seguridad informática, además se deberá establecer las buenas prácticas que tienen que cumplir los empleados y terceros, además es importante que se permita conocer la relevancia y el alcance de la información, aspectos los que no siempre somos conscientes.

Muros encriptados

La encriptación de la información es un término muy antiguo que ha adquirido especial relevancia a la hora de proteger nuestros datos y la información que enviamos o recibimos frente a los ataques contra nuestra privacidad. Alguien deberá detectar un correo que enviamos o lograrse entrar en la nube donde almacenamos los datos, tendría acceso a toda la información que contiene. Si utilizamos alguno de los diferentes tipos de cifrado y encriptación, reforzaríamos la lucha contra el robo de información.

Muchos expertos recomiendan utilizar un código único para cada segmento de la organización. Si los hackers entran, solo tendrán acceso a los datos específicos de la comunidad o segmento. Si hacemos un símil, es como construir pequeños muros encriptados, además de la seguridad perimetral al castillo. El encriptado o cifrado es una herramienta complementaria a los antivirus, firewall, firma digital, etc. que siempre deberá estar al día.

Regla del 3-2-1

Es una regla de oro para realizar copias de seguridad. Se generan 3 copias de seguridad de tus datos sensibles, si es posible a diario, y si no, con la mayor frecuencia que puedas. Se deben almacenar las copias en 2 soportes diferentes. Es necesario guardar la tercera copia en un edificio distinto o en la nube para evitar que, en caso de robo, incendio o cualquier catástrofe, todos tus datos se pierdan.

La información es un activo vital para la continuidad y desarrollo de cualquier empresa, su adecuada protección se ha vuelto esencial para mantener la confianza de los clientes, es necesario proteger la reputación de una empresa y protegerse contra la responsabilidad legal.

La información se convierte en un elemento trascendental en nuestra forma de trabajar, y es imposible pensar el trabajo de un profesional o el desempeño de una compañía sin ellas.

La seguridad de la información no sólo es una cuestión de las empresas TIC, sino de cualquier tipo de empresa, siendo de forma especial en aquellos sectores donde la información se maneja de forma crítica, y se manejen grandes volúmenes de información.

Los perjuicios que ocasionan los incidentes de seguridad, siendo incómodos y en muchos casos de forma económica.

Sólo existe una forma de gestionar de manera adecuada según la seguridad es necesario,

• Identificar
• Analizar
• Evaluar
• Gestionar los riesgos de seguridad de la información

La norma ISO 27001 no establece requisitos absolutos para la gestión de riesgos de seguridad de la información, pero sí son el medio más eficiente de minimizarlos, es necesario que se asegure que son identificados, evaluados y gestionados, además es necesario gestionar el impacto para la empresa, y adoptar los controles y procedimientos mucho más eficaces y coherentes con la estrategia de negocio.

La norma ISO 27001 especifica las medidas y los controles de seguridad, con el fin de proteger todo aquello que es importante para la empresa, los activos y la información que manejan.

Los principales requisitos de la norma ISO 27001:

• El liderazgo es imprescindible en la alta dirección
• La consideración del contexto como factor estratégico
• Evaluar, gestionar y tratar el riesgo, como elemento clave
• Medidas organizativas, técnicas y legales, además es necesario conseguir la protección de la información
• Establecer los mecanismos de control de acceso físico, lógico, control de red y criptográficos
• Asegurar la seguridad de la información en el servicio a terceros y en el intercambio de la información
• Disponer de todos los contratos de confiabilidad con los empleados
• Formar acuerdos con los proveedores que incluyan requisitos de seguridad
• Cumplir con la legislación aplicable en materia de protección de datos personales
• Utilizar el software con licencias
• Gestión de las incidencias relativas a la seguridad de la información
• La importancia de la gestión desde el punto de vista seguridad de la información debe comunicarse dentro de la empresa, la toma de conciencia y el compromiso de todas las personas de la organización
• Proporcionar la formación necesaria para garantizar la competencia de las personas que llevan a cabo tareas llevadas a cabo con la seguridad de la información
• Preservar la continuidad de los recursos de formación, llevar a cabo las pruebas

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.