La continuidad del negocio es un riesgo muy importante que preocupa al 47,2% de las empresas latinoamericanas. En gran medida esos riesgos vienen derivados de problemas con la ciberseguridad.
Hace mucho tiempo el control que realizaban los empresarios era el de controlar que los trabajadores no perdieran el tiempo en la organización dedicando tiempo a otros quehaceres que no fueran los estrictamente laborales. Hoy en día, esto ha cambiado, se presenta un gran abanico de riesgos que pueden afectar a la seguridad informática de la organización, y que hace que ésta se vea forzada a establecer una serie de protocolos que deben seguir los trabajadores.
Realizar una valoración de los riesgos de la seguridad de la información, es una de las principales actividades que se debe realizar al implementar la norma ISO 27001 en nuestra empresa. Al realizar la valoración de los riesgos se determinarán: los controles que se deben aplicar, las acciones y tratamientos a realizar, los objetivos a cumplir, etc. Y, por lo tanto, es crítico, para que el Sistema de Gestión de Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la empresa.
Uno de los cambios más significativos de la norma ISO 27001, un estándar mundial para Sistemas de Gestión de Seguridad de la Información, es que no prescribe ningún enfoque en la evaluación del riesgo. A pesar de que aún requiere la adopción de un enfoque de evaluación de riesgos basado en procesos, tiene la obligación de usar un modelo activo-amenaza-vulnerabilidad en la identificación de los riesgos existentes.
Existe un ambiente dinámico de los riesgos en seguridad, ya que muestra continuos cambios, nuevas amenazas se desarrollan, se descubren vulnerabilidades e incidentes de seguridad que tienen grandes repercusiones. Es cuestión de tiempo que las organizaciones padezcan las consecuencias de dichas amenazas, por eso deben protegerse con la norma ISO 27001.
La norma ISO 27001 sobre la Seguridad de la Información, conseguir tener seguridad cuesta tiempo, dinero y esfuerzo. Es posible que se obtengan diferentes niveles mínimos de seguridad sin gastar de forma considerable.
Según la norma ISO 27001 la seguridad de TI comprende a todos los activos de información y como hoy en día casi todo se encuentra informatizado se extiende a casi toda la organización.
La norma ISO 27001 establece que una fuente de vulnerabilidad se encuentra asociada al fallo en la seguridad del entorno no impendo que se encuentre sin autorización, lo que puede generar daños en las instalaciones de la organización y la información sensible de ésta.
El principal objetivo que tiene la ISO 27001 es asegurar que la empresa tiene la suficiente capacidad como para cubrir la demanda actual y futura de su negocio.
Según la norma ISO 27001 el personal que realiza el trabajo para asegurar la Seguridad de la Información tiene que ser competente, y esto será gracias a las capacitaciones que reciba, las habilidades con las que cuente y la experiencia adquirida a lo largo del tiempo.
