[:es]La criticidad de la gestion de la seguridad de la informacion en las empresas[:en]The criticality of the management of information security in companies[:]

[:es]Con los eventos recientes de hackers atacando las redes, las empresas pasando del papel, a la digitalizaciones de servidores y su tendencia a la recopilación de la información en la nube, se hace mas evidente la absoluta necesidad cuidar y mimar la informacion critica de las organizaciones, y de es de absoluta actualidad la importancia de la información en las empresas. Ya sea mediante obligaciones legales, como la Ley Orgánica de Protección de Datos o LOPD, o por las habituales noticias sobre vulneraciones de seguridades de compañías con la consecuente exposición de datos personales e información diversa, se nos está recordando constantemente la importancia de establecer una correcta gestión de la información de que se dispone e implantar unas adecuadas medidas de seguridad.

Junto a la seguridad física, las empresas tienen a su alcance un amplio número de herramientas que les ayudan a mejorar la gestión de la información de que disponen y que a continuación vamos a exponer brevemente.

 

La importancia de una correcta gestión de la seguridad de la información.

La gestión de la información y su correcta seguridad son temas de actualidad tanto para usuarios como para empresas públicas y privadas. En el caso de las empresas, desde hace muchos años, tienen claro que la información es uno de los activos más valiosos de la empresa ya que si se perdiera o se modificara por una acción externa ajena a la actuación de la empresa no sólo supondría gastos económicos o dificultades de gestión sino que también dañaría enormemente la imagen de esta.

A pesar de que muchas empresas empiezan ya a comprender esta importancia y la necesidad de utilizar sistemas que les permitan asegurar la información, implantan, según mi opinión, sistemas a medias. Es decir, adoptan sistemas de seguridad física como copias de seguridad, controles de acceso, video-vigilancia, alarmas, antivirus, sistemas antiincendios, etc. Sin embargo, se olvidan de adoptar además sistemas de gestión de la información que les permita controlar, preservar y gestionar adecuadamente esta información existente. Es decir, se centran más en la seguridad informática de los soportes donde se encuentra esta información almacenada, que la seguridad de la información propiamente dicha.

No quiero decir con esto que las empresas no deban establecer sistemas de seguridad informática o física sino que no puede ser lo único que realicen ya que los múltiples riesgos a los que se encuentran expuestos deben ser tenidos en cuenta a la hora de establecer los sistemas de seguridad adecuados que mantendrán la información esencial sobre la que se sustenta la administración de la empresa y todas sus gestiones y procesos, correctamente gestionada y mantenida de forma eficaz.

Para conseguir esto las empresas tienen a su alcance eficaces herramientas que a continuación vamos a indicar brevemente.

Herramientas para la gestión eficaz de la información.

Entre las diversas herramientas existentes vamos a destacar algunas de ellas a continuación:

• La primera de ellas y una de las más conocidas es la norma ISO27001. Esta norma es la herramienta perfecta para aquellas empresas que deseen gestionar y proteger adecuadamente la información que poseen ya que aporta las bases para evaluar los riesgos físicos y permite que se establezcan los controles y procesos eficaces para salvaguardar la información. La norma ISO 27001 sigue un enfoque basado en el ampliamente conocido círculo de Deming que consiste en Planificar – Hacer – Verificar – Actuar y que permite que se adapte eficazmente a otros sistemas que pueden estar implantados previamente o posteriormente en la empresa como un SGC de la ISO9001
• La Norma UNE – ISO/IEC 38500, Gobernanza corporativa de la Tecnología de la Información (TI), proporciona, tal y como nos dice la propia norma en su documento, “principios orientadores a administradores de las organizaciones (incluyendo propietarios, miembros del consejo, directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de Tecnología de la Información (TI) en sus organizaciones”.
• La Norma UNE-ISO 22301: 2013, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio (SGCN). Especificaciones, nos remite a la gestión de la continuidad del negocio y, tal como nos dice el documento, “especifica los requisitos para la planificación , el establecimiento, la implantación, la operación, la supervisión, la revisión, el mantenimiento y la mejora continua de un sistema de gestión documentado, a fin de que el negocio esté protegido contra incidentes disruptivo, así como reducir la probabilidad de ocurrencia de éstos, estar preparado contra, responder a y recuperarse de ellos cuando se presentan”.
• Por último, no podemos no comentar la Norma UNE-ISO/IEC 20000-1:2011, Tecnología de la Información. Gestión de Servicio. Parte1: Requisitos del Sistema de Gestión del Servicio (SGC). Para comprender la utilidad de esta norma, tal como hemos hecho con los anteriores puntos, vamos a hacer referencia a la propia norma que nos indica lo siguiente: “Especifica al proveedor de servicios los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGC”.

[:en]With the recent events of hackers attacking networks, companies moving from paper, to digitization of servers and their tendency to gather information in the cloud, the absolute need to take care of and pamper critical information of organizations becomes more evident , and the importance of information in companies is of absolute relevance. Whether through legal obligations, such as the Organic Law on Data Protection or LOPD, or the usual news about security breaches of companies with the consequent exposure of personal data and diverse information, we are constantly reminded of the importance of establishing a correct management of the information available and implement adequate security measures.

Along with physical security, companies have at their disposal a large number of tools that help them improve the management of the information they have available and that we will briefly explain next.

The importance of a correct management of information security.

Information is one of the most valuable assets of the company, so it must establish measures to ensure its management effectiveness and safety.

The management of information and its correct security are current issues for both users and public and private companies. In the case of companies, for many years, they are clear that information is one of the most valuable assets of the company because if it were lost or modified by an external action unrelated to the performance of the company, it would not only entail economic problems or management difficulties but would also greatly damage the image of this.

Although many companies are already beginning to understand this importance and the need to use systems that allow them to secure information, they implant, in my opinion, half-baked systems. That is, they adopt physical security systems such as backup copies, access controls, video surveillance, alarms, antivirus, fire-fighting systems, etc. However, they also forget to adopt information management systems that allow them to control, preserve and properly manage this existing information. That is, they focus more on the computer security of the supports where this stored information is located, than the security of the information itself.

I do not mean by this that the companies do not have to establish systems of computer or physical security but it can not be the only thing that they realize since the multiple risks to which they are exposed must be taken into account at the time of establishing the systems of adequate security that will maintain the essential information on which the management of the company is based and all its management and processes, properly managed and maintained in an efficient manner.

To achieve this, companies have at their disposal effective tools that we will briefly indicate below.

Tools for the effective management of information.

Among the various existing tools we will highlight some of them below:

The first of them and one of the best known is the ISO27001 standard. This standard is the perfect tool for those companies that wish to adequately manage and protect the information they have, as it provides the basis for evaluating physical risks and allows effective controls and processes to be established to safeguard information. The ISO 27001 standard follows an approach based on Deming’s widely known circle of Planning – Doing – Checking – Acting and allowing it to be effectively adapted to other systems that may be previously or subsequently implanted in the company as a QMS of the ISO 9001
The UNE Standard – ISO / IEC 38500, Corporate Governance of Information Technology (IT), provides, as the norm itself says in its document, «guiding principles for the administrators of organizations (including owners, members of the board , directors, partners, senior executives or similar) about the effective, efficient and acceptable use of Information Technology (IT) in their organizations «.
The Standard UNE-ISO 22301: 2013, Protection and safety of citizens. Management System for Business Continuity (SGCN). Specifications, refers to the management of business continuity and, as the document says, «specifies the requirements for planning, establishment, implementation, operation, supervision, review, maintenance and continuous improvement of a documented management system, so that the business is protected against disruptive incidents, as well as reduce the probability of occurrence of these, be prepared against, respond to and recover from them when they occur. »
Finally, we can not not comment on the UNE-ISO / IEC 20000-1: 2011, Technology

[:]