Hola, en este post vamos a tratar el tema de la certificación ISO 27001 versus la vida real.
Tener una certificación ISO 27001 es una garantía de que la organización está haciendo las cosas bien para proteger la información del proceso o servicio que está certificado. La información es el activo más importante, por ello, esta certificación se centra en establecer políticas orientadas a protegerla.
Hay una parte en donde este asunto se divide en dos caminos, la organización que busca desesperadamente estar certificada para tener un status o para atraer nuevos negocios, también está la organización que realmente se preocupa por la protección de la información independientemente de la certificación.
Entre las organizaciones que solo quieren la certificación, están las que solo desean cumplir con lo estrictamente necesario, buscando las zonas grises en la norma para medio cumplirla, porque es lo que la norma pide para certificarse, sin tener en cuenta lo que realmente pide la norma para proteger la información.
Nada más peligroso para la organización, el tener una falsa sensación de seguridad, pensando que por estar certificada en la norma se va a estar libres de riesgos, es como construir un castillo sobre cimientos de arena.
La ISO 27001 es una norma de aplicación de requisitos que contienen las mejores prácticas de seguridad de la información y el establecimiento de políticas y controles para el mejoramiento de su protección, es por decirlo de otra forma, lo mínimo que se debe cumplir para proteger la información. Puede irse un poco más allá, estableciendo políticas y controles adicionales que no estén contemplados dentro de la norma y que ayuden a proteger la información.
La seguridad debe ser un culto, un modo de vida, una inmersión dentro de la organización a todo nivel. Todos los empleados y contratistas debe respirar "seguridad de la información", deben vivirla dentro y fuera de la empresa.
Internet es un terreno hostil, la vida diaria también los es, día a día, hackers maliciosos buscan como hacerse con la información de la empresa, tanto a través de las redes, como mediante técnicas de ingeniera social.
Por ello, se hace necesario la capacitación constante del personal técnico para que este al día en las últimas contramedidas a los ataques de los ciberdelincuentes. De igual forma se hace necesaria la concientización a nuestros empleados y contratistas para que sepan detectar ataques de ingeniería social y sepan como tratarlos.
Mi invitación, es a tener en cuenta estos tres consejos para entrelazar las certificaciones, la organización y la vida real:
- Vivir la seguridad de la información dentro y fuera de las organizaciones.
- Propender porque las certificaciones que se logren sean solo el reflejo del desarrollo de las mejores políticas y controles implementados para la protección de la información.
- Concientizar y capacitar continuamente a empleados y contratistas.
Les deseo unas ciberseguras y felices fiestas.