Actualmente una de las problemáticas que enfrentan las empresas es organizar la seguridad de la información y más aun hablando del incremento de los delitos informáticos cada vez más graves, sin embargo, el estándar internacional ISO 27001 nos brinda buenas prácticas para implementar un Sistema de Gestión de Seguridad de la Información que permita minimizar los riesgos en los activos de información, es decir, prevenir y realizar los tratamientos a esas amenazas y vulnerabilidades en el tiempo prudente.
Proteger la información es velar porque se cumplan los tres principios de la seguridad de la información, confidencialidad, integridad y disponibilidad, para lograr esto las empresas deben cumplir con unos controles mínimos en la seguridad de la información entre ellos se puede nombrar como relevantes:
Políticas de seguridad de la información
Control de acceso
Gestión de activos
Clasificación de la información
Transferencia de la información
Planes de continuidad del negocio
Seguridad de las comunicaciones
Vulnerabilidades técnicas
Eventos de seguridad
La Ley de protección de datos (LPD), aprobada recientemente en el Ecuador evita el uso indiscriminado de datos personales precisamente de aquellos en cuya clasificación quedaron catalogados como confidenciales, estrictamente confidenciales o privados y que persigue garantizar y proteger el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.
La misma ley indica que debe existir un encargado del tratamiento de datos personales y un responsable de la seguridad de los datos personales, lo que conlleva a que dentro de la organización interna de la seguridad de la información se cuente con estos dos roles o cargos, además con unas responsabilidades claras, sanciones e infracciones para quien incumpla dichos lineamientos.
Desde la experiencia vivida como consultora, capacitadora y auditora en la implementación de un SGSI las empresas tienen aislados su procesos de seguridad de la información lo que no permite verlo como un sistema de gestión que permita demostrar planificación, ejecución, verificación y actuación ante las brechas de seguridad de la información, la invitación es quizás a que revisen al interior el grado de madurez de la entidad frente a la seguridad de la información y con esto trazar la ruta para llegar a cumplir este estándar y dar tranquilidad en la protección de estos datos.
Conocer o implementar un Sistema de Gestión de Seguridad de la Información basado en la norma internacional ISO 27001, asegura que las empresas cumplan con la Ley de protección de datos personales por dos razones fundamentales:
1) Se deben levantar los inventarios de todos los activos de información de la entidad e indicar el debido tratamiento que incluya herramientas que permitan asegurar su acceso, de acuerdo a su criticidad o clasificación.
2) Se deben establecer procedimientos que aseguren el cumplimiento de todas las normativas legales vigentes.
Conclusión
Implementar un SGSI es una herramienta de ayuda para administrar la información en todos los dispositivos y en todas sus formas lo que conlleva a que en momentos críticos la protección de los datos esté garantizada, estar preparados para resistir cualquier ciberataque y lo mejor hace que la organización esté cumpliendo con la legislación vigente en materia de información personal y propiedad intelectual.
Para mayor información y detalles sobre la relación entre un SGSI y el cumplimiento de la LEY DE PROTECCIÓN DE DATOS, contáctanos.
Redactado por:
Ing. Liliana Martínez Rendón
Equipo de consultoría de INFORC LATAM
Especialista en Auditoria de Sistemas
Consultora ISO/IEC 27001, ISO 9001 e ISO 17020