Ante la vulnerabilidad de los datos personales, que se han convertido en el país y el mundo en un blanco fácil para cometer ciberdelitos, la Organización Internacional de Normalización (ISO) creó la norma ISO 27001, certificación que surge para proteger la identidad de los usuarios; sin embargo, especialistas en ciberseguridad revelan que este blindaje hoy es insuficiente debido a que la información puede caer “en manos equivocadas y poner en riesgo la seguridad del cliente y por lo tanto, de una organización”.
En el marco del Día Internacional de la Seguridad Informática, que se celebra hoy, la empresa Delta Protect explicó que la ISO 27001, al igual que otros estándares de sistemas de gestión ISO, representan el primer paso para blindar a los usuarios de fraudes cibernéticos, el problema es que la ISO no realiza la certificación, se apoya de organismos externos para este propósito.
Destacó que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de los mismos.
Así, los controles de seguridad que requiere la norma se implementan a través de softwares y equipos. También establece la definición de políticas y procedimientos.
Santiago Fuentes, CEO y Cofundador de Delta Protect, explicó que esimportante tomar en cuenta estos controles de seguridad e ir más allá, pues “los problemas cibernéticos traen como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes y graves problemas a nivel financiero”.
“Esta norma es el primer paso para lograr que las organizaciones inviertan de manera adecuada y oportuna en la ciberseguridad, pero recordemos que, a partir de la pandemia, los ciberdelitos aumentaron 400 por ciento”, señala el CEO.
La empresa sugiere a las organizaciones una lista de hacks que pueden ayudar a prepararse para cumplir con la norma 27001 como:
Establecer un equipo de trabajo capacitado, que conozca e implemente el Sistema de Gestión de Seguridad de la Información (SGSI).
Determinar el alcance del SGSI. Para ello debe considerar factores internos como: misión, visión y objetivos; gobierno y estructura organizacional; cuáles son los roles y responsabilidades, políticas, objetivos y estrategias de la organización.?
Implementar todos los controles de seguridad necesarios para mitigar los riesgos de seguridad de la información identificados. Es crucial el apoyo de la alta dirección. Además, es indispensable la adición de recursos humanos, técnicos y financieros.
Generar documentación y evidencia. Una vez implementados los controles, conservar la documentación necesaria para soportar el SGSI.
Pre Auditoría / Auditoría. Una vez que se implementó el SGSI con todos los controles de seguridad aplicables, la institución o empresa están listos para la certificación a través de un organismo externo. Sin embargo, como mejor práctica, Delta Protect recomienda llevar a cabo una pre auditoría, de modo que se puedan identificar posibles inconformidades por parte del auditor y resolverlas antes de la siguiente auditoría final de certificación.
