SGAIM OBTIENE LA CERTIFICACIÓN ISO 27001: ENTREVISTA AL DIRECTOR DE SEGURIDAD

01-12-2016

SGAIM ha superado con éxito la auditoría de la certificación ISO 27001 sobre seguridad de la información. Manuel Callejas, Chief Security Officer, fue el encargado del proyecto del Sistema de Gestión de la Seguridad de la Información.

 

¿En qué consiste la seguridad de la información?

La Seguridad de la Información tiene como fin la protección de la misma y de los sistemas de acceso, uso, divulgación, interrupción o destrucción no autorizada. Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos, que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

No debemos confundir el concepto seguridad de la información con el de seguridad informática, ya que este último sólo se encarga del medio tecnológico. La información puede encontrarse en otros medios como una conversación, un escrito, un fichero electrónico, entre otros.

Al ser uno de los principales activos de las organizaciones, la protección de la información es esencial para asegurar la continuidad y el desarrollo del negocio. Cuanto mayor es el valor de la información, mayores son los riesgos asociados a su pérdida, deterioro, manipulación indebida o malintencionada.

 

En España ¿Qué importancia se le da a la seguridad de la información?

A pesar de tener normativas y leyes rigurosas con respecto a la seguridad de la información y de la gestión de datos personales, como por ejemplo la LOPD, en España muchas empresas no están sensibilizadas sobre el tema. Creo que es de suma importancia trabajar en este último punto, teniendo en cuenta que los ciberataques aumentan cada día poniendo en riesgo la integridad de la información.

Debemos entender que la seguridad de la información no es una opción, es una necesidad. En SGAIM al trabajar con empresas en ámbitos europeos e internacionales, consideramos todos los factores que puedan influir en la gestión de la información que procesamos.

 

¿Qué acto cotidiano puede ser un peligro para la seguridad de la información?

Acciones que a priori parecen sin importancia, como una conversación entre compañeros de trabajo en un lugar público, un documento tirado en una papelera sin triturar, un portátil con información critica sin protección, entre otros, son en definitiva oportunidades para que la información se vuelva sensible a ser accedida por cualquier persona no autorizada.

 

¿Qué es la ISO 27001?

Es una norma que adopta un proceso enfocado para establecer, implantar, hacer funcionar, seguir, revisar, mantener y mejorar el Sistema de Gestión de la Seguridad de la Información (SGSI) de la organización. Determina los requisitos y pautas a seguir para que el SGSI, sea certificable por un tercero acreditado.

 

¿Cómo ha conseguido SGAIM la ISO 27001? ¿Quién acredita si una empresa cumple los requisitos?

La certificación según los requisitos de la norma ISO 27001 ha sido el resultado satisfactorio de la evaluación realizada por una tercera parte independiente y certificada mediante una auditoría. Esta entidad acreditada establece el número de días y auditores necesarios para realizar la gestión, pudiendo incluso realizar una pre-auditoría (la cual no es obligatoria). Al final de la evaluación y si el informe es favorable, la empresa recibirá la certificación.

En el caso de SGAIM, la entidad de certificación ha sido DNV GL Business Assurance, la cual es una de las principales proveedoras globales de certificación acreditada de los sistemas de gestión.

 

¿Qué aporta a SGAIM y a sus clientes la ISO 27001?

La certificación de la implantación del estándar ISO 27001 por parte de SGAIM aporta, para la empresa y sus clientes, los siguientes beneficios:

  • En el ámbito de la organización se genera un importante compromiso con la seguridad de la información. La norma exige una serie de medidas de control auditables que permiten, mediante el SGSI,  garantizar el cumplimiento de las mismas.
  • El cumplimiento legal de la normativa y de los compromisos contractuales con los clientes.
  • En el ámbito funcional, se desarrolla una adecuada gestión de los riesgos. La empresa audita de forma exhaustiva su organización, los sistemas de información que aplican, las incidencias inherentes al servicio y los medios de protección que se aplican; garantizando la disponibilidad de los recursos e información, asegurando así la continuidad del negocio.
  • Se genera credibilidad y confianza entre nuestros clientes y nuestra empresa.
  • Financieramente se consigue una reducción de costes vinculados a incidentes que repercute también en las primas de los seguros.
  • Se produce una sensibilización del personal en relación a la importancia de la información.

¿En qué servicios de SGAIM se aplica la ISO 27001?

En todos los servicios y soluciones que presta y ofrece SGAIM,  pues la gestión de la información de nuestros clientes es el core-business de la empresa, siendo de vital importancia el asegurarnos que la misma sea de la mejor calidad y con los más altos estándares.

 

¿Qué conclusiones saca del proceso?

La realidad actual, es que las empresas se enfrentan cotidianamente a muchos riesgos y inseguridades de diversas fuentes y finalidades, la implementación de un Sistema de Gestión de la Seguridad de la Información no eliminará estos problemas de seguridad, pero nuestra capacidad de reacción frente a los mismos mejorará drásticamente y en cierta medida nos permitirá prevenir los mismos.

La principal actividad de SGAIM es la gestión de la información de sus clientes, culminar éste proceso, nos ha permitido consolidar esta relación de confianza que los mismos han depositado en nuestra empresa.