Las Tecnologías de Información y Comunicaciones (TIC) son recursos esenciales para la productividad y competitividad de las organizaciones; sin embargo, como cualquier recurso, está sujeto a múltiples amenazas que se pueden materializar en riesgos, con múltiples consecuencias.
Hoy en día las amenazas tecnológicas son parte de nuestra cotidianeidad y más aún de la vida organizacional, las cuales van desde diversas formas de virus, pasando por los recientes ataques de ransomware hasta amenazas sofisticadas como los ataques día cero (en inglés, zero-day attack) lo cual requiere la implementación de controles que puedan ser gestionados a través de un adecuado enfoque de seguridad de la información.
La seguridad de la información es una disciplina asociada tradicionalmente a la gestión de TIC, cuyo propósito es mantener niveles aceptables de riesgo de la información organizacional y de los dispositivos tecnológicos que permiten su recolección, procesamiento, acceso, intercambio, almacenamiento, transformación y adecuada presentación. Ha sido definida por la norma ISO/IEC 27000 como la preservación de la confidencialidad, integridad y disponibilidad de la información (ISO/IEC, 2014).
La adopción temprana de la ISO 27001 en todo el mundo en comparación con otros estándares de gestión (Freixo & Rocha, 2014; Tunçalp, 2014), pone de manifiesto la importancia que ha tomado la seguridad de la información, lo cual se ratifica a partir del número de certificaciones otorgadas por la Organización Internacional para la Estandarización (ISO) en los últimos años, presentando un crecimiento exponencial, al pasar de un total de 5797 certificaciones en el año 2006, a 27536 en 2015, siendo Japón y el Reino Unido los países con mayor número de empresas certificadas, de acuerdo al último informe de la entidad (ISO, 2017). No obstante, las normas establecen el deber ser, y no la forma como se logra, de allí la importancia de establecer metodologías que permitan orientar a las organizaciones en la forma como se debe abordar este tipo de procesos, con el respaldo de las normas internacionales promulgadas para tal fin.
Este artículo propone una metodología para llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), para lo cual parte de la diferenciación entre seguridad de la información y seguridad informática, seguido de una explicación de las principales normas de la familia ISO/IEC 27000 como base para la presentación de las cinco fases que hacen parte de la metodología de implementación basada en la ISO/IEC 27003:2010.
Inicie sesión o Regístrese Si quiere comentar esta publicación