Una problemática transversal en el desarrollo tecnológico es la seguridad, o más bien, la carencia de ella. Esta necesidad tan urgente y presente ha motivado a expertos a tomar cartas en el asunto para buscar qué pueden hacer los equipos de trabajo para mejorar su seguridad, y desincentivar a aquéllos que se quieren aprovechar o hacer malos usos. Cuando los grupos humanos se ponen de acuerdo sobre cómo hacer algo se crean estándares; en este caso, se definió la norma internacional ISO 27001, concretando un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.
La ISO 27001 no elimina todos tus problemas de seguridad, pero sí propone un piso de cumplimiento y un foco sobre los puntos que una empresa debería abordar, de modo de disminuir el riesgo de enfrentar problemas. De esta forma, define buenas prácticas para trabajar, solicitando implementar protocolos de antemano, en base a la identificación de tu propio contexto, capacidad y necesidades; promoviendo e incentivando la toma de conciencia y el registro de evidencias y controles.
El alcance de la norma abarca, por ejemplo, el cuidado y protección de trabajadores, lugares físicos de trabajo, dispositivos e infraestructura utilizada, manejo de documentos y, por supuesto, información digital. En otras palabras, la norma abarca variados activos, que tienen la característica de ser relevantes para el desarrollo, funcionamiento y cumplimiento de objetivos de la organización. En el contexto de la ISO, a dichos activos se les llama “activos de la información”, los que podemos encontrar en todas las actividades de procesos, sistemas, redes y personas, donde se recopile, procese, almacene o transmita información.
Los activos de información son la base desde la cual se realiza el análisis de los riesgos de seguridad, clasificando su importancia para la empresa, en base a sus características de Confidencialidad, Integridad y Disponibilidad. Así también, cada riesgo derivado del análisis de activos es valorado considerando el impacto y la probabilidad de ocurrencia. Estos parámetros ayudan al equipo a tomar conciencia de la existencia de elementos críticos, posibles problemas y riesgo, y establecen una priorización sobre las cosas que hay que hacer o mejorar.
Para llevar a cabo todo este proceso y objetivos de seguridad, el estándar también propone la formación de un comité de seguridad, liderado por un(os) responsable(s) de seguridad. Este comité tiene como función definir las políticas, procedimientos y metodologías que seguirá la empresa/equipo de trabajo, para cumplir con los requisitos de la ISO. Es importante resaltar que atenerse a la ISO es un compromiso que debe ser asumido por las distintas partes de la empresa, considerando las responsabilidades, derechos y deberes de cada uno de sus miembros.
Paralelamente, somos asistidos por la ISO 27002, que propone controles para el cumplimiento de la ISO 27001. De esta forma la definición de políticas, procedimientos y metodologías se hace un poco más fácil y nuevamente se mueve el foco hacia donde está lo que importa. Cabe destacar que la ISO 27002 es en sí una ayuda, una guía, mas no un estándar del que te puedas certificar.
A grandes rasgos, hemos realizado un boceto a lápiz de qué es la ISO 27001, y los beneficios que puede traer para un equipo o empresa en términos de su seguridad. Para hacernos cargo de demostrar que estamos haciendo lo que declaramos, pasamos por un proceso de certificación. Nos certificamos, porque queremos demostrar que hacemos esto de una forma establecida, esperable y aceptada.
En el caso de Frogmi buscamos dar tranquilidad a nuestros clientes, con acciones formales, que nuestros productos y procedimientos cumplen con asegurar y resguardar su información y confianza. De esta forma, aportamos a disminuir su riesgo de seguridad, mientras los apoyamos en optimizar la gestión en tienda, reforzando así nuestra propuesta de valor.
Escrito por Joshua Garvs, CTO Frogmi.
