jueves, 16 de febrero de 2017

LA CORRECTA GESTIÓN DE LA INFORMACIÓN EN LAS ORGANIZACIONES

Existen numerosas herramientas como la Norma ISO 27001 o la Norma ISO 20000 que permiten la adecuada gestión de la información de que dispone la empresa.
Es de absoluta actualidad la importancia de la información en las empresas. Ya sea mediante obligaciones legales, como la Ley Orgánica de Protección de Datos o LOPD, o por las habituales noticias sobre vulneraciones de seguridades de compañías con la consecuente exposición de datos personales e información diversa, se nos está recordando constantemente la importancia de establecer una correcta gestión de la información de que se dispone e implantar unas adecuadas medidas de seguridad.

Junto a la seguridad física, las empresas tienen a su alcance un amplio número de herramientas que les ayudan a mejorar la gestión de la información de que disponen y que a continuación vamos a exponer brevemente.

La importancia de una correcta gestión de la seguridad de la información.
La información es uno de los activos más valiosos de la empresa por lo que esta debe establecer medidas que aseguren su eficacia de gestión y su seguridad.
La gestión de la información y su correcta seguridad son temas de actualidad tanto para usuarios como para empresas públicas y privadas. En el caso de las empresas, desde hace muchos años, tienen claro que la información es uno de los activos más valiosos de la empresa ya que si se perdiera o se modificara por una acción externa ajena a la actuación de la empresa no sólo supondría gastos económicos o dificultades de gestión sino que también dañaría enormemente la imagen de esta.

A pesar de que muchas empresas empiezan ya a comprender esta importancia y la necesidad de utilizar sistemas que les permitan asegurar la información, implantan, según mi opinión, sistemas a medias. Es decir, adoptan sistemas de seguridad física como copias de seguridad, controles de acceso, video-vigilancia, alarmas, antivirus, sistemas antiincendios, etc. Sin embargo, se olvidan de adoptar además sistemas de gestión de la información que les permita controlar, preservar y gestionar adecuadamente esta información existente. Es decir, se centran más en la seguridad informática de los soportes donde se encuentra esta información almacenada, que la seguridad de la información propiamente dicha.

No quiero decir con esto que las empresas no deban establecer sistemas de seguridad informática o física sino que no puede ser lo único que realicen ya que los múltiples riesgos a los que se encuentran expuestos deben ser tenidos en cuenta a la hora de establecer los sistemas de seguridad adecuados que mantendrán la información esencial sobre la que se sustenta la administración de la empresa y todas sus gestiones y procesos, correctamente gestionada y mantenida de forma eficaz.

Para conseguir esto las empresas tienen a su alcance eficaces herramientas que a continuación vamos a indicar brevemente.

Herramientas para la gestión eficaz de la información.
Existen numerosas herramientas que ayudan a las empresas en la gestión de la seguridad de la información como por ejemplo la Norma ISO 27001.
Entre las diversas herramientas existentes vamos a destacar algunas de ellas a continuación:
  • La primera de ellas y una de las más conocidas es la Norma ISO 270001, Sistema de Gestión de la Seguridad de la Información. Esta norma es la herramienta perfecta para aquellas empresas que deseen gestionar y proteger adecuadamente la información que poseen ya que aporta las bases para evaluar los riesgos físicos y permite que se establezcan los controles y procesos eficaces para salvaguardar la información. La norma ISO 27001 sigue un enfoque basado en el ampliamente conocido círculo de Deming que consiste en Planificar – Hacer – Verificar – Actuar y que permite que se adapte eficazmente a otros sistemas que pueden estar implantados previamente o posteriormente en la empresa como un Sistema de Gestión de la Calidad según la Norma ISO 9001.
  • La Norma UNE – ISO/IEC 38500, Gobernanza corporativa de la Tecnología de la Información (TI), proporciona, tal y como nos dice la propia norma en su documento, “principios orientadores a administradores de las organizaciones (incluyendo propietarios, miembros del consejo, directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de Tecnología de la Información (TI) en sus organizaciones”.
  • La Norma UNE-ISO 22301: 2013, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio (SGCN). Especificaciones, nos remite a la gestión de la continuidad del negocio y, tal como nos dice el documento, “especifica los requisitos para la planificación , el establecimiento, la implantación, la operación, la supervisión, la revisión, el mantenimiento y la mejora continua de un sistema de gestión documentado, a fin de que el negocio esté protegido contra incidentes disruptivo, así como reducir la probabilidad de ocurrencia de éstos, estar preparado contra, responder a y recuperarse de ellos cuando se presentan”.
  • Por último, no podemos no comentar la Norma UNE-ISO/IEC 20000-1:2011, Tecnología de la Información. Gestión de Servicio. Parte1: Requisitos del Sistema de Gestión del Servicio (SGC). Para comprender la utilidad de esta norma, tal como hemos hecho con los anteriores puntos, vamos a hacer referencia a la propia norma que nos indica lo siguiente: “Especifica al proveedor de servicios los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGC”.
  • Finalmente, es importante no dejar de ver la nueva ISO 27002 que establece los controles a seguir para garantizar la confidencialidad, integridad y autenticidad de la información y ayuda en gran medida a resolver los problemas que surgen en este trascendental temas para las organizaciones. No se pierda nuestra pubicación sobre este particular.
Tomado de: http://www.sbqconsultores.es/