ISO 27001: la protección de datos efectiva

La ISO 27001 se ocupa de la gestión de la seguridad de la información y, como todas las normas de la familia ISO 27000, busca ayudar a las organizaciones a mantener seguros sus activos de información. La certificación para la ISO 27001 es aconsejable, aunque no tiene carácter obligatorio. No obstante, en el entorno de trabajo de la e-logística, y debido a los nuevos modelos de almacenamiento y análisis basados en la nube, suele resultar interesante hacer un esfuerzo extra por proteger la información sensible de la organización.

iStock_000056451920_Small

Créditos fotográficos: istock gaurav_gadani

La protección de la información en la empresa se orienta a proteger los datos de ataques y brechas de seguridad, cumpliendo tres objetivos diferentes:

  • Mejorar la adecuación a las exigencias legales en materia de protección de datos.
  • Evitar la pérdida o manipulación no autorizada de la información corporativa de carácter personal.
  • Prevenir las consecuencias para la imagen de la empresa que un problema de seguridad en los datos podría acarrear si se hiciera público.

 

La protección de la ISO 27001

La ISO 27001 ayuda a la organización a administrar la seguridad de activos de datos como:

  • Información financiera.
  • Detalles de empleados o datos de carácter persona sobre clientes, socios o proveedores.
  • Información confiada a la organización por terceros.
  • Propiedad intelectual.

Las empresas que implementan los principios recogidos en la ISO 27001 y comienzan a trabajar desde este enfoque consiguen:

  1. Definir una estrategia que sirva para apoyar al plan de seguridad de datos y protección de la información en la organización.
  2. Establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización.
  3. Evaluar y mejorar los procedimientos empleados para el tratamiento de los riesgos de seguridad de la información, adaptándolos a las nuevas necesidades de la organización, a medida que van surgiendo.

Los requisitos establecidos en esta Norma Internacional para orientar a las empresas son de carácter genérico, por lo que no existen límites a su aplicación en función del tipo, tamaño o naturaleza de la organización o el sector en que se encuadre.

No obstante, al tratarse de una decisión de carácter estratégico, la asimilación de los preceptos contenidos en la ISO 27001, deberá responder a un análisi completo de:

  • Las necesidades de la organización.
  • Los objetivos de negocio.
  • Los requisitos de seguridad.
  • Los procesos organizativos utilizados.
  • El tamaño y la estructura de la organización.

Independientemente de la forma en que se resuelva avanzar hacia la protección de datos efectiva, hay que tener presente que se trata de una acción muy necesaria, especialmente debido a los nuevos entornos de trabajo, donde imperan el autoservicio y a la movilidad, que permite a los empleados acceder a la información corporativa en cualquier parte y desde cualquier dispositivo. Por todo ello, es preciso encontrar la manera de preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos fiable y eficaz, como el del marco de trabajo que propone la ISO 27001 en este campo.

 

Post relacionados:

EOP - CTA BOFU Blended POST

Publicado en Supply Chain y Business Intelligence Etiquetado con: