Por Juan Matos. Mi primer acercamiento a un marco normativo de Seguridad de la Información fue en el 2005 a través de la Academia Latinoamericana de Seguridad Informática (ALSI).
Éste era un programa integral de formación profesional, creado por Microsoft con la colaboración del Tecnológico de Monterrey que tenía como objetivo la formación de líderes en seguridad informática en latinoamericana, capaces de implementar prácticas de seguridad de la información de acuerdo con estándares internacionales.
A través de este programa conocí la norma ISO 17799 (Código para la práctica de la gestión de la seguridad de la información), que fue desarrollada sobre la base de la norma británica BS 7799 y que posteriormente evolucionaría hacia la norma ISO/IEC 27001, estándar publicado por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
En el 2013, inicié mi primera implementación formal de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 en el Instituto Dominicano de Aviación Civil (IDAC). El eje central de esta norma es proteger la confidencialidad, integridad y disponibilidad de la información en una organización, a grandes rasgos, esto se logra identificando cuáles son los problemas potenciales que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
La ISO/IEC 27001 consta de 114 controles, 35 objetivos de control y 14 dominios que enmarcan su aplicación en los procesos de la organización. Estos dominios de Seguridad, que menciono a continuación, incluyen todos los activos de la información que se deben proteger: Políticas de seguridad, organización de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, seguridad en las operaciones, transferencia de información, adquisición de sistemas, desarrollo y mantenimiento, relación con proveedores, gestión de los incidentes de seguridad, continuidad de negocio y cumplimiento con requerimientos legales y contractuales.
Durante estos últimos 7 años, en el IDAC, este sistema ha madurado y crecido bastante, en cierta medida, me tocó ser el padre y la madre de este niño que hoy es grande; me involucré en todo el ciclo de implementación: En la creación de las políticas, procedimientos, procesos, planes de sensibilización e incluso en la implementación de gran parte de los controles para mitigar riesgos relacionados con la infraestructura y las redes.
Porque la información, hoy más que siempre, es el activo de mayor importancia en las organizaciones, es fundamental que sea protegida de manera adecuada y hacer esto, de la mano de un marco de referencia internacional como ISO/IEC 27001, posibilita, en gran medida, el éxito de un sistema de gestión de seguridad de la información (SGSI).
Sobre el autor: