A partir de la pandemia por Covid-19 crecieron exponencialmente los ciberataques a nivel mundial, principalmente por el aumento del trabajo remoto e híbrido; ante ello, Delta Protect recomienda tomar medidas robustas, como la certificación ISO 27001, para bajar la incidencia de este tipo de eventos que pueden llegar a costar unos 20 millones de pesos en México y hasta 2.9 millones de dólares a nivel global, según IBM Security.
Para el cofundador y CEO de Delta Protect, Santiago Fuentes, una de las acciones que pueden tomar las empresas u organismos es obtener la certificación ISO 27001, sobre Sistemas de Gestión de la Seguridad de la Información (SGSI), principalmente en un país como México, donde tan solo en el primer trimestre del 2022 tuvo el registro de más de 80 mil millones de intentos de ciberataques.
¿Qué es la norma La norma ISO 27001?
La norma ISO 27001 especifica los requerimientos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, sobre todo ante un contexto en el que 65% de los ataques cibernéticos en organismos y empresas se deben a errores humanos, de acuerdo con el CEO.
Los requisitos para obtener la certificación a través de una consultoría o firma especializada en ciberseguridad son genéricos, por lo que pueden aplicarse a todas las compañías u organizaciones, sin importar su tipo, tamaño o naturaleza.
Si bien la certificación no es obligatoria, las empresas que deciden obtenerla se benefician de diversas formas: se minimiza la posibilidad de sufrir un incidente que comprometa la información de la organización; aumenta la confianza de clientes, proveedores y otras entidades; incrementa la reputación y proyecta una imagen de profesionalidad y también permite cumplir la legislación vigente en materia de seguridad de la información.
Pasos para obtener la ISO 27001
Santiago Fuentes, cofundador de la startup, detalla los pasos o etapas para el proceso de certificación, el cual se puede realizar con ayuda de organismos de certificación o consultores externos:
- 1. Establecer un equipo de trabajo. Debe estar conformado por el personal que tiene como objetivo implementar el Sistema de Gestión de Seguridad de la Información, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status.
- 2. Determinar alcance del Sistema de Gestión de Seguridad de la Información. La norma ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño, el organismo que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa basándose en los servicios o productos importantes para ella y cuáles son relevantes competitivamente hacia sus clientes.
- 3. Análisis de brechas. Se puede realizar un análisis de riesgos o evaluación de brechas respecto a la norma 27001, para identificar y mitigar las amenazas a las que está expuesto y así prepararse para la siguiente etapa.
- 4. Implementación de controles de seguridad. En esta etapa se implementan todos los controles de seguridad necesarios para mitigar los riesgos identificados hacia la compañía; en ella se necesita el apoyo de la alta dirección para poder ocupar recursos humanos, técnicos y financieros que ayuden a mitigarlos.
- 5. Generación de documentación y evidencia. Hay que conservar la documentación que se ocupó para implementar los controles de seguridad, como: procesos, procedimientos, guías y evidencias que después serán revisadas por el auditor. Deberá cumplir todo lo que establezca en su documentación.
- 6. Pre Auditoria / Auditoria. Después de implementar el Sistema de Gestión de Seguridad de la Información, con todos los controles de seguridad para obtener la certificación, es recomendable hacer una pre auditoria para identificar posibles inconformidades por parte del auditor y resolverlas antes de la auditoria final.