Noticias industriales

Los activos de información son contenidos imprescindible para que las empresas aseguren su correcto funcionamiento, por lo que implementar un sistema de gestión para preservarla es de suma importancia, así se indicó durante el webinar Reevaluando estrategias de Ciberseguridad en la industria aeroespacial, organizado por la Federación Mexicana de la Industria Aeroespacial (FEMIA), asociación que agrupa a las principales empresas del sector en el país, que realizan manufactura, mantenimiento, diseño e ingeniería, entre otros servicios.

En el evento, encabezado por TÜV Nord, un organismo de origen alemán de certificación especializado en los sistemas de gestión como ISO 9001, 14000, 27000, AS9100 y más, y Claudio Costa, de la consultora estratégica MBQ, se habló ampliamente sobre la norma de seguridad ISO 27000.

La familia de estándares ISO 27000
abarca todos los aspectos de la seguridad en distintos rubros.

De acuerdo con el experto, este lineamiento hace hincapié en el liderazgo, análisis de contexto y partes interesadas, así como la gestión de riesgos; y algunas normativas relacionadas a la norma de Sistema de Gestión de Seguridad de la Información (SGSI) ISO/IEC 27001, son la ISO/IEC 27017, de Seguridad en Cloud, y la ISO/IEC 27018, de Privacidad en Cloud, y no son certificables independientemente, sino que deben realizarse en ese orden.

Datos vs. Información
Costa destacó que estos conceptos no son iguales, pues los datos son elementos aislados que no han pasado por un proceso de interrelación; mientras que la información es el conjunto de estos datos que ya han sido procesados; y que se utilizan para la toma de decisiones.

En este sentido, es necesario proteger la información de las amenazas, pues son un valioso activo del que depende el funcionamiento de una organización.

Lea también: "DHL Express invierte 188 mdp en HUB de la CDMX"

Mantener la integridad, confidencialidad y disponibilidad de la información es esencial para alcanzar los objetivos del negocio.

Es así que debe garantizarse la seguridad de la información sin importar el medio en el que esta se encuentre; ya sea escrita a mano, impresa, grabada, transmitida electrónicamente, la que se incluye en un sitio web, se muestra en videos corporativos e incluso las mencionadas durante las conversaciones.

El objetivo principal de la norma ISO 27001 es identificar,
analizar, gestionar y controlar los riesgos que pueden atentar contra los activos de información de una organización.

Esta normatividad posee una estructura de alto nivel que facilita la integración de distintos sistemas de gestión y minimiza los riesgos.

Activos de información
Conceptualmente, un activo es cualquier bien que tiene valor para la organización.

En ese sentido, un activo de información es aquel que posee información imprescindible para las empresas que se debe proteger para asegurar el correcto funcionamiento de la compañía.

Por lo anterior, existen distintos tipos, que van desde:

• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la organización, generalmente suelen ser el núcleo del sistema al que los demás activos le dan soporte
• Aplicaciones (Software)
• Equipo informático (Hardware)
• Personal
• Redes de comunicación
• Soporte de información
• Equipamiento auxiliar (Memorias extraíbles)
• Instalaciones
• Intangibles (Marcas, patentes, derechos o licencias de Software, página web, entre otros)

Todo aquello que permite guardar
y procesar información es un activo
de este tipo.

El experto de MBQ, señaló que los tres pilares para mantener segura la información son la confidencialidad, que permite que esta no se ponga a disposición ni se revele a individuos o procesos no autorizados; la integridad, que se refiere a guardar la totalidad de la información, cuyo contenido debe permanecer inalterado; así como la disponibilidad, es decir, que la información y los recursos estén disponibles para el personal autorizado en el momento que se requiera.

En este sentido, Costa explicó que no debe confundirse la seguridad de la información con la seguridad informática, ya que esta última solo se encarga del aspecto lógico o técnico del medio informático.

Normatividad ISO
Actualmente, la norma ISO/IEC 27001 cuenta con 44,499 certificaciones vigentes a nivel mundial, lo que la coloca en el puesto número 4, solo por debajo de ISO 9001, 14001 y 450001.

De dicha cifra, 258 se encuentran en México, es decir, 0.6% del total, aproximadamente.

Lea también: "El impacto positivo de la tecnología en las empresas y sus colaboradores"

Como comentó el ponente, efectuar esta normatividad aumentará la seguridad aunque puede disminuir la comodidad y la usabilidad, por lo que se requiere capacitación del personal para continuar operando de manera segura.

En conclusión, implementar un SGSI requiere confeccionar el inventario de activos para identificarlos, trabajar sobre el liderazgo y la planificación, realizar acciones de soporte, analizar el contexto de la organización y las partes interesadas; contar con una buena gestión de riesgos y oportunidades, trabajar sobre la operación y la evaluación del comportamiento para obtener una mejora.