Cámara al día

Especialista detalla requisitos para implementar un sistema de gestión de seguridad de la información

Basándose en la norma internacional ISO 27001, el Gestor de Control y Calidad de Editrade, Rodrigo Andrade, explicó los requisitos para implementar exitosamente un sistema de gestión de seguridad de la información, en el marco del Ciclo de Sesiones Virtuales 2020 de la Cámara Aduanera de Chile.

El ejecutivo detalló las etapas que debe seguir una organización para gestionar la seguridad de la información, una materia que toma creciente importancia dada la alta cantidad de amenazas y riesgos tanto internos como externos que se derivan del desarrollo tecnológico. “Hay que tratar de minimizar esos riesgos con la finalidad de tener una continuidad del negocios”, enfatizó.

Los fundamentos de la importancia de implementar un sistema de este tipo fueron abordados por el mismo especialista en una sesión anterior, por lo que en esta oportunidad se refirió en concreto a su implementación.

Andrade destacó como primer requisito que el proceso sea liderado y apoyado por la alta dirección de la empresa, para establecer un plan del proyecto y definir el alcance, que puede involucrar a algunas áreas o la organización completa, acotando un presupuesto y un plan de recursos humanos. “Debe haber un liderazgo, si no se tiene el apoyo de la dirección, no se puede llevar a cabo el proceso con el éxito”, advirtió.

El proceso parte por identificar los requerimientos, la lista de partes interesadas, requisitos legales y contractuales, recopilar de información de prácticas de seguridad de la información, hacer análisis de brechas de cumplimiento, y establecimiento de objetivos. De este trabajo debe emerger una lista de prácticas de seguridad de la información e informe de análisis de brechas.

En cuanto a las políticas de seguridad de la información, debe ser pertinente al objetivo de la organización, incluir los objetivos de seguridad de la información, proporcionar el marco de trabajo para establecer los objetivos de seguridad de la información, incluir un compromiso para satisfacer los requisitos aplicables con la seguridad de la información, incluir un compromiso para la mejora continua y debe estar disponible para las partes interesadas.

Aterrizando con ejemplos de políticas relacionadas, mencionó el control de accesos, seguridad de los proveedores, dispositivos móviles, clasificación de la información, contraseñas, descarte y eliminación y escritorio limpio y pantallas. “Esto es parte de la normativa, se desarrolla y se debe aprobar y es para toda la organización”, dijo.

Agregó que, si bien la norma ISO 27001 no es muy conocida aún, las autoridades se están basando en ella para exigir ciertos niveles de seguridad a las organizaciones, por lo que es importante estar al tanto de su contenido y estándares.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *