Los Sistemas de Gestión de la Seguridad de la Información

Antes de comenzar con la exposición, espero que amena para los lectores, de temas relacionados con la Seguridad de la Información, quisiera agradecer desde aquí a INTECO por ofrecerme la posibilidad de participar en esta interesante iniciativa.

Sin más preámbulos, a continuación me gustaría exponer un área que considero de gran importancia para las grandes organizaciones, pero cada día más también para las PYMES. Me estoy refiriendo a los sistemas de gestión de la seguridad de la información, también conocidos como SGSI.

La normativa aplicable a esta materia es abundante y está relacionada principalmente con la protección de datos de carácter personal y las nuevas tecnologías. Sin embargo, quisiera resaltar aquí la publicación el pasado año de la Norma UNE-ISO/IEC 27001:2007: "Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos" por parte de la Asociación Española de Normalización y Certificación (AENOR).

Esta norma de carácter internacional consta de 36 páginas y contiene concisas recomendaciones orientadas a una gestión eficiente de la seguridad de la información. Va dirigida a los responsables de promover, implantar y mantener la seguridad en una determinada organización. Su objetivo, por tanto, parece claro: analizar y gestionar los riesgos para poder así identificar los requisitos de seguridad y poder reducir el nivel de riesgo al que la organización se encuentra expuesta.

Es cada vez más habitual que desde la dirección de las organizaciones se comience a valorar la importancia de incorporar un consistente SGSI. Para ello, mi recomendación es recurrir a profesionales en la materia (consultores especializados en seguridad informática y sistemas de gestión, abogados especialistas en derecho de las nuevas tecnologías y protección de datos, etc.), que deberán trabajar en conjunto con la dirección de la organización para la consecución del objetivo deseado.