+34 971 22 73 99 mon-lex@mon-lex.com

La información es un activo que, como otros activos importantes para las organizaciones, tiene valor y, por tanto, necesita ser adecuadamente protegido. Las organizaciones deben desarrollar mecanismos que permitan asegurar la disponibilidad, integridad y confidencialidad de la información. Seguridad de la información es determinar exactamente que debe ser protegido y cómo llevarlo a cabo.

Dentro de una empresa la información se encuentra dispersa en diferentes niveles, nivel funcional (por ejemplo, servicios), nivel lógico (por ejemplo, aplicaciones) y nivel físico (por ejemplo, suministros). Por lo tanto, existe una interdependencia entre elementos, que provoca la complejidad de la implantación de medidas. En general, una capa se apoya en la inmediatamente inferior. La protección debe garantizar la seguridad en todos los planos.

La seguridad está asociada a la existencia de un riesgo. Los riesgos de la información existen cuando confluye una amenaza y una vulnerabilidad. El concepto de amenaza se refiere a un evento que potencialmente puede suceder y el de vulnerabilidad a una debilidad. Ambos elementos están íntimamente ligados, pues no sucederá un problema de seguridad o impacto sin la conjunción de éstos.

Así pues, una medida de seguridad busca asegurar la protección de un activo, en este caso la información, de un posible impacto. Es importante destacar que la seguridad es un proceso que no elimina un riesgo, lo reduce o lo gestiona.

En relación a la seguridad en la empresa, resulta de utilidad un Sistema de Gestión de la Seguridad de la información (SGSI), ya sea basado en el standard ISO27001, o en el Esquema Nacional de Seguridad (ENS). Un SGSI es un conjunto de políticas de administración de la información a aplicar por la organización. Dichas políticas buscan conseguir asegurar la disponibilidad, integridad y confidencialidad de la información.

En un SGSI hay un órgano fundamental para su correcto funcionamiento, se trata del Comité de Seguridad de la información.

El Comité de Seguridad de la Información es el máximo órgano al que compete la Seguridad de la Información en la organización. En este sentido, identifica objetivos y estrategias relacionados con la seguridad de la información y dirige y controla los procesos relacionados con la seguridad.

Establecer un Comité de Seguridad de la Información en la organización va más allá de la seguridad, pues es un componente de definición estratégica que ayuda a las empresas a marcar las directrices y a la toma de decisión de forma colectiva.

En concreto, los estándares como la implantación de una ISO 27001, proporcionan a la empresa herramientas y cimientos para la gestión de la toma de las decisiones pertinentes para lograr que los niveles de riesgo sean los adecuados.

Irene Rossello

Abogada

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR