Seidor
Contacto
  • Talento
  • Home >
  • ISO 27001: Protegint la informació sensible en l'era digital
Protegiendo la información

21 de juny de 2023

ISO 27001: Protegint la informació sensible en l'era digital

  • La norma ISO 27001 estableix els requisits per a la gestió de la seguretat de la informació en les organitzacions, proporcionant un marc estructurat i sistemàtic
  • La normativa ISO 27001 implementa i millora un sistema de gestió de seguretat de la informació, incloent-hi la protecció de dades contra amenaces internes i externes
  • Mentre que la norma ISO 27001 és un estàndard internacional de gestió de seguretat de la informació, l'ENS és una normativa espanyola centrada sobretot en el sector públic
  • La certificació ISO 27001 mostra el compromís d'una organització amb la protecció de dades, transmetent confiança i credibilitat als stakeholders, i aborda aspectes com la comunicació segura, la criptografia i el compliment normatiu, com el RGPD.
SEIDOR

La rellevància de la protecció de la informació digital

Tota organització que requereixi d'un enfocament sistemàtic i estructurat de gestió de la seguretat de la informació compta amb la normativa internacional ISO 27001. Es tracta d'una norma que delimita els requisits per establir, implementar, mantenir i millorar un sistema de gestió de seguretat de la informació (SGSI) a l'organització.

Desenvolupada per l'Organització Internacional per a la Normalització (ISO) i la Comissió Electrotècnica Internacional (IEC), es tracta d'un estàndard que aporta un marc fiable per a la protecció de les dades contra amenaces internes i externes. A més, aquesta normativa propicia el desenvolupament d'una cultura de la seguretat, dins de cada empresa, alineada amb el compliment de tot tipus de requisits legals, reglamentaris i contractuals.

Així, una companyia que salvaguarda i protegeix informació és també una companyia que envia senyals de confiança dels seus clients. En obtenir la certificació ISO 27001, qualsevol entitat explicita el seu compromís amb la protecció de les dades i amb la confidencialitat, un atribut que transmet fiabilitat i credibilitat als diferents stakeholders de l'organització.

La implementació de la norma ISO 27001

Cal destacar que la implementació de la norma ISO 27001 incorpora les referències normatives que asseguren que es tingui en compte l'experiència i el coneixement acumulat en l'àmbit de la seguretat de la informació. D'aquesta manera, amb les referències a la norma, s'estableix una base sòlida per a la implementació de controls de seguretat i la gestió de riscos.

Així mateix, el sistema inclou la gestió d'actius d'informació a l'organització, incloent-hi els emmagatzemats en sistemes, xarxes, documents impresos, registres físics, entre d'altres. A més, s'han d'establir mesures de protecció adequades per a cada actiu identificat, considerant el seu valor, criticitat i realitzant una anàlisi de riscos associats. A més d'aquesta anàlisi, també s'estableix la seva gestió, articulada a través de línies d'acció que inclouen la seva avaluació sistemàtica, amb l'objectiu de mitigar el seu impacte negatiu.

En aquest marc normatiu, també entra en joc la ciberseguretat, ja que bona part de les actuals amenaces per a una companyia provenen d'elements com els atacs de hackers, el malware i els intents de phishing. Els protocols i requisits ISO 27001 estan alineats amb els criteris de l'Institut Nacional de Ciberseguretat (INCIBE).

En aquest sentit, cal assenyalar que la norma aborda directament les comunicacions, en relació amb la seguretat de la informació, vetllant per la protecció de la seva confidencialitat, integritat i disponibilitat de la informació, durant la seva transmissió, i que estableix requisits específics per garantir una comunicació segura.

ISO 27001 al Núvol: Protecció en entorn cloud

A més, l'aplicació de la ISO 27001 també estèn el seu efecte fins a l'entorn de la informació allotjada al núvol, ja que implica avaluar els riscos associats de que estigui dipositada en aquest entorn, a més de fixar criteris per seleccionar proveïdors confiables, implementar controls de seguretat adequats i garantir la continuïtat del negoci i la recuperació de les dades al núvol.

Cal assenyalar que la norma assenyala la criptografia com una de les mesures de control efectives per protegir la confidencialitat, integritat i disponibilitat de la informació. Així, mitjançant la criptografia, es pot codificar i descodificar la informació, assegurant que només les parts autoritzades puguin accedir-hi.

Així mateix, entre els requisits específics de la norma ISO 27001 figura el control d'accessos, la finalitat del qual és garantir que només les persones autoritzades accedeixen als actius d'informació i els sistemes. Amb aquest control, es minimitza el risc de bretxes de seguretat i violacions de la confidencialitat.

La suma dels aspectes anteriorment exposats converteix la norma ISO 27001 en un sistema complet, alineat amb el Reglament General de Protecció de Dades (RGPD) de la Unió Europea, que fixa els requisits per a la salvaguarda de la informació personal als països membres. La seva efectivitat, potenciadaper la seva aplicació en l'ús d'algoritmes i tècniques de xifrat moderns, converteixen la normativa en una base sòlida amb un marge d'error cada cop més minvant.

És important destacar que la norma ISO 27001 proporciona un marc general, però cada organització ha d'adaptar els seus controls i mesures de protecció de dades segons les seves pròpies necessitats i requisits específics. A més, aquesta norma no garanteix automàticament el compliment de totes les lleis i regulacions de protecció de dades, com el compliment del RGPD, però pot ser una eina útil per establir una base sòlida per a la protecció de dades dins d'una organització.

Com a màxim responsable de la seguretat de la informació dins d'una organització, el CISO (Chief Information Security Officer), el seu rol és establir i supervisar l'estratègia i els programes de seguretat de la informació de l'organització i, generalment, és el responsable de liderar la implementació i compliment de la norma ISO 27001 dins de l'organització.

Finalment, cal destacar que, a Espanya existeix una altra norma que estableix els requisits i procediments en l'àmbit de la Seguretat de la Informació com és l'Esquema Nacional de Seguretat (ENS). Aquesta norma, únicament d'àmbit nacional, és de compliment obligatori per a administracions públiques i empreses del sector privat que prestin serveis digitals a entitats públiques. Tot i que ambdues normes són eficaces per establir un model de Gestió de la Seguretat de la Informació, ISO 27001 té un enfocament més generalista a l'hora d'establir requisits de seguretat d'una companyia, aportant més flexibilitat entre les mesures de seguretat i l'operativa de la companyia. Per la seva banda, ENS estableix de manera més granular els controls de seguretat necessaris, basant-se en la categorització dels sistemes d'informació de la companyia en funció de la seva criticitat i impacte. Ambdues normes tenen un procés de certificació mitjançant una auditoria externa, renovable cada 2 anys en el cas d'ENS i cada 3 anys en el cas d'ISO27001 amb un seguiment anual.

Autor

SEIDOR

SEIDOR és una consultora tecnològica que ofereix un portafoli integral de solucions i serveis que cobreixen els àmbits d'Intel·ligència Artificial, Edge, Customer Experience, Employee Experience, ERP, Data, Application Modernization, Cloud, Connectivitat i Ciberseguretat. Amb una facturació de 767 milions d'euros en l'exercici 2022 i una plantilla formada per més de 9.000 professionals altament qualificats, SEIDOR té presència directa en 45 països d'Europa, Amèrica Llatina, Estats Units, Orient Mitjà, Àfrica i Àsia. La consultora és partner dels principals líders tecnològics.