¿Por qué implantarla?

Información

Es evidente que la información y los datos constituyen uno de los principales activos de las empresas y organizaciones, debiéndose prestar especial cautela en lo que a los datos de carácter personal se refiere.

Su protección traslada confianza a clientes, usuarios y stakeholders. Tengamos en cuenta que, mayor volumen de información, mayores serán los riesgos asociados a su eventual pérdida, manipulación o deterioro como consecuencia de brechas de seguridad, al margen de la importante sanción económica en que podrían desembocar.

Para proteger dicha información no es suficiente con la implantación de procedimientos de control realizados sin un criterio consensuado y de forma genérica, sin considerar la información esencial a proteger.

Los requisitos de la ISO 27001 aseguran eficazmente la minimización de estos riesgos, estableciendo controles y procedimientos coherentes con la empresa, tomando en consideración la mejora continua de la misma. Buscan proteger la información, indistintamente de su formato, garantizando la:

  • Confidencialidad: que sólo los autorizados puedan acceder a ella.
  • Integridad: que la información sea exacta y completa.
  • Disponibilidad: que los usuarios puedan tener acceso a esta cuando la requieran.

¿Es sólo seguridad informática?

¿Es sólo seguridad informática?

 

No, sin perjuicio de que gran parte de los activos de información se encuentren en los equipos informáticos.

Dichos activos se extienden a cualquier tipo información valiosa para la empresa, con independencia de su formato, y que requiera de una protección acorde a su relevancia, pudiendo incluir a las propias personas en el SGSI.

Fases de implantación

Fases de su implantación

FASE 1

Definir la política.

FASE 2:

Definir el ámbito de actuación del SGSI.

FASE 3:

Análisis de riesgos (previa elección de la metodología de evaluación de riesgos).

FASE 4:

Gestión del riego y obtención de conclusiones.

FASE 5:

Identificación de controles a implementar.

FASE 6:

Declaración de aplicabilidad.

FASE 7:

Revisión del sistema.

 

De todas ellas, la tercera fase, relativa al análisis de riesgos, afectará sustancialmente al grado de protección del que goce la empresa, por cuanto conllevará:

  1. ­Identificar los activos de información (incluyendo ideas, marcas, soportes físicos, etc.) y sus responsables.
  2. Registrar las vulnerabilidades propias de cada activo de información.
  3. Detectar cualquier amenaza que pueda dañar el activo de información.
  4. Identificar los requisitos legales y contractuales que la empresa debe garantizar.
  5. Identificar los riesgos: probabilidad de que las amenazas o vulnerabilidades propias puedan causar un daño al activo de información, atendiendo a su confidencialidad, integridad y disponibilidad.
  6. Cálculo del riesgo: aplicación de una fórmula relativa a la probabilidad de que el riesgo suceda y la repercusión que tendría sobre la empresa u organización, de cara a detectar los riesgos que deberían ser prioritarios.
  7. Plan de actuación sobre el riesgo: redacción de una política de tratamiento de esos riesgos en función de los puntos anteriores y de la política facilitada por la dirección de la empresa, procurando.

Beneficios de implatación

Beneficios de su implantación

Al margen de la relevantísima importancia de la protección de la información para la empresa, nos protegerá en el aspecto económico respecto de los servicios en red (tengamos presente fraude online, robo de identidad, pérdida de datos personales, etc), protegerá nuestra reputación y la confianza de nuestros clientes o proveedores.

Y es que, el acontecimiento de este tipo de sucesos no es algo extraordinario. En la actualidad, los medios de comunicación publican casi diariamente noticias relativas a robos de identidad, amenazas de terrorismo informático, etc., que minan la reputación de la empresa y presentan una imagen desfasada o poco vanguardista de sus herramientas tecnológicas.

Plan de actuación

ASUMIR EL RIESGO.
REDUCIR EL RIESGO.
ELIMINAR EL RIESGO.
TRANSFERIR EL RIESGO.

Infórmate

CD_ContactUsColor

    En cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos “RGPD” 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, le informamos de que el Responsable de los datos personales es AYALA ABOGADOS, S.L.P., con CIF B-30932685 y domicilio en C/Mayor, N.º 27, 5º, 30201 de Cartagena (Murcia), CETAIT, S.L., con CIF B30843262 y domicilio social en Plaza Alcolea, N.º 18, 1ºA, 30201 de Cartagena (Murcia) y GISPERT BUSINESS, S.L. con CIF B30811814 y domicilio social en C/Amanecer, Nave B 6, Pol. Ind. Oeste 22, 30169 de San Ginés (Murcia), e email dpo@ayalaabogados.es. En nuestro nombre, se tratará la información que nos facilite con el fin de responder a sus consultas, prestarle los servicios solicitados y proceder a su facturación. Los datos proporcionados se conservarán mientras se mantenga la relación contractual o durante los años necesarios para cumplir con cualesquiera obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal, excepto profesionales de asesoría contable o asimilados. Usted tiene derecho a obtener confirmación sobre si en CIBERDATA estamos tratando sus datos personales, por tanto, tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. Además, tendrá derecho de portabilidad, oposición, limitación del tratamiento, información, acceso, rectificación, supresión y oposición, enviando su solicitud al email designado con copia de documento de identificación, sin perjuicio de las eventuales reclamaciones que pudieran presentarse ante la Agencia Española de Protección de Datos.