Norma ISO 27001. Un paso más hacia la protección eficaz de la información en los despachos

La transformación digital en los despachos ha traído consigo la agilización de los procesos internos y externos de gestión, traduciéndose en un incremento de la productividad, competitividad y eficiencia. Pero esta misma transformación también implica un gran esfuerzo de concienciación, formación y adaptación por parte de los profesionales, sobre todo en relación con la seguridad y la gestión de los datos.

Mª Lorena Pérez - Responsable del área jurídica de Castro Alonso

Todos deberíamos ser conscientes de que la información que recabamos, procesamos y almacenamos en el desarrollo de nuestra actividad constituye uno de nuestros activos más relevantes al situarse en el centro de la toma de decisiones. Y en un entorno cada vez más globalizado y tecnológico, mantener la seguridad de estos activos ha pasado de ser una obligación legal a constituir un auténtico reto.

Según la Norma UNE-ISO/IEC 27001: 2014, los pasos a seguir para el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI) son diversos y deben acometerse de manera sucesiva: Conocer la organización y su contexto, definir el alcance y los objetivos, identificar los activos de información, establecer roles y responsabilidades, realizar una correcta evaluación de los riesgos a los que nos enfrentamos, seleccionar e implementar políticas y controles de seguridad efectivos, realizar la revisión y el seguimiento de todo el sistema, verificando su idoneidad y cumplimiento a todos los niveles. En definitiva, se trata de dotar a la organización de los recursos económicos, técnicos y humanos necesarios para que el SGSI funcione.

Sin embargo, para lograr los objetivos básicos de seguridad se hace imprescindible tener en cuenta los tres principios fundamentales que debe cumplir todo procedimiento de gestión de la información, y que se conocen con el término anglosajón CIA. Estamos hablando de la confidencialidad, la integridad y la disponibilidad:

La CONFIDENCIALIDAD implica mantener la información almacenada y procesada protegida de accesos no autorizados, mediante el uso de herramientas físicas y técnicas orientadas a la protección de todo el sistema. También mediante la firma de contratos y cláusulas de confidencialidad con empleados y proveedores definiremos las obligaciones que tienen los mismos de guardar secreto respecto de todas las actuaciones que realicen en la prestación de sus servicios, así como la prohibición de revelar el contenido de los datos accedidos o tratados. En suma, se trata de evitar la divulgación de la información a terceros no autorizados, ya sea de manera fortuita o malintencionada.

La INTEGRIDAD hace referencia a la validez de los elementos de información almacenados. Los datos deben ser exactos, tal y como el emisor los originó, garantizando que no se han producido modificaciones no autorizadas desde su creación. Este principio cobra especial relevancia en las operaciones de facturación y banca on line, debiendo garantizar que ningún tercero pueda acceder y alterar los datos en tránsito.

La DISPONIBILIDAD consiste en garantizar que tanto el sistema como la información van a estar disponibles para el usuario cuando sean necesarios, implementando medidas de seguridad que refuercen esta accesibilidad de manera sencilla, ágil y eficaz.

En mi opinión, como letrada y consultora en SGSI, considero que las ventajas de implementar un Sistema de Gestión de Seguridad de la Información en un despacho profesional son numerosas y, aunque podamos pensar que estos sistemas están orientados a grandes organizaciones, son precisamente las PYMES quienes mejor pueden beneficiarse de los mismos. La ventaja más evidente es