En el 2013, participé de manera muy activa en la mi primera implementación formal de un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 en el Instituto Dominicano de Aviación Civil (IDAC).

El eje central de esta norma es proteger la confidencialidad, integridad y disponibilidad de la información en una organización, a grandes rasgos, esto se logra identificando cuáles son los problemas potenciales que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

La ISO/IEC 27001 consta de 114 controles, 35 objetivos de control y 14 dominios que enmarcan su aplicación en los procesos de la organización. Estos dominios de Seguridad, que menciono a continuación, incluyen todos los activos de la información que se deben proteger: Políticas de seguridad, organización de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, seguridad en las operaciones, transferencia de información, adquisición de sistemas, desarrollo y mantenimiento, relación con proveedores, gestión de los incidentes de seguridad, continuidad de negocio y cumplimiento con requerimientos legales y contractuales.

Durante estos últimos 7 años, en el IDAC, este sistema ha madurado y crecido bastante, me considero uno de los padres de este niño que hoy es grande; pues me involucré en todo el ciclo de implementación: En la creación de las políticas, procedimientos, procesos, planes de sensibilización e incluso en la implementación de gran parte de los controles para mitigar riesgos relacionados con la infraestructura y las redes.

Porque la información, hoy más que siempre, es el activo de mayor importancia en las organizaciones, es fundamental que sea protegida de manera adecuada y hacer esto, de la mano de un marco de referencia internacional como ISO/IEC 27001, posibilita, en gran medida, el éxito de un sistema de gestión de seguridad de la información (SGSI).
Juan Matos