Usted piensa que todo gira en torno a los datos, bueno, se le perdonaría que pensara eso, pero la verdad es que se trata de INFORMACIÓN.
En la era digital actual y con la introducción del GDPR hemos desarrollado procesos de pensamiento que giran en torno al almacenamiento electrónico de datos y a cómo controlar el acceso a los mismos y la transmisión de datos sin pérdida ni deterioro.
La norma ISO27001:2013 tiene una parte importante de sus controles orientados al almacenamiento electrónico de datos y al acceso a los mismos, pero el aspecto a menudo olvidado de esta norma es que se trata de un sistema de gestión de la seguridad de la información.
Información la definición:
- información: Cosas que se conocen o pueden conocerse sobre un tema determinado; conocimiento comunicable de algo.
- información: El acto de informar o impartir conocimientos “notificación”.
- información: Declaración de actividad delictiva presentada ante un juez o magistrado
- información: La impartición sistemática de conocimientos; la educación, la formación.
- Los medios de comunicación: la información.
- información: La creación de la forma; la impartición de una cualidad o característica determinada; la formación, la animación.
- información: Cualquier dato abstracto no ambiguo, siendo la unidad más pequeña posible el bit.
- información: Una nota escrita a mano o una colección de notas en un libro.
- información: Un texto.
- Información.
- información: Un correo electrónico.
- información: De boca en boca.
- Información
- información: Una fotografía
La lista anterior es sólo una pequeña representación del tema información, la lista podría seguir literalmente para siempre así que vamos a resumirla:
Información es cualquier cosa que pueda ser usada para transmitir conocimiento a otra parte
Bien, inventemos una pequeña historia sobre la seguridad de la información.
Fran trabaja en una empresa de fabricación de productos electrónicos que produce componentes de alto valor para la industria de la aviónica y que cuenta con la certificación ISO27001.
Guy es el director de ventas de la misma empresa.
Un día Fran ve a Guy escribiendo en su libreta roja, Guy le explica que ha tenido esta libreta durante años mientras trabajaba para múltiples empresas y que contiene todos sus contactos de la industria y que la protege con su vida, ya que es tan valiosa que no guarda información en su teléfono o en su portátil, ya que tiene que devolverlos si se va. Le cuenta que tiene datos de contacto, información sobre aficiones e intereses, el nombre de otras personas importantes y notas relevantes junto con el historial de pedidos de cada empresa. Al salir del trabajo a la hora habitual de las 18:00 horas, Guy lleva a Fran a su casa, cuando entra en el coche coloca su libro rojo en la guantera, de camino a casa llaman al supermercado, Guy explica que siempre se detiene a comprar una botella de vino. Aparca el coche en el extremo más alejado del aparcamiento porque no le gustan los golpes en la puerta y es más tranquilo allí.
Más tarde esa semana Fran está hablando con su amiga que sabe dónde trabaja (Información), Fran le cuenta la historia del libro rojo y y el viaje a casa ya que está preocupada por las implicaciones del GDPR que rodea al libro (Información), la amiga se lo cuenta a su otra mitad en la conversación durante la cena (Información). La otra mitad, que trabaja en una empresa similar, le cuenta a su jefe la historia porque es una estupidez (Información). El jefe contrata los servicios de un delincuente para que vigile a Guy y le informe con detalle de sus movimientos y fotos de su coche (Información). El delincuente es contratado para entrar en el coche y robar el libro rojo, que pasa al jefe (Información) por una suma acordada.
Está claro que tenemos una historia de espionaje industrial, la cuestión que tenemos que plantear es la seguridad de la información en un mundo en el que tratamos con seres humanos. La pérdida de información en este caso se debió a una charla inocente entre amigos que acabó en una acción delictiva. El libro rojo es obviamente de gran valor, el sistema de gestión ISO27001 de la empresa se centra en los datos electrónicos y nadie conocía la existencia de los libros, supongamos que no preguntaron y no se aventuraron. El tipo se sentó en todas las reuniones de planificación de IS27001 y no se le ocurrió que su libro era un activo de información, era simplemente su libro rojo que había tenido durante años. También tenemos el tema de los derechos intelectuales de los anteriores empleadores que han sido retenidos por Guy y utilizados para su propio beneficio. Maybe this exact scenario hasn’t played out in the real world, or has it?
Al planificar su sistema de gestión de la seguridad de la información, debe tener en cuenta todas las formas de información, que se denominan activos de información, y debe tener un registro de todos los activos de información y disponer de controles sobre cómo se almacenan y quién accede a ellos.
ISO27001:2013 no sólo comprende la estructura de 10 cláusulas, sino que tiene un anexo, el “Anexo A” este anexo tiene 144 requisitos de control; que incluye el control de los activos de información ZEBSOFT tiene la declaración de aplicabilidad para estos 144 controles incorporados en su funcionalidad para hacer la gestión de estos 144 controles simple y eficaz.
¡No pierda la propiedad intelectual por el control de la información no electrónica!