La startup especializada en riesgos cibernéticos, Delta Protect, recomienda tomar medidas para bajar la incidencia de ciberataques que pueden llegar a costar 20 millones de pesos en México y hasta 2.9 millones de dólares a nivel global, según IBM.

Para el cofundador y CEO de la firma, Santiago Fuentes, una de las acciones que pueden tomar las empresas u organismos es obtener la certificación ISO 27001, sobre Sistemas de Gestión de la Seguridad de la Información (SGSI), principalmente en un país como México, donde tan solo en el primer trimestre del 2022 tuvo el registro de más de 80 mil millones de intentos de ciberataques.

“La norma ISO 27001 especifica los requerimientos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, sobre todo ante un contexto en el que 65 por ciento de los ataques cibernéticos en organismos y empresas se deben a errores humanos”, explica.

Los requisitos para obtener la certificación a través de una consultoría o firma especializada en ciberseguridad son genéricos, por lo que pueden aplicarse a todas las compañías u organizaciones, sin importar su tipo, tamaño o naturaleza:

Establecer un equipo de trabajo. Debe estar conformado por el personal que tiene como objetivo implementar el Sistema de Gestión de Seguridad de la Información, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status.

Determinar alcance del Sistema de Gestión de Seguridad de la Información. La norma ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño, el organismo que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa basándose en los servicios o productos importantes para ella y cuáles son relevantes competitivamente hacia sus clientes.

Análisis de brechas. Se puede realizar un análisis de riesgos o evaluación de brechas respecto a la norma 27001, para identificar y mitigar las amenazas a las que está expuesto y así prepararse para la siguiente etapa.

Implementación de controles de seguridad. En esta etapa se implementan todos los controles de seguridad necesarios para mitigar los riesgos identificados hacia la compañía; en ella se necesita el apoyo de la alta dirección para poder ocupar recursos humanos, técnicos y financieros que ayuden a mitigarlos.

Generación de documentación y evidencia. Hay que conservar la documentación que se ocupó para implementar los controles de seguridad, como: procesos, procedimientos, guías y evidencias que después serán revisadas por el auditor. Deberá cumplir todo lo que establezca en su documentación.

Pre Auditoria / Auditoria. Después de implementar el Sistema de Gestión de Seguridad de la Información, con todos los controles de seguridad para obtener la certificación, es recomendable hacer una pre auditoría para identificar posibles inconformidades por parte del auditor y resolverlas antes de la auditoría final.

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

RRHHDigital