Actualmente el ISO-27001:2005 http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/ISOIEC-27001/ es el único estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad.
Se puede considerar, que la certificación ISO-27001, es casi una obligación de cualquier empresa que desee competir en el mercado, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes o usuarios, control de stock, facturación, pedidos, productos, requerimientos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática.
De dichas relaciones pueden surgir eventos e incidentes que podrían comprometer legalmente a la organización, generándose posibles responsabilidades para el administrador del sistema o para el usuario específico de este. Estas responsabilidades pueden llegar a tener una calificación de omisión, culpa o intención para el administrador del sistema, asi como el usuario específico de este puede llegar a tener una calificación de culpa o intención por el daño producido, siempre y cuando este daño sea verificable.
El riesgo no medido, puede ser muy costoso para las organizaciones empresariales, alcanzando en algunos casos hasta su cierre. Es importante conocer que toda organización esta sujeta a riesgos informativos que pudieran derivarse de simples incidentes o mas allá delitos informáticos. Ahora bien no basta con saber el cómo actuar ante un incidente, es necesario también conocer cómo actuar diferenciándolo de un delito.
Evitar que los daños ocurran en los sistemas de información o a través de estos, supone capacitar básicamente al talento humano para poder identificar qué hechos están ocurriendo en sus equipos de computación.
No hay comentarios:
Publicar un comentario