LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

22/06/2024. 17:54:58

LegalToday

Por y para profesionales del Derecho

Norma ISO 27001. Un paso más hacia la protección eficaz de la información en los despachos

Responsable Departamento Jurídico de CASTROALONSO. Consultora y experta en Sistemas de Gestión de Compliance.

La transformación digital en los despachos ha traído consigo la agilización de los procesos internos y externos de gestión, traduciéndose en un incremento de la productividad, competitividad y eficiencia. Pero esta misma transformación también implica un gran esfuerzo de concienciación, formación y adaptación por parte de los profesionales, sobre todo en relación con la seguridad y la gestión de los datos.

Protección datos

Todos deberíamos ser conscientes de que la información que recabamos, procesamos y almacenamos en el desarrollo de nuestra actividad constituye uno de nuestros activos más relevantes al situarse en el centro de la toma de decisiones. Y en un entorno cada vez más globalizado y tecnológico, mantener la seguridad de estos activos ha pasado de ser una obligación legal a constituir un auténtico reto.

Según la Norma UNE-ISO/IEC 27001: 2014, los pasos a seguir para el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI) son diversos y deben acometerse de manera sucesiva: Conocer la organización y su contexto, definir el alcance y los objetivos, identificar los activos de información, establecer roles y responsabilidades, realizar una correcta evaluación de los riesgos a los que nos enfrentamos, seleccionar e implementar políticas y controles de seguridad efectivos, realizar la revisión y el seguimiento de todo el sistema, verificando su idoneidad y cumplimiento a todos los niveles. En definitiva, se trata de dotar a la organización de los recursos económicos, técnicos y humanos necesarios para que el SGSI funcione.

Sin embargo, para lograr los objetivos básicos de seguridad se hace imprescindible tener en cuenta los tres principios fundamentales que debe cumplir todo procedimiento de gestión de la información, y que se conocen con el término anglosajón CIA. Estamos hablando de la confidencialidad, la integridad y la disponibilidad:

La CONFIDENCIALIDAD implica mantener la información almacenada y procesada protegida de accesos no autorizados, mediante el uso de herramientas físicas y técnicas orientadas a la protección de todo el sistema. También mediante la firma de contratos y cláusulas de confidencialidad con empleados y proveedores definiremos las obligaciones que tienen los mismos de guardar secreto respecto de todas las actuaciones que realicen en la prestación de sus servicios, así como la prohibición de revelar el contenido de los datos accedidos o tratados. En suma, se trata de evitar la divulgación de la información a terceros no autorizados, ya sea de manera fortuita o malintencionada.

La INTEGRIDAD hace referencia a la validez de los elementos de información almacenados. Los datos deben ser exactos, tal y como el emisor los originó, garantizando que no se han producido modificaciones no autorizadas desde su creación. Este principio cobra especial relevancia en las operaciones de facturación y banca on line, debiendo garantizar que ningún tercero pueda acceder y alterar los datos en tránsito.

La DISPONIBILIDAD consiste en garantizar que tanto el sistema como la información van a estar disponibles para el usuario cuando sean necesarios, implementando medidas de seguridad que refuercen esta accesibilidad de manera sencilla, ágil y eficaz.

En mi opinión, como letrada y consultora en SGSI, considero que las ventajas de implementar un Sistema de Gestión de Seguridad de la Información en un despacho profesional son numerosas y, aunque podamos pensar que estos sistemas están orientados a grandes organizaciones, son precisamente las PYMES quienes mejor pueden beneficiarse de los mismos. La ventaja más evidente es la derivada del cumplimiento de la legislación vigente, que reducirá el riesgo de cometer infracciones e incurrir en responsabilidad, minimizando la imposición de sanciones económicas administrativas, o incluso penales. Pero más allá del aspecto puramente legal, un SGSI puede mejorar notablemente la gestión de nuestro bufete, ayudándonos a aplicar de manera adecuada las medidas de seguridad y control sobre la obtención, tratamiento y uso de la información por parte de nuestros empleados, proveedores y colaboradores. Asimismo, implementando políticas respetuosas con estos principios generamos credibilidad y confianza en los clientes, que percibirán nuestro esfuerzo como un plus de calidad en la prestación de los servicios. En el apartado económico, conseguiremos reducir los costes asociados a incidencias de seguridad (caídas del sistema, fugas de información, accesos no autorizados, denuncias), así como minimizar las primas de seguros. Por último, desde un punto de vista humano, estaremos concienciando sobre la importancia de la correcta manipulación de la información, la adopción de medidas de seguridad eficaces, las responsabilidades personales y de la organización y las consecuencias de su incumplimiento, capacitando a nuestros profesionales para un uso adecuado de las nuevas tecnologías y proporcionándoles herramientas y habilidades para combatir las amenazas que las mismas pueden contener.   

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS