Dentro del mercado internacional de certificación de Sistemas de Calidad normativos podemos encontrar un amplio espectro de estándares aplicables a casi todas las actividades existentes. Normas de alcance no restringido al rubro, sector o prestación, otras aplicables a las especificaciones o variables de producto, las cuales sirven para normalizar la oferta de determinados bienes, e incluso a otras que tienden a regular actividades sensibles para las empresas o su mercado. 

Desde la década del ’80 éstos esquemas de gestión en base a estándares internacionales vienen avanzando a paso firme y continuo, y ganando en masividad y aceptación de la mano del estándar más reconocido de todos: ISO 9001. A medida que iba ganando en aceptación, el esquema ISO, por demás eficiente como herramienta de gestión integral del negocio fue migrando, integrándose y conformándose en la base operativa de muchas otras normativas más específicas para ciertos sectores o actividades.

Hoy en día las naciones y regiones más evolucionadas cuentan con estándares particulares requeridos para operar con información de terceros, como pueden ser datos de medios de pago u datos personales de individuos u organizaciones. La Unión Europea requiere la aplicación de su protocolo GDPR, y países sudamericanos como Brasil y Uruguay ya han legislado e implementado con vigor sus propios protocolos.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es justamente eso: la evolución de la norma ISO 9001 y sus integrables, en un nuevo esquema de resguardo de documentación e información crítica en negocios con riesgo explícito de pérdida, robo o destrucción de su información crítica.

La creación del estándar que fija las pautas de construcción de un SGSI (o ISMS, por sus siglas en inglés), la norma ISO 27001 puede encontrar su origen en dos hitos particulares: 

Por un lado, la penetración de ISO 9001 a la actividad bancaria, al desarrollo de software y a la prestación de servicios de IT; y por otro lado al creciente nivel de regulación de entidades financieras, a fin de reducir el riesgo operativo.

Los que nos dedicamos a la implementación de Sistemas de Calidad normativos podemos reconocer en este nuevo estándar una mistura entre conceptos puros de administración de la tecnología de la información, y metodología de aplicación de normas basadas en riesgos, como la ISO 14001 (de gestión medioambiental) o la ISO 45001 (de Salud y seguridad en el trabajo). 

Cuanto más crítica sea la información o documentación que un ente, organización o empresa administre, más necesario se torna protegerla, conservarla y asegurar su incorruptibilidad, eliminar accesos irrestrictos a ella o evitar su pérdida o difusión, por cualquier medio. De eso se trata un SGSI y aquellos que trabajan con paquetes de datos de propiedad de terceros saben que tan sensible puede ser no atender al requerimiento de seguridad; la ley de Habeas Data (Ley de Protección de Datos Personales nro. 25326) se ocupa de ello. O quizá aquellos que manipulen información financiera puedan decir que ocurriría si dicho activo se perdiera, corrompiera o filtrara, afectando la confidencialidad y sustentabilidad del negocio; el Comité de Supervisión Bancaria de Basilea mediante el documento “Basilea II” y la réplica argentina a cargo del BCRA, la resolución A 4609, tienden a evitarlo.

Ante la actual proliferación ilimitada de las tecnologías de la información, y sus aplicaciones a la vida diaria, es cada vez mayor la cantidad y calidad de información que corre por el interior de un sistema de captación, tratamiento, procesamiento o almacenamiento digital. Para ese tipo de sistemas, infraestructuras o incluso aplicaciones, que hoy en día se convierten cada vez más en blanco de todo tipo de piraterías informáticas, la construcción de Sistemas de Gestión de Seguridad de la Información es una necesidad imperativa, y su certificación es una salvaguarda contra problemas operativos y legales que pueden hacer peligrar a la organización toda.

Carlos Alberto Tapia

Supervisión de User Experience, Soporte de Implementación y Capacitación / Pertix Tech. Latam