¿Es la norma ISO/IEC 27001 la varita mágica que protegerá el mundo digital?
El año 2013 se recordará como un año crucial para la seguridad de la información, no solo por los que trabajan en la industria, sino por cualquiera que haya seguido las noticias.
El hacktivismo político, como las acciones del Ejército Electrónico Sirio, demostraron que la menor vulnerabilidad en una red informática podría ser utilizada y se utilizaría para difundir mensajes políticos para captar la atención del público internacional.
Edward Snowden reveló que nuestra actividad online se supervisa mucho más de lo que creemos, lo que nos da motivos para reexaminar nuestro comportamiento online y la seguridad de los datos.
El año 2013 fue también el año en el que los registros de dominio de nivel superior fueron atacados a una escala sin precedentes, en algunas ocasiones con éxito. Fue el año en el que el submundo digital comprendió que controlar un nombre de dominio es el vector de ataque perfecto para aquellos con objetivos malintencionados.
Partiendo de esta evidencia, es fácil concluir que la tecnología por sí misma ya no basta para protegernos de los delitos informáticos y la guerra digital. Pero ¿qué es exactamente?
¿La norma de seguridad de la información ISO/IEC 27001 llega donde la tecnología no puede?
No como tal, porque no es para lo que está destinada.
Sin embargo, lo que hace es ayudar a las organizaciones a madurar sus ideas acerca de la seguridad de los datos y, en consecuencia, a actuar con mayor seguridad en un mundo digital, reduciendo así su vulnerabilidad a los ciberataques.
Cómo funciona
La norma ISO/IEC 27001 es una norma de gestión, al igual que las más conocidas ISO 9000 e ISO 14000, y está diseñada para ayudar a las organizaciones a gestionar la seguridad de la información.
Mediante un ciclo continuo de procesos de mejora y certificación, los auditores externos buscan pruebas de que la existencia del ciclo ISO/IEC 27001 es efectiva y está, de hecho, mejorando la información de seguridad en la organización certificada.
La adquisición de la certificación es un proceso intensivo ya que implica cumplir con determinados estándares de seguridad de la información y cambiar el método de manipulación de los datos. Pero mantener la certificación es un trabajo igualmente intenso, ya que requiere un crecimiento y una mejora continuos de los estándares de seguridad, fijando también objetivos que son cada vez más difíciles de alcanzar.
En EURid creemos que la seguridad de la información es un elemento fundamental de nuestra actividad. Para ayudarnos a gestionar la seguridad de información de una forma estructurada, tanto en nuestras operaciones técnicas como en los procesos comerciales, hemos optado por seguir la norma de seguridad ISO/IEC 27001.
Puede que no sea una varita mágica, y probablemente no exista algo así, pero junto con la tecnología, creemos que es la mejor forma de proteger el dominio de nivel superior .eu para los titulares de nombres de dominio .eu y los usuarios de Internet.
