El manejo de la información personal o confidencial es un aspecto en el que es necesario extremar las precauciones mediante el control de los usos que se le dé a esta información, siendo fundamental la gestion adecuada de la misma con la finalidad de proteger estos datos de caracter sensible.
En relación a ello y con la finalidad de garantizar un adecuado empleo de esta información, podemos tener en cuenta algunos casos en los que gobiernos de diferentes países han optado por el empleo de la norma de gestión de la información ISO 27001, como referente internacional que ha mostrando su efectividad en el tratamiento de datos e información.
En la India el ministerio de comunicaciones y tecnologías consideró la aplicabilidad de la norma ISO 27001 como medio para asegurar el cumplimiento de las prácticas y procedimientos de seguridad mediante el desarrollo de políticas de seguridad. Esto se hizo sirviendo de base la información documentada existente sobre procesos, así como otros aspectos básicos garantes de la seguridad de la información.
Entre la información sobre la que se mantienen controles están los programas de seguridad de la información, así como otras medidas de control y seguridad administrativas, técnicas, operativas o físicas, siendo proporcionales a los activos de información protegida relativos a la naturaleza del negocio.
En Reino Unido, se ha empleado la norma con la finalidad de proteger y guiar a las empresas frente a posibles amenazas informáticas.
En relación a ello, con la finalidad de ofrecer garantías de seguridad relativa a la información de la empresa, es necesario el desarrollo de controles. Por este motivo se ha desarrollado el programa “Cibernetic Essentials” orientado a empresas de todos los tamaños y sectores.
Este programa contempla aspectos de obligado cumplimiento para los contratos establecidos con el gobierno central desde Octubre de 2014, en los que se maneje información personal, además de prestarse cualquier tipo de servicio TIC o se empleen determinados productos o servicios TIC.
Los controles técnicos desarrollados, se centrarán en 5 mitigaciones básicas, sirviendo la ISO 27001 de referencia en la determinación de estos aspectos.
El ministerio de trabajo de Dubai ha sido certificado con la norma ISO 27001, Habiendo declarado el director del departamento de TI, Ahmad Yousuf Al Nasser, los beneficios derivados de la implantación de la misma, incluyendo algunos fundamentales como el reconocimiento internacional en cuestiones de seguridad de la información, al mismo tiempo que ha permitido el establecimiento de puntos de referencia en los sistemas de seguridad de la información, así como la construcción de sistemas integrados, dependientes de las actividades continuadas relativas a la protección de la información.
La certificación contribuye al reconocimiento mundial de los sistemas de seguridad de la información, permitiendo establecer puntos de referencia en los sistemas de seguridad de la información y construir un sistema integrado.
En Inglaterra y Gales, la norma fue empleada como defensora legal, permitiendo mejorar el rendimiento en áreas como la gestión de riesgos.
Lo más significativo de la certificación es que esta ha dado mayor confianza a los usuarios aunque también ha contribuido a la mejora de la capacidad para administrar sus datos de forma segura.
Con la finalidad de ofrecer garantías, tanto de calidad como de seguridad a los usuarios, en Armenia el comité de ingresos ha empleado la certificación de la norma ISO 27001 como referencia de seguridad de la información siendo una referencia de servicio público de calidad.
Por otro lado, la Agencia de Administración Pública de Noruega, junto a la administración electrotécnica han firmado un acuerdo mediante el que se permite a las organizaciones gubernamentales tener acceso a los principales estándares de la información, siendo el objetivo la mejora de la gestión de la seguridad de la información mediante la aplicación de las normas.
El ayuntamiento de Birmingham también ha empleado el uso y la certificación de la norma ISO 27001, permitiendo al consejo la mejora de los procesos además de hacer frente a las declaraciones sobre la forma de operar, siendo fundamental garantizar la integridad de los datos.
Todas estas iniciativas evidencian la utilidad de la norma como referente, permitiendo ofrecer garantías de calidad, seguridad y confidencialidad de los datos y la información sensible, facilitando a su vez el control de toda situación susceptible de entrañar cualquier mínimo riesgo.
Fuente: publicsectorassurance.org