La digitalización de las actividades laborales y personales, aunado a un mayor uso de la Inteligencia Artificial (IA) en todos los sectores e industrias, expone a México y al mundo a una mayor incidencia de ataques cibernéticos; pese a ese contexto, en nuestro país solo se expidieron 589 certificados contra riesgos de este tipo, según la última ISO Survey (2023), advierte Delta Protect, empresa mexicana especializada en ciberseguridad.
El panorama luce arriesgado, explica Santiago Fuentes, cofundador y Co-CEO de Delta Protect, considerando que los Censos Económicos del Inegi indican que en México existen poco más de 5 millones 450 mil empresas del sector privado y paraestatales, mientras que la Secretaría de Economía muestra que 636 están registradas como corporativos.
Santiago Fuentes destaca que “las compañías que no se protegen con procesos internos, servicios externos de ciberseguridad y/o certificaciones, como la ISO 27001, no solo arriesgan información confidencial propia y de clientes, así como su infraestructura operativa y sus finanzas, sino que enfrentan otras consecuencias a futuro, como multas, compensaciones a clientes, pérdida de socios y sobre todo el daño de su reputación”.
México y la ISO 27001
La norma ISO 27001 es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de organización, no importando su tamaño o configuración; se implementó en 2005 por la International Organization for Standardization.
Según la ISO Survey 2023, “Encuesta ISO sobre certificaciones de normas de sistemas de gestión a nivel mundial”, realizada por el Instituto de Seguridad y Bienestar Laboral de la Unión Europea, publicada en 2024, México ocupa el lugar 21 de los países con más certificados ISO 27001, mientras que en América se coloca en segundo lugar con 589 certificados, solo atrás de Estados Unidos con 1,898.
Actualmente, a nivel mundial hay alrededor de 50 mil certificados, según la encuesta, y Japón con 5,599; China con 4,108 e India con 3,877 lideran la lista de países que priorizan la ciberseguridad.
De acuerdo con Antonio Arellano, cofundador y Co-CEO de Delta Protect, el objetivo principal de esta norma o certificación (la cual tiene una duración de tres años, pero con una revisión o auditoría anual), es ayudar a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información mediante la implementación de controles de seguridad adecuados.
Dichos controles de seguridad están clasificados en cuatro categorías: Controles Organizacionales (37), de Personas (8), Físicos (14) y Tecnológicos (34).
Algunos de los 37 Controles Organizacionales que tiene la Norma ISO 27001 son: Políticas de seguridad de la información, Funciones y responsabilidades de seguridad de la información, Clasificación de la información, Gestión de la seguridad de la información en la cadena de suministro de TIC, Gestión de identidad, y Planificación y preparación de la gestión de incidentes de seguridad de la información.
Entre los 8 Controles de Personas encontramos: Términos y condiciones de empleo, Concientización, Educación y capacitación sobre seguridad de la información, Responsabilidades después de la terminación o cambio de empleo, Acuerdos de confidencialidad o no divulgación y Trabajo remoto.
Algunos ejemplos de los Controles Físicos son: Perímetros de seguridad física, Protección de oficinas, Ubicación y protección del equipo, Medios de almacenamiento y Seguridad de los equipos.
Y de los 34 Controles Tecnológicos que existen, algunos de ellos son: Restricción de acceso a la información, Autenticación segura, Protección contra malware, Copias de seguridad de la información, Seguridad de los servicios de red, Uso de criptografía, Codificación segura, y Protección de los sistemas de información durante las pruebas de auditoría interna.
