You are on page 1of 2

82

Perspectiva Empresarial

Las 10 claves de éxito para un SGSI
EN ESTE ARTÍCULO PRESENTAMOS UN LISTADO DE LOS 10 ELEMENTOS CONSIDERADOS CLAVE PARA EL PROCESO DE LA IMPLEMENTACIÓN Y DEL MANTENIMIENTO DE UN SGSI CON ÉXITO

factor clave para el proceso, una vez que Carlos A. Sáiz
SOCIO RESPONSABLE DEL ÁREA DE IT COMPLIANCE Y SEGURIDAD Écija

Paulo Barbosa
CONSULTOR DE SEGURIDAD DE LA INFORMACIÓN Écija

se considere que toda la empresa puede no ser la mejor opción (coste, tiempo necesario, magnitud de los cambios), y por otro lado, focalizar demasiado suele tornar el SGSI en un elemento de baja relevancia (o completamente irrelevante) a la empresa. 2. Obtener el apoyo de la

L

as empresas cada vez tienen más claro que necesitan soluciones en materia de

seguridad duraderas, sostenibles y alineadas a los objetivos globales del negocio, seguramente cansadas de invertir en controles puntuales o en las mejores prácticas de seguridad sugeridas por algún estudio reciente y generalmente difíciles de justificar en una lógica de coste y beneficio. Una de las soluciones actualmente más adoptadas por las empresas y más discutidas por los especialistas de seguridad, es el sistema de gestión de seguridad de la información (SGSI), un conjunto de procesos, políticas, procedimientos, análisis y testes, organizados de manera lógica y soportada por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001 – una de las principales referencias en el mundo de la seguridad de la información.

Desarrollar un SGSI es como crear una nueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada
En este artículo presentamos un listado de los 10 elementos considerados clave para el proceso de la implementación y del mantenimiento de un SGSI con éxito. 1. Comprender qué es un SGSI No es un software. No es un conjunto de documentos. Desarrollar un SGSI es como crear una nueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada. Comprender el alcance del sistema es un

dirección Cambiar procesos antiguos, limitar los privilegios de acceso, responsabilizar a personas (formalmente) de la seguridad de su información no suelen ser tareas simples. Cuando la propia identidad de la empresa y su cultura de trabajo pueden ser cambiadas, los directores y otros responsables del negocio tienen que estar activamente involucrados. Tienen que dar a comprender que es la propia empresa la que está cambiando, y que todos forman parte de este proceso. 3. Alinear al negocio La seguridad de la información existe para viabilizar negocios. La principal misión del responsable de seguridad es alinear las actividades de seguridad con los objetivos globales de la empresa, garantizando que los riesgos sean conocidos y que están controlados adecuadamente conforme a una estrategia definida.

nº 26

octubre 2008

83 Perspectiva Empresarial información de apoyo. gestionar esos riesgos. cambiando el escenario actual donde la seguridad es un coste y transformándola en una herramienta para viabilizar negocios más seguros y mejor gestionados. 10. alcanzar el nivel de apoyo a la toma de decisiones es el “estado del arte” para la seguridad. Establecer procesos repetibles El SGSI implementa el concepto administrativo PDCA (Plan. Además. Es necesario comprender lo que puede afectar a cada proceso de negocio. Anticipar los riesgos. operacionales y de reputación? Resulta fundamental tener una herramienta que genere todo o parte de esta información a través de cuadros de mando para la toma de decisiones. 5. beneficiando a los responsables de la gestión del negocio en cada nueva iniciativa presentándoles los riesgos inherentes y las medidas necesarias (así como sus costes). y cuales son los impactos y probabilidades de ocurrencia inherentes. pero mi empresa puede necesitar más La ISO 27001 establece los requisitos para un SGSI. testes de procedimientos y tecnologías. training. conocer las vulnerabilidades tecnológicas no es suficiente. Seguridad como herramienta de apoyo a la toma de decisiones Considerando que la seguridad de la información viabiliza negocios. suelen haber requisitos específicos. y muchos otros) serán repetibles de forma continuada. tras su identificación y la aplicación de medidas adecuadas. “No se puede gestionar lo que no se puede medir”. auditorías. 6. la 27002 presenta los controles de seguridad recomendables. en términos de coste y beneficio. por lo menos. o la producción de la empresa. Resulta fundamental tener una herramienta que genere todo o parte de esta información a través de cuadros de mando para la toma de decisiones ¿Cuál sería el impacto financiero si uno de esos escenarios ocurriera hoy? ¿Cuánto hemos invertido en seguridad? ¿Las medidas fueron proporcionales a las posibles pérdidas financieras. Ya que cada negocio es único. algunos procesos serán ejecutados puntualmente. o por cumplimiento legal o normativo. Act). El verdadero objeto del SGSI es organizar las medidas de seguridad de acuerdo a objetivos de negocio. por ejemplo. 9. o bien por la reducción de un riesgo (valores financieros son bienvenidos). reducir los riesgos a niveles aceptables. así que muchos de los procesos de seguridad (análisis de riesgos. no su finalidad. Unir los procesos de gestión Hay dos momentos en los que la seguridad tiene que ser especialmente tenida en consideración: planificaciones y cambios. Think out of the (ISO) box. Además. Conocer profundamente los riesgos Invertir en medidas de seguridad sin antes conocer los riesgos es como tomar una medicación sin antes saber cuál es la enfermedad. que a su vez reduce las pérdidas financieras y posibles pérdidas de imagen y reputación. Toda medida de seguridad tiene que tener un porqué Toda inversión en seguridad debe ser justificada. nº 26 octubre 2008 . ¿Cuántos riesgos hemos reducido en los últimos 6 meses? ¿En el último año? 4. Los estudios revelan que anticipar los cuidados de seguridad en la fase de planeamiento. es necesario conocer el estado de la seguridad. cambio o 8. Así como ocurre con la operación. Do. Las ISO son la base. Un conjunto de nuevas ISO está en desarrollo en este momento. Un SGSI no es inviolable. Establecer métricas Parafraseando a Lord Kelvin. cuando haya incidentes de seguridad. no deja a la empresa inmune frente a los incidentes de seguridad. Check. ofreciendo una cantidad cada vez mayor y más depurada de 7. la recomendación es buscar soluciones ideales para la empresa y sus particularidades. Eso probablemente nunca será posible. Entretanto. una vez que la tecnología es un elemento de soporte al negocio. diseño reduce el valor a invertir en comparación con medidas paliativas. reduce la probabilidad y/o el impacto de un incidente.