Las entidades dependen de la información y de la tecnología que la soporta. Esto ha traído una serie de problemas de seguridad que han afectado seriamente a nuestro país, pues a diario estamos amenazados por una multitud de riesgos que ponen en peligro la integridad de nuestra información y con ello, el buen funcionamiento de nuestros negocios. Los riesgos pueden provenir de zonas externas a la empresa, pero también desde el interior.
Por ello nos planteamos la siguiente pregunta: ¿Estamos dispuestos a permitir situaciones que afecten a la reputación de la entidad, generen grandes pérdidas económicas y perturben la prestación de los servicios a la ciudadanía? Para trabajar en un entorno seguro, las empresas pueden ayudarse de un SGSI.
¿Qué és el SGSI?
El Sistema de Gestión de Seguridad de la Información (con las siglas ISMS en inglés) es una herramienta basada en un conjunto de normas que permite identificar, atender y minimizar los riesgos que puedan atentar contra la integridad, confidencialidad y disponibilidad de la información de una empresa.
¿Para qué sirve esta entidad?
Un SGSI permite a través del diseño de un proyecto disminuir significativamente el impacto de los riesgos sin necesidad de invertir grandes cantidades de dinero, sobre todo en situaciones con un alto nivel de complejidad, consiguiendo una eficiencia superior y la garantía de la protección de los activos de la información de la entidad.
Implantación
La implantación de este tipo de sistemas es una estrategia coordinada por la dirección que debe ser establecida de manera conjunta por toda la organización. Su planteamiento depende tanto de los objetivos y necesidades de la misma, como de la configuración establecida.
Para que el proceso de implantación sea más sencillo, es recomendable tener el apoyo de una empresa especializada en la asesoría o cursos de formación en este ámbito.
¿Por qué implementar un SGSI?
Tiene multitud de ventajas tanto para la propia organización como para sus clientes y las distintas partes interesadas en su negocio. Los principales son la protección de los activos de información, el mantenimiento de la conformidad legal, el resguardo de la imagen institucional y la reducción de pérdidas generadas por incidentes de seguridad en este entorno.
¿Cómo se implementa?
Alcance
Lo primero que se debería de hacer es determinar el alcance de la implantación, es decir, las áreas que van a estar implicadas en el cambio (ya sea para el conjunto de la entidad o para determinados departamentos).
Tiempo
El tiempo de implantación depende del tamaño de la empresa, el estado inicial de la seguridad de la información y los recursos destinados al mismo. Como media, la duración de este tipo de proyectos suele ser entre seis meses y un año para evitar la obsolescencia una vez acabado.
Estructura
La empresa tiene que contar con una estructura de organización y de recursos necesarios, que estará continuamente en evolución, pues es la base de cualquier sistema de este tipo.
Desarrollo del modelo PDCA
Se utilizará un modelo PDCA dividido en cuatro fases:
Planificación: Se analiza la situación de la seguridad actual, para la posterior estimación de medidas a raíz de las necesidades que se hayan detectado. Es de especial importancia diseñar un análisis de riesgos y una gestión adecuada de los mismos. Con los resultados adquiridos, se establecerán unos controles para minimizarlos.
Ejecución: Se desarrolla la implantación de los controles de seguridad y la documentación indispensable. En esta etapa es importante el tiempo dedicado al aprendizaje y conocimiento sobre lo que se está haciendo y las razones de hacerlo.
Seguimiento: Se procede a la evaluación de la eficacia y el éxito de los controles establecidos mediante el análisis de indicadores, realización de auditorías y revisión de la dirección. Es esencial disponer de registros e indicadores que procedan de estos controles.
Mejora: Sirve para complementar las anteriores. Se realizarán las tareas pertinentes para mantener el proyecto, mejorando o corrigiendo los puntos débiles.
La evaluación del sistema debe ser persistente y estar documentada a través de distintos escritos: Políticas que corresponden a las bases de la seguridad (son disposiciones generales para la consecución de los objetivos); en el siguiente nivel están los procedimientos que exponen los objetivos establecidos en las políticas (de carácter técnico y más concretos); seguidamente se encuentran las instrucciones del desarrollo de los procedimientos, donde se definen los comandos técnicos para llevarlos a cabo; por último se hallan los registros, indicadores y métricas que certifican la efectividad de la implantación y el cumplimiento de los requisitos.
Las normas más utilizadas
Existen un conjunto de normas estándares internacionales que sirven para la implantación de este mecanismo en todo tipo de organizaciones sin realizar grandes inversiones en software y sin contar con una gran estructura de personal. Estas han sido creadas conjuntamente por dos organizaciones: ISO, que es la Organización Internacional de Normalización; y por IEC, Comisión Electrotécnica Internacional.
ISO/IEC 27000
La ISO 27000, define la visión de conjunto y vocabulario de los Sistemas de Gestión de la Seguridad de la Información en la ISO 2700, creados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC). Esta norma ofrece una visión general de un Sistema de Gestión de Seguridad de la Información (SGSI) y orienta a las entidades durante su gestión de los riesgos de la seguridad de la información, con el objetivo de garantizar que la información sensible esté protegida.
ISO/IEC 27001
Es una norma internacional que establece los parámetros necesarios para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI). Este sitema se usa principalmente para proteger la confidencialidad, la integridad y la disponibilidad de la información. Esta norma ofrece a las entidades, independientemente de su tamaño y sector, un marco de seguridad de la información que facilita a las organizaciones a identificar y gestionar sus riesgos de la seguridad de la información de forma eficaz.
ISO/IEC 27002
La ISO 27002 consiste en una guía de referencia para implantar y gestionar los controles del Anexo A de la ISO 27001, que toda organización debe seguir si desea implantar un Sistema de Gestión de Seguridad de la Información (SGSI).