Las entidades dependen de la información y de la tecnología que la soporta. Esto ha traído una serie de problemas de seguridad que han afectado seriamente a nuestro país, pues a diario estamos amenazados por una multitud de riesgos que ponen en peligro la integridad de nuestra información y con ello, el buen funcionamiento de nuestros negocios. Los riesgos pueden provenir de zonas externas a la empresa, pero también desde el interior.

sistema-gestion

Por ello nos planteamos la siguiente pregunta: ¿Estamos dispuestos a permitir situaciones que afecten a la reputación de la entidad, generen grandes pérdidas económicas y perturben la prestación de los servicios a la ciudadanía? Para trabajar en un entorno seguro, las empresas pueden ayudarse de un SGSI.

¿Qué és el SGSI?

El Sistema de Gestión de Seguridad de la Información (con las siglas ISMS en inglés) es una herramienta basada en un conjunto de normas que permite identificar, atender y minimizar los riesgos que puedan atentar contra la integridad, confidencialidad y disponibilidad de la información de una empresa.

¿Para qué sirve esta entidad?

Un SGSI permite a través del diseño de un proyecto disminuir significativamente el impacto de los riesgos sin necesidad de invertir grandes cantidades de dinero, sobre todo en situaciones con un alto nivel de complejidad, consiguiendo una eficiencia superior y la garantía de la protección de los activos de la información de la entidad.

seguridad

Implantación

La implantación de este tipo de sistemas es una estrategia coordinada por la dirección que debe ser establecida de manera conjunta por toda la organización. Su planteamiento depende tanto de los objetivos y necesidades de la misma, como de la configuración establecida.

Para que el proceso de implantación sea más sencillo, es recomendable tener el apoyo de una empresa especializada en la asesoría o cursos de formación en este ámbito.

¿Por qué implementar un SGSI?

Tiene multitud de ventajas tanto para la propia organización como para sus clientes y las distintas partes interesadas en su negocio. Los principales son la protección de los activos de información, el mantenimiento de la conformidad legal, el resguardo de la imagen institucional y la reducción de pérdidas generadas por incidentes de seguridad en este entorno.

SGSI

¿Cómo se implementa?

Alcance

Lo primero que se debería de hacer es determinar el alcance de la implantación, es decir, las áreas que van a estar implicadas en el cambio (ya sea para el conjunto de la entidad o para determinados departamentos).

Tiempo

El tiempo de implantación depende del tamaño de la empresa, el estado inicial de la seguridad de la información y los recursos destinados al mismo. Como media, la duración de este tipo de proyectos suele ser entre seis meses y un año para evitar la obsolescencia una vez acabado.

Estructura

La empresa tiene que contar con una estructura de organización y de recursos necesarios, que estará continuamente en evolución, pues es la base de cualquier sistema de este tipo.

Desarrollo del modelo PDCA

Se utilizará un modelo PDCA dividido en cuatro fases:

Planificación: Se analiza la situación de la seguridad actual, para la posterior estimación de medidas a raíz de las necesidades que se hayan detectado. Es de especial importancia diseñar un análisis de riesgos y una gestión adecuada de los mismos. Con los resultados adquiridos, se establecerán unos controles para minimizarlos.

Ejecución: Se desarrolla la implantación de los controles de seguridad y la documentación indispensable. En esta etapa es importante el tiempo dedicado al aprendizaje y conocimiento sobre lo que se está haciendo y las razones de hacerlo.

Seguimiento: Se procede a la evaluación de la eficacia y el éxito de los controles establecidos mediante el análisis de indicadores, realización de auditorías y revisión de la dirección. Es esencial disponer de registros e indicadores que procedan de estos controles.

Mejora: Sirve para complementar las anteriores. Se realizarán las tareas pertinentes para mantener el proyecto, mejorando o corrigiendo los puntos débiles.

La evaluación del sistema debe ser persistente y estar documentada a través de distintos escritos: Políticas que corresponden a las bases de la seguridad (son disposiciones generales para la consecución de los objetivos); en el siguiente nivel están los procedimientos que exponen los objetivos establecidos en las políticas (de carácter técnico y más concretos); seguidamente se encuentran las instrucciones del desarrollo de los procedimientos, donde se definen los comandos técnicos para llevarlos a cabo; por último se hallan los registros, indicadores y métricas que certifican la efectividad de la implantación y el cumplimiento de los requisitos.

Las normas más utilizadas

Existen un conjunto de normas estándares internacionales que sirven para la implantación de este mecanismo en todo tipo de organizaciones sin realizar grandes inversiones en software y sin contar con una gran estructura de personal. Estas han sido creadas conjuntamente por dos organizaciones: ISO, que es la Organización Internacional de Normalización; y por IEC, Comisión Electrotécnica Internacional.

seguridad-informacion

ISO/IEC 27000

Recoge los términos y conceptos empleados en el resto de normas. Pretende evitarse, de esta forma, confusiones en las interpretaciones de los conceptos que aparecen a lo largo de las mismas.  Sumado a esto, incluye una visión general de la familia de la normativa de esta área, con una introducción a estos procedimientos y una descripción del ciclo de vida de mejora continua.

ISO/IEC 27001

Es la norma primordial de este grupo. Es aplicable a todo tipo de entidades, sin depender de la función que desempeñen o de su dimensión.  El contenido de la misma se basa en requisitos que permitirán desarrollar, evaluar, conservar y mejorar un SGSI.  Está compuesta por los factores del sistema, la  documentación necesaria y los registros que certificarán la buena práctica de este mecanismo. Sumado a esto, precisa aquellos requisitos que sirven para la implantación de los controles y medidas de seguridad según las necesidades que tenga cada empresa.

En España se puede encontrar esta norma en el organismo de normalización llamado AENOR

ISO/IEC 27002

Es una guía que recoge las mejores prácticas a través de once áreas de actuación, donde se recomienda algunos pasos a tomar para consolidar los sistemas de información de una organización.

También te puede interesar