Cuando hablamos de Sistemas de Gestión de Seguridad de la Información (SGSI), según ISO 27001, la impresión es que la “gestión” se reduce a la definición, implantación y puesta en marcha del sistema y, llegados al caso, a la auditoría y posible certificación del SGSI por parte de una entidad de certificación (acreditada por una entidad nacional de acreditación del estándar en cuestión, ISO 27001).
Lo cierto es que, aunque hoy en día el asunto de la certificación en seguridad no ha alcanzado la relevancia necesaria en el ámbito empresarial, no tenemos ninguna duda de que se convertirá en algo de gran importancia en un corto periodo de tiempo. De hecho, la creación de esta norma ha tenido como objetivo fundamental su implantación en el entorno empresarial; lo cual nos viene a decir, que pasará a ser un imperativo en cualquier organización que aspire a mantener la seguridad de sus operaciones. Y es que si una empresa tiene relación con sus clientes, quiere controlar las comunicaciones internas y gestionar de forma segura sus pedidos, es vital mantener un nivel adecuado de seguridad con el fin de evitar amenazas en el sistema.
Argumentos favorables al SGSI
El argumento principal para adoptar un SGSI según ISO 27001 es que es un estándar basado en una metodología de proceso (PDCA: planificar, hacer, comprobar y actuar) y, por lo tanto, capaz de proporcionarnos un situación continuada de seguridad en el tiempo -y no una foto puntual, que sería lo que obtenemos con una auditoría perimetral, interna o tecnológica-. Este estándar se basa en la mejora continua que proporciona la metodología PDCA, y es de esperar que cuanto más veterano sea un SGSI basado en ISO 27001, más efectivo será (y previsiblemente, cada vez a un costo más reducido por la mejora en rendimiento y efectividad).
Implantación y gestión
Este estándar de seguridad de la información establece como primera premisa que se adoptará para beneficio del negocio de la organización. El objetivo principal es proteger la actividad, el negocio y el valor de la organización, para ello adopta un sistema de protección para su valor más importante: los activos de información. De este modo se establecerá qué queremos proteger (alcance) y cómo lo hacemos (política).
El siguiente paso es gestionar los activos de información más críticos, importantes, escasamente controlados, difíciles de cuantificar y manejar y que, además, están sujetos a emociones -las personas-. Éstas además manejan y controlan el resto de elementos de uso o protección de un sistema de gestión de seguridad de la información o cualquier herramienta o control de seguridad tecnológico. Otro problema añadido es que también pueden cambiar por sí mismos de empresa u organización a diferencia del resto de activos de información, que hay que ayudarles a cambiar de sitio.
Normalmente, la parte que requiere más inversión de todo este proceso, es la parte de planificación. En ella vamos a analizar nuestro negocio, vamos a determinar dónde está su valor (activos de información) y vamos a estudiar cuáles son los riesgos que las amenazas y vulnerabilidades pueden generar en nuestra organización. Los elementos que hasta ahora llamábamos “herramientas” (AV, FW, IDS, etc.) serán los “controles”, que nos ayudarán a gestionar los riesgos que existan sobre nuestros activos de información, y que serán implementados de acuerdo con procedimientos y criterios establecidos.
Algunas ventajas de un SGSI son el retorno en seguridad, mejora de imagen exterior, protección del negocio y mejora de procesos.
Algunas ventajas de un SGSI son el retorno en seguridad, mejora de imagen exterior, protección del negocio y mejora de procesos.
Indicadores y cuadro de mando
En este punto ya estaríamos en la parte de “hacer” de la metodología PDCA. Una vez implantado nuestro SGSI, deberíamos comprobar su efectividad mediante la definición de indicadores (o medidas) y por medio del uso de un cuadro de mando, que nos proporcione información suficiente para poder comprobar esa eficacia y efectividad.
En esta parte, la gestión correcta de la mejora continua es esencial para poder completar el proceso PDCA y así obtener esa situación continuada de seguridad.
La certificación de nuestro SGSI supone la convocatoria de una tercera parte confiable que analiza y certifica la correcta implementación del sistema de gestión en su totalidad, siguiendo las indicaciones del estándar ISO 27001. Éste nos dice lo que hay que hacer, pero no cómo conseguirlo. Esta certificación, con motivaciones variadas -abarca desde el puro marketing, a obligaciones generadas por clientes o Administración-, es un elemento de reconocimiento entre iguales, que debe ser revisado como mínimo anualmente y renovado cada tres años.
El mantenimiento del estándar
La propia definición del estándar como proceso basado en la mejora continua y la certificación con carácter revisable y sujeta a la evolución y mejora del SGSI, obligan no sólo a definir, implantar y mejorar el SGSI, sino a mantenerlo con la mejor salud posible.
La percepción general de distribución de inversión y costos relacionados con un SGSI según ISO 27001 se centran en las fases previas de definición e implantación, principalmente porque en estos estadios se cuenta con elementos consultores externos. Pero también hay que tener en cuenta la dedicación, necesaria y fuerte, de personal de la organización sujeta al proceso, ya que hay que tomar muchas decisiones que no pueden ni deben ser asumidas por consultores externos.
Aunque bastante más bajo de lo que se podría pensar, el costo de la auditoría de certificación también es tenido en cuenta. Este dependerá del tamaño y complejidad del alcance elegido para el SGSI.Pero los costos necesarios para mantener el sistema en funcionamiento una vez implementado y certificado, no se contemplan o se obvian. Y puesto que es un sistema vivo, estos costos existen. Cuanto más haya participado la organización en el proceso de definición e implementación, menor será la dependencia de agentes externos. La tendencia general en la evolución y mejora de SGSI es el adelgazamiento de estructuras, procedimientos, e incluso, alcance.
Una mejor relación entre el esfuerzo y la seguridad se producirá de forma paulatina y ayudará a establecer, de manera exacta, el esfuerzo necesario para mantener el SGSI en plena forma. Cuanto más fiables sean los indicadores o medidas elegidas para establecer la salud del SGSI, se obtendrá un mejor rendimiento de nuestra inversión.
Además de un retorno en seguridad, mejora de imagen exterior y protección de nuestro negocio, un SGSI según ISO 27001 ayudará a la mejora de procesos de negocio, a la optimización de recursos IT y al incremento de la productividad y fiabilidad de los recursos humanos de nuestra organización. Todo esto tiene un costo más razonable cuanto más veterano y efectivo es nuestro SGSI.
No hay comentarios:
Publicar un comentario