Menu
header photo

SSE SAS

Seguridad de la información

¿CÓMO ADMINISTRAR LA SEGURIDAD DE LA INFORMACIÓN?

February 11, 2016

Emily Davis Photography

Hemos hablado en muchas ocasiones sobre la seguridad de la información y su importancia a nivel empresarial. Sin embargo, no hemos profundizado en la manera como esta se debería adoptar, ni qué tipo de herramientas sirven en el momento de administrarla. Por esta razón, en este artículo nos centraremos en describir las normas internacionales ISO 9000 e ISO 27000, las mejores aliadas para la seguridad de su empresa.

La ISO (International Organization for Standarization) o como se conoce en español, Organización Internacional de Normalización, es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO) que se encarga de promover el desarrollo de normas internacionales de fabricación tanto de productos como de servicios, comercio y comunicación para todas las ramas industriales, buscando estandarizar las normas de productos y seguridad para las empresas u organizaciones públicas o privadas a nivel internacional.

La familia de Normas ISO 9000 se ha elaborado para asistir a las organizaciones de todo tipo y tamaño en la implementación y la operación de sistemas de gestión de la calidad eficaces. Todas estas normas juntas forman un conjunto coherente de normas de sistemas de gestión de la calidad que facilitan la mutua comprensión en el comercio nacional e internacional. Por esta razón, para conducir y operar una empresa en forma exitosa se requiere que ésta se dirija y controle en forma sistemática y transparente.

Para simplificar la norma, hemos tomado los ocho principios de gestión de la calidad identificados en el archivo, que pueden ser utilizados con el fin de conducir a la organización hacia una mejora en el desempeño. Hay que aclarar que estas normas están dirigidas principalmente a los directivos de las empresas, con el fin de que sean aplicadas de forma global, involucrando de esta manera a todos los trabajadores sin importar su rango dentro de la institución. Estos ocho principios de gestión de la calidad constituyen la base de las normas de sistemas de gestión de la calidad de la familia de Normas ISO 9000:

a) Enfoque al cliente: Las organizaciones dependen de sus clientes y por lo tanto deberían comprender las necesidades actuales y futuras de los clientes, satisfacer los requisitos de los clientes y esforzarse en exceder sus expectativas.

b) Liderazgo: Los líderes establecen la unidad de propósito y la orientación de la organización. Ellos deberían crear y mantener un ambiente interno, en el cual el personal pueda llegar a involucrarse totalmente en el logro de los objetivos de la organización.

c) Participación del personal: El personal, a todos los niveles, es la esencia de una organización y su total compromiso posibilita que sus habilidades sean usadas para el beneficio de la organización.

d) Enfoque basado en procesos: Un resultado deseado se alcanza más eficientemente cuando las actividades y los recursos relacionados se gestionan como un proceso.

e) Enfoque de sistema para la gestión: Identificar, entender y gestionar los procesos interrelacionados como un sistema, contribuye a la eficacia y eficiencia de una organización en el logro de sus objetivos.

f) Mejora continua: La mejora continua del desempeño global de la organización debería ser un objetivo permanente de ésta.

g) Enfoque basado en hechos para la toma de decisión: Las decisiones eficaces se basan en el análisis de los datos y la información.

h) Relaciones mutuamente beneficiosas con el proveedor: Una organización y sus proveedores son interdependientes, y una relación mutuamente beneficiosa aumenta la capacidad de ambos para crear valor.

Por otro lado, tenemos los principios estipulados en la norma ISO 27000 dirigida principalmente a la seguridad de la información a nivel empresarial, los cuales se componen de un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un sistema de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Esta familia de normas propone que para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Como la norma anterior, esta estrategia debe ser desarrollada desde la gerencia, con el fin de que se genere un compromiso por parte de toda la impresa en la adopción de estas prácticas:

Aspectos Clave a tener en cuenta:

Fundamentales:

• Compromiso y apoyo de la Dirección de la organización.

• Definición clara de un alcance apropiado.

• Concienciación y formación del personal.

• Evaluación de riesgos exhaustiva y adecuada a la organización.

• Compromiso de mejora continua.

• Establecimiento de políticas y normas.

• Organización y comunicación.

Factores de éxito:

• La concienciación del empleado por la seguridad es el principal objetivo que se debe conseguir.

•Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios donde los incidentes de seguridad sean reportados y analizados.

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio.

Riesgos:

• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

• Temor ante el cambio: resistencia de las personas.

• Discrepancias en los comités de dirección.

Delegación de todas las responsabilidades en departamentos técnicos.

• No asumir que la seguridad de la información es inherente a los procesos de negocio.

• Planes de formación y concienciación inadecuados.

• Calendario de revisiones que no se puedan cumplir.

• Definición poco clara del alcance.

• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

• Falta de comunicación de los progresos al personal de la organización.

Consejos básicos:

• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.

• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados.

• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.

• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener información relativa a la gestión de la seguridad de la información de otros métodos y marcos reconocidos.

• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores internos y responsables de otros sistemas de gestión.

 • Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente.

Go Back

Comentar