106

Perspectiva Empresarial

Sistemas de Gestin de la
Seguridad de la Informacin
LA CERTIFICACIN DE UN SGSI SUPONE QUE UNA TERCERA PARTE CONFIABLE ANALIZA Y
CERTIFICA LA CORRECTA IMPLEMENTACIN DEL SISTEMA DE GESTIN EN SU TOTALIDAD,
SIGUIENDO LAS INDICACIONES DE LA NORMA ISO 27001

Agustn
Lerma
SECURITY MANAGER
NEXTEL S.A.

SGSI por parte de una entidad de

mantener la seguridad de sus opera-

certificacin (debidamente acreditada

ciones. Y es que si una empresa tiene

por una entidad nacional de acredita-

relacin con sus clientes, quiere con-

cin del estndar en cuestin, ISO

trolar las comunicaciones internas y

27001).

gestionar de forma segura sus pedi-

Lo cierto es que aunque hoy en da

dos, es vital mantener un nivel ade-

respecto al tema de la certificacin en

cuado de seguridad con el fin de evitar

seguridad, aunque no haya alcanzado

amenazas en el sistema.

la importancia necesaria en el mbito

empresarial, no tenemos ninguna

uando hablamos de sistemas

duda de que se convertir en algo de

de gestin de seguridad de la

gran importancia en un corto periodo

informacin (SGSI), segn

de tiempo. De hecho la creacin de

Por qu es importante adoptar

un SGSI segn ISO 27001
El argumento principal para adoptar

ISO 27001, la impresin es que la

esta norma ha tenido como objetivo

un SGSI segn ISO 27001 es que es un

gestin se reduce a la definicin,

fundamental su implantacin en el

estndar basado en un proceso, en una

implantacin y puesta en marcha del

entorno empresarial, lo cual nos viene

metodologa de proceso (PDCA, planifi-

sistema, y llegados al caso, a la

a decir que pasar a ser un imperativo

car, hacer, comprobar y actuar) y por lo

auditora y posible certificacin del

en cualquier organizacin que aspire a

tanto capaz de proporcionarnos un

El mantenimiento del estndar, parte fundamental del proceso

a propia definicin
del estndar como
proceso basado en la mejora continua y la certificacin con carcter revisable
y sujeta a la evolucin y
mejora del SGSI, obligan
no solo a definir, implantar y mejorar el SGSI, sino
a MANTENERLO con la

n 4 julio / agosto 2006

mejor salud posible. La percepcin general de distribucin de inversin y costos

relacionados con un SGSI
segn ISO 27001 se centran
en las fases previas de definicin e implantacin, principalmente porque en estos
estadios se cuenta con elementos consultores externos.

Pero tambin hay que tener

en cuenta la dedicacin NECESARIA y FUERTE de personal de la organizacin sujeta al proceso, ya que hay que
tomar muchas DECISIONES
que no pueden ni deben ser
asumidas por consultores
externos.
Aunque bastante ms bajo

de lo que se podra pensar, el

costo de la auditora de certificacin tambin es tenido en
cuenta. Este depender del
tamao y complejidad del
alcance elegido para el SGSI.
Pero los costos de mantenimiento necesarios para
mantener el sistema en funcionamiento una vez

Perspectiva Empresarial
situacin continuada de seguridad en el

mentos de uso o proteccin de un

controles que nos ayudaran a gestio-

tiempo, y no una foto puntual, que

sistema de gestin de seguridad de la

nar los riesgos que existan sobre nues-

sera lo que obtenemos con una

informacin o cualquier herramienta o

tros activos de informacin, y que se-

auditora perimetral, interna o tecnol-

control de seguridad tecnolgico. Otro

rn implementados de acuerdo con

gica. Este estndar se basa en la mejo-

problema aadido es que tambin

procedimientos y criterios establecidos.

ra continua que proporciona la metodo-

pueden cambiar por s mismos de em-

loga PDCA y por lo tanto, es de espe-

presa u organizacin a diferencia del

parte de hacer de la metodologa

rar que cuanto mas veterano sea un

resto de activos de informacin, que

PDCA. Una vez implantado nuestro

SGSI basado en ISO 27001, ms efec-

hay que ayudarles a cambiar de sitio.

SGSI deberamos comprobar su efecti-

tivo ser (y previsiblemente, cada vez

a un costo ms reducido por la mejora
en rendimiento y efectividad).

Implantacin y gestin del SGSI

Este estndar de seguridad de la
informacin establece como primera
premisa que se adoptar para beneficio del negocio de la organizacin. El
objetivo principal es proteger la actividad, el negocio y el valor de la organizacin, para ello adopta un sistema de

vidad mediante la definicin de

No tenemos ninguna duda

de que la certificacin en
seguridad se convertir
en algo de gran
importancia en un corto
periodo de tiempo

indicadores (o medidas) y el uso de un

cuadro de mando que nos proporcione
informacin suficiente para poder comprobar esa eficacia y efectividad.
En esta parte, la gestin correcta
de la mejora continua es esencial para
poder completar el proceso PDCA y as
obtener esa situacin continuada de
seguridad.
La certificacin de nuestro SGSI
supone la convocatoria de una tercera
parte confiable que analiza y certifica
la correcta implementacin del sistema

proteccin para su valor ms importante: los activos de informacin. De

En este punto ya estaramos en la

Normalmente la parte que requiere

de gestin en su totalidad, siguiendo

este modo se establecer qu quere-

ms inversin de todo este proceso, es

las indicaciones del estndar ISO

mos proteger (alcance) y cmo lo ha-

la parte de planificacin. En ella va-

27001. ste nos dice lo que hay que

cemos (poltica).

mos a analizar nuestro negocio, vamos

hacer, pero no cmo conseguirlo. Esta

a determinar donde est su valor (acti-

certificacin, con motivaciones varia-

activos de informacin ms crticos,

El siguiente paso es gestionar los

vos de informacin) y vamos a estudiar

das abarca desde el puro marketing, a

importantes, escasamente controla-

cules son los riesgos que las amena-

obligaciones generadas por clientes o

dos, difciles de cuantificar y manejar,

zas y vulnerabilidades pueden generar

administracin, es un elemento de

y que adems estn sujetos a emocio-

en nuestra organizacin. Los elementos

reconocimiento entre iguales, que

nes, las personas. stas adems

que hasta ahora llambamos herra-

debe ser revisado como mnimo anual-

manejan y controlan el resto de ele-

mientas (AV, FW, IDS, etc.) sern los

mente y renovado cada tres aos.

implementado y certificado,
no se contemplan o se
obvian. Y puesto que es un
sistema vivo, estos costos existen. Cuanto ms haya participado la organizacin en el
proceso de definicin e
implementacin, menor ser
la dependencia de agentes
externos. La tendencia gene-

ral en la evolucin y mejora

de SGSI es el adelgazamiento
de estructuras, procedimientos, e incluso alcance. Una
mejor relacin esfuerzo /
seguridad se producir de
forma paulatina y ayudar a
establecer de forma exacta el
esfuerzo necesario para mantener el SGSI en plena forma.

Cuanto ms fiables sean los

indicadores o medidas elegidas para establecer la salud
del SGSI se obtendr un
mejor rendimiento de nuestra inversin. Adems de un
retorno en seguridad, mejora
de imagen exterior, y proteccin de nuestro negocio, un
SGSI segn ISO 27001 ayuda-

r a la mejora de procesos
de negocio, a la optimizacin de recursos IT, y al
incremento de la productividad y fiabilidad de los
recursos humanos de nuestra organizacin. Todo esto
tiene un costo ms razonable cuanto mas veterano y
efectivo es nuestro SGSI.

n 4 julio / agosto 2006

107