Está en la página 1de 2

82

Perspectiva Empresarial

Las 10 claves de éxito


para un SGSI
EN ESTE ARTÍCULO PRESENTAMOS UN LISTADO DE LOS 10 ELEMENTOS CONSIDERADOS
CLAVE PARA EL PROCESO DE LA IMPLEMENTACIÓN Y DEL MANTENIMIENTO DE UN SGSI
CON ÉXITO

factor clave para el proceso, una vez que

Carlos A. Paulo se considere que toda la empresa puede


Sáiz Barbosa no ser la mejor opción (coste, tiempo
necesario, magnitud de los cambios), y
SOCIO RESPONSABLE DEL CONSULTOR DE
ÁREA DE IT COMPLIANCE SEGURIDAD DE LA por otro lado, focalizar demasiado suele
Y SEGURIDAD INFORMACIÓN
tornar el SGSI en un elemento de baja
Écija Écija
relevancia (o completamente irrelevante)
a la empresa.

2. Obtener el apoyo de la

L
as empresas cada vez tienen dirección
más claro que necesitan
Desarrollar un SGSI es Cambiar procesos antiguos, limitar
soluciones en materia de
seguridad duraderas, sostenibles y
como crear una nueva los privilegios de acceso, responsabilizar
a personas (formalmente) de la
alineadas a los objetivos globales del
negocio, seguramente cansadas de
camada de gestión, seguridad de su información no suelen
ser tareas simples. Cuando la propia
invertir en controles puntuales o en compleja y que afecta identidad de la empresa y su cultura de
las mejores prácticas de seguridad trabajo pueden ser cambiadas, los
sugeridas por algún estudio reciente y horizontalmente al negocio directores y otros responsables del
generalmente difíciles de justificar en negocio tienen que estar activamente
una lógica de coste y beneficio. de una manera continuada involucrados. Tienen que dar a
Una de las soluciones actualmente comprender que es la propia empresa
más adoptadas por las empresas y más En este artículo presentamos un la que está cambiando, y que todos
discutidas por los especialistas de listado de los 10 elementos forman parte de este proceso.
seguridad, es el sistema de gestión de considerados clave para el proceso de
seguridad de la información (SGSI), un la implementación y del 3. Alinear al negocio
conjunto de procesos, políticas, mantenimiento de un SGSI con éxito. La seguridad de la información
procedimientos, análisis y testes, existe para viabilizar negocios. La
organizados de manera lógica y 1. Comprender qué es un SGSI principal misión del responsable de
soportada por objetivos a nivel No es un software. No es un conjunto seguridad es alinear las actividades de
estratégico, estructurados principalmente de documentos. Desarrollar un SGSI es seguridad con los objetivos globales
por los requisitos presentados en la como crear una nueva camada de gestión, de la empresa, garantizando que los
norma ISO 27001 – una de las compleja y que afecta horizontalmente al riesgos sean conocidos y que están
principales referencias en el mundo de la negocio de una manera continuada. controlados adecuadamente conforme
seguridad de la información. Comprender el alcance del sistema es un a una estrategia definida.

nº 26  octubre 2008
83
Perspectiva Empresarial

información de apoyo. Entretanto, la


recomendación es buscar soluciones
ideales para la empresa y sus
particularidades. Ya que cada negocio
es único, suelen haber requisitos
específicos. Think out of the (ISO) box.

9. Establecer métricas
Parafraseando a Lord Kelvin, “No se
puede gestionar lo que no se puede
medir”. Así como ocurre con la
operación, o la producción de la
empresa, es necesario conocer el
estado de la seguridad.
¿Cuántos riesgos hemos reducido en
los últimos 6 meses? ¿En el último año?
4. Conocer profundamente los
riesgos
Resulta fundamental tener ¿Cuál sería el impacto financiero si uno
de esos escenarios ocurriera hoy?
Invertir en medidas de seguridad sin una herramienta que ¿Cuánto hemos invertido en seguridad?
antes conocer los riesgos es como ¿Las medidas fueron proporcionales a
tomar una medicación sin antes saber genere todo o parte de esta las posibles pérdidas financieras,
cuál es la enfermedad. Además, conocer operacionales y de reputación? Resulta
las vulnerabilidades tecnológicas no es información a través de fundamental tener una herramienta que
suficiente, una vez que la tecnología es genere todo o parte de esta
un elemento de soporte al negocio, no
cuadros de mando para la información a través de cuadros de
su finalidad. Es necesario comprender lo mando para la toma de decisiones.
que puede afectar a cada proceso de
toma de decisiones
negocio, y cuales son los impactos y 10. Seguridad como herramienta
probabilidades de ocurrencia inherentes. diseño reduce el valor a invertir en de apoyo a la toma de decisiones
comparación con medidas paliativas. Considerando que la seguridad de la
5. Toda medida de seguridad información viabiliza negocios, alcanzar
tiene que tener un porqué 7. Establecer procesos repetibles el nivel de apoyo a la toma de
Toda inversión en seguridad debe El SGSI implementa el concepto decisiones es el “estado del arte” para
ser justificada, por lo menos, en administrativo PDCA (Plan, Do, Check, la seguridad, beneficiando a los
términos de coste y beneficio, o bien Act), así que muchos de los procesos responsables de la gestión del negocio
por la reducción de un riesgo (valores de seguridad (análisis de riesgos, en cada nueva iniciativa presentándoles
financieros son bienvenidos), o por auditorías, testes de procedimientos y los riesgos inherentes y las medidas
cumplimiento legal o normativo. tecnologías, training, y muchos otros) necesarias (así como sus costes).
serán repetibles de forma continuada.
6. Unir los procesos de gestión Además, algunos procesos serán Un SGSI no es inviolable, no deja a
Hay dos momentos en los que la ejecutados puntualmente, cuando haya la empresa inmune frente a los
seguridad tiene que ser especialmente incidentes de seguridad, por ejemplo. incidentes de seguridad. Eso
tenida en consideración: planificaciones probablemente nunca será posible. El
y cambios. Anticipar los riesgos, tras su 8. Las ISO son la base, pero mi verdadero objeto del SGSI es organizar
identificación y la aplicación de medidas empresa puede necesitar más las medidas de seguridad de acuerdo a
adecuadas, reduce la probabilidad y/o La ISO 27001 establece los objetivos de negocio, reducir los
el impacto de un incidente, que a su requisitos para un SGSI, la 27002 riesgos a niveles aceptables, gestionar
vez reduce las pérdidas financieras y presenta los controles de seguridad esos riesgos, cambiando el escenario
posibles pérdidas de imagen y recomendables. Un conjunto de nuevas actual donde la seguridad es un coste
reputación. Los estudios revelan que ISO está en desarrollo en este y transformándola en una herramienta
anticipar los cuidados de seguridad en momento, ofreciendo una cantidad para viabilizar negocios más seguros y
la fase de planeamiento, cambio o cada vez mayor y más depurada de mejor gestionados.

nº 26  octubre 2008