📝 Semana 09 - Tema 01: Tarea -

Implementación de Modelo SGSI

Identifica las consideraciones que se debe tener en cuenta para la
implementación SGSI, sobre el material explicativo.
Bueno, considero que identificar las consideraciones que se deben
tener para implementar un SGSI son mucho más fáciles de explicar si
partimos desde el ciclo DEMING del mismo. Así pues, lo explicaré según las
fases de PDCA.
En la fase de PLANEACIÓN:
 Comprensión de la organización: Se debe analizar los factores externos
e internos que influyen en el alcance de los objetivos del SGSI.
 Determinar el alcance del SGSI.
 Liderazgo y compromiso: Los directivos deben mostrarse líderes
comprometidos con el éxito del SGSI.
 Política de SI: Se debe aplicar un proceso de evaluación de riesgos
(criterios de riesgos, identificación de riesgos, análisis de riesgos).
En la fase de HACER:
 Se debe implementar el plan de tratamiento de seguridad de los riesgos
vistos en la fase de planeación.
 Se debe documentar los resultados obtenidos de dicha
implementación del tratamiento de seguridad de riesgos.
En la fase VERIFICAR:
 Se debe auditar internamente y periódicamente.
 El SGSI debe cumplir con los requisitos propios de la organización.
 Cada auditoría debe tener definidos sus criterios y alcance.
En la fase de ACTUAR:
 Se debe analizar si es necesario revisar la no conformidad a fin de que
no vuelva a ocurrir en el futuro.
Además, según el material se deben tener en cuenta estas
recomendaciones:
 La seguridad debe ser inherente a los procesos de información y del
negocio.
 La concienciación del empleado por la seguridad Principal objetivo a
conseguir.
 Realización de comités a distintos niveles (Operativos, de dirección,
etc.) con gestión continua.
  La seguridad absoluta no existe, se trata de reducir el riesgo a niveles
asumibles.
 La seguridad no es un producto, es un proceso.
Adicional a ello, consultando diversos portales web vi que coincidían
en estas consideraciones:
1. Respaldo y patrocinio
El principal elemento que se debe tener en cuenta antes de la implementación
es el respaldo de la alta dirección con relación a las actividades de seguridad
de la información, de manera específica con la iniciativa de comenzar a operar
con un SGSI. La idea puede surgir en cualquier nivel dentro de la organización,
pero requiere del patrocinio de los niveles jerárquicos más elevados. El soporte
y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un
proyecto aislado y administrado por un subordinado. Del mismo
modo, resulta útil la formación de estructuras dentro de las organizaciones,
que permitan la colaboración y cooperación de los representantes de las
diferentes partes con roles y funciones relevantes
En este sentido, una buena práctica consiste en desarrollar la estructura
adecuada para la toma de decisiones en torno al sistema de gestión, a través
de la conformación de un foro o comité de seguridad, que permita llevar a la
práctica lo que se ha denominado gobierno de seguridad de la información, es
decir, todas aquellas responsabilidades y acciones que ejerce la alta dirección
en cuanto a la seguridad.
2. Estructura para la toma de decisiones
Para fines de las actividades de gestión de la seguridad, el comité
es un grupo interdisciplinario encargado de tomar decisiones referentes a la
implementación y operación del sistema de gestión, así como mantener el
control administrativo del marco de trabajo de seguridad. El objetivo es integrar
a miembros de la dirección (incluyendo al CEO), para proporcionar una visión
de negocio a las decisiones que competen a este comité, así como la
generación de consensos en torno a las necesidades e iniciativas de seguridad,
alineadas con los objetivos de la organización. De manera general, puede
agrupar las necesidades y puntos de vista de los integrantes de la organización
como usuarios, administradores, auditores, especialistas en seguridad y de
otras áreas como la parte jurídica, recursos humanos, TI o de gestión de
riesgos. Otros miembros que pueden conformar este foro son el responsable
del sistema de gestión, jefes de áreas funcionales de la organización y un rol
de auditor para una evaluación objetiva e imparcial del SGSI.
3. Análisis de brecha (GAP)
El análisis de brechas o GAP Analysis es un estudio preliminar que permite
conocer la forma en la que se desempeña una organización en materia de
seguridad de la información, con relación a las mejores prácticas reconocidas
en la industria; para ello se utilizan criterios establecidos en normas o
estándares. El análisis establece la diferencia entre el desempeño actual y el
deseado. Aunque este análisis es aplicable a cualquier estándar certificable,
normalmente se lleva a cabo para nuevos esquemas de certificación, que
son los que más dudas generan en las organizaciones, debido a su
novedad.
4. Análisis de Impacto al Negocio (BIA)
El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento
utilizado para estimar la afectación que podría padecer una organización como
resultado de la ocurrencia de algún incidente o un desastre. Tiene dos
objetivos principales, el primero de ellos consiste en proveer una
base para identificar los procesos críticos para la operación de una
organización y la priorización de ese conjunto de procesos, siguiendo el criterio
de cuanto mayor sea el impacto, mayor será la prioridad. El BIA está
directamente relacionado con los aquellos procesos que poseen un tiempo
crítico para su operación, porque si bien, todos los procesos sujetos a un
tiempo crítico son demisión crítica, no todos los procesos de misión crítica
están relacionados con un tiempo crítico para su ejecución.
5. Recursos: tiempo, dinero y personal
Con base en los resultados del análisis de brecha y del impacto al negocio, es
posible estimar elementos necesarios para la implementación de
ISO/IEC 27001. En caso de tratarse del primer ciclo de operación, el
momento sugerido para la implementación de la norma es un periodo con una
carga de trabajo menor, que permita una planificación adecuada o, en caso
de ser necesario, contratar nuevo personal enfocado a esta tarea. Es
recomendable que el tiempo dedicado al sistema de gestión no exceda un
periodo mayora un año antes de que se cumpla su primer ciclo, esto debido a
distintas razones como los continuos cambios en los riesgos, cambio en las
prioridades de la dirección con respecto a la protección de activos, aparición de
nuevas amenazas, entre otras. El análisis también permite estimar los recursos
financieros necesarios para alcanzar el estado deseado en materia de
seguridad de la información, conforme a ISO 27001. Se debe tener en mente
que durante la implementación se deberán destinar recursos para
implementar controles técnicos, físicos o administrativos, conforme a los
resultados de una evaluación de riesgos. Por otro lado, la organización debe
contar con personal idóneo para llevar a cabo las actividades técnicas y
administrativas relacionadas con el sistema de gestión, por lo que puede optar
por capacitar a miembros de la organización o contratar los servicios de
personal externo que colabore para los objetivos planteados en el SGSI.
6. Revisión de los estándares de seguridad
Otra actividad útil previa de la implementación del SGSI está relacionada con
conocer el contenido y la estructura del estándar ISO/IEC 27001, así como de
los estándares que conforman la serie 27000. De manera específica, una tarea
necesaria consiste en conocer ISO/IEC 27000, que permite conocer los
principios en los cuales se fundamenta la implementación de un
SGSI.ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la
serie 27000, un resumen general de esta familia de estándares, así como una
introducción al SGSI. Este estándar adquiere mayor relevancia, ya que se
convierte en la única referencia normativa de la nueva versión de ISO/IEC
27001.