|
Varias son las
definiciones que se pueden obtener desde algunos estándares relacionados
con la seguridad, como ISO/IEC 17799:2005 Information technology .
Security techniques. Code of practice for information security
management, o ISO 13335-1:2004 Information technology -- Security
techniques -- Management of information and communications technology
security -- Part 1: Concepts and models for information and
communications technology security management, y todas ellas están
basadas en un concepto clave, la seguridad debe tener como objetivo la
conservación de la confidencialidad, integridad, y disponibilidad de la
información, sin perjuicio de otras características relacionadas con las
primeras, tales como autenticación, trazabilidad, cumplimiento
normativo, etc.
No cabe duda que la información representa el activo más crítico para
que una organización logre el éxito de los objetivos de negocio o
estratégicos, es decir, aquellos que son fundamentales y representan la
razón de ser de la empresa. Los objetivos de negocio pasan por conseguir
que la información, cualquiera que sea su soporte y su ciclo de vida
dentro de la organización, sea analizada bajo distintos requerimientos:
de calidad, financieros, de seguridad, legales, u otros que puntualmente
puedan ser necesarios. Dichos requisitos guiarán a los recursos y
procesos empleados en los sistemas de información para conseguir los
objetivos estratégicos fijados
Una vez identificados los términos clave de la seguridad de la
información, es necesario enfocarlos desde el punto de vista de la
gestión, aplicando un proceso sistemático, documentado y conocido por
toda la organización que permita garantizar, no que la empresa es
completamente segura, sino que conoce los riesgos a los que se enfrenta,
los ha evaluado, los sabe gestionar y los ha minimizado de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada
a los cambios que se produzcan en el sistema de información.
Un sistema de gestión de seguridad de la información (SGSI), es aquel
sistema que comprende la política de seguridad, la estructura
organizativa, los procedimientos, los procesos, y los recursos
necesarios para implantar la gestión de la seguridad de la información
en función de los requisitos técnicos, legales y organizativos
identificados en la organización.
Para implantarlo de forma exitosa en una organización existen distintos
elementos claves:
- Lograr el apoyo de la dirección.
- Tener una visión
clara de los procesos y elementos clave a incluir en el sistema, ya que
un exceso de ambición podría hacer fracasar el sistema.
- Evaluar los
riesgos que comprometen dichos procesos.
- Describir una
política de seguridad basada en el resultado del análisis de riesgos.
- Adoptar el modelo
de mejora continua, ciclo PDCA, que permita monitorizar el sistema,
detectar nuevos riesgos y tratarlos de manera eficiente.
- Documentar el
sistema según distintos niveles estratégicos (manual de seguridad,
procedimientos generales, instrucciones técnicas, y registros de
operación).
ISO/IEC 27001:2005, norma internacionalmente conocida, define los
requisitos para implementar un SGSI. Los beneficios del sistema son
varios e incluyen la facilidad de integración con otros sistemas de
gestión ISO 9000 e ISO 14000, la conformidad con los requisitos legales
(LOPD, LSSI, etc), la gestión efectiva de riesgos, la diferenciación en
el sector, credibilidad y confianza de gestores, socios y partes
interesadas, la reducción de costes relacionados con incidentes, y por
último, la mejora en la sensibilización del personal y aumento de
responsabilidad en seguridad de la información.
Antonio Martínez Álvarez
Responsable de Seguridad TICs
Áudea, Seguridad de la Información
|
   
|
Compartir esta noticia
