6 claves para implementar un SG de Seguridad de la Información 

 

Cuando se habla de tecnología, el tema de la seguridad va de la mano. Es muy importante que las organizaciones piensen cuál es el mejor sistema para detectar amenazas y evitar ciberataques. 

 

Para ello, ESET Latinoamérica, aborda y comparte los 6 puntos de partida para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). 

 

1. Respaldo y patrocinio 

 

El principal elemento que se debe tener en cuenta antes de la implementación es el respaldo de la alta dirección con relación a las actividades de seguridad de la información, de manera específica con la iniciativa de comenzar a operar con un SGSI. 

 

El soporte y compromiso de esta área refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado. Del mismo modo, resulta útil la formación de estructuras dentro de las organizaciones, que permitan la colaboración y cooperación de los representantes de las diferentes partes con roles y funciones relevantes. 

 

2. Estructura para la toma de decisiones 

 

Una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en torno al sistema de gestión, a través de la conformación de un foro o comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, todas aquellas responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad. 

 

El objetivo es integrar a miembros de la dirección (incluyendo al CEO), para proporcionar una visión de negocio a las decisiones que competen a este comité, así como la generación de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la organización. De manera general, puede agrupar las necesidades y puntos de vista de los integrantes de la organización como usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos. 

 

3. Análisis de brecha (GAP) 

 

El análisis de brechas o GAP Analysis es un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria; para ello se utilizan criterios establecidos en normas o estándares. El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque este análisis es aplicable a cualquier estándar certificable, normalmente se lleva a cabo para nuevos esquemas de certificación, que son los que más dudas generan en las organizaciones, debido a su novedad. 

 

4. Análisis de Impacto al Negocio (BIA) 

 

El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento utilizado para estimar las consecuencias que podría padecer una organización como de algún incidente o un desastre. Tiene dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una organización y la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad. 

 

5. Recursos: tiempo, dinero y personal 

 

Con base en los resultados de los análisis, es posible estimar los elementos necesarios para la implementación de ISO/IEC 27001. En caso de tratarse del primer ciclo de operación, se sugiere para la implementación un periodo con una carga de trabajo menor, que permita una planificación adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea. 

 

Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo mayor a un año antes de que se cumpla su primer ciclo, esto debido a distintas razones como los continuos cambios en los riesgos, cambio en las prioridades de la dirección con respecto a la protección de activos, aparición de nuevas amenazas, entre otras. 

 

6. Revisión de los estándares de seguridad 

 

Una tarea necesaria consiste en conocer ISO/IEC 27000, que permite conocer los principios en los cuales se fundamenta la implementación de un SGSI. 

 

ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al SGSI. Cada implementación es distinta debido a las condiciones, necesidades y recursos de cada organización, sin embargo, estos elementos podrían aplicarse de forma general, puesto que los estándares definen lo que se debe hacer, más no la manera de hacerlo. 

 

 

Al ser un proceso continuo que debe revisarse y mantenerse, la gestión de la seguridad de la información constituye un conjunto de engranajes compuestos por distintos factores y elementos. Partiendo de cero, esto implica diseñar, implementar y mantener una serie de procesos que permitan gestionar de manera eficiente la información, para asegurar su integridad, confidencialidad y disponibilidad. Se puede crear un modelo propio de gestión, siempre y cuando se consideren todos los factores esenciales del ciclo para que el sistema sea eficiente”, aseguró Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

 

Redacción 

Recuerda dejarnos un comentario               

Da click aquí para ver nuestra nota recomendada     

Te compartimos el siguiente vídeo:

Deja un comentario