Los pilares del SGSI
SGSI
A la hora de implementar un SGSI existen muchas cuestiones que deben ser bien atendidas por las organizaciones, aunque a veces puede resultar confuso el momento de decidir por dónde comenzar.
Es por esto que existen estándares que sirven de guía para las personas que se inician en el mundo de la Seguridad de la Información, uno puede ser el Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Existe tres aspectos fundamentales que no se deben descuidar y podemos resumir en tres sencillos pasos, que se puede determinar cómo el ABC de la seguridad de la información:
- La seguridad en el negocio
El punto de partida es garantizar la seguridad de los activos de información de la organización. Aunque esto, que parece tan obvio, puede convertirse en un enorme dolor de cabeza si no se hace planteando un objetivo que se centre en el negocio. Contar con un antivirus, un firewall, un IDS, varios servidores diferentes y solucionar el backup son algunas de las primeras alternativas que se ponen sobre la mesa, pero además se debe pensar como todo lo que se ve como fundamental para la seguridad se alinea para ayudar a cumplir con todos los objetivos de negocio.
Tal vez sea necesario convencer a la alta dirección de que invierta una elevada cantidad de dinero para que se cumplan todos los controles que establece el SGSI basándose en la norma ISO 27001 convirtiéndose en una labor muy tediosa llegando a ser incluso mayor que la implementación de cualquier tipo de proyecto de seguridad. Si sabemos que contar con un firewall bloquea el tráfico de internet, o una política que impida conectar dispositivos USB a los ordenadores, tal vez sea un impedimento para la actividad de la organización ya que será un punto de partida para el área encargada de la seguridad y que esa deje de ser enemigo para la organización.
Cualquier tipo de cambio se debe encontrar de acuerdo al nivel de riesgos que acepten las áreas de operaciones.
- Buenas prácticas durante la gestión
Después de decidirse por la implementación de la norma ISO 27001 y de las tecnologías necesarias para contar la seguridad del negocio, será necesario mantener de forma vigente el trabajo realizado, ya que le ha supuesto a la organización mucho tiempo, dinero y esfuerzo. De la misma forma en que el área encargada de la seguridad se preocupa por todas las implementaciones que se encuentren de acuerdo con los objetivos de la organización, resulta de vital importancia que todos los encargados de la empresa comprendan que no se trata de un proyecto de implantación que finaliza a lo largo del tiempo, sino que estamos hablando de un proceso que cumple el ciclo de mejora continua.
Es por esto que cada nuevo cambio que se efectúe se realizará mediante el enfoque de diferentes fases, de tal forma que se facilite la identificación de problemas y conocer las soluciones, evitando que afecte a toda la organización. Se debería comenzar por los usuarios más experimentados, ya que es una buena forma de obtener retroalimentación y mejorar la experiencia para todos los trabajadores de la empresa. No sólo basta con garantizar que los controles funcionan de forma correcta, sino que es necesario asegurarse de que no representan una carga en los trabajadores o los procesos.
Cada uno de los asuntos críticos que se tratan en las organizaciones son necesarios para establecer una gestión exitosa, se encuentra asociado a las pruebas que se realizan de los planes que se implantan, sobre todo aquellos que se encuentran relacionados con la continuidad de negocio. Las soluciones de backup son un claro ejemplo, ya que las organizaciones ponen en común las pruebas que realizan para restablecer su sistema si sucede un problema que los paralice.
- Concienciar a los usuarios
Todo el tiempo y el trabajo que se invierte en los pases anteriormente nombrados pueden quedar en el olvido si no se cuenta con el factor humano. Es por esto que es necesario contar con una adecuada gestión del cambio, ya que la implantación de nuevas políticas, proceso y tecnologías en la organización puede llegar a generar cierta resistencia por parte los usuarios.
La organización debe establecer los ajustes necesarios que se enfoquen a los trabajadores, ofreciéndoles capacitación para que tengan las capacidades necesarias a la hora de manejar los procedimientos y las tecnologías, y de esta forma sus actividades se encuentren acordes con las necesidades que tiene la organización después de implementar un SGSI según la norma ISO 27001.
Podemos poner el siguiente ejemplo, si se adoptan las tecnologías citadas no sólo se deben plantar políticas de seguridad sino que también se deben exponer y explicar sus beneficios a los usuarios y empleados de la organización o si se trata de implantar un doble factor de autenticación, que suele ser molesto e incómodo para algunos de los usuarios de la organización, además se exponen todos los beneficios y posibilidades para conseguir la protección de la información personal.
Desafortunadamente, la educación que reciben los usuarios es un aspecto al que no se presta mucha atención con Seguridad Informática. Además la gestión que se realice tiene que estar enfocada a que la entienda todos los trabajadores, éstas son las políticas de seguridad y cómo cumplirlas mediante la utilización de forma adecuada de todos los controles. Se tiene que buscar que la seguridad informática sea algo consciente, de tal forma que se pueda reconocer que es importante y se conozcan las consecuencias que se obtengan de no cumplir con las reglas.
Está claro que detrás de cada uno de estos aspectos que hemos descrito existen políticas que leer y redactar, implementación que desarrollar, etc. además de que una fórmula de los tres paso a la hora de implementar la Seguridad Informática en una organización puede que no exista, pero si se tiene en cuenta la tarea se hace mucho más llevadera. Además, esto puede ayudar a la hora de comenzar con los esfuerzos que necesita la seguridad informática.
Software para ISO 27001
El Software ISOTools Excellence para la SGSI se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.