¿Cuáles son las consideraciones previas a la implantación del SGSI?
SGSI
Es necesario tener en cuenta los aspectos importantes, de forma previa a la implementación de la norma ISO 27001, ya que resulta muy útil durante las fases de planificación y operación del SGSI dentro de la empresa. Puede convertirse en un factor primordial en el éxito o fracaso de la implantación del SGSI, debido a las actividades cotidianas de la empresa y a los recursos requeridos para la operación del sistema.
¿Qué se debe considerar para la planificación del SGSI?
No existe un procedimiento que describa paso a paso cómo implantar el SGSI, existen diferentes factores que resultan fundamentales para tener una mejor proyección de los esfuerzos necesarios, y para la obtención de resultados aceptables.
Respaldo y patrocinio
El principal elemento que se debe tener en cuenta antes de la implantación es el respaldo de la alta dirección, con relación a las actividades de seguridad de la información, de forma específica con la iniciativa de comenzar a operar con un SGSI.
La idea puede surgir en cualquier nivel dentro de la empresa, pero requiere del patrocinio de los niveles jerárquicos más elevados.
El soporte y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado. De la misma forma, resulta muy útil la formación de estructuras dentro de las empresas, que faciliten la colaboración y cooperación de los representantes de las diferentes partes con roles y funciones relevantes.
Una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en el SGSI, mediante la realización de un foro o un comité de seguridad, que permite llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, de las responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
Estructura para la toma de decisiones
Para las actividades de gestión de seguridad, el comité será un grupo interdisciplinar que se encarga de tomar decisiones referentes a la implantación y operación del sistema de gestión, además de mantener el control administrativo del marco de trabajo de seguridad.
El objetivo se integra a miembros de la dirección, para proporcionar una visión de negocio a las decisiones que competen a este comité, además de la generación de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la empresa.
De esta forma, se pueden agrupar las necesidades y los puntos de vista de los integrantes de la empresa como usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o gestión de riesgos.
Otros miembros que pueden conformar este foro son los responsables del sistema de gestión, jefes de áreas funcionales de la empresa y un rol de auditor para realizar la evaluación objetiva e imparcial del SGSI.
Análisis de brecha (GAP)
El GAP Análisis es un estudio preliminar que permite conocer la manera en la que se desempeña una empresa en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria, para esto se utilizan criterios establecidos en normas o estándares.
El análisis establece las diferencias entre el desempeño actual y el deseado. Este análisis se puede aplicar a cualquier estándar certificable, lo normal es que se lleve a cabo para nuevos esquemas de certificación.
Análisis de Impacto al Negocio
El análisis de impacto al negocio es un elemento utilizado para estimar de que forma afecta a una empresa la ocurrencia de algún incidente o desastre.
Existen dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una empresa y la priorización del conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El análisis de impacto al negocio se encuentra relacionado con los procesos que poseen un tiempo crítico para su operación, ya que todos los procesos se encuentran sujetos a un tiempo crítico siendo la misión crítica, no todos los procesos de misión crítica se encuentran relacionados con un tiempo crítico para su ejecución.
Recursos: tiempo, dinero y personal
Según los resultados del análisis de brecha y el impacto del negocio, es posible estimar elementos necesarios para la implantación de la norma ISO 27001. En el caso de que se realice el primer ciclo de operación, el momento sugerido para la implantación del SGSI es un periodo con una carga de trabajo menor, que permita una planificación adecuada o contratar nuevo personal enfocado a esta tarea.
El análisis permite estimar los recursos financieros necesarios para conseguir el estado deseado en materia de seguridad de la información, conforme a la norma ISO 27001. Se tiene en mente que durante la implementación se deberán destinar recursos para implantar controles técnicos, físicos o administrativos, conforme a los resultados de la evaluación de riesgos.
La empresa tiene que contar con personal idóneo para llevar a cabo las actividades técnicas y administrativas que se relacionan con el sistema de gestión, por esto se puede optar por capacitar a miembros de la empresa o contratar los servicios de personal externo que colabore para los objetivos planificados en el SGSI.
Revisión de los estándares de seguridad
Otra de las actividades que se realizan para la implantación del SGSI se encuentra relacionado con conocer el contenido y la estructura del estándar en la norma ISO 27001, además de los estándares que conforman la serie 27000.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.