Carlos Gallego del Castillo, Consultor de Osiatis
Por esta razón, organizaciones de todos los sectores económicos requieren llevar a cabo procesos de certificación de la gestión de seguridad de la Información (SGSI) que les permita asegurar, tanto interna como externamente, que se está realizando un análisis, control y reducción de los riesgos derivados de los sistemas de información.
Implantar un sistema de gestión con una certificación como ISO/IEC 27001 permite a las empresas:
• Reducir el impacto de los riesgos que pueden llegar a darse y las posibles pérdidas (económicas, de imagen, legales, etc.) al aumentar la seguridad de los sistemas de gestión.
• Asegurar la realización de análisis continuos de riesgos para conocerlos y realizar un seguimiento y aceptación de los mismos.
• Disponer de planes de continuidad de negocio probados que aseguren la disponibilidad y recuperación de los activos de información.
• Cumplir con las legislaciones y normativas vigentes, como son la LOPD o SSIPI.
• Aumentar el valor comercial de los departamentos, empresas y sus marcas mejorando la imagen de la organización.
• Incrementar la confianza de clientes y proveedores.
• Someter los procesos asociados a la gestión de la información a un ciclo de mejora continua.
El proceso de implementación
En primer lugar, es importante destacar que se requiere una revisión de los servicios a certificar, verificando la alineación de los servicios con los objetivos marcados desde la dirección y requisitos de la norma enumerados en la “Declaración de Aplicabilidad”, siempre respaldados por la Dirección.
La norma se puede dividir en cinco apartados a cubrir:
o Sistema de Gestión: Corresponde con todos los apartados comunes de las normas ISO de cumplimiento, evaluación y proceso de mejora continua (PDCA)
o Análisis de Riesgos: Identificación, revisión y tratamiento de los riesgos asociados a los sistemas de Información. Como resultado, se deben conocer y asumir los riesgos residuales.
o Implantación de controles: Desarrollo de los procesos y medios necesarios para cubrir los controles asociados al SGSI.
o Concienciación: Divulgar de forma interna las directrices implementadas para gestionar la seguridad.
o Auditorías: Como en el resto de normas, se deben realizar auditorías internas y externas que permitan realizar una gestión continua de la seguridad.
Debido a que nunca podremos eliminar por completo los riesgos asociados a la información siempre se debe realizar un proceso de revisión continua con el fin de controlar y conocer los nuevos riesgos que puedan aparecer derivados de cambios o evoluciones de los servicios.
Problemas operativos más habituales
En cuanto a los problemas más habituales en este tipo de proyectos, el error más común se da al orientar los procesos a soluciones que no reflejen la operativa de los departamentos, llevando a aplicar unos procesos poco productivos difíciles de mantener y evolucionar.
Por otro lado, hay que tener en cuenta que dentro de la gestión de la información, no solo hay que implementar soluciones tecnológicas dentro del departamento de TI (Copias de Seguridad, AV, DLP, etc.), sino que tenemos que contemplar todo el personal, (TI y no TI, interno y externo), que tiene acceso a la información, por lo que en el alcance de la norma y los procesos implementados hay que tener en cuenta que deben ser seguido y cumplidos por todo tipo de personal, de distintos departamentos y con distintos objetivos.
Integración y sinergias
El SGSI está especializado en la gestionar la seguridad de la información, sin profundizar en otros procesos de gestión que pueden ser muy importantes para crear una estructura de gestión IT global. En este apartado, la ISO 20000 permite ampliar los procesos y sistemas de gestión asociados a la seguridad de la información. La integración de ambas normas permitirá aprovechar los procedimientos implementados desde la primera de ellas, ya sea la 20000 o la 27001, para optimizar al máximo los recursos.
