ISO 27001: El Plan de Seguridad

Sistema de Gestión de Seguridad de la Información

Gestionar el riesgo es el punto de partida para tomar la iniciativa sobre la implantación de un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001  y además, facilita el conocimiento de cuáles deben ser las prioridades de protección.

Realizando la gestión de riesgo la organización pude identificar cuáles son los activos más relevantes que soportan todos sus procesos y conocer cuáles son las relaciones y las dependencias que existen entre estos.

La organización debe ser conocedora de todos los puntos débiles que tienen los activos y el impacto que pueden generar las amenazas si llegaran a materializarse.

Se debe valorar el riesgo al que la organización se está enfrentando y además se debe conciencias a los sectores técnicos y a los de negocio del papel que ejerce la seguridad de la compañía.

A pesar de analizar el riesgo y que esto sea muy útil para conocer las necesidades de la organización, tiene ciertas limitaciones, como puede ser que se queda anclado en el momento tiempo en el que se realiza. Sin embargo, el objetivo que persigue la organización debe ser dinámico y adaptable, además de permitir que la gestión de la seguridad se realice desde un plano estratégico.

El Plan de Seguridad supone llevar  a cabo los objetivos estratégicos que se identificaron en la política de seguridad y en las normativas vigentes de seguridad en la empresa, con el fin de ubicar a la organización, a nivel mundial, en un entorno de riesgo aceptable.

A la hora de llevarlo la práctica nos encontramos con una herramienta sistemática que facilita el establecimiento de pautas y directrices que permiten la planificación de una manera sencilla las diferentes iniciativas que la empresa deseaba abordar de una forma aislada y parcial.

Los pasos que la organización recorre hasta la Gestión Estratégica de Seguridad son:

Diseñar, redactar y aprobar la política de seguridad en la empresa

Dicho documento desglosa todos los objetivos estratégicos perseguidos por la organización en materia de seguridad, y realiza el plan necesario para poder alcanzarlos.

Analizar los riesgos en los procesos que se encuentran incluidos dentro de la política de seguridad

Esto hace que se conozcan cuáles son los activos que soportan todos los procesos, las vulnerabilidades de las carecen y las amenazas que deben afrontar. Llegados a este punto el principal objetivos será identificar y planificar todas las acciones tanto correctivas como de mejora que facilitan la reducción de los riesgos que se han identifica para los diferentes activos y después, se deben plasmar y gestión a través del Plan de Seguridad. La mayoría de los riesgos pueden ser reducidos mediante la aplicación de un único control que presenta una baja complejidad, por ejemplo, la instalación de un sencillo antivirus. Aunque se presentan muchas ocasiones en las que no bastará sólo con realizar una actividad sencilla sino que habrá que diseñar proyectos específicos para afrontar los riesgos bastante más complejos. A la hora de elaborar un Plan de Seguridad se debe tener en cuenta la colección de actividades que se deben acometer para alcanzar el objetivo de seguridad establecido mediante el umbral de riesgo. Una vez se conozca dicha colección de actividades y proyectos, lo siguiente que se debe tener en cuenta es el orden en el que se debe realizar. La mejor opción es priorizar las acciones que se basen en un único criterio. El objetivo es priorizar las líneas de acción y definir las distintas categorías de los proyectos:

• Inmediatos
• Corto plazo
• Medio plazo

Adoptar el criterio de “largo plazo” en un Plan de Seguridad se utiliza muy poco, ya que los riesgo evolucionan de forma muy significativos a los largo del tiempo.

Cuando ya están definidas y priorizas todas las acciones y proyectos en base al riesgo que generan, se tienen que plantar unos subcriterios que matizan el orden de las acciones y proyectos que se deben emprender:

• Maximizar la aplicación de controles que cubran el riesgo.
• Lleva una serie de costes asociadas, por lo que se debe tener en cuenta la relación eficiencia/eficacia/coste.
• Se tienen que identificar y determinar todos los controles relevantes para la empresa.

El Plan de Seguridad se debe ubicar en el plano de la estrategia, por lo que se tiene que describir los siguientes atributos indispensables:

• Fecha de comienzo y duración
• Recursos y presupuesto
• Responsable de proyecto
• Nivel de riesgo que cubre
• Nivel de madurez del Sistema de Gestión de Seguridad de la Información

La principal dificultad que se detecta en las organizaciones es la gestión del Plan de Seguridad. Los conflictos que se dan en las organizaciones de cierto tamaño, nacen de la complejidad que supone implantar diversos proyectos de un área en la que normalmente no existe personal suficiente que este lo suficientemente cualificado.

Se recomienda agrupar los proyectos según las áreas que podemos encontrar en la organización.  Aunque siguiendo todas estas pautas se pueda facilitar la labor, es indispensable contar con asesoramiento experto en las áreas técnicas que se encuentren relacionadas con la seguridad y además, se debe asegurar de que se definen bien los roles y las responsabilidades en la organización.

Por otro lado encontramos una alternativa a toda esta metodología del Plan de Seguridad, y esta es la Oficina de Gestión de Seguridad. Se trata de una estructura de gestión que se hace responsable de organizar y supervisar que los proyectos se encuentran definidos por el Plan Directos.  La creación de dicha oficina puede realizarse de forma interna en la empresa y deberá tener un componente importante en gestión de proyectos.

Es muy importante que la oficina tenga claro cuál es su papel y tome decisiones desde un punto de vista global para alcanzar los objetivos de seguridad de la organización. Otra de sus funciones es llevar a cabo estudios de la situación y analizar el valor de la empresa, estos estudios pueden ser utilizados para poder justificar la inversión que se ha realizado en Seguridad de la Información.

El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.