Aspectos a tener en cuenta antes de implantar un Sistema de Seguridad de la Información
Sistema de Seguridad de la Información
Durante el artículo de hoy debemos revisar diferentes aspectos importancia que tiene que considerarse de forma previa a la implantación de ISO 27001, ya que resulta muy útil durante las fases de planificación y operación de Sistema de Seguridad de la Información dentro de las empresas.
Se puede convertir en un factor primordial en el éxito o fracaso de realizar la implementación del Sistema de Seguridad de la Información, según las actividades cotidianas en la empresa y los recursos que se necesitan para llevar a cabo la operación del sistema.
¿Qué se tiene que tener en cuenta al realizar la planificación del Sistema de Seguridad de la Información?
No existe un procedimiento exacto que describa un paso a paso cómo implantar la norma ISO 27001, existen factores que resultan fundamentales para tener una mejor proyección de los esfuerzos que debe realizar y para conseguir los resultados aceptables, mismos que se describen durante este artículo.
Respaldo y patrocinio
El elemento principal que tiene que tener en cuenta antes de implementar la norma es contar con el respaldo de la alta dirección con relación a las actividades de seguridad de la información, de forma específica con la iniciativa de empezar a operar con un Sistema de Seguridad de la Información.
La idea puede surgir en cualquier nivel dentro de la organización, pero es necesario el patrocinio de los niveles jerárquicos más elevados.
El soporte y compromiso de la alta dirección supone un esfuerzo compuesto, no solo un proyecto aislado y administrado por un responsable. De la misma forma, es muy útil la formación de estructuras dentro de las empresas, que permitan la colaboración y cooperación de los representantes de las distintas partes con roles y funciones relevantes.
Una buena práctica consiste en desarrollar la estructura adecuada para llevar a cabo las decisiones que se toman en torno al Sistema de Seguridad de la Información, mediante la realización de un foro o comité de seguridad, que permite llevar a la práctica lo que se ha denominado gobierno de seguridad de la información. Son todas las responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
Estructura para la toma de decisiones
Para llevar a cabo las actividades de gestión de la seguridad, el comité es un grupo interdisciplinario encargado de tomar decisiones referentes a la implantación y operación del sistema de gestión, así como mantener el control administrativo del marco de trabajo de seguridad.
El objetivo es integrar a miembros de la dirección, para proporcionar una visión de negocio a las decisiones competen a este comité, así como la generación de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la organización.
De esta forma, puede agrupar las necesidades y puntos de vista de los integrantes de la organización como usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos.
Otros miembros que puedan conformar este foro son el responsable del sistema de gestión, jefes de áreas funcionales de la empresa y un rol de auditor para realizar la evaluación objetiva e imparcial del Sistema de Seguridad de la Información.
Análisis de brecha (GAP)
El análisis de brechas o GAP Analysis es un estudio preliminar que permite conocer la manera en la que se lleva a cabo una empresa en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria, para ello se utilizan criterios establecidos en normas o estándares.
El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque el análisis es aplicable a cualquier estándar certificable, normalmente se lleva a cabo para nuevos esquemas de certificación, que son los que más dudas pueden generar en las empresas, debido a su novedad.
Análisis de Impacto al Negocio (BIA)
El análisis de impacto al negocio (BIA) es un elemento utilizado para estimar la afectación que puede padecer una organización como resultado de la ocurrencia de algún incidente o un desastre.
Tiene dos objetivos principales, el primero consiste en proveer una base para identificar los procesos críticos para llevar a cabo la operación de una empresa y la priorización de este conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El BIA se encuentra relacionado de forma directa con los procesos que poseen un tiempo crítico para su operación. Todos los procesos sujetos a un tiempo crítico son de misión crítica, no todos los procesos de misión crítica se encuentran relacionados con un tiempo crítico para su ejecución.
Recursos
Según los resultados del análisis de brecha y del impacto al negocio, es necesario estimar elementos necesarios para implementar la norma ISO 27001. Cuando se habla del primer ciclo de operación, el momento sugerido para la implantación de la norma es un periodo con una carga de trabajo menor, pero permite una planificación adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea.
Revisión de la norma ISO 27001
Otra actividad útil previa de la implantación del Sistema de Seguridad de la Información se encuentra relacionado con conocer el contenido y la estructura del estándar ISO 27001, así como de los estándares que conforman la serie 27000. De forma específica, una terea necesaria consiste en conocer la norma ISO 27001, que permite conocer los principios en los cuales se fundamente la implantación de un Sistema de Seguridad de la Información.
Diplomado ISO 27001 con la Escuela Europea de Excelencia
La evaluación y tratamiento de riesgos en ISO 27001 es un punto fundamental de la norma que será estudiado junto a todos los demás en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización un alumno será capaz de implementar y auditar un SGSI en cualquier tipo de organización.
No dude en convertirse en un experto en seguridad de la información matriculándose en este curso formativo aquí.
