Gobernanza, políticas y objetivos de seguridad de la información

Seguridad de la información

Los datos sobre la ciberseguridad, en general, y la seguridad de la información, en particular, brotan como manantiales en forma de secretos de estado develados, piratas “buenos” que ayudan a las organizaciones a protegerse contra el crimen, normas ISO, simposios, seminarios web, libros, expertos y gurús con cifras recién analizadas. ¿Esto se debe a que el tema está de moda, a paranoia generalizada o a la tecnología que avanza desbocada, mientras las leyes van quedando atrás? Aparentemente, no es tan fácil asimilar que el mundo está interconectado, que los datos valen oro y que muchas vidas y negocios pueden verse negativamente alcanzadas si no logramos mantener la confidencialidad, integridad y disponibilidad de la información.

Como líder de una organización, ¿qué gano al invertir tiempo, dinero y esfuerzos en seguridad de la información? Primero que todo, aclaremos que nuestro gobierno organizacional requiere entender, supervisar y apoyar todo lo concerniente a este tema, además de pautar un programa contentivo de prioridades y metas que sean coherentes con la misión de la empresa.

Este compromiso debe reflejarse en la aprobación de recursos y el apoyo sostenido para lograr el éxito del programa. Un liderazgo fuerte es la base para construir un sistema de gestión de la seguridad de la información (SGSI) robusto y eficaz, ello incluye una participación visible, acción, comunicación constante y privilegiar la seguridad de la información (SI) en la agenda como un tema destacado. Se espera que el gobierno delegue públicamente responsabilidades y autoridades que se encargarán de la SI.

La seguridad de la información es más importante que nunca

El éxito de una compañía es inherente a trazarse objetivos de seguridad de la información y cumplirlos. ¿Por qué? Porque la consecución de las metas planteadas depende en gran medida de la información que emana la compañía, de clientes, proveedores y demás partes interesadas, además de la tecnología.

Entonces, ¿cómo no sería importante proteger tal información? ¡Definitivamente es prioritario! La SI tiene que ser parte de la estrategia organizacional, de los procesos y operaciones diarias

Esto favorece a la continuidad del negocio aún en situaciones poco favorables como desastres naturales y crisis de diversas índoles. La consecuencia inevitable de esto es lograr la confianza de clientes y colaboradores, quienes percibirán que nuestros esfuerzos se sostienen en la protección de la información sensible y que los resguardamos responsablemente.

Cuando empleamos nuestros recursos en un SGSI, podemos hablar de que nuestra inversión rinde frutos y de que la gestión financiera llevada a cabo es eficaz, puesto que no se dedican ni tiempo ni dinero en reparar desastres como la fuga de informaciones y demás incidentes indeseados.

En estos tiempos de ecommerce efervescente, la seguridad de la información (SI) potencia la capacidad de brindar productos y servicios de forma eficaz, en vista de que los datos confidenciales resultarían salvaguardados y se cumplirían los requisitos de los clientes más exigentes a la vez que se cuida la información propia.

En última instancia, es relevante señalar que la responsabilidad de crear una política de SI y crear y cumplir objetivos de SI pertenece a los líderes. Es decir, al gobierno corporativo. En ellos recae la tarea de garantizar la SI para cumplir con la misión de la organización y aumentar el valor para la empresa.

La SI y sus objetivos

¿Conoces en qué punto está la seguridad de la información en tu organización y dónde te gustaría estar? Una forma efectiva de hacerlo puede ser evaluando si se cumplen las leyes sobre seguridad, reglamentos y normas (como la ISO/IEC 27001).

También es imprescindible conocer cuáles son los riesgos y amenazas que acechan a la empresa, y en función a eso trazar objetivos que apunten a lograr la confidencialidad, integridad y disponibilidad de la información. De cada objetivo deben desprenderse controles capaces de gestionar los riesgos.

¿Cuál podría ser el objetivo más relevante? Aunque parezca obvio, lo vital es proteger a la organización y su capacidad para llevar a cabo su misión.

No exageramos al afirmar que la pérdida de conectividad a internet, la denegación de servicios, apagones, incendios o terremotos pueden atentar contra la disponibilidad de información clave, y así sería imposible cumplir con la misión de la compañía. Los objetivos no son inamovibles.

Estos varían o se actualizan en caso de que la misión de la empresa cambie, existan nuevos requisitos operativos, surjan otros riesgos, entre otros. Los cambios muchas veces pueden ser impredecibles y necesitamos ser tan flexibles como podamos.

Una política que construya

Las reglas de seguridad, que rigen el comportamiento esperado de una entidad, es lo que se conoce como política de SI. Con ese texto damos a conocer las directivas, reglamentos, normas y prácticas que señalan la forma en que la empresa gestiona, protege, almacena y distribuye la información.

No es fácil diseñar un corpus como el que indicamos. Es tarea de la gerencia decidir hacia dónde se destinarán los recursos, indicarles a los empleados cómo deben comportarse con relación a la SI y qué se espera de ellos, jerarquizar objetivos y llevar todo esto a la práctica. Para apoyar tu labor, te indicamos qué debería tener una política de seguridad de la información:

• Propósito. En este apartado se describen las metas que se desean alcanzar y necesidades relacionadas con la seguridad. Entre ellas se encuentran la integridad, la disponibilidad y la confidencialidad de la información.
• Alcance. Las políticas no deben dejar cabos sueltos en cuanto a qué equipos, procesos y/o sistemas se prevé proteger.
• Responsabilidades. Los involucrados requieren ser identificados con nombres y apellidos. Así, las gestiones se harán de forma efectiva y se conocerá quién se encargará de cada cosa.
• Sanciones. Para que no quepan dudas de que el tema es serio, es necesario que existan acciones disciplinarias. Estas se aplicarán a quienes vulneren la política.

Software ISO 27001

La norma ISO 27001, junto con el resto de estándares que componen su familia, proporciona todos los requisitos necesarios para implementar un correcto Sistema de Gestión de Seguridad de la Información de una forma eficaz y rápida.

En este sentido el Software ISOTools Excellence presta solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una organización o empresa. Solicite información ahora.