En los últimos posts sobre SGSIs [1][2], planteábamos los problemas a los que los consultores nos solemos enfrentar a la hora de implantar un Sistema de Gestión de Seguridad de la Información y los errores más comunes que se suelen cometer.
Lejos de pretender mostrar una visión negativa de la decisión de implantar un SGSI, intentábamos advertir de cosas a tener en cuenta a lo largo del proceso. Es indudable que una vez el SGSI está implantado y en funcionamiento, éste aporta innumerables ventajas a la organización en general y al departamento TI en particular. Mucho se ha escrito sobre las ventajas de implantar un SGSI; como con el resto de Sistemas de Gestión, siempre se insiste en que el hecho de obtener un certificado hace que la organización aumente su competitividad, mejore su imagen respecto a las empresas de la competencia y se posicione mejor en el mercado. Todo eso es cierto, y está claro que esa puede ser una razón de peso para algunas organizaciones, ya que al fin y al cabo aumentar el nicho de mercado o fortalecer la posición y la imagen es algo imprescindible desde el punto de vista del negocio, y sin negocio, de nada sirven los sistemas de gestión y los certificados.
No obstante, dejando de lado el tema del certificado, desde nuestro punto de vista, el de una empresa especializada en Seguridad de la Información, existen otras muchas ventajas en la implantación de un Sistema de Gestión de Seguridad de la Información que son de otro ámbito. Entre otras, podríamos señalar como principales las siguientes:
- La gran mayoría de las tareas que obliga a ejecutar un SGSI (auditoria técnica de la plataforma TI, sistema de detección de intrusos, análisis de vulnerabilidades, inventario de activos, control de accesos, etc.) son aspectos que cualquier departamento TI que se precie debe abordar. La diferencia en este caso es que una vez implantado el SGSI estas tareas y muchas otras se encuentran sistematizadas, tienen asignado un responsable de ejecución y en muchos casos otro para la revisión, se analiza el resultado que de su ejecución se desprende, y se toman medidas en función de éste.
Dicho de otra forma, la mayoría del trabajo es el mismo que se realizaría o debería realizarse sin tener un SGSI, pero el SGSI formaliza las tareas y garantiza que se ejecuten cuándo y de la forma que se haya considerado adecuada y por ello establecido.
- El Análisis de Riesgos es quizá uno de los aspectos que un departamento TI no aborda de forma sistemática si no ha implantado o se encuentra implantando un SGSI. No es necesario listar las ventajas que supone realizar y revisar de forma periódica un Análisis de Riesgos; basta con decir que nos permite conocer las amenazas a las que están expuestas nuestros activos entre los que se encuentra la información, la probabilidad de que éstas se materialicen y el impacto que dicha materialización tendría sobre nuestro negocio. Dicho de otro modo, nos permite conocer la situación en la que nos encontramos y a través del Plan de tratamiento de Riesgos (un requisito de la norma) planificar cómo llevar este riesgo a un nivel que consideremos aceptable y que estemos dispuestos a asumir.
- La continuidad del negocio, contemplada de manera específica en uno de los dominios de la norma, obliga a la organización a plantear, aunque se a un nivel muy general, cómo garantizar la continuidad del negocio en caso de una catástrofe. Aunque es cierto que la elaboración, implantación y mantenimiento de un plan de continuidad de negocio es un proyecto en sí mismo, de (casi) tanta entidad como la implantación de un SGSI, para abordar la certificación se debe haber realizado y probado al menos un plan de contingencia, que sin llegar a ser un plan de continuidad de negocio, sí que constituye un primer paso.
- El dominio correspondiente a Conformidad es otra de esas tareas que en la mayoría de las organizaciones queda fuera del alcance de las responsabilidades del departamento TI, y en la que interviene tanto jurídico como posiblemente recursos humanos. Este dominio obliga a identificar la legislación que nos aplica tanto a nivel de propiedad intelectual como de protección de datos de carácter personal, y no son pocas las empresas que pretenden implantar y certificar un SGSI sin cumplir las exigencias de la LOPD y su Reglamento de Desarrollo. La implantación de un SGSI obliga como mínimo a disminuir la probabilidad de incumplir algún requisito legal que puede acarrear sanciones o dañar la imagen corporativa, ya que hoy en día las entidades de certificación o por lo menos aquellas con las que nosotros hemos trabajado consideran una No Conformidad mayor cualquier incumplimiento legal y obligan a la empresa que aspira a obtener el certificado a un plazo de tres meses regularizar su situación. Lo que parece totalmente lógico, ¿no les parece?
- Comentábamos en un post anterior que un problema con el que hay que lidiar al implantar un SGSI es involucrar a áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC, que ven como ajeno a ellos y una carga de trabajo extra. La implantación de un SGSI requiere superar este escollo, lo que conlleva muchas ventajas: la seguridad ha dejado de ser cosa del Departamento TI y gracias a la formación y concienciación toda la organización es consciente del valor que tiene la información corporativa que maneja diariamente. Sin olvidar la existencia de normativas que deben cumplir para garantizar la seguridad de dicha información y cuyo incumplimiento tiene definido en la mayoría de los casos un proceso sancionador.
Por último, pero no por ello menos importante, el apoyo que la Dirección debe demostrar al proyecto de implantación del SGSI, hace que los empleados entiendan que el tema de la seguridad de la información no se trata de un ‘capricho’ del Director del área TI, sino de una directriz marchada por la alta Dirección y que es por tanto un aspecto vital de la organización.
- Durante la fase de implantación de un SGSI se definen las directrices para detectar y actuar ante un incidente de seguridad, lo que evita que llegado el momento de enfrentarse a un incidente grave se tenga que pensar por dónde empezar, quién debe encargarse de qué, a quién hay que informar en primer lugar, y aspectos de ese estilo.
- Por último, la mejora continua es una ventaja común a todos los Sistemas de Gestión, sobre la que hay cientos de artículos escritos pero no por ello queremos dejar de mencionarla. Gracias al ciclo PDCA garantizamos que existe un proceso continuo que comprueba cómo de segura está nuestra información y actuamos para conseguir que el nivel de seguridad aumente. Este trabajo no se termina nunca: medir y actuar para mejorar. Siempre hay algún aspecto de la seguridad de la información que se puede mejorar.
Aunque estas son algunas de las ventajas, es indudable que existen muchas otras. En próximas entradas pasaremos a ver cuáles son las ventajas de la integración de sistemas de gestión, o la conveniencia y ventajas que aporta contar con un sistema de gestión de eventos y alarmas a la hora de implantar un SGSI.