VISIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN

Autor: Antonio Martínez Álvarez

Tecnología e internet

30-04-2008

Herramientas

	Compartir/Guardar
	Enviar
	Imprimir

Seguridad de la Información.

Varias son las definiciones que se pueden obtener desde algunos estándares relacionados con la seguridad, como ISO/IEC 17799:2005 Information technology . Security techniques. Code of practice for information security management, o ISO 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management, y todas ellas están basadas en un concepto clave, la seguridad debe tener como objetivo la conservación de la confidencialidad, integridad, y disponibilidad de la información, sin perjuicio de otras características relacionadas con las primeras, tales como autenticación, trazabilidad, cumplimiento normativo, etc.

No cabe duda que la información representa el activo más crítico para que una organización logre el éxito de los objetivos de negocio o estratégicos, es decir, aquellos que son fundamentales y representan la razón de ser de la empresa. Los objetivos de negocio pasan por conseguir que la información, cualquiera que sea su soporte y su ciclo de vida dentro de la organización, sea analizada bajo distintos requerimientos: de calidad, financieros, de seguridad, legales, u otros que puntualmente puedan ser necesarios. Dichos requisitos guiarán a los recursos y procesos empleados en los sistemas de información para conseguir los objetivos estratégicos fijados

Una vez identificados los términos clave de la seguridad de la información, es necesario enfocarlos desde el punto de vista de la gestión, aplicando un proceso sistemático, documentado y conocido por toda la organización que permita garantizar, no que la empresa es completamente segura, sino que conoce los riesgos a los que se enfrenta, los ha evaluado, los sabe gestionar y los ha minimizado de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en el sistema de información.

Un sistema de gestión de seguridad de la información (SGSI), es aquel sistema que comprende la política de seguridad, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización.

Para implantarlo de forma exitosa en una organización existen distintos elementos claves:

- Lograr el apoyo de la dirección.
- Tener una visión clara de los procesos y elementos clave a incluir en el sistema, ya que un exceso de ambición podría hacer fracasar el sistema.
- Evaluar los riesgos que comprometen dichos procesos.
- Describir una política de seguridad basada en el resultado del análisis de riesgos.
- Adoptar el modelo de mejora continua, ciclo PDCA, que permita monitorizar el sistema, detectar nuevos riesgos y tratarlos de manera eficiente.
- Documentar el sistema según distintos niveles estratégicos (manual de seguridad, procedimientos generales, instrucciones técnicas, y registros de operación).

ISO/IEC 27001:2005, norma internacionalmente conocida, define los requisitos para implementar un SGSI. Los beneficios del sistema son varios e incluyen la facilidad de integración con otros sistemas de gestión ISO 9000 e ISO 14000, la conformidad con los requisitos legales (LOPD, LSSI, etc), la gestión efectiva de riesgos, la diferenciación en el sector, credibilidad y confianza de gestores, socios y partes interesadas, la reducción de costes relacionados con incidentes, y por último, la mejora en la sensibilización del personal y aumento de responsabilidad en seguridad de la información.

Antonio Martínez Álvarez

Responsable de Seguridad TICs.

Áudea, Seguridad de la Información.

audeaarrobaaudea.com

Recursos relacionados en administración y gerencia