Introducción
La decisión de implantar un Sistema de Gestión de Seguridad de la Información (SGSI) es una decisión estratégica para cualquier organización. El éxito de la implantación del sistema y de su funcionamiento dependerá de, entre otras cosas, la implicación por parte de Dirección.
Tan importante es el proyecto de implantación del SGSI como lo es su mantenimiento, ya que no tendría ningún sentido montar un sistema de gestión solo para conseguir el ”sello” de la certificación. La certificación y obtención de una Norma ISO como la 27001 tiene que ser una consecuencia de una correcta implantación del sistema y de su mantenimiento. En este artículo hablaremos sobre algunas recomendaciones para mantener correctamente un SGSI y de cómo mejorarlo.
Ya tenemos el sistema implantado, ¿y ahora qué?
La implantación del SGSI deberá tener en cuenta los procesos principales para la gestión de la seguridad de la información, como puede ser la gestión de riesgos, bastionado de los sistemas, control de accesos, gestión de vulnerabilidades o las auditorías, por nombrar solo algunas.
Pero no hay que olvidar que un sistema de gestión, como su nombre indica, utiliza la sistematización de los procesos para conseguir la máxima eficacia y rendimiento del sistema. Esto significa que, durante el proyecto de implantación, también se deberá tener en cuenta la implantación de herramientas que permitan monitorizar, controlar y medir la efectividad de todos los procesos y del desempeño en general del SGSI.
El objetivo de este seguimiento y medición es poder garantizar que se alcanzan los objetivos marcados en el SGSI, y que se tuvieron en cuenta a la hora de decidir la implantación de un sistema de este tipo en la organización.
Concretamente, la medición nos permitirá mejorar continuamente el sistema de gestión, a través de la detección de posibles errores, desvíos y oportunidades de mejora, ya que, como se suele decir, “no podemos mejorar lo que no se mide”. Siendo exigentes y siguiendo estas buenas prácticas de los diferentes estándares podremos alcanzar (o acercarnos) a la excelencia.
Imaginemos que hemos finalizado el proyecto de implantación del SGSI en la organización, realizando las siguientes actividades:
- Elaboración de políticas, procedimientos y guías de seguridad.
- Evaluación de riesgos y plan de tratamiento.
- Implantación de medidas de seguridad.
- Registro de actividades.
- Recopilación de evidencias.
- Auditoría interna.
- Acciones correctivas.
- Acciones de mejora.
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.