106

n 4 julio / agosto 2006

Perspectiva Empresarial

Sistemas de Gestin de laSeguridad de la InformacinLA CERTIFICACIN DE UN SGSI SUPONE QUE UNA TERCERA PARTE CONFIABLE ANALIZA Y

CERTIFICA LA CORRECTA IMPLEMENTACIN DEL SISTEMA DE GESTIN EN SU TOTALIDAD,

SIGUIENDO LAS INDICACIONES DE LA NORMA ISO 27001

ISO 27001, la impresin es que la

gestin se reduce a la definicin,

implantacin y puesta en marcha del

sistema, y llegados al caso, a la

auditora y posible certificacin del

SGSI por parte de una entidad de

certificacin (debidamente acreditada

por una entidad nacional de acredita-

cin del estndar en cuestin, ISO

27001).

Lo cierto es que aunque hoy en da

respecto al tema de la certificacin en

seguridad, aunque no haya alcanzado

la importancia necesaria en el mbito

empresarial, no tenemos ninguna

duda de que se convertir en algo de

gran importancia en un corto periodo

de tiempo. De hecho la creacin de

esta norma ha tenido como objetivo

fundamental su implantacin en el

entorno empresarial, lo cual nos viene

a decir que pasar a ser un imperativo

en cualquier organizacin que aspire a

mantener la seguridad de sus opera-

ciones. Y es que si una empresa tiene

relacin con sus clientes, quiere con-

trolar las comunicaciones internas y

gestionar de forma segura sus pedi-

dos, es vital mantener un nivel ade-

cuado de seguridad con el fin de evitar

amenazas en el sistema.

Por qu es importante adoptarun SGSI segn ISO 27001

El argumento principal para adoptar

un SGSI segn ISO 27001 es que es un

estndar basado en un proceso, en una

metodologa de proceso (PDCA, planifi-

car, hacer, comprobar y actuar) y por lo

tanto capaz de proporcionarnos un

C uando hablamos de sistemasde gestin de seguridad de lainformacin (SGSI), segn

AgustnLerma

SECURITY MANAGERNEXTEL S.A.

El mantenimiento del estndar, parte fundamental del proceso

proceso basado en la me-jora continua y la certifica-cin con carcter revisabley sujeta a la evolucin ymejora del SGSI, obliganno solo a definir, implan-tar y mejorar el SGSI, sinoa MANTENERLO con la

mejor salud posible. La per-cepcin general de distribu-cin de inversin y costosrelacionados con un SGSIsegn ISO 27001 se centranen las fases previas de defini-cin e implantacin, princi-palmente porque en estosestadios se cuenta con ele-mentos consultores externos.

L a propia definicindel estndar como Pero tambin hay que teneren cuenta la dedicacin NE-CESARIA y FUERTE de per-sonal de la organizacin suje-ta al proceso, ya que hay quetomar muchas DECISIONESque no pueden ni deben serasumidas por consultoresexternos.

Aunque bastante ms bajo

de lo que se podra pensar, elcosto de la auditora de certi-ficacin tambin es tenido encuenta. Este depender deltamao y complejidad delalcance elegido para el SGSI.

Pero los costos de mante-nimiento necesarios paramantener el sistema en fun-cionamiento una vez

107

n 4 julio / agosto 2006

Perspectiva Empresarial

situacin continuada de seguridad en el

tiempo, y no una foto puntual, que

sera lo que obtenemos con una

auditora perimetral, interna o tecnol-

gica. Este estndar se basa en la mejo-

ra continua que proporciona la metodo-

loga PDCA y por lo tanto, es de espe-

rar que cuanto mas veterano sea un

SGSI basado en ISO 27001, ms efec-

tivo ser (y previsiblemente, cada vez

a un costo ms reducido por la mejora

en rendimiento y efectividad).

Implantacin y gestin del SGSIEste estndar de seguridad de la

informacin establece como primera

premisa que se adoptar para benefi-

cio del negocio de la organizacin. El

objetivo principal es proteger la activi-

dad, el negocio y el valor de la organi-

zacin, para ello adopta un sistema de

proteccin para su valor ms impor-

tante: los activos de informacin. De

este modo se establecer qu quere-

mos proteger (alcance) y cmo lo ha-

cemos (poltica).

El siguiente paso es gestionar los

activos de informacin ms crticos,

importantes, escasamente controla-

dos, difciles de cuantificar y manejar,

y que adems estn sujetos a emocio-

nes, las personas. stas adems

manejan y controlan el resto de ele-

controles que nos ayudaran a gestio-

nar los riesgos que existan sobre nues-

tros activos de informacin, y que se-

rn implementados de acuerdo con

procedimientos y criterios establecidos.

En este punto ya estaramos en la

parte de hacer de la metodologa

PDCA. Una vez implantado nuestro

SGSI deberamos comprobar su efecti-

vidad mediante la definicin de

indicadores (o medidas) y el uso de un

cuadro de mando que nos proporcione

informacin suficiente para poder com-

probar esa eficacia y efectividad.

En esta parte, la gestin correcta

de la mejora continua es esencial para

poder completar el proceso PDCA y as

obtener esa situacin continuada de

seguridad.

La certificacin de nuestro SGSI

supone la convocatoria de una tercera

parte confiable que analiza y certifica

la correcta implementacin del sistema

de gestin en su totalidad, siguiendo

las indicaciones del estndar ISO

27001. ste nos dice lo que hay que

hacer, pero no cmo conseguirlo. Esta

certificacin, con motivaciones varia-

das abarca desde el puro marketing, a

obligaciones generadas por clientes o

administracin, es un elemento de

reconocimiento entre iguales, que

debe ser revisado como mnimo anual-

mente y renovado cada tres aos.

mentos de uso o proteccin de un

sistema de gestin de seguridad de la

informacin o cualquier herramienta o

control de seguridad tecnolgico. Otro

problema aadido es que tambin

pueden cambiar por s mismos de em-

presa u organizacin a diferencia del

resto de activos de informacin, que

hay que ayudarles a cambiar de sitio.

Normalmente la parte que requiere

ms inversin de todo este proceso, es

la parte de planificacin. En ella va-

mos a analizar nuestro negocio, vamos

a determinar donde est su valor (acti-

vos de informacin) y vamos a estudiar

cules son los riesgos que las amena-

zas y vulnerabilidades pueden generar

en nuestra organizacin. Los elementos

que hasta ahora llambamos herra-

mientas (AV, FW, IDS, etc.) sern los

implementado y certificado,no se contemplan o seobvian. Y puesto que es unsistema vivo, estos costos exis-ten. Cuanto ms haya partici-pado la organizacin en elproceso de definicin eimplementacin, menor serla dependencia de agentesexternos. La tendencia gene-

ral en la evolucin y mejorade SGSI es el adelgazamientode estructuras, procedimien-tos, e incluso alcance. Unamejor relacin esfuerzo /seguridad se producir deforma paulatina y ayudar aestablecer de forma exacta elesfuerzo necesario para man-tener el SGSI en plena forma.

Cuanto ms fiables sean losindicadores o medidas elegi-das para establecer la saluddel SGSI se obtendr unmejor rendimiento de nues-tra inversin. Adems de unretorno en seguridad, mejorade imagen exterior, y protec-cin de nuestro negocio, unSGSI segn ISO 27001 ayuda-

r a la mejora de procesosde negocio, a la optimiza-cin de recursos IT, y alincremento de la producti-vidad y fiabilidad de losrecursos humanos de nues-tra organizacin. Todo estotiene un costo ms razona-ble cuanto mas veterano yefectivo es nuestro SGSI.

No tenemos ninguna dudade que la certificacin enseguridad se convertiren algo de granimportancia en un cortoperiodo de tiempo

/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /DownsampleGrayImages false /GrayImageDownsampleType /Bicubic /GrayImageResolution 300 /GrayImageDepth -1 /GrayImageDownsampleThreshold 1.50000 /EncodeGrayImages false /GrayImageFilter /DCTEncode /AutoFilterGrayImages true /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /DownsampleMonoImages false /MonoImageDownsampleType /Bicubic /MonoImageResolution 1200 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.50000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects false /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile (None) /PDFXOutputCondition () /PDFXRegistryName (http://www.color.org) /PDFXTrapped /Unknown

/Description >>> setdistillerparams> setpagedevice