-
106
n 4 julio / agosto 2006
Perspectiva Empresarial
Sistemas de Gestin de laSeguridad de la InformacinLA CERTIFICACIN DE UN SGSI SUPONE QUE UNA TERCERA PARTE CONFIABLE ANALIZA Y
CERTIFICA LA CORRECTA IMPLEMENTACIN DEL SISTEMA DE GESTIN EN SU TOTALIDAD,
SIGUIENDO LAS INDICACIONES DE LA NORMA ISO 27001
ISO 27001, la impresin es que la
gestin se reduce a la definicin,
implantacin y puesta en marcha del
sistema, y llegados al caso, a la
auditora y posible certificacin del
SGSI por parte de una entidad de
certificacin (debidamente acreditada
por una entidad nacional de acredita-
cin del estndar en cuestin, ISO
27001).
Lo cierto es que aunque hoy en da
respecto al tema de la certificacin en
seguridad, aunque no haya alcanzado
la importancia necesaria en el mbito
empresarial, no tenemos ninguna
duda de que se convertir en algo de
gran importancia en un corto periodo
de tiempo. De hecho la creacin de
esta norma ha tenido como objetivo
fundamental su implantacin en el
entorno empresarial, lo cual nos viene
a decir que pasar a ser un imperativo
en cualquier organizacin que aspire a
mantener la seguridad de sus opera-
ciones. Y es que si una empresa tiene
relacin con sus clientes, quiere con-
trolar las comunicaciones internas y
gestionar de forma segura sus pedi-
dos, es vital mantener un nivel ade-
cuado de seguridad con el fin de evitar
amenazas en el sistema.
Por qu es importante adoptarun SGSI segn ISO 27001
El argumento principal para adoptar
un SGSI segn ISO 27001 es que es un
estndar basado en un proceso, en una
metodologa de proceso (PDCA, planifi-
car, hacer, comprobar y actuar) y por lo
tanto capaz de proporcionarnos un
C uando hablamos de sistemasde gestin de seguridad de lainformacin (SGSI), segn
AgustnLerma
SECURITY MANAGERNEXTEL S.A.
El mantenimiento del estndar, parte fundamental del proceso
proceso basado en la me-jora continua y la certifica-cin con carcter revisabley sujeta a la evolucin ymejora del SGSI, obliganno solo a definir, implan-tar y mejorar el SGSI, sinoa MANTENERLO con la
mejor salud posible. La per-cepcin general de distribu-cin de inversin y costosrelacionados con un SGSIsegn ISO 27001 se centranen las fases previas de defini-cin e implantacin, princi-palmente porque en estosestadios se cuenta con ele-mentos consultores externos.
L a propia definicindel estndar como Pero tambin hay que teneren cuenta la dedicacin NE-CESARIA y FUERTE de per-sonal de la organizacin suje-ta al proceso, ya que hay quetomar muchas DECISIONESque no pueden ni deben serasumidas por consultoresexternos.
Aunque bastante ms bajo
de lo que se podra pensar, elcosto de la auditora de certi-ficacin tambin es tenido encuenta. Este depender deltamao y complejidad delalcance elegido para el SGSI.
Pero los costos de mante-nimiento necesarios paramantener el sistema en fun-cionamiento una vez
-
107
n 4 julio / agosto 2006
Perspectiva Empresarial
situacin continuada de seguridad en el
tiempo, y no una foto puntual, que
sera lo que obtenemos con una
auditora perimetral, interna o tecnol-
gica. Este estndar se basa en la mejo-
ra continua que proporciona la metodo-
loga PDCA y por lo tanto, es de espe-
rar que cuanto mas veterano sea un
SGSI basado en ISO 27001, ms efec-
tivo ser (y previsiblemente, cada vez
a un costo ms reducido por la mejora
en rendimiento y efectividad).
Implantacin y gestin del SGSIEste estndar de seguridad de la
informacin establece como primera
premisa que se adoptar para benefi-
cio del negocio de la organizacin. El
objetivo principal es proteger la activi-
dad, el negocio y el valor de la organi-
zacin, para ello adopta un sistema de
proteccin para su valor ms impor-
tante: los activos de informacin. De
este modo se establecer qu quere-
mos proteger (alcance) y cmo lo ha-
cemos (poltica).
El siguiente paso es gestionar los
activos de informacin ms crticos,
importantes, escasamente controla-
dos, difciles de cuantificar y manejar,
y que adems estn sujetos a emocio-
nes, las personas. stas adems
manejan y controlan el resto de ele-
controles que nos ayudaran a gestio-
nar los riesgos que existan sobre nues-
tros activos de informacin, y que se-
rn implementados de acuerdo con
procedimientos y criterios establecidos.
En este punto ya estaramos en la
parte de hacer de la metodologa
PDCA. Una vez implantado nuestro
SGSI deberamos comprobar su efecti-
vidad mediante la definicin de
indicadores (o medidas) y el uso de un
cuadro de mando que nos proporcione
informacin suficiente para poder com-
probar esa eficacia y efectividad.
En esta parte, la gestin correcta
de la mejora continua es esencial para
poder completar el proceso PDCA y as
obtener esa situacin continuada de
seguridad.
La certificacin de nuestro SGSI
supone la convocatoria de una tercera
parte confiable que analiza y certifica
la correcta implementacin del sistema
de gestin en su totalidad, siguiendo
las indicaciones del estndar ISO
27001. ste nos dice lo que hay que
hacer, pero no cmo conseguirlo. Esta
certificacin, con motivaciones varia-
das abarca desde el puro marketing, a
obligaciones generadas por clientes o
administracin, es un elemento de
reconocimiento entre iguales, que
debe ser revisado como mnimo anual-
mente y renovado cada tres aos.
mentos de uso o proteccin de un
sistema de gestin de seguridad de la
informacin o cualquier herramienta o
control de seguridad tecnolgico. Otro
problema aadido es que tambin
pueden cambiar por s mismos de em-
presa u organizacin a diferencia del
resto de activos de informacin, que
hay que ayudarles a cambiar de sitio.
Normalmente la parte que requiere
ms inversin de todo este proceso, es
la parte de planificacin. En ella va-
mos a analizar nuestro negocio, vamos
a determinar donde est su valor (acti-
vos de informacin) y vamos a estudiar
cules son los riesgos que las amena-
zas y vulnerabilidades pueden generar
en nuestra organizacin. Los elementos
que hasta ahora llambamos herra-
mientas (AV, FW, IDS, etc.) sern los
implementado y certificado,no se contemplan o seobvian. Y puesto que es unsistema vivo, estos costos exis-ten. Cuanto ms haya partici-pado la organizacin en elproceso de definicin eimplementacin, menor serla dependencia de agentesexternos. La tendencia gene-
ral en la evolucin y mejorade SGSI es el adelgazamientode estructuras, procedimien-tos, e incluso alcance. Unamejor relacin esfuerzo /seguridad se producir deforma paulatina y ayudar aestablecer de forma exacta elesfuerzo necesario para man-tener el SGSI en plena forma.
Cuanto ms fiables sean losindicadores o medidas elegi-das para establecer la saluddel SGSI se obtendr unmejor rendimiento de nues-tra inversin. Adems de unretorno en seguridad, mejorade imagen exterior, y protec-cin de nuestro negocio, unSGSI segn ISO 27001 ayuda-
r a la mejora de procesosde negocio, a la optimiza-cin de recursos IT, y alincremento de la producti-vidad y fiabilidad de losrecursos humanos de nues-tra organizacin. Todo estotiene un costo ms razona-ble cuanto mas veterano yefectivo es nuestro SGSI.
No tenemos ninguna dudade que la certificacin enseguridad se convertiren algo de granimportancia en un cortoperiodo de tiempo
/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /DownsampleGrayImages false /GrayImageDownsampleType /Bicubic /GrayImageResolution 300 /GrayImageDepth -1 /GrayImageDownsampleThreshold 1.50000 /EncodeGrayImages false /GrayImageFilter /DCTEncode /AutoFilterGrayImages true /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /DownsampleMonoImages false /MonoImageDownsampleType /Bicubic /MonoImageResolution 1200 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.50000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects false /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile (None) /PDFXOutputCondition () /PDFXRegistryName (http://www.color.org) /PDFXTrapped /Unknown
/Description >>> setdistillerparams> setpagedevice