Download - 10 pasos sgsi
8/6/2019 10 pasos sgsi
http://slidepdf.com/reader/full/10-pasos-sgsi 1/2
8/6/2019 10 pasos sgsi
http://slidepdf.com/reader/full/10-pasos-sgsi 2/2
4. Conocer profundamente los
riesgos
Invertir en medidas de seguridad sin
antes conocer los riesgos es como
tomar una medicación sin antes saber
cuál es la enfermedad. Además, conocer
las vulnerabilidades tecnológicas no es
suficiente, una vez que la tecnología es
un elemento de soporte al negocio, no
su finalidad. Es necesario comprender lo
que puede afectar a cada proceso de
negocio, y cuales son los impactos y
probabilidades de ocurrencia inherentes.
5. Toda medida de seguridad
tiene que tener un porqué
Toda inversión en seguridad debe
ser justificada, por lo menos, en
términos de coste y beneficio, o bien
por la reducción de un riesgo (valores
financieros son bienvenidos), o por
cumplimiento legal o normativo.
6. Unir los procesos de gestiónHay dos momentos en los que la
seguridad tiene que ser especialmente
tenida en consideración: planificaciones
y cambios. Anticipar los riesgos, tras su
identificación y la aplicación de medidas
adecuadas, reduce la probabilidad y/o
el impacto de un incidente, que a su
vez reduce las pérdidas financieras y
posibles pérdidas de imagen y
reputación. Los estudios revelan que
anticipar los cuidados de seguridad en
la fase de planeamiento, cambio o
diseño reduce el valor a invertir en
comparación con medidas paliativas.
7. Establecer procesos repetibles
El SGSI implementa el concepto
administrativo PDCA (Plan, Do, Check,
Act ), así que muchos de los procesos
de seguridad (análisis de riesgos,
auditorías, testes de procedimientos y
tecnologías, training, y muchos otros)
serán repetibles de forma continuada.
Además, algunos procesos seránejecutados puntualmente, cuando haya
incidentes de seguridad, por ejemplo.
8. Las ISO son la base, pero mi
empresa puede necesitar más
La ISO 27001 establece los
requisitos para un SGSI, la 27002
presenta los controles de seguridad
recomendables. Un conjunto de nuevas
ISO está en desarrollo en este
momento, ofreciendo una cantidad
cada vez mayor y más depurada de
información de apoyo. Entretanto, la
recomendación es buscar soluciones
ideales para la empresa y sus
particularidades. Ya que cada negocio
es único, suelen haber requisitos
específicos. Think out of the (ISO) box .
9. Establecer métricas
Parafraseando a Lord Kelvin, “No se
puede gestionar lo que no se puede
medir”. Así como ocurre con la
operación, o la producción de la
empresa, es necesario conocer el
estado de la seguridad.
¿Cuántos riesgos hemos reducido enlos últimos 6 meses? ¿En el último año?
¿Cuál sería el impacto financiero si uno
de esos escenarios ocurriera hoy?
¿Cuánto hemos invertido en seguridad?
¿Las medidas fueron proporcionales a
las posibles pérdidas financieras,
operacionales y de reputación? Resulta
fundamental tener una herramienta que
genere todo o parte de esta
información a través de cuadros de
mando para la toma de decisiones.
10. Seguridad como herramienta
de apoyo a la toma de decisiones
Considerando que la seguridad de la
información viabiliza negocios, alcanzar
el nivel de apoyo a la toma de
decisiones es el “estado del arte” para
la seguridad, beneficiando a los
responsables de la gestión del negocio
en cada nueva iniciativa presentándoles
los riesgos inherentes y las medidas
necesarias (así como sus costes).
Un SGSI no es inviolable, no deja ala empresa inmune frente a los
incidentes de seguridad. Eso
probablemente nunca será posible. El
verdadero objeto del SGSI es organizar
las medidas de seguridad de acuerdo a
objetivos de negocio, reducir los
riesgos a niveles aceptables, gestionar
esos riesgos, cambiando el escenario
actual donde la seguridad es un coste
y transformándola en una herramienta
para viabilizar negocios más seguros y
mejor gestionados.
83
nº 26 octubre 2008
Perspectiva Empresarial
Resulta fundamental teneruna herramienta quegenere todo o parte de estainformación a través decuadros de mando para latoma de decisiones