Vivimos en un mundo globalizado donde se genera grandes volúmenes de información y su gestión se hace cada vez más importante, siendo un recurso intangible de gran valor para el desarrollo así como fuente de conocimiento e investigación.
Por otro lado, las amenazas que enfrentan las organizaciones son cada vez mayores, especializadas y puntuales, teniendo como principal objetivo la información. No importa tanto el actor, el medio y la forma en que se obtiene, considerándose que esta puede estar en las personas, procesos, infraestructura tecnológica almacenada, dispositivos y otros.
De allí que cada vez más se hace imprescindible almacenar y resguardar la información, con la incorporación de tecnologías y el conocimiento adquirido del personal a fin de asegurar la continuidad de las operaciones y subsistencia de la organización.
Por estos motivos, las organizaciones deben implementar un sistema de gestión de seguridad de la información (SGSI) que les permita preservar la integridad, confidencialidad y disponibilidad de la información, aplicando un marco de administración de riesgos que proporcione confianza y garantía a las partes interesadas.
Para lograr la implementación de un SGSI, es necesario que las organizaciones realicen un conjunto de acciones, dentro de las cuales podemos mencionar las siguientes:
- Sensibilización a los tomadores de decisión en todos los niveles (Junta General de Accionistas, Directorio, Gerencia General y Gerencias de Línea). Se debe realizar un taller integrador en todos los niveles con la finalidad de sensibilizar en seguridad de la información y generar el compromiso.
- Alcance institucional de la implementación, priorizando los procesos principales o core de negocio. La implementación del SGSI en toda la organización se realiza por procesos priorizados, teniendo en consideración su criticidad. Los procesos deben estar documentados, lo mismo que sus procedimientos.
- Definir una política y organización del SGSI. Se debe formular una política sencilla y fácil de entender, que de a conocer lo que se pretende lograr con el SGSI y cuáles son sus indicadores de medición. Definir una organización flexible para el SGSI liderada por el gerente general, teniendo un rol protagónico el oficial de seguridad de la información.
- Establecer un marco de administración de riesgos. Definir una metodología para el SGSI, con la finalidad de tener un instrumento para la reducción de los niveles de riesgo que podrían afectar de manera significativa los activos de información.
- Realizar la gestión de riesgos a nivel de procesos o la forma adoptada para su implementación. En este punto se debe integrar la identificación, análisis, evaluación y tratamiento de los riesgos existentes. Es importante la planificación, documentación y seguimiento efectivo del tratamiento de los riesgos: solo las vulnerabilidades reales permiten identificar riesgos reales y también identificar oportunidades.
- Definir los planes de tratamiento de riesgos. Los planes deben ser entregados formalmente a los propietarios de los riesgos o áreas implementadoras, haciéndoles un seguimiento eficaz y entregándolos a la operación.
- Implementar controles. Realizar la implementación de los controles tecnológicos, normativos y de los recursos humanos, apoyándose en expertos cuando estos controles son especializados y no se cuenta con personal técnico.
- Monitorear y revisar el SGSI. Se debe establecer cómo se mide la efectividad de cada control y cómo el control mitiga el riesgo para el cual fue implementado. También se debe demostrar cómo el SGSI genera valor a la entidad, a través de disminución de vulnerabilidades, mitigación de riesgos, gestión de incidentes y cumplimiento.
- Mantener y mejorar el SGSI. Incentivar las acciones de mejora en el SGSI en línea con la mejora continua de los procesos. La auditoría interna del SGSI debe ser parte de los planes de auditoría anuales, así como la revisión por parte de la alta dirección debe ser parte de su agenda periódica.
En la actualidad muy pocas organizaciones realizan la implementación del SGSI por diversas razones: falta de compromiso y de recursos, desconocimiento de seguridad de la información, falta de personal capacitado y especializado. Esto trae consigo que muchas convivan con el riesgo sin medir las consecuencias o el impacto que este podría ocasionar.
Las organizaciones deben hacer su máximo esfuerzo por implementar un SGSI que les permita preservar sus activos de información frente a la pérdida de integridad, confidencialidad y disponibilidad, implementando controles efectivos que eliminen las amenazas a que están expuestas. Los sistemas de gestión representan un proceso continuo, no basta con implementarlos. Es necesario mantenerlos y mejorarlos, ya que esto redunda en una mejor performance de las organizaciones.
*Este post es una colaboración de Ronald Paredes Vargas, docente de la Escuela de Postgrado y Estudios Continuos (EPEC) de la Universidad Privada del Norte.