Cuando se habla de la alineación con estándares suele pensarse en la complejidad que pueden representar el conjunto de actividades necesarias para tal fin, las restricciones que éstas pueden generar o los esfuerzos requeridos para su funcionamiento dentro de las organizaciones.

A pesar de ello, existen beneficios perceptibles cuando se ha optado por operar en función de lo que se establece en los estándares, independientemente de que una organización tenga como objetivo la certificación. A continuación enlistaremos cinco aspectos puntuales de los beneficios del uso de estos instrumentos.

1. Uso de mejores prácticas en materia de seguridad

El apego a los estándares de seguridad permite la aplicación de las mejores prácticas utilizadas en la industria, ya que es posible utilizar un conjunto de acciones, metodologías, herramientas y técnicas, que han sido aplicadas y probadas con resultados favorables.

Por ejemplo, en materia de seguridad diversas iniciativas no logran prosperar debido a la falta de patrocinio, razón por la cual distintas prácticas recomiendan la organización a través de estructuras adecuadas de gobierno de seguridad y de otros instrumentos como las políticas.

2. Contribución a la madurez de los procesos organizacionales

Un beneficio relacionado con las actividades que establecen los estándares consiste en la aplicación de la mejora continua, concepto que se encuentra implícito en el desarrollo de una organización. La alineación con los estándares contribuye a la mejora de procesos y madurez de las empresas, debido a que se deben documentar, comunicar, monitorear y medir. En niveles más elevados de madurez, las tareas se automatizan y optimizan; en niveles bajos, no se cuenta con procesos o procedimientos, las actividades se realizan de forma desorganizada o se inicia con el seguimiento de patrones regulares.

Por ejemplo, en un nivel de madurez optimizado la seguridad es una responsabilidad de la gerencia y se encuentra integrada con los objetivos de la organización, se definen e incluyen requisitos de seguridad en un plan que ha sido aprobado o bien, se da respuesta a los incidentes de forma inmediata con procedimientos formales que son soportados por herramientas automatizadas.

Además, se llevan a cabo evaluaciones periódicas para conocer la efectividad en la implementación de medidas de seguridad, la información sobre amenazas y vulnerabilidades se recolecta y analiza, se definen e implementan controles de seguridad idóneos para mitigar riesgos, y de manera general, las prácticas de seguridad y la tecnología relacionada se encuentran integrados en los procesos organizacionales.

3. Conjunción de distintos enfoques con un objetivo común

En otras oportunidades hemos dicho que por la naturaleza de la información, ésta puede encontrarse en diferentes formas (digital, impresa, escrita, verbal, incluso no representada, como ideas o conocimiento) y estados (almacenada, procesada o en transmisión).

Por lo tanto, su protección requiere de un enfoque holístico, que considere distintas perspectivas: desde cuestiones tecnológicas, administrativas o físicas, hasta legales o contractuales. En este sentido, los estándares incluyen estas perspectivas para la protección de la información, además de otras que también resultan importantes en la gestión de la seguridad, como son la gestión de riesgos, cumplimiento o gobierno de la seguridad.

A continuación listamos algunos ejemplos de estos distintos enfoques para las medidas:

Tecnológicas:

  • Control de acceso lógico (doble autenticación o Directorio Activo).
  • Seguridad en los equipos de cómputo y redes a través de cifrado de los datos y las comunicaciones.

Administrativas:

  • Adecuado proceso de contratación.
  • Asignación de permisos correctamente definida.
  • Capacitación y concientización sobre la importancia de la información.

Físicas:

  • Control del acceso físico a la información y otros activos.

Legales:

  • Controles enfocados al cumplimiento, a través de una correcta identificación de los requerimientos pertinentes según la actividad de la compañía. Por ejemplo, conocer normativas respecto a por cuánto tiempo se debe almacenar información contable o financiera.
  • Gestión de riesgos y gobierno de seguridad. Dependiendo del país o la empresa, hay normativas que exigen cumplir con ciertos marcos, por ejemplo, ver qué tan propensa es al fraude y los debidos controles para contrarrestarlo.

4. Desarrollo y aplicación de experiencia acumulada

Las prácticas implícitas en los estándares son el resultado de la experiencia de expertos en temas de seguridad, ya que se desarrollan a través de consensos de grupos conformados por representantes de la industria, ONGs, gobiernos y otras partes interesadas.

Por lo tanto, el beneficio del apego con estos documentos tiene como base el aprovechamiento del tiempo invertido con anterioridad por personas que se enfrentaron a situaciones similares, y facilita la búsqueda de soluciones a diversas dificultades. Por ejemplo, se cuenta con métodos desarrollados y probados para distintas actividades como la evaluación de riesgos o la respuesta a incidentes, por lo que resulta innecesario dedicar esfuerzos a crear nuevos paradigmas para tales actividades.

5. Creación de un marco de trabajo

La alineación con un estándar de seguridad permite el diseño, desarrollo y aplicación de un marco de trabajo o framework, que entre otras cosas, contribuye a estructurar y ordenar las actividades, documentos o controles de seguridad que se encuentren planeados o implementados dentro de una empresa.

En otras palabras, sirven como base en la cual se pueden organizar y priorizar todas aquellas actividades relacionadas con la seguridad de la información, que ya se encuentran en operación y aquéllas que todavía se encuentran en la fase de planeación. Además, se utilizan como referencia en caso de implementar otros controles de seguridad que aún no hayan sido considerados.

Otras consideraciones relacionadas con los estándares

Como hemos enlistado, la alineación con los estándares trae consigo beneficios dentro de las empresas, por lo que es conveniente colocar en la balanza si los esfuerzos y recursos necesarios pesan más que las ventajas que se obtendrían.

Además, la aplicación de estos estándares se debe llevar a cabo considerando las condiciones y necesidades propias de cada organización, a través de una adecuada adopción y adaptación. Es conveniente aplicarlas de una manera racional y consciente, sin llegar a considerarlas como la solución completa a los problemas.

Finalmente, también pueden ser utilizadas como punto de partida cuando se tiene alguna iniciativa, ya que representan la experiencia y conocimiento de otras personas que posiblemente se enfrentaron a resolver problemáticas similares cuando se plantearon como objetivo la protección de sus activos, principalmente la información.

gestion_respuesta_incidentes_academiaeset