En lo que respecta a la seguridad de la información, uno de los aspectos más importantes es comprender que esta debe ser gestionada, especialmente cuando se trata de proteger redes corporativas. Sobre este aspecto, aprovechamos la oportunidad para compartir con ustedes un concepto muy importante: Sistema de Gestión de la Seguridad de la Información (SGSI).
Un SGSI es, tal como su nombre lo indica, un elemento para administración relacionado con la seguridad de la información, aspecto fundamental de cualquier empresa. Un SGSI implica crear un plan de diseño, implementación, y mantenimiento de una serie de procesos que permitan gestionar de manera eficiente la información, para asegurar la integridad, confidencialidad y disponibilidad de la información.
Toda organización tiene objetivos, por lo general relacionados con el mercado y los negocios, y requiere que desde los procesos de operaciones hasta las políticas de uso de recursos, sean definidos a un nivel general, de manera confiable. Si bien gran parte de la información se vincula con computadoras y redes, hay otra parte que no se representa en forma de bits, sino por ejemplo en papeles, en la memoria de las personas, en el conocimiento y experiencia de la organización misma, en la madurez de sus procesos, etc. En ambos casos, la información debe ser protegida de manera diferente, y aquí entra en juego un SGSI.
Por lo general es posible disminuir el impacto de los riesgos potenciales sin necesidad de grandes cambios, pero a la vez es necesaria la planificación e implantación de ciertos controles basados en un cuidadoso análisis de riesgo. Un SGSI ayuda a mantener este riesgo por debajo del nivel aceptable que se haya determinado a nivel directivo.
Muchas organizaciones creen que implementar un SGSI es demasiado esfuerzo, y está solo destinado a grandes corporaciones, lo que a veces termina derivando en un manejo caótico o muy minimalista de la administración de la seguridad. Sin embargo es posible en algunos casos aplicar unos pocos principios, en lugar de un SGSI completo, para conseguir mejoras significativas. Para esto será necesario olvidar las formalidades del cumplimiento de una norma, pero sin dejar de seguir sus lineamientos principales.
Desde el punto de vista de la alta gerencia, un SGSI permite obtener una visión global del estado de los sistemas de información sin caer en detalles técnicos, además de poder observar las medidas de seguridad aplicadas y los resultados obtenidos, para poder con todos estos elementos tomar mejores decisiones estratégicas. Otro punto importante es que un SGSI debe estar documentado y ser conocido a distintos niveles por todo el personal, y estar incluido en un proceso global que permita la mejora continua. Finalmente, no está de más considerar la norma ISO 27001, que especifica los requisitos necesarios para establecer para certificar un SGSI, aunque es posible también basarse en otros estándares como ISM3.
En conclusión, un SGSI debe ser considerado a la hora de administrar la seguridad en una organización, en especial cuando la estructura cuenta con un alto nivel de complejidad, para conseguir así una mayor eficiencia y garantía en la protección de sus activos de información.
Pueden aprender más sobre gestión en el Curso de Seguridad para PyMEs disponible en la Plataforma Educativa de ESET Latinoamérica.
Federico Pacheco
Education & Research Manager