Cada vez es más común que una organización decida iniciar un proyecto para implementar su Sistema para la Gestión de la Seguridad de la Información (SGSI), ya sea para formalizar lo que tiene o desarrollar algo desde cero, generalmente para cumplir alguna reglamentación, brindarle un valor agregado a sus clientes o porque la realidad competitiva de la organización la lleva a gestionar la seguridad de la información de su empresa de forma integral. Durante las primeras etapas surgen preguntas como: ¿cuál es el estándar que debería seguir?, ¿cuantos estándares existen?, ¿es necesario implementar más de uno?.
Antes de aventurarse a dar una respuesta a estas preguntas, es importante tener en cuenta que el objetivo de este sistema es garantizar la integridad, la confidencialidad y la disponibilidad de la información de la organización. Lograr este objetivo se fundamenta en una adecuada gestión de riesgos, que incluye la identificación y valoración de los riesgos y las medidas de control, preventivas y correctivas, sobre todos los medios a través de los cuales fluya la información (servidores, equipos de comunicación, aplicaciones, computadoras personales, personas, archivos físicos, etc ), los cuales se denominan activos de información.
Con el objetivo claro, es momento de pensar en estándares o guías que faciliten la implementación del sistema, para lo cual las preguntas iniciales podrían ser transformadas en una: ¿Cuál es el mejor estándar para mi empresa?. Aunque esta pregunta no tiene una respuesta única, pues esta asociada a la realidad de cada organización, es en este punto donde aparecen una gran cantidad de estándares, nombres, siglas y guías que de no tener cuidado convierten la búsqueda y elección en una tarea abrumadora. El estándar más general y completo para la gestión de la seguridad de la información es la familia ISO 27000, que incluye en sus dominios, entre otros, la gestión de activos, la seguridad asociada al recurso humano, la gestión de comunicaciones y operaciones, el control de acceso y la gestión de la continuidad del negocio, todo enmarcado en un ciclo PHVA (planear-hacer-verificar-actuar; en inglés se denomina PDCA, plan-do-check-act) que busca la mejora continua de los procesos, concepto introducido por Walter A. Shewhart y desarrollado por Edwards Deming como parte de la teoría del Total Quality Management (TQM). Otros estándares como Magerit, Marion, Mehari y Octave son más específicos, desarrollados para una región particular y para la gestión de riesgos de empresas con diferente naturaleza operativa. Suelen ser menos robustos y según el alcance que se le quiera dar al proyecto pueden ser una muy buena alternativa.
En este proceso de búsqueda, surgen otras opciones que si bien no son estándares para un sistema de este tipo son una gran herramienta para mejorar la gestión de las áreas de TI. Entre las más populares está CobiT, un marco de control para la gobernabilidad de TI que busca la gestión de procesos relacionados con tecnología de la información y su integración con el negocio. Otra opción es ITIL, un marco de servicios donde se recopilan las mejores prácticas para la gestión de servicios que tienen que ver con tecnologías de información. Tanto CobiT como ITIL no son estándares son marcos de trabajo (frameworks) que proveen al usuario mejores prácticas para la gestión de lo relacionado con TI, y como tales no deben aplicarse al pie de la letra, y sí adaptarse para cada situación. Además, se integran perfectamente con ISO 27000, ya que igualmente están concebidos sobre el ciclo PHVA, además se pueden mapear entre sí. COSO es otro modelo, que extiende el modelo de gestión de riesgos a un sistema de control interno que abarque la compañía desde su planteamiento estratégico hasta procesos de autoevaluación.
Es muy importante no perder de vista que cuando se habla de seguridad de la información no solamente se refiere a garantizar seguridad con equipos y aplicaciones, siendo esta una parte fundamental y prioritaria, sino que también el panorama se extiende para incluir al recurso humano y políticas claras que dirijan el accionar del sistema. Para conocer más sobre gestión de la seguridad puedes visitar el curso de Seguridad para PyMES disponible en la Plataforma Educativa de ESET Latinoamérica.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research