No hay duda. Cada proceso tecnológico de una compañía está expuesto a amenazas de seguridad y privacidad. Es cierto que las tecnologías más sofisticadas son capaces de combatir ciberataques, pero esto no resulta suficiente; por ello, las organizaciones deben instaurar políticas que minimicen aún más estos riesgos. Y aquí es donde el Sistema de Gestión de la Seguridad de la Información (ISMS por sus siglas en inglés) adquiere un papel muy importante.

¿De qué se trata un Sistema de Gestión de Seguridad de la Información?

Se trata de un marco de políticas y controles que administra sistemáticamente los riesgos a través de toda la empresa. Estos controles de seguridad pueden seguir estándares muy comunes o estar más enfocados en una industria en específico.

Por ejemplo, la norma ISO 27001 es un conjunto de especificaciones que detallan cómo crear, gestionar e implementar políticas SGSI. Y aunque no establece acciones específicas, sí provee una línea de trabajo para desarrollar estrategias adecuadas.

Objetivo: Protección de la confidencialidad, integridad y disponibilidad de la información.

El marco de referencia del SGSI usualmente está enfocado en la evaluación y administración de riesgos. Las organizaciones que operan en industrias sumamente reguladas, como salud y defensa nacional, requieren un alcance más amplio en cuanto a sus actividades de seguridad y su estrategia de mitigación.

¿Cómo se implementa un SGSI?

Según ISO 27001, el SGSI se implementa siguiendo el modelo PHVA (Planear-Hacer-Verificar-Actuar) para la mejora continua de los procesos:

1. Planear: identificar el problema y recolectar información útil para evaluar los riesgos de seguridad. Definir las políticas y procesos que puedan ser usados para atender la causa raíz del problema. Desarrolla métodos para establecer una mejora continua en las capacidades de gestión de la seguridad de la información.
2. Hacer: implementar las políticas y procedimientos ya ideados. La implementación sigue los estándares ISO, aunque también se basa en los recursos disponibles en la compañía.
3. Verificar: monitorear la efectividad de las políticas y controles del SGSI. Evaluar los resultados tangibles, así como los aspectos de comportamientos asociados con los procesos del sistema.
4. Actuar: enfocarse en la mejora continua. Documentar los resultados, compartir el conocimiento y usar el ciclo de retroalimentación para lidiar con la implementación de las políticas y controles del SGSI a través del modelo PHVA.

También lee: Las ventajas y desventajas de una política BYOD

Beneficios de un SGSI

• Asegura la información en todas sus formas, sin importar que se encuentre en formato físico o en la nube.

• Incrementa la resiliencia ante ciberataques gracias la implementación y mantenimiento del sistema.

• Gestiona toda la información a través de un marco central para mantener segura y en un solo lugar la información de una compañía.

• Responde ante distintas amenazas adaptándose a los cambios del entorno y dentro de una organización. El SGSI protege contra los riesgos en constante evolución.

• Reduce costos asociados con la seguridad de la información gracias a la evaluación de riesgos y el acercamiento analítico. Los gastos asociados con la adición indiscriminada de capas de tecnología defensiva ya no son necesarios.

• Protege la confidencialidad, disponibilidad e integridad de los datos por medio de un conjunto de prácticas procedimientos y controles físicos y técnicos que garantizan lo anterior.

• Mejora la cultura corporativa, pues el acercamiento holístico del SGSI cubre toda la organización, no solo TI. Esto permite que los colaboradores entiendan los riesgos y adopten los controles de seguridad como parte de su día a día.

También lee: Qué es la seguridad por capas y cómo se compone

Si te interesa conocer las herramientas que puedes implementar para fortalecer tu estrategia de seguridad actual y además alinearte a las mejores prácticas de un Sistema de Gestión, en icorp podemos ayudarte.

Fuentes: IT Governance UK, BMC, ISMS.online