Uno de los mayores desafíos de las empresas actuales (independientemente de su tamaño o sector de actividad) es la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI´s) que garanticen que el principal activo de cualquier empresa, la INFORMACIÓN, se encuentre protegida y a salvo de terceros malintencionados.
Las redes de trabajo de las organizaciones, y en consecuencia, la información almacenada en ellas, se están viendo afectadas por amenazas de seguridad, ataques y fraudes informáticos, problemas de sabotajes, virus informáticos así como otro tipo de imprevistos y catástrofes mayores, que muchas veces suponen un gran obstáculo para la continuidad del negocio cuando no se tienen previstas medidas que permitan la recuperación o reparación de la información afectada, es decir, un buen Sistema de Gestión de Seguridad de la Información.
Para la implantación de un Sistema de Gestión de la Seguridad de la Información eficaz en las empresas, es imprescindible la interrelación de varios factores: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.
Igualmente, se han desarrollado Normas de Estandarización a nivel internacional para la certificación de Sistemas de Gestión de la Seguridad de la Información (ISO 27001, ISO/IEC 17799, etc...), que permitirán a la empresa, no sólo garantizar que ante eventuales riesgos presentes o futuros tiene implantado un Sistema de Gestión de la Seguridad para la protección de su Información, sino ofrecer una imagen de calidad y solidez a su mercado.
1. ¿Cuáles son los Conceptos Básicos de la Seguridad de la Información?
En la Seguridad de la Información hay tres conceptos básicos que coinciden en parte con los conceptos básicos de una normativa más conocida por todos como es la Protección de Datos de Carácter Personal (Guía Práctica de Adaptación a la LOPD http://www.microsoft.com/spain/empresas/guias/lopd/home.mspx): Disponibilidad, Confidencialidad e Integridad.
1.- Disponibilidad: La información es el principal activo de negocio de cualquier compañía (datos personales de clientes, proveedores, etc..., Know How de la compañía, métodos de trabajo, etc...), y como tal, ha de estar disponible a los usuarios autorizados que por razón de su puesto y funciones hallan de acceder a la misma.
2.- Confidencialidad: La información corporativa sólo debe estar accesible al personal autorizado. Será personal autorizado el que por razón de su cargo y funciones deba acceder a la misma; el personal autorizado deberá tener, además, firmado un acuerdo de confidencialidad con la empresa (La importancia de la Protección de la Información Corporativa. Los Pactos o Acuerdos de Confidencialidad. http://www.microsoft.com/spain/empresas/legal/informacion_confidencial.mspx ). Igualmente, para salvaguardar la confidencialidad, es necesario tener implantadas medidas de seguridad técnicas que eviten el acceso y utilización de la misma por terceros no autorizados.
3.- Integridad: Que la información de la empresa sea y permanezca íntegra, confiable y completa es algo fundamental, por ello es imprescindible contar con medidas de seguridad técnicas y organizativas que impidan la pérdida de cualquier clase de información.
2. ¿Cómo conseguir un nivel óptimo de seguridad y protección de la información en la empresa?
Para conseguir un nivel óptimo de protección de la información en la empresa, no basta con instalar un firewall o la contratación de empresas especializadas en seguridad de la información, es necesaria la integración de los distintos factores comentados en el comienzo del presente artículo: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.
La integración de todos estos factores se consigue a través de un SGSI (Sistema de Gestión de Seguridad de la Información), que deberá incluir un método de evaluación, medidas de protección, proceso de documentación y de revisión.
Las fases de implantación de un completo SGSI son las siguientes:
- PLANIFICAR: En esta fase se analizará el entorno de actividad de la compañía, Su dimensionamiento, la información tratada por la misma, las directivas corporativas establecidas y los requisitos legales aplicables a cada compañía. Durante esta etapa la empresa deberá diseñar un procedimiento formal para la continua identificación y evaluación de los riesgos y la selección de los objetivos de control, así como los controles que le permitan gestionar estos riesgos.
- IMPLEMENTAR: En esta fase habrá que centrarse en el desarrollo e implementación de un plan efectivo a medio y largo plazo que evite o atenúe los posibles riesgos para la seguridad de la información. En esta fase, se iniciará también la formación e información del personal de la empresa, de forma que se garantice la correcta implementación del SGSI.
- REVISAR (Check): La implantación de un SGSI exige el seguimiento y revisión de los controles y medidas implantadas. Por ello es imprescindible, la realización de auditorias tanto internas como externas que revisen la eficacia y eficiencia del SGSI, y que identifiquen los posibles riesgos, vulnerabilidades y debilidades del sistema.
- ACTUAR: La implantación de un SGSI exige actuar, mantener y mejorar constantemente el SGSI. Cuando en la revisión (check) del SGSI se hallan detectado vulnerabilidades, riesgos o debilidades, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información de la empresa.
3. Y de cara al mercado, ¿cómo garantizo que tengo implantado un SGSI que refuerce mi imagen de marca y proteja mi negocio? La certificación.
Existen diversas normas a nivel nacional e internacional que exigen la implantación en las empresas de Sistemas de Seguridad de la Información, entre estas normas podemos encontrar las siguientes:
- Normativa sobre Protección de Datos Nacionales, Comunitarias e Internacionales.
- UNE 71502
- ISO/IEC 17799
- BS 7799
- BS 15000
No obstante, el 2006 va a ser el año de la Seguridad de la Información, ya que acaba de aprobarse una nueva Norma de Estandarización a nivel internacional y certificable, basada exclusivamente en los Sistemas de Gestión de Seguridad de la Información (SGSI´s), la norma ISO 27001 “Tecnologías de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.”
A esta norma, le seguirá la publicación durante el año 2006 de la ISO 27002 o “Código de Práctica de Sistemas de Gestión de Seguridad de la Información”, y la ISO 27004 de “Métricas y Medidas del Sistema de Gestión de Seguridad de la Información”.
Ya existen compañías en España que cuentan con la formación y acreditación suficiente en la norma ISO 27001 (como por ejemplo SGS, www.sgs.es) que les permiten auditar y certificar a las empresas a nivel mundial en Sistemas de Gestión de Seguridad de la Información, que proporcionarán a las compañías no sólo la tranquilidad de tener implantado un sistema eficaz de gestión de la seguridad de la información de la compañía, sino ofrecer al mercado una imagen de solidez y compromiso hacia la seguridad muy importante.
---------
MANACA CONSULTING, S.L. quiere potenciar la aplicación e implementación de Sistemas de Seguridad de la Información en las empresas, motivo por el cual, ha establecido un Acuerdo de Colaboración con la compañía SGS ICS, especializada en la certificación en Sistemas de Seguridad de la Información a través de la norma ISO 27001 (basada en la norma BS 7799-2:2002).
A continuación les facilitamos enlace a un documento elaborado por SGS ICS consistente en una comparativa de ambas normas; la ISO 27001 y la BS 7799-2:2002 (en Inglés). Descargar archivo.
Si desea ampliar la información sobre la Norma ISO 27001 puede ponerse en contacto con nosotros a través del correo electrónico: iso27001@manacaconsulting.net
© Manaca Consulting, S.L. 2006. Todos los derechos reservados.
|
