Dar cumplimiento a los procedimientos internos para resguardar la Tecnología de la Información en el seno de la empresa es un elemento vital. Los Sistema de Gestión de la Seguridad de la Información, se encuentran en constante mutación, mejorando los procesos de manera notoria, esto en respuesta a los –lamentables- avances en los ataques a los sistemas de Tecnología de la Información y la Comunicación (TIC).
Esto se traduce en fraudes, robos, espionaje, vandalismo cibernético, virus informáticos, pérdida de información, secuestro informático, hackeo, etc.
A esto debemos sumar la vulnerabilidad interna (intraorganización), elemento no menor que está muy presente. Un hecho importante, que podríamos resaltar, fue la reciente fuga de datos de la empresa Yahoo, con lo que se filtró información de más de 6 millones de cuentas de personas a nivel mundial.
Ahora bien, el conjuntos de estándares desarrollados –y en desarrollo- por ISO/IEC 27000 ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), proporcionan una determinación de canales regulares para resguardar la Tecnología de Información, por parte de cualquier empresa a nivel mundial.
Por ello es importante la implementación de un director de seguridad de la información –CISO- por sus siglas en inglés (chief information security officer), para cumplir a cabalidad las gestiones de riesgo, ataque, configuración de procesos, de las normas de seguridad de la Tecnología de Información, mínima existente en la organización.
El propósito de un Sistema de Gestión de la Seguridad de la Información, intenta garantizar los riegos y detección a tiempo de la vulnerabilidad de los sistemas de Seguridad de la Información; para que sean asumidos, gestionados o neutralizados.
Pues bien, la Seguridad de la Información de una organización está compuesta por tres pilares fundamentales: confidencialidad, integridad y disponibilidad. Estos tres puntos son vitales y fundamentales para resguardar la información, entendida como todo el sistema de datos, que aportan valor a una organización. Por ejemplo, para una organización bancaria, es importante la confidencialidad, integridad y disponibilidad, de los datos de cada uno de sus clientes; estaríamos hablando entonces de saldos bancarios, créditos, cuentas, transacciones, en fin, dinero.
El Sistema de Gestión de la Seguridad, ayuda a establecer las políticas y procedimientos en correspondencia a los objetivos de negocio de la organización, a fin de mantener siempre un nivel de vulnerabilidad inferior a los niveles de ataque. Es decir, volviendo al ejemplo bancario, el objetivo principal es la fuga de capitales, por ello el necesario cumplimiento de la confidencialidad de claves y afines.
La norma ISO 27001, posee cuatro ámbitos definidos en:
- Manual de seguridad: El documento encargado de direccionar todo el sistema se seguridad aplicado en la organización, para el resguardo de la Tecnología de Información.
- Procedimientos: Aseguran la eficiencia, la planificación, operación y control del proceso de seguridad para información.
- Instrucciones, checklist y formularios: Descripción de las tareas y procedimientos afines, para el cumplimiento de la seguridad de la información.
- Registros: El la evidencia objetiva del cumplimiento de la seguridad de la información
Ahora bien, para establecer un Sistema de Gestión de la Seguridad de la Información en la organización, es recomendable seguir un ciclo continuo de PDCA –Plan, Do, Check, Act- conocido en español como Planificar, Hacer, Verificar, Actuar.
(P) – Plan = Planificar: En esta etapa se define el de Gestión de la Seguridad de la Información en correspondencia a las características propias de la organización y los requerimientos. Es importante definir los objetivos de seguridad de la información que se desean abarcar. O mejor dicho, qué espacio informativo desea blindarse con mayor correspondencia. También se plantea el procedimiento evaluativo de los riesgos.
(D) – Do = Hacer: Definir el método de atención de riesgos, posterior implementación en el tratamiento, puesta en marcha de los controles, definir un sistema de medición (métricas) para evaluar los resultados y crear comparaciones, localización y acción a los inconvenientes en materia de seguridad informática.
(C) – Check = Verificar: En este etapa se monitorea y se revisan los aciertos, errores y resultados en el procesamiento informativo. Señalamiento de los incidentes en la seguridad de la Tecnología de la Información, determinación de la eficacia de los procesos. Revisar si el documento del Manual de Seguridad fue cumplido a cabalidad.
(A)- Act =Actuar: La organización deberá mantener y dar cambios al Sistema de Gestión de la Seguridad de la Información, como todo un proceso cíclico, que se renueva cada vez; esto en correspondencia a los datos obtenidos del proceso cumplido. Es necesario realizar las acciones preventivas de ataque, para que los procesos sean cada vez más efectivos, a medida que la seguridad de la información va avanzando.
Un elemento importante en la aplicación de un Sistema de Gestión de la Seguridad de la Información, reside en la dirección, debe entenderse desde un inicio, cómo los aciertos y errores en materia informativa pueden potenciar o diezmar los objetivos de negocio planteados. Hacknoid, procura la atención de los procesos de seguridad informativa, de manera automatizada; previendo el tiempo que conlleva un ciclo PDCA para cada organización, en crecimiento, que seguro plantea respuestas a sus vulnerabilidades en el menor tiempo posible. El CISO requiere apoyos en su gestión, que potencien sus capacidades, www.hacknoid.com entiende que el Sistema de Gestión de la Seguridad de la Información de su organización no es un requerimiento menor, sino más bien, los riesgos e impactos directos de negocio, que pueden ser fácilmente neutralización con la aplicación de las normas básicas.
