Claves de un SGSI desde la experiencia del día a día

Introducción

Seguro que alguna vez hemos oído decir que una empresa que tiene un SGSI (Sistema de Gestión de la Seguridad de la Información)certificado está “certificada en seguridad”.

Joseba Enjuto, Security Manager de Nextel S.A.

Joseba Enjuto, Security Manager de Nextel S.A.

Parece que tener el sello te librase de sufrir incidentes de seguridad, como si la certificación pudiera servir para garantizar que la organización es inexpugnable.

Alrededor de los SGSI se han creado una serie de mitos que creo que es necesario desmontar, sobre todo si no queremos que, una vez superado el “efecto certificación”, la decepción acabe instalándose en el ánimo de nuestros compañeros.

Al fin y al cabo, si algo hemos aprendido después de casi 5 años viviendo un SGSI es precisamente a ver la verdadera cara de la seguridad, la del día a día.

Compañero invisible

La buena seguridad es la que no se percibe. Las medidas de seguridad que realmente funcionan son las que se integran en el día a día, aquellas que usas sin darte cuenta de que están ahí. Deben ser los propios sistemas los que te “fuercen” a utilizar las medidas de seguridad apropiadas, porque con el paso del tiempo será más sencillo (y más cómodo) utilizarlas de forma natural que luchar contra ellas.

Tienen que ser los propios procesos los que integren las prácticas de seguridad necesarias, porque no hay mejor formación que actuar día tras día de acuerdo a las políticas establecidas.

La seguridad que acaba funcionando es aquella que trata de ser respetuosa con el día a día de las personas.

Si no pensamos en ellas terminaremos viendo cómo una silla estratégicamente colocada acaba echando por tierra el sofisticado
sistema de acceso biométrico que hemos instalado, simplemente por no tener en cuenta que esa puerta se atraviesa cincuenta veces al día.

Los problemas ocurren

Uno de los mitos más extendidos es que con el SGSI ya no vamos a tener incidentes de seguridad. ¿De verdad es posible no tenerlos? Todo el mundo trabaja con información, la genera, la transmite, la guarda,… ¿Con todo ese trasiego, alguien cree que es posible que no pase nada?

Incidentes de seguridad

Incidentes de seguridad

Los incidentes ocurren, y lo que persigue un SGSI es que seamos capaces de detectarlos y resolverlos.. Tan sencillo (y tan complicado) como que la gente no se calle los problemas de seguridad.

Sabemos que ocurren, pero si no los conocemos difícilmente los
resolveremos. No necesitamos una compleja herramienta para
gestionarlos, pero tendremos que ser capaces de dar soluciones que
realmente funcionen. ¿Nos vale con rebotar un servidor que se cae todos los días? Aunque tardemos un poco más, una buena gestión de la seguridad tendrá que ser capaz de atajar las causas de los incidentes… y así podremos ir mejorando poco a poco.

El arte de la gestión de riesgos

Hacer un análisis de riesgos no es extremadamente difícil. Seremos más o menos exhaustivos, un poco más académicos o un poco más pragmáticos, pero al final llegaremos a unos resultados concretos.

Y a partir de esos resultados tendremos que empezar a decidir. ¿Hasta dónde queremos llegar? ¿Cuál es el nivel de riesgo que estamos dispuestos a aceptar? Porque dos empresas certificadas en ISO 27001 no tienen por qué tener el mismo nivel de seguridad. De hecho, tener la certificación no garantiza que los niveles de riesgo de esa organización sean bajos, sólo que se han analizado y tratado hasta el punto que la empresa ha considerado apropiado, y que esa gestión de riesgos está dentro del programa de mejora continua.

¿Cuál es, entonces, el gestión de riesgos más claro de la beneficio? Sencillamente, tratar de conseguir que el beneficio que obtenga la organización a la hora de gestionar esos riesgos sea el máximo posible en términos de negocio.

Precisamente por eso unas empresas optarán por reforzar las medidas de seguridad mientras otras prefieran asumir el riesgo y evitar la inversión asociada, dado que en cada caso el beneficio para el negocio se valorará de forma diferente.

Hasta dónde llega

Uno de los aspectos clave a la hora de sacar rendimiento a un SGSI es su orientación al negocio.. Cuando más beneficios obtendremos de una mejor gestión de la seguridad es cuando apliquemos esa seguridad a nuestros procesos productivos, cuando los servicios prestados a nuestro clientes sean precisamente los que están cubiertos por nuestro SGSI.

Seguridad

Seguridad

El alcance de un SGSI es un factor clave a la hora de valorar sus beneficios reales, y deberíamos ser conscientes de que un SGSI centrado en el núcleo de nuestro negocio va a proporcionar mucho más valor añadido que otro que se oriente hacia procesos secundarios. Y este mismo principio no sólo es aplicable al alcance del SGSI, sino a las propias medidas de seguridad que se establezcan durante la gestión de riesgos: siempre será más beneficioso reforzar la seguridad en torno al núcleo de nuestro negocio que en entornos secundarios.

Sentido práctico

En definitiva, el día a día de la seguridad consiste en encontrar el
sentido práctico de lo que hacemos.

Para poder integrar las prácticas de seguridad en las actividades
cotidianas tenemos que hacer un ejercicio de pragmatismo y, dejando un poco de lado toda la teoría académica, ser capaces de aplicar pequeñas medidas pero muy focalizadas, de forma que tengan un impacto significativo en términos de seguridad global.

Al fin y al cabo, no tenemos que olvidar que el objetivo es que el negocio salga beneficiado, y no hay mayor satisfacción que ver cómo, día a día, nuestra seguridad es un poco mejor, un poco más eficaz y un poco más rentable.

Recortes de prensa:

a+ / Octubre de 2008

a+ / Octubre de 2008

Share

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Captcha *