Cada día son más las amenazas y variantes de ataques que pueden poner en riesgo la información de la organización, así como a los sistemas utilizados para su tratamiento. Este escenario nos obliga a contar con un sistema que nos permita gestionar estos riesgos de una forma controlada, para garantizar que se están protegiendo correctamente los activos de la organización, se están detectando los ataques que se reciben y se cuenta con un plan de respuesta a incidentes para dar respuesta rápida y eficaz a posibles problemas de seguridad. Todos estos aspectos, y muchos más, conforman un Sistema de Gestión de Seguridad de la Información (SGSI).

No contar con un SGSI aumenta el riesgo de incidentes de seguridad que pueden tener las siguientes consecuencias:

• Posibles pérdidas financieras
• Reducción de productividad
• Daños a la reputación de la organización
• Pérdida de oportunidad y competitividad en mercado
• Penalizaciones económicas por incumplimiento de legislación vigente (RGPD, Reglamento General de Protección de Datos)

La implantación de un SGSI, al igual que ocurre con otros sistemas de gestión como el de calidad, es una decisión estratégica para la organización que persigue el objetivo principal de garantizar las tres dimensiones básicas de la seguridad; Confidencialidad, Integridad y Disponibilidad. Este sistema siempre estará apoyado por un proceso continuo de Gestión de Riesgos para asegurar el tratamiento adecuado de los riesgos identificados y estará integrado con el resto de los procesos de la organización para ayudar a la consecución de objetivos del negocio.

Un SGSI se podría tomar un modelo para crear, implementar, supervisar, revisar, mantener y mejorar la protección de los activos de información de la organización. La base o referencia de este sistema siempre será la Política de Seguridad de la Información, donde la organización plasmará su contexto, los requisitos de seguridad y la estrategia para la consecución de los objetivos. El sistema estará basado en una evaluación continua de los riesgos que permita una gestión eficaz y eficiente de los mismos, e incluye el liderazgo, estructura organizativa, políticas, planificación, roles, responsabilidades, procedimientos, recursos y procesos para una exitosa implementación del sistema.

El éxito de esa implementación dependerá del grado de entendimiento que se tiene de la organización, de su contexto (legal, político, geográfico, etc.) y de los requisitos de seguridad, tanto por cumplimiento legislativo o normativo, como las propias necesidades de las partes interesadas como pueden ser los empleados, clientes, proveedores o inversores. Así mismo, es fundamental contar en todo momento con el liderazgo, supervisión y soporte de la Dirección para garantizar el buen funcionamiento del sistema y detectar oportunidades de mejora, con la aplicación del Ciclo de Deming (PDCA, Plan-Do-Check-Act).

El sistema garantizará que la seguridad se incorpora como un elemento esencial de las redes y sistemas de información intentando implantar en la organización la cultura de Security By Design (seguridad por diseño), sin olvidarnos del desarrollo seguro del software, que encajaría perfectamente en esta cultura preventiva. A pesar de las medidas de seguridad implantadas, es muy probable que la organización sufra algún incidente de seguridad, por lo que el sistema tendrá que incluir un plan de respuesta ante incidentes que permita un tratamiento eficaz y eficiente de los mismos.

Y por último, y no menos importante, la formación y concienciación en materia de seguridad de la información. Hay que formar a las partes interesadas en identificar y detectar posibles amenazas para prevenir su materialización que pongan en riesgo la seguridad de la información o de los recursos de tratamiento de ésta.

Estos son algunos de los motivos del por qué de la implementación de un Sistema de Gestión de Seguridad de la Información en la organización. En próximos artículos hablaremos de la Norma ISO/IEC 27001 que especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un SGSI.