Hasta ahora lo más común ha sido ir parcheando los agujeros de seguridad con medidas puntuales, descoordinadas y poco proporcionadas al riesgo que reducen. Se trata de medidas cuya implantación y efectividad no son llevadas a cabo y controladas de manera planificada. El resultado es obvio, se siguen manteniendo altos niveles de riesgo frente a las amenazas.
Todos estos incidentes que amenazan la seguridad de la información requieren, cada dÍa más, de sistemas de gestión acordes con el valor de la propia información y de los sistemas informáticos que los tratan. Las directrices, procedimientos y controles de seguridad que se utilizan para gestionar esta seguridad es lo que conocemos por Sistema de Gestión de Seguridad de la Información o SGSI.
De una manera más estricta, un Sistema de Gestión de Seguridad de la Información es aquella parte del sistema general de gestión de una organización que comprende:
- la política.
- la estructura organizativa.
- los procedimientos.
- los procesos y
- los recursos necesarios,
para implantar la gestión de la seguridad de la información.
Con un sistema de gestión de seguridad de la información nos aseguraremos de cubrir todos los aspectos de seguridad tomando medidas encaminadas a reducir paulatinamente los riesgos a los que la organización se enfrente.
A pesar de lo que puede parecer en un principio, la definición e implantación de un SGSI no deberÍa ser ni un coste ni un esfuerzo relevantes, máxime teniendo en cuenta los beneficios que conlleva. Un SGSI debe ajustarse tanto a los requisitos del negocio como a los recursos disponibles y debe solucionar los problemas que tiene planteados el negocio pero siempre dentro de lo razonable en cuanto a esfuerzos y costes.
Como cualquier sistema de gestión, el SGSI debe ayudar a conseguir los objetivos de la organización, no convertirse en un impedimento para ello.
Un SGSI contiene en primer lugar, las pautas que se van a seguir en la organización para garantizar la seguridad de la información y las responsabilidades de cada cual al respecto.
El SGSI recoge los objetivos que se pretenden obtener y los medios con que se va a contar para ello. Para determinar ambas cosas, se realiza un análisis de riesgos que da la medida de hasta qué punto los activos están expuestos a que les ocurran fallos de seguridad y cuál serÍa el impacto en caso de que lleguen a ocurrir.
Con esa información se establece el punto de partida, cual es el estado en el que está la seguridad y se decide cual se pretende conseguir, así como cual es el objetivo para un periodo de tiempo determinado. A partir de ahÍ, se deciden las acciones a tomar para reducir esos riesgos al nivel que se decidido que sea el objetivo. Por ejemplo, si se ha averiguado que un determinado servidor es un activo expuesto a un gran riesgo y debe estar funcionando 24 horas al dÍa, para reducir el riesgo de que se pare, puede ser necesario instalar un SAI o incluso una lÍnea alternativa de suministro eléctrico, realizar un mantenimiento exhaustivo mensual, instalar un equipo duplicado de manera que si falla uno el otro siga funcionando, etc.
Las acciones que se tomen deben documentarse dentro del SGSI, mediante procedimientos y planes para su ejecución.
Por tanto definiremos un Sistema de Gestión de Seguridad de la información (SGSI) como la manera en la que una organización conoce losriesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
0 comentarios:
Publicar un comentario