Uno de los mayores desafíos de las empresas actuales (independientemente de su tamaño o sector de actividad) es la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI´s) que garanticen que el principal activo de cualquier empresa, la información, se encuentre protegida y a salvo de terceros malintencionados.
Las redes de trabajo de las organizaciones, y en consecuencia, la información almacenada en ellas, se están viendo afectadas por amenazas de seguridad, ataques y fraudes informáticos, problemas de sabotajes, virus informáticos así como otro tipo de imprevistos y catástrofes mayores, que muchas veces suponen un gran obstáculo para la continuidad del negocio cuando no se tienen previstas medidas que permitan la recuperación o reparación de la información afectada, es decir, un buen Sistema de Gestión de Seguridad de la Información.
Para la implantación de un Sistema de Gestión de la Seguridad de la Información eficaz en las empresas, es imprescindible la interrelación de varios factores: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.
Igualmente, se han desarrollado Normas de Estandarización a nivel internacional para la certificación de Sistemas de Gestión de la Seguridad de la Información (ISO 27001, ISO/IEC 17799, etc.), que permitirán a la empresa, no sólo garantizar que ante eventuales riesgos presentes o futuros tiene implantado un Sistema de Gestión de la Seguridad para la protección de su Información, sino ofrecer una imagen de calidad y solidez a su mercado.
1.¿Cuáles son los Conceptos Básicos de la Seguridad de la Información?
En la Seguridad de la Información hay tres conceptos básicos que coinciden en parte con los conceptos básicos de una normativa más conocida por todos como es la Protección de Datos de Carácter Personal (Guía Práctica de Adaptación a la LOPD): Disponibilidad, Confidencialidad e Integridad.
1.- Disponibilidad. La información es el principal activo de negocio de cualquier compañía (datos personales de clientes, proveedores, etc..., Know How de la compañía, métodos de trabajo, etc...), y como tal, ha de estar disponible a los usuarios autorizados que por razón de su puesto y funciones hallan de acceder a la misma.
2.- Confidencialidad. La información corporativa sólo debe estar accesible al personal autorizado. Será personal autorizado el que por razón de su cargo y funciones deba acceder a la misma; el personal autorizado deberá tener, además, firmado un acuerdo de confidencialidad con la empresa (La importancia de la Protección de la Información Corporativa. Los Pactos o Acuerdos de Confidencialidad). Igualmente, para salvaguardar la confidencialidad, es necesario tener implantadas medidas de seguridad técnicas que eviten el acceso y utilización de la misma por terceros no autorizados.
3.- Integridad. Que la información de la empresa sea y permanezca íntegra, confiable y completa es algo fundamental, por ello es imprescindible contar con medidas de seguridad técnicas y organizativas que impidan la pérdida de cualquier clase de información. |
2. ¿Cómo conseguir un nivel óptimo de seguridad y protección de la información en la empresa?
Para conseguir un nivel óptimo de protección de la información en la empresa, no basta con instalar un firewall o la contratación de empresas especializadas en seguridad de la información, es necesaria la integración de los distintos factores comentados en el comienzo del presente artículo: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.
La integración de todos estos factores se consigue a través de un SGSI (Sistema de Gestión de Seguridad de la Información), que deberá incluir un método de evaluación, medidas de protección, proceso de documentación y de revisión.
Las fases de implantación de un completo SGSI son las siguientes:
-PLANIFICAR En esta fase se analizará el entorno de actividad de la compañía, Su dimensionamiento, la información tratada por la misma, las directivas corporativas establecidas y los requisitos legales aplicables a cada compañía. Durante esta etapa la empresa deberá diseñar un procedimiento formal para la continua identificación y evaluación de los riesgos y la selección de los objetivos de control, así como los controles que le permitan gestionar estos riesgos.
-IMPLEMENTAR En esta fase habrá que centrarse en el desarrollo e implementación de un plan efectivo a medio y largo plazo que evite o atenúe los posibles riesgos para la seguridad de la información. En esta fase, se iniciará también la formación e información del personal de la empresa, de forma que se garantice la correcta implementación del SGSI.
-REVISAR (Check) La implantación de un SGSI exige el seguimiento y revisión de los controles y medidas implantadas. Por ello es imprescindible, la realización de auditorias tanto internas como externas que revisen la eficacia y eficiencia del SGSI, y que identifiquen los posibles riesgos, vulnerabilidades y debilidades del sistema.
-ACTUAR La implantación de un SGSI exige actuar, mantener y mejorar constantemente el SGSI. Cuando en la revisión (check) del SGSI se hallan detectado vulnerabilidades, riesgos o debilidades, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información de la empresa.
3. Y de cara al mercado, ¿cómo garantizo que tengo implantado un SGSI que refuerce mi imagen de marca y proteja mi negocio? La certificación.
Existen diversas normas a nivel internacional que exigen la implantación en las empresas de Sistemas de Seguridad de la Información, entre estas normas podemos encontrar las siguientes:
-ISO 27000/27001/27002
-BS 7799
-BS 15000
Por: María González Moreno |
