5 errores en el sistema de gestión SGSI,

 

…que nunca debes cometer.

 

Una organización logrará la certificación bajo ISO 27001  cuando crea en la necesidad de gestionar bien la seguridad de la información.

 

Entonces, ¿cuándo fracasa un sistema de gestión?.

 

A continuación, vamos a identificar cuáles son los 5 errores en el sistema de gestión y por qué falla un SGSI basado en ISO 27001 en algunas empresas.

 

  1. La dirección no apoya los objetivos de seguridad:

 

Los objetivos de seguridad deben ser proporcionados por la Dirección para decidir en función del negocio, de los activos a proteger y de los riesgos a gestionar. ¿Quién mejor si no para ello?

 

  1. El análisis de riesgos no se integra en la empresa como un proceso más:

 

El núcleo del SGSI es el análisis de riesgos.

 

Consiste en un conjunto de tareas para identificar la situación actual, el punto de partida y confirmar los objetivos a alcanzar.

  1. Se escoge un modelo complejo de análisis de riesgos:

 

Una vez aprendidos los conceptos durante el desarrollo del proyecto, la empresa debe elegir una herramienta cómoda, ágil y adaptada a sus necesidades para realizar el proceso de mejora continua.

 

Si es complicado, no se medirá o la medición será muy costosa.

 

  1. El nivel de madurez en seguridad es… bajo

 

Tener como objetivo la certificación y el sello de la ISO 27001, está muy bien, pero no se obtiene a cambio de nada.

 

El SGSI está centrado en la gestión de riesgos, tomando la decisión más adecuada para evitar, desde la prevención, que las amenazas dañen los activos críticos para el negocio.

 

Las medidas de seguridad, desplegar los controles y comprobar los riesgos, requieren monitorización frecuente para corregir los errores y mejorar el funcionamiento.

 

Por ello vigilar el funcionamiento del sistema, también forma parte del sistema.

 

La empresa debe adquirir el nivel de madurez que la gestión de los riesgos requiere.

 

  1. La seguridad no se mide y no se mejora:

 

Como es aquella famosa frase, si no puedes medirlo, no puedes mejorarlo.

 

Con la medición obtenemos una fuente de información muy valiosa, aquella que nos muestra si son correctas las medidas de seguridad aplicadas.

 

Son esenciales los indicadores, junto con los registros y logs que aportan información acerca del funcionamiento del sistema de gestión.

 

  1. El plan de formación no existe

 

Para que un SGSI funcione correctamente, todas las personas de la empresa, sin exclusión, deben formar parte del plan de formación en ciberseguridad y seguridad de la información.

 

Con formación a medida, adaptada a cada departamento, según los activos  de información y, sobre todo, con objetivos medibles.

 

 

Cuando una empresa se certifica en ISO 9001, se esfuerza por lograr la «calidad de sus servicios/productos».

 

Puede que, si no consigue su objetivo, los resultados de la empresa no aumenten y es posible reducir la satisfacción de los clientes.

 

Para evitar que impactos, los errores de calidad son detectados, identificados y modificados de forma rápida.

 

Cuando una empresa quiere obtener la certificación en ISO 27001 sus esfuerzos se concentran en conseguir la «seguridad de la información» de sus procesos y evitar que el impacto de una  amenaza provoque daños inaceptables en los activos de la organización.