Seguridad de la información fácil y bien, sí, es posible.

 

Por supuesto, uno de los principales argumentos para conseguir la certificación en ISO 27001,  es la recompensa por el trabajo bien hecho en cuestiones de seguridad de la información.

Pero se sigue detectando conseguir etiquetas de certificación sin disponer de una auténtica cultura de la seguridad de la información en la empresa.

Aquí vamos a ver cuál es la clave para desarrollar un SGSI fácil y bien.

 

O lo que es lo mismo, las 5 palabras de seguridad de la información:

 

  1. Definir el alcance y el objetivo del SGSI

Todas las empresas tienen un objetivo de seguridad de la información a conseguir.

Bien sea por necesidades legales o bien por la solicitud de un cliente.

Decidir el alcance de la seguridad de la información por dónde empezar y cuál es el objetivo a conseguir son el punto de partida del éxito del proyecto.

  1. Analizar los riesgos:

Todavía hoy hay quien decide empezar con un sistema de gestión de la seguridad de la información, sin hacer un análisis de riesgos previo.

¿Dudas?, puede parecer increíble, pero es cierto.

El análisis de riesgos es el núcleo del SGSI.

Es de gran utilidad para identificar cuáles son las amenazas que pueden impactar sobre los activos de la empresa.

Permite conocer qué tiene valor para la organización y así saber cuáles son las prioridades de protección de los activos.

Con un buen análisis de riesgos, conseguimos identificar el daño que las amenazas podrían provocar en la empresa, si llegan a ocurrir.

Por supuesto, saber las vulnerabilidades de los activos, las medidas de seguridad existentes,  la probabilidad de que ocurran las amenazas y el riesgo a los que se exponen los activos, es el resultado de un buen análisis de riesgos.

  1. Planificar cómo tratar los riesgos

Cuando ya sabemos los riesgos a los que se enfrentan los activos críticos, llega el momento de crear un plan para gestionar estos riesgos.

Aquí y ahora es cuando necesitamos elaborar un plan para prevenir el impacto que las amenazas tendrían sobre los activos.

El plan necesita disponer de los recursos necesarios para su efectividad.

La dirección es quien debe asignar todos aquellos recursos.

Tanto elementos técnicos, legales y organizativos necesarios para el buen funcionamiento del SGSI y evitar daños a los activos.

  1. Monitorizar el sistema de seguridad de la información

Con el sistema de seguridad de la información en funcionamiento, la mejora continua empieza a girar.

Monitorizar el resultado de las medidas de seguridad, detectar los fallos del sistema y realizar acciones correctoras forman parte del proceso de mejora y mantenimiento del SGSI.

Ahora es el momento de valorar los resultados obtenidos según los objetivos iniciales y solucionar las desviaciones localizadas en el día a día.

  1. Formar al personal

El sistema de gestión de la seguridad de la información, en una fase inicial, requiere un plan de comunicación a las partes interesadas e implicadas en el desarrollo.

Y poco tiempo después, requiere formar al personal en concienciación y sensibilización de la seguridad de la información.

Dos son las formaciones a realizar.

Por una parte, formar a las personas que gestionan el SGSI, imprescindible para conocer el funcionamiento del sistema de gestión.

Y, por otra parte, formar a todo el personal de la empresa, sin exclusión.

Con un plan de formación que incluya también a la dirección, para impulsar el entrenamiento que requiere el sistema de gestión de la seguridad de la información.

 

Porque la Seguridad empieza en cada persona y la protección, también.