Sistemas de gestión de seguridad de la información

Se debe entender que el Compliance, y dentro del mismo el Área de Seguridad de la Información, no es el resultado de la aplicación de un conjunto de buenas prácticas, sino un proceso donde se implantará una cultura corporativa al respecto. En ese sentido, se llevará a cabo un establecimiento, implantación, operación, monitorización, mantenimiento y mejora de un sistema de gestión, todo ello con la sistemática propia de un proceso y en un ciclo de mejora continua.

De igual modo, cabe destacar que cualquier tipo de entidad, independientemente de su tamaño, sector y capacidad de recursos, puede implantar este enfoque. De hecho, el tener claro cuáles son los objetivos a alcanzar, el alcance y los recursos a disponer son elementos que pueden, en ocasiones, ser mejor definidos en empresas de tamaño reducido.

Definición y gestión

En primer lugar, la organización debe identificar cuáles son las necesidades específicas a cubrir, normativas y compromisos con los cuales debe alinearse y su contexto y ámbito de negocio. Así, se identificarán los servicios, procesos, productos o áreas de negocio que formarán parte del alcance del sistema de gestión.

De igual modo, se deberán establecer los criterios y líneas de acción estratégicas que van a plantearse, de cara a cubrir todas las expectativas y requisitos corporativos en materia de confidencialidad, integridad y disponibilidad. Dicha información deberá trasladarse a la política de seguridad de la información diseñada, donde se trasladará igualmente los requisitos de negocio a cubrir, el comportamiento a seguir sobre los sistemas y datos, qué líneas generales se llevarán a cabo en materia de concienciación o qué roles existirán al respecto.

Además, otro factor imprescindible es la identificación de los activos de información. Es decir, todos aquellos elementos que, por su valor intrínseco, al soportar los procesos de negocio corporativos, tienen que cumplir con unos mínimos requisitos en materia de seguridad. Aquí hablamos de elementos como hardware, software, instalaciones, servicios, etc. Posteriormente, se deberá identificar cuál es el valor y relevancia de tales activos, a fin de priorizar la implantación de las acciones necesarias. En este punto, será importante clarificar las dependencias entre los distintos activos y los procesos de negocio, de tal modo que los activos de información hereden la importancia que tienen los procesos de negocio o servicios.

Asimismo, es importante establecer cómo se llevará a cabo el análisis de riesgos, siendo de hecho este punto el corazón de todo sistema de gestión. Para ello, se pueden seguir metodologías más o menos formales, que exijan un nivel de detalle mayor o menor, etc.

El conjunto de controles identificados pasará a constituir la declaración de aplicabilidad del sistema de gestión, debiendo indicar los motivos que han llevado a su selección, el nivel actual de implantación de tales medidas y, de igual modo, la justificación de las posibles exclusiones.

Con tal información, se daría forma al Plan de Tratamiento de Riesgos, donde se trasladaría en un marco temporal la planificación de la implantación de los diferentes controles. Todo ello controlado y verificado por el responsable de seguridad oportuno, así como por el Comité de Seguridad de la Información que se hubiese constituido. Posteriormente, y en función de los indicadores y métricas que se hubieran definido, se llevaría a cabo un seguimiento para identificar errores, posibles mejoras, acciones preventivas, etc.

Documentación

Los documentos mínimos que deberán estar presentes en un Sistema de Gestión de Seguridad de la Información son los siguientes:

1. Política de seguridad de la información.
2. Alcance.
3. Metodología de análisis de riesgos.
4. Inventario de activos.
5. Procedimientos operativos.
6. Análisis de riesgos.
7. Plan de Tratamiento de Riesgos.
8. Declaración de aplicabilidad.
9. Registros que demuestren el cumplimiento.

Compromiso de la Dirección

Todo sistema de gestión debe contar con el apoyo de la Dirección para poder cumplir con sus objetivos, siendo, por tanto, un elemento fundamental la evaluación de tal hecho. Solo de este modo se podrá modificar la cultura corporativa, pudiendo, además, contar con los recursos humanos y financieros para constituir en la organización tal cultura y un proceso de seguridad de la información.

Así, para poder demostrar el apoyo de la Dirección en el establecimiento, implementación, monitorización, revisión, mantenimiento y mejora del sistema, se debe contar con evidencias de su apoyo y compromiso en relación con las siguientes tareas:

1. Establecimiento de la política.
2. Establecimiento de los objetivos.
3. Asignación de roles y responsabilidades.
4. Comunidad corporativa de la política, responsabilidades, necesidad de cumplir los objetivos planteados, etc.
5. Asignación de los recursos oportunos para implantar el sistema de gestión y el ciclo de mejora continua.
6. Decisión sobre los criterios de aceptación del riesgo.
7. Verificación de las auditorías internas.
8. Revisiones sobre las conclusiones alcanzadas y toma de decisiones al respecto.

Concienciación

Todos los trabajos implicados con el sistema de gestión deben recibir la formación y concienciación oportuna, trasladando la información necesaria sobre sus responsabilidades en la materia.

Estas actividades de concienciación deberán contar con la necesaria planificación, realizando, a su vez, algún tipo de evaluación que sirva para identificar el impacto de la acción de concienciación.

Así, se podrán articular campañas de phishing, distribución de dispositivos extraíbles infectados o un mero formulario, que sirvan para medir la mejora producida tras la campaña de concienciación.

Auditoría interna

Las auditorías internas son otro de los puntos fundamentales de un sistema de gestión, necesitando de una correcta planificación. Por ello, será necesario tratar de forma oportuna los siguientes puntos:

1. Tiempo y recursos a disponer.
2. Criterios de auditoría.
3. El alcance, pudiendo ser global, acotado por áreas de negocio, contextos geográficos, etc.
4. Periodicidad de las auditorías a efectuar.
5. Métodos de auditoría y muestreo a realizar.

Revisión por la Dirección

Este elemento debe formar parte integral del sistema de gestión y de los procesos de negocio. Para ello, tiene que estar al tanto de todas las acciones que se ejecuten dentro del sistema de gestión, sin estar en la operativa, por supuesto, y teniendo constancia de posibles mejores y problemas que ocurran o se detecten.

Así, con la retroalimentación recibida, se deberá ir refinando la estrategia a seguir, siendo los siguientes algunos de los elementos de información que deberán ser evaluados por la Dirección:

1. Comentarios y parecer de todas las partes implicadas (usuarios, clientes, etc.).
2. Resultados de las auditorías realizadas.
3. Técnicas y procedimientos empleados en la organización, así como aquellos que no lo están y podrían aportar valor.
4. Vulnerabilidades y amenazas que se hubiesen detectado.
5. Estado de implantación de las actividades preventivas y correctivas identificadas.
6. Resultados de los indicadores y métricas.
7. Acciones de mejora identificadas.

Por otro lado, algunos de los resultados que se espera se obtengan de la revisión son los siguientes:

1. Mejoras identificadas y acciones para ponerlas en marcha.
2. Actualización del análisis y gestión de riesgos.
3. Modificación de los controles y procedimientos que deban ser mejorados.
4. Mejoras en el diseño de las métricas e indicadores.

Mejora continua

Este elemento constituye otra de las partes esenciales de un sistema de gestión, siendo el colofón a todo el ciclo de acciones realizadas. Además, siempre hay lugar para la mejora, por lo que este ciclo será recurrente.

Dentro de este ciclo de mejora continua, las principales acciones a efectuar son las siguientes:

1. Acciones correctivas: acciones para corregir no conformidades que se hayan detectado en el sistema. Dichos incumplimientos deberán ser evaluados en función de su criticidad, identificando, a su vez, las posibles causas que lo han podido motivar. De igual modo, se tendrá que decidir qué acciones se deben tomar, siendo conscientes de sus costes, implicaciones, etc. Finalmente, se tendrá que indicar quién o quiénes serán los responsables de implantar tal medida.
2. Acciones preventivas: acciones para evitar que posibles no conformidades o situaciones de riesgo puedan aparecer en el futuro. En este caso, se tendrán que identificar las posibles causas que puedan motivar esa situación, siendo un ejemplo del grado de proactividad que puede existir en aquellas organizaciones que cuenten con un sistema de gestión maduro.