Errores comunes en la implantación de un SGSI

En la actualidad,  la información es una herramienta estratégica fundamental en el la actividad normal de cualquier organización. Por ello se hace indispensable la implantación de un adecuado Sistema de Gestión de la Seguridad de la Información en la propia organización. Sin embargo, en muchas ocasiones la implantación no se realiza llevando a cabo un proceso efectivo, eficaz ni útil para la empresa.

Los errores que se pueden cometer en este proceso los encontramos en  todas las fases, desde la planificación hasta el propio mantenimiento del sistema.

A continuación detallamos los errores en el proceso de implantación y mantenimiento de un SGSI:

• En cuento a la planificación del proceso de implantación, la escasa adaptación a los objetivos corporativos es bastante común, de hecho, habitualmente  se cae en el error de diseñar un SGSI por encima de las necesidades y posibilidades de la organización.

• Dependencia absoluta del sistema a una consultora externa. Este error es más común de lo que en un principio pueda parecer y sin ninguna duda es uno de los que más aumenta la probabilidad de fracaso del SGSI.

Para que la organización cuente con un SGSI óptimo, este debe integrarse perfectamente en las actividades habituales de la organización, de modo que todos los miembros de la institución utilicen e interactúen con el mismo.

• También ocurre todo lo contrario, es decir, la organización es la encargada de todo el proceso. Esto hace que las evaluaciones y controles internos que se llevan a cabo sean, en muchos caos, insuficientes.
• La implantación y el mantenimiento de un SGSI no sólo concierne al departamento relacionado con las TIC, todos y cada uno de los empleados tiene que ser consciente de que papel poseen dentro del sistema, ya que es probable que deban modificar, perfeccionar o rediseñar algunas de sus funciones.
• En ningún caso tendrá éxito  la implantación de este sistema con el único fin de conseguir una acreditación o certificación oficial de cara a la galería. Lo que hace que un SGSI sea válido y útil es su mantenimiento constante  y continuo en el tiempo.

Las consecuencias negativas de implantar erróneamente un SGSI son diversas, llegando a afectar a planes estratégicos de la organización. El principal efecto perjudicial para una organización que no implante y mantenga correctamente su SGSI es el aumento importante de riesgos, no sólo aquellos referidos a la seguridad de la información, sino que también afecta a la consecución de objetivos establecidos, a la toma de decisiones y a la posición competitiva en el mercado.

Para evitar los riesgos derivados de una inadecuada implantación y mantenimiento de su SGSI, ISOTools ofrece su  herramienta web que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001. Permitiendo:

• Garantizar la confidencialidad, integridad y disponibilidad de los datos.
• Conocer los riesgos de seguridad de la Organización para poder dirigir inversiones a esos riesgos.
• Lograr un equilibrio entre la seguridad técnica, procedimental y de personal.
• Establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) que se integre con otros sistemas de gestión previos o futuros.