Ventajas de un sistema de gestión de seguridad de la información (II)

Índice de contenidos

Sistema de Gestión Seguridad de la Información

En el anterior artículo tratamos cómo las organizaciones se benefician del uso de contar con un Sistema de Gestión de Seguridad de la Información. Vimos cómo ayuda a generar confianza, tanto de forma interna como externa, cómo gracias a la priorización de activos se hace más eficiente el SGSI y cómo permite generar controles adecuados en función de la naturaleza de cada activo.

Esta semana trataremos otro tipo de beneficios:

Existencia un proceso de apreciación de riesgos de seguridad de la información formal.

Tal formalidad permite establecer compromisos para la ejecución de los procesos, ya que se ejecutan de forma sistemática, y la repetibilidad del proceso en diferentes momentos del tiempo. Es decir, una vez que se aplica la primera vez y conocemos cuáles son los riesgos de SI, se hace un tratamiento durante un plazo de gestión y luego, en la siguiente fase o ciclo de aplicación de ese proceso de apreciación de riesgos de SI, repetimos el mismo método, y eso le brinda cierto grado de continuidad a la organización, al utilizar criterios que son reconocidos por esa organización y que al final permitirá utilizar las lecciones aprendidas para fortalecer el análisis y la definición de los controles asociados al resultado de ese análisis.

Posibilidad de alinear los esfuerzos organizativos:

Esto incluye, por ejemplo, la existencia de comités compuestos por profesionales y apoyo interno y externo que permite hacer una visualización de los riesgos y de los controles de forma crítica. Fomenta asistencia de grupos de respuesta ante escenarios de riesgos de forma preestablecida. Es decir, una preparación ante lo inminente, como la materialización de uno de los riesgos y la asignación de responsabilidades y autoridades dentro de la organización para definir los propietarios de riesgos, dueños de activos, responsables de controles y evaluación de la eficacia de los controles y auditorías del SGSI.

Esos roles están preestablecidos dentro del SGSI, lo que nos da una noción de orden para poder actuar de forma coordinada ante amenazas que acechan constantemente a la organización y que tienen un potencial de afectar a la empresa de forma frecuente. Si estamos ordenados para actuar contra las amenazas, podemos dar respuestas más eficientes y prolijas. Los efectos, además, pueden ser menos dañinos.

Medición del desempeño del Sistema de Gestión de Seguridad de la Información:

Cuando estamos gestionando un SGSI formal, este genera un conjunto de datos propios acerca de su eficacia. Los marcos normativos suelen orientar hacia la existencia de indicadores que permiten medir el desempeño y saber el estado en el que se encuentran dichos controles o elementos organizativos, que al final le dan mayor o menor protección a los activos de información. Existen incidentes de mayor o menor nivel de impacto, y por lo tanto esa medición permite formular acciones de forma oportuna para poder alinear los esfuerzos, por ejemplo, para proteger aquellos activos más importantes dentro de la organización, sea por la dinámica que tiene el negocio, por los riesgos que se van presentando dada la casuística del entorno, por las vulnerabilidades que se presentan debido al uso de la tecnología asociada a la operación de los activos de información. En fin, es una dinámica que hace que el sistema de gestión tenga cierto grado de eficacia cambiante y variable en el tiempo. Los indicadores también permiten saber el estado actual y facilita la toma de decisiones eficaces conforme se observen esos comportamientos.

Tablero de control que permite ver cuáles son los elementos que son más activos y eficaces:

De esa forma sabremos cuáles requieren cambios, dependiendo del grado de eficacia. El tablero de control está en constante revisión y da resultados trazables que están sujetos a auditoría.

Procesos de auditoría y revisión interna técnica o desde el punto de vista de gestión:

Son dos grandes componentes que le dan a la organización una visión del desempeño del SGSI. Es decir, se revisan las políticas, objetivos, controles y procesos de forma sistemática desde el punto de vista de su ejecución administrativa y de su gestión técnica. Eso le da a la organización información para saber si el diseño o ejecución de los controles es el más adecuado.

Contar con reportes operativos, tácticos y estratégicos.

Los marcos de referencia de seguridad de la información cuentan con diseños de reportes para los distintos niveles de la organización, tanto operativos, como tácticos y estratégicos. Esto permite a los tomadores de decisiones, en cada una de sus capas, poder tomar decisiones oportunas para informar de forma estructurada el cómo va el SGSI, tomando en cuenta los inputs de los indicadores de los resultados de la auditoría y poder confeccionar reportes que le dan una visión diagnóstica del SGSI ya preconfigurado o preestablecido.

Al ser estándar facilita la forma de análisis e hipótesis a los tomadores de decisiones para que se puedan plantear lineamientos para direccionar los esfuerzos en función a los resultados o de continuar en la línea actual. Esto da una noción de repetibilidad al proceso de toma de decisiones y optimiza muchos de los esfuerzos, pues si un SGSI no está ordenado ni estructurado, la alta dirección enfrenta problemas áridos porque se relacionan con las auditorías, tecnologías y conductas de las personas en forma de problema grave al que no va a saber responder y que suele ser muy costoso, porque carece de orientación.

Tampoco podrían precisar fácilmente cuáles son los activos afectados, si se enfrentan a riesgos altos, medios o bajos… Si esos problemas no llegan bien estructurados a la alta dirección, pueden llegar a ser un dolor de cabeza muy grande y producir incertidumbre. Los reportes llegan a la alta dirección o a toda la estructura de la organización y brindan cierta certeza a la hora de direccionar los esfuerzos y también cierta noción de eficiencia.

Los marcos normativos siempre están sujetos a la mejora:

Son sometidos constantemente a procesos de revisión de su propia eficacia y autodiagnóstico para saber si las cosas se están haciendo bien o mal, y por lo tanto, existe un marco para generar acciones correctivas que están planteadas en forma de nuevas políticas, creación de otros métodos de trabajo, apreciaciones de riesgos con mayor precisión, nuevos controles o reforzamiento de los que ya existen, dependiendo de lo emanado por los indicadores, comportamientos o auditorías que se le hacen al SGSI. Los marcos permiten tomar acciones con asignación de nuevos roles y responsabilidades y ordenar la organización de una forma diferente dadas las dinámicas existentes. En consecuencia, existe la noción de que se pisa terreno firme y se evoluciona. Nos hace pensar que hoy somos mejores que ayer y mañana vamos a ser mejores que hoy.

Software para la gestión de Seguridad de la Información

La integración de componentes de Seguridad de la Información en un enfoque de GRC (Gestión, Riesgo y Cumplimiento) demanda un alto grado de disciplina, organización y un enfoque sistémico. Esto es esencial para garantizar su eficacia y los beneficios que puede aportar a la organización. Para lograr este nivel de utilidad, es fundamental realizar una gestión eficiente y automatizada a través de una plataforma de GRC especializada en Seguridad de la Información, como GRCTools.