Implantar un SGSI
Páginas: 21 (5020 palabras)
Publicado: 9 de febrero de 2014
Errores comunes en la Implantación de un SGSI
Por Patricia Vanaclocha, 29 de Marzo de 2009 |
Implantar un Sistema de Gestión de Seguridad de la información se está convirtiendo cada vez más en un objetivo para los departamentos TIC de las empresas. Los que nos dedicamos a hacer consultoría para la implantación de esos SGSI vamos poco a poco viendo que los problemas que nos encontramos en uncliente se repiten, al menos parcialmente, en el siguiente, y que los clientes asumen erróneamente afirmaciones para nada ciertas lo que hace que cuando se tropiezan con la realidad, haya alguna sorpresa.
Plantearé hoy tres de los errores más comunes asumidos por algunas de las empresas que deciden implantar un SGSI:
‘CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO’
Esta suposición no es válidaen la implantación de ningún Sistema de Gestión, pero menos si cabe en un SGSI. Como en cualquier proyecto de similares características, es imprescindible la colaboración de muchos miembros de la plantilla de la empresa para arrancar y llevar a buen puerto el diseño y la implantación de un Sistema de Gestión que trata de protegerla información crítica para el negocio, ya que hay muchosdepartamentos y perfiles que trabajan a diario con esa información que se busca proteger; al fin y al cabo, son ellos los que mejor conocen la organización. Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y valorarlos, seleccionar las opciones para su tratamiento, y para implantar elplan de tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado. Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario ampliar.
Si bien los consultores deben invertir muchas horas en darle forma el sistema, la organización debe invertir bastantes horas enproporcionarles la información que necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como necesarias para llevar a cabo su implantación. Hay casos en los que también se contrata a la consultora externa la implantación de los controles seleccionados pero suelen ser los menos, así que en la mayoría de los casos es la organización la que debe ir implantando la lista decontroles seleccionados y no implantados inicialmente. Esta lista puede ser muy corta pero también muy larga, depende de la situación de partida de la organización desde el punto de vista de la seguridad.
Sin embargo, antes de pasar al siguiente error, tampoco es bueno pecar de pesimista: no hay que olvidar que la implantación de un SGSI en ocasiones (no siempre) no es otra cosa que ladocumentación y procedimentación de controles, tareas, rutinas, formas de trabajar que la organización ya conoce, en definitiva, la formalización de un sistema de gestión con el que hace tiempo que “se siente a gusto”. Dicho de otra forma, y aunque les parezca obvio, el trabajo que tendrá que abordar la empresa en el momento de la implantación del SGSI será inversamente proporcional al trabajo que hasta esemomento haya realizado en la gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más bien poco.
‘ESTE PROYECTO SÓLO CONCIERNE AL ÁREA TIC’
Otro gran y común error. Ya que como hemos comentado, se trata de proteger la información crítica para el negocio, en el proyecto se deben ver involucradas personas de muchas áreas: Departamento TIC (por su puesto) pero tambiénRR.HH, Departamento financiero, Departamento legal, Departamento de Marketing y todos aquellos que trabajan con esa información crítica para el negocio que se va a proteger. Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo de crítica es para el negocio la información con la que trabajan a diario y de qué modo debe cambiar su forma de manejarla para garantizar que...
Por Patricia Vanaclocha, 29 de Marzo de 2009 |
Implantar un Sistema de Gestión de Seguridad de la información se está convirtiendo cada vez más en un objetivo para los departamentos TIC de las empresas. Los que nos dedicamos a hacer consultoría para la implantación de esos SGSI vamos poco a poco viendo que los problemas que nos encontramos en uncliente se repiten, al menos parcialmente, en el siguiente, y que los clientes asumen erróneamente afirmaciones para nada ciertas lo que hace que cuando se tropiezan con la realidad, haya alguna sorpresa.
Plantearé hoy tres de los errores más comunes asumidos por algunas de las empresas que deciden implantar un SGSI:
‘CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO’
Esta suposición no es válidaen la implantación de ningún Sistema de Gestión, pero menos si cabe en un SGSI. Como en cualquier proyecto de similares características, es imprescindible la colaboración de muchos miembros de la plantilla de la empresa para arrancar y llevar a buen puerto el diseño y la implantación de un Sistema de Gestión que trata de protegerla información crítica para el negocio, ya que hay muchosdepartamentos y perfiles que trabajan a diario con esa información que se busca proteger; al fin y al cabo, son ellos los que mejor conocen la organización. Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y valorarlos, seleccionar las opciones para su tratamiento, y para implantar elplan de tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado. Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario ampliar.
Si bien los consultores deben invertir muchas horas en darle forma el sistema, la organización debe invertir bastantes horas enproporcionarles la información que necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como necesarias para llevar a cabo su implantación. Hay casos en los que también se contrata a la consultora externa la implantación de los controles seleccionados pero suelen ser los menos, así que en la mayoría de los casos es la organización la que debe ir implantando la lista decontroles seleccionados y no implantados inicialmente. Esta lista puede ser muy corta pero también muy larga, depende de la situación de partida de la organización desde el punto de vista de la seguridad.
Sin embargo, antes de pasar al siguiente error, tampoco es bueno pecar de pesimista: no hay que olvidar que la implantación de un SGSI en ocasiones (no siempre) no es otra cosa que ladocumentación y procedimentación de controles, tareas, rutinas, formas de trabajar que la organización ya conoce, en definitiva, la formalización de un sistema de gestión con el que hace tiempo que “se siente a gusto”. Dicho de otra forma, y aunque les parezca obvio, el trabajo que tendrá que abordar la empresa en el momento de la implantación del SGSI será inversamente proporcional al trabajo que hasta esemomento haya realizado en la gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más bien poco.
‘ESTE PROYECTO SÓLO CONCIERNE AL ÁREA TIC’
Otro gran y común error. Ya que como hemos comentado, se trata de proteger la información crítica para el negocio, en el proyecto se deben ver involucradas personas de muchas áreas: Departamento TIC (por su puesto) pero tambiénRR.HH, Departamento financiero, Departamento legal, Departamento de Marketing y todos aquellos que trabajan con esa información crítica para el negocio que se va a proteger. Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo de crítica es para el negocio la información con la que trabajan a diario y de qué modo debe cambiar su forma de manejarla para garantizar que...
Leer documento completo
Regístrate para leer el documento completo.