Saltar al contenido principal

Ventajas SGSI

Ventajas de tener un sistema de gestión de seguridad de la información (II)

Portada » Blog Calidad y Excelencia » Ventajas de tener un sistema de gestión de seguridad de la información (II)

Sistema de Gestión Seguridad de la Información

En el anterior artículo tratamos cómo las organizaciones se beneficias del uso de contar con un Sistema de Gestión de Seguridad de la Información. Vimos cómo ayuda a generar confianza, tanto de forma interna como externa, cómo gracias a la priorización de activos se hace más eficiente el SGSI y cómo permite generar controles adecuados en función de la naturaleza de cada activo.

Esta semana trataremos otro tipo de beneficios: 

Existencia un proceso de apreciación de riesgos de seguridad de la información formal.

Tal formalidad permite establecer compromisos para la ejecución de los procesos, ya que se ejecutan de forma sistemática, y la repetibilidad del proceso en diferentes momentos del tiempo. Es decir, una vez que se aplica la primera vez y conocemos cuáles son los riesgos de SI, se hace un tratamiento durante un plazo de gestión y luego, en la siguiente fase o ciclo de aplicación de ese proceso de apreciación de riesgos de SI, repetimos el mismo método, y eso le brinda cierto grado de continuidad a la organización, al utilizar criterios que son reconocidos por esa organización y que al final permitirá utilizar las lecciones aprendidas para fortalecer el análisis y la definición de los controles asociados al resultado de ese análisis.

Posibilidad de alinear los esfuerzos organizativos:

Esto incluye, por ejemplo, la existencia de comités compuestos por profesionales y apoyo interno y externo que permite hacer una visualización de los riesgos y de los controles de forma crítica. Fomenta asistencia de grupos de respuesta ante escenarios de riesgos de forma preestablecida. Es decir, una preparación ante lo inminente, como la materialización de uno de los riesgos y la asignación de responsabilidades y autoridades dentro de la organización para definir los propietarios de riesgos, dueños de activos, responsables de controles y evaluación de la eficacia de los controles y auditorías del SGSI.

Esos roles están preestablecidos dentro del SGSI, lo que nos da una noción de orden para poder actuar de forma coordinada ante amenazas que acechan constantemente a la organización y que tienen un potencial de afectar a la empresa de forma frecuente. Si estamos ordenados para actuar contra las amenazas, podemos dar respuestas más eficientes y prolijas. Los efectos, además, pueden ser menos dañinos.

Medición del desempeño del Sistema de Gestión de Seguridad de la Información:

Cuando estamos gestionando un SGSI formal, este genera un conjunto de datos propios acerca de su eficacia. Los marcos normativos suelen orientar hacia la existencia de indicadores que permiten medir el desempeño y saber el estado en el que se encuentran dichos controles o elementos organizativos, que al final le dan mayor o menor protección a los activos de información. Existen incidentes de mayor o menor nivel de impacto, y por lo tanto esa medición permite formular acciones de forma oportuna para poder alinear los esfuerzos, por ejemplo, para proteger aquellos activos más importantes dentro de la organización, sea por la dinámica que tiene el negocio, por los riesgos que se van presentando dada la casuística del entorno, por las vulnerabilidades que se presentan debido al uso de la tecnología asociada a la operación de los activos de información. En fin, es una dinámica que hace que el sistema de gestión tenga cierto grado de eficacia cambiante y variable en el tiempo. Los indicadores también permiten saber el estado actual y facilita la toma de decisiones eficaces conforme se observen esos comportamientos.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Tablero de control que permite ver cuáles son los elementos que son más activos y eficaces:

De esa forma sabremos cuáles requieren cambios, dependiendo del grado de eficacia. El tablero de control está en constante revisión y da resultados trazables que están sujetos a auditoría.

Procesos de auditoría y revisión interna técnica o desde el punto de vista de gestión:

Son dos grandes componentes que le dan a la organización una visión del desempeño del SGSI. Es decir, se revisan las políticas, objetivos, controles y procesos de forma sistemática desde el punto de vista de su ejecución administrativa y de su gestión técnica. Eso le da a la organización información para saber si el diseño o ejecución de los controles es el más adecuado.

Contar con reportes operativos, tácticos y estratégicos.

Los marcos de referencia de seguridad de la información cuentan con diseños de reportes para los distintos niveles de la organización, tanto operativos, como tácticos y estratégicos. Esto permite a los tomadores de decisiones, en cada una de sus capas, poder tomar decisiones oportunas para informar de forma estructurada el cómo va el SGSI, tomando en cuenta los inputs de los indicadores de los resultados de la auditoría y poder confeccionar reportes que le dan una visión diagnóstica del SGSI ya preconfigurado o preestablecido.

Al ser estándar facilita la forma de análisis e hipótesis a los tomadores de decisiones para que se puedan plantear lineamientos para direccionar los esfuerzos en función a los resultados o de continuar en la línea actual. Esto da una noción de repetibilidad al proceso de toma de decisiones y optimiza muchos de los esfuerzos, pues si un SGSI no está ordenado ni estructurado, la alta dirección enfrenta problemas áridos porque se relacionan con las auditorías, tecnologías y conductas de las personas en forma de problema grave al que no va a saber responder y que suele ser muy costoso, porque carece de orientación.

Tampoco podrían precisar fácilmente cuáles son los activos afectados, si se enfrentan a riesgos altos, medios o bajos… Si esos problemas no llegan bien estructurados a la alta dirección, pueden llegar a ser un dolor de cabeza muy grande y producir incertidumbre. Los reportes llegan a la alta dirección  o a toda la estructura de la organización y brindan cierta certeza a la hora de  direccionar los esfuerzos y también cierta noción de eficiencia.

Los marcos normativos siempre están sujetos a la mejora:

Son sometidos constantemente a procesos de revisión de su propia eficacia y autodiagnóstico para saber si las cosas se están haciendo bien o mal, y por lo tanto, existe un marco para generar acciones correctivas que están planteadas en forma de nuevas políticas, creación de otros métodos de trabajo, apreciaciones de riesgos con mayor precisión, nuevos controles o reforzamiento de los que ya existen, dependiendo de lo emanado por los indicadores, comportamientos o auditorías que se le hacen al SGSI. Los marcos permiten tomar acciones con asignación de nuevos roles y responsabilidades y ordenar la organización de una forma diferente dadas las dinámicas existentes. En consecuencia, existe la noción de que se pisa terreno firme y se evoluciona. Nos hace pensar que hoy somos mejores que ayer y mañana vamos a ser mejores que hoy.

 

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico. Esto es así para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Mapa De Riesgos
Mapa de Riesgos de Seguridad de la Información. Cómo elaborarlo y qué tener en cuenta.

Los mapa de riesgos Con el objetivo de cada día ser mas eficientes en los diferentes procesos y…

Ver más
Cumplimiento ESG
Gestión eficaz de riesgos para el cumplimiento ESG

Cumplimiento ESG El cumplimiento de los criterios ESG o ASG (Environmental, Social and Governance) necesita también del pensamiento…

Ver más
Certificado ISO 45001 2018
Certificado ISO 45001:2018. 10 pasos para conseguirlo

Certificado ISO 45001 2018 El certificado ISO 45001:2018 busca mantener y mejorar el sistema de gestión de seguridad…

Ver más