Saltear al contenido principal

ISO 27001: El Plan de Seguridad de la Información

ISO-27001

Norma ISO 27001

El punto de partida para tomar la iniciativa sobre la implantación de un Sistema de Gestión de Seguridad de la Información según el estándar ISO 27001 es gestionar el riesgo y, además, facilita el conocimiento de cuáles deben ser las prioridades de protección. 

Efectuando esta gestión de riesgo, la empresa puede identificar cuáles son los activos más relevantes que sustentan todos sus procesos y comprender cuáles son las dependencias y relaciones que existen entre ellos.

La empresa debe conocer todos los puntos débiles que tienen los activos relacionados con la información y el impacto que puedan generar las amenazas si llegaran a efectuarse y materializarse.

Hay que tener en cuenta y valorar el riesgo al que la entidad está haciendo frente y, además, se debe concienciar a los departamentos técnicos y a los de negocio del papel que actúa la seguridad de la empresa.

Aun sabiendo que analizar el riesgo es muy útil para conocer las necesidades de la empresa, tiene ciertas limitaciones, como puede ser que se quede parado en el momento en el que se realiza. No obstante, el fin que persigue la empresa debe ser adaptable y dinámico, además de permitir que la gestión de la seguridad de la información se lleve a cabo desde un plano estratégico.

El Plan de Seguridad se trata de realizar los objetivos estratégicos que se identificaron en la política de seguridad y en las normativas vigentes de seguridad en la organización, con el fin de situar a la entidad a nivel mundial en ambiente de riesgo tolerable.

Llevándolo a la práctica, nos encontramos con una herramienta sistemática que posibilita la instauración de directrices y pautas que permiten las distintas iniciativas que la empresa deseaba abordar de una forma parcial y aislada y la planificación de estas de una forma sencilla.

El camino que recorre la empresa hasta la Gestión Estratégica de Seguridad de la Información son:

  • Diseñar.
  • Redactar.
  • Aprobar la política de seguridad de la información en la organización.

Dicho documento segrega todos los objetivos estratégicos perseguidos por la empresa en materia de seguridad y realiza el plan necesario para poder conseguirlos.

Analizar los riesgos en los procesos que se encuentran incluidos dentro de la política de seguridad.

Esto hace que se conozcan cuáles son los activos que soportan todos los procesos, las vulnerabilidades de las carecen y las amenazas que deben afrontar.

Llegados a este punto el principal objetivo será identificar y planificar todas las acciones tanto correctivas como de mejora que facilitan la reducción de los riesgos que se han identificado para los diferentes activos y después, se deben plasmar y gestionar a través del Plan de Seguridad.

La mayoría de los riesgos asociados a la seguridad de la información, pueden ser reducidos mediante la aplicación de un único control que presenta una baja complejidad, por ejemplo, la instalación de un sencillo antivirus. Aunque se presentan muchas ocasiones en las que no bastará sólo con realizar una actividad sencilla sino que habrá que diseñar proyectos específicos para afrontar los riesgos bastante más complejos.

A la hora de elaborar un Plan de Seguridad para manipular la información,  se debe tener en cuenta la colección de actividades que se deben acometer para alcanzar el objetivo de seguridad establecido mediante el umbral de riesgo.

Una vez se conozca dicha colección de actividades y proyectos, lo siguiente que se debe tener en cuenta es el orden en el que se debe realizar. La mejor opción es priorizar las acciones que se basen en un único criterio. El objetivo es priorizar las líneas de acción y definir las distintas categorías de los proyectos:

  • Inmediatos.
  • Corto plazo.
  • Medio plazo.

Adoptar el criterio de “largo plazo” en un Plan de Seguridad se utiliza muy poco, ya que los riesgo evolucionan de forma muy significativos a los largo del tiempo.

Cuando ya están definidas y priorizas todas las acciones y proyectos en base al riesgo que generan, se tienen que plantar unos subcriterios que matizan el orden de las acciones y proyectos que se deben emprender:

  • Lleva una serie de costos asociados, por lo que se debe tener en cuenta la relación eficiencia/eficacia/costo.
  • Se tienen que identificar y determinar todos los controles relevantes para la empresa.
  • Maximizar la aplicación de controles que cubran el riesgo.

El Plan de Seguridad se debe ubicar en el plano de la estrategia, por lo que se tiene que describir los siguientes atributos indispensables:

  • Fecha de comienzo y duración.
  • Nivel de riesgo que cubre.
  • Nivel de madurez del Sistema de Gestión de Seguridad de la Información.
  • Recursos y presupuesto.
  • Responsable de proyecto.

La principal dificultad que se detecta en las organizaciones con un SGSI basado en la norma ISO27001, es la gestión del Plan de Seguridad. Los conflictos que se dan en las organizaciones de cierto tamaño, nacen de la complejidad que supone implantar diversos proyectos de un área en la que normalmente no existe personal suficiente que este lo necesariamente cualificado.

Se recomienda agrupar los proyectos según las áreas que podemos encontrar en la organización.  Aunque siguiendo todas estas pautas se pueda facilitar la labor, es indispensable contar con asesoramiento experto en las áreas técnicas que se encuentren relacionadas con la seguridad de la información y además, se debe asegurar de que se definen bien los roles y las responsabilidades en la organización.

Por otro lado encontramos una alternativa a toda esta metodología del Plan de Seguridad, y esta es la Oficina de Gestión de Seguridad de la Información. Se trata de una estructura de gestión que se hace responsable de organizar y supervisar que los proyectos se encuentran definidos por el Plan Director.  La creación de dicha oficina puede realizarse de forma interna en la empresa y deberá tener un componente importante en gestión de proyectos.

Es muy importante que la oficina tenga claro cuál es su papel y tome decisiones desde un punto de vista global para alcanzar los objetivos de seguridad de la información dentro de la organización. Otra de sus funciones es llevar a cabo estudios de la situación y analizar el valor de la empresa, estos estudios pueden ser utilizados para poder justificar la inversión que se ha realizado en Seguridad de la Información.

¿Desea saber más?

Entradas relacionadas

Volver arriba