ISO 27001
Los Sistemas de Gestión de Seguridad de la Información pueden venir determinados por distintas normas, dependiendo del espacio en el que se quieran usar se empleará la que más convenga. Actualmente, el estándar internacional más utilizado es la norma ISO 27001.
El término de Gobierno Corporativo TI se determina como una disciplina de gestión que se encuentra integrada en las prácticas llevadas a cabo por el Gobierno Corporativo de la organización. La meta que busca es poder ofrecer un marco para ayudar a que las distintas áreas TI se alineen y cumplan la totalidad de los objetivos que hayan sido marcados, con lo que podrán manifestar, utilizando la documentación contrastada y el impacto positivo que se produce en las inversiones llevadas a cabo.
Dicha especialidad comienza a obtener un auge mayor por los escándalos financieros que dieron lugar hace años, por lo que aparece con el objetivo principal de ofrecer confianza a los accionistas que se posicionen interesados en la gestión de la organización y reducir la disparidad que hay habitualmente entre las expectativas producidas por la entidad dentro de las áreas TI y los resultados que realmente se ofrecen.
El Gobierno Corporativo de TI tiene que tener en cuenta como primer factor la obligatoriedad de saber y controlar el tipo de riesgos operativos al cual se enfrenta. El riesgo operativo es un término procedente de los sectores financieros y se refiere a la necesidad de las empresas de comprender y gestionar los distintos problemas o deficiencias que se presentan asociadas a los procesos internos, a las personas, a los sistemas de información o a los factores externos. Este riesgo actúa como unión entre el gobierno Corporativo y la Gestión Estratégica de Seguridad, ya que el foco de riesgo operativo para poder controlarlo de una manera adecuada se tiene que plantear y actuar sobre la seguridad de procesos, de sujetos y estructura organizativa.
El último objetivo perseguido por la Gestión Estratégica de Seguridad, en lo referente al marco de Gobierno Corporativo, es definir y cumplir con los requisitos de calidad específicos de seguridad que posibiliten a la organización la alineación de sus requisitos de gestión de negocio, obteniendo una visión objetiva del valor que aporta la fusión de la gestión de seguridad con la específica componente estratégica de la empresa.
Se tiene que tener en cuenta cómo se gestiona la estrategia de seguridad de la información y aporta valor al Gobierno Corporativo para llegar a entender como los dos planteamientos anteriores se entrecruzan. El valor nace de los distintos elementos, como pueden ser:
- Mejora de la eficiencia operacional.
- Minimización de costos.
- Crecimiento de confianza en la entidad.
También hay elementos derivados que pueden aportar un valor añadido:
- Implicar el negocio en el momento de tomar decisiones relacionadas con la seguridad de la información. Uno de los principales factores a tener en cuenta para lograr el éxito es la utilización de un idioma común, como es el estratégico, haciendo posible que los objetivos de gestión de seguridad nace gracias a los objetivos de la entidad. Se tiene que potenciar la trasparencia en las auditorías.
- Se tiene que aportar información de gestión de seguridad de la información, ya que hay una carencia de información que sufren distintas áreas de dirección en lo que a este tema de refiere. No se trata de un problema nuevo, ya que la medición de Gestión de Seguridad se convierte en un requisito básico de la norma ISO27001 y las guías de buenas prácticas, y un elemento clave de una adecuada conexión entre la estrategia seguida por el Gobierno Corporativo y la seguridad, usando los indicadores cedidos por los Cuadros de Mando de Seguridad de la Información que forman parte de los Cuadros de Mando de la dirección de la entidad. Existen diferentes indicadores que se tiene que estructurar en los siguientes niveles:
– Negocio: se fundamenta lo que se espera de la Estrategia de Seguridad TI en el negocio.
– Dirección IT: se presenta definido los servicios esperados por los objetivos de TI en seguridad.
– Servicio: se mide el rendimiento de los procesos.
– Proceso: indica el rendimiento del proceso.
- Automatización de los procesos IT, como consecuencia directa de la necesidad que hay de medir y gestionar de una manera fácil y sencilla los entornos complicados.
- Controles llevados a cabo en el negocio, que se encuentren ligados a él o planteados a través de activos en los que se apoyan los procesos de negocio y servicios de la organización. Se considera fácil de plantear, pero dicha aproximación supone un gran esfuerzo, ya que se deben realizar un replanteamiento del enfoque clásico y se tienen que centrar en el papel que tiene cada uno de los activos de la cadena de valor de la empresa.
Con el fin de dirigir la transición disponemos de distintas metodologías y guías de buenas prácticas, que pueden ir desde el Gobierno Corporativo TI hasta la Gestión de Servicios.
La metodología de implementación mayor, en lo referente al Gobierno Corporativo de TI, es COBIT. Se compone como un modelo desarrollado por el Gobierno de TI llevado a cabo por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
No teniendo en cuenta la realidad tecnológica en cada uno de los casos, COBIT establece una agrupación de mejores prácticas para poner en marcha la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para enfilar TI en el negocio, generar valor al negocio, gestión de recursos y medir el desempeño, cumplir metas, aumentar el nivel de madurez de los procesos de la empresa e identificar riesgos.
El marco certificable que reúne de manera global la totalidad de los requisitos y los procesos para dotar a la organización de una gestión de seguridad es el de los Sistemas de Gestión de Seguridad de la Información según lo que establece la norma ISO-27001.
El Sistema de Gestión de Seguridad de la Información se define como una sucesión de procesos de gestión que se presentan alineados con el Gobierno Corporativo de la entidad, creando un marco de selección de controles que engloba las distintas áreas que tienen que ser revisadas por la empresa.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…