El documento describe cómo comunicar la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001 a los diferentes niveles de una organización. Sugiere realizar un estudio de la cultura operativa y de los recursos humanos para diseñar un modelo de comunicación adecuado para la dirección, gerencia y usuarios, teniendo en cuenta sus diferentes intereses. El SGSI ayudará a proteger los activos de información de una organización y demostrar su compromiso con la seguridad.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Seguridad de la Información - Comunicar a la Organización
1. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
27001 - Comunicar a la Organización
Como generalmente pasa con todo, lo más difícil es el principio... la concientización
organizacional nos lleva a plantear una estrategia de comunicación en tres diferentes
niveles (Dirección - Gerencia - Usuarios) y cada uno de estos niveles va a tener un
"lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo
económico/resultados como a los intereses personales.
Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista
importantes de la Cultura de la Organización:
La cultura operativa/funcional Puede verse a través de documentos
(organigrama, procedimientos funcionales,
certificaciones adquiridas, registros de
cumplimiento de las mismas, métodos de
registración de operaciones y funciones, etc.)
La cultura de los recursos humanos A mi entender es la más importante para saber
como iniciar un proyecto de Seguridad de la
Información, es la de analizar como tratan y
cumplen las personas con cada uno de los
documentos arriba mencionados, nivel de
compromiso, enfoque de interés (según los
niveles que mencionamos)
De esa forma podremos construir un modelo de comunicación para poder obtener el
Seguridad de la Información – Auditoría de Sistemas
apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso
con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva
implementación.
El modelo de comunicación es una herramienta se debe diseñar "a medida" en función de
saber y analizar la información que antes mencionamos referente a la Organización. De
por sí, ya sabemos que dentro de esos grandes grupos que hemos definido como
Dirección, Gerencias y Usuarios, los intereses de cada uno son diferentes:
• Dirección: Objetivos e imagen de la empresa, y resultados económicos (no
olvidemos que son quienes deben responder ante los Accionistas en resultados
económicos y ante la Sociedad como imagen corporativa)
• Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un
problema impactan directamente sobre los resultados esperados por los Directores,
1
2. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
lo que hace que su foco esté orientado más sobre el proceso del negocio y el
aseguramiento de su continuidad, disponibilidad e integridad.
• Usuarios: Componentes operativos que hacen que una función cumpla con todos
sus procesos de negocio y con los objetivos esperados por Gerencias y Directores.
Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de
comunicar la necesidad del SGSI a cada grupo de la Organización:
• Dirección: Asegurar objetivos corporativos, ya sea tangible (ecnómico) como
intangible (imagen en el mercado)
• Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la
Organización
• Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y
conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el
valor de su información sobre la compañía, funciones y cada uno de los procesos
en los que participa.
Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar con
encuestas, presentaciones, reuniones de inducción, etc. para cada uno de los grupos
mencionados, en forma independiente teniendo en cuenta que se debe iniciar con los
niveles superiores primero, solapando aquellas reuniones en las cuales se presenten
avances sobre el tema.
Seguridad de la Información – Auditoría de Sistemas
Esta comunicación va a permitir introducir vocablos y definiciones sobre el tema que,
luego de haber hecho un trabajo constante, se va a establecer en algo común dentro de la
Organización... como lenguaje y como cultura.
Dirección y Alta Gerencia
Lo primero que debe reconocer la Organización es la importancia de uno de sus
principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los
riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos
agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y
Disponibilidad.
La dirección debe reconocer que lo que se plantea es la implementación de un esquema
de seguridad orientada al negocio, y la ISO 27001 es la herramienta de que dispone
2
3. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
(como marco normativo) para implantar su política y objetivo de Seguridad de la
Información.
Este Sistema proporciona mecanismos para la salvaguarda:
• De los Activos de Información.
• De los Sistemas que los procesan.
Ventajas de certificar la Seguridad de la Información
Con respecto al Negocio:
• Integrar la gestión de la seguridad de la información con otras modalidades de
gestión empresarial
• Mejorar la imagen confianza y competitividad empresarial. La organización que
desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los
organismos que certifican los sistemas.
• Comprobar su compromiso con el cumplimiento de la legislación: protección
de datos de carácter personal, servicios sociedad de información, comercio
electrónico, propiedad intelectual, etc...
• Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de
seguridad de la información en la empresa
Para los Sistemas de Información:
• Sistematizar las actividades de SI
• Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación
de los empleados
• Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad
Seguridad de la Información – Auditoría de Sistemas
empresarial
• Establecer objetivos y metas que permitan aumentar el nivel de confianza en la
seguridad
• Planificar, organizar y estructurar los recursos asignados a seguridad de la
información
• Identificar y clasificar los activos de información
• Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de
la organización
• Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la
información
• Establecer planes para adecuada gestión de la continuidad del negocio
• Establecer procesos y actividades de revisión, mejora continua y auditoría de la
gestión y tratamiento de la información
3