El enfoque por procesos en la gestión de la seguridad de la información, ISO 27001 process aproach
|
|
|
Son ya muchas las organizaciones que han implantado sistemas de gestión de seguridad de la información, SGSI, sobre la norma internacional ISO 27001. Es una metodología excelente para aquellas empresas que necesiten aplicar niveles de excelencia en la seguridad tecnológica y de gestión de los productos y servicios que son estratégicos para su negocio.
Toni Martin-Avila - 26-12-2009
|
|
Son ya muchas las organizaciones que han implantado sistemas de gestión de seguridad de la información, SGSI, sobre la norma internacional ISO 27001. Es una metodología excelente para aquellas empresas que necesiten aplicar niveles de excelencia en la seguridad tecnológica y de gestión de los productos y servicios que son estratégicos para su negocio.
La propia norma ISO 27001, aunque cita la seguridad como una gestión enfocada a procesos, su redacción se centra en controles y muchos aspectos técnicos, lo que hace que en la implantación del SGSI no se tenga en cuenta del todo este enfoque.
Como otros sistemas de gestión como ISO 9001 , ISO 20000 o incluso ISO 14001, la seguridad se debe basar en un enfoque por procesos. De manera práctica en la empresa la propia gestión de la seguridad se podría entender como un proceso de soporte. En algunas organizaciones la gestión de la seguridad, se puede llegar a entender como estratégico, es el caso por ejemplo de un servicio web financiero o la plataforma tecnológica de una red social, donde la seguridad es una clave en su negocio, sin ella el propio negocio podría dejar de existir.
El error de muchas empresas es acometer una implantación de la norma ISO 27001 no enfocado a procesos en su despliegue, sino en una suma de controles, políticas y normas, usualmente poco inconexas y en ocasiones con una percepción poco práctica desde el propio comité de seguridad y por la percepción del resto de usuarios. La norma ISO 27001 no ayuda mucho tampoco en animar la necesidad de enfocar la implantación de un SGSI por los circuitos de gestión internos en la empresa. La norma ISO 20000, de prestación de servicios IT es, en cambio, mucho más natural en este sentido y la sensación de las empresas es que es resulta mucho más fácil de implantar y de mantener.
Siempre argumentamos que la seguridad de la información es cosa de todos, y la manera de entenderlo de manera práctica en la organización, es situarla en casi todos los procesos empresariales, difundiéndola en las personas, direccionando responsabilidades e integrándola en los workflow internos y en los sistemas de información empresariales. Así por ejemplo en la gestión de proveedores podemos situar la "cajita" de seguridad, en la contratación del mismo, y en algunos otros aspectos que al implantar ISO 27001 nacen, como son la necesidad de averiguar si la aplicación informática que vamos a contratar de esta empresa cumple con los requisitos de seguridad que hemos definido previamente.
De este mismo enfoque por procesos podemos entender el rol del departamento de seguridad de la información (responsable de seguridad y del comité de seguridad de la información,) como un servicio que ofrezca calidad y gestión sobre el concepto seguridad, a sus clientes internos y externos y a cualquier parte interesada. Un proceso (operativo o estratégico) donde convertimos los requisitos y las expectativas de seguridad de estos stakeholders a una salida con seguridad gestionada, ofreciendo de esta manera “calidad” en la seguridad de la información.
|
|
TEMAS EN CALIDAD TIC
ULTIMOS ARTICULOS PUBLICADOS
|
