No cabe duda que en los tiempos que corren todos somos conscientes de la necesidad de adoptar medidas para garantizar la seguridad de nuestros equipos electrónicos. Raro es quien no tiene instalado un antivirus en su ordenador o no tiene un PIN o cualquier otro sistema para limitar el acceso a su teléfono móvil (así se protege tanto la privacidad de los datos almacenados en él como el consumo de la línea).
Al igual que a nivel particular sucede con las empresas y la protección de sus sistemas informáticos. Según se hacen públicos y toman relevancia determinados problemas de seguridad se van toando medidas destinadas a hacer frente a cada problema. Este tipo de actuación, puramente reactiva, suele desembocar en la implantación de herramientas o soluciones puramente técnicas, soluciones que normalmente no suelen llegar a dominarse, configurarse adecuadamente ni a ser controladas y mantenidas para que presten eficientemente el servicio para el que han sido adquiridas. Y por supuesto no solo no hemos protegido nuestra información sino que asumimos nuevos, y tal vez mayores riesgos, al dotarnos de una falsa seguridad.
Todo esto nos lleva a que la seguridad de la información es un elemento más dentro de la Informática, un elemento complejo que necesita ser gestionado de forma conveniente y sistemática para que realmente se alcancen los niveles de seguridad deseada. Es decir debemos establecer un Sistema de Gestión entorno a las medidas que se adopten para garantizar la Seguridad de la Información, debemos implantar un SGSI.
¿Debemos por tanto ser especialistas en Seguridad de la Información (SI) y sus Sistemas de Gestión(SGSI)?. La respuesta es NO y es así por dos motivos:
1) Existen muchas empresas especializadas en la SI y en la implantación de los SGSI
2) La propia naturaleza y filosofía de los SGSI una vez implantados ayuda a los departamentos de Informática de las organizaciones a controlar y dar seguimiento a las medidas técnicas, organizativas y humanas adoptadas para hacer frente a las amenazas a la Información.
2) La propia naturaleza y filosofía de los SGSI una vez implantados ayuda a los departamentos de Informática de las organizaciones a controlar y dar seguimiento a las medidas técnicas, organizativas y humanas adoptadas para hacer frente a las amenazas a la Información.
A la hora de implantar un SGSI no se tiene que inventar nada; existen múltiples marcos que establecen cómo y con qué características hacerlo, pero todos ellos tienen algunas características comunes:
• Se deben adaptar al tamaño y naturaleza de la organización que los implantan
• Requieren una evaluación sistemática de las amenazas y riesgos y tienden a cubrir todo el espectro de contramedidas
• Se basan en la monitorización, el control y el registro documental
En los próximos artículos hablaremos de los marcos o aproximaciones más habituales a los SGSI.
• Requieren una evaluación sistemática de las amenazas y riesgos y tienden a cubrir todo el espectro de contramedidas
• Se basan en la monitorización, el control y el registro documental
En los próximos artículos hablaremos de los marcos o aproximaciones más habituales a los SGSI.
Imagen por cortesía de www.everystockphoto.com