Uno de los aspectos más importantes en una empresa, no importa a qué se dedique, es la seguridad de sus datos. Asegurarles a los clientes de que su información está protegida permite a cualquier empresa cumplir con sus obligaciones de manera eficiente y generar confianza. Para ello, el sistema SGSI facilita una guía a las empresas para evaluar los riesgos y definir las aplicaciones de control necesarias para eliminarlos o minimizar sus consecuencias negativas.
La norma ISO/IEC 27001 guía la implementación del SGSI. Como hemos visto en otros artículos, un aspecto clave de esta norma es que aborda la seguridad de la información desde una perspectiva holística. Al no centrarse solo en la seguridad informática, es una gran forma de ajustar y mejorar procesos de control en todas las áreas de una empresa con respecto a la seguridad de sus archivos.
En este artículo te explicaremos todo sobre este sistema SGSI, qué es, los componentes de un SGSI, qué significan sus siglas, sus beneficios y cómo se implementa. También abordaremos qué tipo de alcance debe tener y qué errores debes evitar al hacerlo.
¿Qué es un SGSI?
Las siglas SGSI (en inglés, Information Security Management System) significan en español sistema de gestión de seguridad de la información que evalúa todos los riesgos asociados con los datos e información de una empresa.
El SGSI es un elemento central de la norma internacional ISO 27001, que persigue asegurar la integridad y confidencialidad de los datos y los sistemas encargados de procesarlos. Consiste entonces en el conjunto de políticas, procedimientos y directrices que se administran colectivamente con ese fin.
Además, según la visión dada por el estándar ISO/IEC 27001, el SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio.
De hecho, las empresas que obtienen el certificado ISO 27001 se destacan por su tratamiento seguro y preciso de todos los datos que manejan. De esta manera, se aseguran de contar con un estándar a nivel internacional para proteger la privacidad e integridad de la información.
Para verificar aún más la implementación exitosa de un SGSI y el uso de la norma ISO/IEC 27001, las empresas a menudo buscan la certificación ISO 27001. Los organismos de certificación o registro aprobados revisan el SGSI para:
- Asegurarse de que existan los documentos esenciales (Etapa 1)
- Comprobar que el SGSI esté configurado y supervisado correctamente (Etapa 2)
- Revisar que la empresa continúe con sus esfuerzos para proteger los activos de información (Revisión continua).
¿Cuáles son los beneficios del SGSI?
Si bien el SGSI no es un sistema de fácil implantación, resulta una herramienta completa para conocer y gestionar los riesgos a los que se enfrenta el negocio al manejar su información a diario. Al implementar un SGSI en tu empresa puedes eliminar esos riesgos o establecer los mecanismos necesarios para mitigar sus consecuencias.
Los principales beneficios que obtiene una empresa al poner en marcha un sistema SGSI para la seguridad de sus datos, son:
- Reducción de riesgos. En el SGSI se pueden identificar los riesgos y amenazas gracias a controles, protocolos, políticas y monitorización de procesos logrando reducir el número de amenazas de forma notable. De esta forma, si se produce un incidente relacionado con los datos, el negocio estará preparado para actuar de forma inmediata minimizando su impacto.
- Reducción de costes. Al optimizar los procesos para evaluar y detectar amenazas, se descarta aquellos poco eficaces. Con un uso racional de los recursos se consigue entonces un ahorro de costes en seguridad.
- Integración de la seguridad en el negocio. Cuando se ejecuta un sistema SGSI, este requiere del involucramiento de todos los miembros de la empresa. Esto conlleva también un cambio de mentalidad, donde la seguridad sea uno de los componentes más importantes en cualquier proceso o actividad del negocio.
- Cumplimiento de la normativa vigente en seguridad. Este tipo de norma permite cumplir con gran parte de las leyes nacionales e internacionales para el tratamiento y protección de datos. La empresa podrá ser evaluada positivamente por organismos reguladores.
- Incremento de la competitividad. Otro beneficio es que al adquirir esta certificación ISO de seguridad, la empresa tendrá un elemento diferenciador con la competencia. Como dijimos al inicio, los clientes se sentirán más confiados y seguros de compartir sus datos al saber que la empresa utiliza las mejores prácticas.
¿Qué tipo de soluciones ofrece un sistema SGSI?
Como te explicamos antes, la norma ISO/IEC 27001 aborda la seguridad de la información desde una perspectiva holística, por lo que no se centra solo en la seguridad informática.
En total, el marco SGSI recomienda más de 100 controles para proteger los activos de información, principalmente los procesos y la información de la organización. Estos están organizados en 14 “conjuntos de control” o grupos, como Seguridad de Recursos Humanos, Gestión de Activos o Seguridad Física y Ambiental.
Por lo tanto, el alcance del sistema de gestión de seguridad de la información aclara cuáles son sus límites en función del contexto, la importancia y la ubicación de los activos críticos de información de la organización. Por ejemplo, en este aspecto podemos mencionar unidades, ubicaciones o departamentos.
A su vez se incluyen los riesgos propios o externos asociados, como las leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales.
Otro aspecto que complica la implementación del SGSI es la necesidad de tener en cuenta los problemas internos y externos. Esto se conoce como análisis del contexto de la organización. Como también los requisitos y expectativas procedentes de las partes interesadas, que se relacionan con las actividades esenciales. Con estas últimas queremos decir aquellas actividades que permiten cumplir con la misión y los objetivos generales de la organización.
Por último, se deben definir los procesos a incluir en el alcance y sus relaciones. Aquí la organización debe tener en cuenta no solo los procesos de seguridad de la información sino todos los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la seguridad de la información.
Cómo implementar el SGSI paso a paso
Ahora que te hemos explicado varios de los aspectos que cubre este tipo de sistema, te preguntarás entonces cómo implantarlo correctamente en tu empresa. Si bien existen varios métodos, se suele utilizar el Ciclo de Deming o PDCA (en inglés significa las fases Plan, Do, Check, Act) que hace referencia a la serie planea, implementa, comprueba y actúa.
Por lo tanto, hablamos de un sistema diseñado para implementar una mejora continua en la gestión y ejecución de procesos. A continuación te mostramos cómo implementar un SGSI con PDCA paso a paso:
1. Planificar (Plan)
En esta fase inicial lo habitual es que tu empresa realice una evaluación de todos los riesgos y amenazas sobre la información que se producen en sus distintas áreas.
De esta manera, deben establecer los controles oportunos para medir el nivel de riesgo de los datos en su flujo interno y externo. Como también, definir las políticas necesarias para el cumplimiento de las medidas de seguridad.
2. Hacer (Do)
Ahora pasamos al momento donde se implementan la selección de controles adecuados para medir los riesgos. Al ser un ciclo bastante corto, pero consistente, aquí deberán poner en marcha el sistema SGSI para la detección y evaluación de los riesgos y amenazas.
3. Comprobar (Check)
Una vez puesto en marcha el SGSI, será momento de evaluar y revisar la eficiencia y la eficacia. Mediante el uso de los KPI (métricas asociadas a objetivos) y el análisis de feedback, la empresa podrá determinar si se están alcanzando los objetivos fijados.
Es esta cuarta etapa donde se detectan fallos o errores que deben ser corregidos.
4. Actuar (Act)
Una vez que llegan a esta última fase, deberán aplicarse las correcciones o cambios necesarios en el sistema. El motivo de este proceso es para sacar el máximo rendimiento que fueron detectados en la fase anterior de comprobación.
Como recomendación final, debes tener en cuenta que el SGSI es un sistema dinámico que persigue una mejora continua en la detección, evaluación y reducción de amenazas y riesgos de la información.
De esta forma, se trata de un ciclo que se repite constantemente, con cambios de planificación, nuevas implementaciones en seguridad, monitoreo y control continuo. Incluso podemos añadir las aplicaciones y ajustes constantes para alcanzar un alto nivel de seguridad de los datos de la empresa.
Los errores más comunes que debes evitar al implementar el SGSI
Al ser una de las normas que exigen conocimiento amplio en procesos, políticas y cuestiones técnicas propias de la seguridad, el SGSI es una de las normas más complicadas de implementar y sobre todo de mejorar.
Por eso, si bien las cuatro fases del SGSI que te hemos compartido son una de las maneras más eficientes de llevarlo a cabo, también es cierto que requieren de mucha preparación. Por eso, algunas empresas deciden contratar consultores, abrir un área de calidad o incluso comprar formatos que ayuden a acelerar el proceso de certificación.
Para simplificar un poco más eso y que no te quedes con lo negativo, te acercamos algunos de los errores más comunes que deben evitar al implementar el SGSI.
Implementar en tiempos récord
Generalmente, las organizaciones deciden implementar un sistema de gestión de seguridad de la información porque algún cliente lo está pidiendo o se exige en una licitación. Por eso, es entendible la prisa por lograr concretar cada fase y llegar a los tiempos planteados.
Sin embargo, implementar un sistema de gestión en poco tiempo implica el riesgo de que los objetivos del sistema sean endebles y no se perciba el valor real de la gestión.
Separar la operación del SGSI de la real de la organización
Otro error común que suele suceder es pensar que un SGSI es una obligación lejos de un beneficio. La decisión más fácil entonces es mantener el sistema con evidencia que no refleja la realidad de tu negocio.
Podemos decirte que ese tipo de uso vuelve al SGSI un gasto más que una inversión.
Certificar solo una parte de la organización
Esta opción es totalmente válida y no significa necesariamente algo malo, ya que la misma norma te pedirá un alcance. Pero puede también que exista un riesgo latente de caer en el punto anterior y tener dos operaciones (una dentro del SGSI y otra sin gestión).
Para evitar este error, se puede implementar todo el SGSI en la empresa, pero tomando la decisión de limitar el alcance para la certificación solamente. De esta manera podrás evitar el error número 2.
Sin apoyo de la alta dirección
Cuando se le asigna un presupuesto a la implementación del SGSI no es la única acción que deberá hacer la dirección.
Una de las maneras más eficientes de obtener ese apoyo es explicar la importancia de la ciberseguridad en las empresas y por qué es ideal que la dirección asigne las metas del sistema, más allá de la obtención de la certificación. La coherencia en todas las fases les permitirá una mejor coordinación y desarrollo de los procesos de mejora continua.
Olvidar el SGSI después de la implementación
Otro error bastante lamentable es también operarlo un mes antes de la siguiente visita de los auditores. Este sistema gestión contempla la mejora, no de manera intermitente sino, continua.
Para ponerlo más simple, es como si los directores tomaran acciones en la empresa solamente cuando ocurren imprevistos, amenazas o errores. Siguiendo esa línea, la empresa nunca llegará a ser estable.
Utilizar formatos sin conciencia
Si bien no es incorrecto el uso de formatos, también es cierto al no estudiarlos detenidamente o adaptarlos correctamente se pueden cometer errores de operaciones. Es importante entonces adaptar los formatos a la organización y no la organización a los formatos.
Realizar un SGSI para la auditoria y no para la organización
Un auditor podrá decirte que es muy notoria la elaboración de documentación que facilite su trabajo, o incluso operar el SGSI solo para la auditoria. Esta acción no crea ningún beneficio para el negocio, resulta más bien en otro gasto innecesario.
Conclusión
Ahora que conoces la importancia de implementar el SGSI para proteger todo tipo de información en una empresa, creemos también necesario repetir que su implementación debe realizarse cuidadosamente. Consiste en un sistema que puede ser beneficioso para todo tipo de empresa, desde pymes hasta organizaciones de gran estructura.
Por último, una correcta aplicación del SGSI desde la Norma ISO 27001 puede lograr que la organización funcione mejor, proteja los datos y brinde confianza a sus clientes. Entendiendo la delicadeza de los datos, el diseño de políticas de gestión de riesgo y de manejo de los mismos es vital para cualquier empresa.
