Las empresas implementan Sistemas de Gestión de Seguridad Integrados (SGSI) con la finalidad de lograr niveles de seguridad suficientes para proteger la data sensible de la empresa. Sin embargo, los alcances del SGSI siempre dependerán de la madurez de la seguridad informática de la empresa; y otros factores cuyos impactos necesitamos comprender y medir antes de iniciar la implementación.
Como expertos en gestión de seguridad y de sistemas de TI, tenemos planes que pueden facilitarte el proceso; y así mejorar los alcances del SGSI a niveles más ambiciosos y óptimos, más allá de lo suficiente. Veamos entonces cómo iniciamos este proceso.
Alcances del SGSI: El inicio
Para determinar los alcances del SGSI, lo principal que debemos hacer es sistematizar la documentación que rige a la organización. A este paso le llamamos la identificación de elementos críticos a proteger. En otras palabras, iniciamos el proceso al conocer cuál información será privilegiada bajo el ala de los alcances del SGSI; y discriminarla de aquella que seguirá siendo de dominio público.
Con esta acción comenzamos a modelar y a definir los alcances del SGSI de cada empresa. Sin embargo, tal acción es escasamente el primer paso de una seguidilla de protocolos que debemos observar. En este punto, haremos un pequeño paréntesis para explicarlos.
Con el objeto de compendiar todo este conglomerado de detalles; se han creado muchas normas orientadas a la aplicación de mejores prácticas para prevenir el riesgo de fuga de datos. Sin embargo, tomaremos el marco referencial de la Norma ISO 27001 porque goza de gran aceptación a nivel mundial para la definición de los alcances del SGSI.
Así pues, encontramos que su cláusula 4.1 indica expresamente que se deben ponderar tanto los factores internos como los factores externos relacionados con la organización y su modelo de negocio.
En concreto, delimitar los alcances del SGSI demanda la numeración e incorporación de detalles de los activos ligados a la información crítica tales como tipo de dispositivo que la contiene; ubicación física; unidades organizacionales; y actividades o procesos supeditados de mayor importancia en el esquema organizacional. Detallémoslos.
Alcances del SGSI: Elementos Internos
Por una parte, se define como elementos internos a aquellos que están relacionados con el desempeño de la organización que controlan y moldean su hacer diario.
En este sentido, el grupo de elementos acobijados bajo la etiqueta de elementos internos encontramos:
- Misión, visión y objetivos de la empresa
- Gobierno de TI y estructura organizacional
- Procesos y niveles de madurez de TI
- Planes estratégicos
- Secretos profesionales
- Datos personales de los empleados
- Datos financieros y similares.
Alcances del SGSI: Elementos Externos
Por otra parte; se define como elementos externos como aquellos que se encuentran fuera del rango de poder o control de la empresa. Entre ellos podemos nombrar:
- Mercado local
- Competencia
- Prácticas de la industria
- Leyes locales e internacionales
- Ambiente político
- Ambiente financiero
Una vez identificamos clara y precisamente los elementos; conocemos en profundidad las características particulares de la empresa y el entorno donde se desempeña para materializar sus objetivos en materia de seguridad. Con ello, enmarcamos los alcances del SGSI.
Alcances del SGSI: La implementación
Luego de establecer el alcance del SGSI, pasamos a la fase de creación de registros que sirven de timón para darle marcha.
En este sentido, son precisamente ellos los que sirven de lineamiento para la mayoría de los procesos de mejora porque permiten la corrección de errores o imprecisiones que pudieron haberse cometido durante la fase de identificación y recolección de elementos críticos.
Además, también permite la corrección de desviaciones en las acciones adoptadas para la protección de los datos sensibles de la empresa; bien por exceso o bien por defecto.
En otras palabras, estos registros pondrán en relieve todos los aciertos, excesos y carencias operativas en nuestros Sistemas de Gestión de Seguridad Integrados; y nos va a señalar el camino de las acciones correctivas para garantizar su mejora continua.
Alcances del SGSI: Consideraciones finales
Como toda creación del hombre; los alcances del SGSI deben revisarse regularmente para atender al cumplimiento de cambios en la política y objetivos de cada compañía. Dicho de otra forma; los alcances del SGSI deben ajustarse a la medida en que los factores internos y externos cambian y se replantean para cada compañía.
Asimismo, deberán ajustarse en la medida en que los resultados de auditorías de seguridad y de las mediciones de eficacia; incidentes; sugerencias y observaciones de todas las partes implicadas. En concreto; tener siempre presente que los alcances del SGSI están lejos de ser valores fijos que terminan con la implantación; puesta en marcha y posterior certificación; sino que debe mejorarse continuamente.
Te lo reiteramos: Como expertos en gestión de seguridad y de sistemas de TI, tenemos planes que pueden facilitarte el proceso; y así mejorar los alcances del SGSI a niveles más ambiciosos y óptimos, más allá de lo suficiente. Contáctanos aquí para ayudarte a iniciar tu propio proceso.