Uno de los activos más importantes dentro de cualquier
empresa es la información que sustenta todos sus procesos.
Conscientes de la
imperiosa necesidad de proteger este activo, cada vez son más las empresas que
desean iniciar el camino hacia la securización de este valor diferencial y para
ello están abordando la implantación de un Sistema de Gestión de la Seguridad
de la Información (SGSI).
El creciente interés de las empresas por la seguridad de la
información se ve impulsado por un conjunto de factores de diverso origen. Uno
de ellos radica en la fuerte presión sobre los consejos de administración para
conseguir garantías sobre la veracidad de la situación patrimonial y, por lo
tanto, sobre la integridad de la información que proporcionan los sistemas de
gestión del negocio.
Por otro lado, los aspectos legales y la regulación cada
vez más exigentes favorecen esta tendencia. Pero el argumento que:
Un proyecto de esta envergadura implica resolver cuatro
cuestiones fundamentales antes de su inicio. La primera consiste en obtener un
fuerte compromiso por parte de la alta dirección.
Ya que el objetivo fundamental del SGSI es garantizar la
continuidad del negocio, el enfoque por procesos se impone sobre el posible
enfoque tecnológico, puesto que su punto de partida consiste en centrar el
análisis en el valor relativo de un activo de información para un determinado
proceso de negocio.
En segundo lugar, tratándose de un esfuerzo continuo, es
preferible acotar el alcance del SGSI e ir desplegándolo progresivamente en vez
de afrontar una implantación masiva.
Una buena práctica consiste en concentrar
los máximos esfuerzos durante la planificación del SGSI y posteriormente
aplicarlo exclusivamente en el ámbito de un proceso piloto de la organización.
Algunos factores:
• La concienciación del empleado por
la seguridad. Principal objetivo a conseguir.
• Realización de comités
de dirección con descubrimiento continuo de no conformidades o acciones de
mejora.
• Creación de un sistema
de gestión de incidencias que recoja notificaciones continuas por parte de los
usuarios (los incidentes de seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se
trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es
un proceso.
• La seguridad no es un proyecto, es
una actividad continua y el programa de protección requiere el soporte de la
organización para tener éxito.
• La seguridad debe ser inherente a
los procesos de información y del negocio.
No hay comentarios.:
Publicar un comentario