Creación de un Sistema Gestor de la Seguridad de la Información (SGSI) según las normativas ISO27001 y 27002.

Un SGSI es una poderosa herramienta de estudio de la situación real de una empresa y se define como un conjunto de políticas de administración de la información, con todo lo que eso conlleva. Dicho de otro modo, en un SGSI se define y organiza el diseño, la implantación y el mantenimiento de un conjunto de procesos que ayuden a gestionar eficientemente la accesibilidad de la información, y que aseguren la confidencialidad, integridad y disponibilidad de los activos de información, minimizando a la vez los riesgos de seguridad de éstos.

La normativa ISO27001 deja mucha libertad a la hora de implantar un SGSI, y por tanto surgen múltiples metodologías, tanto nacionales como internacionales, o incluso metodologías desarrolladas por iniciativas privadas. Por tanto, el resultado final dependerá directamente de la metodología escogida y lo fielmente que la realización final se ajuste a ella.

Las ventajas de implantar un SGSI son múltiples: se consigue una mejora de la seguridad de los activos de la empresa, un mejor conocimiento interno de la misma, y se elaboran políticas repetibles que dan continuidad al trabajo y al desempeño de los trabajadores. A mayores de todo esto, se minimizan los riesgos a los que está sometida la empresa, y el impacto de los mismos si es que llegan a materializarse.

Sin embargo, implantar un SGSI no es un proceso sencillo ni barato, tanto en términos monetarios como de tiempo y recursos humanos. Un SGSI es un proceso que debe verificarse por un agente acreditado externo, que suele requerir un periodo aproximado de año y medio para implantarse con éxito, y que además debe mantenerse para que tenga alguna validez. Si un SGSI no se revisa constantemente inevitablemente quedará desfasado, y pasará a dejar de ser válido. Además, el tiempo dedicado a su implantación no se dedica a otras tareas, a menudo más urgentes o inmediatas.

Por todo esto, cabe concluir que la decisión de implantar un SGSI debe ser meditada y consensuada por la directiva y el departamento técnico de una empresa. Cualquier tipo de empresa puede beneficiarse de su implantación; sin embargo, el esfuerzo necesario para llevarlo a cabo no se debe emprender a la ligera. Debe estudiarse con detenimiento para asegurarse de que la ganancia acarreada por su implantación superará a los costes que generen dicha implantación y su posterior mantenimiento.

 

Fdo. Javier González Rodríguez
Dpto. Desarrollo de Leasba Consulting

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *