FISO27001_T016 Factores Críticos de Éxito de un SGSI

Plataformas de Aprendizaje Autodirigido

Factores Críticos de Éxito de un SGSI.

Un gran número de factores son fundamentales para la implementación exitosa de un SGSI que permite a una organización cumplir con sus objetivos de negocio.

El creciente interés de las empresas por la seguridad de la información se ve impulsado por un conjunto de factores de diverso origen. Uno de ellos radica en la fuerte presión sobre los consejos de administración para conseguir garantías sobre la veracidad de la situación patrimonial y, por lo tanto, sobre la integridad de la información que proporcionan los sistemas de gestión del negocio. Por otro lado, los aspectos legales y la regulación cada vez más exigentes favorecen esta tendencia. Pero el argumento que probablemente cobra más fuerza es lo que realmente está en juego: garantizar la continuidad del negocio y proteger uno de los activos más vitales, la información.

Algunos ejemplos de factores críticos de éxito son:

  1. Que la política, los objetivos y actividades de seguridad de la información estén alineados con los objetivos del negocio.
  2. Un enfoque y un marco para el diseño, ejecución, seguimiento, mantenimiento y mejora de la seguridad de la información en consonancia de la cultura de la organización.
  3. El apoyo visible y el compromiso de todos los niveles de la Dirección, especialmente de Alta Dirección.
  4. El conocimiento y entendimiento de los requisitos de protección de los activos de información obtenido mediante la aplicación de la gestión del riesgo de la seguridad de la información (Norma ISO/IEC 27005).
  5. Un programa efectivo de concienciación, formación y educación sobre seguridad de la información, informando a todos los empleados y otras partes interesadas de sus responsabilidades en seguridad de la información establecidas en las políticas de seguridad de la información, normas, etc.
  6. Un proceso eficaz de gestión de incidentes de seguridad de la información.
  7. Un enfoque efectivo de gestión de la continuidad del negocio.
  8. Un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y para proporcionar sugerencias de mejora.

Factores de Éxito.

Un proyecto de esta envergadura implica resolver cuatro cuestiones fundamentales antes de su inicio.

La primera consiste en obtener un fuerte compromiso por parte de la alta dirección. Para ello será oportuno dotar a la organización de todas las instancias de gobierno relevantes (por ejemplo, un Comité de Seguridad) e involucrar a la dirección general en las decisiones.

El segundo punto entraña definir un modelo que implique en su gestión a toda la organización y no sólo al área encargada de implantar y administrar el SGSI. Esto es básico, tanto en la implantación como en el mantenimiento posterior. Permite además concienciar a los profesionales de la empresa de la importancia de la seguridad y, con ello, facilitar el cambio cultural y fomentar la mejora continua.

Otro elemento ha de ser la determinación del enfoque del proyecto. Puntos fundamentales como el enfoque, tecnológico u orientado a procesos, el alcance y ámbito de aplicación del SGSI, la metodología de análisis de riesgo a utilizar, necesitan ser definidos.

Ya que el objetivo fundamental del SGSI es garantizar la continuidad del negocio, el enfoque por procesos se impone sobre el posible enfoque tecnológico, puesto que su punto de partida consiste en centrar el análisis en el valor relativo de un activo de información para un determinado proceso de negocio. En segundo lugar, tratándose de un esfuerzo continuo, es preferible acotar el alcance del SGSI e ir desplegándolo progresivamente en vez de afrontar una implantación masiva. Una buena práctica consiste en concentrar los máximos esfuerzos durante la planificación del SGSI y posteriormente aplicarlo exclusivamente en el ámbito de un proceso piloto de la organización.

Un SGSI aumenta la probabilidad de que una organización alcance de forma coherente los factores críticos de éxito para proteger sus activos de información.