Aunque las organizaciones invierten recursos en implementar y mantener un sistema de gestión de seguridad de la información (SGSI), sus resultados no suelen ser visibles en la organización (a menos de que ocurra un incidente) y generalmente se considera que, su mayor valor es el cumplimiento normativo.
Si este es tu caso, quizás estás cometiendo estos errores al gestionar tu sistema. Es importante que tomes en cuenta que muchos de los elementos que vamos a exponer a continuación se relacionan y se impactan entre sí.
- SGSI primariamente orientado al cumplimiento. Muchas veces llevar a cabo prácticas aisladas tipo checklist de acuerdo con especificaciones de normas, buenas prácticas o estándares, no nos permiten tener una visión holística o sistémica de todos los componentes que debemos gestionar para el logro de resultados que van más allá del cumplimiento normativo, certificación y el alineamiento, “porque sí”, hacia buenas prácticas.
- Clasificación de activos y evaluación de riesgos con debilidades importantes. Una inadecuada identificación y valoración de activos críticos y su correspondiente evaluación de vulnerabilidades nos llevarán a ejecutar actividades no enfocadas y aterrizadas en las necesidades reales y específicas de cada organización. Si no tenemos enfoque, ¿qué gerenciamos?
- Chief Information Officer (CIO) reactivo a ofertas de productos y servicios de proveedores. Muchos gerentes pensamos que debemos tener lo último en tecnología o que tenemos que hacer lo que otras empresas hacen, sin evaluar, si esto, es lo que realmente la compañía necesita o si es una prioridad para nuestro SGSI. Es importante ser coherentes con la priorización de las acciones que provienen del programa de seguridad de la información, si no tienes un programa de seguridad seguramente serás reactivo.
- Falta de visión holística. Ser reactivos o definir protecciones ad hoc basadas en checklist, nos pueden hacer pasar por alto temas relevantes. Una visión integral es importante y esta visión tiene su origen en el entendimiento de todos los componentes de un sistema de gestión. Y cómo se interrelacionan entre sí. Si quieres conocer cuáles son los componentes de un sistema de gestión, te recomiendo investigues COBIT.
- No contar con un programa de seguridad. Tanto una evaluación periódica del SGSI (mejora continua), como la evaluación de riesgos/análisis de vulnerabilidades, nos permitirán tener claro cuáles son los planes de acción, y/o proyectos que debemos llevar a cabo para fortalecer nuestro SGSI. Recuerda, un sistema de gestión no es un proyecto único es un programa de mejora continua. Si tu SGSI no tiene un programa en el que se sustente, corre el riesgo de ser un SGSI solo en el papel.
- No se cumple el compromiso y liderazgo. Un sistema de gestión, aunque su nombre no lo hace explícito tiene un componente de gobierno (dirección y supervisión), que debe ser llevado a cabo de una forma efectiva, al más alto nivel. Esto se cumple cuando existe un compromiso claro (en hechos), que se traduce en acciones de direccionamiento, supervisión, asignación de recursos (¡muy importante!) y de liderazgo. Y, por último, esto es trascendental: deja de quejarte, que no tienes apoyo ya que también es tu obligación conseguirlo. ¿Cómo? Demostrando valor y enfoque.
Como parte de la mejora continua es importante que evalúes frecuentemente tu SGSI. Toma en cuenta si estás cometiendo estos errores y elimínalos para que tu sistema genere el valor que tu organización está esperando.
Autor: Juan Carlos López, Certified Information Security Manager (CISM) por ISACA.
Docente de la Maestría en Gestión de la Seguridad de la Información
