Página principal

viernes, 26 de julio de 2013

Los 4 pilares fundamentales del SGSI

Roadmap Sistema de Gestión de Seguridad de la Información (SGGSI)
En esta entrada del blog vamos a presentar 4 conceptos muy generales entorno a los que se podrían agrupar todas las actividades relacionadas con el funcionamiento del SGSI y que, como explicaremos al final del artículo, nos serán de gran utilidad para definir unos Objetivos Generales del Sistema.

Consideraremos como pilares fundamentales del SGSI:
 - El cumplimiento normativo.
 - La gestión del riesgo.
 - La concienciación y formación del personal.
 - La gestión de incidentes.


El cumplimiento normativo

En ocasiones anteriores hemos definido el SGSI como un conjunto de responsabilidades y tareas relativas a la gestión de seguridad de la información. No obstante, ambas deben estar formalmente definidas, siendo necesario recogerlas por escrito en políticas, normas (o estándares), procedimientos e instrucciones técnicas.

Dentro del cumplimiento deberemos considerar también los requisitos legales y contractuales aplicables al ámbito del sistema, que de un modo u otro deberemos recoger (o al menos referenciar) en nuestro Marco Normativo, para garantizar y evidenciar que se encuentran identificados.

La gestión del riesgo

La gestión del riesgo es una técnica de análisis coste-beneficio. Este enfoque nos ayudará a identificar los activos de información críticos en nuestro sistema y a priorizar los proyectos y actividades a llevar a cabo para mejorar el nivel de seguridad global.

SPOILER: Sin embargo la experiencia nos dice que, en el mundo real, los análisis de riesgos en el ámbito de seguridad de la información no suelen satisfacer las expectativas generadas; es decir, no aportan a la Dirección de la Organización el valor que se les espera. En SeguridadLogica trataremos de desmitificar la gestión del riesgo, siempre desde un enfoque práctico, entendible y racional. 

La concienciación y formación del personal

En el blog no nos cansaremos de repetir que la salvaguarda más eficaz que puede implantar cualquier organización es la concienciación del personal y por esto será otro  pilar fundamental del SGSI, junto con la formación en materia de seguridad de la información.

Como norma general, la formación se ofrecerá al personal que tenga asignadas tareas específicas de seguridad, mientras que las actividades de concienciación irán dirigidas a todo el personal de la Organización dentro del alcance del SGSI.

La gestión de incidentes

De algún modo, el fin último de todas las actividades del SGSI, será la prevención de incidentes de seguridad de la información. Lógicamente, no todos los incidentes se pueden prevenir y por esto  también será necesario definir y "entrenar" procedimientos de actuación para cuando éstos ocurran.

Poniéndonos en el peor de los casos, desde un punto de vista estrictamente del negocio, un incidente de seguridad grave podría llegar a provocar que las organizaciones afectadas sufrieran grandes pérdidas económicas o incluso tuvieran que cesar en sus operaciones de forma definitiva. En muchos casos no será factible (o rentable) la prevención de este tipo de incidentes "catastróficos", debiéndose enfocar los esfuerzos hacia la definición y entrenamiento de una serie de procedimientos de actuación en caso de emergencia. 

¿Y qué hay de los Objetivos Generales del SGSI?

El SGSI es un proceso de mejora continua que, como cualquier otro, requiere de un seguimiento y una valoración periódica de los resultados obtenidos. Para ello es imprescindible establecer unos objetivos y determinar si el SGSI ha permitido alcanzarlos, con lo que tendríamos un sistema eficaz.

Dado que los 4 pilares del SGSI engloban todas las actividades relacionadas con su funcionamiento, podemos deducir que son unos claros candidatos para definir sus objetivos generales.

En SeguridadLógica trataremos de forma detallada la medición de la eficacia, por ahora es suficiente que nos quedemos con 2 ideas:
  1. La eficacia del SGSI se medirá respecto al cumplimiento de sus objetivos generales. 
  2. El cumplimiento de cada uno de los objetivos del SGSI evaluará respecto a la eficacia de los controles y salvaguardas implantadas en la organización para darles cumplimiento, los cuales serán más concretos y técnicos, más "tangibles".
De este modo elaboraremos un sistema de métricas que nos permita valorar tanto la eficacia de los controles implantados como la eficacia global del SGSI (Si no os suena a UNE-ISO\IEC 27001, ya os sonará...)

miércoles, 22 de mayo de 2013

El Sistema de Gestión de Seguridad de la Información (SGSI)

En esta primera entrada explicaremos el concepto de Sistema de Gestión de Seguridad de la Información (en adelante SGSI) junto con beneficios que debe ofrecer de su implantación. Antes de nada, lo que más nos puede interesar es...

¿Qué aportaría realmente a nuestra organización la impantación de un SGSI?

SGSI
Un SGSI permite formalizar, dentro de un ámbito definido, las prácticas exitentes relacionados con la seguridad de la información,  así como seleccionar e impulsar aquellas nuevas que se identifiquen adecuadas atendiendo los requisitos de seguridad establecidos en dicho ámbito. En definitiva, el SGSI nos permitirá "organizar lo que tenemos" y adoptar unas rutinas de trabajo para mejorar de forma continua. 

Hace algunos años los Planes Directores de Seguridad eran el paradigma por excelencia en cuanto a la gestión de la seguriad de la información. Éstos se vendían como un "traje a medida" para organizaciónes que pretendían alcanzar un estado de seguridad óptimo a medio y largo plazo. Sin embargo (independientemente de que el "traje a medida" finalmente resultaba haber sido comprado en unos grandes almacenes...) el tiempo nos ha demostrado que las planificaciones estratégicas a más de 2 años vista no se suelen cumplir en un entorno tan cambiante como el de las tecnologías de la información en la actualidad. El SGSI, ofrece un enfoque mucho más moderno y flexible, facilitándonos la replanificación año tras año. Esto nos permite incluir nuevos proyectos, priorizar y sobretodo aprender continuamente de la experiencia. Naturalmente, todas las replanificaciones deberán justificarse con argumentos sólidos, pero eso lo veremos más adelante...

Ahora bien, ¿qué es el SGSI en sí? ¿qué elementos lo constituyen?

Un SGSI es un proceso; un conjunto de responsabilidades y tareas relativas a la gestión de la seguridad de la información.

Éstas tareas y responsabilidades deben ser formalmente aprobadas y conocidas en el ámbito del SGSI, para lo cual será necesario elaborar un compendio de documentos que poco a poco irán conformando nuestro Marco Normativo de Seguridad de la Información.

Manos a la obra... ¿por dónde empiezo?

En proximas entradas del blog presentaremos un "roadmap" para la implantación y mantenimiento de un SGSI y analizaremos las claves del éxito para constituir lo que denominaremos sus "4 pilares fundamentales".

jueves, 2 de mayo de 2013

Bienvenidos a Seguridad Lógica.

Bienvenidos a Seguridad Lógica, SegLog para los amigos. Este blog nace con el objetivo de crean un directorio de conceptos y referencias que pueda resultar de utilidad a profesionales relacionados con la Gestión de la Seguridad de la Información.

Habitualmente, el término Seguridad Lógica hace referencia a aquellas salvaguardas destinadas a proteger los sistemas de información frente a las amenazas que pueden ser materializadas utilizando exclusivamente técnicas informáticas, electrónicas o telemáticas.

Sin embargo, en este blog queremos darle otro significado, y cuando hablamos de Seguridad Lógica nos referimos a la gestión de la seguridad de la información desde un punto de vista práctico, comprensible y racional. 

Por supuesto, cualquier profesional relacionado con la gestión de la seguridad de la información necesita disponer de unos “amplios“ conocimientos técnicos, aunque no necesariamente deben ser “profundos” en todos y cada uno de sus ámbitos. Por esto, en Seguridad Lógica, también trataremos de explicar algunos conceptos técnicos esenciales con el nivel de detalle que consideramos adecuado para el propósito que nos ocupa.

Bueno, comenzamos...

(Nota: después de varios meses, me he decidido a relanzar este blog, a ver qué tal nos va)