72
Perspectiva Empresarial
Implantación de un SGSI
FACTORES CRÍTICOS QUE GARANTIZAN EL BUEN GOBIERNO Y LA SEGURIDAD CORPORATIVA
Nuria
Sánchez Luengo
BUSINESS DEVELOPER
Steria España
U
no de los activos más
importantes dentro de
cualquier empresa es la
información que sustenta todos sus
procesos. Conscientes de la imperiosa
necesidad de proteger este activo,
cada vez son más las empresas que
desean iniciar el camino hacia la
securización de este valor diferencial y
para ello están abordando la
implantación de un Sistema de
Gestión de la Seguridad de la
Información (SGSI).
El creciente interés de las empresas
por la seguridad de la información se
ve impulsado por un conjunto de
factores de diverso origen. Uno de
ellos radica en la fuerte presión sobre
los consejos de administración para
conseguir garantías sobre la veracidad
de la situación patrimonial y por lo
tanto, sobre la integridad de la
información que proporcionan los
sistemas de gestión del negocio. Por
otro lado, los aspectos legales y la
regulación cada vez más exigentes
favorecen esta tendencia. Pero el
argumento que probablemente cobra
más fuerza es lo que realmente está
en juego: garantizar la continuidad del
negocio y proteger uno de los activos
más vitales, la información.
nº 26
octubre 2008
Factores de éxito
Un proyecto de esta envergadura
implica resolver cuatro cuestiones
fundamentales antes de su inicio. La
primera consiste en obtener un fuerte
compromiso por parte de la alta
dirección. Para ello será oportuno
dotar a la organización de todas las
instancias de gobierno relevantes (por
Un proyecto de esta
envergadura implica
resolver cuatro cuestiones
fundamentales antes de su
inicio
ejemplo un Comité de Seguridad) e
involucrar a la dirección general en las
decisiones.
El segundo punto entraña definir un
modelo que implique en su gestión a
toda la organización y no sólo al área
encargada de implantar y administrar
el SGSI. Esto es básico, tanto en la
implantación como en el
mantenimiento posterior. Permite
además concienciar a los profesionales
de la empresa de la importancia de la
seguridad y, con ello, facilitar el
cambio cultural y fomentar la mejora
continua.
Otro elemento ha de ser la
determinación del enfoque del
proyecto. Puntos fundamentales como
el enfoque, tecnológico u orientado a
procesos, el alcance y ámbito de
aplicación del SGSI, la metodología de
análisis de riesgo a utilizar, necesitan
ser definidos.
Ya que el objetivo fundamental del
SGSI es garantizar la continuidad del
negocio, el enfoque por procesos se
impone sobre el posible enfoque
tecnológico, puesto que su punto de
partida consiste en centrar el análisis
en el valor relativo de un activo de
información para un determinado
proceso de negocio. En segundo lugar,
tratándose de un esfuerzo continuo,
es preferible acotar el alcance del
SGSI e ir desplegándolo
progresivamente en vez de afrontar
una implantación masiva. Una buena
práctica consiste en concentrar los
máximos esfuerzos durante la
planificación del SGSI y
posteriormente aplicarlo
exclusivamente en el ámbito de un
proceso piloto de la organización.
Este proceso debería ser elegido
por sus características representativas
dentro de la organización en cuanto a
uso de activos de información y
requerimientos de seguridad. En
cuanto a metodologías de análisis de
riesgo, existen muchas y muy válidas,
por lo cual lo más adecuado es
escoger la que más se adapte a los
requerimientos de la organización
para aplicarla en el proceso piloto y
ajustarla a las especificidades del
negocio (definición de los catálogos de
amenazas, de las categorías de
activos, etc.). Este último punto
justifica por sí solo un alcance
reducido puesto que si la metodología

utilizada no produce los resultados
esperados, no se podrán satisfacer las
expectativas de la organización,
pudiéndose generar posteriores
resistencias.
No menos importante es la elección
de una aplicación que soporte el SGSI
y que cumpla con los siguientes
requisitos: flexibilidad y adaptabilidad
para la definición, implantación y
administración del modelo de gestión
de la seguridad de la información
(procesos, roles, etc.); dotada de
herramientas para la realización del
análisis de riesgos (ejecución de
metodologías de análisis de riesgos) y
capacidades para el control
documental (control de versiones,
control de accesos, tanto para el
sistema en sí como las evidencias del
mismo).
Organización del proyecto
El acercamiento por procesos
facilita la comprensión de los
Perspectiva Empresarial
El creciente interés de las
empresas por la seguridad
de la información se ve
impulsado por un conjunto
de factores de diverso
origen
requisitos de una organización en
cuanto a seguridad de la información.
Así se posibilita el obtener una visión
funcional y, basada en ella, un claro
reflejo de los soportes de información
necesarios para la consecución de sus
objetivos.
La utilización de un ciclo de
Deming (Planificar-Implementar-
Verificar-Mejorar) para estructurar
el ciclo de vida del SGSI garantiza la
realización y seguimiento de las
tareas para satisfacer los
requerimientos de una organización
73
en su Política de Seguridad. Además,
facilita su ajuste sistemático a las
necesidades cambiantes de la
organización.
Comenzando por la fase de
Planificar del SGSI hay que destacar
tres puntos fundamentales: la
definición del modelo de gestión, el
análisis y la gestión de riesgos. El
diseño del modelo de gestión consiste
en definir el SGSI y dotarle de las
estructuras corporativas para que
pueda realizar su misión. Se trata de
determinar los contenidos que darán
cuerpo al SGSI y los mecanismos de
determinación de los mismos: la
Política de Seguridad, su alcance y
ámbito de aplicación, sus órganos de
Gobierno con una clara definición de
los roles y los procedimientos de
gestión, y finalmente las metodologías
de análisis de riesgos a utilizar.
Además, estos contenidos deberán ser
recogidos a través de un conjunto de
documentos, que permitirá evidenciar
la implantación de dicho modelo
conceptual.
nº 26
octubre 2008
74
Perspectiva Empresarial
El análisis de riesgos contempla
dos actividades principales: un
análisis de riesgos de alto nivel que
permite identificar y valorar los
principales escenarios de riesgo
susceptibles de impactar la buena
marcha de la organización y, sobre
los puntos anteriores, un análisis
detallado cuya finalidad es conformar
el mapa de riesgos efectivos y
determinar el nivel de riesgo
aceptable que la organización es
capaz de asumir.
El estudio y análisis de riesgos es
crítico dado que sus resultados
condicionarán el éxito de la
implantación del SGSI. El gran reto
de esta etapa consiste en aplicar un
enfoque metodológico que facilite la
identificación de los riesgos
relevantes, evitando el fenómeno de
dispersión. Además, debe garantizar
la homogeneidad de los niveles de
riesgos obtenidos en toda la
organización, de forma que el
análisis final sea coherente. La
utilización de criterios simples será
nº 26
octubre 2008
El estudio y análisis de
riesgos es crítico dado que
sus resultados
condicionarán el éxito de la
implantación del SGSI
indispensable para presentar
resultados que sean fácilmente
entendibles y gestionables.
La posterior gestión de los riesgos
identificados se realiza en dos
tiempos. En primer lugar, se debe
determinar cómo tratar los riesgos
que superan el nivel establecido. Son
posibles cuatro tipo de actuaciones:
eliminar el riesgo (prescindiendo de
activos innecesarios, reemplazando
tecnologías obsoletas por otras, etc.),
transferir el riesgo a terceros (firma
de seguros o externalización vía
proveedores especializados), asumir el
riesgo o controlarlo.
En caso de que la selección anterior
nos lleve al establecimiento de
controles, será preciso realizar un
estudio de los que son aplicables,
utilizando para ello los controles que
propone la norma ISO 17799 u otros
definidos por la propia organización.
Para cada medida susceptible de mitigar
el riesgo, se debe valorar el beneficio de
su aplicación a la luz del coste de
implantación y del riesgo residual
resultante. Fruto del análisis, se podrán
seleccionar los controles que finalmente
se van a implantar y conformar el
documento de aplicabilidad que
recogerá el conjunto de decisiones
tomadas y sus fundamentos.
La mayor dificultad reside en la
simulación del riesgo residual. Hay
que determinar cómo valorar de la
forma más objetiva posible el impacto
que supone la implantación de un
control sobre la magnitud del riesgo.
El buen término de esta fase nos
permitirá afrontar el ciclo de vida del
SGSI de forma más sencilla. Así,
dentro de la fase de Implementar,
se podrán poner en marcha las
directrices de la política de seguridad
establecida, con la implantación de los
controles y el seguimiento de sus
procedimientos, sin traumas en la
organización. Posteriormente, se
podrá acometer la fase de Verificar,
con la realización de monitorizaciones
y mediciones, así como revisiones del
sistema que proporcionen resultados
útiles para la organización. El objetivo
final de este método de trabajo es
implementar la mejora continua,
plasmada en la última fase, la de
Mejorar, una mejora que consiste en
la ejecución de las acciones
preventivas y correctivas identificadas
durante el ciclo de vida del SGSI.
Como conclusión, la implementación
efectiva de un SGSI depende en gran
medida de la concepción inicial del
proyecto y la adaptación del modelo a
las necesidades de cada empresa.