| |
PARTE I DE II
En estas líneas trataremos de presentar el lado bueno y el “oscuro” de la norma. Pero para no perder la esperanza, lo haremos primero, dando a conocer la forma de resolver la problemática, para mantener le fe. Luego, incrementaremos la ilusión a través de las ventajas que ofrece. Y por último (casi en letras pequeñas) daremos un par de desventajas, para que no pensemos que es todo perfecto en esta vida.
PROBLEMÁTICA
Tal vez la mayor problemática que posea una PyMEs para encarar ISO-27001, es lograr convencer a su Directorio de la importancia que revista todo el proceso de implementación de la misma.
El discurso más eficiente parte, sin lugar a dudas, de los dos mayores argumentos que diferencian ISO-27001 de ISO-17799, pues el resto es lo que tienen en común, es decir los “controles” (que hoy ya se denominan ISO-27002). Estos controles, son sencillamente varios grupos de medidas técnicas, que como corresponde, no convencen a ningún director (pues, con mis mayores respetos, no saben de lo que le estamos hablando). Estos dos “nuevos” argumentos SÍ convencen a los cargos jerárquicos, son propios del lenguaje gerencial. Ya los hemos mencionado en otras oportunidades, y son:
• El análisis de Riesgo (AR)
• La puesta en funcionamiento de un verdadero SGSI (Sistema de Gestión de la Seguridad de la Información)
A continuación avanzamos un poco más en ambos.
A. El análisis de riesgo
Es la secuencia natural para obtener resultados del análisis de riesgo, es:
- La identificación, definición, descripción y valoración de los activos.
- El cálculo de impacto (debilidades, riesgo, grado de exposición, popularidad, criticidad, etc.) que podría ocasionar cualquier problema sobre cada uno de ellos.
- El riesgo concreto que se posee de producirse determinados hechos.
- Las salvaguardas que se pueden aplicar para minimizar el riesgo.
- Conjunto de acciones que pueden realizarse (En lo posible agrupadas por similitud o área).
- Propuesta de varios cursos de acción posibles (desde el de máxima, intermedios al de mínima).
- Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar el máximo nivel de la empresa (o en definitiva a pagar….).
Desde NCS hemos comprobado y vivido fehacientemente, que último paso que se trató es el más importante de todos, pues recién a partir de este, se puede iniciar el conjunto de medidas para minimizar los riesgos, y a su vez para ir solucionando los impactos que SÍ este dispuesta a abordar la Dirección (“por escrito”: Declaración de intenciones). Lo cual dará como resultado un nuevo análisis de riesgo, para ver cómo evolucionaron las acciones, y los nuevos riesgos residuales….y las nuevas decisiones estratégicas……….y las nuevas acciones……….y las nuevas mejoras……….y las nuevas…………..al fin y al cabo de esto se trata la idea de ciclo, gestión o PDCA.
Jamás debe olvidarse:
La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas. Hasta es mejor que juegue al golf y allí concrete grandes negocios).
Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de la empresa.
Y ahí sí sabrá elegir cuál es el mejor curso de acción, que deberá adoptar para su negocio global (si se lo hemos sabido presentar debidamente......).
Por lo tanto el trabajo importante es saber resumir/concretar el trabajo, de muchas semanas o meses que conlleva esta tarea, entre tres a seis CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, encontrar todos los medios de llevar adelante esta determinación (y por supuesto, generar el correspondiente “feedback”).
El discurso final y convincente del AR, se logra cuando se ha sabido llegar a identificar claramente los “Procesos de negocio”, y sobre ellos centrar la máxima atención de seguridad. Esto es lo que da de comer a la empresa, y todo directorio necesita dormir tranquilo sobre ellos. Por lo tanto, si esto se ha hecho bien, tenemos grandes posibilidades de haber ganado esta “primer batalla”, logrando que a través del curso de acción que la Dirección haya elegido, podamos empezar nuestro trabajo.
B. SGSI
La segunda estrategia para obtener el éxito de nuestra problemática, pasa por el SGSI, el cual como su nombre lo indica, es un proceso de gestión, cosa que también conoce con alto grado de detalle un director.
Lo mejor que podemos hacer es respetar estrictamente lo que propone la norma como PDCA (Plan-Do-Check-Act), y asegurar que desde el primer día el sistema entrará en “Rodaje”. Esto implica que se pueden planificar seriamente sus acciones, hitos y evolución. Si se sabe presentar bien el SGSI, este es otro logro, pues un sistema que “rueda”, a través de los ciclos que va sufriendo, puede demostrar con máxima eficiencia su evolución la cual, en términos jerárquicos de la empresa. Indica claramente, cómo se emplean los recursos que nos dieron. A través de cuadros de mando, pueden verificar cuantitativamente si se están empleando con corrección los mismos, cosa que en nuestro trabajo diario en seguridad, se nos suele hacer muy difícil de “poner en el escaparate directivo”. Es decir, los planteos que ISO-27001 hace para implementar un SGSI, son discursos netamente convincentes.
|
|
