Cmo implementar modelos de seguridad de la informacin

Agosto 22, 2012 12:34 pm El crecimiento en el uso de la informacin ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevndola a ser parte de todo el anlisis de riesgos del negocio. Lo ms complicado al momento de integrar los temas de seguridad de la informacin es que, generalmente, no estn enfocados en los objetivos del negocio y sus intereses. Para que un modelo est en los mismos trminos de los objetivos del negocio, debera tener en cuenta tres reas principales: los lineamientos de seguridad, la gestin de la seguridad y los grupos de inters. Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compaa y que deben cumplirse dependiendo de las normatividades vigentes en los pases donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve reflejado en garantizar la proteccin de los sistemas y la informacin usada en los procesos de negocio, as por ejemplo si uno de los objetivos del negocio es garantizar un servicio en lnea 24/7, el modelo de seguridad debe garantizar que los sistemas estn funcionando, libres de malware que puedan interrumpir o poner lenta la operacin, adems de protegerlos de ataques externos. Y finalmente un anlisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio. Todos estos lineamientos, apuntan a que el sistema de gestin que se implementa garantice en la informacin tres caractersticas: la integridad, la disponibilidad y la confidencialidad. Estas tres caractersticas son fundamentales, y podran complementarse con otras tres, para formar lo que se conoce cmo el Parkerian Hexad: el control de la informacin que se refiere a que a pesar que la informacin se pueda perder esta no sea revelada, la verificacin del origen de los datos y la utilidad de los datos. El anlisis de la seguridad de la informacin agregando estas tres caractersticas hacen de la gestin un modelo ms especfico, y puede ser el avance haca un mayor nivel de madurez en la gestin de la seguridad de la informacin. La gestin de seguridad, debe desarrollarse a partir de estrategias, procesos y mtricas. La estrategia formada por polticas, estndares y guas son los lineamientos de lo que la organizacin va a cumplir de acuerdo a los lineamientos de seguridad definidos y adoptados; esta estrategia debe llevar a definir controles de seguridad viables para ser implementados por la organizacin. Los procesos deben reflejar cmo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qu forma interviene el recurso humano y la tecnologa para cumplir con los controles establecidos. Finalmente las mtricas van a permitir la retroalimentacin de todo el sistema, y van a permitir realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los lineamientos. La ltima de las reas que debe tenerse en cuenta son los grupos de inters (stakeholders) involucrados en la gestin de la seguridad de la informacin. Todos deben estar al tanto de los resultados, segn las mtricas definidas, de tal forma que quede claro cmo la gestin de la seguridad aporta a los objetivos del negocio. Esta es quizs el rea que ms necesite cuidado,

pues es la forma de evidenciar el cumplimiento de las expectativas que tiene la organizacin con la gestin de la seguridad. Finalmente, la gestin de la seguridad debe existir para soportar las operaciones del negocio y no debe convertirse en parte de los objetivos del negocio. En otras palabras, una empresa a partir de la definicin de su misin y su visin, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la informacin que permita alcanzarlos. H. Camilo Gutirrez Amaya Especialista de Awareness & Research