Un sistema de gestión de la seguridad de la información (SGSI) es un conjunto de controles que una organización implementa para proteger sus propios activos de información y otros activos de información de los que es responsable.
Explicación de la jerga de TI
Sistema de gestión de la seguridad de la información
Imagine por un momento que tiene un teléfono móvil concreto que utiliza para trabajar. En él ha almacenado información de tarjetas de crédito para pagar compras, información bancaria para revisar sus finanzas, datos importantes de los clientes para los que trabaja, credenciales de inicio de sesión de los servicios a los que está suscrito y gran cantidad de datos propios relacionados con el funcionamiento interno de su empresa.
Si, como la mayoría de las personas, lleva su teléfono móvil a todas partes, existe la posibilidad de que en algún momento se pierda o se lo roben. Si eso ocurre, ¿qué pasa con la información almacenada en el dispositivo? ¿Cómo protege su propia privacidad y la seguridad de su información? ¿Y cómo protege la información de sus clientes?
La respuesta a todas estas preguntas es establecer un sistema de gestión de la seguridad de la información (SGSI): un conjunto de políticas, procedimientos y protocolos diseñados para proteger la información confidencial de su empresa y evitar que se destruya o caiga en manos equivocadas. En este artículo se analiza el SGSI en detalle: explicaremos qué es, la historia de la seguridad de la información y algunas prácticas recomendadas para implementar un SGSI que proteja los datos críticos de su organización.
Relacionado: 7 formas en que UEM mejora su seguridad
¿Qué es un sistema de gestión de la seguridad de la información?
Un sistema de gestión de la seguridad de la información (SGSI) es un conjunto de controles que una organización implementa para proteger sus propios activos de información y otros activos de información de los que es responsable. Las organizaciones que diseñan e implementan su propio SGSI encontrarán formas de reducir la probabilidad de que se produzca una filtración de datos, limitar su responsabilidad cuando se produzca una filtración y mitigar de otras maneras el impacto de cualquier problema de seguridad de los datos. Estos son algunos de los elementos clave que componen un SGSI eficaz:
Un SGSI es un sistema para gestionar la seguridad de los datos
Un SGSI establecido rige las políticas, los procedimientos, los procesos y los flujos de trabajo elegidos para ayudar a proteger la seguridad de los datos de una organización. Una vez que la organización ha definido las políticas, deben implementarse y ponerse en funcionamiento en toda la organización para materializar sus beneficios. La organización gestiona las políticas mediante el ciclo PDCA (Planificar, Hacer, Comprobar, Actuar), revisando periódicamente los procedimientos y ajustándolos según sea necesario.
Aunque no existen requisitos oficiales de documentación para el SGSI, es una práctica habitual documentar las políticas y los procedimientos para la administración del SGSI basada en procesos, así como cualquier política, procedimiento, proceso, flujo de trabajo o control implementado para promover los objetivos de seguridad de los datos de la empresa.
El SGSI no trata todos los datos por igual
El SGSI describe cómo debe proteger la organización los datos, pero no tiene por qué tratar todos los datos organizativos exactamente de la misma manera. Las organizaciones crean, registran e intercambian muchos tipos diferentes de datos cada día. Hemos mencionado algunos tipos anteriormente: registros financieros de la empresa, credenciales e información de inicio de sesión de los servicios que utiliza la organización, perfiles e información de clientes y usuarios, y tarjetas de crédito corporativas y datos bancarios. También hay correos electrónicos, informes, datos de inventario, datos de instalaciones, registros de servicio de equipos, etc.
No todos los datos organizativos tienen que estar sujetos al mismo nivel de seguridad, y proteger determinados tipos de datos conlleva costes financieros y de productividad. Por ejemplo, si la organización exige autenticación de doble factor para iniciar sesión en el correo electrónico, un empleado podría perder dos minutos adicionales de productividad cada vez que consulta su correo. ¿Merece la pena? Corresponde a los responsables de la organización decidirlo mediante sus propias evaluaciones de riesgos.
El cumplimiento del SGSI es crucial para una implementación correcta
Crear un SGSI y guardarlo en una carpeta en algún lugar no sirve, en última instancia, para mejorar la seguridad de la información en su organización: lo que le protege frente a filtraciones de datos es la implementación eficaz de las políticas y la integración de la seguridad de la información en la cultura organizativa. Aunque establecer y mantener el SGSI es un primer paso importante, formar a los empleados en el SGSI e incorporar el cumplimiento en los procesos y actividades diarios de la organización es prioritario si desea proteger adecuadamente sus datos.
Un SGSI es dinámico, no estático
El SGSI es un sistema vivo que cambia constantemente: es dinámico, no estático. En ISO 27001, una norma de seguridad de la información, el ciclo PDCA se aplica a los sistemas SGSI. Las empresas deben establecer el SGSI (planificar), implementar y operar el SGSI (hacer), supervisar y revisar el SGSI (comprobar), y mantener y mejorar el SGSI (actuar). El SGSI debe revisarse y actualizarse periódicamente para reflejar un entorno de seguridad de la información cambiante y las nuevas prácticas recomendadas en seguridad de los datos.
Un SGSI eficaz se basa en el riesgo
Es importante entender que proteger los datos de su organización frente a brechas de seguridad en términos absolutos probablemente sea imposible. Un ladrón o un hacker con tiempo y recursos suficientes acabará encontrando, con toda probabilidad, una forma de penetrar las medidas de seguridad que implemente. Un ciberataque contra un sistema de seguridad poco sofisticado podría llevar a una sola persona apenas unas horas, mientras que acceder a un servidor muy protegido podría requerir semanas para un equipo de expertos en seguridad formados.
Las organizaciones deben realizar una evaluación de riesgos que determine qué activos necesitan mayor protección y asignar recursos de forma eficaz para protegerlos. Un SGSI basado en riesgos tiene en cuenta el riesgo relativo de los distintos tipos de activos de información al asignar recursos a la protección de activos.
Relacionado:Trabajo seguro desde cualquier lugar
¿Por qué deben las organizaciones proteger sus datos?
Ahora que comprendemos en detalle qué es un SGSI, debemos entender y valorar por qué es tan importante que las organizaciones protejan sus datos estableciendo un SGSI. Estas son las razones más importantes por las que las organizaciones deben establecer un SGSI para ayudar a proteger sus datos:
El SGSI le ayuda a gestionar la seguridad de los datos a escala
Volviendo a nuestro ejemplo inicial del teléfono móvil de empresa que podría perderse o ser robado, sería relativamente sencillo proteger un único dispositivo para evitar que caiga en manos equivocadas, pero ¿qué ocurre cuando su organización tiene 100 empleados con 85 ordenadores de sobremesa, 20 portátiles, 40 teléfonos móviles, una sala de servidores y un repositorio en la nube para todos sus documentos críticos? En este punto, necesita gestionar la seguridad de la información a escala porque hay un gran volumen de datos y una red amplia. Un solo dispositivo con un programa antivirus obsoleto o mal configurado podría convertirse en una vulnerabilidad que comprometa la red. Un SGSI proporciona controles que ayudan a proteger cada endpoint frente a ataques maliciosos, protegiendo el sistema en su conjunto.
Las filtraciones de datos son extremadamente costosas
Si nunca ha sufrido una filtración de datos en la que se robase información de muchos clientes, debe saber que, cuando se producen, resultan increíblemente costosas. El estudio 2017 Cost of Data Breach Study, realizado por el Ponemon Institute con el patrocinio de IBM, determinó que el coste medio de una filtración de datos en 2017 fue de 3,62 millones de dólares. Es posible que haya oído hablar de la filtración de datos de Equifax, que provocó una caída del 20 % en el precio de sus acciones y más de 30 demandas colectivas contra la empresa en el plazo de un mes. El gigante de Internet Yahoo también sufrió una brecha de seguridad importante que comprometió la información de las cuentas de sus 3000 millones de usuarios; las consecuencias incluyeron 35 millones de dólares en multas federales, un acuerdo judicial de 80 millones de dólares y una reducción de 350 millones de dólares en su valor de adquisición.
Además, existen costes asociados a notificar a los clientes que sus datos se han visto comprometidos, contratar expertos en seguridad para corregir las vulnerabilidades que provocaron la brecha, y otras sanciones, multas y compensaciones económicas para las personas afectadas.
Las organizaciones pueden obtener la certificación ISO 27001
La Organización Internacional de Normalización (ISO) es una entidad global que publica normas y prácticas recomendadas para las organizaciones. En 2005, ISO publicó un documento conocido formalmente como ISO/IEC 27001:2005, que establece la norma internacional para los sistemas de gestión de la seguridad de la información. Las organizaciones que crean su SGSI de conformidad con estas normas más recientes de seguridad de la información pueden obtener una certificación que demuestra a sus clientes y socios que han establecido un sistema adecuado para proteger sus activos de información.
La certificación ISO 27001 aporta una ventaja empresarial a las organizaciones, ya que les permite demostrar su cumplimiento de las prácticas recomendadas más actuales para la gestión de la seguridad de la información.
Cómo implementar un SGSI en su organización
Las organizaciones pueden obtener importantes beneficios al implementar un SGSI, lograr el cumplimiento de ISO 27001 y garantizar la seguridad de sus activos de información, pero se requiere un proceso exhaustivo de implementación y formación para aprovechar todos los beneficios del SGSI. Así puede empezar a implementar un SGSI en su organización:
Primer paso: identificación y valoración de activos
El primer paso para implementar un SGSI consiste en identificar los activos que deben protegerse y determinar su valor relativo para la organización. Recuerde que un SGSI basado en riesgos tiene en cuenta la importancia relativa de los distintos tipos de datos y dispositivos, y los protege en consecuencia. En este paso, las organizaciones recopilan datos de la documentación para identificar activos de TI críticos para el negocio y su importancia relativa para la organización.
Las organizaciones deben crear una declaración de sensibilidad (SoS) que asigne una valoración a cada uno de sus activos de TI en tres dimensiones independientes: confidencialidad, integridad y disponibilidad:
- Confidencialidad - garantizar que la información sea accesible exclusivamente para las personas autorizadas
- Integridad - garantizar que la información que debe protegerse sea precisa y completa, y que la información y los métodos de procesamiento estén protegidos
- Disponibilidad - garantizar que las personas autorizadas tengan acceso a la información y los activos protegidos cuando los necesiten
Las organizaciones deben encontrar un equilibrio entre proteger los activos y hacerlos accesibles a las personas autorizadas que puedan necesitar los datos para realizar su trabajo.
Segundo paso: realizar una evaluación de riesgos detallada
Una vez completadas la identificación y valoración de activos, y después de que la organización haya formulado una SoS, llega el momento de realizar una evaluación de riesgos detallada que servirá de base para la creación del SGSI. Un análisis de evaluación de riesgos incluye cuatro pasos importantes para determinar cómo debe protegerse el activo de TI:
- Amenazas - La organización debe analizar las amenazas para el activo documentando cualquier evento no deseado que pudiera provocar un uso indebido, pérdida o daño de los activos, ya sea de forma deliberada o accidental.
- Vulnerabilidades - Las amenazas son una descripción concreta de lo que podría ocurrir, y las vulnerabilidades miden hasta qué punto el activo de TI podría ser susceptible a las amenazas identificadas en la primera parte del análisis. Aquí es donde se empieza a diferenciar entre distintos tipos de activos: aunque un ataque de software malicioso supone una amenaza para servidores, portátiles y teléfonos, podríamos indicar aquí que los teléfonos son más vulnerables a la amenaza porque se utilizarán de forma remota y podrían conectarse a varias redes externas, mientras que los servidores se mantendrán internamente y se supervisarán las 24 horas.
- Impacto y probabilidad - La organización ya puede evaluar la probabilidad de que se produzcan determinados tipos de brechas, junto con la magnitud del daño potencial que se derivaría de cada tipo de filtración de datos. Las organizaciones pueden utilizar un análisis coste-beneficio para centrar las medidas de seguridad más estrictas en las brechas que podrían causar más daño.
- Mitigación - Por último, la organización propone métodos para minimizar las amenazas, vulnerabilidades e impactos reconocidos mediante políticas y procedimientos en el SGSI.
Tercer paso: establecer el SGSI
Ahora que la organización ha identificado los activos que deben protegerse y ha realizado una evaluación de riesgos completa, puede proceder a redactar las políticas y los procedimientos concretos que componen el SGSI. Las organizaciones deben establecer el SGSI de conformidad con ISO 27001 si desean obtener una certificación de prácticas recomendadas en gestión de la seguridad de la información.
Volviendo a nuestro primer ejemplo del teléfono de empresa no protegido, ¿qué medidas podría adoptar la organización para garantizar que la información del teléfono esté adecuadamente protegida en caso de pérdida o robo? Estos son algunos ejemplos de políticas que podrían implementarse para ayudar a mitigar el riesgo:
- La pérdida o el robo de teléfonos deben notificarse al departamento de TI en un plazo de ocho horas. Si no sabe dónde está su teléfono, póngase en contacto con TI inmediatamente.
- TI debe tener la capacidad de localizar y borrar de forma remota cualquier teléfono propiedad de la empresa.
- Los teléfonos de la empresa deben protegerse con una contraseña biométrica que corresponda a la persona asignada: debe utilizarse una huella dactilar, un escaneo de retina o tecnología de reconocimiento facial para desbloquear el teléfono.
- Los teléfonos de la empresa se entregan con una funda segura para la cintura, lo que ayuda a los empleados a evitar la pérdida del activo al llevarlo sujeto a su cuerpo cuando no lo utilizan.
Este conjunto de políticas y procedimientos minimizaría la posibilidad de que se produjera una filtración de datos debido a la pérdida de un teléfono. El requisito de una contraseña biométrica aumenta de forma significativa el nivel de sofisticación necesario para obtener acceso no autorizado al teléfono, los requisitos de notificación introducen una responsabilidad adicional para el usuario del teléfono y TI puede eliminar los datos confidenciales de cualquier teléfono notificado como desaparecido.
Relacionado:Crear bases sólidas de TI y seguridad
Resumen
Un SGSI es un conjunto de políticas y procedimientos que establecen cómo protegerá su empresa sus activos de información frente a usos indebidos, pérdidas o daños, ya sean deliberados o accidentales. Establecer un SGSI es un paso importante para proteger los activos de datos de su organización y protegerse frente a las implicaciones legales y financieras de una filtración de datos. Las organizaciones pueden obtener la certificación ISO 27001 cumpliendo las normas globales para SGSI. La implementación de un SGSI requiere que las organizaciones identifiquen y evalúen sus activos, realicen una evaluación de riesgos y documenten las políticas y los procedimientos establecidos. Se requieren programas de formación para garantizar que los empleados cumplan el SGSI al gestionar datos confidenciales.
El SGSI debe mantenerse y revisarse periódicamente, siguiendo el ciclo PDCA, con el objetivo de lograr una mejora continua hacia un SGSI basado en riesgos que satisfaga las necesidades de seguridad de los datos de la organización.