Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
96<br />
pero que no sabe si se está realizando correctam<strong>en</strong>te o <strong>la</strong>s dinámicas que <strong>la</strong><br />
afectan. A través <strong>de</strong>l Sistema <strong>de</strong> <strong>Gestión</strong>, <strong>la</strong> dirección pue<strong>de</strong> gestionar <strong>la</strong> <strong>seguridad</strong><br />
<strong>en</strong> base a objetivos, recursos, p<strong>la</strong>nificaciones e indicadores, <strong>de</strong> forma<br />
semejante a como gestiona otras áreas <strong>de</strong> <strong>la</strong> <strong>empresa</strong>, sin t<strong>en</strong>er que sumergirse<br />
<strong>en</strong> aspectos excesivam<strong>en</strong>te técnicos. El Sistema <strong>de</strong> <strong>Gestión</strong> rompe <strong>la</strong> barrera<br />
<strong>de</strong> <strong>en</strong>t<strong>en</strong>dimi<strong>en</strong>to que existía <strong>en</strong>tre <strong>la</strong> dirección y el responsable <strong>de</strong> <strong>seguridad</strong>,<br />
orig<strong>en</strong> <strong>de</strong> algunas ley<strong>en</strong>das urbanas popu<strong>la</strong>res como <strong>la</strong> <strong>de</strong>l director<br />
g<strong>en</strong>eral que pregunta <strong>en</strong> el asc<strong>en</strong>sor al responsable <strong>de</strong> <strong>seguridad</strong> cómo estamos<br />
<strong>en</strong> <strong>seguridad</strong>, y otras semejantes.<br />
El tercer b<strong>en</strong>eficiario es <strong>la</strong> propia organización, que inicia una mejora sost<strong>en</strong>ida<br />
<strong>en</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información. Dado que <strong>la</strong> <strong>seguridad</strong> evalúa todos los<br />
aspectos <strong>de</strong> <strong>seguridad</strong>, <strong>de</strong>s<strong>de</strong> los más tecnológicos ligados a los Sistemas <strong>de</strong><br />
Información hasta los <strong>de</strong> personal, <strong>seguridad</strong> jurídica, o <strong>la</strong> <strong>de</strong> insta<strong>la</strong>ciones,<br />
todas <strong>la</strong>s áreas <strong>de</strong> <strong>la</strong> organización van a po<strong>de</strong>r mejorar y ser más seguras y<br />
efici<strong>en</strong>tes <strong>en</strong> un mom<strong>en</strong>to u otro. A<strong>de</strong>más, el personal <strong>de</strong> <strong>la</strong> organización va<br />
a ser consci<strong>en</strong>te <strong>de</strong> <strong>la</strong> necesidad <strong>de</strong> <strong>seguridad</strong> <strong>en</strong> <strong>la</strong>s activida<strong>de</strong>s. La conci<strong>en</strong>ciación<br />
<strong>de</strong> <strong>seguridad</strong> (security awar<strong>en</strong>ess) ayuda así a <strong>la</strong> motivación <strong>de</strong> todos<br />
los miembros <strong>de</strong> <strong>la</strong> organización, puesto que todos ellos ti<strong>en</strong><strong>en</strong> un papel c<strong>la</strong>ro<br />
<strong>en</strong> <strong>la</strong> aportación <strong>de</strong> <strong>seguridad</strong> a <strong>la</strong> compañía.<br />
Com<strong>en</strong>zaremos <strong>la</strong> <strong>de</strong>scripción <strong>de</strong> <strong>la</strong> familia ISO 27000 con el estándar<br />
27001, que formalm<strong>en</strong>te se <strong>en</strong>carga <strong>de</strong> <strong>la</strong> <strong>de</strong>finición <strong>de</strong> qué es un Sistema <strong>de</strong><br />
<strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información y qué requisitos <strong>de</strong>be satisfacer, tanto<br />
<strong>de</strong>s<strong>de</strong> el punto <strong>de</strong> vista <strong>de</strong> ciclo <strong>de</strong> vida y procesos aj<strong>en</strong>os al mismo, como<br />
<strong>de</strong> herrami<strong>en</strong>tas utilizadas, docum<strong>en</strong>tación y otros aspectos que <strong>de</strong>b<strong>en</strong> integrarlo.<br />
Por lo tanto, al establecer un conjunto <strong>de</strong> requisitos para el sistema,<br />
estos pue<strong>de</strong>n ser verificados por un tercero que emita un certificado <strong>de</strong> cumplimi<strong>en</strong>to<br />
<strong>de</strong> los mismos. Por ello, es el estándar ISO 27001 el único que pue<strong>de</strong><br />
ser certificado.<br />
ISO 27001 <strong>de</strong>scribe una metodología <strong>de</strong> trabajo, el ciclo <strong>de</strong> mejora continua<br />
<strong>en</strong> que se apoya <strong>la</strong> operativa <strong>de</strong>l Sistema <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información.<br />
Se trata <strong>de</strong> un ciclo PDCA, que se recorre <strong>en</strong> cuatro fases: P<strong>la</strong>nificación<br />
(letra P, P<strong>la</strong>n <strong>de</strong> PDCA), Imp<strong>la</strong>ntación (letra D, Do), Verificación (letra C,<br />
Check) y Corrección (letra A, Act).