martes, 2 de junio de 2009

Historia de un SGSI Cualquiera: El Sistema de Gestión y la Seguridad de la Información I

*****************************************************************
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información I
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información II

*****************************************************************

Un Sistema de Gestión de Seguridad de la Información está basado en el famoso ciclo de Deming que ha adoptado esta norma como otras (ISO 9000 e ISO 14000) y que está basado en cuatro fases denominadas como Plan Do Check Act, también conocido como ciclo PDCA. Este ciclo permite la mejora contínua de la seguridad de la información dentro de la organización apoyándose en el sistema de gestión como soporte para dicha mejora.Este Sistema de Gestión, como todo, tiene un principio y es en su construcción donde se hace hincapié en la primera auditoría. Esta rueda que va evolucionando poco a poco, permite a la organización mejorar su seguridad de la información, consiguiendo que la organización vaya poniendo el término Seguridad de la Información junto al de Sistema de Gestión. Lo que a mi me preocupa es si realmente en la primera iteración del SGSI hay Seguridad de la Información más allá de un Sistema de Gestión.

Ésta bien podría ser la historia de un SGSI cualquiera en una empesa cualquiera un día de auditoría cualquiera. Y es que no es lo mismo Sistema de Gestión que Seguridad de la Información. No es lo mismo y no van juntos por mucho que ISO 27001 se empeñe en jutarlos a los dos en el término Sistema de Gestión de Seguridad de la Información, al menos no en la primera iteración del ciclo PDCA.

La Historia podría comenzar un día cualquiera cuando el Gerente de una organización cualquiera escucha el término seguridad de la información e ISO 27001 juntos durante una conversación en el tiempo del almuerzo. "ah!, eso parece interesante!, ¿qué hay que hacer para conseguir esa cerctificación?", sus contertulios le dicen que es recomendable llamar a una consultora para que se encargue del trabajo y que ellos te lo van a a dejar todo prácticamente hecho y el señor Gerente se dispone ni corto ni perezoso a buscar la consultora apropiada, la encuentra y llama; "Hola, soy el señor Gerente, quisiera conseguir la ISO 27001 para mi empresa y me han comentado que vosotros podeis hacer la implantación", a esto le contestan desde la consultora que si, que no hay ningún problema, que ellos le van a dar toda la documentación y que su organización deberá particularizarla para su caso concreto así como implantar las medidas que se consideren adecuadas según sus objetivos, análisis de riesgos y cumplimiento legal, y que el Sistema de Gestión de Seguridad de la Información resultante tendrá que ser administrado y gestionado por ellos. "Bien, ¿cuanto tiempo llevará la implantación?", desde la consultora le apuntan que unos 6 u 8 meses, puede que incluso más, dependiendo de la organización.

[...]

No hay comentarios: