<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=848456963278081&amp;ev=PageView&amp;noscript=1">

Para la implementación y mantenimiento de un sistema de gestión de seguridad de la información es clave gestionar adecuadamente la confidencialidad, la integridad y la disponibilidad de los activos de información. Sin embargo, esto no es suficiente. Además, es fundamental contar con el compromiso de las directivas y de todos los integrantes de la organización. Es por esto que hoy, en Pensemos queremos ofrecerle 12 tips que le permitirán lograr los resultados esperados con su Sistema de Seguridad de la Información. 

• ¡Descargue ya nuestra guía de Balanced Scorecard y dele a su organización  una mejor proyección a futuro! •

Garantizar el éxito del Sistema de Seguridad de la Información (SGSI) en su organización

Administrar la información de manera efectiva no es una tarea sencilla. Sin embargo, contar con un sistema que garantice  la confidencialidad, integridad y disponibilidad de los activos de información y minimice a la vez los riesgos de seguridad de la información es crucial. En Pensemos tenemos una amplia trayectoria en el desarrollo del SGSI, y hoy, le daremos doce consejos que le ayudarán a garantizar el éxito de su sistema.  Para desarrollar cada uno de estos consejos los hemos agrupado en dos temas principales:

  1. ¿Cómo gestionar las dimensiones de la seguridad de la información?

    Los primeros 7 tips están relacionados con la gestión de la confidencialidad, la integridad y la disponibilidad, las tres dimensiones de la seguridad de la información. Estas tres dimensiones son los pilares fundamentales de la gestión de la información para procesar, almacenar y transmitir el enorme volumen de datos que se generan en la sociedad actual, denominada sociedad de la información.
  2. ¿Cómo lograr compromiso con el SGSI?

    Los siguientes 5 tips están relacionados con las actividades básicas para lograr el compromiso de los integrantes de la organización con el SGSI. Este tema es fundamental si se entiende el capital humano no como un costo, sino como un activo de valor para el negocio. Con una menor resistencia al cambio las organizaciones se vuelven más competitivas y dirigen los esfuerzos a capitalizar su recurso humano.

Sección 1: ¿Cómo gestionar las dimensiones de la seguridad de la información?

La confidencialidad es la primera dimensión y el primer pilar que debe respetar la gestión de la información para ser eficaz y eficiente. Este principio indica que la información solo debe ser accesible para las personas autorizadas.

La información puede estar en alto riesgo si se hace caso omiso a las recomendaciones de seguridad o no se implanta un sistema adecuado, si olvidamos cerrar nuestra sesión, si desechamos un disco duro antes de borrar sus datos o si no ciframos los datos de manera adecuada. No olvide que los riesgos informáticos no son los únicos a los que está expuesta su organización y es importante poder identificar cuáles son estos peligros para poder prevenirlos.

A continuación le presentamos los primeros tres tips para garantizar la confidencialidad de la información en su organización.

 

1. Definir mecanismos para acceder a la información mediante autorización y control

Se deben implementar políticas de autenticación para identificar al emisor del mensaje, al creador del documento o el equipo que se conecta a una red o servicio. Normalmente, para lograr esta identificación se utiliza un nombre de usuario y una contraseña (lo que uno sabe) al entrar en el sistema informático . Sin embargo, es importante tener en cuenta que existen otras técnicas más seguras como la tarjeta magnética (lo que uno tiene) y las huellas digitales (lo que uno es).

Aunque la utilización de más de un método a la vez aumenta las probabilidades de que la autenticación sea correcta, la decisión de adoptar más de un modo de autenticación debe tomarse  de acuerdo con el valor de la información a proteger.

2. Mantener secreta determinada información

Es necesario definir la información a proteger y el uso permitido de esa información. No toda la información de la organización es igual de crítica. Los recursos en general, y los datos en particular, se organizan en niveles y cada nivel debe tener una autorización. Solo se debe dar autorización para acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, de lo contrario se les denegará. También, es posible dar autorizaciones transitorias o modificarlas a medida que las necesidades del usuario varíen.

3. Prevenir la divulgación no autorizada de la información

Se deben realizar y revisar regularmente los acuerdos de confidencialidad o no-divulgación. Esto acuerdos deben reflejar las necesidades de la organización respecto  a la protección de la información y deben considerar los siguientes elementos:

    1. Definición de la información a proteger.
    2. Duración esperada del acuerdo.
    3. Acciones a realizar una vez se finalice el acuerdo.
    4. Responsabilidades y acciones de los firmantes.
    5. Propiedad de la información.
    6. Uso permitido de la información confidencial.
    7. Acciones por tomar en caso de incumplimiento del acuerdo
    8. Condiciones para retorno o destrucción de la información una vez se termine el acuerdo.

La segunda dimensión es la integridad, que busca prevenir modificaciones no autorizadas de la información, con el fin de que esta se mantenga inalterada ante accidentes o intentos maliciosos. La integridad se pierde cuando la información se modifica o cuando parte de ella se elimina. Los dos tips que se presentan a continuación, serán cruciales para mejorar la integridad de la información de su organización.

4. Definir procesos de autorización para la modificación de la información

  • Es importante definir procesos de autorización para la modificación de la información. Se deben utilizar técnicas de codificación, controles criptográficos o firmas digitales. Asimismo,  definir e implementar un proceso de verificación y aprobación formal, antes de que la información esté  disponible para modificación, debe ser un requerimiento indispensable.
  • En el caso de acuerdos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información, se deben establecer procedimientos para determinar si algún activo está comprometido cuando ha ocurrido una pérdida o modificación de datos.
  • Los deberes y áreas de responsabilidad deben estar segregados para reducir el riesgo de mal uso accidental o deliberado del sistema y se debe separar la iniciación de un evento de su autorización. 
  • Para evitar que las actividades de desarrollo y pruebas  causen daños no intencionados al software o a la información, es deseable separar los medios de desarrollo, prueba y operación.  Así se reduce el riesgo de un cambio accidental o un acceso no-autorizado al software operacional y la data del negocio.

Para profundizar en el tema de riesgos informáticos puede resultar útil nuestro artículo: Análisis de riesgo informático: 4 pasos para implementarlo.

5. Prevenir la degradación del sistema informático

  • Para prevenir la degradación del sistema informático se deben mantener registros de todas las fallas sospechadas y reales, y de todos los mantenimientos correctivos y preventivos. Adicionalmente, cuando se realiza un mantenimiento, es necesario revisar la información confidencial del equipo y definir si el mantenimiento debe ser realizado por personal interno o externo.
  • Se deben tomar precauciones para evitar y detectar la introducción de códigos maliciosos o no autorizados.
  • Dentro de las técnicas más utilizadas para mantener y controlar la integridad de los datos están: el uso de antivirus, el cifrado y  las funciones 'hash'.

La tercera dimensión, la disponibilidad, busca que el  acceso a la información se tenga de forma oportuna, a través de los canales adecuados y siguiendo los procesos correctos. Los siguientes dos consejos pueden ayudar a garantizar la disponibilidad de la información en su empresa.

6. Mantener permisos de acceso a los datos o servicios autorizados 

  • Al otorgar permisos de acceso a los datos o servicios autorizados es necesario aplicar registros de ingreso y monitoreo para permitir el registro de acciones de seguridad relevantes.
  • Los controles deben aplicarse consistentemente a través de la infraestructura de procesamiento de la información, teniendo en cuenta cuándo los cambios son iniciados automáticamente por los medios de procesamiento de la información y cuándo son iniciados por el administrador.

7. Prevenir interrupciones no autorizadas 

Con el fin de prevenir las interrupciones no autorizadas se debe realizar el mantenimiento preventivo a los equipos, de acuerdo con lo recomendado por el proveedor. 

Adicionalmente, se deben asegurar la capacidad y los recursos adecuados para entregar el sistema con el desempeño requerido. Se deben identificar los requerimientos de capacidad de cada actividad nueva y en proceso, y prestar atención particular a cualquier recurso con tiempos de espera largos o costos altos. Se deben identificar las tendencias de uso, particularmente en relación con las aplicaciones comerciales o las herramientas del sistema de información gerencial, e identificar cuellos de botella potenciales para planear acciones apropiadas.

Sección 2: ¿Cómo lograr compromiso con el SGSI?

Como mencionamos anteriormente, lograr compromiso por parte de los miembros de su organización con el Sistema de Gestión de Seguridad de la Información es un elemento fundamental para el éxito en la implementación de este sistema. Es por este motivo que, los consejos dados a continuación, se orientarán hacia la consolidación de ese compromiso.

8. Evaluar los comportamientos asociados a los valores que surgen de la política de gestión 

Para implementar un SGSI se requiere que la fuerza de trabajo de la organización se comprometa con los valores que promueve la dirección a través de la nueva Política de Gestión.  Para lograr este compromiso se deben hacer visibles los valores mediante comportamientos,  lo cual dará una orientación básica sobre la cual se sustentarán acciones y decisiones.

 

Para hacer visibles estos comportamientos es importante:

  • Garantizar que los directivos sean referentes de los nuevos valores organizacionales.
  • Premiar los comportamientos asociados con los valores organizacionales que busca interiorizar en todos los miembros de la organización.
  • Implementar iniciativas institucionales para sensibilizar a los trabajadores con los nuevos valores.
  • Gestionar la resistencia al cambio: una estrategia muy efectiva es aplicar el principio: "ver, sentir, cambiar". Es decir, si las personas "ven" la necesidad del cambio, incrementa la posibilidad de que "sientan" el deseo de cambiar creencias y valores y, con ello, estén más dispuestos a apoyar el cambio y la transformación de la cultura.

9. Dar siempre un propósito a las acciones 

El propósito de la empresa se ve fortalecido y respaldado desde las acciones que le son conferidas a los equipos de trabajo, las cuales se basan en la confianza, el trabajo colaborativo y la escucha. Se deben dar a conocer el porqué y el para qué de las acciones, mostrando el valor intrínseco de la tarea y los resultados obtenidos. Para lograr altos niveles de compromiso de su fuerza de trabajo debe orientar su gestión a la motivación del personal. Es importante que el empleado se sienta satisfecho, tanto en los aspectos económicos como en otros factores, relacionados con la percepción que se tiene de sí mismo y de su posición e importancia en la empresa, entre otros: los logros alcanzados, los progresos realizados y los reconocimientos recibidos. Dentro del proceso de seguimiento a los avances y el progreso alcanzado puede serle útil seguir los lineamientos propuestos por alguna metodología de ejecución de la estrategia, como por ejemplo la cuatro disciplinas de la ejecución.

10. Ofrecer una retroalimentación que permita involucrar al personal

Crear un ambiente de confianza en su equipo es fundamental para que los miembros se sientan interesados en participar. Una fórmula clásica para hacer retroalimentación positiva, constructiva e impactante es la siguiente:

Situación →  Comportamiento →  Impacto →  Pasos siguientes

Se empieza planteando un ejemplo específico de cuándo pueden haber demostrado el comportamiento en cuestión, luego se describen las acciones que tomó la persona, de manera clara y objetiva. Se ayuda a comprender por qué se está dando retroalimentación sobre este comportamiento al describir cómo puede afectar a una o varias personas y, por último, se ofrecen algunas sugerencias de lo que podrían hacer para mejorar.

Otra acción para lograr entusiasmo, interés personal en las consecuencias de las decisiones, liderazgo de los procesos y aceptación de críticas constructivas, es permitir la participación en la toma de decisiones.

En este punto puede resultar útil nuestro artículo: ¿Cómo dar y recibir retroalimentación en la evaluación de desempeño?

11. Mantener al personal en constante entrenamiento

Mantener al capital humano actualizado en las tendencias de su campo, promoviendo y facilitando la asistencia a capacitaciones, congresos o conferencias, es también una forma de motivar el compromiso.

Para que esta capacitación constante surta efecto, se requiere un alto nivel de compromiso y responsabilidad. Es necesario que se realice de forma consciente y organizada, enfocada en nuevos datos o nuevas tecnologías que permitan mantener actualizados los conocimientos de cada persona en temas específicos del cargo que ocupa.

12. Proveer los recursos necesarios

Es necesario poner a disposición los recursos que el Sistema de Gestión de Seguridad de la Información y los integrantes de la organización requieren para realizar sus actividades. Estos recursos dependen de varios factores, como el contexto de la organización, su tamaño y ubicación, sus obligaciones de cumplimiento, el alcance del sistema y la naturaleza de sus actividades, productos y servicios, incluidos sus activos, sus incidentes y sus riesgos.

 

Esperamos que los tips que le compartimos para tener éxito en la implementación y desarrollo de su Sistema de Gestión de Seguridad de la información sean de gran ayuda para usted y todo su equipo de trabajo. Recuerde que garantizar la confidencialidad, la integridad y la disponibilidad de los activos de información, y lograr el compromiso de todos los integrantes de la organización con el SGSI son aspectos vitales para obtener los resultados esperados. También puede encontrar útil nuestro artículo: 10 principios del Sistema Gestión de Seguridad de Información (SGSI)

Recuerde que puede suscribirse a nuestro blog para recibir periódicamente artículos relacionados con el Sistema de Gestión de Seguridad de la información, la planeación estratégica, la gestión de calidad y otros temas de interés para su organización. Para conocer más sobre la implementación y desarrollo de Sistemas de Gestión en una organización no dude en contactarnos. También, conozca nuestro Software de Cuadro de Mando Integral, un Software que le permitirá medir y mejorar la ejecución de la estrategia de su organización.

Balanced  Scorecard guia completa

Tags: SGSI, Seguridad de la Información, Sistema de Gestión de Seguridad de la Información, General

autor

Claudia Alvarado

Cargo: Consultora Backend
Claudia es Ingeniera Industrial, MBA, PMP y Consultora con experiencia en la ejecución exitosa de diferentes tipos de proyectos. Apasionada por la implementación adecuada de sistemas de gestión para la exitosa ejecución de la estrategia, ve en esto su grano de arena para mejorar el mundo. Su especialidad es el desarrollo de estrategias para la optimización de todo tipo de procesos.