20 noviembre 2006

Procesos seguros y SGSIs

Es muy habitual que la implantación de un SGSI se realice sobre uno o varios procesos, ya que es el tipo de alcance que definen las dos principales normas que los regulan (ISO27001 y UNE71502). Sin embargo, este es un hecho que en algunas implantaciones se suele obviar, sobre todo cuando pensamos en SGSIs de gran tamaño, y este hecho puede conducirnos a perder, en cierto modo, el sentido práctico de un SGSI.

Un SGSI es, obviamente, un sistema de gestión. Como tal, define una serie de parámetros que deben ser cumplidos, las políticas, una serie de manuales que guíen el modo concreto de cumplirlas, los procedimientos, y una sistemática de control que facilite la monitorización, revisión y optimización de todos y cada uno de los elementos desarrollados. En el caso de un SGSI, estos parámetros son parámetros de seguridad, y entorno a ella va a girar la articulación del sistema de gestión. Pero, por lo demás, un SGSI es un sistema de gestión como otro cualquiera.

¿Es esto cierto? Sí y no. En el párrafo anterior acabamos de cometer el error que citaba inicialmente: nos hemos olvidado de la orientación a procesos. Qué implica esto? Que un SGSI no es sólo un sistema de gestión, la Seguridad juega un papel propio. Además de definir la estructura de gestión, un SGSI tiene que definir los controles específicos que aplicamos para securizar los procesos cubiertos. Precisamente por éso las normas incluyen un listado de controles aplicables. Porque no nos podemos limitar a implementar los controles definidos dentro de la "estructura de gestión", sino que también tendremos que implementar todos aquellos que son necesarios para el negocio. Y estos son precisamente los que tendremos que aplicar de forma específica a cada proceso, una vez los hayamos analizado e identificado sus carencias y debilidades en materia de seguridad.


Resumiendo, la implantación de un SGSI realmente efectivo tendría dos partes:
  • Securizar los procesos cubiertos por el SGSI.
  • Desarrollar el sistema de gestión que permita mantener y optimizar el nivel de seguridad alcanzado en todos y cada uno de los procesos cubiertos.

Es evidente que no podemos olvidar ninguna de las dos partes si queremos que nuestro SGSI realmente funcione. Si olvidamos la primera, tendremos un sistema de gestión no alineado con el negocio, poco útil. Y si olvidamos la segunda, no seremos capaces de cumplir los objetivos de seguridad que precisa el negocio.

No quiero terminar sin resaltar un último aspecto. Como acabamos de ver, un SGSI tiene dos grandes componentes, de similar importancia. Por ello, cuando llevemos a cabo una implantación práctica de un SGSI tendremos que tener en cuenta tanto el estado de la organización en relación a ambos componentes como sus objetivos y necesidades frente a cada uno de ellos. Porque no es lo mismo implementar un SGSI en una organización con una fuerte cultura de gestión, que en otra con una importante andadura en materia de seguridad. Porque si no tenemos esto en cuenta, no seremos capaces ni de satisfacer las necesidades reales de la organización ni de hacer un uso eficiente y eficaz de recursos a la hora de acometer el proyecto. Que conste que estoy avisando... ;-)

No hay comentarios: