En el anterior post dejaba pendiente analizar las dependencias entre las dimensiones de un SGSI. Hoy me voy a poner con ello, analizando sobre todo una de estas dependencias, y haciendo un pequeño alegato contra-corriente: la apuesta por alcances “globales” para un SGSI.
Las dependencias naturales entre el alcance y los controles implementados son muchas. Es cierto que es posible definir un alcance “a medida” en el que pasemos por alto estas dependencias “naturales”, y librarnos en gran medida de dichas dependencias, pero es a fuerza de “inventar” límites y de poner puertas al campo. Y claro, el resultado más habitual suele ser la aparición de una burocracia exagerada y, sobre todo, antinatural ligada a estas fronteras artificiales.
Pero… de qué estoy hablando exactamente? Veamos:
- Los controles relativos a la seguridad del personal (A.8) normalmente suelen ser actividades desarrolladas por el área de recursos humanos.
- Los controles relacionados con la gestión de terceras partes (A.6.2, A.10.2) normalmente suelen recaer en las actividades que lleva a cabo el departamento de compras.
- La seguridad física (A.9) en muchas ocasiones corre a cargo del departamento de recursos generales.
- Las tareas que tienen que ver con controles técnicos (A.10 – A.12) suelen quedar en manos del área de informática interna, y repartidos entre los distintos departamentos en los que se suele subdividir (sistemas, redes, microinformática, …).
- La verificación de todo lo relacionado con los aspectos de cumplimiento (A.15) suele quedar en manos del departamento de auditoría interna.
- Y el resto de los controles (si es que se llevan a cabo) normalmente son actividades globales, comunes a toda la compañía, y cuya responsabilidad no suele estar demasiado bien definida.
Y qué ocurre cuando queremos implementar un SGSI cuyo alcance sea únicamente un solo proceso productivo, por ejemplo? Pues que los controles aplicables son, a priori, los del último punto… y todos los demás, ya que en ese proceso también tenemos personas, servicios subcontratados, ubicaciones físicas, sistemas informáticos… Y claro, nos encontramos con el problema de que tenemos que aplicar un montón de controles cuyos responsables “habituales” quedan fuera del alcance.
Cómo se resuelve este problema? La solución más habitual suele ser la creación de una serie de SLAs internos (quizás alguien los conozca como OLAs o MoUs) en los que se regulen las condiciones de seguridad en las que el resto de las áreas prestan servicios al proceso cubierto por el alcance, con una trazabilidad mínima que garantice que dichas condiciones puedan ser verificadas. Y claro, es aquí donde aparece el trabajo “en balde” y la burocratización, ya que hay que mantener unos “contratos” totalmente artificiales, que han aparecido simplemente por la necesidad de regular unos límites virtuales.
Existe otra solución? Yo creo que sí. Sencillamente, ampliar el alcance. De ese modo nos ahorramos la creación y mantenimiento de estos SLAs, y manejamos un alcance más completo y lógico. Evidentemente, la contrapartida es la necesidad de analizar los riesgos de nuevos procesos desarrollados por estas áreas, con el consiguiente aumento de recursos y tiempo necesario, pero creo que el diferencial final no es excesivamente grande, y además estamos cubriendo una serie de procesos en los que la información normalmente suele ser un activo de elevado valor.
Y con esto y un bizcocho… hasta el próximo post. Que todavía queda analizar el resto de dependencias, y este está quedando muy extenso.
2 comentarios:
Buenas tardes Joseba,
En primer lugar felicitarte por tu blog y animarte porque continues en tu línea divulgativa sobre los sgsi, sugiriendote temas que puedan ser de interés para todos como por ejemplo:
- un ejemplo práctico de sgsi para que todos/as podamos verlo.
- un ejemplo práctico de análisis de riesgos.
- un ejemplo práctico de plan de continuidad del negocio
gracias.
Hola, Víctor.
Gracias por la felicitación. Y agradezco la sugerencia de temas para futuros post, pero en este caso lamento no estar de acuerdo con las sugerencias. Los motivos son diversos y de distinta índole, pero entre otros puedo citar los siguientes:
* La excesiva dedicación requerida.
* La existencia de conflictos de intereses profesionales en caso de seguir la sugerencia.
* La poca viabilidad de un "modelo de referencia", ya que cualquier caso práctico sólo es válido por defecto para su propio entorno (la organización en cuestión).
De todos modos, estoy abierto a cualquier tipo de sugerencia más realista sobre temas a tratar en el blog.
Saludos
Joseba
Publicar un comentario