ARTÍCULOS

JUN 24

¿Por qué es necesario un sistema de gestión de seguridad de la información?

A menudo nos planteamos el aumento del valor de la información para cada una de nuestras organizaciones. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización.

En todo caso, la información adopta multitud de formas. Puede estar impresa ó escrita en sopote papel, almacenada informáticamente, transmitida por correo, fax ó por medios electrónicos, mostrada en películas ó hablada en conversación. Por ello, el asegurar no sólo la  información, sino los sistemas que lo procesan, es por tanto, un objetivo de primer nivel para toda entidad.

 Pero, cuando hablamos de gestión de la seguridad de información, exactamente ¿a qué nos referimos?.

Existen 3 características clave a la hora de hablar de información:

  • DISPONIBILIDAD. Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información.
  • CONFIDENCIALIDAD. Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.
  • INTEGRIDAD. Garantizar la exactitud y completitud de la información y los métodos de su proceso.

En este sentido, si para cada tipo de información, una organización es capaz de determinar los grados de disponibilidad, confidencialidad e integridad que quiere aplicar, estaremos hablando de una empresa que gestiona la seguridad de la información.

En todo caso, y con el fin de basarnos en un modelo de gestión que nos sirva de guía, se han creado la denominada ISO/IEC 27000 que es un conjunto de estándares desarrollados que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier organización.

Pero ¿qué beneficios me aporta un Sistema de Gestión de Seguridad de la Información (SGSI)?

  • Establecimiento de una metodología de gestión clara y estructurada
  • Reducción del riesgo de pérdida, robo o corrupción de la información
  • Acceso a la información a través de sistemas de seguridad
  • Los riesgos y sus controles son continuamente revisados
  • Confianza de clientes y socios estratégicos
  • Integrable con otros sistemas de gestión
  • Continuidad de las operaciones de negocio
  • Conformidad con la legislación vigente
  • Reducción de costes asociados a la pérdida de información.

Entonces ¿realmente es necesario un Sistema de Gestión de Seguridad de la Información?

En este sentido, cabe una reflexión sobre la probabilidad de ocurrencia en las PYMES de las incidencias, además de una visión de las principales causas de dichas incidencias, para confirmar que existen amenazas que de forma cotidiana afectan a la vulnerabilidad de nuestros sistemas y que no necesariamente tienen que ver con fallos técnicos, sino más bien humanos, y mucho sin que medie una “mala fe”:


(Click para ampliar)

Por lo tanto, y tal y como se ha expuesto anteriormente, el camino que se sigue en la gestión de la seguridad, es un trayecto de definición ó confirmación de prácticas de seguridad que hasta la fecha muchas veces no hemos aplicado, basándonos en un “es poco probable que me pase a mi", pero que desgraciadamente, la realidad confirma que son más frecuentes de lo que realmente creemos, haciendo necesario la implantación de un sistema que gestione de forma efectiva la información.

(Fuentes de Información utilizadas: “Investigación sobre Incidencias y necesidades de seguridad en la PYME” – Observatorio de la Seguridad de la Información  del Instituto Nacional de Tecnologías de la Comunicación (INTECO): www.inteco.es).