Gestión de Seguridad de la Información

por Josmell Chavarri, Especialista en Seguridad de la Información. Co-Fundador de Guayoyo Labs, miembro del ecosistema Pyxis.

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresaria, necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Análisis de riesgo

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden exponer a los activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio DoS son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad, causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.

El cumplimiento de la parte legal, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio, son algunos de los aspectos fundamentales en los que un Sistema de gestión de la seguridad de la información (SGSI) es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. Para tener una gestión efectiva de la seguridad, toda la organización debe tomar parte activa, con la gerencia al frente, considerando también a clientes y proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad, basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

De esta forma se podrán establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, siempre intentando mantener un nivel de exposición menor al nivel de riesgo que la propia organización ha decidido asumir.