Según perspectiva global de empresa de seguridad de la información; integridad, confidencialidad, disponibilidad, auditabilidad y no repudio forman los cinco pilares fundamentales para seguridad en sistemas informáticos. Para las pequeñas y medianas empresas en los países como México, Brasil, Estados Unidos, Colombia, Argentina, UAE, India, el tema de seguridad en sistemas informáticos es muy importante. Las soluciones de seguridad de la información ayudan al mejoramiento de la seguridad en sistemas informáticos, haciendo que los sistemas permanezcan preparados ante eventualidades que puedan interrumpir el crecimiento de una empresa. Las empresas pueden implementar seguridad en sistemas informáticos con ayuda de soluciones como el sistema de gestión de seguridad de la información.
El sistema de gestión de seguridad de la información abarca diferentes temas, como planeación de seguridad en sistemas informáticos, políticas de seguridad en sistemas informáticos, aseguramiento de los recursos empresarial, entre otros. La implementación completa del sistema de gestión de seguridad de la información se compone de tres procesos:
1. Planificación
2. Implementación
3. Verificación y Actualización
Según Mike Steven, el experto de los servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información; la implementación de una solución de seguridad de la información, brinda muchas funciones. Las funciones incluyen una visibilidad del estado actual de sistemas informáticos, los controles de seguridad en sistemas informáticos y la especialización en seguridad de la información que se pueden aplicar para tomar decisiones acertadas sobre la estrategia aplicada. A continuación, se explican más detalle los procesos del sistema de gestión de seguridad de la información.
Planificación del sistema de gestión de seguridad de la información
En este proceso hacen el diseño de la arquitectura del sistema de gestión de seguridad de la información. Los expertos de las empresas de seguridad de la información afirman que, este proceso ayuda establecer las políticas, las soluciones de seguridad de la información, y lograr objetivos empresariales relacionados a la seguridad en sistemas informáticos. El primer paso en el proceso de planificación es determinar los requerimientos de la seguridad.
Determinar los requerimientos de la seguridad
Los requerimientos de la seguridad, se determinan mediante la realización de los servicios de seguridad de la información y es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. Análisis de riesgos informáticos es parte de los servicios de seguridad de la información y ayuda en calcular los posibles impactos de los riesgos, su probabilidad de ocurrencia e identificación de los recursos a proteger.
Según Jorge Ríos, el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; los servicios de seguridad de la información deben:
• Definir los recursos informáticos.
• Identificar y evaluar las amenazas y vulnerabilidades junto con sus prioridades.
Los servicios de seguridad de la información se pueden diferenciar en dos aspectos:
• El servicio de seguridad de la información para evaluación de los riesgos y determinar los sistemas que, pueden verse afectados por amenazas y estableciendo sus prioridades e impactos.
• El servicio de seguridad de la información para la identificación, selección, aprobación, manejo de los riesgos y controles de seguridad en sistemas informáticos para eliminar o reducir los riesgos. Los expertos de empresa de seguridad de la información afirman que este servicio ayuda en la limitación del impacto de una amenaza y recuperación del impacto.
En resumen, los servicios de seguridad de la información deben determinar los requerimientos de la seguridad y deben cubrir los siguientes procesos.
1. Definir los sistemas informáticos
Definir los sistemas informáticos incluye la determinación de los recursos informáticos que deben ser protegidos, sus valoraciones y clasificaciones según sus prioridades. Según el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; una buena definición de el sistema informático debe incluir cualquier aspecto que haga más precisa su descripción como su ubicación, tipos de tecnología, personal que operan etc.
El personal con especialización en seguridad de la información debe realizar la valoración de los sistemas informáticos y debe realizar la valoración teniendo en cuenta aspectos tales como: la función que realizan y su costo. Mike Steven, el experto de servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información menciona, que este proceso ayuda a determinar los sistemas informáticos críticos y los riesgos a que están sometidos. Según experiencia de los personales con especialización en seguridad de la información, existe la tendencia de declarar críticos a sistemas informáticos que en realidad no lo son. A la hora de tratar este aspecto la empresa debe tomar ayuda de personal con especialización en seguridad de la información para evitar los problemas en el futuro.
2. Identificación y evaluación de los riesgos de seguridad en sistemas informáticos
Las empresas pueden identificar los riesgos de seguridad en sistemas informáticos mediante la realización de los servicios de seguridad de la información y esto es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. La realización de análisis de riesgos implica el examen de cada una de las amenazas. Algunas empresas de seguridad de la información también realizan la estimación de los riesgos. La estimación de los riesgos determina las probabilidades de materialización de las amenazas y ayuda en la selección de los controles de seguridad que deben ser establecidos.
Generalmente las empresas implementan algunas soluciones de seguridad de la información. Según especialistas de empresa de seguridad de la información, es necesario evaluar de manera crítica la efectividad de las soluciones de seguridad de la información existentes, sobre la base de los resultados del análisis de riesgos realizado. Esto ayudará a orientar e implementar las soluciones de seguridad de la información con mucha efectividad o tomar ayuda de una empresa de seguridad de la información para protegerse.
3. Selección de los controles de seguridad de la información
Las empresas deben seleccionar los controles de seguridad basados en el análisis de los riesgos, los criterios para la aceptación del riesgo, las opciones para el tratamiento, y para cumplir las normas de seguridad. Las empresas pueden identificar los controles de seguridad mediante la realización de los servicios de seguridad de la información. Los controles de seguridad forman una parte integral de una solución de seguridad de la información y de la arquitectura del sistema de gestión de seguridad de la información. Implementación de un sistema de gestión de seguridad de la información se logra implantando un conjunto adecuado de controles, que incluyen políticas, procedimientos, procesos y diferentes soluciones de seguridad de la información.
Selección de los controles de seguridad debe ser avalada por los expertos con especialización en seguridad de la información y por jefes de las empresas que tiene el poder de hacerlas cumplir. Según expertos de empresas de seguridad de la información, los procedimientos y soluciones de seguridad de la información constituyen los pasos requeridos para proteger los sistemas informáticos. Los controles de seguridad deben ser instrumentados mediante los procedimientos y soluciones de seguridad de la información que garanticen sus cumplimientos. Las soluciones de seguridad de la información se clasifican de acuerdo a su origen: administrativas; de seguridad física o lógica; de seguridad de operaciones; y educativas. A su vez, por forma de actuar, las soluciones de seguridad de la información pueden ser: preventivas, de detección y de recuperación. En caso que la empresa no tenga la especialización en seguridad de la información para implementar las soluciones, podría establecer contactos con empresas de seguridad de la información o grupos externos, incluyendo autoridades pertinentes, para mantenerse al día con tendencias de la industria, seguimiento de normas, y métodos de evaluación.
Implementación del sistema de gestión de seguridad de la información
El proceso de implementación del sistema de gestión de seguridad de la información incluye gestión de los riesgos identificados mediante la aplicación de los controles y las soluciones de seguridad de la información. Este proceso asegura que el personal de la empresa tiene el conocimiento y las habilidades, mediante la formación y el curso de seguridad de la información. Según el profesor de la escuela de seguridad de la información, las empresas deben implementar programas de capacitación y los cursos de seguridad de la información que debe cubrir siguientes aspectos:
1. El personal debe tener la conciencia de la importancia que el SGSI tiene para la organización, con la ayuda del curso de seguridad de la información.
2. El curso de seguridad de la información debe asegurar la divulgación del conocimiento y comprensión de las políticas de seguridad que se implementan.
3. El curso de seguridad de la información debe capacitar a los usuarios en los procedimientos y soluciones que se van a implantar.
4. El personal debe estar consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información después de tomar el curso de seguridad de la información.
5. Con ayuda de del curso de seguridad de la información, el personal debe entender los procedimientos y controles que se requieran para detectar y dar respuesta oportuna a los incidentes de seguridad.
De modo que el proceso de implementación del sistema de gestión de seguridad de la información sea exitoso las empresas deben asegurar la implantación de todos los controles, que incluyen políticas, procedimientos, procesos, soluciones de seguridad de la información y desarrollo de habilidades del personal con los cursos de seguridad de la información.
Verificación y actualización de sistema de gestión de seguridad de la información
El proceso de verificación del sistema de gestión de seguridad de la información incluye comprobación del rendimiento y la eficacia del SGSI, verificación periódica de los riesgos residuales. Según empresa de seguridad de la información, los clientes deben realizar auditorías internas/externas periódicamente para lograr el objetivo empresarial.
El proceso de actualización del sistema de gestión de seguridad de la información incluye realización de los cambios basados en los resultados del proceso de verificación para asegurar máximo rendimiento del sistema de gestión de seguridad de la información. Este proceso se suele llevar en paralelo con el proceso de la verificación y también se lleva a cabo las labores de mantenimiento del sistema. Según expertos de servicios de seguridad de la información, durante la implementación de este proceso se requiere modificación de los control de seguridad o implementar nuevas soluciones de seguridad de la información. Entonces las empresas deben evaluar los nuevos riesgos y proporcionar formación al personal sobre los cambios o nuevas soluciones.
La implementación de sistema de gestión de seguridad de la información es un paso importante en el ámbito de seguridad. IICS, una organización con especialización en seguridad de la información, es una fuente de asesoramiento especializado. También nuestros expertos con especialización en seguridad de la información han trabado con sector privado y público en varios países. Con centros de especialización en seguridad de la información en México, EE.UU. e India, el Instituto Internacional de Seguridad Cibernética ofrece soluciones, servicios y cursos de seguridad de la información. Para más información contáctanos.