lunes, 31 de enero de 2022

La Seguridad de la Información en los actuales Sistemas de Gestión

 

Con la evolución de la tecnología cada vez más información empresarial se encuentra recogida en diferentes medios informáticos. Los Sistemas de Gestión y en especial los dedicados a la calidad han ido integrando este cambio dentro de sus procesos operativos. La adaptación sin embargo nos ha llevado a los consultores a tener valorar las nuevas amenazas que han ido apareciendo.

Desde hace ya algunos años la gestión de las no conformidades dentro de las organizaciones acreditadas en un Sistema de Gestión de Calidad ya viene incluyendo diversos incidentes informáticos en relación a ataques o pérdidas de información y que no en pocas ocasiones su impacto en las organizaciones está siendo muy importante.

El empleo de aplicaciones para el control de toda la gestión empresarial que abarca desde la realización de las ofertas a clientes hasta la facturación del servicio conlleva la introducción de todos los datos de los correspondientes encargos o servicios efectuados así como la vinculación correspondiente con los artículos y proveedores asociados. 


Este empleo de la tecnología ha conllevado una agilización en la búsqueda y requerimiento de la información que pueda ser necesaria y ha mejorado la trazabilidad de los trabajos efectuados como bien sabemos los que nos dedicamos a la consultoría. Sin embargo su integración en las organizaciones lleva implícita una serie de riesgos que las empresas deben estudiar y analizar para evitar incidentes no deseados.

En relación a todo el ámbito de la gestión de la seguridad de la información por parte de las organizaciones además de la correspondiente legislación relacionada con protección de datos y de derechos digitales en los últimos años la familia “ISO” se visto ampliada por la aparición de la Norma 27001 que básicamente abarca las líneas de actuación que las entidades deben gestionar para certificar estos sistemas.

Esta norma se encuentra alineada con el resto de normas de la familia ISO al tener definida su estructura de alto nivel. La diferencia se sitúa en que su “marco operativo” se “coloca” en el ámbito de la gestión de la seguridad de la información y como las actuales normas ISO su planteamiento mantiene como punto principal la delimitación y el tratamiento de los riesgos, manteniendo la necesidad de analizar los requisitos de las correspondientes partes interesadas y analizar el contexto en el que “se mueve” la entidad.

Como el resto de sistemas de gestión la implicación del liderazgo y la delimitación de la correspondiente Política son requisitos indispensables en el correcto desarrollo del proceso de implementación. Por otro lado mantiene el “espíritu de la mejora continua” basado en el ciclo de Deming como piedra angular para el desarrollo de actuaciones y objetivos empresariales.

Como puntos “particulares” y relevantes de la 27001 se encuentran la necesidad de efectuar un listado de activos donde queden referidos todos los puntos relacionados tanto con la seguridad informática como con la información gestionada. Por otro lado las organizaciones deben elaborar la llamada “Declaración de Aplicabilidad” donde se delimita el conjunto de controles que están implementados o se van a implementar para garantizar de un modo razonable la seguridad de la información y de un modo asociado se delimitará un Plan de Tratamiento de Riesgos de modo que se de cumplimiento a la mencionada “Declaración”.

Reseñarse que la norma cuenta con un Anexo A bastante completo donde se recoge un listado de objetivos de control y controles que deben ser revisado de cara a su aplicación por parte de las organizaciones. 

La norma no “marca” como obligatorios dichos controles pero su definición abarca diferentes partes del sistema de seguridad que sirven como base para la implementación de dichos sistemas y el análisis de los apartados que pueden ser relevantes en la entidad.


Un aspecto muy relevante a tener en cuenta en las dinámicas de implementación y mejora continua de este tipo de sistemas de gestión es la definición del correspondiente “listado de activos” donde se delimitan, por parte de la organización, el conjunto de equipos, aplicaciones, información, etc. de carácter relevante en el desarrollo del trabajo. Su correcta definición cobra especial relevancia de cara a determinar tanto los riesgos correspondientes como las actuaciones necesarias para su salvaguarda.

De un modo similar a los sistemas de calidad, ambientales, de seguridad laboral, energía, etc. los sistemas de seguridad de la información prestan especial atención al “flujo de información” de la organización tiene con sus partes interesadas; en especial con sus proveedores y clientes. En relación a los primeros la información suministrada tanto para la adquisición de materias primas como la relacionada con actuaciones subcontratadas debe ser controlada y “vigilada”. Por su parte la relación con los clientes en muchos casos nos obliga a “archivar” información sobre ellos que en algunos casos puede ser de carácter sensible o relevante.

En resumen y teniendo en cuenta que la información se está convirtiendo en el activo intangible estratégico más relevante para las organizaciones en los últimos años (siempre lo ha sido) y que dicho activo se encuentra actualmente “guardado” en su mayor parte de soporte digital la necesidad de garantizar su control, acceso, etc. y de la adopción de actuaciones preventivas para garantizar su buen uso y aplicabilidad se ha convertido en una premisa necesaria en el trabajo diario de cualquier entidad. Su correcto control y gestión constituye actualmente una necesidad para cualquier empresa de cara a permanecer y evolucionar en cualquier mercado.

 

“Sed quis custodiet ipsos custodes? (¿Quién vigila a los vigilantes?)”

Décimo Junio Juvenal, poeta romano (siglo I)

  

Autor: Daniel Blanco