22 - Políticas de Seguridad de la Información (y III) - 03/01/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Ver Primer Artículo: Políticas de Seguridad de la Información (I)

Ver Segundo Artículo: Políticas de Seguridad de la Información (II)

Lo que es monitoreado, puede ser medido, y lo que es medido puede ser gestionado. En este proceso es vital la correcta definición de los indicadores de desempeño.

Según el Modelo de Shewhart-Deming de Mejora Continua citado anteriormente

(PHVA = Planificar-Hacer-Verificar-Actuar o PDCA = Plan-Do-Check-Act en inglés), estos indicadores nos dirán si:

  • lo que se Planeo se implementó (Planificación -> Implementación)
  • lo que se Implementó se revisó (Implementación -> Verificación)
  • lo que se Revisó se mantuvo y se mejoró (Verificación -> Acción)

Recordemos que el objetivo de la mejora continua debe ser soportado por un proceso de gestión y no por un proceso tecnológico.

Al ser este un proceso largo y tedioso, la política de seguridad podrá ser llevada a la práctica de la mejor manera posible siempre y cuando se definan claramente las tareas a realizar y el plan de acciones asociado. Para esta etapa es recomendable dividir estas tareas en:

  • Establecer objetivos y alcance de la política. La misma no necesariamente debe alcanzar toda la organización.
  • Clasificar, identificar y valorar los riesgos. Decidir las acciones a tomar sobre los riesgos.
  • Seleccionar los controles a implementar para mitigar los riesgos.
  • Formular un plan concreto de las acciones a realizar.
  • Capacitar.
  • Implementar los controles.
  • Realizar revisiones y mediciones para verificar la efectividad de los controles implementados.
  • Implementar mejoras sobre el modelo actual.

Por supuesto, y como ya se ha mencionado esta política debe llevarse a cabo con el respaldo y compromiso de la dirección, teniendo en cuenta que muchos de los controles implementados serán efectivos solamente con una adecuada capacitación de todos los involucrados.

Sea cual sea la metodología aplicada y la forma de llevarla a cabo esta debe ser:

  • Medible: puede ser auditada por una tercera parte independiente.
  • Replicable: en la medida en que el sistema es formal y contiene procesos estructurados facilitará la replicación del sistema en otro lugar.
  • Escalable: los procesos y controles establecidos pueden ser desarrollados centralmente y luego distribuídos o bien, incorporarse nuevos procesos .

Buenos Aires, 03 de enero de 2006

Con más de 19 años de experiencia compartiendo la mejor información de Seguridad

Contacto