Angie Cantillo
“No hay un procedimiento que indique cuáles son las instrucciones que se deben seguir para implementar un estándar de seguridad informática”, señaló Camilo Gutierrez, jefe del laboratorio de investigación de ESET Latinoamérica; sin embargo, para el experto existen seis puntos claves que se deben tratar de cumplir en este ámbito.
El primero es el respaldo que la alta dirección de la empresa tiene que ortorgar en relación con la iniciativa de comenzar a operar con un SGSI. Arrancar con un plan de protección de datos no puede ser un proyecto aislado dentro de la compañía y este debe convertirse en prioridad para todos los empleados.
La estructura para la toma de decisiones, es el segundo paso que Gutierrez argumentó como relevante, y que consiste en la conformación de un foro o comité de seguridad que permita llevar a la práctica todas aquellas responsabilidades y acciones que se deben ejercer en este tema.
Lea también: Aprenda a crear una estrategia de ciberseguridad
El tercero es el Análisis de brecha (GAP), un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información. Tiene como objetivo encontrar las mejores prácticas reconocidas en la industria.
El cuarto escalón hace énfasis al análisis de impacto al negocio, un elemento utilizado para estimar las consecuencias que podría padecer una institución. Tiene como objetivos proveer una base para identificar los procesos críticos para la operación de una empresa y la priorización de ese conjunto de métodos, siguiendo el principio de cuanto mayor sea el impacto, mayor será la prioridad.
Recursos como el tiempo, el dinero y el personal son el quinto aspecto a seguir después de realizar los análisis descritos anteriormente. Esto debido a que los informes pueden dar como resultado la necesidad de implementar un ISO/IEC 27001, lo cual va a requerir de una inversión económica y la contratación de empleados específicamente para esa área.
Puede interesarle: ¿Por qué la ciberseguridad debe ser una ventaja?
“Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo mayor a un año antes de que se cumpla su primer ciclo, debido a los continuos cambios en los riesgos”, dijo Gutierrez. También se debe hacer un cambio en las prioridades de la dirección con respecto a la protección de activos, aparición de nuevas amenazas, entre otras.
El sexto paso que concluye una estrategia eficaz es la revisión de los estándares de seguridad. ISO/IEC 27000 contiene un resumen general de protocolos, así como una introducción al SGSI. Recuerde que cada implementación es distinta debido a las condiciones, las necesidades y los recursos de cada organización.