Sistema de Gestión de Seguridad de la Información

Las nuevas tecnologías, cada vez más presentes en nuestras vidas, llevan asociados multitud de riesgos que ponen en peligro el funcionamiento de las empresas y la seguridad de nuestra información.

Virus, robos de identidad, phising, spam, espionaje industrial o robos de datos pueden ocasionarnos una pérdida de confianza de nuestros clientes o un deterioro de la imagen de nuestra empresa en el mercado.

Esos riesgos pueden tener su origen tanto en el exterior como en el interior de la propia empresa. Y, para proteger nuestra empresa de esos riesgos, es necesario conocerlos y hacerles frente adecuadamente.

Para ello es importante establecer los adecuados procedimientos y aplicar controles de seguridad. La empresa garantizará la seguridad de su información más valiosa a través de un Sistema de Gestión de Seguridad de la Información (SGSI).

Aquí vamos a analizar en qué consiste el SGSI, para qué sirve, cuál es su contenido y cómo implantarlo en la empresa.

¿Qué es un Sistema de Gestión de Seguridad de la Información?

El SGSI es un procedimiento sistemático, documentado y conocido por toda la empresa que tiene la finalidad de garantizar la seguridad de la información manejada por esta.

Aunque el presupuesto de la empresa sea muy elevado, es imposible garantizar una seguridad total de la información. Con el SGSI se pretende garantizar que los riesgos existentes para la seguridad de la información sean conocidos, gestionados, asumidos y reducidos por la empresa. Esto debe hacerse de manera sistemática, documentada, eficaz, estructurada y adaptada a las modificaciones existentes en las tecnologías, las amenazas y el entorno.

Un SGSI está basado en el estándar internacional ISO 27001 de Seguridad de la Información.

Pero, ¿qué entendemos por información?

Información es el conjunto organizado de datos de que dispone una empresa y que tienen un valor para ella. Es indiferente la forma en que esos datos se almacenen o comuniquen (por escrito, de forma oral, electrónicamente, por email, etc.), de su origen (en la propia empresa o de fuentes externas) y de su fecha de creación.

La seguridad de la información consiste en proteger su integridad, confidencialidad y disponibilidad y la de los medios implicados en su tratamiento dentro de la empresa. Así pues, los conceptos sobre los que se fundamenta todo sistema de seguridad de la información son:

  • Confidencialidad: el acceso o la comunicación de la información solo se realizará a las entidades o personas autorizadas.
  • Integridad: la información y sus sistemas de tratamiento deben mantenerse completos y exactos.
  • Disponibilidad: debe ser posible usar y acceder a la información y a sus sistemas de tratamiento siempre que sea necesario.

Por tanto, a través del SGSI garantizaremos una correcta gestión de la seguridad de la información a través de un proceso conocido por toda la empresa, documentado y sistemático, basado en un enfoque del riesgo empresarial.

Normativa de Seguridad de la información

El aumento del uso de las nuevas tecnologías ha hecho necesaria la aprobación de normas para proteger a todas las partes implicadas en este uso y la difusión y tratamiento de información a través de ellas.

Para aplicar y certificar un SGSI es esencial el cumplimiento de la normativa existente en nuestro país. Con ese cumplimiento nos protegeremos de los riesgos externos, respetaremos los derechos de nuestros proveedores y clientes y evitaremos infracciones que nos supongan elevados costes para la empresa.

La normativa relacionada con la seguridad de la información en España está formada por las siguientes leyes:

1. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

El objetivo de esta ley es proteger los datos personales para impedir que sean tratados inadecuadamente. No se permite su tratamiento o cesión sin consentimiento del titular. En ella se establecen una serie de obligaciones para todas aquellas empresas o entidades que manejen datos personales.

2. Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI)

En esta norma se regula la actividad de los proveedores de servicios de la Sociedad de la Información. Es decir, empresas dedicadas al comercio electrónico y las que realizan publicidad por medios electrónicos.

3. Ley 32/2003, General de telecomunicaciones

Aquí se regulan las telecomunicaciones, que abarcan la prestación de servicios de comunicaciones electrónicas y la explotación de las redes.

Con esta Ley impulsa la competencia efectiva de los mercados de las telecomunicaciones, se favorece el desarrollo del sector y se protegen los intereses de los ciudadanos.

4. Ley 59/2003 de Firma Electrónica

Esta Ley regula la firma electrónica, la efectividad jurídica de la misma y la provisión de servicios de certificación.

La firma electrónica es un conjunto de datos vinculados con los que es posible identificar a una persona en transacciones electrónicas y a través de ella es posible saber si el contenido del mensaje ha sido falsificado de alguna forma.

5. Real Decreto Legislativo 1/1996 Ley de Propiedad Intelectual

Esta Ley atribuye al autor la propiedad intelectual de una obra artística, literaria o científica por el solo hecho haberla creado. Se atribuye un derecho exclusivo al autor para explotar esa obra.

En esta Ley se aseguran las creaciones originales que se encuentren en cualquier medio, incluidos programas de ordenador o bases de datos.

6. Ley 17/2001 de Propiedad Industrial

Existen una serie de derechos de propiedad industrial de marcas y nombres comerciales para otorgar protección a los signos distintivos de las empresas.

Según esta Ley, la utilización de un nombre comercial en redes telemáticas, en nombres de dominios, y en metadatos y palabras clave de páginas web, sin la previa autorización de su titular, permite prohibir su uso a quien lo ha utilizado.

7. Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos

Esta ley recoge el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos.

También se regulan las cuestiones básicas del uso de las tecnologías de la información en las funciones administrativas, en las relaciones entre las Administraciones Públicas y en las relaciones de los ciudadanos con aquellas.

¿Para qué sirve?

La información y los sistemas a través de los que esta se trata constituyen importantes activos para una empresa. Para mantener unos adecuados niveles de rentabilidad, competitividad, reputación empresarial y cumplimiento legal es fundamental garantizar la integridad, confidencialidad y disponibilidad de la información sensible que maneja la empresa. De esa forma se garantiza la consecución de beneficios económicos y los objetivos de la empresa.

Los sistemas de información de las empresas se exponen cada día a múltiples amenazas. Estas usan las vulnerabilidades que tiene la empresa para realizar fraudes, sabotaje, espionaje o vandalismo sobre los activos de información básicos.

Los ejemplos más habituales de estas amenazas son los virus informáticos, los ataques de denegación de servicio o el hacking. Pero deben tenerse en cuenta también los riesgos de que dentro de la empresa, voluntaria o involuntariamente, se causen incidentes de seguridad. Y los ocasionados por  fallos técnicos o catástrofes naturales.

Las principales utilidades de un SGSI son:

  • Cumplimiento de la legalidad
  • Adaptación a las condiciones variables del entorno
  • Protección adecuada de los objetivos de negocio para garantizar el máximo beneficio
  • Aprovechamiento de nuevas oportunidades de negocio

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo.

Para lograr una gestión eficaz de la seguridad debe implicarse toda la empresa, con la dirección al frente, teniendo en cuenta también a sus proveedores de bienes y servicios y a los clientes.

Es necesario que el modelo de gestión de la seguridad considere unos procesos adecuados y la elaboración y aplicación de controles de seguridad que se basen en una evaluación de riesgos y en un control de su eficacia.

Un SGSI nos sirve de ayuda para determinar esas políticas de seguridad según los objetivos de negocio de la empresa. De esa forma, el nivel de exposición a los riesgos será menor al asumible por la empresa.

A través del SGSI la empresa será consciente de los riesgos a los que está expuesta la información que maneja y podrá asumirlos, reducirlos, transferirlos o controlarlos.

Beneficios del SGSI para la empresa

La aplicación del SGSI produce a la empresa los siguientes beneficios:

  • Minimización de riesgos al establecer controles sobre ellos: Las amenazas son reducidas hasta un nivel asumible por la empresa. Si la empresa sufre una brecha de seguridad, se garantiza la continuidad del negocio al reducirse los daños.
  • Disminución de costes mediante una racionalización de recursos: se suprimen aquellas inversiones innecesarias derivadas del rechazo o la sobrevaloración de los riesgos.
  • La seguridad pasa a ser una actividad de gestión: se convierte en un ciclo de vida controlado y metódico en el que se implica toda la empresa.
  • Cumplimiento de la normativa vigente: al cumplir la legislación se evitan costes innecesarios y riesgos.
  • Mejora de la competitividad en el mercado: las empresas certificadas en un Sistema de Gestión de Seguridad de la Información aumentan su confianza y prestigio en el mercado.

Contenido del SGSI

Dentro del contenido de un SGSI podemos diferenciar cuatro tipos de documentos:

  1. Manual de Seguridad: este documento debe dirigir todo el sistema. En él se establece el alcance, las obligaciones, los objetivos, las directrices y políticas principales del SGSI.
  2. Procedimientos: son los documentos donde se establecen las actuaciones necesarias para garantizar la ejecución eficaz de la programación, ejecución y control de los procesos de seguridad de la información.
  3. Instrucciones, formularios y checklist: en estos documentos se explica cómo deben ejecutarse las actuaciones específicas en materia de seguridad de la información.
  4. Registros: documentos que permiten comprobar la aplicación efectiva de los requisitos del SGSI y demuestran que se han llevado a cabo las tareas previstas en el mismo.

En la norma ISO 27001 se establece que un SGSI debe contener los siguientes documentos:

  • Alcance del SGSI: entorno de la empresa que está sujeto al SGSI.
  • Objetivos y política de seguridad: documento donde se determina el compromiso de la dirección con la gestión de la seguridad de la información.
  • Procedimientos y mecanismos de control: documento donde se indican los procesos para lograr el funcionamiento del SGSI.
  • Proceso de Evaluación de riesgos: en este documento se especifican los medios a utilizar para realizar esa evaluación, los criterios de aceptación del riesgo y los niveles de riesgo aceptables.
  • Informe de evaluación de riesgos: resultado de implantar a los activos de información de la empresa los medios de evaluación de riesgos.
  • Plan de tratamiento de riesgos: en este documento se establecen los recursos, obligaciones, actuaciones y prioridades para gestionar los riesgos según los resultados de la evaluación de riesgos, los recursos disponibles o los controles necesarios.
  • Procedimientos documentados: se documentarán todos los procesos que se necesiten para garantizar la programación, ejecución y control de los sistemas de seguridad de la información.
  • Registros: documentos para asegurar que se cumplen los requisitos y que el SGSI funciona eficazmente.
  • Declaración de aplicabilidad: en este documento se establecen los controles establecidos por el SGSI fundamentados en los procedimientos de evaluación y tratamiento de riesgos.

Control de los documentos

Es necesario crear, aplicar y mantener un proceso donde se especifiquen las gestiones que deben realizarse para:

  • Aprobar los documentos adecuados
  • Inspeccionar y renovar los documentos si es necesario
  • Identificar todas las modificaciones y revisiones de los documentos
  • Asegurar que los documentos en vigor están disponibles en los centros de trabajo
  • Asegurar que esos documentos pueden identificarse fácilmente y son legibles
  • Avalar que esos documentos están disponibles para quienes los necesiten y que se siguen los procedimientos establecidos para su comunicación, almacenamiento y destrucción.
  • Evitar que se usen documentos obsoletos
  • Controlar la entrega de los documentos

Implantación de un SGSI

A la hora de implantar un SGSI deben seguirse los pasos previstos en los sistemas de gestión de calidad. Estos son:

  • Plan (planificar): definir el SGSI.
  • Do (hacer): aplicar y usar el SGSI.
  • Check (verificar): controlar y revisar el SGSI.
  • Act (actuar): mantener y actualizar el SGSI.

Veamos cada uno de ellos.

Plan: Definir el SGSI

Esta fase la componen las siguientes actuaciones:

  • Determinar el alcance del SGSI según los activos y tecnologías usados, el tipo de empresa y su ubicación.
  • Elaborar una política de seguridad que debe aprobar la dirección y que incluya:
    • los objetivos de seguridad de la información de la empresa,
    • las exigencias contractuales y legales en la materia,
    • el contexto estratégico de gestión de riesgos de la empresa y
    • los criterios para evaluar los riesgos.
  • Establecer los medios para evaluar los riesgos según las exigencias del negocio, los niveles de riesgo aceptables y los criterios de aceptación del riesgo.
  • Identificar los riesgos: deben identificarse los activos y sus responsables, las amenazas a las que están expuestos, las vulnerabilidades existentes y el impacto de esos riesgos sobre la integridad, confidencialidad y disponibilidad.
  • Analizar y evaluar los riesgos: aquí se debe evaluar:
    • los efectos que un fallo de seguridad de la información ocasionarían en el negocio,
    • la posibilidad de que se produzca un incidente de seguridad,
    • los niveles de riesgos y
    • si esos riesgos son o no aceptables.
  • Establecer las diferentes opciones de tratamiento de los riesgos para implantar adecuados controles, aceptar el riesgo, evitarlo o transferirlo a terceros.
  • Elegir los objetivos de control y los controles para tratar el riesgo.
  • Aprobar la aplicación y utilización del SGSI por la dirección.
  • Determinar la declaración de aplicabilidad.

Do: aplicar y usar el SGSI

Las actuaciones dentro de esta fase son las siguientes:

  • Elaborar un sistema de tratamiento de riesgos con las actuaciones, obligaciones, recursos y prioridades para gestionarlos.
  • Aplicar ese sistema de tratamiento de riesgos para lograr los objetivos previstos.
  • Aplicar los controles elegidos.
  • Fijar un sistema de evaluación que permita comprobar la eficacia de esos controles.
  • Definir programas de concienciación y formación de todo el personal de la empresa.
  • Ejecutar las actuaciones y los recursos necesarios del SGSI.
  • Determinar los procedimientos y controles para detectar y dar una rápida respuesta a los fallos de seguridad.

Check: controlar y revisar el SGSI

En esta tercera fase se incluyen las siguientes actuaciones:

  • Aplicar procesos de monitorización y revisión del SGSI para detectar errores en el tratamiento de la información, incidentes de seguridad y comprobar que las acciones llevadas a cabo son eficaces.
  • Comprobar el cumplimiento de los objetivos y la política del SGSI.
  • Evaluar la eficacia de los controles establecidos.
  • Verificar periódicamente las evaluaciones de riesgos, los riesgos aceptables y los residuales según las modificaciones producidas en la empresa.
  • Efectuar regularmente auditorías internas del SGSI.
  • Realizar una revisión del SGSI por parte de la dirección.
  • Actualizar los planes de seguridad.
  • Registrar las actividades que afecten a la eficacia del SGSI.

Act: mantener y actualizar el SGSI

Las actuaciones a realizar en esta fase son:

  • Aplicar las mejoras identificadas en el SGSI.
  • Ejecutar las adecuadas actuaciones correctoras y preventivas.
  • Notificar las mejoras a todas las partes interesadas.
  • Confirmar que las mejoras aplicadas consiguen los objetivos propuestos.