INTECO

Hay muchas organizaciones que piensan que implantar un SGSI es demasiado esfuerzo, o una tarea demasiado complicada para ellas. El problema de estas organizaciones es que acaban asumiendo que la gestión de la seguridad es algo inabordable para ellas, sin darse cuenta de que es posible aplicar unos pocos principios que permitan, sin el "esfuerzo" de montar un SGSI completo, obtener importantes mejoras en materia de seguridad con una dedicación asumible por la mayor parte de las organizaciones. La idea es, sencillamente, aplicar los principios que subyacen en una ISO 27001 y "olvidarse" de las exigencias y formalismos derivados de su cumplimiento estricto.

Las pautas que debería seguir una organización para "implantar" un "mini-SGSI" son las siguientes:

1. Nombrar a una persona (responsable de seguridad) encargada de lo siguiente:

• Que se apliquen las medidas de seguridad definidas.
• Que los problemas (incidentes) de seguridad se resuelvan.

2. Aplicar las siguientes medidas de seguridad informática:

• Hacer backups al menos semanales.
• Que todos los usuarios tengan un identificador de usuario personalizado.
• Que las contraseñas sean robustas (al menos alfanuméricas de 8 caracteres) y se cambien trimestralmente.
• Aplicar controles de acceso a las carpetas y aplicaciones.
• Utilizar productos antivirus actualizados.
• Que se realicen tareas de mantenimiento informático.

3. Aplicar las siguientes medidas de seguridad contractual:

• Conseguir que el personal firme una cláusula de confidencialidad.
• Incluir cláusulas de confidencialidad en los contratos con proveedores y clientes.

4. Realizar una revisión anual de la seguridad.

5. Reunir una vez al año al comité de dirección (u organismo equivalente) y al responsable de seguridad para tratar los siguientes temas:

• Analizar los resultados de la revisión de seguridad.
• Valorar la importancia de la disponibilidad y la confidencialidad de las actividades de negocio.
• Analizar los problemas de seguridad potenciales que podrían tener las actividades de negocio valoradas, centrándose en las que se ha identificado que la disponibilidad y/o la confidencialidad son importantes.
• Analizar los problemas (incidentes) de seguridad que ha habido y las soluciones adoptadas.
• Definir, en función de los análisis y valoraciones anteriores, las nuevas medidas de seguridad que se consideren necesarias.

Siguiendo estas 5 simples pautas de actuación, cualquier organización está en condiciones de llevar a cabo una gestión eficiente y eficaz de su seguridad, y al mismo tiempo incorporará los elementos básicos sobre los que constituir, si en un futuro lo requiere, un completo sistema de gestión de la seguridad.