Las claves del SGSI
Por Carlos Villamizar R – Director de Operaciones de GlobalSUITE® en Colombia
Para la implementación de un Sistema de Gestión de Seguridad de la Información, la norma ISO27001:2013 establece los requisitos que debe cumplir una organización para la definición, implementación, revisión y mejora continua de seguridad de la información. Esto lo que busca es proteger apropiadamente la información frente a amenazas que puedan afectar su Confidencialidad, Integridad y/o Disponibilidad. Bajo este contexto, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
Según las últimas estadísticas disponibles de la International Organization for Standardization (ISO) al finalizar el año 2017, 39.501 empresas en todo el mundo se habían certificado en la norma ISO27001:2013.
El top 10 de los países con mayor cantidad de empresas certificadas en ISO 27001 está liderado por Japón, seguido por China y el Reino Unido.
Fuente: Isotc.iso.org
Top 10 – Países certificados en ISO 27001 |
||
Posición | País | Certificaciones |
1 | Japón | 9161 |
2 | China | 5069 |
3 | Reino Unido | 4503 |
4 | India | 3272 |
5 | Estados Unidos | 1517 |
6 | Alemania | 1339 |
7 | Taiwán | 994 |
8 | Italia | 958 |
9 | Holanda | 913 |
10 | España | 803 |
Top de países en LATAM certificados en ISO 27001
A nivel mundial, Colombia ocupaba en 2017 el lugar 35 (descendió desde la posición 29 que ocupaba en 2016) con 148 empresas certificadas, siendo el tercer país de LATAM en el ranking general (superado sólo por México y Brasil). La siguiente tabla lista el Top 10 de países con empresas certificadas en LATAM:
Top 10 – Países LATAM certificados en ISO 27001 | ||
Posición | País | Certificaciones |
23 | México | 315 |
34 | Brasil | 170 |
35 | Colombia | 148 |
50 | Chile | 64 |
52 | Argentina | 57 |
57 | Perú | 43 |
64 | Uruguay | 31 |
73 | Costa Rica | 21 |
83 | Jamaica | 11 |
87 | Ecuador | 8 |
88 | Panamá | 8 |
De acuerdo con la experiencia adquirida en los últimos 12 años en cientos de proyectos de definición e implementación de SGSIs en Latinoamérica y España (algunos de ellos con objetivo final de certificación), hemos identificado 5 aspectos básicos para la culminación exitosa de estas iniciativas:
- Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados, es requisito necesario el apoyo y la participación de la Alta Dirección de la empresa. Sin su apoyo formal real, es casi imposible desarrollar con éxito la iniciativa y demostrar el logro de la conformidad en la implementación del SGSI. Aquellas iniciativas que provienen desde los sectores operativos y/o tácticos y no cuentan con el respaldo de la Alta Dirección tienen mayor posibilidad de fracaso.
- Cada empresa es un mundo diferente. Cada empresa es un mundo particular, así pertenezcan al mismo sector económico o a un mismo grupo empresarial. Cada una tiene su ambiente de control particular, un apetito de riesgo particular, y riesgos de seguridad de la información distintos. Lo que es bueno para una empresa, pueda que no lo sea para otra. Copiar tal cual de una empresa a otra NO es procedente. Luego se debe considerar un entendimiento de los requerimientos de seguridad y gestión de riesgos particulares de cada organización.
- Definición apropiada del Alcance. Es importante definir un alcance del SGSI El esfuerzo para implementar el SGSI no es el mismo al definir en su alcance TODOS los procesos de la organización, a un alcance que incluya sólo 1 o 2 procesos misionales. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo el alcance del SGSI a medida que se logra mayor madurez en seguridad de la información.
- Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en el Anexo A de la norma es “el todo”, sin considerar los elementos clave de un SGSI como, por ejemplo, Objetivos de seguridad de la información, Declaración de aplicabilidad (SOA), métricas e indicadores de seguridad para evaluar el desempeño, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etc., y por supuesto concienciar a los recursos humanos de la compañía mediante diversos medios: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etc.
- Automatizar el SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. Sin lugar a dudas el uso del software GlobalSuite® Information Security ha sido factor crítico de éxito en la obtención de la certificación por parte de nuestros clientes ya que ha reducido la duración de la consultoría en por lo menos un 25% (especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores), ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y sobre todo ha permitido dar autosostenibilidad al SGSI sin dependencia directa hacia el equipo de consultoría, ya que lo hemos construido conjuntamente. En este sentido, GlobalSuite® cubre todo el ciclo PHVA de la norma ISO 27001 y permite la mejora y sostenibilidad por parte del cliente de su SGSI.