L as empresas cada vez tienen más claro que necesitan soluciones en materia de seguridad duraderas, sostenibles y alineadas a los objetivos globales del negocio, seguramente cansadas de invertir en controles puntuales o en las mejores prácticas de seguridad sugeridas por algún estudio reciente y generalmente difíciles de justificar en una lógica de coste y beneficio. Una de las soluciones actualmente más adoptadas por las empresas y más discutidas por los especialistas de seguridad, es el sistema de gestión de seguridad de la información (SGSI), un conjunto de procesos, políticas, procedimientos, análisis y testes, organizados de manera lógica y soportada por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001 – una de las principales referencias en el mundo de la seguridad de la información. En este artículo presentamos un listado de los 10 elementos considerados clave para el proceso de la implementación y del mantenimiento de un SGSI con éxito. 1. Comprender qué es un SGSI No es un software. No es un conjunto de documentos. Desarrollar un SGSI es como crear una nueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada. Comprender el alcance del sistema es un factor clave para el proceso, una vez que se considere que toda la empresa puede no ser la mejor opción (coste, tiempo necesario, magnitud de los cambios), y por otro lado, focalizar demasiado suele tornar el SGSI en un elemento de baja relevancia (o completamente irrelevante) a la empresa. 2. Obtener el apoyo de la dirección Cambiar procesos antiguos, limitar los privilegios de acceso, responsabilizar a personas (formalmente) de la seguridad de su información no suelen ser tareas simples. Cuando la propia identidad de la empresa y su cultura de trabajo pueden ser cambiadas, los directores y otros responsables del negocio tienen que estar activamente involucrados. Tienen que dar a comprender que es la propia empresa la que está cambiando, y que todos forman parte de este proceso. 3. Alinear al negocio La seguridad de la información existe para viabilizar negocios. La principal misión del responsable de seguridad es alinear las actividades de seguridad con los objetivos globales de la empresa, garantizando que los riesgos sean conocidos y que están controlados adecuadamente conforme a una estrategia definida. 82 nº 26 octubre 2008 Perspectiva Empresarial Las 10 claves de éxito para un SGSI EN ESTE ARTÍCULO PRESENTAMOS UN LISTADO DE LOS 10 ELEMENTOS CONSIDERADOS CLAVE PARA EL PROCESO DE LA IMPLEMENTACIÓN Y DEL MANTENIMIENTO DE UN SGSI CON ÉXITO Carlos A. Sáiz SOCIO RESPONSABLE DEL ÁREA DE IT COMPLIANCE Y SEGURIDAD Écija Paulo Barbosa CONSULTOR DE SEGURIDAD DE LA INFORMACIÓN Écija Desarrollar un SGSI es como crear una n ueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada