¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Normalmente se basa en un software informático y una normativa interna de la empresa (que podría ser conforme o no a la Normativa ISO 27000).
La normativa suele poner de manifiesto unos activos de la empresa (en forma de información) y unos riesgos que los amenazan y que pueden provocar unos impactos negativos sobre estos activos. El inventario de todo es la base del SGSI.
La normativa también dicta una serie de medidas que se toman con el fin de minimizar el impacto que los riesgos suponen para los activos. Las medidas pueden ser de diferente naturaleza y se tienen que llevar a cabo con el fin de asegurar la minimización de los impactos y la evitación de los riesgos.
La normativa también identificará estas medidas, cuando se aplican, quien las aplica y, además, relacionará una serie de control con sus indicadores y se les sienta rango de valores correctos, con el fin de garantizar que la normativa se aplica y el sistema se mantiene seguro conforme a lo estipulado a la normativa.
El sistema para inventariar y notificar las actuaciones, los controles, los eventos que se producen, junto con la información de la normativa, es el SGSI.
El SGSI tiene que permitir agregar indicadores con el fin de hacer un seguimiento estadístico en el tiempo, y poder así observar la seguridad del sistema informático desde diferentes niveles.
El SGSI tiene que permitir, además, un seguimiento de los eventos que se producen y una mejora continuada de todo el sistema, procurando nuevas versiones de la normativa y el seguimiento de su implantación.
Hacia la Calidad y la Excelencia
¿Podemos mejorar el SGSI? Si. EN DIVILOP Systems creemos que un SGSI puede ser también la base para el control del rendimiento del sistema informático, añadiendo controles de rendimiento, aunque no afecten a la seguridad. Al fin y a la cabeza, será la agregación de estos indicadores en diferentes grupos por seguridad o por rendimiento la que marcará la diferencia.
Si evaluamos el rendimiento de un sistema informático sabemos que los equipos tienen que ser estables, no permitir la instalación de aplicaciones no autorizadas, que podrían moderar la operativa de aquel ordenador o de toda la red, etc. Establecer controles a este nivel puede facilitar la tarea del Departamento de Informática y evidenciar su profesionalidad por que al fin y a la cabeza, su tarea es transforma en mesurable. Se así como avanzamos hacia procesos de Calidad y de Excelencia en el funcionamiento de un Departamento de Sistemas de la Información.