Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Rafael Vidal Delgado

Coronel de Artillería(R)
Diplomado de Estado Mayor
Doctor en Historia por la Universidad de Granada

Diplomado y profesor del Master Ejecutivo en Dirección de Seguridad Global (MEDSEG)
Diplomado y profesor principal del Master Ejecutivo en Dirección de Sistemas de Emergencia (MEDSEM)
Asesor de Planificación Estratégica de Belt Ibérica, S.A.

BELT IBÉRICA S.A.
rvidal@belt.es

Plan de Seguridad de la Información


En columna anterior hemos hablado de la importancia de la seguridad de la información y la necesidad de darle un tratamiento individualizado, por necesidad legal (la Ley Orgánica de Protección de Datos de Carácter Personal, LOPD) y de la propia empresa o institución, que aunque también está fundada en imperativo legal, sugiere su protección intereses internos.
Pero creyendo que se debe constituir una organización de seguridad de la información, debemos preguntarnos ¿qué debe contener esta seguridad?.
Recogiendo la experiencia de Belt Ibérica, S.A., tras numerosos años de estudio del problema y tras varias decenas de proyectos de esta índole, implantados en empresas privadas, públicas y en instituciones y administraciones de diversas naturalezas, vamos a pergueñar de forma somera, cómo debe ser el Plan de Seguridad de la Información.

La base de todo es un documento que en la mayoría de las ocasiones se obvia, siendo causa de que la alta dirección de cualquier empresa o institución, al no verlo plasmado en su inicio, de forma explícita o implícita, no apoya la iniciativa de seguridad, abocándola al fracaso. Nos referimos a la “Política de Seguridad de la Información”, que es la representación alfabética de lo que la alta dirección piensa sobre la seguridad del conocimiento/información que dispone la organización que dirige. Si aplicamos unos criterios de seguridad, por los cuales alguna información que la alta dirección considera que debe ser pública o al menos no clasificada, se convierta en restringida o a la inversa, no se está diseñando una realidad tal como la piensan ellos y al no tener su apoyo, cae estrepitosamente. Este documento de “Política de Seguridad” se entresacará las menos de las veces de exposiciones directas de la alta dirección y en la mayoría de los casos de determinadas declaraciones de intenciones en este asunto.

Partiendo de esta política, es decir que cómo quiere que sea la seguridad de la información dentro de su organización, lo primero que hay que efectuar es un “Análisis de la situación actual”, recogiéndose las vulnerabilidades lógicas, operativas, físicas y de adecuación a la LOPD, junto con las recomendaciones y medidas correctivas para su subsanación inmediata o diferida, de acuerdo con la gravedad de la misma.

Conociendo la situación actual, es decir el diagnóstico de la situación que se parte, se pasa a continuación a elaborar el “Manual de Seguridad de la Información”, que debe recoger como primer documento la propio de “Política de Seguridad”, continuando por otra serie de apartados, sobre “Ámbito de actuación”, “Directrices Generales de Seguridad”, “Organización de la Seguridad de la Información”, “Responsabilidades”, “Funciones que deben desarrollar cada uno de los miembros de la organización”, “Normas”, “Procedimientos”, “Clasificación de la Información”, etc., es decir la guía práctica de cómo, de acuerdo con la “Política de Seguridad”, debe ser la seguridad de la información dentro de la organización.

Una de las máximas de toda organización es la de “mantener la continuidad de las operaciones”, sea cual sea la situación de emergencia que se presente, debiéndose para ello y tras efectuar un análisis de riesgos y amenazas, establecer los distintos planes de contingencia, que ante la presencia de un riesgo, puedan activarse y superar con el mínimo de incertidumbre y con el menor desgaste, la situación planteada. Estos planes, contendrán las líneas ICM (Incident Command System), el o los “Análisis de Continuidad”, los “Recursos que hay que poner en juego”, las “Funciones que se deben realizar por diferentes actores”, las “Normas”, “Procedimientos”, etc., de tal forma que se disponga del mayor número de “decisiones enlatadas” para superar un situación de emergencia o de crisis para la organización.Dado el valor que tienen los Sistemas de Información, es fundamental, en el “Análisis de Continuidad” conocer la criticidad de las aplicaciones informáticas.

Otro pilar, de los cinco que conforman el Plan de Seguridad de la Información, es el correspondiente Plan de Implantación, ya que de nada vale disponer de todo muy bien organizado y desarrollado, si no existe la suficiente conciencia de que hay que ponerlo en práctica de forma automática.

Por último, con objeto de que no nos durmamos en los laureles de lo bien hecho, es preciso diseñar un Plan de Auditorías, que periódicamente debe ser superado por la organización para conocer en qué estado se encuentra ante cualquier emergencia. Este Plan analizará las “Amenazas y Riesgos”, los “Controles Directivos”, las “Directrices emanadas de la Política de Seguridad”, el “Marco Jurídico Aplicable”, el “Control de acceso”, la “Protección de Datos”, las “Comunicaciones y Redes”, el “Entorno de Producción”, el “Desarrollo de Aplicaciones” y la “Continuidad de las Operaciones”.

La información/conocimiento es uno de los activos más importantes de cualquier organización, la sociedad está convencida de ello y tiene en su mente la necesidad de su seguridad, ahora debe de tener la capacidad de ejecución suficiente para que esa información/conocimiento sólo fluya al exterior cuando a ella le conviene, para ello siempre será preciso que diseñe un Plan de Seguridad de la Información basado en los pilares que se han expuesto, hecho de otra forma está abocado al fracaso.


Rafael Vidal Delgado
Coronel de Artillería en la Reserva
Diplomado de Estado Mayor y de Estados Mayores Conjuntos
Doctor en Historia
Director de I+D+i. BELT IBÉRICA S.A.
rvidal@belt.es

 


Fuente: Rafael Vidal Delgado
Fecha: 02.07.03

   Mas artículos de Rafael Vidal Delgado       Otros Expertos   

Este experto ha sido visto por 2277 personas.