Errores comunes en la Implantación de un SGSI

Implantar un Sistema de Gestión de Seguridad de la información se está convirtiendo cada vez más en un objetivo para los departamentos TIC de las empresas. Los que nos dedicamos a hacer consultoría para la implantación de esos SGSI vamos poco a poco viendo que los problemas que nos encontramos en un cliente se repiten, al menos parcialmente, en el siguiente, y que los clientes asumen erróneamente afirmaciones para nada ciertas lo que hace que cuando se tropiezan con la realidad, haya alguna sorpresa.

Plantearé hoy tres de los errores más comunes asumidos por algunas de las empresas que deciden implantar un SGSI:

‘CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO’

Esta suposición no es válida en la implantación de ningún Sistema de Gestión, pero menos si cabe en un SGSI. Como en cualquier proyecto de similares características, es imprescindible la colaboración de muchos miembros de la plantilla de la empresa para arrancar y llevar a buen puerto el diseño y la implantación de un Sistema de Gestión que trata de protegerla información crítica para el negocio, ya que hay muchos departamentos y perfiles que trabajan a diario con esa información que se busca proteger; al fin y al cabo, son ellos los que mejor conocen la organización. Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y valorarlos, seleccionar las opciones para su tratamiento, y para implantar el plan de tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado. Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario ampliar.

Si bien los consultores deben invertir muchas horas en darle forma el sistema, la organización debe invertir bastantes horas en proporcionarles la información que necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como necesarias para llevar a cabo su implantación. Hay casos en los que también se contrata a la consultora externa la implantación de los controles seleccionados pero suelen ser los menos, así que en la mayoría de los casos es la organización la que debe ir implantando la lista de controles seleccionados y no implantados inicialmente. Esta lista puede ser muy corta pero también muy larga, depende de la situación de partida de la organización desde el punto de vista de la seguridad.

Sin embargo, antes de pasar al siguiente error, tampoco es bueno pecar de pesimista: no hay que olvidar que la implantación de un SGSI en ocasiones (no siempre) no es otra cosa que la documentación y procedimentación de controles, tareas, rutinas, formas de trabajar que la organización ya conoce, en definitiva, la formalización de un sistema de gestión con el que hace tiempo que “se siente a gusto”. Dicho de otra forma, y aunque les parezca obvio, el trabajo que tendrá que abordar la empresa en el momento de la implantación del SGSI será inversamente proporcional al trabajo que hasta ese momento haya realizado en la gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más bien poco.

‘ESTE PROYECTO SÓLO CONCIERNE AL ÁREA TIC’

Otro gran y común error. Ya que como hemos comentado, se trata de proteger la información crítica para el negocio, en el proyecto se deben ver involucradas personas de muchas áreas: Departamento TIC (por su puesto) pero también RR.HH, Departamento financiero, Departamento legal, Departamento de Marketing y todos aquellos que trabajan con esa información crítica para el negocio que se va a proteger. Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo de crítica es para el negocio la información con la que trabajan a diario y de qué modo debe cambiar su forma de manejarla para garantizar que se encuentra debidamente protegida. Por supuesto, se les debe preguntar, explicar y escuchar, antes de decidir los controles que se van a implantar y que les va a afectar, ya que de lo contrario se corre el riesgo de que perciban las nuevas normativas o políticas que se van a definir en materia por ejemplo de contraseñas, control de acceso, destrucción de información, uso del correo electrónico, instalación de software, etc, como un mero capricho del área TIC a las que no encuentran ningún sentido y que simplemente perciben como muy engorrosas.

‘SE VAN LOS AUDITORES Y YA HEMOS TERMINADO’

Normalmente, cuando se van los auditores también se van los consultores externos y eso significa que la empresa se queda con su certificado y ‘sola ante el peligro’; en unas organizaciones, eso supondrá que ha llegado la hora de la verdad: de comprobar cómo de bien planteado está el SGSI y de ver si es operativo. En otras, ese ‘peligro’ no será tal; la obtención del certificado no significará otra cosa que el premio y la aprobación externa de un sistema de gestión de la seguridad que la organización ya había asumido como propio, como ventajoso y positivo para su negocio antes siquiera de plantearse la obtención del sello de una entidad acreditada.

Obviamente, siempre será responsabilidad de los consultores haberse asegurado de que el SGSI diseñado, bien a partir de un sistema de gestión ya en funcionamiento, bien a partir de la nada, es adecuado para la empresa en la que se ha implantado. Eso significa que debe ser fácilmente operable, acorde al tamaño de la organización, de su presupuesto y de los recursos que se pueden asignar a su mantenimiento.

Muchas veces, cuando se parte de una organización casi ‘virgen’ en la gestión de la seguridad de la información, se puede pecar de querer diseñar un super-SGSI, sin tener en cuenta que tras el proceso de implantación, las personas que se han visto involucradas recuperan sus tareas diarias, y la prioridad del SGSI baja unos cuantos niveles respecto a estas otras tareas. Obviamente la existencia de un SGSI en una organización sin una gestión de la seguridad previa requerirá un esfuerzo: mantener al día su inventario de activos, hacer un seguimiento de las no conformidades, obtener los datos para medir la eficacia de los procesos, analizar la información que de ellos se desprende, mantener al día los documentos y registros, es decir, ejecutar todas las tareas que implica un SGSI. En cualquier caso, el reto de lograr un SGSI bien diseñado será lograr que, cuando no lo están ya, los procesos que conlleva se integren de manera lo más transparente posible en el funcionamiento de la organización. A veces, este es casi el punto de partida; en otros casos, la meta está un poco más lejana.

Con esta entrada no pretendo desanimar a nadie, ni mucho menos, sólo señalar aspectos obvios: que la implantación, y sobre todo el mantenimiento de un SGSI es una tarea continua, del día a día, en la que se deben involucrar a varias personas de la organización, se le debe dotar de los recursos y presupuesto necesario, y que debe contar con el apoyo de la alta dirección para tener garantizado su éxito. Nada, desde luego, diferente de lo que cualquiera podría esperar de un sistema de gestión, sea cual sea.

Comments

  1. Francisco Benet says:

    Patricia, muy acertado el post.

    Personalmente me llama mucho la atención el segundo caso, que es el que más me parece que se da actualmente, aparte de que muchas veces hasta el propio personal de TIC se siente invadido por este tipo de proyectos y su posición es más de resistencia que de apoyo. Como si el resto de la empresa les hubiera infectado de su visión pesimista.

    Un saludo.

  2. Desde luego que muy acertado, Patricia.
    Son muchas, como dices, las condiciones necesarias para que la implantación de un SGSI llegue a buen puerto, pero nunca parecen ser suficientes. Habría que añadir a la lista, la lectura obligatoria de este artículo por parte del cliente.

    Saludos

  3. Patricia, el artículo es muy ilustrativo.
    Qué opinión tienes de los errores comunmente cometidos por los consultores?
    Hay tanto tema para hablar…

  4. Patricia Vanaclocha says:

    Hola Carlos,
    pues es cierto que los consultores también cometemos errores (como todo hijo de vecino) pero esos los suele detectar el cliente ‘a posteriori’ o el auditor externo.
    En nuestro caso, y hasta la fecha, los clientes han quedado satisfechos con los SGSIs que hemos implantado y así ha quedado reflejado en los informes de los auditores externos.
    En general, y desde mi punto de vista, los errores que es más fácil que cometa un consultor es intentar montar un SGSI demasiado ambicioso en una empresa que no pueda después mantenerlo, intentar cambiar excesivamente la forma de trabajar del cliente y no conseguir transmitir al equipo de trabajo del cliente los beneficios del SGSI (más allá de la certificación).
    Un saludo

  5. Cuando se va a implementar el SGSI de un proceso operativo dentro de la entidad, qué requisitos debe cumplir la entidad a manera corporativa para que sea viable? ejemplo… política de seguridad para la entidad… precisando mi pregunta, me refiero que si deben estar definidos a nivel de la entidad lo siguiente:
    los criterios de identificación de activos,
    los criterios de evaluación del riesgo,
    las unidades de medición de aceptación del riesgo la entidad
    si se van a utilizar criterios de valuación cuantitativos o cualitativos
    si los procedimientos generales por ejemplo de acciones correctivas y preventivas son únicos para toda la entidad
    gracias anticipadas por tu atención…

  6. Patricia Vanaclocha says:

    Hola Carlos,
    Hay determinadas cosas que deben quedar establecidas al implantar un SGSI y entre ellas están muchas de las que mencionas:
    – se debe definir la política de seguridad
    – se debe definir cómo se van a clasificar los activos
    – cómo se va a hacer la evaluación de los riesgos: la metodología que se va a utilizar y los criterios en los que nos vamos a basar para determinar la probabilidad de materialización y el impacto de cada escenario de siniestro
    – quién y en base a qué criterio decide los riesgos que son asumibles y los que no, etc
    Repecto a los procedimientos generales: acciones correctivas, preventivas, No Conformidades, dependerá de cómo lo quiera enfocar el cliente. Nosotros recomendamos integrar estos procedimientos con los del resto de sistemas de gestión implantados, pero también hemos trabajado con clientes cuyo Sistema de Gestión de Calidad y el de Seguridad de la Información, eran completemente independientes (cosa que desde mi punto de vista no tiene nigún sentido).
    Un saludo

  7. GUIA DE IMPLEMENTACIÓN says:

    HOLA A TODOS, YA SÉ QUE EL TEMA DE AQUI ES OTRO PERO QUIERO SABER DONDE ME DESARGO LA GUIA DE IMPLEMENTACIÓN DE UN SGSI, EL ENLACE DE ESTE SITIO ME ENVÍA A OTRA PAGINA QUE NO TIENE NADA QUE VER CON EL TEMA. GRACIAS POR SU AYUDA.

  8. Muy acertado el post me parece genial y lo mejor es que no solo aplica a los SGSI, aplica a todo Sistema de Gestión ya sea de Calidad, Ambiental, Seguridad y Salud Ocupacional, Inocuidad alimentaria, Entre muchos mas.

    Es indispensable tener en cuenta que estos errores aparecen al momento de establecer cualquier Sistema o cualquier metodología de mejoramiento continuo en cada organización

  9. martha yaneth says:

    buenas noches, quisiera saber si al implementar en mi empresa el SGSI, teniendo ya implementado el SGC ISO 9001, si es un sistema alterno y así como se nombra un coordinador de calidad para ISO 9001, es necesario nombrar un coordinador para que lidere este sistema?

    GRACIAS.