Cosas a tener en cuenta en la implantación de un SGSI

rubik

Ya comentamos en otro post que, como empresa consultora que implanta SGSIs en sus clientes, hemos detectado que en muchas ocasiones el cliente tiene opiniones preconcebidas sobre el proceso de implantación que no se ajustan a la realidad. También es cierto que, además de esos conceptos previos, hay problemas con los que una se encuentra durante el proceso de implantación, y para los que hace falta cierta ‘mano izquierda’. A los lectores que hayan implantado o participado en la implantación de un Sistema de Gestión de Seguridad de la Información, bien en la parte de cliente, bien en la de consultoría, seguro que no les descubrimos demasiadas cosas nuevas (y en algunos casos es posible que se reconozcan en la entrada), pero al resto quizás les resulte de mayor utilidad. Dicho esto, pasemos a esos “problemillas”…

1. Cuesta hacer entender a los técnicos que el SGSI “va con ellos” y que no es algo del Responsable del Sistema o del Director de Área.

Normalmente, la decisión de implantar un Sistema de Gestión de Seguridad de la Información la toma el Director del área TIC, el Gerente de la organización, o algún cargo de la alta dirección. Cuando esta decisión llega al departamento de informática o área TI, es importante explicarles claramente el por qué de esa decisión, las ventajas que se esperan conseguir con este proyecto, cómo se van a simplificar muchas de las tareas de su área una vez implantado el sistema, etc. De lo contrario los técnicos verán este proyecto como un nuevo ‘capricho’ del jefe que decide lo que se hace y a ellos les toca hacer el trabajo extra.

2. Es difícil conseguir que perfiles eminentemente técnicos vean la utilidad de medir para mejorar

Como he comentado en el punto anterior, si no se explican y difunden las ventajas que va a aportar el nuevo Sistema de Gestión, es fácil que la gente sea reacia a cambios que para ellos sólo suponen un carga extra de trabajo. A nadie se le escapa que normalmente los compañeros con perfiles técnicos no son muy amigos de realizar tareas de gestión, a las que suelen clasificar como un rollo y ven como simple papeleo (yo misma he sido técnico de comunicaciones durante varios años y sé de lo que hablo).

Una de las cosas que por nuestra experiencia cuesta más de hacer entender, es el hecho de que como todo Sistema de Gestión que se apoya en un ciclo de mejora continua (PDCA), es vital medir para poder observar cómo las cosas mejoran a medida que el sistema va madurando. En este tema es importante que tanto desde la Dirección de la organización como por parte de la empresa consultora, se haga un esfuerzo extra en inculcar a los técnicos que participen en el proyecto las ventajas que supone saber que, por ejemplo, ahora se resuelven las incidencias de seguridad en 2 minutos menos de media que el mes pasado, pero que sin embargo hay que hacer un esfuerzo extra en mejorar el proceso de copias de respaldo ya que se han incrementado el número de fallos en un 10%.

Si no medimos, trabajamos en base a sensaciones, y las decisiones tomadas sin la información necesaria es fácil que conduzcan a equivocaciones.

3. Es costoso involucrar a Áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC y que ven como ajeno a ellos

Si no fuese suficiente con las reticencias de los perfiles técnicos, otra de las particularidades de un Sistema de Gestión de Seguridad de la Información, es el hecho de que como su nombre indica, lo que persigue es proteger la Información Crítica para el negocio de la organización, y garantizar la continuidad de dicho negocio en caso de catástrofe.

Evidentemente, toda la información crítica para el negocio no está necesariamente ‘en manos’ del área TI. En la mayoría de los empresas, no sólo muchos departamentos tienen sus propias aplicaciones que se muestran reticentes a abandonar, sino que aun hoy hay mucha documentación que se maneja y/o archiva en formato papel, algo que también hay que tener en cuenta para que quede debidamente protegida (algo que en cualquier caso la LOPD ya obliga a cumplir en relación con los datos de carácter personal). El caso paradigmático es el Departamento de Administración o Comercial, que suelen trabajar con facturas, ofertas y otros documentos en formato papel que contienen información de mucho valor para la competencia… ¿Qué pasaría si un comercial perdiera el plan estratégico comercial de su empresa? ¿Y si el departamento de administración trabaja con una aplicación instalada en un único PC, fuera de la política de copias de la organización, y la aplicación de facturación se corrompiera?

Además de estos departamentos, también es necesario que participen en el proyecto de forma activa miembros del área de RR.HH, por los múltiples controles que les afectan y el papel vital que tienen en el SGSI: CV-screening de las nuevas incorporaciones, formación en materia de seguridad según la labor que van a desempeñar, medición de la eficacia de las acciones formativas que reciban los empleados en materia de seguridad, mantenimiento del registro de la educación-formación-experiencia y habilidades de los miembros de la plantilla, etc. No es que todo esto deba suponer ningún esfuerzo extra para cualquier departamento de RR.HH medianamente organizado, pero como en cualquier nueva iniciativa, hay que darle forma a estas tareas y formalizarlas.

Por último, uno de los dominios de control que incluye la ISO 27002 es el de conformidad legal, y ahí es dónde entra en juego el departamento legal (si existe). Es imprescindible cumplir con la legislación vigente en materia de seguridad de la información, y en particular con la LOPD, que suele ser la legislación “a vigilar” en este ámbito (pero no la única).

Estos departamentos que he nombrado son sólo ejemplos que se repiten en muchas empresas, aunque el abanico de departamentos a involucrar puede ser mayor o menor según la información que manejen y la forma en la que la intercambien o almacenen. Al final del cuento, a lo que voy es que igual que un Sistema de Calidad involucra prácticamente a toda la organización, un Sistema de Gestión de Seguridad de la Información es equivalente, a pesar de que “Seguridad de la Información” a muchos les haga pensar que es cosa del personal de informática.

4. Si la dirección no apoya el proyecto activamente desde el principio y es consciente de que debe asignar ciertos recursos internos para la definición e implantación del sistema, el proyecto está condenado al fracaso

Después de pasar por prácticamente toda la organización, llegamos al “jefe”: Dirección. La afirmación previa no es particular para un Sistema de Gestión de Seguridad de la información, sino que es válida para la implantación de cualquier Sistema de Gestión. Al respecto, debe quedar claro que al menos el 80% de las tareas necesarias para formalizar un SGSI ya las realizan la mayoría de empresas que tengan un área TI medianamente organizada, pero esto no quita que durante la fase de definición del SGSI se deba dedicar algo de tiempo extra a revisar, mejorar y en muchos casos documentar las metodologías de trabajo del área, y en los casos en los que se detecten desviaciones respecto a lo establecido por la norma se decida cómo abordar estas nuevas tareas y se registre. Como es obvio, esto requiere una dedicación de personal, un coste, que dirección debe estar dispuesta a asumir si quiere llevar a buen término el proyecto (como suele ser el caso).

Para acabar con la entrada, soy consciente de que el tono de esta entrada puede ser algo “catastrófico” y desalentador; parece que tengamos en contra a los técnicos de informática, a los departamentos no técnicos y casi hasta a Dirección, que quiere un SGSI “sin gastarse un duro”. Nada más lejos de la realidad; en proyectos en los que he participado, la implicación de dirección ha sido total tanto en recursos como en motivación, y los departamentos mencionados, después de ciertas reticencias iniciales habituales en cualquier proyecto de esta magnitud que se abarque en una organización, se han prestado a colaborar casi sin problemas. En definitiva, ninguno de los aspectos comentados anteriormente son insalvables, siempre que se cuente con algo de ‘mano izquierda’, ganas y una buena gestión. Con esta entrada (y la anterior) simplemente intento poner de manifiesto algunos de esos problemas e inconvenientes que hay que tener en cuenta, a pesar de que en algunas organizaciones ni siquiera asomen la cabeza.

Dicho todo esto, les emplazo a que estén atentos a la publicación del próximo post relacionado con esta temática (Implantación de SGSIs) ya que en él, después de la visión algo “negativa” que hemos tenido en esta y la anterior entrada, describiré las ventajas que aporta este sistema de gestión y que como podrán comprobar, son innumerables.

Comments

  1. Comparto completamente todas tus apreciaciones. Por desgracia la entrada no es catastrófica sino una descripción de la realidad. Yo introduje también algunas deficiencias que vengo detectando por parte de las empresas que abordan la implantación de SGSI y por parte de las consultoras que se lanzan a proyectos subvencionados sin controlar demasiado sobre el tema en la entrada “SGSI virtuales” que puedes leer en http://sgsi-iso27001.blogspot.com/2009/03/sgsi-virtuales.html

  2. Grandes verdades todas ellas.

  3. Sin duda muy real la descripción de los problemas. Quizás el mayor de ellos sea que en algunos casos, no en todos ni mucho menos, si que es cierto que la Dirección está convencida de querer implantar el SGSI, y por supuesto tener la certificación, pero esa convicción no va acompañada de la firme decisión de dotar a la organización de los recursos suficientes, y más aún en esta época de crisis económica. Creo que la conclusión es que, a pesar de que a los que trabajamos en este sector nos parezca que la Seguridad de la Información es un tema ya rodado, a nivel de cultura empresarial no estamos sino empezando.

    En cualquier caso, muy interesante la entrada.

    Saludos.