En mayor o menor medida, por todos son conocidos los requisitos de la norma ISO/IEC 27001 en relación a la información documentada. Atendiendo al mandato:
“el sistema de gestión de seguridad de la información de la organización debe incluir la información documentada requerida por esta norma internacional, así como aquella otra que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información”
Cada entidad deberá crear, actualizar y controlar un conjunto nada desdeñable de documentos: políticas, Declaración de Aplicabilidad, alcance, revisiones por la dirección, procedimientos, normas reguladoras de la gestión de controles de seguridad, hojas de cálculo, formularios, listas de control, registros,…
Indudablemente, la preparación de documentos no debe ser un objetivo en sí mismo, sino una actividad de valor añadido que proporcione soporte al SGSI. El principal rédito de la documentación debe ser habilitar la comunicación en relación a la aplicación de dicho sistema de gestión, así como mantener la coherencia de todas las acciones realizadas.
De esta forma, además de permitir la presentación de evidencias para la auditoría de certificación, la documentación constituirá una herramienta imprescindible: para cumplir con las obligaciones legales, reglamentarias y contractuales; para dar soporte a la comunicación y a la formación; para asegurar la capacidad de repetición y trazabilidad de las actividades; y, en definitiva, para mejorar los procesos y controles de seguridad del SGSI.
En el caso de una organización de mediana o gran dimensión, el volumen de documentos y registros puede implicar una ingente cantidad de información y datos, que deben ser procesados y correlacionados de una forma ágil si no se quiere perder la pista de las amenazas que merodean en cada momento.
Piénsese no solo en la amalgama de registros internos de actividad, de activos corporativos, de monitorización de eventos, de incidentes de seguridad o de herramientas contra el malware, sino, también, en la información procedente de bases de datos externas de vulnerabilidades, de fuentes de inteligencia o de los propios fabricantes.
Parecería entonces conveniente operar de forma global, orquestada y automatizada toda esa masa de información y datos para, a continuación, convertirla en conocimiento que permita al conjunto de la organización anticiparse o, en su defecto, responder de forma temprana, a los incidentes de seguridad de la información.
Gestión del Conocimiento
Precisamente, este proceso busca utilizar el conocimiento existente para crear nuevo conocimiento que permita salvaguardar el desempeño de la operativa ordinaria de la organización. Con ello, se persigue compartir perspectivas, ideas, experiencias y todo tipo de información para, de este modo, asegurarse que todo ello esté disponible en el lugar y momento adecuados, permitiendo su análisis y facilitando la toma de decisiones. Por supuesto, se trata de un proceso que entronca directamente con los requisitos de Mejora Continua de la norma ISO/IEC 27001.
En consecuencia, se trataría de una Gestión del Conocimiento que trasciende el concepto clásico de transmisión de informaciones y habilidades entre empleados y organización, para agregar también la información generada por las fuentes internas y externas del SGSI y, seguidamente, explotarla de forma global e integrada.
Por tanto, será necesario edificar un conjunto de herramientas, bases de datos y repositorios capaces de gestionar todo el conocimiento, información y datos relativos a la gestión de la seguridad de la información de una organización. Así pues, sobre la actual capa de datos, que representan las múltiples fuentes de información y registros actualmente disponibles en los procesos y actividades del SGSI, habrá que montar otras capas para la integración de dichas fuentes de información, para el procesamiento de todo ese conocimiento y, finalmente, para la presentación del mismo conforme a las necesidades de los diferentes roles del SGSI.
Naturalmente, hoy día la introducción de herramientas de Big Data para el tratamiento de grandes volúmenes de datos y de la algoritmia propia de la Inteligencia Artificial puede multiplicar el potencial y eficacia de este proceso de Gestión del Conocimiento, si bien, es cierto que el aprendizaje de los algoritmos precisa su tiempo.
Conocimiento relevante y útil
Así pues, ya que el conocimiento es un activo que crece con el tiempo, parece más que recomendable potenciar las capacidades corporativas necesarias para explotarlo y gestionarlo; ello permitirá mejorar el estado de los indicadores de Seguridad de la Información de aquellas organizaciones que buscan incrementar su eficiencia y su nivel de innovación.
Probablemente, una aproximación analítica de este tipo será de gran ayuda en el asedio a los riesgos que acechan a los activos de información de la entidad.
Excelentes apreciaciones, Jesús!
Además, la ISO 27001 aún no tiene un requisito específico de Gestión del Conocimiento, pero seguramente en la próxima edición lo incorporará.
Me encanta la frase “…la preparación de documentos no debe ser un objetivo en sí mismo, sino una actividad de valor añadido que proporcione soporte al SGSI…”
¡Gracias Moisés!
Desconocía las previsiones de la próxima edición de ISO/IEC 27001, pero parece lógico que siga los mismos derroteros que ya tomó ISO/IEC 20000-1.
¡Ahora hay que llevarlo a la práctica!