Cuando se habla de un SGSI (Sistema de Gestión de Seguridad de la Información), mucha gente piensa que es algo enorme, caro y solo al alcance de grandes empresas.
No lo es.
En realidad, es poner orden, paso a paso, y sistematizar tu protección.
Voy a intentar explicarlo de forma sencilla en 7 pasos:
-
La dirección decide hacerlo. Sin apoyo de arriba, no hay SGSI que funcione.
-
Definimos el alcance. ¿Toda la empresa o solo ciertos procesos? Aquí dejamos claro qué queremos proteger y hasta dónde llega el sistema.
-
Elaboramos las políticas de seguridad. Esto no es un tocho legal. Es explicar qué entiende la empresa por seguridad y qué espera de las personas.
-
Identificamos la información y los activos dentro del alcance. TODOS. Datos, sistemas, equipos, personas, procesos… si algo no está aquí identificado, da por hecho que no se va a proteger, porque no contamos con ello. Aquí hay que ser minucioso.
-
Analizamos los riesgos a los que están expuestos esa información y esos activos. Es decir: qué podría pasar, qué impacto tendría y cuán probable es que ocurra.
-
Vale, ahora la pregunta clave: ¿qué hacemos con esos riesgos? Habrá que decidir si los asumimos, los reducimos, los externalizamos o los eliminamos. Todo eso se refleja en un documento que llamamos plan de tratamiento (o plan de acción) de riesgos.
-
Y una vez hecho todo esto, montamos el SGSI con: procedimientos, controles y responsabilidades. Y como somos meticulosos, lo dejamos todo documentado en un plan de implantación.
Todo el proceso debe estar documentado y con trazabilidad.
Siempre hay que hacerse la misma pregunta:
"si yo no estoy, ¿la persona que se queda lo entiende?"
Un movimiento básico (y muy recomendable) es recolectar datos de brechas pasadas, analizarlas y aplicar mejoras reales a partir de ellas.
Con tu SGSI debes proteger lo que de verdad te importa.