A partir de esta entrada, se comenzará la publicación de un conjunto de notas seriadas enfocadas a elevar el conocimiento sobre las buenas prácticas en la utilización de las TIC, para ello, se parte de un sistema de gestión de la seguridad de la información requiere no solo de un Plan de seguridad de las TIC (PSTIC), como se ha explicado en muchas oportunidades y en muchas instancias este sistema está organizado de manera cíclica, en cuatro etapas: Planificar, Hacer, Verificar y Actuar.
Para iniciar el proceso se debe desarrollar la planificación de la gestión de riesgos que permite conocer las oportunidades que presenta trabajar sobre ellos, evaluarlos, dar tratamiento a los mismos como única forma de dar continuidad a los procesos, con el establecimiento de políticas, medidas y procedimientos en concordancia con los objetivos de la institución y el alcance del sistema de gestión de la seguridad de la información (SGSI). Este momento del proceso donde se establece el SGSI es la Planificación.
La etapa nombrada como Hacer, se corresponde con la implementación y gestión del SGSI, donde se establecen los controles que se han seleccionado y su correcta aplicación. Para determinar los controles, no solo deben conocerse los riesgos, sino también los estándares internacionales en torno a las buenas prácticas para la gestión de la información, cuestiones estas que se sustentan en las normas ISO de la serie 27000.
La verificación, responde a los procesos de evaluación y verificación del desempeño de los procesos contra las políticas establecidas, los objetivos de seguridad, junto a la experiencia práctica, cuestiones estas que en la revisión permitan la realización del reporte de los resultados a los decisores para su revisión y que se proceda a la etapa de actuar, donde se mantiene y mejora el SGSI, que permite la realización de las acciones de corrección y prevención basado en los resultados de la verificación y la revisión de los directivos para lograr un SGSI en continua evolución.
De esto se desprende que el PSTIC no es un simple documento de consulta para los usuarios que informa sobre qué está permitido y qué no lo está, sino que es el punto de partida para fijar las acciones por parte de los usuarios y de la administración de la red para que se cumplan los objetivos y la misión institucional trazadas de antemano.
Guía de controles que establece el estándar internacional en la Norma ISO 27002 – 2013.
En las próximas entregas se comenzará a dar respuestas a las preguntas más frecuentes sobre por qué deben establecerse controles en torno a la actuación de los usuarios de las TIC, que se expresan en el PSTIC en forma de políticas, medidas y procedimientos.