PDF de programación - IS2ME Seguridad de la Información a la Mediana Empresa

IS2ME



Seguridad de la Información a la Mediana Empresa

Un Método para Acercar e Implementar la Seguridad de la Información en las



Pequeñas y Medianas Empresas



Autores:

Samuel Linares ([email protected])

Ignacio Paredes ([email protected])

-1-





IS2ME: Seguridad de la Información a la Mediana Empresa

(Information Security to Medium Enterprise)



Un método para acercar e implementar la seguridad de la información en las pequeñas y medianas

empresas



1 Introducción/Antecedentes

Los términos PYME (Pequeñas y Medianas Empresas) o SME (Small and Medium Enterprises)
representan un concepto muy difundido en todo el mundo para hacer referencia a un tipo de empresa
con un número reducido de trabajadores y cuya facturación es moderada, factores estos
determinantes para identificar una organización de este tipo. Teniendo en cuenta estos parámetros,
existen diferentes criterios dependiendo de cuál sea el país elegido, por lo que en este documento se
identificarán como medianas empresas aquellas organizaciones con un número de empleados inferior
a 500 (aproximadamente) lo que, de forma general, engloba a más del 90% del total de las empresas
existentes en el mundo y a más del 99% de las existentes en la Unión Europea.

Los profesionales de la seguridad de la información habitualmente involucrados en temas como el
gobierno y la gestión de la seguridad de la información, sus métricas, estándares, proyectos de firma
digital e infraestructuras de clave pública o consolidación de registros, entre otros, sufren cierta pérdida
de perspectiva al asumir como cierto y existente el conocimiento, implantación y la cultura en
seguridad de la información en las empresas en general, cuando la situación real, en el caso de las
medianas empresas, es otra. Un pequeño número de empresas tienen unos niveles muy altos de
implantación de seguridad de la información mientras que la gran mayoría tiene carencias importantes
en el conocimiento de la seguridad en general, y en la implantación de las medidas técnicas y
organizativas asociadas, en particular, existiendo una clara falta de madurez en las organizaciones de
este tipo en lo que a seguridad de la información se refiere.

Habitualmente no existe en estas empresas una estructura organizativa adecuada, careciendo en
muchos casos de la figura del responsable de seguridad, cuyo rol asume la misma persona
responsable de IT (sistemas y/o comunicaciones), lo que unido a la falta de responsabilidad explícita y
a las importantes carencias formativas en el área de seguridad de la información, hace que las
medidas de seguridad implantadas suelan ser muy básicas y respondan en casi todos los casos, a
necesidades puntuales para solventar un problema existente, o a la implantación de una nueva
funcionalidad o aplicación dentro de la organización.

La labor diaria, el “día a día”, no permite a sus responsables tomar una visión de conjunto o realizar
una planificación y gestión adecuada de la seguridad, lo que a su vez se traduce en una falta de
concienciación de la alta dirección en estos temas y por ende, en la asunción de unos niveles de
riesgo inaceptables para la organización que desafortunadamente, suelen materializarse en el
momento de la ocurrencia de un incidente de seguridad o de la necesidad de cumplimiento de una ley
o norma, que habitualmente tiene asociado un importante impacto en el negocio. Es en ese momento
de forma inmediata, o de forma más planificada si la organización cuenta con una mente preclara que
logre impulsar una iniciativa previa en ese sentido, cuando se requiere la presencia de los
profesionales de la seguridad de la información para, por una parte solucionar los problemas
existentes en esa materia, y por otra comenzar el camino hacia la disminución del riesgo y la
implantación de las medidas de seguridad adecuadas.

-2-


Suelen ser requisitos indispensables marcados por la compañía en estos casos, la pronta
disponibilidad de resultados que disminuyan el riesgo existente, la implantación de medidas de
seguridad críticas a corto plazo y con total certeza, la presentación de un plan de acción que permita
tanto a la alta dirección como al actual responsable de seguridad (camuflado como responsable de
tecnologías de la información) identificar qué recursos serán necesarios y cuál será el camino que
deban seguir para incorporar la seguridad como un requisito más en sus procesos de negocio.

Ante tamaño reto, el profesional de la seguridad de la información siempre podrá abordarlo mediante
un enfoque tradicional siguiendo las metodologías y estándares existentes (ISO 27001 principalmente)
y por tanto comenzar con el proceso de implantación del SGSI (Sistema de Gestión de la Seguridad de
la Información) mediante las consabidas fases, cuya descripción no es objeto de este documento, pero
que como referencia se mencionan a continuación:


- Definición de la política y alcance del SGSI
- Establecimiento de Responsabilidades y Recursos
- Registro de activos
- Gestión del riesgo
- Selección de controles aplicables
- Establecimiento de aplicabilidad
-

Implantación


El seguimiento estricto de estas fases en este tipo de empresas suele ser muy complicado debido a la
falta de concienciación de la alta dirección y a la inexistencia del entorno inicial sobre unas bases
mínimas en lo que a seguridad de la información se refiere. La implantación de medidas de seguridad
(controles) no comienza hasta bien avanzado el proyecto (varios meses después probablemente) y por
tanto, uno de los fines (justificado, al fin y al cabo) perseguidos por la compañía, la implantación de
medidas de seguridad críticas a corto plazo, no es tenido en cuenta inicialmente.

Este enfoque, acertado y completo por otra parte, no suele ser aceptado generalmente, ya que se
buscan unos resultados más “inmediatos” y prácticos a corto plazo (“queremos seguridad, y la
queremos ahora”), si bien sí que se acepta como el camino a seguir a medio o largo plazo.

Es aquí donde surge la necesidad de una metodología o aproximación que ante escenarios como el
mencionado (no debe olvidarse que las empresas que estamos tratando suponen un 99% de las
existentes en la Unión Europea), ofrezca una alternativa puente entre el incumplimiento total y la
implantación metodológica de la gestión de la seguridad mediante un estándar como ISO 27001.

En este sentido se presenta IS2ME, Information Security to the Medium Enterprise (Seguridad de la
Información a la Mediana Empresa) como solución y aproximación para el camino a seguir hacia la
implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es
maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema
de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo
de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los
estándares deseados.

IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la
información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura
organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido
por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel
económico de la mayoría de las empresas existentes en la actualidad.

-3-



2 Objetivos

El método IS2ME tiene como uno de sus principales objetivos la disminución urgente del riesgo
asumido por la organización en lo que a Seguridad de la Información se refiere. Mediante el
establecimiento de un entorno o marco de implantación de las medidas técnicas y organizativas
necesarias, se desarrollarán unas fases de implantación que permitan la elaboración de un proyecto
asociado cuyo fin último será la incorporación de la seguridad de la información en la cultura
organizacional como un requisito más del negocio, obteniendo a su vez resultados parciales a corto
plazo que identifiquen el estado actual de la seguridad de la organización, las acciones necesarias
para su mejora y el plan de acción para la implementación de esas acciones.

Para el desarrollo de estas fases se incorporará como requisito ineludible a las mismas el
cumplimiento implícito de los estándares o normas que en cada acción puedan ser aplicables. No se
pretende aquí desarrollar un nuevo estándar de gestión de la seguridad de la información (y por tanto
“la reinvención de la rueda”), sino proponer un método claro y definido de acercamiento de las
pequeñas y medianas empresas al cumplimiento de los estándares deseados, mediante la ejecución
de unas fases con objetivos claros que puedan ser fácilmente evaluables por la organización y que
aporten beneficios y resultados inmediatos en la mejora de los niveles de implantación de la seguridad
en la misma, sentando así la base para su posterior desarrollo en profundidad hacia el cumplimiento e
implantación total del Sistema de Gestión de la Seguridad de la Información según las normas
existentes, si así se desea.

Una de las bases para conseguir los objetivos mencionados será no sólo cons