Apoyo Organizacional al SGSI

Clase 14 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La seguridad de la información es un pilar fundamental en cualquier organización moderna. Para implementar un sistema de gestión de seguridad de la información (SGSI) efectivo, es imprescindible contar con el respaldo total de la alta dirección. Este apoyo no solo debe manifestarse en palabras, sino en acciones concretas que demuestren un compromiso real con la protección de los activos informacionales de la empresa. El soporte adecuado en términos de recursos humanos, económicos y tecnológicos es la base para construir una cultura de seguridad robusta y sostenible en el tiempo.

¿Cómo debe la alta dirección apoyar el sistema de gestión de seguridad?

La dirección de la empresa tiene la responsabilidad de garantizar, mediante evidencias concretas, todo el soporte brindado al sistema de gestión de seguridad de la información. Este apoyo debe ser integral y abarcar múltiples aspectos:

  • Asignación de recursos humanos dedicados exclusivamente a tareas de seguridad y privacidad.
  • Inversión económica para adquirir y mantener herramientas tecnológicas.
  • Respaldo institucional para implementar políticas y procedimientos de seguridad.
  • Promoción de una cultura organizacional orientada a la seguridad.

El compromiso de la alta dirección no debe limitarse a una declaración de intenciones, sino que debe traducirse en acciones concretas y medibles que demuestren su interés real en proteger la información de la organización.

¿Qué recursos son necesarios para mantener un SGSI efectivo?

Para mantener un sistema de gestión de seguridad de la información efectivo, es necesario destinar recursos específicos:

  1. Personal especializado: Profesionales dedicados 100% a actividades de seguridad y privacidad, con conocimientos verificables en:

    • Gestión de riesgos
    • Aplicación de controles
    • Hacking ético
    • Habilidades de comunicación y liderazgo

  2. Inversiones tecnológicas:

    • Herramientas de detección de vulnerabilidades
    • Modelos de inteligencia artificial de apoyo
    • Equipos tecnológicos robustos que puedan hacer frente a las amenazas actuales
    • Firewalls, Web Application Firewalls (WAF) y otros controles específicos

  3. Formación continua:

    • Educación permanente para el equipo de seguridad
    • Actualización constante en nuevas amenazas y técnicas de protección

Un ejemplo concreto es el compromiso de seguridad demostrado por la alta dirección de Platzi, que ha designado un equipo especializado en ciberseguridad que trabaja diariamente en mantener su sistema de gestión, apoyándose en herramientas como:

  • SonarCube: Para análisis de código fuente
  • CloudFlare: Para protección de infraestructura web
  • Tenable: Para gestión de vulnerabilidades
  • Otras soluciones de libre distribución

¿Cómo verificar las competencias del personal de seguridad?

El sistema de gestión de seguridad de la información exige que la organización valide rigurosamente las competencias y experiencias de las personas vinculadas que aportan a la seguridad. Este proceso debe estar completamente documentado y, preferiblemente, contar con un control de versiones.

Para gestionar esta documentación, las organizaciones pueden utilizar:

  • Sistemas de almacenamiento en la nube
  • Servicios cloud dedicados a la gestión del recurso humano
  • Plataformas de gestión documental con control de versiones

Es fundamental recordar que durante un proceso de auditoría, el auditor probablemente indagará sobre el perfil de los encargados de seguridad, verificando si cuentan con la experiencia y conocimientos mínimos necesarios para desempeñar sus funciones adecuadamente.

¿Qué novedades trae la nueva versión de ISO 27001?

La nueva versión de la norma ISO 27001 pone un énfasis considerable en el apoyo que debe brindar la alta dirección hacia la seguridad de la información. Este cambio representa una oportunidad que los profesionales de seguridad deben aprovechar al máximo, generando:

  • Resultados tangibles que demuestren la efectividad de las medidas implementadas
  • Valor para la empresa, traduciendo las inversiones en seguridad en beneficios concretos
  • Métricas claras que permitan evaluar el retorno de la inversión en seguridad

Este enfoque renovado busca que la seguridad de la información deje de verse como un gasto necesario y comience a considerarse una inversión estratégica que aporta valor al negocio.

La implementación efectiva de un sistema de gestión de seguridad de la información requiere un compromiso real y demostrable por parte de la alta dirección. Este apoyo, materializado en recursos humanos, económicos y tecnológicos, es la base para construir una estrategia de protección robusta frente a las amenazas actuales. ¿Tu organización cuenta con el respaldo necesario para implementar un SGSI efectivo? Comparte tu experiencia y los desafíos que has enfrentado en este proceso.