viernes, febrero 26, 2010

Experiencia personal: dificultades en la implementación de un SGSI

Voy a comentar con Ustedes cuales fueron las dificultades que encontré en una de las implementaciones de un SGSI en las cuales participe, las cuales probablemente podrían Ustedes tener igualmente que enfrentar.
  1. Desconocimiento total sobre seguridad de información como tal: Siendo totalmente honestos, el tema de seguridad de la información es manejado solamente por las personas que estan íntimamente relacionadas con el tema, y en Colombia hay pocos segmentos que lo hacen: las empresas consultoras en SGSI, los consultores propiamente dichos, y algunas personas del sector financiero debido a la circular 052 que obliga a toda entidad financiera a implementar un SGSI. Aquí podríamos agregar unas pocas personas que trabajen en ICONTEC y a aquellas que conocen el tema de manera superficial por algún conocido, referencias, etc. Este es sin duda la dificultad mas grande e inclemente de todas: se firman contratos con fechas limite de implementación incoherentes (2 meses para que haya un plan de implementación) y de ahí en adelante todo se convierte en una carrera contra el tiempo y obvio, las malas decisiones.
  2. Al ser una Norma ISO, erróneamente se asocia de inmediato con calidad. Si ya existe un Coordinador de Calidad, que el asuma la responsabilidad de implementar el SGSI. Esto es valido siempre y cuando el Coordinador de Calidad domine temas como políticas de seguridad, análisis de riesgos, seguridad física, planes de continuidad, gestión de incidentes, y un larguísimo etcetera de actividades ligadas ala seguridad de la información. Si hablamos de un equipo ideal de SGSI, seria un Ingeniero de sistemas que maneja la parte netamente técnica y soporte la parte documental, y un Ingeniero Industrial que tenga experiencia en gestión de calidad. Si ya existe un SGC al que se pueda ir añadiendo la documentación del SGSI, perfecto, así con el tiempo se tendra un Sistema de Gestión Integrado que agrupe calidad y seguridad de la información en un solo ente.
  3. Al implementar un SGSI, se deben definir "Áreas Seguras", que son en síntesis zonas en las que se conserva la información confidencial de la Organización y a las que solo pueden acceder aquellas personas que esten autorizadas para ello. Esta "zonas seguras" son quizás la parte mas difícil de controlar por que los empleados quieren acceso a todos los lugares, algunos Jefes se sienten maltratados por que ya no pueden entrar a todas las oficinas, se genera un mal ambiente, etc. y es en esta parte donde empezamos a hablar del cambio cultural en la Organización.
  4. Gestión del Cambio: En toda organización, la resistencia mas grande que pueden presentar todos los empleados es al cambio, y al implementar un SGSI hay muchisimos cambios!!! Por ejemplo, de manera ideal todo empleado debe registrar SIEMPRE sus entradas o salidas de las instalaciones, solo puede ingresar a su puesto de trabajo en horarios permitidos, debe firmar una clausula de confidencialidad que lo responsabiliza por la información a la que tenga acceso, y todo esto solo se logra con una campaña de sensibilización muy fuerte y que se transversal a toda la empresa: desde el cargo mas alto hasta las personas que hacen el aseo, quienes también pueden tener contacto con información confidencial. Hay que involucrar a todo el personal en el SGSI, informarles que cualquier riesgo que involucre la confidencialidad, la integridad y la disponibilidad de la información en su poder no solo los puede afectar a ellos sino a toda la organización y dejar mucha gente sin empleo.
  5. Backups del Personal: En Proyectos críticos que conozco, inclusive hasta el gerente adolece de un adecuado backup que pueda tomar rápidamente su lugar en caso de una enfermedad, o mas drástico aun, una renuncia. Todo cargo que maneje o posea información relevante para la Organización debe primero que nada tener todas sus funciones y responsabilidades documentadas, y segundo pero no menos importante, contar con un backup para que la Organización siga prestando sus servicios de manera ininterrumpida. Por favor asegúrense a la hora de implementar un SGSI de que en su Empresa los cargos críticos tengan un adecuado backup, o como mínimo que haya una muy buena segregación de responsabilidades.
  6. Entregas de cargo: ya que estamos hablando de Gestión de Personal, este tema también es muy delicado: cuando hay rotaciones, renuncias o despidos, las entregas de cargo son muy deficientes, o inexistentes. Debe contarse con un formato que incluya cuales son las responsabilidades a cargo; que archivos, folders, y carpetas se reciben; usuarios y contraseñas (que deben ser cambiados tan pronto se reciba el cargo); que informes se entregan y en que fechas, que tareas hay pendientes, etc. logrando asi que el cambio de una persona sea lo menos traumatica para una Organización.
  7. Seguridad del personal: Un tema que causa escozor en la Alta Dirección, pues de inmediato se habla de costos, el Estudio de Seguridad para cada uno de los empleados que laboren en la organización. Este estudio es realizado por empresas dedicadas a este servicio, quienes hacen una visita domiciliaria, una entrevista al futuro empleado, contactan a los vecinos, a los Jefes anteriores y brinda un panorama completo del ambiente en el que se desenvuelve una persona, dando asi (en teoría) una base solida para que una empresa contrate sin preocupaciones (de nuevo, en teoría) al o los empleados que necesite para su correcto funcionamiento. Aquí vale la pena mencionar que en algunos casos, hay empresas que exigen además del estudio de seguridad, pruebas de polígrafo para ingresar, o en cualquier momento durante el tiempo de duración del contrato, cuya realización es completamente a discreción de la empresa, y obvio, la asistencia esta a discreción del trabajador
  8. Responsabilidad por un SGSI: Como mencione previamente en el Numeral 4), el SGSI no puede ser responsabilidad de una sola persona, pues si asi lo fuera ey exagerando un poco, estaríamos hablando prácticamente de una empresa unipersonal. Todos y cada uno de los empleados en una Organización deben ser informados por medio de una clausula de confidencialidad que deben firmar (puede ser parte del contrato de trabajo o un documento independiente) de cuales son sus responsabilidades con la información que manejen y cuales serian las consecuencias en caso de incumplirlas, debe haber una permanente campaña de sensibilización, los empleados deben reportar todos los incidentes de seguridad, la alta dirección debe estar enterada de los resultados de tales reportes, en fin, el tema es de todo el personal de la Organización, la seguridad de la información es responsabilidad de todos!!
  9. Documentación: todos los documentos que hagan parte del SGSI deben ser administrados por una sola persona, asi esta no los llegue a utilizar en sus labores diarias. He visto casos en los que por ejemplo el Grupo de Sistemas de una Organización tiene su "propia" versión de un documento que el administrador del SGSI desconoce por completo, lo cual se constituye en un riesgo de seguridad de la información y si llegase a ser detectado por una auditoría las consecuencias van a ser funestas. hay que asegurarse de que todo el personal participe en la documentación, pero también de que esten enterados de que todo documento oficial del SGSI debe salir de las manos del administrador del SGSI.
  10. Para terminar hablemos de dinero. No se puede hablar de dinero sin haber hecho previamente una adecuada evaluación de riesgos la cual nos indique a que amenazas esta expuesta la Organización, y allí si determinar cuales serian los controles a implementar sabiendo obviamente cuales costos van a representar. Este tema si va en un solo sentido: no se puede hablar primero de dinero y luego de controles.
Espero que les haya gustado esta entrada, y ojala en el futuro pueda compartir con Uds. mas experiencias semejantes y mejor aun, como solucionarlas.

6 comentarios:

Unknown dijo...

Algun marcol legal que puedas brindar para poder aplicar controles en la seguridad de la informacion?

Leonardo Camelo dijo...

Hola: en el blog ya hay una entrada que quizas te pueda ser de utilidad: "Marco legal de Seguridad de la Información en Colombia" http://seguridadinformacioncolombia.blogspot.com/search/label/Legislaci%C3%B3n

WinLinux dijo...

Me puede brindar algun correo de usted, para armar una fuente bibliografica, debido a que del tipo "blog" no me la aceptan, adelanto mi tesis de grado, pero no dejo de leer su blog es muy interesante...pero me molestan por de donde proviene la fuente
se lo agradecería!!

Leonardo Camelo dijo...

Hola

Comenteme como le puedo ayudar, que información MIA le solicitan y demas detalles al respecto. Como se podra imaginar, debido precisamente a la seguridad de la información no soy muy dado a dar mi información personal.

Luis M dijo...

Buen Dia Leonardo,

Quisiera conocer su opinión sobre alguna empresa que nos pueda recomendar para la implementacion de un SGSI, estamos realizando negociaciones con una empresa llamada Seltika, quisiera saber si nos recomienda otra para iniciar este proceso de forma confiable.

Leonardo Camelo dijo...

Buenos Dias Luis Miguel
La recomendación es que consigan varias cotizaciones y vean financieramente y claro, en la practica cual de todas les ofrece mas.

Sin tener vinculo de mi parte desde ningún punto de vista, le sugiero estos nombres: DAKYA, Multisoft, o 360 Security Group. Soliciteles una propuesta comercial en la que Ud dice cual es el alcance: un acompañamiento, una ejecución mas directa y por ultimo, la meta que desea alcanzar: contar con un SGSI o certificar su SGSI.

Cualquier otra duda, con gusto.