Implantación de SGSI en PYMES

Un SGSI es una herramienta para la seguridad de la informacion en una Organización... pero ¿es viable implantarlo en una pequeña o mediana empresa?

A continuacion dejaré en claro eso.




La importancia de un SGSI para las empresas en general 

La información es uno de los activos más importantes de toda organización, por lo que ser protegida convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la empresa.Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos, etc. –, vandalismo, etc.) hay que sumarle los riesgos lógicos (virus,ataques de denegación de servicio, etc.).
Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad derealizar grandes inversiones en software y sin contar con una gran estructura de personal.
Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en
una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer las políticas, procedimientos y controles, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización.
Para los directivos de una empresa el SGSI es una herramienta, que les ofrece una visión global, sin tecnicismos, sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la
dirección una toma de decisiones sobre la estrategia a seguir.
En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente

ahora pues... ¿cumple con las mismas espectativas en una PYME ? a continuacion mostraremos los beneficios en la implantación 


Los beneficios de un SGSI para las PYMES

Las grandes empresas cuentan con abundantes recursos humanos, técnicos y económicos que le permiten afrontar el mantenimiento de la seguridad en sus sistemas de información. La PYME, a falta de esos recursos, necesita de una herramienta sencilla y de bajo coste que dé respuesta a los riesgos existentes.
Por ello, partiendo de la base de que la seguridad al 100% no existe, la adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) es una alternativa adecuada para que la PYME pueda establecer una metodología y una serie de medidas con las que ordenar, sintetizar y simplificar la seguridad de la información. 
Esta mejora en la seguridad se ve reflejada en una serie de ventajas que se describen a continuación:

Reducción de riesgos

Partiendo del Análisis de Riesgos que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá los riesgos hasta un nivel asumible por la PYME, siempre sin perder de vista los objetivos de negocio.

Ahorro económico 

Como cualquier otro sistema de gestión, la implementación de la norma permite una racionalización de recursos, lo que repercute en un ahorro de costes. Poder tomar decisiones basadas en datos cuantitativos y no solo cualitativos, permite gestionar mejor el gasto en TI.
De esta manera las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través del Análisis de Riesgos, evitando los gastos innecesarios, inesperados, y sobredimensionados.

La seguridad se transforma en actividad de gestión

 Efectivamente, la implementación de un SGSI transforma la seguridad en una actividad de gestión, ya que deja de ser un conjunto de actividadiciembre 2009 / enero 2010 204205 diciembre 2009 / enero 2010 caso de exito seguridad y políticas industriales des técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado, en el que, al participar toda la organización, con lo cual se crea conciencia y compromiso de seguridad en todos los niveles de la empresa.

Cumplimiento legal
Es una obviedad decir que es necesario cumplir con la legislación vigente. Todos los aspectos de conformidades legales de la norma deben responder a la legislación del país, y se verifica su adecuación y
cumplimiento. Por lo tanto la certificación garantiza este hecho y a su vez seguramente crea un marco legal
que protegerá a la empresa en aspectos que seguramente no se habían tenido en cuenta antes.

Competitividad en el mercado

Las norma 27001 de seguridad es tan importante como se reconoce hoy a la ISO 9000 de calidad. Poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PYME.
Es el único modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Lo que la convierte en un importante factor diferenciador con la competencia, por las ventajas derivadas de la
mejora de imagen y ventaja competitiva en el mercado. 


En definitiva, la ISO/IEC 27001 es un elemento de gestión que se irá generalizando en las empresas, distinguiéndose claramente quienes se anticipen en su implantación.

0 comentarios:

Publicar un comentario