Introducción / Antecedentes
Los términos PYME (Pequeñas y Medianas Empresas) o SME (Small and Medium Enterprises) representan un concepto muy difundido en todo el mundo para hacer referencia a un tipo de empresa con un número reducido de trabajadores y cuya facturación es moderada, factores estos determinantes para identificar una organización de este tipo. Teniendo en cuenta estos parámetros, existen diferentes criterios dependiendo de cuál sea el país elegido, por lo que en este documento se identificarán como medianas empresas aquellas organizaciones con un número de empleados inferior a 500 (aproximadamente) lo que, de forma general, engloba a más del 90% del total de las empresas existentes en el mundo y a más del 99% de las existentes en la Unión Europea.
Los profesionales de la seguridad de la información habitualmente involucrados en temas como el gobierno y la gestión de la seguridad de la información, sus métricas, estándares, proyectos de firma digital e infraestructuras de clave pública o consolidación de registros, entre otros, sufren cierta pérdida de perspectiva al asumir como cierto y existente el conocimiento, implantación y la cultura en seguridad de la información en las empresas en general, cuando la situación real, en el caso de las medianas empresas, es otra. Un pequeño número de empresas tienen unos niveles muy altos de implantación de seguridad de la información mientras que la gran mayoría tiene carencias importantes en el conocimiento de la seguridad en general, y en la implantación de las medidas técnicas y organizativas asociadas, en particular, existiendo una clara falta de madurez en las organizaciones de este tipo en lo que a seguridad de la información se refiere.
Habitualmente no existe en estas empresas una estructura organizativa adecuada, careciendo en muchos casos de la figura del responsable de seguridad, cuyo rol asume la misma persona responsable de IT (sistemas y/o comunicaciones), lo que unido a la falta de responsabilidad explícita y a las importantes carencias formativas en el área de seguridad de la información, hace que las medidas de seguridad implantadas suelan ser muy básicas y respondan en casi todos los casos, a necesidades puntuales para solventar un problema existente, o a la implantación de una nueva funcionalidad o aplicación dentro de la organización.
La labor diaria, el "día a día", no permite a sus responsables tomar una visión de conjunto o realizar una planificación y gestión adecuada de la seguridad, lo que a su vez se traduce en una falta de concienciación de la alta dirección en estos temas y por ende, en la asunción de unos niveles de riesgo inaceptables para la organización que desafortunadamente, suelen materializarse en el momento de la ocurrencia de un incidente de seguridad o de la necesidad de cumplimiento de una ley o norma, que habitualmente tiene asociado un importante impacto en el negocio. Es en ese momento de forma inmediata, o de forma más planificada si la organización cuenta con una mente preclara que logre impulsar una iniciativa previa en ese sentido, cuando se requiere la presencia de los profesionales de la seguridad de la información para, por una parte solucionar los problemas existentes en esa materia, y por otra comenzar el camino hacia la disminución del riesgo y la implantación de las medidas de seguridad adecuadas.
Suelen ser requisitos indispensables marcados por la compañía en estos casos, la pronta disponibilidad de resultados que disminuyan el riesgo existente, la implantación de medidas de seguridad críticas a corto plazo y con total certeza, la presentación de un plan de acción que permita tanto a la alta dirección como al actual responsable de seguridad (camuflado como responsable de tecnologías de la información) identificar qué recursos serán necesarios y cuál será el camino que deban seguir para incorporar la seguridad como un requisito más en sus procesos de negocio.
Ante tamaño reto, el profesional de la seguridad de la información siempre podrá abordarlo mediante un enfoque tradicional siguiendo las metodologías y estándares existentes (ISO 27001 principalmente) y por tanto comenzar con el proceso de implantación del SGSI (Sistema de Gestión de la Seguridad de la Información) mediante las consabidas fases, cuya descripción no es objeto de este documento, pero que como referencia se mencionan a continuación:
- Definición de la política y alcance del SGSI
- Establecimiento de Responsabilidades y Recursos
- Registro de activos
- Gestión del riesgo
- Selección de controles aplicables
- Establecimiento de aplicabilidad
- Implantación
El seguimiento estricto de estas fases en este tipo de empresas suele ser muy complicado debido a la falta de concienciación de la alta dirección y a la inexistencia del entorno inicial sobre unas bases mínimas en lo que a seguridad de la información se refiere. La implantación de medidas de seguridad (controles) no comienza hasta bien avanzado el proyecto (varios meses después probablemente) y por tanto, uno de los fines (justificado, al fin y al cabo) perseguidos por la compañía, la implantación de medidas de seguridad críticas a corto plazo, no es tenido en cuenta inicialmente.
Este enfoque, acertado y completo por otra parte, no suele ser aceptado generalmente, ya que se buscan unos resultados más "inmediatos" y prácticos a corto plazo ("queremos seguridad, y la queremos ahora"), si bien sí que se acepta como el camino a seguir a medio o largo plazo.
Es aquí donde surge la necesidad de una metodología o aproximación que ante escenarios como el mencionado (no debe olvidarse que las empresas que estamos tratando suponen un 99% de las existentes en la Unión Europea), ofrezca una alternativa puente entre el incumplimiento total y la implantación metodológica de la gestión de la seguridad mediante un estándar como ISO 27001.
En este sentido se presenta IS2ME, Information Security to the Medium Enterprise (Seguridad de la Información a la Mediana Empresa) como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los estándares deseados.
IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad.
© Copyright 2007-2009 Samuel Linares / Ignacio Paredes