Para Ricardo Elena, gerente de desarrollado de Negocios de Easy Solutions, generalmente la respuesta se encuentra al analizar los análisis de riesgo y las auditorías, que deben considerar primero el objetivo que tiene la empresa y el diseño las políticas y los controles acorde al análisis de riesgo realizado y los hallazgos encontrados en cada uno de los elementos de IT involucrados.
Desde su percepción existen dos variables que deben ser consideradas a la hora de que las organizaciones hagan la implementación de estándares de seguridad:
la seguridad pensada en forma holística. Porque si bien un firewall puede mejorar la postura de seguridad de una empresa al ubicarla de forma estratégica en su red, también se debe pensar que es necesario su correcta configuración.
También considerar que debe existir el personal idóneo para su operación, un plan de capacitación para los operarios de esta herramienta, y tomar en cuenta que tener este equipo implica planes de mantenimiento y actualización, costos por ejemplo en licencias de software, entre otros.
“Lo anterior demuestra que para realizar una correcta implementación de estos estándares, es fundamental crear una adecuada planeación estratégica de estos proyectos, debido a que muy seguramente impactarán muchos temas de la operación de IT, costos y recursos”, concluye Elena.
Según Elena, el momento donde es más fácil identificar una falla
en la implementación de estos estándares es cuando se hace una verificación de conocimiento e implementación de políticas y procedimientos de seguridad, y se evidencia que no todos los empleados conocen las políticas y procedimientos, o sólo las conocen parcialmente, por ejemplo desconocen que saben qué hacer en el caso de un incidente de seguridad, situaciones que muestran que no hubo una adecuada socialización de políticas, controles y procedimientos.
En el caso de los estándares de seguridad el sentido de la gran mayoría de estos reposa en un plan de mejora continua como el ciclo de Deming o simplemente el ciclo PHVA (Planificar, Hacer, Verificar, Actuar, por sus siglas en español).
Pero el problema surge cuando se implementa el estándar pero no se cierra el ciclo en la fase de hacer las verificaciones periódicas del caso y no actuar para hacer las mejoras, los ajustes y las correcciones necesarias.
Elena agrega que en temas de implementación de nuevos proyectos de IT y seguridad de la información, una constante en cualquier organización es la presencia de escasez de recurso, por lo tanto recomienda no buscar con énfasis una solución de tecnología para cumplir con las exigencias de la norma, sino primero realizar un análisis de tecnología existente en la compañía, de esa manera reutilizar recursos con procesos y configuración que apoyen al cumplimiento de la norma.