La seguridad de la información pasa por la integridad, la disponibilidad, la confidencialidad y la auditoria como pilares básicos para la seguridad de los sistemas informáticos. Para las empresas dicha seguridad es muy importante, por eso en el mercado existen diferentes soluciones para un mantenimiento informático que asegure la preparación de los sistemas ante posibles eventualidades que puedan afectar al crecimiento de una empresa. Una de las soluciones que encontramos es un sistema de gestión de seguridad de la información. Este sistema incluye diferentes temas como políticas de seguridad en sistemas informáticos, el aseguramiento de los recursos empresariales o la planificación de la seguridad, y se compone de tres procesos diferenciados: la planificación, la implementación y la verificación y actualización.
La planificación
Este proceso dentro del diseño de la arquitectura del sistema de gestión de seguridad de la información, ayuda a establecer las políticas y soluciones para lograr los objetivos empresariales relacionados con la seguridad y el mantenimiento informático. El primer paso hacia una buena planificación es determinar cuáles son los requerimientos de la seguridad. Estos se establecen a través de la realización de servicios de seguridad, se analizan los riesgos informáticos y se calculan los posibles impactos de los mismos, la probabilidad de que ocurran y los recursos a proteger. Para realizar una valoración de los sistemas informáticos se deben tener en cuenta dos aspectos: la función de los sistemas y su coste. De esta manera el personal especializado en el mantenimiento informático y la seguridad del sistema, podrá determinar aquellos factores de mayor riesgo y ofrecer soluciones adaptadas y personalizadas.
La implementación
El segundo proceso es la implementación del sistema de gestión de seguridad de la información mediante la aplicación de controles y soluciones de seguridad. Con este proceso nos aseguramos que el personal de la empresa tenga el conocimiento y las habilidades mediante cursos de formación. Estos programas de formación deben incluir aspectos como que el personal debe conocer la importancia del sistema de seguridad mediante la realización de un curso específico, éste por su parte, debe asegurar la divulgación del conocimiento y su comprensión, así como capacitar a los usuarios de las herramientas necesarias para solucionar las incidencias e implementar las soluciones adecuadas. El personal, además, tiene que ser consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información y tiene que entender los procesos y requerimientos para detectar y solucionar los incidentes de seguridad.
La verificación y actualización del sistema
El último proceso incluye la comprobación del rendimiento y la eficacia del sistema de gestión de seguridad de la información, verificando de manera periódica los riesgos residuales, es decir, los clientes deben realizar auditorías internas y externas para lograr el objetivo empresarial. Por su parte, el proceso de actualización comporta realizar los cambios necesarios para asegurar al máximo el perfecto rendimiento del sistema de gestión. Ambos procesos se suelen realizar de forma paralela e integran los trabajos de mantenimiento informático del sistema.
