Fase 1 Diagnóstico
Objetivo
Diagnosticar la situación de seguridad de la información, poniendo énfasis en identificar adecuadamente los activos de información vinculados a sus procesos, así como los riesgos asociados a dichos activos.
Descripción
La fase de diagnóstico es fundamental ya que entrega los lineamientos para el trabajo a desarrollar en las fases siguientes.
Desde el punto de vista de Seguridad de la Información, se enfatiza la capacidad de generar valor mediante el uso de políticas, estándares, procedimientos y buenas prácticas de seguridad que, en complemento con las TIC, conforman un sistema de gestión administrativo.
Sin embargo, el objetivo no es la incorporación de dichas tecnologías a la normativa interna, sino la mejora de la gestión de las organizaciones a través de ellas. En este sentido, es indispensable que los servicios determinen si sus áreas y divisiones requieren mejoras antes de intervenir en sus procesos, para no generar actividades de control que sean innecesarias, utilizando recursos que pueden aprovecharse en necesidades más urgentes en la organización.
Es importante destacar que uno de los aspectos relevantes para la aprobación de esta fase es la identificación de los activos de información asociados a los procesos de provisión de bienes y servicios, y los riesgos a los que se encuentran sometidos, a fin de poder definir las medidas requeridas para su mitigación.
Es necesario que el RSI, como también todos los funcionarios que tengan participación en el llenado del inventario de activos, cumpla con la totalidad de los pasos necesarios y requisitos técnicos, con el fin de lograr y asegurar un cumplimiento satisfactorio de la fase de Diagnóstico.
A los efectos del Diagnóstico requerido en el sistema, se ha dispuesto una planilla electrónica Implantación SGSI - Inventario activos y Evaluación riesgos que se presenta en detalle en el ANEXO I.
Inventario de activos de información
El Diagnóstico tiene foco en la correcta identificación de los activos de información de la organización y para ello es recomendable identificar primeramente los procesos de la organización.
La realización de cada uno de los procesos involucra activos de información específicos, en sus diversos tipos y formatos.
Dichos activos de información son los que se requiere listar y caracterizar en la hoja “Inventario de Activos”, de la planilla Implantación SGSI - Inventario activos y Evaluación riesgos.
Se presenta la información mínima requerida para listar y caracterizar dichos activos de información, en el numeral inventario de activos del Anexo I.
Evaluación de riesgos
Una vez identificados los activos de información se requiere identificar y caracterizar los riesgos que amenazan a dichos activos, cuantificando el nivel de severidad de riesgo y el tratamiento sugerido. Se presenta planilla modelo para listar y caracterizar los riesgos, en el numeral Evaluación de riesgos del Anexo I.
Recomendaciones
Para comenzar a trabajar en la implantación de un SGSI, y a la hora de elegir alcance para la fase de Diagnóstico se recomienda escoger los activos de información vinculados a un proceso o departamento de la organización que no sea crítico, pero que sí tenga relevancia para el mismo.
Esto es fundamental principalmente si el equipo de trabajo aún no tiene experiencia en la metodología, permitiendo a su vez realizar los ajustes de la misma, acorde a la cultura de la organización.
Luego de ajustada la metodología, se espera que se vayan incorporando procesos a la fase de Diagnóstico, y esto incluye los procesos críticos de la organización.