Introducción
Habitualmente, en lo que refiere a seguridad, se piensa en garantizar la seguridad de los sistemas informáticos; al adoptar normas como la ISO/IEC 27001 u otras normas técnicas o estándares, como modelos de desarrollo de la seguridad, tenemos que derribar viejos paradigmas. Pasamos así de un modelo basado en la seguridad informática a un sistema basado en la seguridad de la información.
Para aquellos que no están familiarizados con el modelo ISO/IEC 27001, esta diferencia puede parecer trivial; aunque nada más lejos de la realidad. Al cambiar el foco hacia la información en sentido amplio, nos vemos obligados a contemplar aspectos relacionados con la seguridad que escapan a las consideraciones únicamente desde una óptica informática, para trascender a un universo completo donde la información radica en todo medio de conservación imaginable, incluso el biológico.
En este nuevo paradigma, hemos ampliado la visión, pero sigue incluyendo los aspectos informáticos clásicos como los controles perimetrales, la vulnerabilidad, la detección de intrusos en los sistemas, pero ahora, además, se debe garantizar que el personal sea capaz de gestionar la información de la organización de una forma segura, independientemente del formato o soporte en el que se encuentra. Configurar equipos o instalar productos tiene una dimensión controlable desde un departamento de sistemas, lograr que todo el personal de la organización sea consciente de la importancia de la seguridad de la información y siga los procedimientos y las normas para garantizar esta seguridad, es más complejo.
A continuación, se describen los lineamientos de cómo implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Es importante destacar que cuando una organización se embarca en el proceso de implantación de un SGSI se van a designar personas, se van a modificar procesos que son de impacto para la organización, se van a implantar controles, se van a cambiar en muchos casos las modalidades de trabajo; ante estas situaciones de cambio resulta fundamental que las personas que toman las decisiones dentro de la organización no solo estén enteradas y convenidas de que esto es importante, sino que será imprescindible su apoyo para llevar adelante los cambios. Por tanto, resulta imprescindible el apoyo de la alta dirección para la implantación y mantenimiento de un SGSI.