El diseño de un SGSI: la fase crítica que precede a todo lo demás
En muchas organizaciones, la conversación sobre seguridad de la información suele comenzar con preguntas como: ¿Cómo implementamos un SGSI?, ¿Qué controles aplicamos?, o ¿Cómo nos certificamos en ISO/IEC 27001?
Pero hay una etapa anterior, menos visible y muchas veces subestimada, que resulta crítica para el éxito real del sistema: el diseño del SGSI.
¿Qué significa diseñar un SGSI?
Diseñar un SGSI implica definir intencionalmente los fundamentos sobre los que se construirá el sistema, tomando en cuenta el contexto completo de la organización, los riesgos que enfrenta, y los objetivos estratégicos del negocio. Es una etapa de planificación estructurada que establece el rumbo de la implementación y el mantenimiento posterior.
No se trata simplemente de «elegir controles», sino de responder a necesidades más profundas: garantizar la confidencialidad, integridad y disponibilidad de la información en función del propósito, complejidad, tamaño y entorno de la organización.
Las necesidades de seguridad de la empresa están vinculadas a sus objetivos de negocio y también podemos entenderlas como «resultados previstos» que busca la organización de su SGSI (usualmente pueden ser también las razones por las cuales el proyecto de SGSI o implementación de ISO/IEC 27001 es aprobado por la empresa).
¿Qué requisitos de ISO/IEC 27001 serán impactados por un buen diseño previo ?
La norma ISO/IEC 27001 no solo prescribe controles, sino que establece los pilares para diseñar un SGSI eficaz. Algunos de los elementos que tendrán una relación con los resultados de un buen diseño de SGSI son:
Comprensión del contexto (cláusula 4) Definir el entorno interno y externo, así como las partes interesadas relevantes (clientes, reguladores, socios), es fundamental para alinear la seguridad con las prioridades del negocio.
Alcance del SGSI (cláusula 4.3) Un error común es querer proteger “todo” sin una delimitación clara. Diseñar correctamente el SGSI permite que el alcance delimite esfuerzos y recursos en lo que realmente importa.
Política de seguridad de la información (cláusula 5.2) Esta política necesita ser coherente con los objetivos de la organización (un alineamiento que aporte valor a los objetivos del negocio) y debe establecer una dirección clara y compromiso para todo el sistema de gestión (SGSI).
Enfoque para la valuación de riesgos (cláusula 6.1.2) Definir criterios adecuados y cómo se identifican, analizan y valoran los riesgos es esencial para un diseño sólido y adaptado a la realidad de la organización.
Gobernanza y roles (cláusula 5.3) ¿Quién toma decisiones? ¿Quién tiene autoridad para aprobar cambios? ¿Quién es responsable de qué? Sin estas respuestas, el SGSI no tiene estructura.
¿Por qué esta etapa marca la diferencia?
Un diseño débil o inexistente da lugar a implementaciones confusas, controles mal seleccionados, políticas genéricas (difíciles o complicadas de seguir y cumplir) y auditorías fallidas (no conformidades persistentes). En cambio, un SGSI bien diseñado:
- Se adapta a la realidad y madurez de la organización
- Enfoca los recursos en los activos más críticos (Los recursos no son ilimitados y las organizaciones deben considerar sus propias restricciones)
- Genera valor real y no solo cumplimiento
- Se vuelve sostenible en el tiempo (Aportando valor a la organización de forma permanente)
Conclusión
Antes de implementar, hay que diseñar. Antes de ejecutar, hay que entender. Y antes de cumplir con una norma, hay que alinear el sistema con la estrategia organizacional.
El diseño de un SGSI no es solo un paso previo, es el punto de partida que define el éxito de todo lo demás.
Puede ver este post en linkedin en : https://www.linkedin.com/pulse/el-dise%C3%B1o-de-un-sgsi-la-fase-cr%C3%ADtica-que-precede-todo-horna-vallejos-uefqe
