La gestión de la seguridad en la PYME

La gestión de la seguridad de la información es una inversión de tiempo, trabajo y dinero con el fin de que las potenciales amenazas que acechan a nuestra organización, a los procesos de negocio y a las personas que participan en ellas, se reduzcan de forma progresiva.

Esto, en grandes empresas y cuando existe un compromiso evidente por parte de dirección, facilita de forma sustancial la implantación e implementación de sistemas de gestión, ya que se dispone de grandes departamentos con personal muy cualificado y recursos que no están disponibles para la mayoría de empresas de mediano tamaño, y muchísimo menos, de las PYME's.

Sin embargo, el tejido empresarial, suele estar formado en su mayor parte por pequeñas empresas (ver link), cuya capacidad de recursos y departamentos suele reducirse a 1, 2 o 5 personas en el mejor de los casos.

Para llevar a cabo una implantación de este calibre, se necesitan fundamentalmente varios aspectos que definen y sientan las bases del éxito o el fracaso del proyecto:

• Compromiso por dirección: Debe establecer pautas y normas, así como facilitar recursos suficientes para la mejora del sistema de gestión, así como elementos adicionales de protección (provisión de recursos e inversión en infraestructura)
• Un correcto análisis de riesgos: Los riesgos que acechan a la organización y a su proceso de negocio deben ser evaluados con rigor, y no meramente por sospechas, dichos o falsas creencias sin que hayan sido sometidas a un profundo análisis.
• Formación del personal: Las labores de implantación, documentación y configuración de los sistemas, así como otras labores de gestión, deben estar correctamente dirigidas y enfocadas a la consecución de objetivos tangibles, por lo que puede ser necesario formar al personal en esas tareas o capacidades que no dispongan
• ¡¡Marcar objetivos reales!! Las direcciones de las PYME's suelen tener en algunos casos ideas u objetivos excesivamente complejos o ni siquiera alcanzables ( "debemos estar certificados en 2 meses"; "no debemos tener ningún riesgo de seguridad de aquí a 5 meses";...)
• Formular acciones de gestión del riesgo, así como un plan de continuidad de negocio "eficaz": Las organizaciones también deben disponer de planes "b" en caso de colapso o catástrofe, por lo que lo impensable o improbable no quiere decir que sea imposible.

Con estas directrices, y por supuesto, el mantenimiento de un sistema de gestión correctamente implantado y fundamentado en el ciclo de mejora continua PDCA, cualquier empresa, por pequeña que sea su estructura, si está bien organizada, provista de recursos, con un buen asesoramiento y apoyada por dirección, debería ser capaz de poder conseguir una certificación ISO 27001.