Como parte de los avances en la investigación de tesis, se desarrolla el proceso para gestionar la seguridad, y quizás está por demás indicar que se requiere no solo del modelo, sino de personas capacitadas para realizar estos procesos y obviamente de una estructura organizativa acorde.
Este proceso de gestionar la seguridad se ve reflejado en la siguiente gráfica, tomada del libro de la Guía Oficial ISC2, se presenta un esquema de gestión muy cercano al que se van a implementar en la norma internacional ISO 27001.
Este proceso de gestionar la seguridad se ve reflejado en la siguiente gráfica, tomada del libro de la Guía Oficial ISC2, se presenta un esquema de gestión muy cercano al que se van a implementar en la norma internacional ISO 27001.
Estos procesos afectan los servicios provistos por TI, y como lo indica Kemmerling, también afectan a los proveedores y a los usuarios. En el caso de la norma ISO 27001, se presenta un modelo de gestión de la seguridad de la información, el cual se resume en la siguiente gráfica:
De ambos modelos presentados para gestionar la seguridad, se debe considerar que el proceso es un ciclo que permite la mejora continua. En este caso, las áreas relacionadas permiten establecer un plan de gestión de la seguridad. En este proceso se debe enfrentar a la organización a reconocer los riesgos y determinar a través de la definición de políticas y controles necesarios. Sin embargo, como lo propone la ISO 27001 el siguiente paso consiste en HACER, es decir en implementar los controles y procedimientos para que las políticas se cumplan.
Los siguientes pasos en el modelo corresponden al seguimiento y revisión del modelo, con el objetivo de poder mejorar. Uno de los requisitos para implementar la norma 27001 es un sistema de gestión de la calidad, tal es el caso de la norma ISO 9001, la cual promueve “la adopción de un enfoque basado en procesos cuando se desarrolla, implementa y mejora la eficacia de un sistema de gestión de la calidad, para aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos”[ISO9001-2000].
Bastante trabajo pero necesario para ir definiendo un modelo de gestión de la seguridad, y un cambio en la forma de pensar y hacer las cosas que llevará su tiempo y esfuerzo.
