Seguritecnia 398

SEGURITECNIA Junio 2013 35 Convergencia en Seguridad contar con las salvaguardas necesarias que permitan aprovechar los beneficios de los Sistemas de Información en este campo, pero de una forma segura. En cuanto a la eficiencia de estos sis- temas, es posible que se vea incremen- tada si se aprovechan los beneficios de los sistemas de seguridad basados en IP: arquitecturas de monitorización y detección centralizada con actuación descentralizada, correlación de eventos de los distintos sistemas, etcétera. Proveedores de Servicios Los contratos con terceros relativos a la seguridad patrimonial son, en la gran mayoría de las empresas, fundamenta- les para la protección de sus activos, ya que, en ocasiones, es imposible cubrir esas necesidades con personal interno. Desde los vigilantes de seguridad a las auditorías externas, la mayoría de orga- nizaciones cuentan con alguna de sus funciones internas de protección sub- contratadas. Lo ideal en este sentido es que dichos contratos, sean de implantación o de manteni- miento de sistemas, estén unifi- cados o al menos que los crite- rios de contratación y los niveles de servicios sean homogéneos, pues facilita la gestión y segui- miento de los acuerdos con los diferentes proveedores. El pro- ceso de contratación de todos los servicios debe ser indepen- diente, priorizando siempre las necesidades de la empresa y sus requerimientos en seguridad. Conclusiones Una transformación en el mo- delo de gestión de la seguridad patrimonial basado en mejores prácticas, y en estándares pro- bados y adaptados a la realidad de la compañía, contribuirá a re- ducir los costes de implantación y mantenimiento de los contro- les, permitirá la reutilización de los recursos (aumento de la efi- ciencia) aumentando, a su vez, el nivel de protección de los ac- tivos (aumento de la eficacia). S pecificaciones para los Sistemas de Ges- tión de la Seguridad de la Información (SGSI), publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Inter- nacional (IEC). También cabe preguntarse acerca de las limitaciones funcionales o compe- tenciales que puedan obstaculizar la transformación hacia un modelo de se- guridad patrimonial más eficaz y efi- ciente, y si dicho modelo es el idóneo para los objetivos de negocio de la or- ganización. Es especialmente relevante considerar que la seguridad física depende cada vez más de las nuevas tecnologías y del “mundo IP” y, por tanto, es recomenda- ble desarrollar procedimientos que in- cluyan la seguridad lógica en el ciclo de vida de los sistemas de seguridad fí- sica. Mitigar el impacto de los riesgos ci- ber para la seguridad de estos sistemas es crucial para que la protección sea in- tegral, y por ello las empresas deben gías comunes dentro de una misma or- ganización. Aporta transparencia entre las diferentes sedes o sucursales y ga- rantiza unos mínimos de calidad en los resultados. De la misma forma, si los cri- terios de mitigación de riesgos son uni- formes, se pueden integrar los resulta- dos y analizar la evolución de estos en el tiempo. Para la gestión de riesgos es recomendable tomar como referen- cias de buenas prácticas internaciona- les, como por ejemplo la ISO/IEC 31000, que está considerada como un están- dar a nivel internacional de gestión de riesgos. Gestión de la Seguridad Los indicadores son herramientas para sustentar la toma de decisiones res- pecto a la gestión de la Seguridad. Por ejemplo, la metodología para el Go- bierno TI Control Objectives for Infor- mation and related Technology (CobIT), aceptada mundialmente, establece in- dicadores de desempeño para cada ob- jetivo de negocio y un modelo básico de madurez que contem- pla las fases de planificación, im- plementación, control y evalua- ción del Gobierno sobre las TIC. Buenas prácticas como son: es- tablecer procedimientos de ac- tuación unificados y procesos for- males de revisión y mejora de los mismos; definir una política co- mún de adaptación del modelo de seguridad a los cambios en la disponibilidad de los recursos económicos y humanos; incluir la seguridad lógica en el ciclo de vida de los sistemas de seguridad física; evaluar el impacto de los riesgos de ciberseguridad en es- tos sistemas; mantener el control sobre el inventario de los sistemas y su mantenimiento, etc., contri- buirán al aprovechamiento de los recursos disponibles y aumen- tando los niveles de protección de las organizaciones, de modo análogo a las mejores prácticas recomendadas en la serie de nor- mas ISO/IEC 27000 para desarro- llar, implementar y mantener es- El ciclo de vida de los sistemas de seguridad física debe contar con procedimientos de seguridad lógica, ampa- rados por estándares de Gobierno TI, que garantizan la eficiencia.