Dimensiones de un SGSI

Podemos decir que un SGSI tiene 3 dimensiones. Esto quiere decir que, a la hora de implementarlo, tenemos 3 grados de libertad para definir su "tamaño". Esto nos daría un abanico realmente amplio a la hora de definir su implementación... si no fuera porque, lamentablemente, estas 3 dimensiones no son independientes (ortogonales se llamaba en matemáticas?).

La primera de las dimensiones de un SGSI es el alcance. Tenemos la libertad de decidir el número de procesos (o mejor llamarlos procesos de negocio?) que van a estar cubiertos por el SGSI. Seleccionarlos no es fácil, y en muchos casos es la clave para conseguir un SGSI realmente útil y efectivo. Como se puede comprobar aquí, casi existen tantos ejemplos de alcances como SGSIs... y no todos tienen por qué ser igual de efectivos. En su día ya dejé algunos consejos sobre cómo seleccionar el alcance, que creo que siguen siendo válidos. Es la dimensión "principal", hasta el punto de que debe ser pública, de modo que cualquiera sea capaz de verificar realmente qué partes de la organización están "protegidas" con una gestión segura de la información.

La segunda de las dimensiones de un SGSI es la relación de controles que vamos a implementar. Es una dimensión que aparece reflejada en el SoA (Statement of Applicability, o Declaración de Aplicabilidad), donde se indica al menos la relación de controles aplicados y descartados, junto con su justificación. Su importancia es tal que incluso aparece en las propias certificaciones, aunque en este caso sólo referenciada, ya que se considera que no debe ser una información pública. Pese a ello, yo creo que esta información debería ser accesible para clientes y/o proveedores que nos exijan requisitos de seguridad, ya que es un modo sencillo de que puedan verificar qué medidas de seguridad está teniendo en cuenta nuestra organización (y cuáles no).

La tercera dimensión es el grado de "fortaleza" de cada uno de los controles, el grado de intensidad (profundidad) con el que se está aplicando. No es lo mismo plantear un control de acceso físico visual que uno mediante tarjeta electrónica o que otro que además utilice reconocimiento de retina. Y está claro que es más efectivo disponer de un gestor de incidencias automatizado que mantener un registro manual en papel. Y sin embargo, todas las opciones estarían implementando el control correspondiente. Sin embargo, esta es una dimensión que no sólo no se suele identificar explícitamente, sino que en muchos casos es incluso difícil de evaluar. Y el problema es que es una dimensión clave para optimizar la eficiencia de un SGSI, ya que en muchos casos la inversión requerida para cubrir cada control depende directamente de la intensidad con la que se quiera cubrir...

En resumen, estas 3 dimensiones creo que pueden servir para reflejar de forma sencilla e intuitiva el "tamaño" de un SGSI. Lamentablemente, la representación gráfica del alcance suele hacerse en 2 dimensiones, así que si añadimos las 2 que nos faltan, el resultado puede no ser tan sencillo de interpretar (aunque siempre se podría incorporar una cuarta dimensión en forma de mapa de calor, por ejemplo). Podría ser su representación gráfica uno de los componentes del tan famoso cuadro de mando de seguridad? Quizás la segunda dimensión sea demasiado amplia, pero como propuesta, ahí queda...



P.D.: Y alguien pensará... A qué viene la referencia inicial de que las 3 dimensiones no son independientes, si luego no desarrolla la idea? Es cierto, me queda ese tema pendiente. Pero prefiero dejarlo para otro post, que este ya esta quedando lo suficientemente extenso... y el tema lo merece.