En el post del blog de divendres passat intentàvem explicar una part de les nostres funcions com a responsables del sistema d’informació de l’organització, i de la necessitat d’auditar-les i tenir controls sobre el mateix. No és la primera vegada que escrivim damunt del tema, ja que hem
parlat també de la monitorització, els plans de continuïtat de negoci, polítiques de seguretat, restauracions, …
A vegades el termes de seguretat informàtica i de seguretat de la informació es mesclen, i la gent sol interpretar-lo com únicament un tema de seguretat informàtica, i per tant deixen, equivocadament, tan sols en mans d’un departament específic aquesta tasca, com si fos només un asumpte tècnic. Vull tornar a incidir en que el principal actiu és la informació, i que la informàtica és el suport. És per això que avui en dia es parla d’un Sistema de Gestió de la Seguretat de la Informació (SGSI, o ISMS com a equivalència en anglès). Aquest concepte inclou un conjunt de polítiques d’administració de la informació, que inclou des del disseny, la implantació i el manteniment de tot un conjunt de processos per a gestionar eficientment l’actiu vital de la informació (l’accessibilitat, la confidencialitat, la integritat, disponibilitat, …).
Com tot procés de gestió, un SGSI ha de ser seguit durant molt de temps, adaptant-se als canvis interns de l’organització, evitant que aquests puguin influir negativament en el sistema. Llavors és important coordinar-ho entre tota l’empresa, des de la gerència fins als propis usuaris. No es tracta simplement de limitar l’accés, o fer còpies de seguretat. Calen processos i procediments per assegurar-nos que la informació sempre està disponible quan es necessiti. Pot ser perquè la va generar un antic company, o bé perquè qui la tracta està de vacances i és necessari obtenir-la de forma immediata. La disponibilitat també és important
Per entendre més aquests conceptes recoman dos enllaços molt interessants. El primer un minicurs gratuït de l’Inteco que ens ho explica còmodament en format multimèdia; i el segon la web de l’estàndard ISO/IEC 27000. A partir d’aquests enllaços podem trobar un elevat conjunt d’eines, materials, procediments i referències per poder millorar el nostre SGSI, o realitzar auditories internes del nostre sistema, tal i com parlàvem la setmana anterior.