Los diez errores más frecuentes en Sistemas de Protección de Datos de Carácter Personal y de Seguridad de la Información
Los sistemas de gestión, sean de la índole que sean, requieren un cuidado estudio por parte de las organizaciones a la hora de ser desplegados.
No importa el tamaño de la empresa, ni tampoco si son implementados en una institución pública o una empresa privada: en todos los casos, el diseño de estos sistemas debe seguir unos criterios que garanticen el éxito de las implementaciones. Obviamente, hay factores estrechamente ligados al sector de operación y al carácter institucional o privado de una organización, si bien siempre existen unos criterios básicos que se cumplen en todo tipo de diseños.
Esta base común nos ha llevado a condensar, a modo de white paper, los errores más frecuentes a la hora de llevar a cabo implementaciones de sistemas en las organizaciones. Hemos dividido el documento en dos partes, cada una con cinco errores, que corresponden a los problemas más usuales en sistemas de Protección de Datos de Carácter Personal y a Seguridad de la Información respectivamente.
Errores y dificultades posibles a la hora de enfrentarnos profesionalmente no sólo a las revisiones y auditorías de los mismos, sino a su concepción, hay muchos. En este documento sólo incluimos diez, con carácter general y cuyas soluciones que pueden ser perfectamente aplicables a casi la totalidad de sistemas que consideremos.
La información procede de casos reales en los que Hispasec Sistemas ha intervenido en labores de consultoría. El objetivo principal de este documento es proporcionar una referencia básica a los gestores y responsables a la hora de abordar conformidades a textos como la Ley 15/999 Orgánica de Protección de Datos Personales (LOPD), Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), y a los estándares internacionales ISO 17799:2005 e ISO 27001:2005.
De un modo paralelo, y es esta misma sintonía formativa, damos inicio en Hispasec Sistemas a la celebración de jornadas de seguridad para profesionales, instituciones públicas y empresas. Estas jornadas pretenden ofrecer información directa a las personas implicadas en la seguridad desde la óptica corporativa. Además de tratar temas como los contenidos en este documento introductorio, se tratarán temas estrechamente ligados a la gestión de la seguridad y a la aplicación operativa de procedimientos de seguridad: continuidad del negocio, recuperación ante desastres, gestión del riesgo, certificaciones CISA y CISM, y cualquier otro tema que los interesados propongan. Tienen toda la información disponible en:
http://www.hispasec.com/corporate/jornadas.html
Esperamos que este documento sea de utilidad para todos aquellos que quieran hacer una revisión general sobre conceptos básicos en sistemas de gestión con relación a la seguridad. Tan sólo es un esbozo que contiene una selección mínima de las problemáticas habituales en este campo, y que habitualmente se pasan por alto o son menoscabadas. Con lo que invitamos a los responsables de sistemas de este tipo a que los tengan en cuenta a la hora de comenzar o consolidar acciones estratégicas relacionadas con los procedimientos de seguridad de la información.
El documento puede descargarse gratuitamente desde http://www.hispasec.com/corporate/papers/diez_errores_sistemas_gestion.pdf