Sistemas de gestión En Colaboración
CONSÚLTENOS

Le informamos que los datos personales que nos suministre serán utilizados con la finalidad de atender su solicitud
Aviso legal

EN LAS REDES

Sistema de gestión de la seguridad de la información (SGSI) ISO/IEC 27001. La ciberseguridad gestionada

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.

En general, un SGSI permite garantizar su:

  • Confidencialidad. Solo las personas autorizadas puedan acceder a la información.
  • Integridad. La información y sus métodos de proceso son exactos y completos.
  • Disponibilidad. Las personas autorizadas tienen acceso a la información cuando lo requieren.

Cómo se desarrollaría el proyecto

En este proyecto se desarrollarán las siguientes actividades:

  • Definición del alcance. Se definen los procesos y actividades protegidas en términos de seguridad de la información. Adicionalmente, se elabora la política en la materia.
  • Análisis de los riesgos. Se identifican los activos que soportan los procesos y actividades incluidos en el alcance (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus vulnerabilidades y las amenazas a las que están expuestos.
  • Gestión de los riesgos. A partir del resultado del análisis (aprobado por la Dirección) se gestionan los riesgos:
    • Reduciéndolos mediante medidas de seguridad. La relación de medidas aplicables (conocida como Declaración de aplicabilidad) debe ser aprobada por la Dirección.
    • Eliminándolos (p.e. Eliminando el activo).
    • Aceptándolos de forma consciente y objetiva por parte de la Dirección.
    • Transfiriéndolos a un tercero.
      Se planifican las acciones, los recursos, los plazos, las responsabilidades, las prioridades y los indicadores adecuados para gestionar los riesgos de la seguridad de la información.
      La concienciación y capacitación de las personas es un aspecto clave.
  • Ejercicio, mantenimiento y revisión. El sistema de gestión de la seguridad de la información debe revisarse a intervalos planificados para garantizar su permanente adecuación a la organización:
    • Se deben realizar auditorías internas independientes.
    • La Dirección debe realizar una revisión del sistema de gestión de la seguridad de la información.

Compatibilidad con otros sistemas de gestión ISO

Un sistema de gestión de la seguridad de la información conforme a ISO/IEC 27001 se puede integrar con el resto de los sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), gestión del servicio (ISO/IEC 20000-1) y continuidad de negocio (ISO 22301).

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.