Sistema de gestión de seguridad de la información (SGSI)

||Sistema de gestión de seguridad de la información (SGSI)
Sistema de gestión de seguridad de la información (SGSI) 2017-07-14T10:32:14+00:00
Sistemas de gestión En Colaboración
CONSÚLTENOS

Aviso legal

EN LAS REDES

Sistema de gestión de la seguridad de la información (SGSI). La ciberseguridad gestionada

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO/IEC 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.

Un sistema de gestión de seguridad de la información permite garantizar su:

  • Confidencialidad. Solo las personas autorizadas puedan acceder a la información.
  • Integridad. La información y sus métodos de proceso son exactos y completos.
  • Disponibilidad. Las personas autorizadas tienen acceso a la información cuando lo requieren.

Para implantar un sistema de gestión de seguridad de la información se deben desarrollar las siguientes actividades:

  • Definición del alcance. Se definen los procesos y actividades protegidas en términos de seguridad de la información. Adicionalmente, se elabora la política en la materia.
  • Análisis de los riesgos. Se identifican los activos que soportan los procesos y actividades incluidos en el alcance (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus vulnerabilidades y las amenazas a las que están expuestos.
  • Gestión de los riesgos. A partir del resultado del análisis (aprobado por la Dirección) se gestionan los riesgos:
    • Reduciéndolos mediante medidas de seguridad. La relación de medidas aplicables (conocida como Declaración de aplicabilidad) debe ser aprobada por la Dirección.
    • Eliminándolos (p.e. Eliminando el activo).
    • Aceptándolos de forma consciente y objetiva por parte de la Dirección.
    • Transfiriéndolos a un tercero.
      Se planifican las acciones, los recursos, los plazos, las responsabilidades, las prioridades y los indicadores adecuados para gestionar los riesgos de la seguridad de la información.
      La concienciación y capacitación de las personas es un aspecto clave.
  • Ejercicio, mantenimiento y revisión. El sistema de gestión de la seguridad de la información debe revisarse a intervalos planificados para garantizar su permanente adecuación a la organización:
    • Se deben realizar auditorías internas independientes.
    • La Dirección debe realizar una revisión del sistema de gestión de la seguridad de la información.

Un sistema de gestión de la seguridad de la información se puede integrar con el resto de sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), servicio (ISO/IEC 20000-1) y continuidad de negocio (ISO 22301).