Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundamentos:
Para garantizar que la seguridad de la información es gestionada correctamente se
debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados
para garantizar su C-I-D:
doc_sgsi_all_archivos/image006.gif
Garantizar un nivel de protección total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión
de la seguridad de la información es, por tanto, garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados por
la organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y
las tecnologías.
Uso
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para mantener
los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
gestión de riesgos
Las organizaciones y sus sistemas de información están expuestos a un número cada
vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o
los ataques de denegación de servicio son algunos ejemplos comunes y conocidos,
pero también se deben considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de la propia organización o
aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
Beneficios
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades del
sistema y las áreas a mejorar.
Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
Confianza y reglas claras para las personas de la organización.
Reducción de costes y mejora de los procesos y servicio.
Aumento de la motivación y satisfacción del personal.
Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
Dispone de "Implicaciones financieras de la implantación de ISO/IEC 27001 & 27002:
modelo genérico de coste-beneficio" junto a un caso práctico orientado a la alta
gerencia.
doc_iso27000_all_archivos/image009.jpg
Implicación de la Dirección.
Alcance del SGSI y política de seguridad.
Inventario de todos los activos de información.
Metodología de evaluación del riesgo.
Identificación de amenazas, vulnerabilidades e impactos.
Análisis y evaluación de riesgos.
Selección de controles para el tratamiento de riesgos.
Aprobación por parte de la dirección del riesgo residual.
Declaración de aplicabilidad.
Plan de tratamiento de riesgos.
Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
Definición de un método de medida de la eficacia de los controles y puesta en
marcha del mismo.
Formación y concienciación en lo relativo a seguridad de la información a todo el
personal.
Monitorización constante y registro de todas las incidencias.
Realización de auditorías internas.
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio
SGSI y de su alcance.
Mejora continua del SGSI.
PLAN
DO
CHECK
ACT
Aspectos Clave
Fundamentales
• Compromiso y apoyo de la Dirección de la organización que debe:
Al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo
adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le
ayuden a tomar decisiones, entre las que se pueden enumerar:
Resultados de auditorías y revisiones del SGSI.
Observaciones de todas las partes interesadas.
Consideración de técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
Información sobre el estado de acciones preventivas y correctivas.
Identificación de vulnerabilidades o amenazas que no fueran tratadas adecuadamente
en evaluaciones de riesgos anteriores.
Resultados de las mediciones de eficacia.
Revisión de estado de las acciones iniciadas a raíz de revisiones anteriores de la
dirección.
Valoración de cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.
Toma de decisiones y acciones positivas.
Mejora de la eficacia del SGSI.
Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
Modificación de los procedimientos y controles que afecten a la seguridad de la
información, en respuesta a cambios internos o externos en los requisitos de
negocio, requerimientos de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.
• Establecimiento de políticas y normas.
• Organización y comunicación.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités a distintos niveles (operativos, de dirección, etc.) con
gestión continua de no conformidades, incidentes de seguridad, acciones de mejora,
tratamiento de riesgos...
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
desmotivación, alejamiento de los objetivos iniciales, etc.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro
de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un
área sensible concreta; una vez conseguido el éxito y observados los beneficios,
ampliar gradualmente el alcance en sucesivas fases.
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del
intento de certificación para demostrar que el SGSI funciona adecuadamente. No
precipitarse en conseguir la certificación.