Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMPUTACIÓN E INFORMÁTICA
SEGURIDAD INFORMÁTICA
SEMANA N° 11
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
Y EL MODELO PDCA “PLAN – DO – CHECK – ACT”
PLANIFICAR – HACER – COMPROBAR - ACTUAR
I
Qué es Información?
I
Introducción
• El SGSI es el concepto central sobre el que se construye ISO 27001. La
gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la
organización. Garantiza u nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado.
El propósito es garantizar que los riesgos de las seguridad de la
información sean conocidos, asumidos, gestionados y minimizados . La
seguridad de la información, según ISO 27001 consiste en la
preservación de su confidencialidad , integridad y disponibilidad esos
tres términos constituyen la base sobre la que se cimienta todo el
edificio de la seguridad de la información
I
Para qué sirve un SGSI?
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a
establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de
exposición siempre menor al nivel de riesgo que la propia organización
ha decidido asumir. El nivel de seguridad alcanzado por medios técnicos
es limitado e insuficiente por sí mismo. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la
planificación e implantación de controles de seguridad basados en una
evaluación de riesgos y en una medición de la eficacia de los mismos.
I
SGSI: otros elementos a tener en cuenta
• Compromiso y apoyo de la dirección. Debe ser el área más comprometida a la hora de la
difusión, la gestión y el seguimiento del proceso.
• Definición del alcance. Es preciso definir qué objetivos tendrá nuestro SGSI, qué
beneficios supondrá y por cuánto tiempo queremos aplicarlo.
• Formación del personal interno. Los trabajadores de una empresa deben ser parte activa
del proceso y para ello es necesario que reciban la formación necesaria que les permita
estar a la altura del mismo.
• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados al
manejo y la gestión de la información, que en cada empresa tiene características distintas
y, por tanto, soluciones distintas.
• Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI
supone la adopción de la mejora continua como elemento de identidad corporativa.
I
Características
• Análisis de riesgo: La norma exige que la empresa haga un análisis de
riesgos de seguridad periódicamente y siempre que se propongan o se
establezcan cambios significativos. Para que este análisis se haga de la
manera correcta, es necesario establecer criterios de aceptación de riesgo
así como la definición de cómo esos riesgos serán medidos.
• Compromiso de alta dirección: La norma también exige que la alta
dirección demuestre compromiso con el SGSI, además de ser esa parte de
la empresa ella misma la responsable por la seguridad de la información.
Los líderes son también responsables de asegurar que todos los recursos
para la implantación del sistema estén disponibles y asignados
correctamente, y además tienen la obligación de orientar a los
colaboradores para que el sistema sea verdaderamente eficiente.
I
• Definición de objetivos y estrategias: Durante la planificación, la
empresa necesita tener muy claro cuáles son sus objetivos de seguridad y
cuáles serán las estrategias establecidas para alcanzar esos objetivos. Los
objetivos, sin embargo, no pueden ser genéricos, deben ser mensurables
y tener en cuenta los requisitos de seguridad.
I
Beneficios
Establecer una metodología de Gestión de la Seguridad estructurada y clara.
Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
Los clientes tienen acceso a la información mediante medidas de seguridad.
Los riesgos y los controles son continuamente revisados.
Se garantiza la confianza de los clientes y los socios de la organización.
Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas
que se deben mejorar.
Facilita la integración con otros sistemas de gestión.
Se garantiza la continuidad de negocio tras un incidente grave.
Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
La imagen de la organización a nivel internacional mejora.
I
EL MODELO PDCA
I
Fuente
• https://es.wikipedia.org/wiki/Ciclo_de_Deming#:~:text=El%20ciclo%2
0de%20Deming%20(de,cuatro%20pasos%2C%20seg%C3%BAn%20el
%20concepto
• https://es.wikipedia.org/wiki/Ciclo_de_Deming#Plan_(Planificar)