Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¡Hola!
Recuerda que para elaborar tu tarea, deberás apoyarte en los contenidos virtuales que
has revisado en el curso.
¡Éxitos!
Bueno, considero que identificar las consideraciones que se deben tener para
implementar un SGSI son mucho más fáciles de explicar si partimos desde el ciclo
DEMING del mismo. Así pues, lo explicaré según las fases de PDCA.
En la fase de PLANEACIÓN:
En la fase de HACER:
En la fase de ACTUAR:
1. Respaldo y patrocinio
La idea puede surgir en cualquier nivel dentro de la organización, pero requiere del patrocinio
de los niveles jerárquicos más elevados.
De manera general, puede agrupar las necesidades y puntos de vista de los integrantes de
la organización como usuarios, administradores, auditores, especialistas en seguridad y de
otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos.
Otros miembros que pueden conformar este foro son el responsable del sistema de gestión,
jefes de áreas funcionales de la organización y un rol de auditor para una evaluación objetiva
e imparcial del SGSI.
El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento utilizado para
estimar la afectación que podría padecer una organización como resultado de la ocurrencia
de algún incidente o un desastre.
Tiene dos objetivos principales, el primero de ellos consiste en proveer una base
para identificar los procesos críticos para la operación de una organización y la priorización
de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor
será la prioridad.
El BIA está directamente relacionado con los aquellos procesos que poseen un tiempo crítico
para su operación, porque si bien, todos los procesos sujetos a un tiempo crítico son de
misión crítica, no todos los procesos de misión crítica están relacionados con un tiempo
crítico para su ejecución.
Con base en los resultados del análisis de brecha y del impacto al negocio, es posible
estimar elementos necesarios para la implementación de ISO/IEC 27001. En caso de
tratarse del primer ciclo de operación, el momento sugerido para la implementación de la
norma es un periodo con una carga de trabajo menor, que permita una planificación
adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea.
Por otro lado, la organización debe contar con personal idóneo para llevar a cabo las
actividades técnicas y administrativas relacionadas con el sistema de gestión, por lo que
puede optar por capacitar a miembros de la organización o contratar los servicios de
personal externo que colabore para los objetivos planteados en el SGSI.
Otra actividad útil previa de la implementación del SGSI está relacionada con conocer el
contenido y la estructura del estándar ISO/IEC 27001, así como de los estándares que
conforman la serie 27000. De manera específica, una tarea necesaria consiste en conocer
ISO/IEC 27000, que permite conocer los principios en los cuales se fundamenta la
implementación de un SGSI.
ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un
resumen general de esta familia de estándares, así como una introducción al SGSI. Este
estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de
la nueva versión de ISO/IEC 27001.
Referencias
ESET. (s.f.). WeLiveSecurity. (M. Á. Mendoza, Editor) Recuperado el 8 de octubre de
2021, de https://www.welivesecurity.com/la-es/2017/11/06/consideraciones-
implementacion-del-sgsi/