Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Semana 9 - Implementación de Modelo SGSI

    Cargado por

    Richard Junior
    400 vistas6 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    400 vistas6 páginas

    Semana 9 - Implementación de Modelo SGSI

    Cargado por

    Richard Junior

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    IMPLEMENTACIÓN DEL MODELO SGSI

    ¡Hola!

    Es hora de demostrar lo que has aprendido del tema.

    Para ello, te invitamos a revisar los materiales de la semana y desarrollar la siguiente


    actividad: 

     Identifica las consideraciones que se debe tener en cuenta para la


    implementación SGSI, sobre el material explicativo.

    Recuerda que para elaborar tu tarea, deberás apoyarte en los contenidos virtuales que
    has revisado en el curso.

    ¡Éxitos!

    Bueno, considero que identificar las consideraciones que se deben tener para
    implementar un SGSI son mucho más fáciles de explicar si partimos desde el ciclo
    DEMING del mismo. Así pues, lo explicaré según las fases de PDCA.

    En la fase de PLANEACIÓN:

     Comprensión de la organización: Se debe analizar los factores externos e internos


    que influyen en el alcance de los objetivos del SGSI.
     Dterminar el alcance del SGSI.
     Liderazgo y compromiso: Los directivos deben mostrarse líderes comprometidos
    con el éxito del SGSI.
     Política de SI: Se debe aplicar un proceso de evaluación de riesgos (criterios de
    riesgos, identificación de riesgos, análisis de riesgos).

    En la fase de HACER:

     Se debe implementar el plan de tratamiento de seguridad de los riesgos vistos en


    la fase de planeación.
     Se debe documentar los resultados obtenidos de dicha implementación del
    tratamiento de seguridad de riesgos.
    En la fase VERIFICAR:

     Se debe auditar internamente y periódicamente.


     El SGSI debe cumplir con los requisitos propios de la organización.
     Cada auditoría debe tener definidos sus criterios y alcance.

    En la fase de ACTUAR:

     Se debe analizar si es necesario revisar la no conformidad a fin de que no vuelva a


    ocurrir en el futuro.

    Además, según el material se deben tener en cuenta estas recomendaciones:

     La seguridad debe ser inherente a los procesos de información y del negocio. 


     La concienciación del empleado por la seguridad Principal objetivo a conseguir. 
     Realización de comités a distintos niveles (Operativos, de dirección, etc.) con
    gestión continua. 
     La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. 
     La seguridad no es un producto, es un proceso. 

    Adicional a ello, consultando diversos portales web vi que coincidían en estas


    consideraciones:

    1. Respaldo y patrocinio

    El principal elemento que se debe tener en cuenta antes de la implementación es el respaldo


    de la alta dirección con relación a las actividades de seguridad de la información, de manera
    específica con la iniciativa de comenzar a operar con un SGSI.

    La idea puede surgir en cualquier nivel dentro de la organización, pero requiere del patrocinio
    de los niveles jerárquicos más elevados.

    El soporte y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un


    proyecto aislado y administrado por un subordinado. Del mismo modo, resulta útil la
    formación de estructuras dentro de las organizaciones, que permitan la colaboración y
    cooperación de los representantes de las diferentes partes con roles y funciones relevantes.
    En este sentido, una buena práctica consiste en desarrollar la estructura adecuada para la
    toma de decisiones en torno al sistema de gestión, a través de la conformación de un foro o
    comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de
    seguridad de la información, es decir, todas aquellas responsabilidades y acciones que
    ejerce la alta dirección en cuanto a la seguridad.

    2. Estructura para la toma de decisiones

    Para fines de las actividades de gestión de la seguridad, el comité es un grupo


    interdisciplinario encargado de tomar decisiones referentes a la implementación y operación
    del sistema de gestión, así como mantener el control administrativo del marco de trabajo de
    seguridad.

    El objetivo es integrar a miembros de la dirección (incluyendo al CEO), para proporcionar


    una visión de negocio a las decisiones que competen a este comité, así como la generación
    de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los
    objetivos de la organización.

    De manera general, puede agrupar las necesidades y puntos de vista de los integrantes de
    la organización como usuarios, administradores, auditores, especialistas en seguridad y de
    otras áreas como la parte jurídica, recursos humanos, TI o de gestión de riesgos.

    Otros miembros que pueden conformar este foro son el responsable del sistema de gestión,
    jefes de áreas funcionales de la organización y un rol de auditor para una evaluación objetiva
    e imparcial del SGSI.

    3. Análisis de brecha (GAP)

    El análisis de brechas o GAP Analysis es un estudio preliminar que permite conocer la forma


    en la que se desempeña una organización en materia de seguridad de la información, con
    relación a las mejores prácticas reconocidas en la industria; para ello se utilizan criterios
    establecidos en normas o estándares.

    El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque este


    análisis es aplicable a cualquier estándar certificable, normalmente se lleva a cabo para
    nuevos esquemas de certificación, que son los que más dudas generan en las
    organizaciones, debido a su novedad.

    4. Análisis de Impacto al Negocio (BIA)

    El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento utilizado para
    estimar la afectación que podría padecer una organización como resultado de la ocurrencia
    de algún incidente o un desastre.

    Tiene dos objetivos principales, el primero de ellos consiste en proveer una base
    para identificar los procesos críticos para la operación de una organización y la priorización
    de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor
    será la prioridad.

    El BIA está directamente relacionado con los aquellos procesos que poseen un tiempo crítico
    para su operación, porque si bien, todos los procesos sujetos a un tiempo crítico son de
    misión crítica, no todos los procesos de misión crítica están relacionados con un tiempo
    crítico para su ejecución.

    5. Recursos: tiempo, dinero y personal

    Con base en los resultados del análisis de brecha y del impacto al negocio, es posible
    estimar elementos necesarios para la implementación de ISO/IEC 27001. En caso de
    tratarse del primer ciclo de operación, el momento sugerido para la implementación de la
    norma es un periodo con una carga de trabajo menor, que permita una planificación
    adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea.

    Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo mayor


    a un año antes de que se cumpla su primer ciclo, esto debido a distintas razones como los
    continuos cambios en los riesgos, cambio en las prioridades de la dirección con respecto a la
    protección de activos, aparición de nuevas amenazas, entre otras.

    El análisis también permite estimar los recursos financieros necesarios para alcanzar el


    estado deseado en materia de seguridad de la información, conforme a ISO 27001. Se debe
    tener en mente que durante la implementación se deberán destinar recursos para
    implementar controles técnicos, físicos o administrativos, conforme a los resultados de
    una evaluación de riesgos.

    Por otro lado, la organización debe contar con personal idóneo para llevar a cabo las
    actividades técnicas y administrativas relacionadas con el sistema de gestión, por lo que
    puede optar por capacitar a miembros de la organización o contratar los servicios de
    personal externo que colabore para los objetivos planteados en el SGSI.

    6. Revisión de los estándares de seguridad

    Otra actividad útil previa de la implementación del SGSI está relacionada con conocer el
    contenido y la estructura del estándar ISO/IEC 27001, así como de los estándares que
    conforman la serie 27000. De manera específica, una tarea necesaria consiste en conocer
    ISO/IEC 27000, que permite conocer los principios en los cuales se fundamenta la
    implementación de un SGSI.

    ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un
    resumen general de esta familia de estándares, así como una introducción al SGSI. Este
    estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de
    la nueva versión de ISO/IEC 27001.

    Referencias
    ESET. (s.f.). WeLiveSecurity. (M. Á. Mendoza, Editor) Recuperado el 8 de octubre de
    2021, de https://www.welivesecurity.com/la-es/2017/11/06/consideraciones-
    implementacion-del-sgsi/

    Universidad Tecnológica del Perú. (s.f.). Canvas UTP. Recuperado el 8 de octubre de


    2021, de https://canvas.utp.edu.pe/courses/212075/pages/semana-9-tema-1-
    implementacion-de-un-sgsi?module_item_id=23995639

    Universidad Veracruzana. (s.f.). Universidad Veracruzana. (M. Á. Mendoza, Editor)


    Recuperado el 08 de octubre de 2021, de
    https://www.uv.mx/infosegura/general/consejo_sgsi/

    También podría gustarte