Guia Certificacion iso 27001:2013

Anuncios

ISO 27001 ¿Qué es un SGSI?

Consiste en un conjunto de políticas, procedimientos, guías, recursos y actividades asociados, que son gestionados de manera colectiva por una organización.

Las siglas SGSI significan Sistema de Gestión de la Seguridad de la Información.

Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio.

Este enfoque está basado en una apreciación del riesgo y en los niveles de aceptación del riesgo de la organización diseñados para tratar y gestionar con eficacia los riesgos.

El análisis de los requisitos para la protección de los activos de la información y la aplicación de controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la exitosa implementación de un SGSI.

Aprovecho de invitarte a visitar nuestra sección «Cursos gratis de certificación«

Los siguientes principios fundamentales también pueden contribuir a la implementación exitosa de un SGSI:

  1. La conciencia de la necesidad de seguridad de la información.
  2. La asignación de responsabilidades en seguridad de la información.
  3. La incorporación del compromiso de la Dirección y los intereses de las partes interesadas.
  4. La mejora de los valores sociales.
  5. Apreciaciones de riesgo para determinar los controles adecuados para alcanzar niveles aceptables de riesgo.
  6. La seguridad incorporada como un elemento esencial de los sistemas y redes de información.
  7. La prevención y detección activas de incidentes de seguridad de la información.
  8. El garantizar una aproximación exhaustiva a la gestión de la seguridad de la información.
  9. La evaluación continua de la seguridad de la información y la realización de modificación es cuando corresponda.

La seguridad de la información incluye tres dimensiones principales:

  1. La confidencialidad
  2. La disponibilidad
  3. La integridad.

Con el objetivo de garantizar el éxito empresarial sostenido, así como su continuidad, y minimizar impactos, la seguridad de la información conlleva la aplicación y la gestión de medidas de seguridad adecuadas que implican la consideración de una amplia gama de amenazas.

La seguridad de la información se consigue mediante la implementación de un conjunto de controles aplicables, seleccionados a través del proceso de gestión de riesgo que se haya elegido y gestionado por medio de un SGSI, empleando políticas, procesos, procedimientos, estructuras organizativas, software y hardware para proteger los activos de información identificados.

Estos controles necesitan ser especificados, implementados, monitorizados, revisados y mejorados cuando sea necesario, para garantizar que la seguridad y los objetivos de negocio y de seguridad específicos se cumplan. Estos controles de seguridad de la información deben integrarse de forma coherente con los procesos de negocio de una organización.

Un sistema de gestión utiliza un marco de recursos para alcanzar los objetos de una organización. El sistema de gestión incluye la estructura organizativa, las políticas, la planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.

En términos de seguridad de la información, un sistema de gestión permite a una organización:

  1. Satisfacer los requisitos de seguridad de los clientes y otras partes interesadas.
  2. Mejorar los planes y actividades de la organización.
  3. Cumplir con los objetivos de seguridad de información de la organización.
  4. Cumplir con las regulaciones, leyes y obligaciones sectoriales.
  5. Gestionar los activos de información de una manera organizada que facilita la mejora continua y la adaptación a las actuales metas de la organización y a su entorno.

Un gran número de factores son fundamentales para la implementación exitosa de un SGSI que permite a una organización cumplir con sus objetivos de negocio. Algunos ejemplos de factores críticos de éxito son:

  1. Que la política, los objetivos y actividades de seguridad de la información estén alineadas con los objetivos.
  2. Un enfoque y un marco para el diseño, ejecución, seguimiento, mantenimiento y mejora de la seguridad de la información en consonancia de la cultura de la organización.
  3. El apoyo visible y el compromiso de todos los niveles de la Dirección, especialmente de alta Dirección.
  4. El conocimiento y entendimiento de los requisitos de protección de los activos de información obtenido mediante la aplicación de la gestión del riesgo de la seguridad de la información (véase la Norma ISO/IEC27005).
  5. Un programa efectivo de concienciación, formación y educación sobre seguridad de la información, informando a todos los empleados y otras partes pertinentes de sus obligaciones en seguridad de la información establecidas en las políticas de seguridad de la información, normas, etc., y motivarlos a actuar en consecuencia.
  6. Un proceso eficaz de gestión de incidentes de seguridad de la información.
  7. Un enfoque efectivo de gestión de la continuidad del negocio.
  8. Un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y para proporcionar sugerencias de mejora.

Un SGSI aumenta la probabilidad de que una organización alcance de forma coherente los factores críticos de éxito para proteger sus activos de información.

Los beneficios de implementar un SGSI producirán principalmente una reducción de los riesgos asociados a la seguridad de la información (es decir, reduciendo la probabilidad y/o el impacto causado por los incidentes de seguridad de la información). De una forma más específica los beneficios que para una organización produce la adopción éxitos a de la familia de normas SGSI son:

  1. Un apoyo al proceso de especificar, implementar, operar y mantener un SGSI, global, eficiente en costes, integrado y alineado que satisfaga las necesidades de la organización en diferentes operaciones y lugares.
  2. Una ayuda para la dirección en la estructura de su enfoque hacia la gestión de la seguridad de la información, en el contexto de la gestión y gobierno del riesgo corporativo, incluidas las acciones de educación y formación en una gestión holística de la seguridad de la información a los propietarios del negocio y del sistema.
  3. La promoción de buenas prácticas de seguridad de la información, aceptadas a nivel mundial, de una manera no preceptiva, dando a las organizaciones la flexibilidad para adoptar y mejorar los controles aplicables, respetando sus circunstancias específicas y para mantenerlos de cara a futuros cambios internos y externos.
  4. Dispone de un lenguaje común y una base conceptual para la seguridad de la información, haciendo más fácil confiara los socios de un negocio que esté en conforme a un SGSI, especialmente si requieren la certificación conforme a la Norma ISO/IEC 27001 por un organismo de certificación acreditado.
  5. Aumentar la confianza en la organización por las partes interesadas.
  6. Satisfacer necesidades y expectativas sociales.
  7. Una más eficaz gestión desde un punto de vista económico de las inversiones en seguridad de la información.


Advertisements

Deja un comentario