En estos tiempos existen dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas. Es por esto que es importante implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Uno de los principales estándares usados por las empresas para implementar este sistema es la norma ISO 27001. Por lo tanto en Pensemos queremos contarles los 10 principios fundamentales para implementar exitosamente éste estándar. Acompañenos!

• ¡Descargue ya nuestra guía de Balanced Scorecard y dele a su organización  una mejor proyección a futuro! •

1. Entender la organización, su contexto y los elementos relevantes que podrían afectar los objetivos del SGSI.

Consiste en identificar las situaciones internas y externas a las que se enfrenta la organización y que podrían afectar su propósito y capacidad de lograr los resultados del SGSI. Estas situaciones pueden ser elementos relevantes que afectan a la Seguridad de la Información por la influencia del ambiente y las actividades en las que está inmersa la organización.

2. Comprender las necesidades de las partes interesadas.

Las partes interesadas son personas u organizaciones que pueden influir en la seguridad de la información o en la continuidad del negocio. También pueden ser personas o entidades que pueden verse afectadas por la seguridad de la información o las actividades de continuidad del negocio.

Se deben entender las necesidades y expectativas de las diferentes partes interesadas, relevantes para la seguridad de la información y determinar la manera de satisfacer esos requisitos mediante el SGSI.

3. La asignación de responsabilidades y liderazgo para la seguridad de la información.

Se deben asignar las responsabilidades para llevar a cabo las tareas específicas de seguridad de la información designando a las personas adecuadas dentro de la organización y ofreciendo los medios necesarios para desempeñar las distintas funciones sobre seguridad de la información.

4. La formación y concientización en seguridad de la información.

Uno de los medios de cualificación para las personas que asumen cargos relacionados con seguridad de la información es la capacitación.

Cuando se hable de funciones técnicas, entonces el puesto involucrado debe tener el nivel adecuado de conocimientos y habilidades para manejar los requisitos técnicos del trabajo en cuestión, utilizando técnicas, métodos, equipos y procedimientos relevantes y actualizados.

Además, las personas que gestionan el SGSI deben conocer todo lo relacionado con las políticas y los controles que se llevan a cabo en él.

5. El compromiso y liderazgo de la dirección

La alta dirección de la organización debe definir las expectativas claras sobre qué esperar del SGSI, los riesgos que se pueden o no asumir y los objetivos de seguridad de la información alineados con la dirección estratégica y los objetivos de la organización.

6. Las evaluaciones de riesgos para determinar el estado actual y las estrategias adecuadas para asumir, transferir, evitar y/o reducir el riesgo, de modo que se alcancen los niveles aceptables de riesgo.

Para una adecuada gestión del riesgo se deben especificar los recursos, las responsabilidades y autoridades, y los registros que deben mantenerse como evidencia de esta gestión.

Con el fin de establecer la estrategia adecuada de gestión del riesgo residual, la organización debe definir los criterios para evaluar la importancia del riesgo, teniendo en cuenta sus causas, consecuencias, probabilidad e impacto y el nivel de aceptación definido por la organización

7. La seguridad incorporada como un elemento esencial de las redes y sistemas de información.

Las soluciones de seguridad incorporada ayudan a garantizar la protección de dispositivos ante ataques y ciberamenazas. Estas soluciones permiten análisis de amenazas y cifrado, protección sistemática y conformidad con las distintas normas y marcos regulatorios

8. La prevención activa y detección de incidentes de seguridad de la información.

Establecer políticas de seguridad, que van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, hasta la realización del respaldo de datos.

El proceso de detección y gestión de incidentes asegura que el servicio estará disponible de nuevo, tan pronto como sea posible.

9. Asegurar un enfoque integral de gestión de seguridad de la información.

En el enfoque de gestión integral se recomienda considerar los ataques persistentes avanzados, realizar cambios constantes en la infraestructura de TI o en los procesos de negocio y conocer las amenazas.

10. Una reevaluación regular de la seguridad de la información y la aplicación de modificaciones según sea apropiado.

Se recomienda realizar una reevaluación después de cierto período de tiempo (normalmente un año), para determinar cuánto ha logrado avanzar la organización y tomar las medidas correctivas que sean necesarias.

 

 

Es importante tener en cuenta todos y cada uno de estos aspectos para implementar y mejorar continuamente su SGSI y lograr identificar, mitigar y administrar sus riesgos de seguridad de la información.

En Pensemos contamos con años de experiencia ayudando a mejorar la ejecución estratégica de nuestros clientes. Esperamos que este artículo le ayude a ejecutar un Sistema de Gestión de Seguridad de la Información para su organización. Recuerde que puede suscribirse al blog de Pensemos para conocer más sobre planeación estratégica. También puede contactarnos si desea conocer más de nuestros servicios y sobre nuestro software de Balanced Scorecard que le entregará una visión mucho más detallada de todo el desempeño de su organización. Cuéntenos sus opiniones y estaremos atentos a responderlas.

Sistema de Gestion de Seguridad y Salud en el Trabajo



Tags: SGSI, Seguridad de la Información, Sistema de Gestión de Seguridad de la Información, General

autor

Claudia Alvarado

Cargo: Consultora Backend
Claudia es Ingeniera Industrial, MBA, PMP y Consultora con experiencia en la ejecución exitosa de diferentes tipos de proyectos. Apasionada por la implementación adecuada de sistemas de gestión para la exitosa ejecución de la estrategia, ve en esto su grano de arena para mejorar el mundo. Su especialidad es el desarrollo de estrategias para la optimización de todo tipo de procesos.