En este artículo voy a dar una guía detallada de qué es un Sistema de Gestión de la Seguridad de la Información (SGSI), cuales son sus objetivos y además unas recomendaciones para implantarlo con éxito en tu organización.
Índice
¿Qué es un sistema de seguridad de la información?
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un proceso cíclico a aplicar en un sistema de información.
El término de sistemas de seguridad de la información se usa en la norma ISO 27001 que es un estándar internacional aprobado en 2005.
Un ejemplo, si planeo lanzar un dardo a una diana, calculo la distancia, dirección y la fuerza. (Planifico), ahora disparo (hago, realizo), me he quedado corto (mido el resultado) y Actúo (he de lanzar un poco más fuerte la próxima vez), y así completo un ciclo, y cada vez el sistema (disparar el dardo) funciona mejor.
Este ciclo se conoce como Ciclo de Deming (PDCA) (Plan, Do, Check, Act) en inglés.
¿Como se traduce esto a un sistema de seguridad de la información?
Plan.- Primero se planifica, se hace un análisis de riesgos, se aprueba la política de seguridad y se toman medidas (métricas)
Do.- Se implantan las medidas de seguridad y se aprueban las políticas.
Check.- Se observa el sistema y se toman metricas (número de incidentes de seguridad, número de vulnerabilidades sin resolver, etc)
Act.- Se toman medidas, se aumenta el número de personas que gestionan los incidentes de seguridad para reducir el tiempo de respuesta, se compra otra solución antivirus, se añade un segundo cortafuegos, etc.
Y así se vuelve a la fase de planificación.
¿Qué es un SGSI y cual es el objetivo?
El objetivo es dar en la diana.
(SGSI) Sistema de Gestión de Seguridad de la Información.
El objetivo es hacer que el sistema de seguridad sea más eficiente en cada ciclo y permita a la organización, desarrollar su actividad de manera segura
En cada iteración se proponen nuevas medidas para hacer el sistema de seguridad más eficaz, más eficiente, se vuelven a reevaluar y se toman medidas y esto permite que la seguridad se adapte a las nuevos retos y circunstancias que se presentan.
¿Cómo funciona un Sistema de Gestión de Seguridad de la Información?
Es un proyecto, y como tal necesita de unos recursos tanto de personal, como económicos como de tiempo.
Se trata de una decisión muy importante (estratégica) y debe de ser apoyada por la alta dirección.
Ámbito del SGSI
Dónde se va a implantar el SGSI, dependerá de la estructura de la organización. Puede que no sea necesario que afecte a toda la organización, puede reducirse el ámbito, a un tipo de sedes.
Para poder llevar a cabo el proyecto de SGSI, es muy recomendable contratar una consultoría especializada.
Duración del SGSI
El tiempo del proyecto, (implantación) variará en función del tamaño de la organización y del estado previo de su seguridad, pero como orientación, un proyecto de implantación de un SGSI no debe superar el año.
Metodología de un SGSI
Se usará la metodología PDCA comentada anteriormente (Plan, Do, Check, Act) (Planificación, Ejecución, Seguimiento y Mejora)
Y completado el ciclo se empieza de nuevo.
Conclusión:
Necesitamos implantar un SGSI para poder pasar las auditorías anuales y que nos permitan obtener la Certificación.
Alguna duda, deja un comentario: