QUE SON LA SGSI

 

¿Qué es el SGSI?

 

 

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de administración de la información. El término SGSI es utilizado principalmente por la ISO/IEC 27001, y es un estándar internacional.

La ISO/IEC 27001 especifíca los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.

El Objetivo de un Sistema de Gestión de la Seguridad de la Información es garantizar que los riesgos sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática y estructurada.

Los Aspectos claves en la norma ISO27001, en un Sistema de Gestión de la Seguridad de la Información:

•  
• Mitigarlo
• Trasladarlo

 4. Alcance de la gestión

En la planeación para la implementación de un SGSI es muy importante definir el alcance para la implementación del sistema en una organización. Teniendo en cuenta que existen organizaciones que tienen diferentes tamaños por el número de empleados, volúmen de información manejada, número de clientes, volúmenes de activos físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario determinar cómo se debe implantar un SGSI.

Debemos analizar en qué áreas o dependencias de la organización se desea implantar el SGSI como primera medida, cuáles posteriormente y en algunos casos, determinar si existen ámbitos del negocio que por sus características no precisan de la implementación de un protocolo de seguridad.

 Contexto de organización

El análisis de contexto de la organización es fundamental para el SGSI, ya que nos permite determinar los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar.

Partes interesadas

Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la organización y comprender las necesidades y expectativas de todas las partes interesadas:

• Proveedores de servicios de información y de equipamientos de Tecnologías de la Información (TICs).

 • Clientes poniendo especial cuidado en la gestión de datos de protección personal.

 • Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales.

• Participación en foros profesionales.

• La sociedad en general.

Fijación y medición de objetivos

Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser medibles, aunque no es necesario que sean cuantificables.

 Proceso documental

La documentación puede ser presentada en diversos formatos: documentos en papel, archivos de texto, hojas de cálculo, archivos de vídeo o audio, etc. Pero en cualquier caso constituye un marco de referencia fundamental y debe estar lista en todo momento para que pueda ser consultada.

 La organización debe gestionar tanto los documentos internos (políticas diversas, procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos de correspondencia, documentación recibida con equipamiento, etc.). Por este motivo, la gestión de documentación es una tarea compleja e integral.

 Auditorías internas y externas

Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo.

Existen dos grandes tipos de auditorías internas:

• Gestión: Donde se supervisa el liderazgo, el contexto, etc.

• Controles: En este caso se auditan los controles, normalmente se realiza por personal más experto y puede realizarse en años distintos.