Compártelo
¿Cómo es el soporte de un SGSI?
RRHH TECNOLOGÍA

¿Cómo es el soporte de un SGSI?

Recursos

La organización debe determinar y proporcionar los recursos necesarios para mejorar el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información.

Uno de los aspectos más importantes que la dirección debe perseguir es proporcionar dichos recursos. Para ello, se recogerá en la política de seguridad de la información dicho compromiso.

Para cada responsabilidad y función en el SGSI se debería tener en consideración lo siguiente:

  1. Las personas, las habilidades, la experiencia y las competencias.
  2. Los recursos necesarios para cada etapa del proceso de gestión del riesgo.
  3. Los procesos de la organización, los métodos y las herramientas a utilizar para gestionar el riesgo.
  4. Los procesos y procedimientos documentados.
  5. Los sistemas de gestión de la información y del conocimiento.
  6. Los programas de formación.

Competencia

La organización debe garantizar que todo el personal al que se le hayan asignado responsabilidades dentro del SGSI sea competente para llevar a cabo sus tareas. Para ello, deberá:

  1. Determinar la competencia necesaria.
  2. Asegurarse de que estas personas son competentes en la base en la educación, la formación o la experiencia.
  3. En su caso, tomar medidas para adquirir las competencias necesarias y evaluar la eficacia de las medidas adoptadas.
  4. Retener la información documentada apropiada como prueba de competencia.

Las acciones aplicables pueden incluir, por ejemplo: la oferta para formación, tutorías, la reasignación de los empleados actuales o la contratación de personas competentes.

Concienciación

La concienciación referida a la seguridad de la información es un pilar fundamental de la gestión de la seguridad. Las personas (internas o externas) que realizan trabajos bajo el control de la organización deberán tener en cuenta: La política de seguridad de la información.

Esta política se basa principalmente en que:

  1. Su contribución a la eficacia del Sistema de Gestión de Seguridad de la Información, incluyendo los beneficios de un mejor desempeño de seguridad de información.
  2. Las consecuencias de que no cumplan con los requisitos del Sistema de Gestión de Seguridad de la Información.

Tanto la concienciación como la formación deben ser registradas y medidas para poder evaluar su eficacia. Se deben crear y mantener los registros para proporcionar las evidencias de dicha formación.

En el caso de personal externo, se deben establecer los mecanismos para implantar y medir el control, de acuerdo al contrato existente y a la legislación laboral actual.

La organización debe determinar la necesidad de las comunicaciones internas y externas relacionadas con el Sistema de Gestión de Seguridad de la Información, incluyendo:

  1. Qué comunicar.
  2. Cuándo comunicar.
  3. A quién comunicar.
  4. Quién debe comunicar.
  5. Cómo se llevará a cabo la comunicación.

Establecimiento de los mecanismos internos de comunicación y de información

La organización debería establecer mecanismos internos de comunicación y de información con objeto de apoyar y fomentar la obligación de rendir cuentas y la propiedad del riesgo. Estos mecanismos deberían garantizar:

  1. La comunicación adecuada de los componentes clave del marco de trabajo de la gestión del riesgo, así como de todas las modificaciones posteriores.
  2. La existencia de informes internos adecuados sobre el marco de trabajo, su eficacia y sus resultados.
  3. La disponibilidad de información apropiada obtenida de la aplicación de la gestión del riesgo en los niveles y tiempos apropiados.
  4. La existencia de procesos para realizar consultas con las partes interesadas.

Cuando corresponda, estos mecanismos deberían incluir procesos para consolidar la información relativa al riesgo procedente de fuentes diferentes, y puede ser necesario considerar la sensibilidad de la información.

Establecimiento de los mecanismos externos de comunicación y de información

La organización debería desarrollar e implementar un plan para comunicarse con las partes interesadas externas.

Este plan debería implicar:

  1. La participación de las partes interesadas externas apropiadas, asegurándose un intercambio eficaz de información.
  2. El establecimiento de informes externos conformes con los requisitos legales, reglamentarios y de gobierno de la organización.
  3. La disponibilidad de retroalimentación y de informes sobre comunicación y consulta.
  4. La utilización de comunicaciones para generar confianza en la organización.
  5. La comunicación con las partes interesadas en caso de crisis o contingencias.

Información documentada

La información del Sistema de Gestión de Seguridad de la Información debe incluir:

  1. Información documentada requerida por la norma internacional.
  2. Información documentada determinada por la organización como necesaria para la efectividad del Sistema de Gestión de Seguridad de la Información.

El alcance de la información documentada para un Sistema de Gestión de Seguridad de la Información puede diferir de una organización a otra debido a:

  1. El tamaño de la organización y el tipo de actividades, procesos, productos y servicios.
  2. La complejidad de los procesos y sus interacciones.
  3. La competencia de las personas.

Al crear y actualizar la información documentada de la organización debe asegurarse de:

  1. La identificación y descripción (por ejemplo: un título, fecha, autor, o el número de referencia).
  2. El formato (por ejemplo: el idioma, la versión de software, gráficos).
  3. Los medios de comunicación (por ejemplo: papel, electrónico).
  4. La revisión y aprobación de la idoneidad y suficiencia.

Los documentos requeridos por el Sistema de Gestión de Seguridad de la Información, y por esta norma internacional, deben ser controlados para asegurar:

  1. Que está disponible y adecuado para su uso, donde y cuando sea necesario.
  2. Que esté protegido adecuadamente (por ejemplo: de la pérdida de confidencialidad, uso indebido, o la pérdida de la integridad).

Para el control de la información documentada, la organización debe responder a las siguientes actividades, según corresponda:

  1. La distribución, acceso, recuperación y uso.
  2. Almacenamiento y conservación, incluyendo la preservación de la legibilidad.
  3. El control de cambios (control de versiones, por ejemplo).
  4. La retención y disposición.

El acceso implica una decisión sobre el permiso, ya sea sólo de ver la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada, etc

Listado de documentos

Hay que recordar que en esta norma se ha eliminado la obligatoriedad de mantener un listado de documentos obligatorios (aunque sigue siendo altamente recomendable), aunque en el cuerpo del estándar se hace referencia a distintos requisitos documentales. Por otro lado, se elimina la separación entre documentos y registros, siendo denominados simplemente información documentada.

Estos son los documentos (adicionalmente a los “registros”) que necesita si se quiere cumplir con la norma ISO 27001:

  1. Alcance del SGSI (cláusula 4.3), incluyendo los puntos 4.1 y 4.2.
  2. Los requisitos legales, reglamentarios y contractuales (cláusulas 4.2 y A.18.1.1).
  3. Política y objetivos de seguridad de la información (cláusula 5.2 y 6.2).
  4. Procesos para la evaluación de riesgos y el tratamiento de riesgos (cláusula 6.1.2 y 6.1.3).
  5. Declaración de Aplicabilidad (cláusula 6.1.3 d).
  6. Procesos operacionales (cláusula 8.1).

Tenga en cuenta que los documentos del Anexo A son obligatorios si hay riesgos que tratar, requisitos legales o contractuales, o normativas internas o externas que exigirían la aplicación.

Estos son los registros obligatorios:

  1. Comunicación de la política (cláusula 5.2).
  2. Comunicación de responsabilidades y autoridades (cláusula 5.3).
  3. Planificación de acciones y objetivos (cláusulas 6.1 y 6.2).
  4. Los registros de capacitación, las habilidades, la experiencia y las cualificaciones (cláusula 7.2).
  5. Registros de concienciación (cláusula 7.3).
  6. Necesidades de comunicación (cláusula 7.4).
  7. Informe de evaluación de riesgos (apartado 8.2).
  8. Los resultados del monitoreo y la medición (cláusula 9.1).
  9. Programa de auditoría interna (cláusula 9.2).
  10. Los resultados de las auditorías internas (apartado 9.2).
  11. Los resultados de la revisión por la Dirección (cláusula 9.3).
  12. Los resultados de las acciones correctivas (cláusula 10.1).

Existen numerosos documentos que podrían ser requeridos si son necesarios para garantizar la efectividad del SGSI (cláusula 7.5.1b):

  1. Procedimiento para control de documentos (cláusula 7.5).
  2. Controles para gestión de registros (cláusula 7.5).
  3. Procedimiento para auditoría interna (cláusula 9.2).
  4. Procedimiento para medidas correctivas (cláusula 10.1).
  5. Política tras tu propio dispositivo (Bring your own device - BYOD) (punto A.6.2.1).
  6. Política sobre dispositivos móviles y teletrabajo (cláusula A.6.2.1).
  7. Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3).
  8. Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3).
  9. Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7).
  10. Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5).
  11. Política de pantalla y escritorio limpio (cláusula A.11.2.9).
  12. Política de gestión de cambio (cláusulas A.12.1.2 y A.14.2.4).
  13. Política de creación de copias de seguridad (cláusula A.12.3.1).
  14. Registro sobre actividades de los usuarios, excepciones y eventos de seguridad (cláusula A.12.4.1 y A.12.4.3).

Los documentos y registros pueden estar en cualquier formato, o tipo de medio, y deben asegurar que las acciones son trazables a las decisiones de la dirección y a las políticas, y asegurar que son reproducibles los resultados registrados.

La extensión de la documentación de SGSI puede diferir de una organización a otra debido al tamaño de la organización y el tipo de sus actividades, además del alcance y complejidad de los requisitos de seguridad y el sistema que está siendo gestionado.

En general, la documentación del SGSI puede ser estructurada como una pirámide de cuatro niveles, donde la política y los manuales están en la parte más alta, se desciende a través de guías y procedimientos y, finalmente, se obtienen instrucciones detalladas y los registros del sistema.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Maestría en
Ciberseguridad

RRHH TECNOLOGÍA

Duración
Duración
16 meses - 75 créditos
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 08 Octubre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...

EMPRESAS

Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...
El cumplimiento normativo es básicamente un conjunto de reglas que cualquier negocio debe seguir, y no, no es solo para las grandes multinacionales. C...

MARKETING

Ser un líder político en el siglo XXI es mucho más complicado de lo que era hace unas décadas. Ya no es tener carisma o prometer cambios, ahora los de...
Entrar en la industria audiovisual no es una tarea sencilla, pero tampoco es imposible. Seguro has escuchado que necesitas ser "creativo" o "tener tal...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python