TECNOLOGÍA
Compártelo
¿Cómo planificar la implementación de un SGSI?

¿Cómo planificar la implementación de un SGSI?

Objetivos de seguridad de la información y planificación para alcanzarlos

La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes.

Los objetivos de seguridad de la información deberán:

  1. Ser coherente con la política de seguridad de la información.
  2. Ser medibles (si es posible) calculando costes económicos, de personal y tiempo de ejecución.
  3. Tener en cuenta los requisitos de seguridad de la información aplicables, los resultados de la evaluación de riesgos y el tratamiento del riesgo.
  4. Ser comunicados.
  5. Ser actualizados, según corresponda. Normalmente, los objetivos de seguridad se definen anualmente tras la reunión del Comité de Seguridad y suelen incluir formación, aplicación de nuevos controles para reducir el nivel de riesgo y mejoras de los controles ya aplicados.

La organización conservará información documentada sobre los objetivos de seguridad de la información.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe determinar, tal y como se indica a continuación:

  1. Qué se hará.
  2. Qué recursos se necesitarán.
  3. Quién será el responsable.
  4. Cuándo se darán por alcanzados los objetivos.
  5. Cómo se evaluarán los resultados.

Medidas para abordar los riesgos y oportunidades

Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe tener en cuenta el contexto, tanto interno como externo, y los problemas que de él se derivan y que pueden afectar a su capacidad para lograr los objetivos propuestos. Además, tendrá en cuenta las partes interesadas y los requerimientos de cada una de ellas en relación con la seguridad de la información.

En base a esto, podrá determinar los riesgos y oportunidades de su Sistema de Gestión de Seguridad de la Información, teniendo en cuenta que los objetivos fundamentales a la hora de abordar los riesgos y oportunidades son:

  1. Asegurar que el Sistema de Gestión de Seguridad de la Información puede alcanzar los objetivos planteados.
  2. Prevenir o reducir los efectos no deseados.
  3. Lograr la mejora continua.

Una vez definidos los riesgos y oportunidades del SGSI, se podrán planificar:

  1. Las acciones para hacer frente a los riesgos y oportunidades.
  2. La forma de:
    1. Integrar y poner en práctica las acciones correctivas.
    2. Evaluar la eficacia de estas acciones.
    3. Conocer los aspectos fundamentales de la evaluación de riesgos.

Planificación y control operacional

La organización debe:

  1. Planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para poner en práctica las acciones para hacer frente a los riesgos y oportunidades:
    1. Asegurando que el Sistema de Gestión de Seguridad de la Información puede lograr su resultado.
    2. Previniendo o reduciendo los efectos no deseados.
    3. Logrando la mejora continua.
    4. Las acciones para hacer frente a estos riesgos y oportunidades.
  2. Poner en práctica planes para alcanzar los objetivos de seguridad de la información. La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes, que deberán:
    1. Ser coherentes con la política de seguridad de la información.
    2. Ser medibles.
    3. Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgos y el tratamiento del riesgo.
    4. Ser comunicadas y actualizadas, según corresponda.
  3. Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo previsto.
  4. Controlar los cambios previstos y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los posibles efectos adversos, según sea necesario.
  5. Asegurarse de que los procesos de seguridad externalizados se determinan y controlan.

Información de la evaluación de riesgos de seguridad

La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen, o se producen, cambios significativos, teniendo en cuenta los criterios establecidos para la evaluación de riesgos de seguridad. La organización conservará información documentada de los resultados de las evaluaciones de riesgos de seguridad de información.

Es el momento de determinar si los riesgos son aceptables o si requieren tratamiento, utilizando los criterios para la aceptación de los riesgos establecidos. Para ello, se dispone de una lista de riesgos con los niveles de valor asignado y los criterios de análisis de los riesgos.

El nivel de riesgo debe ser comparado con los criterios de evaluación de riesgos y criterios de aceptación del riesgo.

La naturaleza de las decisiones relativas a los criterios de valoración de riesgos y evaluación de los riesgos que se utiliza para tomar esas decisiones se habría decidido previamente con la determinación de la metodología específica.

Estas decisiones y el contexto de aplicación de la metodología de análisis de riesgos deben ser revisados con más detalle en esta etapa, ya que es ahora cuando se conoce más acerca de los riesgos específicos identificados.

Al evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (mediante los métodos seleccionados o enfoques comentados) con los criterios de evaluación de riesgo definidos en el establecimiento de contexto, y en función de la propia sistemática y las dificultades y resultados obtenidos, decidir si son susceptibles de revisarse para alcanzar el procedimiento de evaluación más adecuado.

Los criterios de evaluación de riesgos utilizados para tomar decisiones deben ser consecuentes con los objetivos de la organización y las aportaciones de los participantes, de modo que, entre otras consideraciones:

  1. Las propiedades de seguridad de la información: si un criterio no es relevante para la organización (por ejemplo, la pérdida de confidencialidad), entonces todos los riesgos que afectan a este criterio pueden ser no relevantes.
  2. La importancia de los procesos de negocio o actividad con el apoyo de un activo, o un conjunto de activos: si el proceso se determina que es de poca importancia, riesgos asociados a ella se debe dar una baja consideración de los riesgos que afectan a los más importantes procesos o actividades.

Las decisiones adoptadas en la actividad de evaluación de riesgo se centran principalmente en la aceptación del nivel de riesgo para cada activo analizado. Sin embargo, se debe considerar que las consecuencias, la probabilidad y el grado de confianza en la identificación de los riesgos desarrollado mediante el propio proceso de análisis, puede resultar en una posible agregación de múltiples riesgos bajos o medios que deben abordarse, aunque individualmente puedan quedar relegados a un segundo plano por aquellos niveles de riesgo más altos.

La evaluación de riesgos utiliza el conocimiento en los riesgos obtenido por el análisis de riesgos para tomar decisiones relevantes sobre las futuras acciones. Las decisiones deben considerar:

  1. Las actividades que se llevarán o no a cabo.
  2. Las prioridades para el tratamiento del riesgo, teniendo en cuenta los niveles de riesgo estimados.

Durante la etapa de evaluación de riesgos, los requisitos contractuales, legales y reglamentarios son factores que se deben tener en cuenta, además de los riesgos estimados. El resultado de la evaluación de riesgos es una lista de los riesgos priorizados en relación a los escenarios de incidentes que guían esos riesgos.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior ¿Qué son las acciones?
Artículo Siguiente ¿Qué es la inteligencia para H. Gardner?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 28 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Los mejores métodos de gestión de ventas
El proceso de selección de los mejores métodos para la gestión de las ventas se realiza de acuerdo con las características concretas de cada empresa. ...
Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS