Compártelo
¿Cómo planificar la implementación de un SGSI?
TECNOLOGÍA

¿Cómo planificar la implementación de un SGSI?

Objetivos de seguridad de la información y planificación para alcanzarlos

La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes.

Los objetivos de seguridad de la información deberán:

  1. Ser coherente con la política de seguridad de la información.
  2. Ser medibles (si es posible) calculando costes económicos, de personal y tiempo de ejecución.
  3. Tener en cuenta los requisitos de seguridad de la información aplicables, los resultados de la evaluación de riesgos y el tratamiento del riesgo.
  4. Ser comunicados.
  5. Ser actualizados, según corresponda. Normalmente, los objetivos de seguridad se definen anualmente tras la reunión del Comité de Seguridad y suelen incluir formación, aplicación de nuevos controles para reducir el nivel de riesgo y mejoras de los controles ya aplicados.

La organización conservará información documentada sobre los objetivos de seguridad de la información.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe determinar, tal y como se indica a continuación:

  1. Qué se hará.
  2. Qué recursos se necesitarán.
  3. Quién será el responsable.
  4. Cuándo se darán por alcanzados los objetivos.
  5. Cómo se evaluarán los resultados.

Medidas para abordar los riesgos y oportunidades

Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe tener en cuenta el contexto, tanto interno como externo, y los problemas que de él se derivan y que pueden afectar a su capacidad para lograr los objetivos propuestos. Además, tendrá en cuenta las partes interesadas y los requerimientos de cada una de ellas en relación con la seguridad de la información.

En base a esto, podrá determinar los riesgos y oportunidades de su Sistema de Gestión de Seguridad de la Información, teniendo en cuenta que los objetivos fundamentales a la hora de abordar los riesgos y oportunidades son:

  1. Asegurar que el Sistema de Gestión de Seguridad de la Información puede alcanzar los objetivos planteados.
  2. Prevenir o reducir los efectos no deseados.
  3. Lograr la mejora continua.

Una vez definidos los riesgos y oportunidades del SGSI, se podrán planificar:

  1. Las acciones para hacer frente a los riesgos y oportunidades.
  2. La forma de:
    1. Integrar y poner en práctica las acciones correctivas.
    2. Evaluar la eficacia de estas acciones.
    3. Conocer los aspectos fundamentales de la evaluación de riesgos.

Planificación y control operacional

La organización debe:

  1. Planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para poner en práctica las acciones para hacer frente a los riesgos y oportunidades:
    1. Asegurando que el Sistema de Gestión de Seguridad de la Información puede lograr su resultado.
    2. Previniendo o reduciendo los efectos no deseados.
    3. Logrando la mejora continua.
    4. Las acciones para hacer frente a estos riesgos y oportunidades.
  2. Poner en práctica planes para alcanzar los objetivos de seguridad de la información. La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes, que deberán:
    1. Ser coherentes con la política de seguridad de la información.
    2. Ser medibles.
    3. Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgos y el tratamiento del riesgo.
    4. Ser comunicadas y actualizadas, según corresponda.
  3. Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo previsto.
  4. Controlar los cambios previstos y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los posibles efectos adversos, según sea necesario.
  5. Asegurarse de que los procesos de seguridad externalizados se determinan y controlan.

Información de la evaluación de riesgos de seguridad

La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen, o se producen, cambios significativos, teniendo en cuenta los criterios establecidos para la evaluación de riesgos de seguridad. La organización conservará información documentada de los resultados de las evaluaciones de riesgos de seguridad de información.

Es el momento de determinar si los riesgos son aceptables o si requieren tratamiento, utilizando los criterios para la aceptación de los riesgos establecidos. Para ello, se dispone de una lista de riesgos con los niveles de valor asignado y los criterios de análisis de los riesgos.

El nivel de riesgo debe ser comparado con los criterios de evaluación de riesgos y criterios de aceptación del riesgo.

La naturaleza de las decisiones relativas a los criterios de valoración de riesgos y evaluación de los riesgos que se utiliza para tomar esas decisiones se habría decidido previamente con la determinación de la metodología específica.

Estas decisiones y el contexto de aplicación de la metodología de análisis de riesgos deben ser revisados con más detalle en esta etapa, ya que es ahora cuando se conoce más acerca de los riesgos específicos identificados.

Al evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (mediante los métodos seleccionados o enfoques comentados) con los criterios de evaluación de riesgo definidos en el establecimiento de contexto, y en función de la propia sistemática y las dificultades y resultados obtenidos, decidir si son susceptibles de revisarse para alcanzar el procedimiento de evaluación más adecuado.

Los criterios de evaluación de riesgos utilizados para tomar decisiones deben ser consecuentes con los objetivos de la organización y las aportaciones de los participantes, de modo que, entre otras consideraciones:

  1. Las propiedades de seguridad de la información: si un criterio no es relevante para la organización (por ejemplo, la pérdida de confidencialidad), entonces todos los riesgos que afectan a este criterio pueden ser no relevantes.
  2. La importancia de los procesos de negocio o actividad con el apoyo de un activo, o un conjunto de activos: si el proceso se determina que es de poca importancia, riesgos asociados a ella se debe dar una baja consideración de los riesgos que afectan a los más importantes procesos o actividades.

Las decisiones adoptadas en la actividad de evaluación de riesgo se centran principalmente en la aceptación del nivel de riesgo para cada activo analizado. Sin embargo, se debe considerar que las consecuencias, la probabilidad y el grado de confianza en la identificación de los riesgos desarrollado mediante el propio proceso de análisis, puede resultar en una posible agregación de múltiples riesgos bajos o medios que deben abordarse, aunque individualmente puedan quedar relegados a un segundo plano por aquellos niveles de riesgo más altos.

La evaluación de riesgos utiliza el conocimiento en los riesgos obtenido por el análisis de riesgos para tomar decisiones relevantes sobre las futuras acciones. Las decisiones deben considerar:

  1. Las actividades que se llevarán o no a cabo.
  2. Las prioridades para el tratamiento del riesgo, teniendo en cuenta los niveles de riesgo estimados.

Durante la etapa de evaluación de riesgos, los requisitos contractuales, legales y reglamentarios son factores que se deben tener en cuenta, además de los riesgos estimados. El resultado de la evaluación de riesgos es una lista de los riesgos priorizados en relación a los escenarios de incidentes que guían esos riesgos.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Maestría en
Dirección y Gestión de Tecnologías de la Información (TI)

TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
16 meses - 75 créditos
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en 20 cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 12 Diciembre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

El pasado mes de octubre, CEUPE llevó a cabo una nueva edición de la Semana Internacional en la vibrante ciudad de Madrid. Este evento es mucho más que un simple encuentro; es una oportunidad única pa...
CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...

EMPRESAS

En el vertiginoso mundo laboral actual, establecer metas claras y efectivas es fundamental para crecer profesionalmente y alcanzar el éxito. Sin objet...
La gestión de proyectos sigue evolucionando rápidamente, y 2025 será un año clave para consolidar nuevas prácticas y tecnologías. Este artículo analiz...
En un mundo cada vez más digitalizado, la factura electrónica se ha convertido en una herramienta esencial para empresas y profesionales. Este sistema...
Marketing, ventas, finanzas, recursos humanos, operaciones… Son diversas las áreas funcionales que componen el total de departamentos de una empresa. ...

MARKETING

En un mundo empresarial cada vez más competitivo, la obtención y análisis de información de mercados se han convertido en pilares fundamentales para t...
En el mundo empresarial, la competencia es inevitable. Sin embargo, no todos los competidores son iguales, y entender qué hace un competidor "bueno" p...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python