TECNOLOGÍA
Compártelo
¿Cómo planificar la implementación de un SGSI?

¿Cómo planificar la implementación de un SGSI?

Objetivos de seguridad de la información y planificación para alcanzarlos

La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes.

Los objetivos de seguridad de la información deberán:

  1. Ser coherente con la política de seguridad de la información.
  2. Ser medibles (si es posible) calculando costes económicos, de personal y tiempo de ejecución.
  3. Tener en cuenta los requisitos de seguridad de la información aplicables, los resultados de la evaluación de riesgos y el tratamiento del riesgo.
  4. Ser comunicados.
  5. Ser actualizados, según corresponda. Normalmente, los objetivos de seguridad se definen anualmente tras la reunión del Comité de Seguridad y suelen incluir formación, aplicación de nuevos controles para reducir el nivel de riesgo y mejoras de los controles ya aplicados.

La organización conservará información documentada sobre los objetivos de seguridad de la información.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe determinar, tal y como se indica a continuación:

  1. Qué se hará.
  2. Qué recursos se necesitarán.
  3. Quién será el responsable.
  4. Cuándo se darán por alcanzados los objetivos.
  5. Cómo se evaluarán los resultados.

Medidas para abordar los riesgos y oportunidades

Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe tener en cuenta el contexto, tanto interno como externo, y los problemas que de él se derivan y que pueden afectar a su capacidad para lograr los objetivos propuestos. Además, tendrá en cuenta las partes interesadas y los requerimientos de cada una de ellas en relación con la seguridad de la información.

En base a esto, podrá determinar los riesgos y oportunidades de su Sistema de Gestión de Seguridad de la Información, teniendo en cuenta que los objetivos fundamentales a la hora de abordar los riesgos y oportunidades son:

  1. Asegurar que el Sistema de Gestión de Seguridad de la Información puede alcanzar los objetivos planteados.
  2. Prevenir o reducir los efectos no deseados.
  3. Lograr la mejora continua.

Una vez definidos los riesgos y oportunidades del SGSI, se podrán planificar:

  1. Las acciones para hacer frente a los riesgos y oportunidades.
  2. La forma de:
    1. Integrar y poner en práctica las acciones correctivas.
    2. Evaluar la eficacia de estas acciones.
    3. Conocer los aspectos fundamentales de la evaluación de riesgos.

Planificación y control operacional

La organización debe:

  1. Planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y para poner en práctica las acciones para hacer frente a los riesgos y oportunidades:
    1. Asegurando que el Sistema de Gestión de Seguridad de la Información puede lograr su resultado.
    2. Previniendo o reduciendo los efectos no deseados.
    3. Logrando la mejora continua.
    4. Las acciones para hacer frente a estos riesgos y oportunidades.
  2. Poner en práctica planes para alcanzar los objetivos de seguridad de la información. La organización debe establecer los objetivos de seguridad de la información en las funciones y niveles pertinentes, que deberán:
    1. Ser coherentes con la política de seguridad de la información.
    2. Ser medibles.
    3. Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgos y el tratamiento del riesgo.
    4. Ser comunicadas y actualizadas, según corresponda.
  3. Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo previsto.
  4. Controlar los cambios previstos y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los posibles efectos adversos, según sea necesario.
  5. Asegurarse de que los procesos de seguridad externalizados se determinan y controlan.

Información de la evaluación de riesgos de seguridad

La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen, o se producen, cambios significativos, teniendo en cuenta los criterios establecidos para la evaluación de riesgos de seguridad. La organización conservará información documentada de los resultados de las evaluaciones de riesgos de seguridad de información.

Es el momento de determinar si los riesgos son aceptables o si requieren tratamiento, utilizando los criterios para la aceptación de los riesgos establecidos. Para ello, se dispone de una lista de riesgos con los niveles de valor asignado y los criterios de análisis de los riesgos.

El nivel de riesgo debe ser comparado con los criterios de evaluación de riesgos y criterios de aceptación del riesgo.

La naturaleza de las decisiones relativas a los criterios de valoración de riesgos y evaluación de los riesgos que se utiliza para tomar esas decisiones se habría decidido previamente con la determinación de la metodología específica.

Estas decisiones y el contexto de aplicación de la metodología de análisis de riesgos deben ser revisados con más detalle en esta etapa, ya que es ahora cuando se conoce más acerca de los riesgos específicos identificados.

Al evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (mediante los métodos seleccionados o enfoques comentados) con los criterios de evaluación de riesgo definidos en el establecimiento de contexto, y en función de la propia sistemática y las dificultades y resultados obtenidos, decidir si son susceptibles de revisarse para alcanzar el procedimiento de evaluación más adecuado.

Los criterios de evaluación de riesgos utilizados para tomar decisiones deben ser consecuentes con los objetivos de la organización y las aportaciones de los participantes, de modo que, entre otras consideraciones:

  1. Las propiedades de seguridad de la información: si un criterio no es relevante para la organización (por ejemplo, la pérdida de confidencialidad), entonces todos los riesgos que afectan a este criterio pueden ser no relevantes.
  2. La importancia de los procesos de negocio o actividad con el apoyo de un activo, o un conjunto de activos: si el proceso se determina que es de poca importancia, riesgos asociados a ella se debe dar una baja consideración de los riesgos que afectan a los más importantes procesos o actividades.

Las decisiones adoptadas en la actividad de evaluación de riesgo se centran principalmente en la aceptación del nivel de riesgo para cada activo analizado. Sin embargo, se debe considerar que las consecuencias, la probabilidad y el grado de confianza en la identificación de los riesgos desarrollado mediante el propio proceso de análisis, puede resultar en una posible agregación de múltiples riesgos bajos o medios que deben abordarse, aunque individualmente puedan quedar relegados a un segundo plano por aquellos niveles de riesgo más altos.

La evaluación de riesgos utiliza el conocimiento en los riesgos obtenido por el análisis de riesgos para tomar decisiones relevantes sobre las futuras acciones. Las decisiones deben considerar:

  1. Las actividades que se llevarán o no a cabo.
  2. Las prioridades para el tratamiento del riesgo, teniendo en cuenta los niveles de riesgo estimados.

Durante la etapa de evaluación de riesgos, los requisitos contractuales, legales y reglamentarios son factores que se deben tener en cuenta, además de los riesgos estimados. El resultado de la evaluación de riesgos es una lista de los riesgos priorizados en relación a los escenarios de incidentes que guían esos riesgos.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior ¿Qué son las acciones?
Artículo Siguiente ¿Qué es la inteligencia para H. Gardner?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Viernes, 30 Julio 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

9 Directrices para construir la estructura organizativa de la empresa✅
El desarrollo de una estructura organizativa eficaz de la empresa es un proceso lógico y al mismo tiempo creativo. Eso es, su creación requiere un enf...
¿Qué es una estrategia de desarrollo empresarial?🤔
La estrategia de desarrollo empresarial es más que un modelo de negocio de éxito que te permite operar de forma estable y sobrevivir en tu nicho. Una ...
Etapas de la negociación 🤝
La negociación es principalmente es un proceso de intercambio de opiniones de entre dos o más personas, que se lleva a cobo con el fin de lograr un re...

MARKETING

Principales funciones del marketing📈
Las funciones del marketing son definidas por los especialistas como el proceso científico de estudio del mercado y de las herramientas que pueden inf...
Proceso para la fijación de precios💲
En un sistema de mercado libre, es muy importante determinar correctamente el coste de los bienes o servicios, que en la mayoría de los casos no está ...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS