TECNOLOGÍA
Compártelo
Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección de los activos de información para alcanzar los objetivos de negocio.

La base de un SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar los niveles determinados como adecuados por parte de la Dirección de la organización para la aceptación de un nivel de riesgo de modo que se puedan tratar y gestionar los riesgos con eficacia.

El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la exitosa implementación de un SGSI.

Los principios fundamentales que contribuyen a la exitosa implementación de un SGSI son:

  1. Entender la organización, su contexto y los elementos relevantes que podrían afectar a los objetivos del SGSI.
  2. Entender las necesidades de las partes interesadas.
  3. La asignación de responsabilidades y liderazgo para la seguridad de la información.
  4. La formación y concienciación en seguridad de la información.
  5. El compromiso y liderazgo de la Dirección.
  6. Las evaluaciones de riesgos para determinar el estado actual y las estrategias adecuadas para asumir, transferir, evitar y/o reducir el riesgo para alcanzar los niveles aceptables de riesgo.
  7. La seguridad incorporada como un elemento esencial de las redes y sistemas de información.
  8. La prevención activa y detección de incidentes de seguridad de la información.
  9. Asegurar un enfoque integral de gestión de seguridad de la información.
  10. Una reevaluación regular de la seguridad de la información y la aplicación de modificaciones según sea apropiado.
  11. Un enfoque de mejora continua.

Dimensiones de la seguridad de la información

Según ISO/IEC 27001, la seguridad de la información comprende, al menos, las siguientes tres dimensiones fundamentales:

  1. La confidencialidad.
  2. La disponibilidad.
  3. La integridad.

La confidencialidad se refiere al acceso a la información por parte únicamente de quienes estén autorizados.

La verificación y la autorización son dos de los mecanismos que se emplean para asegurar la confidencialidad de la información.

La disponibilidad se refiere al acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.

La falta de disponibilidad se manifiesta, principalmente, por:

  1. La denegación o repudio del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehacientes, falta de prestaciones de los equipos, congestión de líneas, entre otros posibles).
  2. La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.

La integridad significa un mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

Partiendo de estas tres dimensiones fundamentales, existen organizaciones que pueden necesitar de otras adicionales, como, por ejemplo: la trazabilidad y la autenticidad para organismos públicos, y en referencia al marco especificado por el Esquema Nacional de Seguridad, o, incluso, el denominado no-repudio en entornos de uso de claves de cifrado (p.ej., el uso del DNI) como garantía ante la posible negación de una entidad o un usuario de que ciertas transacciones tuvieron lugar.

Estas dimensiones, añadidas a las fundamentales de confidencialidad, integridad y disponibilidad, significarán, en cualquier caso, una extensión opcional y particular en base a las necesidades concretas de aplicación de un SGSI que cada organización debe valorar, y no un requisito fundamental del estándar ISO/IEC 27001.

Establecer, monitorizar, mantener y mejorar un SGSI

Una organización necesita llevar a cabo los siguientes pasos para el establecimiento, control, mantenimiento y mejora de su SGSI:

  1. Identificar los activos de información y sus requisitos de seguridad asociados.
  2. Evaluar los riesgos de seguridad de la información.
  3. Seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables.
  4. Supervisar, mantener y mejorar la eficacia de los controles de seguridad asociados con los activos de información de la organización.

Para garantizar la protección efectiva de los activos de información del SGSI dentro de la organización de forma permanente, es necesario que los cuatro pasos anteriores se repitan continuamente para estar en posición de identificar cambios en los riesgos, en las estrategias de la organización y/o en los objetivos de negocio.

Identificar los requisitos de seguridad de la información

Es importante iniciar la identificación de los requisitos para la seguridad de la información partiendo de un contexto global basado en los objetivos generales, la estrategia de negocio de la organización, su tamaño y la posible distribución geográfica.

A partir de esta información global, pasamos a identificar, en consecuencia, los requisitos de seguridad de la información a través de:

  1. La identificación de los activos de información y su valor.
  2. Las necesidades del negocio para el procesamiento y almacenamiento de información.
  3. Los requisitos legales, reglamentarios y contractuales.
  4. Las necesidades de las partes interesadas.

Realizar una evaluación metódica de los riesgos implica analizar:

  1. Las amenazas a los activos de información.
  2. Los factores de vulnerabilidad ante la posibilidad de que una amenaza se materialice.
  3. El impacto potencial de cualquier incidente de seguridad de la información sobre los activos de información.
  4. Actualmente, ISO 27001 únicamente hace mención a la necesidad de identificar riesgos (sin especificar cómo) asociados a la pérdida de confidencialidad, integridad y disponibilidad, tras analizar las potenciales consecuencias y la probabilidad para, finalmente, cuantificar el riesgo. Adicionalmente, se deberá identificar al propietario del riesgo.

El gasto en controles de seguridad pertinentes debería ser proporcional al impacto calculado para el negocio y en base a la percepción de que el riesgo se materialice.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior Métodos para la eliminación de la doble imposición...
Artículo Siguiente ¿De qué trata el Lean Six Sigma?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Viernes, 09 Diciembre 2022
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

¿Qué es un MBA? Concepto, beneficios y salidas profesionales
Los MBA son un tipo de máster altamente valorado en el sector empresarial, dado su potencial para formar a perfiles profesionales capaces de asumir roles importantes dentro de una organización. Defini...
CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...

EMPRESAS

¿Por qué los gerentes necesitan conocer sobre la gestión de proyectos?
Si no es un gerente de proyectos certificado, probablemente no comprenda por qué todos los gerentes necesitan conocer los conceptos básicos de la gest...
Beneficios de estudiar administración de empresas
Las estadísticas oficiales muestran que una de las materias más populares en los colegios y universidades del mundo es la gestión empresarial. Los dat...
¿Qué maestría puedo estudiar si soy Administrador de Empresas?
La administración de empresas es una carrera con gran flexibilidad profesional, permitiendo a los graduados en esta formación la posibilidad de especi...
¿Qué estudiar para trabajar en un banco?
Trabajar en el sector bancario puede resultar atractivo para muchos, dada las actividades que se llevan a cabo y las ventajas que ofrece. La estabilid...

MARKETING

¿Qué máster estudiar si soy mercadólogo?
Si eres mercadólogo y deseas saber qué másteres puedes estudiar para seguir creciendo como profesional, a continuación te presento 4 opciones de espec...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

SHODAN

Tecnología

WAF

Tecnología

Objetivos de la inteligencia artificial

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS