FINANZAS TECNOLOGÍA
Compártelo
Sistemas de gestión de seguridad de la información

Sistemas de gestión de seguridad de la información

Se debe entender que el Compliance, y dentro del mismo el Área de Seguridad de la Información, no es el resultado de la aplicación de un conjunto de buenas prácticas, sino un proceso donde se implantará una cultura corporativa al respecto. En ese sentido, se llevará a cabo un establecimiento, implantación, operación, monitorización, mantenimiento y mejora de un sistema de gestión, todo ello con la sistemática propia de un proceso y en un ciclo de mejora continua.

De igual modo, cabe destacar que cualquier tipo de entidad, independientemente de su tamaño, sector y capacidad de recursos, puede implantar este enfoque. De hecho, el tener claro cuáles son los objetivos a alcanzar, el alcance y los recursos a disponer son elementos que pueden, en ocasiones, ser mejor definidos en empresas de tamaño reducido.

Definición y gestión

En primer lugar, la organización debe identificar cuáles son las necesidades específicas a cubrir, normativas y compromisos con los cuales debe alinearse y su contexto y ámbito de negocio. Así, se identificarán los servicios, procesos, productos o áreas de negocio que formarán parte del alcance del sistema de gestión.

De igual modo, se deberán establecer los criterios y líneas de acción estratégicas que van a plantearse, de cara a cubrir todas las expectativas y requisitos corporativos en materia de confidencialidad, integridad y disponibilidad. Dicha información deberá trasladarse a la política de seguridad de la información diseñada, donde se trasladará igualmente los requisitos de negocio a cubrir, el comportamiento a seguir sobre los sistemas y datos, qué líneas generales se llevarán a cabo en materia de concienciación o qué roles existirán al respecto.

Además, otro factor imprescindible es la identificación de los activos de información. Es decir, todos aquellos elementos que, por su valor intrínseco, al soportar los procesos de negocio corporativos, tienen que cumplir con unos mínimos requisitos en materia de seguridad. Aquí hablamos de elementos como hardware, software, instalaciones, servicios, etc. Posteriormente, se deberá identificar cuál es el valor y relevancia de tales activos, a fin de priorizar la implantación de las acciones necesarias. En este punto, será importante clarificar las dependencias entre los distintos activos y los procesos de negocio, de tal modo que los activos de información hereden la importancia que tienen los procesos de negocio o servicios.

Asimismo, es importante establecer cómo se llevará a cabo el análisis de riesgos, siendo de hecho este punto el corazón de todo sistema de gestión. Para ello, se pueden seguir metodologías más o menos formales, que exijan un nivel de detalle mayor o menor, etc.

El conjunto de controles identificados pasará a constituir la declaración de aplicabilidad del sistema de gestión, debiendo indicar los motivos que han llevado a su selección, el nivel actual de implantación de tales medidas y, de igual modo, la justificación de las posibles exclusiones.

Con tal información, se daría forma al Plan de Tratamiento de Riesgos, donde se trasladaría en un marco temporal la planificación de la implantación de los diferentes controles. Todo ello controlado y verificado por el responsable de seguridad oportuno, así como por el Comité de Seguridad de la Información que se hubiese constituido. Posteriormente, y en función de los indicadores y métricas que se hubieran definido, se llevaría a cabo un seguimiento para identificar errores, posibles mejoras, acciones preventivas, etc.

Documentación

Los documentos mínimos que deberán estar presentes en un Sistema de Gestión de Seguridad de la Información son los siguientes:

  1. Política de seguridad de la información.
  2. Alcance.
  3. Metodología de análisis de riesgos.
  4. Inventario de activos.
  5. Procedimientos operativos.
  6. Análisis de riesgos.
  7. Plan de Tratamiento de Riesgos.
  8. Declaración de aplicabilidad.
  9. Registros que demuestren el cumplimiento.

Compromiso de la Dirección

Todo sistema de gestión debe contar con el apoyo de la Dirección para poder cumplir con sus objetivos, siendo, por tanto, un elemento fundamental la evaluación de tal hecho. Solo de este modo se podrá modificar la cultura corporativa, pudiendo, además, contar con los recursos humanos y financieros para constituir en la organización tal cultura y un proceso de seguridad de la información.

Así, para poder demostrar el apoyo de la Dirección en el establecimiento, implementación, monitorización, revisión, mantenimiento y mejora del sistema, se debe contar con evidencias de su apoyo y compromiso en relación con las siguientes tareas:

  1. Establecimiento de la política.
  2. Establecimiento de los objetivos.
  3. Asignación de roles y responsabilidades.
  4. Comunidad corporativa de la política, responsabilidades, necesidad de cumplir los objetivos planteados, etc.
  5. Asignación de los recursos oportunos para implantar el sistema de gestión y el ciclo de mejora continua.
  6. Decisión sobre los criterios de aceptación del riesgo.
  7. Verificación de las auditorías internas.
  8. Revisiones sobre las conclusiones alcanzadas y toma de decisiones al respecto.

Concienciación

Todos los trabajos implicados con el sistema de gestión deben recibir la formación y concienciación oportuna, trasladando la información necesaria sobre sus responsabilidades en la materia.

Estas actividades de concienciación deberán contar con la necesaria planificación, realizando, a su vez, algún tipo de evaluación que sirva para identificar el impacto de la acción de concienciación.

Así, se podrán articular campañas de phishing, distribución de dispositivos extraíbles infectados o un mero formulario, que sirvan para medir la mejora producida tras la campaña de concienciación.

Auditoría interna

Las auditorías internas son otro de los puntos fundamentales de un sistema de gestión, necesitando de una correcta planificación. Por ello, será necesario tratar de forma oportuna los siguientes puntos:

  1. Tiempo y recursos a disponer.
  2. Criterios de auditoría.
  3. El alcance, pudiendo ser global, acotado por áreas de negocio, contextos geográficos, etc.
  4. Periodicidad de las auditorías a efectuar.
  5. Métodos de auditoría y muestreo a realizar.

Revisión por la Dirección

Este elemento debe formar parte integral del sistema de gestión y de los procesos de negocio. Para ello, tiene que estar al tanto de todas las acciones que se ejecuten dentro del sistema de gestión, sin estar en la operativa, por supuesto, y teniendo constancia de posibles mejores y problemas que ocurran o se detecten.

Así, con la retroalimentación recibida, se deberá ir refinando la estrategia a seguir, siendo los siguientes algunos de los elementos de información que deberán ser evaluados por la Dirección:

  1. Comentarios y parecer de todas las partes implicadas (usuarios, clientes, etc.).
  2. Resultados de las auditorías realizadas.
  3. Técnicas y procedimientos empleados en la organización, así como aquellos que no lo están y podrían aportar valor.
  4. Vulnerabilidades y amenazas que se hubiesen detectado.
  5. Estado de implantación de las actividades preventivas y correctivas identificadas.
  6. Resultados de los indicadores y métricas.
  7. Acciones de mejora identificadas.

Por otro lado, algunos de los resultados que se espera se obtengan de la revisión son los siguientes:

  1. Mejoras identificadas y acciones para ponerlas en marcha.
  2. Actualización del análisis y gestión de riesgos.
  3. Modificación de los controles y procedimientos que deban ser mejorados.
  4. Mejoras en el diseño de las métricas e indicadores.

Mejora continua

Este elemento constituye otra de las partes esenciales de un sistema de gestión, siendo el colofón a todo el ciclo de acciones realizadas. Además, siempre hay lugar para la mejora, por lo que este ciclo será recurrente.

Dentro de este ciclo de mejora continua, las principales acciones a efectuar son las siguientes:

  1. Acciones correctivas: acciones para corregir no conformidades que se hayan detectado en el sistema. Dichos incumplimientos deberán ser evaluados en función de su criticidad, identificando, a su vez, las posibles causas que lo han podido motivar. De igual modo, se tendrá que decidir qué acciones se deben tomar, siendo conscientes de sus costes, implicaciones, etc. Finalmente, se tendrá que indicar quién o quiénes serán los responsables de implantar tal medida.
  2. Acciones preventivas: acciones para evitar que posibles no conformidades o situaciones de riesgo puedan aparecer en el futuro. En este caso, se tendrán que identificar las posibles causas que puedan motivar esa situación, siendo un ejemplo del grado de proactividad que puede existir en aquellas organizaciones que cuenten con un sistema de gestión maduro.

 

Artículo Anterior Neuronas espejo y aprendizaje
Artículo Siguiente El turismo sostenible urbano
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Domingo, 20 Junio 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

Etapas de la negociación 🤝
La negociación es principalmente es un proceso de intercambio de opiniones de entre dos o más personas, que se lleva a cobo con el fin de lograr un re...
Ventajas del trabajo en equipo🤝
Es preciso señalar, en primer lugar, que el trabajo en equipo es una forma de delegación de autoridad. Todos los miembros del equipo pueden tener sus ...

MARKETING

3 pasos para crear un perfil de consumidor final
Una descripción adecuada de un cliente potencial es la clave para conseguir una alta tasa de conversión. En esta guía te compartimos 3 pasos para elab...
Magíster en Marketing Político y Comunicación online
En los últimos años, el sector del marketing y la comunicación política requiere un número cada vez mayor de profesionales y expertos especializados e...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS