Cómo implementar un Sistema de Gestión de Seguridad de la Información
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

Cómo implementar un Sistema de Gestión de Seguridad de la Información

La norma ISO 27001

La ISO 27001 es una norma internacional que permite el aseguramiento de la confidencialidad e integridad de los datos y de la información de cualquier organización,  así como de los sistemas que la procesan. Esto permite a las organizaciones salvaguardar la información que custodian, sobre todo en la red y formatos digiales, evaluando objetivamente los riesgos y definiendo una serie de medidas para eliminarlos o reducirlos al máximo.

En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguridad, teniendo que seguir para ello los siguientes pasos:

Determinar la política a seguir

Una vez la Dirección de la organización esté suficientemente involucrada y comprometida con el proyecto, el siguiente paso consiste en definir:

  • El tipo de política de seguridad de la información que se quiere llevar a cabo.
  • Objetivos y metas lo más concretos posible en materia de seguridad.
  • Recursos a utilizar.
  • Definición de responsabilidades.

 

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

Selección de un método para la evaluación y análisis de riesgos

Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros potenciales y de qué forma dichos riesgos pueden afectar a la información confidencial y los sistemas informáticos de la empresa. Finalmente, también hay que valorar la probabilidad de que ese peligro potencial se convierta en una realidad. Es importante que, a partir de ese modelo, la empresa sea capaz de:

  • Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad.
  • Determinar criterios que definan qué se entiende por riesgo aceptable.
  • Estimar los diferentes niveles de riesgo y sus consecuencias asociadas.
  • Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de aceptabilidad previamente definidos.
  • Valorar los costos de la eliminación de riesgos.

Definir acciones y objetivos para gestionar los riesgos

El siguiente paso consiste en la definición de la acciones necesarias para contrarrestar dichos riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y contractuales.

 

Implementación de la ISO 27001

Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes acciones:

  • Una descripción de la gestión de riesgos donde se detalla la planificación de: acciones, recursos, responsabilidades y el orden de prioridad con respecto a la seguridad de la información.
  • Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la asignación de funciones y responsabilidades.
  • Las medidas necesarias para alcanzar los objetivos.
  • Planes de capacitación de los profesionales.
  • Implementación del sistema y gestión de los recursos.

Concienciación de los empleados y asignación de recursos

Para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. También es importante que los empleados que trabajan con el sistema de gestión de seguridad de la información, por ejemplo con el mantenimiento del sistema, la documentación o la seguridad sean formados correctamente.

Finalmente, todos los empleados deben estar suficientemente concienciados de los riesgos  y medidas para su prevención, poniendo todo de su parte para eliminarlos o minimizarlos.

Realizar controles internos

Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo seguirá siendo el el futuro, la norma ISO 27001 incluye los siguientes requisitos:

  • Ejecutar auditorías internas.
  • La Dirección debe realzar evaluaciones periódicas del Sistema de Gestión de Seguridad la información para asegurar que el sistema permanece completo y, de forma paralela, facilitar los procedimientos para encontrar errores e implantar mejoras .

 

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información. 

De manera complementaria, esta plataforma permite poner en práctica los controles establecidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

 

 

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
top