Sistema de Gestión de Seguridad de la Información

La información de las empresas es su bien más preciado, y la custodia de dicha información para que esté fuera del alcance de terceros, una de sus tareas más importantes. El acceso y la intrusión de personas ajenas a la información confidencial de la organización pueden acabar con la posición que la empresa tenga en el mercado y con la confianza que los clientes tienen depositada en la empresa. Cualquiera de estas consecuencias supone un daño irreparable.

Hoy en día, son muchas las vías por las que nuestra información puede verse comprometida por lo que es necesario evaluar esos riesgos, aplicar los controles necesarios y establecer planes que aseguren la custodia de la información de nuestra empresa.

La seguridad que se puede lograr a través de medios técnicos es limitada, por lo que para garantizar la custodia de la información podemos contar con un SGSI, que nos permite analizar y ordenar la estructura de los sistemas de información. Gracias a este sistema podremos identificar los posibles riesgos, establecer las medidas de seguridad necesarias, aplicar estas medidas y disponer de controles que nos permitan evaluar la eficacia de las medidas tomadas. Esto conlleva una serie de ventajas como son la mejora en la imagen y relaciones con terceros, la mejora en el control de las personas, la mejora en el registro de incidencias y debilidades y la mejora en la gestión de continuidad del negocio.

Para implantar un SGSI es necesaria la total implicación y apoyo de la dirección en el proyecto y un correcto diseño del SGSI. El diseño del SGSI debe tener en cuenta el alcance y los objetivos que se pretenden. El SGSI incluirá el diseño de la política de seguridad de la empresa, la realización de un inventario de la información a custodiar y un análisis de los riesgos de cada tipo de información. De esta forma, podemos detectar las amenazas, vulnerabilidades y posibles impactos de una intrusión en la información de la empresa. Con el SGSI podremos realizar una valoración de los impactos así como una gestión del riesgo que nos permita seleccionar los controles necesarios para minimizar los riegos existentes.

De este modo podremos anticiparnos a los posibles problemas y prepararnos para posibles contingencias futuras. Para llevar a cabo este proceso se cuenta con una serie de normas internaciones. La más importante de ellas es la ISO/IEC 27000.

La norma principal de la serie 27000 es la 27001 publicada en el 2005 y especifica los requisitos para un sistema de gestión de la seguridad de la información. A través de la información, las empresas han buscado su productividad, eficacia y eficiencia por lo que el garantizar la seguridad de esta información se ha vuelto una de las principales prioridades. Para llevar a cabo la adecuada gestión de la seguridad de la información disponemos de leyes como ésta que nos ayuda a definir el SGSI. (Más información sobre la norma ISO 27000 en http://www.iso27000.es/).

La implantación de la norma ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos para configurar el diseño e implementación de un sistema SGSI.

Fuente:  http://www.iso27000.es/

Este mensaje le interesará