Sistema de Gestión de Seguridad de la Información

Cómo implementar un Sistema de Gestión de Seguridad de la Información

Inicio / Cómo implementar un Sistema de Gestión de Seguridad de la Información

La norma ISO 27001

La ISO 27001 es una norma internacional que permite el aseguramiento de la confidencialidad e integridad de los datos y de la información de cualquier organización,  así como de los sistemas que la procesan. Esto permite a las organizaciones salvaguardar la información que custodian, sobre todo en la red y formatos digiales, evaluando objetivamente los riesgos y definiendo una serie de medidas para eliminarlos o reducirlos al máximo.

En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguridad, teniendo que seguir para ello los siguientes pasos:

Determinar la política a seguir

Una vez la Dirección de la organización esté suficientemente involucrada y comprometida con el proyecto, el siguiente paso consiste en definir:

  • El tipo de política de seguridad de la información que se quiere llevar a cabo.
  • Objetivos y metas lo más concretos posible en materia de seguridad.
  • Recursos a utilizar.
  • Definición de responsabilidades.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Selección de un método para la evaluación y análisis de riesgos

Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros potenciales y de qué forma dichos riesgos pueden afectar a la información confidencial y los sistemas informáticos de la empresa. Finalmente, también hay que valorar la probabilidad de que ese peligro potencial se convierta en una realidad. Es importante que, a partir de ese modelo, la empresa sea capaz de:

  • Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad.
  • Determinar criterios que definan qué se entiende por riesgo aceptable.
  • Estimar los diferentes niveles de riesgo y sus consecuencias asociadas.
  • Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de aceptabilidad previamente definidos.
  • Valorar los costos de la eliminación de riesgos.

Definir acciones y objetivos para gestionar los riesgos

El siguiente paso consiste en la definición de la acciones necesarias para contrarrestar dichos riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y contractuales.

En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguridad

Click To Tweet

Implementación de la ISO 27001

Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes acciones:

  • Una descripción de la gestión de riesgos donde se detalla la planificación de: acciones, recursos, responsabilidades y el orden de prioridad con respecto a la seguridad de la información.
  • Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la asignación de funciones y responsabilidades.
  • Las medidas necesarias para alcanzar los objetivos.
  • Planes de capacitación de los profesionales.
  • Implementación del sistema y gestión de los recursos.

Concienciación de los empleados y asignación de recursos

Para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. También es importante que los empleados que trabajan con el sistema de gestión de seguridad de la información, por ejemplo con el mantenimiento del sistema, la documentación o la seguridad sean formados correctamente.

Finalmente, todos los empleados deben estar suficientemente concienciados de los riesgos  y medidas para su prevención, poniendo todo de su parte para eliminarlos o minimizarlos.

Realizar controles internos

Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo seguirá siendo el el futuro, la norma ISO 27001 incluye los siguientes requisitos:

  • Ejecutar auditorías internas.
  • La Dirección debe realzar evaluaciones periódicas del Sistema de Gestión de Seguridad la información para asegurar que el sistema permanece completo y, de forma paralela, facilitar los procedimientos para encontrar errores e implantar mejoras .

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información. 

De manera complementaria, esta plataforma permite poner en práctica los controles establecidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Beneficios Ambientales
5 Beneficios Ambientales de Implementar ISO 14001
26 abril, 2024

La ISO 14001 es una norma internacional de gestión ambiental que establece los requisitos...

Ver más
UNE-EN ISO/IEC 23053:2023
UNE-EN ISO/IEC 23053:2023. Marco para sistemas de inteligencia artificial (IA) que utilizan Machine Learning (ML)
25 abril, 2024

La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...

Ver más
Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más

Volver arriba