Sistemas de Gestiónde Seguridad de laInformaciónAdministración Pública y Políticas de la Informática

UNAH-VS

Definición SGSISe basa en riesgo empresarial, establece como crear, implementar, operar y mejorar la seguridad de la información según la Norma UNE-ISO/IEC 27001.Significa dejar de operar de forma intuitiva y tomar control sobre lo que sucede en el sistema y sobre la propia información en la organización. Esto permitirá conocer mejor nuestra organización y hará que el sistema mejore al descubrir sus debilidades.El SGSI es la abreviatura para referirse al “Sistema de Gestión de la Seguridad de la Información” e ISMS son las siglas en inglés a Information Security Management System”.

Ciclo de Mejora ContinuaPara establecer un SGSI se utiliza un ciclo PDCA (conocido también como ciclo Deming).El modelo Planificar-Hacer-Verificar-Actuar (Plan-Do-Check-Act) tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de una organización o empresa.

Debe entenderse como mejora progresiva de los niveles de eficiencia y eficacia en un proceso de continuo aprendizaje tanto de las actividades como los resultados.

Ciclo de Mejora ContinuaPLAN: se planifica y diseña el programa, sistematizando las políticas a aplicar en la organización, los fines a alcanzar y en como lograr los objetivos del negocio, que medios utilizar, procesos y activos implicados y el análisis de riesgos para gestionar las contingencias de acuerdo a las políticas y objetivos de seguridad.DO: se implementa y se pone en funcionamiento el SGSI. Se implementan las políticas y controles. Se asignan responsables a cada tarea para ejecutar según instrucciones.

Ciclo de Mejora ContinuaCHECK: monitorización y revisión del SGSI. Controlar procesos establecidos se ejecuten de manera eficaz y eficiente. Verificar el grado de cumplimiento de las políticas y procedimientos, identificando fallos con auditorias.ACT: se mantiene y se mejora el SGSI. Efectuando acciones preventivas y correctivas para rectificar fallos detectados en las auditorias y revisiones del SGSI.

Norma UNE-ISO/IEC 27001Es un estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).Ayuda a preservar la confidencialidad y disponibilidad del sistema en sí, además de todos los sistemas implicados en el tratamiento de la organización.Para garantizar que un SGSI sea gestionado de forma correcta, se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar su:Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizadas.Integridad: se debe mantener de forma completa y exacta la información y los métodos de procesos.

Norma UNE-ISO/IEC 27001

Disponibilidad: nos ayuda a acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Modo de Uso

Las empresas y los sistemas de información se encuentran expuestos a un número cada vez más elevado de amenazas, que aprovecharán cualquier tipo de vulnerabilidad para someter a los activos críticos de información a ataque, espionaje, vandalismo, etc. Los virus informáticos o los ataques son los ejemplos comunes pero también se debe asumir los riesgos de sufrir accidentes de seguridad que pueden ser causados voluntaria o involuntariamente desde dentro de la propia organización o los provocados de forma accidental por catástrofes naturales.

Beneficios del SGSI

• Establecer una metodología de gestión de la seguridad estructurada y clara.

• Reducir el riesgo de perdida, robo o corrupción de la información sensible o servicios importantes.

• Los riesgos y controles son continuamente auditados.

• Los usuarios con acceso autorizado pueden disponer de la información con medidas de seguridad.

• Se garantiza la confianza de los clientes y socios de la organización.

• Se identifican las debilidades de la organización y se mejora continuamente el sistema de seguridad.

Norma UNE-ISO/IEC 27002Tecnología de la información. Código de buenas prácticas para la gestión de seguridad de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración.Modificada en el marco de la creación de la familia de normas ISO 27000, que incluye normas internacionales sobre requisitos de gestión de riesgo, métricas y mediciones, así como una guía de implementación del SGSI.

Guía en la era de la Ciberseguridad