Así se debe implementar un sistema de seguridad de la información

Por María Camila Arévalo J., el 17 de junio, 2020

h_implementacion_SGSI

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27000. De acuerdo con la norma la seguridad de la información consiste en la preservación de la confidencialidad, integridad y disponibilidad, bajo estos tres términos se realiza el análisis y evaluación de los activos de información.

Seguridad de la información 

Se define como un proceso integrado que permite proteger la identificación y gestión de la información y los riesgos a los que esta se puede ver enfrentada, a través de estrategias y acciones de mitigación que dan la posibilidad de asegurar y mantener de manera confidencial los datos de una empresa. 

Según la Universidad Libre de Colombia “Son todas las medidas preventivas y de reacción del individuo, la organización y las tecnologías, para proteger la información; buscando mantener en esta la confidencialidad, la autenticidad e Integridad".

Hay que tener claro que los términos Seguridad de la información y Seguridad Informática son diferentes. La segunda trata solamente de la seguridad en el medio informático, mientras que la primera es para cualquier tipo de información, sea esta digital o impresa.

La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la información. Por ejemplo la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad y recuperación de los riesgos”. 

Norma ISO 27001

Es una norma internacional creada por la Organización Internacional de Normalización (ISO) que garantiza el uso de buenas prácticas en materia de seguridad de la información. Además, brinda herramientas para gestionarla dentro de una organización. 

Este estándar internacional fue creado para proporcionar un modelo para establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

En el 2005 fue publicada su primera versión enfocada en la norma británica BS 7799-2 y en el 2013 se realizó su actualización ajustándose a las novedades tecnológicas que trae el mercado y basándose en normas como la ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR 18044:2004 y las directrices de la Ocde para sistemas y redes de seguridad de la información . Esta se puede aplicar a cualquier tipo de empresa sin importar su origen o tamaño. 

Esta normativa permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales, con el fin de estar protegidos frente a los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza entre los clientes, proveedores y empleados, además es un referente mundial.

Implementarla permite evaluar y controlar los riesgos que se hayan identificado con el fin de crear un plan que ayude a mitigarlos y en caso tal evitarlos.

También hay que tener en cuenta que la ISO 27001 otorga certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a este tema.

Sistema de seguridad de la información

  1. Apoyo de la alta gerencia, directores y junta directiva.
  2. Establecer la metodología que se va a implementar. 
  3. Definir el alcance del SGSI.
  4. Redactar una política de seguridad de la información.
  5. Definir evaluación de riesgos.
  6. Llevar a cabo la evaluación y el tratamiento de riesgos.
  7. Dar a conocer cómo va ser su aplicabilidad.
  8. Tener claro el plan de tratamiento de riesgos.
  9. Definir cómo se medirá la efectividad de los controles.
  10. Implementar todos los controles y procedimientos necesarios.
  11. Crear cultura dentro de la empresa a través de programas de capacitación y concientización.
  12. Monitorear y medir el SGSI para verificar si está siendo efectivo.
  13. Hacer auditoría interna.
Todo lo que debe saber sobre los riesgos del cibercrimen

Comentarios