Etapas para implementar un sistema de seguridad de la información

Por María Camila Arévalo J., el 09 de febrero, 2020

h_gestion_riesgos

Uno de los mayores riesgos a los que se exponen las organizaciones es sufrir ciberataques o robo de información. Es por esto que debe estar preparados para cualquier eventualidad que se pueda presentar de este tipo.

A continuación le diremos las etapas que se deben seguir para contar con un sistema de gestión de seguridad de la información (SGSI) idóneo.

Etapas del SGSI

Screenshot_4-2

Contexto del SGSI

Definir lineamientos que permita mitigar los posibles riesgos de seguridad de la información.
  • Establecer políticas y procedimientos de seguridad acorde con los objetivos organizacionales, con los procesos core del negocio y los requisitos legales.
  • Análisis de proveedores relevantes que tienen relación directa con activos de información la organización.
  • Identificar y analizar los activos y la información que esté directamente relacionados con la continuidad del negocio.

Valoración de información - activos


Screenshot_3-3

Identificación del riesgo

  • ¿Qué podría ocurrir? - pérdida de información.
  • Vulnerabilidad por el cumplimiento en los procesos y amenazas - acceder a información. 
  • ¿Dónde? - activo de información.
  • Definir impacto - confidencialidad, disponibilidad e integridad.

Tipos de riesgo de seguridad de la información

Ciberseguridad: Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad.

Ciberataque o ataque cibernético: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen. 

Ciberiesgo o riesgo cibernético: Posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos.

Etapas

Evaluación de riesgos: medir la probabilidad de ocurrencia y el impacto considerando las amenazas y vulnerabilidades, de tal modo que se puedan generar controles eficientes que permitan reducir el riesgo.

Tratamiento de riesgos: Teniendo en cuenta el apetito de riesgo, la Dirección debe determinar las posibles estrategias de mitigación del riesgo.

Planes de Acción: un plan para el tratamiento de riesgos que identifique la acción de gestión apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la información.

Seguimiento y revisión

Seguimiento

  • Identificar con prontitud los posibles incidentes.
  • Detectar fallas en los procedimientos.
  • Procedimientos y controles para dar respuesta oportuna a los incidentes 
  • Permite que la dirección tome decisiones de manera oportunidad frente a la seguridad de la información.

Revisión

  • Evaluar la efectividad de los controles.
  • Realizar auditorias internas sobre el SGSI.
  • Analizar escenarios internos y externos.
  • Mantener a la vanguardia en tecnología.

Si se encuentra interesado en contar con una solución enfocada en la gestión y seguridad de la información. Lo invitamos a que conozca RISK ISMS una Suite diseñada para gestionar este tipo de riesgos. 

Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

 

Temas:Riesgos CiberneticosSeguridad de la información

Comentarios