domingo, 23 de octubre de 2016

¿Qué es un SGSI?

SGSI es la sigla utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés a Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Para garantizar que el Sistema de Gestión de Seguridad de la Información sea gestionado de forma correcta se debe identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar su funcionalidad, estos son:

CONFIDENCIALIDAD: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.

INTEGRIDAD: mantener de forma completa y exacta la información y los métodos de proceso.

DISPONIBILIDAD: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.




BENEFICIOS


·         Establecer una metodología de Gestión de la Seguridad estructurada y clara.
·         Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
·         Los clientes tienen acceso a la información mediante medidas de seguridad.
·         Los riesgos y los controles son continuamente revisados.
·         Se garantiza la confianza de los clientes y los socios de la organización.
·         Las auditorias externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas que se deben mejorar.
·         Facilita la integración con otros sistemas de gestión.
·         Se garantiza la continuidad de negocio tras un incidente grave.
·         Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
·         La imagen de la organización a nivel internacional mejora.
·         Aumenta la confianza y las reglas claras para las personas de la empresa.
·         Reduce los costes y la mejora de los procesos y el servicio.
·         Se incrementa la motivación y la satisfacción del personal.
·     Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías. 


La nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Esta nueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura:



En los primeros tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además se define el alcance que tiene la normativa para poder certificar, centrándose en los requisitos cubiertos en los capítulos 4 a 10, y si bien ISO-27002 deja de ser una referencia normativa aún es necesaria para implementar este estándar.


En el capítulo 4 Contexto de la organización se resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización. De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas y que deben estar en el alcance del SGSI. En el capítulo 5 Liderazgo, se definen las responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los  recursos necesarios para la implementación del sistema.

Dentro del capítulo 6 Planeación, se prioriza la definición de objetivos de seguridad claros que permita relacionar planes específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el enfoque se orienta hacia la identificación de aquellos riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, donde el nivel de riesgo aceptable se debe definir en función de la probabilidad de ocurrencia del riesgo y las consecuencias generadas en caso de que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se relacionan los requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema. 

Dentro de los capítulos 4 al 7 se enmarca la etapa de Planeación del sistema. El capítulo 8 Operación, se asocia a la etapa Hacer del ciclo de mejora continua y se establecen los  mecanismos para planear y controlar las operaciones y requerimientos de seguridad, siendo el las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a los activos de información, las vulnerabilidades y las amenazas se utilizan para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. 

El capítulo 9 Evaluación del desempeño se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades. Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas establecer las acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan. Si bien estas actualizaciones de estándares no incorporan cambios radicales en la forma que se gestiona la seguridad la información, sí se involucran nuevos conceptos y enfoques que mejoran y facilitan la implementación, además de adaptarse a la evolución de la tecnología y permitir enfocar los esfuerzos en lograr la actualización exitosa.


CÓMO CERTIFICARSE CON ISO 27001: PASOS Y RECOMENDACIONES


Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus estados financieros y otros elementos internos. Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las empresas de telefonía móvil o aquellas que supongan la recolección de datos personales escenifican muy bien este segundo grupo. ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son los pasos esenciales en dicho proceso de certificación:

ETAPA PREVIA:

En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la norma ISO 27001 para poder iniciar el proceso como tal:

§  Obtener el apoyo de la dirección en todo el proceso implementación.

§  Utilizar una metodología de gestión de proyectos.

§  Definir el alcance del Sistema de Seguridad.

§  Redactar una política específica.

§  Definir una metodología de evaluación de riesgos.

§  Redactar el Plan de Tratamiento de Riesgos.

§  Definir la forma en que se medirán los avances.

§  Implementación de controles.

§  Capacitar y formar a los equipos de trabajo.

§  Realizar las operaciones diarias descritas en la norma.

§  Monitoriar las acciones.

§  Realizar una auditoría con personal que pertenezca a la empresa.

§  Efectuar una revisión por parte de la dirección.

§  Implementar las medidas correctivas pertinentes.



AUDITORÍA DE REVISIÓN:
Tan pronto se solicite a ISO la voluntad de certificarse, un grupo de profesionales externos a la propia organización revisará la documentación requerida en la norma.

AUDITORÍA PRINCIPAL:
Una vez se ha verificado que la organización cuenta con la documentación requerida, el grupo de auditores hará una visita a la empresa para confirmar que ésta cumple con los indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le dará un plazo para aplicar los correctivos necesarios y volver a presentarse ante los auditores. Pero si la respuesta es positiva, la empresa quedará certificada.

REVISIONES PERIÓDICAS:
Luego de que se ha emitido el certificado, la certificadora realizará durante los siguientes tres años una serie de auditorías periódicas para monitoriar los esfuerzos de la organización en materia de Seguridad de la Información. La idea es que los controles se mantengan y no se minimicen los esfuerzos durante ese período.

Link de la norma para consulta ISO/IEC 27001:2013

            Vídeo Norma  resumido 










Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)