Uno de los activos más importantes de cualquier empresa es la información, así como los procesos y sistemas que hacen uso de ella. Pero hoy las organizaciones están cada vez más expuestas a ataques y amenazas que circulan en la red dispuestos a mermar la seguridad de los datos corporativos. Una herramienta de gran utilidad para la preservación de la seguridad de la información es establecer un Sistema de Gestión de Seguridad de la Información (SGSI) capaz de brindar la protección necesaria de los objetivos de negocio.

Las bases del Sistema de Gestión de la Seguridad de la Información

El SGSI permite a las empresas establecer políticas y procedimientos en pro de los objetivos a los que se quiere llegar, conocer los riesgos a los que está expuesta su información y minimizarla, transferirla o controlarla mediante un sistema definido, documentado y conocido por todos los miembros de la empresa, que de forma periódica se revisa y se mejora.

Los requisitos necesarios para implementar un Sistema de Gestión de Seguridad de la Información en todo tipo de negocios están establecidos en el estándar ISO-27001. Según este estándar la seguridad de la información implica la garantía de su confidencialidad, integridad y disponibilidad, y también de los sistemas que influyen en su tratamiento. Por tanto, estos tres conceptos son la base sobre la cual se asienta la seguridad de la información:

  • Confidencialidad: la información no está disponible ni se revela a individuos, entidades o procesos no autorizados.
  • Integridad: la información y sus métodos de proceso se mantienen completos y exactos.
  • Disponibilidad: la información y sus sistemas de tratamiento son accesibles y se pueden utilizar por individuos, entidades o procesos autorizados.

A la hora de garantizar que la seguridad de la información es gestionada adecuadamente, se tiene que utilizar un proceso sistemático, documentado y conocido por toda la empresa, y que es el que constituye un SGSI.

¿Cómo se implementa un Sistema de Gestión de la Seguridad de la Información?

La norma ISO-27001 es la que determina cómo se debe implantar un SGSI, en este caso, a través del ciclo de Deming o ciclo PHVA: Planificar, Hacer, Verificar y Actuar. Este sistema de gestión está basado en la mejora continua que se adapta a los cambios de la empresa e intenta conseguir un alto nivel de eficacia operativa. A continuación, veremos las actividades que se realizan en cada una de las cuatro fases:

  • Planificar: en esta fase se crear un SGSI con la definición del alcance y la política de seguridad. Lo primero será realizar un análisis de riesgos y en base a los resultados definir un plan de tratamiento que conlleva establecer unos controles de seguridad para mitigar los diferentes riesgos.
  • Hacer: se ejecuta el plan de tratamiento de riesgos con la consecuente formación a los trabajadores de la empresa en materia de seguridad. Deberán conocer la definición de las métricas e indicadores que se usarán para evaluar la eficacia de los controles implementados.
  • Verificar: es el momento de realizar varias revisiones para comprobar que se ha implantado correctamente el Sistema de Gestión de Seguridad de la Información según ISO-27001. Se llevan a cabo auditorías internas independientes y objetivas y una revisión global del SGSI.
  • Actuar: en base a los resultados de las revisiones se definen e implementan diferentes acciones correctivas, preventivas o de mejora para que el SGSI sea un sistema eficaz y eficiente.

La seguridad de la información es un motivo de preocupación para las empresas que puede poner en riesgo sus objetivos. Por eso, es necesario introducir herramientas como el SGSI que permitan proteger la información sensible y utilizarla como ventaja competitiva.

Velorcios Group proporciona a las empresas un asesoramiento integral en ciberseguridad para que estas puedan iniciar o consolidar un proceso de transformación digital con la máxima seguridad.

eBook Velorcios-lidiar con los datos