Saltar al contenido principal
SGSI

Cumplimiento del SGSI y la protección de los activos

SGSI

SGSI

El SGSI ha sido percibido como una actividad que ha sido construida para proteger los activos de información sensible. Esto es lo que la primera revisión de la norma ISO 27001 también destacaron, y su predecesor BS 7799-2. La norma ISO 27001 requiere que las organizaciones identifiquen a todos los activos y construya las garantías en torno a esos activos.

La seguridad es principalmente un trabajo de cumplimiento, y es parte de un control interno, es decir, parte de la gestión empresarial.

¿Cuáles de estos tres enfoques es el mejor para tomar?

SGSI como la protección de los activos de información

El enfoque tradicional de proteger los activos de la filosofía ha existido en la seguridad física durante muchos años. Tiene un activo físico y luego construye un perímetro de seguridad alrededor de él.

Este enfoque funcionó bien para la seguridad física. El problema es ahora con servicios en la nube, dispositivos móviles, puertas traseras, hackers, etc.

Cada vez es más difícil definir el perímetro de seguridad alrededor de los activos de información y construir los controles que les rodea. Se necesita algo más.

SGSI como un trabajo de cumplimiento

La protección de la información corporativa o privada sensible se convierte en un tema muy importante, se adopta el enfoque más proactivo y define varios requisitos de la seguridad de la información mediante las leyes, regulaciones y contratos.

Las organizaciones se empiezan a centrar en el cumplimiento de todos los requisitos, en la mayoría de los casos, esto se hace mediante la escritura de diferentes políticas y procedimientos. El enfoque no resuelve el problema principal, como puede ser disminuir el número de incidentes de seguridad al realizar los procesos en las organizaciones.

Seguridad de la información como parte del control interno

Este enfoque es mucho más típico para las grandes empresas que quieren saber exactamente quién es responsable de que los informes se envíen a las personas que tienen responsabilidades. Estos tipos de empresas quieren reducir el riesgo de que algo vaya mal, aunque muy a menudo no tienen un proceso formal de gestión de riesgos.

El enfoque se ajusta bastante bien con el enfoque de cumplimiento. Existen muchas organizaciones que toman este enfoque sin el cumplimiento. La desventaja de este enfoque podría ser que la comunicación se encuentra sólo por una vía, de esta forma es muy difícil de explicar a la alta dirección de los problemas reales que se enfrentan en las operaciones del día a día cuando se trata de amenazas, vulnerabilidades o dificultades de adopción de las nuevas normas corporativas.

Un enfoque combinado

¿Cuál de estos tres enfoques es el idóneo para SGSI? Si nos fijamos en la última revisión de la norma ISO 27001 2013, entonces la respuesta es: ninguno.

La norma ISO 27001 2013 requiere que se mezclen todos los enfoques en un único sistema de gestión basado en el enfoque del riesgo.

La norma ISO 27001 2013 requiere que se realice la evaluación y el tratamiento de los riesgos. Es necesario elegir los controles adecuados de la información. También requiere que se identifiquen todos los requisitos legales y reglamentarios. La norma ISO 27001 2013 requiere que establezca un SGSI con funciones y responsabilidades claramente definidas, medición, presentación de informes y funciones de auditoría interna.

Las soluciones en la nube son muy buenas para las empresas que buscan ahorrar costos y establecer una respuesta rápida. La búsqueda en internet puede mostrar cómo dichas soluciones pueden crecer de forma rápida. La solución en la nube está siendo adoptada por las organizaciones de todos los tamaño, especialmente por parte de las organizaciones pequeñas y medianas.

Los servicios en la nube son vendidos como soluciones, ya que se pueden utilizar en cualquier lugar. Todo lo que se necesita es un ordenador y una buena conexión a internet para poder trabajar con datos, aplicaciones y recursos. Desde el punto de vista del usuario los servicios en la nube dependen de una infraestructura física. Las decisiones de los proveedores sobre dónde se despliega una infraestructura puede generar ciertos riesgos que deben ser tratados.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba