Componentes de los sistemas de gestión de seguridad de la información
Sistemas de gestión de seguridad de la información
Un SGSI (Sistema de gestión de seguridad de la información) proporciona un modelo para crear, implementar, operar, monitorear, revisar, mantener y mejorar la protección de los activos de información para lograr los objetivos comerciales.
Conociendo el contexto de la organización, la base de un Sistema de gestión de seguridad de la información reside en evaluar los riesgos y establecer los niveles determinados como adecuados por la Administración de la Organización para la aceptación de un nivel de riesgo para que los riesgos puedan ser tratados y gestionados.
El análisis de los requisitos para la protección de los activos de información y la aplicación de controles apropiados para garantizar la protección de estos activos de información, según sea necesario, contribuyen a la implementación exitosa de un Sistema de gestión de seguridad de la información.
El Sistema de Seguridad de la Información (SGSI) es el elemento más importante de ISO 27001, que unifica los criterios para evaluar los riesgos asociados con el manejo de la información corporativa en las empresas. Por información corporativa entendemos todos los datos que agregan valor a las empresas, independientemente del área o el formato en el que se recopilan. Por lo tanto, la información puede ser de diversos tipos, desde financieros, económicos, judiciales, laborales, contractuales, de recursos humanos, culturales y aspectos y procesos relacionados con la naturaleza de las empresas. Un Sistema de Seguridad de la Información es, por lo tanto, el conjunto de prácticas destinadas a garantizar la seguridad, integridad y confidencialidad de estos datos.
Elementos fundamentales de un Sistema de Seguridad de la Información
- Análisis del contexto. Entender la organización, y todos los elementos que pueden afectar al Sistema de Seguridad de la Información es clave.
- Análisis de las partes interesadas. Esto podría contemplarse dentro del punto anterior, ya que es un elemento interno o externo, pero igualmente un elemento que afecta al SGSI.
- Responsabilidades. Establecer las competencias y las responsabilidades en cada uno de los activos fijados.
- Formación en materia de seguridad de la información.
- Interacción por parte de Dirección, un aumento del compromiso y.
- Evaluación de riesgos. Es clave este punto para definir el estado actual, las estrategias y anticiparse ante cualquier elemento que pueda afectar a esos activos de la información.
- La prevención activa y detección de incidentes de seguridad de la información.
- Asegurar un enfoque integral de gestión de seguridad de la información.
- Un enfoque de mejora continua.
El Sistema de Gestión de Seguridad de la Información se basa en tres principios básicos:
- Confidencialidad: Los datos que son internos o que forman parte del capital de una empresa no se divulgan ni se ponen a disposición de terceros, personas, entidades o procesos no autorizados.
- Integridad: No deben modificarse para ningún propósito, a menos que la propia empresa así lo decida y siempre que existan razones que justifiquen dicha medida.
- Disponibilidad: El tercer elemento de un Sistema de gestión de seguridad de la información indica la posibilidad de que las personas, entidades o procesos autorizados tengan pleno acceso a la gestión de la información que se encuentra en la base de datos de una empresa, así como a los sistemas que la regulan. Este no es un principio que se opone a la confidencialidad, ya que se trata del acceso a todos los agentes, internos o externos, que tienen autorización.
A partir de estas tres dimensiones fundamentales, hay organizaciones que pueden necesitar otras adicionales. Estas dimensiones, significarán, en cualquier caso, una extensión opcional y particular basada en las necesidades específicas de un SGSI que cada organización debe evaluar, y no un requisito fundamental de la norma ISO/IEC 27001.
Software para la seguridad de la información
Hay numerosas herramientas para la determinación de los riesgos de activos de la información, pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería conformar una lista de los riesgos correspondientes a los posibles impactos. Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto. La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO 27001, y llevar a cabo una gestión eficaz y eficiente del mismo.