10 pasos sgsi

3
L as empresas cada vez tienen más claro que necesitan soluciones en materia de seguridad duraderas, sostenibles y alineadas a los objetivos globales del negocio, seguramente cansadas de invertir en controles puntuales o en las mejores prácticas de seguridad sugeridas por algún estudio reciente y generalmente difíciles de justificar en una lógica de coste y beneficio. Una de las soluciones actualmente más adoptadas por las empresas y más discutidas por los especialistas de seguridad, es el sistema de gestión de seguridad de la información (SGSI), un conjunto de procesos, políticas, procedimientos, análisis y testes, organizados de manera lógica y soportada por objetivos a nivel estratégico, estructurados principalmente por los requisitos presentados en la norma ISO 27001 – una de las principales referencias en el mundo de la seguridad de la información. En este artículo presentamos un listado de los 10 elementos considerados clave para el proceso de la implementación y del mantenimiento de un SGSI con éxito. 1. Comprender qué es un SGSI No es un software. No es un conjunto de documentos. Desarrollar un SGSI es como crear una nueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada. Comprender el alcance del sistema es un factor clave para el proceso, una vez que se considere que toda la empresa puede no ser la mejor opción (coste, tiempo necesario, magnitud de los cambios), y por otro lado, focalizar demasiado suele tornar el SGSI en un elemento de baja relevancia (o completamente irrelevante) a la empresa. 2. Obtener el apoyo de la dirección Cambiar procesos antiguos, limitar los privilegios de acceso, responsabilizar a personas (formalmente) de la seguridad de su información no suelen ser tareas simples. Cuando la propia identidad de la empresa y su cultura de trabajo pueden ser cambiadas, los directores y otros responsables del negocio tienen que estar activamente involucrados. Tienen que dar a comprender que es la propia empresa la que está cambiando, y que todos forman parte de este proceso. 3. Alinear al negocio La seguridad de la información existe para viabilizar negocios. La principal misión del responsable de seguridad es alinear las actividades de seguridad con los objetivos globales de la empresa, garantizando que los riesgos sean conocidos y que están controlados adecuadamente conforme a una estrategia definida. 82 nº 26 octubre 2008  Perspectiva Empresarial Las 10 claves de éxito para un SGSI EN ESTE ARTÍCULO PRESENTAMOS UN LISTADO DE LOS 10 ELEMENTOS CONSIDERADOS CLAVE PARA EL PROCESO DE LA IMPLEMENTACIÓN Y DEL MANTENIMIENTO DE UN SGSI CON ÉXITO Carlos A. Sáiz SOCIO RESPONSABLE DEL ÁREA DE IT COMPLIANCE  Y SEGURIDAD Écija Paulo Barbosa CONSULTOR DE SEGURIDAD DE LA INFORMACIÓN Écija Desarrollar un SGSI es como crear una n ueva camada de gestión, compleja y que afecta horizontalmente al negocio de una manera continuada

Transcript of 10 pasos sgsi

Page 1: 10 pasos sgsi

8/6/2019 10 pasos sgsi

http://slidepdf.com/reader/full/10-pasos-sgsi 1/2

Page 2: 10 pasos sgsi

8/6/2019 10 pasos sgsi

http://slidepdf.com/reader/full/10-pasos-sgsi 2/2

4. Conocer profundamente los

riesgos

Invertir en medidas de seguridad sin

antes conocer los riesgos es como

tomar una medicación sin antes saber

cuál es la enfermedad. Además, conocer

las vulnerabilidades tecnológicas no es

suficiente, una vez que la tecnología es

un elemento de soporte al negocio, no

su finalidad. Es necesario comprender lo

que puede afectar a cada proceso de

negocio, y cuales son los impactos y

probabilidades de ocurrencia inherentes.

5. Toda medida de seguridad

tiene que tener un porqué

Toda inversión en seguridad debe

ser justificada, por lo menos, en

términos de coste y beneficio, o bien

por la reducción de un riesgo (valores

financieros son bienvenidos), o por

cumplimiento legal o normativo.

6. Unir los procesos de gestiónHay dos momentos en los que la

seguridad tiene que ser especialmente

tenida en consideración: planificaciones

y cambios. Anticipar los riesgos, tras su

identificación y la aplicación de medidas

adecuadas, reduce la probabilidad y/o

el impacto de un incidente, que a su

vez reduce las pérdidas financieras y

posibles pérdidas de imagen y

reputación. Los estudios revelan que

anticipar los cuidados de seguridad en

la fase de planeamiento, cambio o

diseño reduce el valor a invertir en

comparación con medidas paliativas.

7. Establecer procesos repetibles

El SGSI implementa el concepto

administrativo PDCA (Plan, Do, Check,

 Act ), así que muchos de los procesos

de seguridad (análisis de riesgos,

auditorías, testes de procedimientos y

tecnologías, training, y muchos otros)

serán repetibles de forma continuada.

Además, algunos procesos seránejecutados puntualmente, cuando haya

incidentes de seguridad, por ejemplo.

8. Las ISO son la base, pero mi

empresa puede necesitar más

La ISO 27001 establece los

requisitos para un SGSI, la 27002

presenta los controles de seguridad

recomendables. Un conjunto de nuevas

ISO está en desarrollo en este

momento, ofreciendo una cantidad

cada vez mayor y más depurada de

información de apoyo. Entretanto, la

recomendación es buscar soluciones

ideales para la empresa y sus

particularidades. Ya que cada negocio

es único, suelen haber requisitos

específicos. Think out of the (ISO) box .

9. Establecer métricas

Parafraseando a Lord Kelvin, “No se

puede gestionar lo que no se puede

medir”. Así como ocurre con la

operación, o la producción de la

empresa, es necesario conocer el

estado de la seguridad.

¿Cuántos riesgos hemos reducido enlos últimos 6 meses? ¿En el último año?

¿Cuál sería el impacto financiero si uno

de esos escenarios ocurriera hoy?

¿Cuánto hemos invertido en seguridad?

¿Las medidas fueron proporcionales a

las posibles pérdidas financieras,

operacionales y de reputación? Resulta

fundamental tener una herramienta que

genere todo o parte de esta

información a través de cuadros de

mando para la toma de decisiones.

10. Seguridad como herramienta

de apoyo a la toma de decisiones

Considerando que la seguridad de la

información viabiliza negocios, alcanzar

el nivel de apoyo a la toma de

decisiones es el “estado del arte” para

la seguridad, beneficiando a los

responsables de la gestión del negocio

en cada nueva iniciativa presentándoles

los riesgos inherentes y las medidas

necesarias (así como sus costes).

Un SGSI no es inviolable, no deja ala empresa inmune frente a los

incidentes de seguridad. Eso

probablemente nunca será posible. El

verdadero objeto del SGSI es organizar

las medidas de seguridad de acuerdo a

objetivos de negocio, reducir los

riesgos a niveles aceptables, gestionar

esos riesgos, cambiando el escenario

actual donde la seguridad es un coste

y transformándola en una herramienta

para viabilizar negocios más seguros y

mejor gestionados.

83

nº 26 octubre 2008

 Perspectiva Empresarial 

Resulta fundamental teneruna herramienta quegenere todo o parte de estainformación a través decuadros de mando para latoma de decisiones


Proyecto Final Sgsi

Proyecto Final Sgsi

SGSI 27001

SGSI 27001

Auditoría del SGSI

Auditoría del SGSI

CAPACITAÇÃO SGSI

CAPACITAÇÃO SGSI

5. ISO 27003 (SGSI)- Ayuda y Guia Oara Implementar en SGSI

5. ISO 27003 (SGSI)- Ayuda y Guia Oara Implementar en SGSI

Presentación sgsi janethpiscoya

Presentación sgsi janethpiscoya

Introduccion a SGSI

Introduccion a SGSI

ISO 27003 (SGSI)- Ayuda y Guia Para Implementar en SGSI

ISO 27003 (SGSI)- Ayuda y Guia Para Implementar en SGSI

Guia apoyo sgsi

Guia apoyo sgsi

SGSI Para Pymes (1)

SGSI Para Pymes (1)

Slide de sgsi

Slide de sgsi

13. Formacion Sgsi 2010

13. Formacion Sgsi 2010

Sgsi Data Center

Sgsi Data Center

Tesis SGSI

Tesis SGSI

Nuevo Sgsi 2013

Nuevo Sgsi 2013

02 Metodología SGSI

02 Metodología SGSI

Aplicando Iso 27001- Sgsi

Aplicando Iso 27001- Sgsi

consultoria implemetacion sgsi

consultoria implemetacion sgsi

Workshop jurídico: SGSI

Workshop jurídico: SGSI

Contenidos curso sgsi

Contenidos curso sgsi