Protección de Datos Puntos Fundamentales
En la actualidad son muchos los factores a tener
en cuenta en lo relativo a la gestión de la
seguridad de la información (SGSI), un aspecto
que día a día va adquiriendo más protagonismo,
convirtiéndose en uno de los principales activos
de cualquier organización.
Los planes de contingencia y de continuidad de
negocio cobran especial relevancia a la hora de
abordar cualquier proyecto TIC. Ya son muchos y
muy frecuentes los escenarios donde la pérdida
de información puede ocasionar daños
importantes en los desarrollos corporativos.
La implantación de Sistemas de Gestión de
Seguridad de la Información (SGSI) según los
estándares de la Norma ISO/IEC 27001:2005
facilita a la empresa los instrumentos
necesarios y más eficaces para asegurar la
protección de la información susceptible de
intercepciones no autorizadas y salvaguardar
la exactitud e integridad de sus activos.
Sistema de Gestión de la Seguridad de la Información
ISO/IEC 27001:2005
2 de 5
Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005
La Norma ISO/IEC 27001:2005 es una norma
de carácter internacional que se utiliza como
referencia para el desarrollo de un Sistema de
Gestión de Seguridad de la Información
(SGSI).
Puede ser auditada por un organismo externo
(Bureau Veritas Certificación, DNV, SGS, etc.)
y, por tanto, certificada como prueba de
compromiso asumido por la Dirección y por el
Personal de la organización.
De forma resumida, un Sistema de gestión de
Seguridad de la Información (SGSI) consiste en
un conjunto de:
>>>> Estructura Organizativa
>>>> Activos físicos (hard y soft)
>>>> Conocimiento
>>>> Procedimientos
>>>> Recursos Humanos
Puestos a disposición por la Dirección de la
empresa con el único objetivo de asegurar la
confidencialidad, disponibilidad e integridad
de la información y los datos existentes.
Se trata de asegurar los siguientes requisitos:
>>>> Garantizar la confidencialidad,
integridad y disponibilidad de la
información a todos los niveles.
>>>> Reducir los riesgos a niveles
aceptables.
>>>> Cumplir con las Leyes y
Reglamentaciones vigentes (UE,
Estatales, Autonómicas, Locales).
OBJETIVOS DE NUESTROS PROYECTOS DE IMPLANTACIÓN DE UN SGSI
>>>> Definir e implementar un Sistema de
Gestión de Seguridad de la
Información, basado en los requisitos
de la norma ISO/IEC 27001:2005, y
obtener la Certificación por un
organismo acreditado.
>>>> Implantar un método óptimo de
Organizar la Seguridad de la
Información en todos los ámbitos de
la empresa, incluido software,
hardware, así como el área de
desarrollo, incluyendo instalaciones
físicas, personal y estaciones de
trabajo, así como Centro de
Procesamiento de Datos (CPD) en el
caso de que existiera en la entidad.
¿QUÉ ES UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN?
¿QUÉ ES LA NORMA ISO/IEC 27001:2005?
3 de 5
Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005
VENTAJAS DE LA IMPLANTACIÓN DE UN SGSI
A nivel interno:
>>>> Mejorar la organización y asignación
de responsabilidades en lo relativo a
la seguridad de la información en la
empresa.
>>>> Permite documentar y estandarizar
las actividades referentes a la gestión
de la seguridad de la información.
>>>> Disminuir el riesgo derivado de
posibles usos de información
confidencial por parte de personal
ajeno.
>>>> Conseguir un Sistema que aprenda de
los errores y evolucione de manera
constante.
>>>> Involucrar al personal como parte
activa y creativa en el proyecto.
>>>> Aumentar la rentabilidad a medio y
corto plazo, al disminuir la
probabilidad de pérdidas y fugas en
el sistema de información de la
entidad.
A nivel externo:
>>>> Mayor estabilidad y posicionamiento
en su mercado debido a que se puede
prever que la certificación será casi
una obligación para cualquier
empresa que desee competir.
>>>> Evitar la apertura de brechas de
seguridad al interrelacionar sistemas
de clientes, control de stock,
facturación, pedidos, productos, etc.
entre diferentes organizaciones.
>>>> Mejora de la Imagen Corporativa.
>>>> Establecer un Lenguaje común entre
clientes. Proveedores y terceras
partes.
El proceso de implantación de un Sistema de
Gestión de la Seguridad de la Información
pasa por las siguientes fases:
FASE 1. Estudio de objetivos,
requerimientos y necesidades de seguridad.
Identificación de los objetivos y
requerimientos de seguridad del Sistema de
Información de la Organización. Inventariado
de los activos de la Organización.
¿CÓMO IMPLANTAR UN SGSI?
4 de 5
Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005
FASE 2 - Análisis de riesgos. Identificación de
las vulnerabilidades y amenazas de seguridad
de la información que recaen sobre los
servicios, procesos y activos de la
Organización, así como la probabilidad e
impacto de materialización de dichas
amenazas. El análisis exhaustivo de los riesgos
de seguridad de la información será la piedra
angular para orientar adecuadamente el
enfoque del SGSI.
FASE 3 - Selección de objetivos de control y
controles. Selección de los controles
necesarios para tratar los riesgos detectados
en la FASE 2, y documentar esta selección en
un plan de tratamiento del riesgo, documento
fundamental de un SGSI y como tal exigido
por la norma ISO/IEC 27001:2005. Este plan
de tratamiento del riesgo se verá
complementado y ampliado con el desarrollo
de un plan director de seguridad en la FASE 7.
FASE 4 - Formalización del SGSI.
Documentación de todas las políticas,
programas y procedimientos del SGSI exigidos
por la norma ISO/IEC 27001:2005 y necesarios
para gestionar los riesgos de seguridad de la
información de la Organización.
FASE 5 - Plan de implementación de
controles. Identificación del grado de
desviación entre la situación deseada para los
controles y procesos del SGSI y la situación
actual de madurez de la Organización a este
respecto. Desarrollo de un plan director de
seguridad de la información.
FASE 6 - Auditoría interna del SGSI.
Ejecución de una auditoría interna del SGSI
después de su implantación, Los resultados de
esta auditoría son registros exigidos como
evidencia por la norma ISO/IEC 27001:2005,
además de ser una entrada fundamental para
la revisión del SGSI por la Dirección.
FASE 7 - Auditoría externa de certificación.
Certificación del SGSI por un organismo
externo acreditado por la UKAS, resolución de
las posibles no conformidades detectadas.
Magerit es una de las metodologías de Análisis
y Gestión de Riesgos de los Sistemas de
Información. Frente a otras metodologías,
Magerit ha sido desarrollada 100% por
expertos españoles en SGSI y próximamente
será traducida a numerosos idiomas en por su
óptimos resultados en su aplicación.
MAGERIT: METODOLOGÍA PARA LA IMPLANTACIÓN DE UN SGSI
5 de 5
Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005
Los objetivos de Magerit son:
>>>> Ofrecer un método sistemático para
analizar los riesgos que puedan
afectar al Sistema de Información.
>>>> Dar soporte para descubrir y
planificar las medidas oportunas para
mantener los riesgos bajo control.
>>>> Apoyar a la organización en procesos
de evaluación, auditoría certificación
>>>> Concienciar a los responsables de los
Sistemas de Información de la
existencia de riesgos y la necesidad
de atajarlos a tiempo.
>>>> La duración aproximada hasta lograr
la certificación es de entre 6 y 9
meses.
>>>> El desarrollo del Proyecto incluye
tramitación y seguimiento de las
correspondientes Subvenciones, las
cuales llegan a cubrir la implantación
y certificación.
ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones
Instituto Nacional de Tecnologías de la Información
Asociación Española para el Fomento de la Seguridad de la Información
Socios de Asociación Andaluza de Comercio Electrónico
Socio fundador del comité de Andalucía de ITSMF (Information Technology Service Management Forum)
www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es
CONSIDERACIONES FINALES
www.ascendiarc.com - [email protected] Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla
T. 954 298 201 - 902 111 024 F. 954 629 674
Top Related