ISO 27001: El objetivo de un SSI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: El objetivo de un SSI

ISO 27001: El objetivo de un SSI

ISO 27001

Sistema de Gestión de la Información

El objetivo perseguido por un Sistema de Seguridad de la Información (SSI) basado en la norma ISO 27001 es conseguir los niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información institucional relevante, con el fin de asegurar la continuidad operacional de los procesos y servicios, mediante un Sistema de Gestión de Seguridad de la Información.

El Sistema de Seguridad de la Información (SSI) es una herramienta que apoya la gestión en las organizaciones. Ya que la información es uno de los activos más importantes dentro de una organización moderna, se requiere que ésta se encuentre lo suficientemente protegida frente  a las amenazas que pueden poner en peligro la continuidad de los niveles de servicio, la rentabilidad de la organización y la conformidad legal, por lo que se necesita alcanzar todos los objetivos institucionales.

Hoy día, todo el conjunto de información como pueden ser documentos en  formato papel, digital, bases de datos, software, personal, equipos informáticos y otros elementos se encuentran sujetos a diferentes tipos de riesgos tanto desde dentro de la misma organización como desde fuera de ésta.

El SSI genera la posibilidad de disminuir de forma significativa el impacto que generan los riesgos a los que se encuentran sometidos los activos de información. Para esto es necesario conocerlos y afrontarlos de forma ordenada, y mediante la participación de toda la organización, estableciendo los procedimientos adecuados y planificando e implantando controles de seguridad según la evaluación de riesgos y eficacia de los mismos.

Por otro lado, el SSI facilita la conformación del marco de gobierno para la Seguridad de la Información en las organizaciones, ya que establece políticas de seguridad, procedimientos y controles que relacionan los objetivos estratégicos en la organización, con el fin de mantener el riesgo por debajo de un nivel aceptable por la propia empresa. Para esto se contempla la designación del Encargado de Seguridad de la Información, el visto bueno del Comité de Seguridad y la aprobación de una política general de seguridad en la que se exprese el compromiso de la gerencia de la organización.

A nivel estratégico, los altos cargos de la organización, el Sistema de Seguridad de la Información (SSI) es una herramienta que les ofrece una visión estratégica del estado de sus activos de información, las medidas de seguridad que se encuentran implicadas y los resultados que se obtienen de dicha aplicación.

Gracias a todos estos datos la organización puede tomar decisiones sobre que estrategía debe seguir. El SSI de la organización tiene que conocer todos los riesgos a los que se encuentra sometida la información y debe gestionarlos realizando una planificación, documentada y conocida por todos, que tiene que ser revisada para mejorarla continuamente, prestando especial atención a los controles y los objetivos de control que propone la normativa NCh-ISO27001.

Desde el punto de vista del desempeño de la organización, facilita la entrega fluida de los bienes y servicios de los clientes, mediante la formulación de un Plan de Continuidad de Negocio, que asegura de forma correcta la continuidad operacional para que los procesos más relevantes, la contingencia tecnológica, especificar diferentes escenarios de catástrofe y fallas a enfrentar, manejar las crisis mediante el establecimiento de una estrategia de gestión de situaciones de contingencia.

Responsabilidades en el SSI

Para poder desarrollar el SSI, se hará necesario reunir el trabajo de todos los profesionales y los técnicos de todas las áreas, con el fin de implementar de una forma adecuada a los proyectos de interés institucional. Se trata de un equipo multidisciplinar que permite establecer las responsabilidades, consiguiendo que se especialicen en cada uno de los dominios en la NCh-ISO-27001, consiguiendo los resultados de calidad satisfactoria.

Dentro del desarrollo del Sistema de Seguridad de la Información debe constar del siguiente personal:

Directivos

Esta tarea tiene una elevada magnitud y relevancia por lo que se requiere que participe de forma activa, ya sea para entregar las orientaciones básicas, como para tomar decisiones que influirán en el modo de operar el servicio público. De igual forma, es muy importante contar con un gran liderazgo y compromiso que influyan sobre los procesos. Este rol no puede ser delegado sin una significativa pérdida de credibilidad respecto a la seriedad del esfuerzo.

El Jefe de Servicio, es quien aprueba las políticas de seguridad y valida el proceso de gestión de Seguridad de la Información (SSI), genera las sanciones y los mecanismos de control para tratar el riesgo que afecta a los activos de información, y que generan el resultado de los errores.

Comité de Seguridad de la Información (CSI)

Tiene la responsabilidad de supervisar la implementación de procedimientos y estándares que se obtienen de las políticas de seguridad de la información, se tienen que proponer estrategias y soluciones específicas para poder implementar los controles necesarios a la hora de materializar las políticas de seguridad establecidas y ofrecer una solución a dichas situaciones de riesgo detectadas. Se tienen que coordinar con los comités de calidad y riesgos de la institución, con lo que mantener todas las estrategias comunes de gestión y reportar a la gerencia de la organización, junto con todas las oportunidades de mejora en el Sistema de Gestión de Seguridad de la Información (SSI).

Es recomendable que el CSI se encuentre integrado con los siguientes trabajadores:

  • Jefe operaciones
  • Jefe de recursos humanos
  • Encargado de calidad
  • Encargado de riesgos
  • Abogado de la organización
  • Jefes de áreas
  • Encargado de Seguridad de la Información (ESI)

Encargado de Seguridad de la Información (ESI)

Es un trabajador nombrado por el Jefe de Servicio como su asesor directo en materia de Seguridad de la Información. Se tiene que organizar todas las actividades del Comité de Seguridad de la Información, coordinar la respuesta y priorizar el tratamiento de incidentes, además de los riesgos asociados a los activos de información. Deben monitorear el avance general de la implementación de la norma ISO 27001, la implantación de las estrategias de control y tratamiento de riesgos, tiene a cargo el desarrollo inicial de las políticas de seguridad, controlar la implementación y velar por la correcta aplicación, además de mantener coordinadas todas las unidades del servicio que apoyan los objetivos de seguridad y establece puntos de enlace con los Encargados de Seguridad de otras organizaciones.

ISO 27001

El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando...