¿Qué es SGSI? | PMG-SSI

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Qué es SGSI?

¿Qué es SGSI?

SGSI

SGSI

El SGSI (Sistema de Gestión de Seguridad de la Información) es el principal concepto sobre el que se conforma la norma ISO 27001.

La gestión de la Seguridad de la Información se debe realizar mediante un proceso sistémico, documentado y conocido por toda la empresa.

¿Qué es un SGSI?

El SGSI es la abreviatura usada para referirse al Sistema de Gestión de la Seguridad de la Información e ISMS son las siglas equivalentes en ingles a Information Security Management System.

Podemos entender  por información todo el conjunto de datos que se organizan en una organización y otorgan valor añadido para ésta, de forma independiente de la forma en la que se guarde o transmita, el origen que tenga o la fecha de elaboración.

El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la organización.

Fundamentos:

Para garantizar que el Sistema de Gestión de Seguridad de la Información gestionado de forma correcta se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar su:

  • Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.
  • Integridad: mantener de forma completa y exacta la información y los métodos de proceso.
  • Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.

Según el conocimiento que se tiene del ciclo de vida de la información relevante se puede adoptar la utilización de un proceso sistemático, documentado y conocido por toda la empresa, desde un enfoque de riesgos empresarial. El proceso es el que constituye un SGSI.

Utilización

La información, junto a los procesos y los sistemas que hacen uso de ella, son activos demasiado importantes para la empresa. La confidencialidad, integridad y disponibilidad de dicha información puede ser esencial para mantener los niveles de competitividad, conformidad, rentabilidad e imagen de la empresa necesarios para conseguir los objetivos de la empresa y asegurase de que haya beneficios económicos.

Las empresas y los sistemas de información se encuentran expuestos a un número cada vez más elevado de amenazas que aprovechan cualquier tipo de vulnerabilidad para someter a los activos críticos de información a ataques, espionajes, vandalismo, etc. Los virus informáticos o los ataques son ejemplos muy comunes y conocidos, pero también se deben asumir los riesgos de sufrir incidentes de seguridad que pueden ser causados voluntariamente o involuntariamente desde dentro de la propia empresa o los que son provocados de forma accidental por catástrofes naturales.

El cumplimiento de la legislación, la adaptación dinámica y de forma puntual de todas las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar que se obtiene el máximo beneficio son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las empresas.

El nivel de seguridad que se alcanza gracias a los medios técnicos es limitado e insuficiente por sí mismo. Durante la gestión efectiva de la seguridad debe tomar parte activa toda la empresa, con la gerencia al frente, tomando en consideración a los clientes y a los proveedores de la organización.

El modelo de gestión de la seguridad tiene que contemplar unos procedimientos adecuados y planificar e implementar controles de seguridad que se basan en una evaluación de riesgos y en una medición de la eficiencia de los mismos.

Para entender que es SGSI, ayuda a establecer la política de seguridad y los procedimientos en relación a los objetivos de negocio de la empresa, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Beneficios

  • Establecer una metodología de Gestión de la Seguridad estructurada y clara.
  • Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
  • Los clientes tienen acceso a la información mediante medidas de seguridad.
  • Los riesgos y los controles son continuamente revisados.
  • Se garantiza la confianza de los clientes y los socios de la organización.
  • Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas que se deben mejorar.
  • Facilita la integración con otros sistemas de gestión.
  • Se garantiza la continuidad de negocio tras un incidente grave.
  • Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • La imagen de la organización a nivel internacional mejora.
  • Aumenta la confianza y las reglas claras para las personas de la empresa.
  • Reduce los costes y la mejora de los procesos y el servicio.
  • Se incrementa la motivación y la satisfacción del personal.
  • Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías.

La documentación mínima que se debe tener en cuenta a la hora de implementar un SGSI:

  • Política y objetivos de seguridad.
  • El alcance del SGSI.
  • Los procedimientos y los controles que apoyan al SGSI.
  • Describir toda la metodología a la hora de realizar una evaluación de riesgo.
  • Generar un informe después de realizar la evaluación de riesgo.
  • Realizar un plan de tratamiento de riesgos.
  • Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles.
  • Declaración de aplicabilidad.
  • Procedimiento de gestión de toda la documentación del SGSI.

Software para ISO 27001

El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO 27001.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…

Loading Facebook Comments ...