top of page

Análisis del SGSI

1. Enfoque inicial:

 

La configuración para el éxito se define en cuatro términos:

  • Conocer y ser capaz de comunicar con claridad la importancia de la seguridad de la información para cualquier organización.

  • Conocer por qué el ISO 27001 es la manera correcta de proveer la seguridad de la información.

  • Conocer como el proyecto va a ser estructurado

  • Conocer los beneficios y desventajas si se van a utilizar consultores o se hará por la organización.

2. Soporte de la alta dirección

 

El proyecto del SGSI es un proyecto del negocio, no un proyecto de TI. Y debe encontrarse alineado con el modelo de negocio, las estrategias, metas del negocio, y debe ser priorizado para el negocio y contar con un nivel apropiado de recursos, teniendo el total apoyo por parte de la alta dirección. Es importante para el éxito de un proyecto SGSI, tener el compromiso de la alta dirección en brindar los recursos necesarios y asumir una clara priorización para un continuo soporte por la alta dirección.

3. Definir el alcance:

 

La determinación del alcance es esencial para cualquier tipo de organización independiente de su tamaño, para el proyecto del SGSI deberá identificar y decidir que activos de la información se protegerán y cuáles estarán fuera del alcance con su respectivas justificaciones. Deberán existir límites claros definidos en términos de las características de la organización, su locación, activos y tecnología.

Please reload

4. Planificación:

 

En la planificación se incluyen cuestiones como la gestión del proyecto, el despliegue de los asesores, cuán diferente los sistemas de gestión serán integradas, la identificación de las responsabilidades principales y las necesidades de los recursos a través del proyecto.

5. Comunicación:

 

Para una exitosa implementación de un SGSI, es necesario contar con un plan de comunicación interno bien diseñado y aplicado efectivamente. De acuerdo al ISO/IEC 27001, los componentes principales que un plan debe incluir son:

  • Comunicación de la visión de la seguridad de la información de arriba – abajo.

  • Sesiones de información en cascada de forma regular a todo el personal sobre el progreso de los objetivos del plan de implementación.

  • Un mecanismo para asegurar que los grupos e individuos claves dentro del negocio son consultados y participen en el desarrollo de los componentes principales del sistema.

  • Un mecanismo para asegurar una retroalimentación regular e inmediata de las partes interesadas.

6. Valoración de riesgos:

 

La organización necesita determinar sus criterios para la aceptación de riesgos, e identificar los niveles de riesgos que se aceptarán.

Los planes de gestión de riesgos tienen 4 objetivos que son:

  • Eliminar los riesgos

  • Reducir los riesgos que no pueden ser eliminados a niveles “aceptables”

  • Coexistir con ellos, hacer ejercicio de los controles cuidadosamente

  • Transferir los riesgos a través de un seguro o a otras organizaciones.

Please reload

7. Selección del control:

Los controles adoptados por la organización, formarán una significativa parte del SGSI. El control es definido, en el ISO/IEC 27000, como los “medios de la gestión de riesgos, incluyendo políticas, procedimientos, directrices, prácticas o estructuras organizativas, que pueden ser de naturaleza administrativa, técnica, legal o de gestión”

8. Documentación:

Cada componente del SGSI debe ser documentado, ya que servirá como base permitiendo la mejora continua. Existen 4 niveles en la documentación del SGSI:

  • La política corporativa aprobada por la junta, que conduce todos los aspectos del SGSI.

  • Procedimientos detallados, que describen quienes son los responsables y sus funciones, con plazos y en qué orden.

  • Instrucciones de operaciones/trabajo, que muestra en forma precisa como cada una de las tareas son desarrolladas.

  • Registros, que proveen evidencia de que es lo que se ha hecho.

9. Pruebas:

Existen cuatro tipos de prueba que deben ser considerados.

  • Realizar una auditoría directa, que consiste en un auditor SGSI entrenado teniendo un procedimiento documentado y solicitando las evidencias que son descrita en el procedimiento.

  • La limitada “prueba de papel”, es un ejercicio intelectual que requiere más de una persona y que requiere familiaridad con las vulnerabilidades en el activo y mecanismos de control y los mecanismos.

  • La limitada “prueba de la vida real”, en donde se pone en práctica un riesgo para observar el funcionamiento de los procedimientos, se debe considerar que antes de realizar este tipo de pruebas existan medidas que garanticen la restauración completa hasta antes del punto en donde se ejecutó la prueba.

  • La prueba de escenario a gran escala, usado mayormente en las pruebas a los planes de continuidad del negocio en donde se requiere una planificación considerable y es un área sensible en el que se despliegan conocimientos especializados y externos.

Please reload

Seguridad de la Información
bottom of page