AVISO DE PRIVACIDAD
BLOG

NUESTRO BLOG

Según ISO27000 todo conjunto de datos que se encuentren organizados en poder de una entidad debe ser considerados como información de valor sustancial y por lo tanto debe ser protegida y preservada por la organización.
¿Qué es un Sistema de Gestión de la Seguridad de la Información?
¿Qué es un Sistema de Gestión de la Seguridad de la Información?

Según ISO27000 todo conjunto de datos – escritos, gráficos, hablados, impresos, almacenados electrónicamente o en físico, proyectados o enviados por correo – que se encuentren organizados en poder de una entidad debe ser considerados como información de valor sustancial y por lo tanto debe ser protegida y preservada por la organización y todos sus actores en tres formas de tratamiento:

  • Confidencial.- la información solo es accesible para personal, entidades o procesos previamente autorizados.
  • Integridad.- consiste en saber con exactitud los usos que se le está dando a la información.
  • Disponibilidad.- acceso y aprovechamiento de la información previamente autorizada.

Establecer un proceso adecuado de gestión de la seguridad de la información tiene como base, llevar un proceso sistemático, documentado y conocido por todos los elementos, internos y externos de la organización. Lo anterior, da como resultado que la organización sea rentable, alineada a normatividades y cuente con una imagen institucional adecuada; convirtiendo esta gestión en beneficios económicos, legalidad, dinamismo, protección, aprovechamiento de oportunidades y cumplimiento de objetivos.

Para una correcta gestión de información, es necesario que tanto proveedores internos como externos y clientes, jueguen un papel activo dentro del proceso, ya que todos forman parte del modelo de gestión y por lo tanto deben llevar procesos adecuados de planificación implementación de controles de seguridad. El objetivo principal del SGSI es implementar controles de seguridad basados en una evaluación de riesgos y en una medición de su eficacia enfocada a los objetivos de negocio.

El SGSI se conforma por cuatro momentos base: planificar, hacer, verificar y actuar.

  • Planificar.- definir alcances, políticas de seguridad, identificar los riesgos, definir un plan de tratamiento de riesgos.
  • Hacer.- metodología de evaluación de riesgos, analizar y evaluar los riesgos, implementar el plan de tratamiento de riesgos e implementar controles.
  • Verificar.- declaración de aplicabilidad, definir un sistema de métricas, gestionar operaciones, gestionar recursos, actualizaciones.
  • Actuar.- tratamiento de los riesgos, detección y respuesta de incidentes, monitoreo y revisión, auditorías internas, registro de acciones y eventos, alcanzar objetivos y comunicar acciones y mejoras.