¿Cómo implementar un buen Sistema de Gestión de Seguridad de la Información?

Loading

Un Sistema de Gestión de la Seguridad de la Información (SGSI) implica implementar y mantener procesos para gestionar de manera eficiente la protección de la información, asegurando así su integridad, confidencialidad y disponibilidad. Es posible implementar los lineamientos de ISO 27001, COBIT, NIST o cualquier framework similar, o incluso crear un modelo propio de gestión. Lo importante es que se consideren todos estos factores del ciclo para que el SGSI sea eficiente.

 

PLANEAR Y ESTABLECER

Definir los pasos a seguir, cuáles van a ser los activos a proteger, de qué manera y quiénes serán los encargados de llevarlo a cabo. En esta etapa se deben establecer:

  • Responsables de la seguridad
  • Alcance y procesos críticos a proteger
  • Políticas de seguridad de la información
  • Recursos necesarios para la operación, mantenimiento y mejora

IMPLEMENTAR Y OPERAR

Poner en práctica todos los controles establecidos durante el planeamiento y gestionar la seguridad de manera cotidiana:

  • Evaluación de riesgos cualitativa o cuantitativa
  • Tratamiento de riesgos
  • Mitigar
  • Eliminar
  • Transferir
  • Aceptar
  • Aplicación de controles de seguridad
  • Técnicos
  • Físicos
  • Administrativos
  • Planes de gestión de seguridad
  • DRP
  • BCP
  • IRP
  • Campañas de concientización
  • Definición de métricas de controles
  • Documentar procesos, guías, manuales, etc.

 

MONITOREAR Y MEDIR

Revisar el correcto funcionamiento de lo que fue planteado, además de medir el éxito de la gestión mediante parámetros establecidos previamente:

  • Auditorías de seguridad
  • Revisión de cumplimiento con estándares
  • Evaluación de vulnerabilidades
  • Pruebas de penetración
  • Análisis GAP
  • Niveles de madurez
  • Revisión del SGSI según métricas

 

MANTENER Y MEJORAR

Una vez hecha la verificación y medición de los resultados obtenidos, se debe retroalimentar el proceso con mejoras que deberán ser planificadas, puestas en marcha y revisadas:

  • Tratamiento de no conformidades: solucionar incumplimientos
  • Acciones correctivas para la mejora permanente

Notas Relacionadas

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *