¿Cómo implementar un buen Sistema de Gestión de Seguridad de la Información?

Empresa
Ene 24, 2018

Un Sistema de Gestión de la Seguridad de la Información (SGSI) implica implementar y mantener procesos para gestionar de manera eficiente la protección de la información, asegurando así su integridad, confidencialidad y disponibilidad. Es posible implementar los lineamientos de ISO 27001, COBIT, NIST o cualquier framework similar, o incluso crear un modelo propio de gestión. Lo importante es que se consideren todos estos factores del ciclo para que el SGSI sea eficiente.

PLANEAR Y ESTABLECER

Definir los pasos a seguir, cuáles van a ser los activos a proteger, de qué manera y quiénes serán los encargados de llevarlo a cabo. En esta etapa se deben establecer:

Responsables de la seguridad
Alcance y procesos críticos a proteger
Políticas de seguridad de la información
Recursos necesarios para la operación, mantenimiento y mejora

IMPLEMENTAR Y OPERAR

Poner en práctica todos los controles establecidos durante el planeamiento y gestionar la seguridad de manera cotidiana:

Evaluación de riesgos cualitativa o cuantitativa
Tratamiento de riesgos
Mitigar
Eliminar
Transferir
Aceptar
Aplicación de controles de seguridad
Técnicos
Físicos
Administrativos
Planes de gestión de seguridad
DRP
BCP
IRP
Campañas de concientización
Definición de métricas de controles
Documentar procesos, guías, manuales, etc.

MONITOREAR Y MEDIR

Revisar el correcto funcionamiento de lo que fue planteado, además de medir el éxito de la gestión mediante parámetros establecidos previamente:

Auditorías de seguridad
Revisión de cumplimiento con estándares
Evaluación de vulnerabilidades
Pruebas de penetración
Análisis GAP
Niveles de madurez
Revisión del SGSI según métricas

MANTENER Y MEJORAR

Una vez hecha la verificación y medición de los resultados obtenidos, se debe retroalimentar el proceso con mejoras que deberán ser planificadas, puestas en marcha y revisadas: