¿Qué es el SGSI y cómo aplicarlo en tu empresa?




El SGSI (Sistema de Gestión de Seguridad de la Información)  se diseña considerando todos los activos informáticos de una empresa a partir de la importancia que tienen para ella, por lo que debe prestarse especial atención a aquellos que son críticos, su importancia y los riesgos a los que se encuentran expuestos.

EL SGSI es la generación de una estrategia para el tratamiento de los riesgos de seguridad que conlleva la implementación de controles para garantizar el cumplimiento a partir de un análisis de riesgos que debe incluir:

➥ ¿Qué se trata de proteger?
➥ ¿Qué es necesario proteger?
➥ ¿Cuál es la probabilidad de una amenaza?
➥ Implementar controles de forma rentable.
➥ Revisión continua del proceso cada vez que una vulnerabilidad sea detectada.

De los puntos anteriores, los tres primeros no deberían de faltar nunca para poder realizar la toma decisiones sobre seguridad. 

Si no conocemos lo que se quiere proteger, contra qué lo debemos proteger y cuán probable es una amenaza, no tiene sentido seguir con un SGSI.

El enfoque principal de un SGSI debe estar basado en la mejora continua haciendo uso del "Plan-Do-Check-Act" (PDCA) conforme al ISO/IEC 27001.

➥ Plan (Establecer el SGSI). En este punto se establecen las políticas de seguridad, objetivos, procesos y procedimientos para gestionar el riesgo y mejorar la seguridad. 

➥ Do (Implementar el SGSI). En este punto se debe garantizar una adecuada implementación de los controles seleccionados.

➥ Check (Evaluación y seguimiento). Aquí es donde se debe evaluar y verificar el desempeño de los procesos, políticas, objetivos y la experiencia práctica, reportando los resultados a la dirección.

➥ Act (Mantener y mejorar). En este punto se aplican acciones correctivas y preventivas basadas en los resultados de la revisión para lograr la mejora continua.


El paso inicial para poder conformar un SGSI es el Análisis de Riesgos ya que será la base para evaluar cada punto de los resultados y poder determinar lo que se hará con el riesgo. La fase de la Planificación y el Diseño del SGSI, puede llevar mucho tiempo, es por eso la importancia de que la Alta Dirección se encuentre comprometida con el proyecto y asigne los recursos necesarios para poder llevarlo a cabo.
 
El SGSI no es solo para grandes empresas, debe establecerse también en las pequeñas y medianas, ya que conocemos que son las más atacadas por los ciberdelincuentes y el contar con este sistema puede disminuir el riesgo de sufrir algún ataque exitoso y las consecuencias que conlleva.


Si quieres saber más sobre Políticas de Seguridad haz click aquí.
Si quieres saber más sobre la Definición de una Política da click aquí.




#easysec #easycybersecurity #ciberseguridad #sgsi #analisisderiesgos #seguridadinformática #gestiónderiesgos #infosec

Publicar un comentario

0 Comentarios