¿Qué es un SGSI?



El SGSI (Sistema de Gestión de Seguridad de la información) se diseña considerando todos los activos informáticos de una empresa a partir de la importancia que tienen para ella, por lo que debe prestarse especial atención a aquellos que son críticos, su importancia y los riesgos a los que se encuentran expuestos.

¿Qué es un SGSI?

El SGSI es la generación de una estrategia para el tratamiento de los riesgos de seguridad que conlleva la implementación de controles para garantizar el cumplimiento a partir de un análisis de riesgos que debe incluir:
  1. ¿Qué es lo que se trata de proteger?
  2. ¿Qué es necesario proteger?
  3. ¿Cuál es la probabilidad de una amenaza?
  4. Implementar controles de forma rentable.
Revisión continua del proceso cada vez que una vulnerabilidad sea detectada.
De los puntos anteriores, los tres primeros no deben de faltar para poder realizar la toma de decisiones sobre seguridad. Si no conocemos lo que se requiere proteger, contra qué lo debemos proteger y cuán probable es una amenaza, no tiene sentido seguir con un SGSI.

¿Qué contiene un SGSI?


El enfoque principal de un SGSI debe estar basado en la mejora continua haciendo uso del "Plan-Do-Check-Act" (PDCA) conforme al ISO/IEC 27001.

Plan -Establecer el SGSI - En este punto se establecen las políticas de seguridad, objetivos, procesos y procedimientos para gestionar el riesgo y mejorar la seguridad.
➥ Do - Implementar el SGSI - En este punto se debe garantizar una decuada implementación de los controles elegidos.
➥ Check - Evaluación y seguimiento - Aquí es donde se debe evaluar y verificar el desempeño de los procesos, políticas, objetivos y la experiencia práctica, reportando los resultados a la dirección.
Act - Mantener y mejorar - En este punto se aplican acciones correctivas y preventivas basadas en los resultados de la revisión para lograr la mejora continua.

El paso inicial para poder conformar un SGSI es el Análisis de Riesgos ya que será la base para evaluar cada punto de los resultados y poder determinar lo que se hará con el riesgo. La fase de la planificación y el diseño del SGSI, pueden llevar mucho tiempo, es por eso la importancia de que la Alta Dirección se encuentre comprometida con el proyecto y asigne los recursos necesarios para poder llevarlo a cabo.

El SGSI no es solo para las grandes empresas, puede establecerse también en las pequeñas y medianas, ya que conocemos que son las más atacadas por los ciberdelincuentes y el contar con este sistema puede disminuir el riesgo de sufrir algún ataque exitoso y las consecuencias que conlleva.

Si te interesa saber más sobre las políticas de seguridad de un SGSI puedes visitar Políticas de Seguridad y Definición de una política.


#ciberseguridadempresarial #ciberseguridadmexico #sgsi #sistemadegestiondeseguridaddelainformacion #infosec

Publicar un comentario

0 Comentarios