El Sistema de Gestión de Seguridad de la Información (SGSI), es un conjunto de políticas, procedimientos, directrices y recursos asociados que permiten gestionar, proteger y mejorar de forma continua la seguridad de la información y eveluar los riesgos a los que se ven sometidos los activos de información de la organización. Para responder de mejor forma, este sistema nos planeta las siguientes interrogantes:
¿Qué requiere protegerse?
- Los procesos de negocio.
- La información.
¿Por qué protegerlos?
- Valor que tiene para el negocio
- Para preservar la confidencialidad, integridad y disponibilidad (CID) de los activos.
¿De qué protegerlos?
- Amenazas.
- Vulnerabilidades.
¿Cómo protegerlos?
- Metodologías.
- Gestionar los riesgos.
- Aplicar controles.
- Procesos estructurados.
- Mejora continua.
Para implementar este sistema nos debemos basar en la norma ISO 27001, que establece los principales criterios y buenas practicas para cumplir con el SGSI. La Norma ISO establece que debemos definir los siguientes elementos, siendo obligatorios desde el 4 al 10:
1- Alcance y aplicación: Definir el propósito de la norma.
2- Normativa de referencia: Define a las referencias de normas ISO que acompaña a la 27001.
3 – Términos y definiciones: Permite comprender las diferentes definiciones gracias a un vocabulario técnico que describe algunos conceptos importantes para el SGSI.
4- Contexto de la organización: Contextualizar a la organización para definir la naturaleza de la misma, su entornos, debilidades, fortalezas, oportunidades y las diferentes dimensiones para comprender las circunstancias que rodean a la organización, como las partes interesadas internas y externas.
5- Liderazgo: La alta dirección define la Politica de Seguridad de la Información y los diferentes compromisos que garantice su operatividad, objetivos, recursos, comunicación, resultados, eficacia y mejora continua.
6- Planificación: En este puntos se debe tomar acción para abordar , evaluar y tratar los riesgos a los que se pueden ver sometida la organización.
7- Recursos: Se debe capacitar, concientizar y comunicar a todos los integrantes de la organización, respecto a los riesgos de ciberseguridad y la postura que tiene la organización frente a estos riesgos, a través de la implementación de los diferentes planes y políticas para enfrentarlos y controlarlos.
8- Operación: En este caso la organización debe implementar los diferentes procesos y controles para enfrentar y operar los riesgos.
9 – Evaluación SGSI: En este punto se deben realizar seguimiento a la implementación del SGSI a través de evaluaciones, auditorias internas y revisión por la dirección.
10- Mejora del SGSI: Aplicar acciones correctivas y responder a las No conformidades que surgen de la evaluación del punto 9. Este aspecto permite garantizar el ciclo de mejora continua que propone las normas ISO en su ciclo PHVA (Planificar, Hacer, Verificar y Actuar), en inglés PDCA ( Plan, Do, Check, ACT).
