• SGSI
Sistema de Gestión de Seguridad de la Información SGSI

Que es un Sistema de Gestión de Seguridad de la Información? 

El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Toda la información de la empresa constituye un activo vital para la organización y debe ser protegida adecuadamente. La seguridad de la información es la preservación de su Confidencialidad, Integridad y Disponibilidad y de los sistemas implicados en su tratamiento dentro de una organización.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse y por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad de la seguridad de la información.

Para que sirve un Sistema de Gestión de la Seguridad de la Información?

La información y los procesos y sistemas que la soportan son activos muy importantes para una organización. La confidencialidad, integridad y disponibilidad de la información pueden llegar a ser esenciales para mantener la competitividad, rentabilidad, conformidad legal e imagen comercial.

Las organizaciones y sus sistemas de información están sometidas a un gran número de amenazas para su seguridad en forma de fraude, espionaje, sabotaje, vandalismo o desastres naturales. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son ejemplos comunes y conocidos por su cada día mayor sofisticación. La creciente interconexión de redes públicas y privadas y la informática distribuida incrementan la vulnerabilidad a las amenazas de seguridad y las organizaciones, conscientes de este problema, refuerzan la seguridad de sus sistemas de información por medio de diversas tecnologías.

Sin embargo, la seguridad alcanzable por medios técnicos es limitada y debe ser soportada por una gestión y unos procedimientos adecuados. La implementación de los controles de seguridad es un proceso que requiere planificación y detalle y para la gestión de la seguridad de la información deben participar al menos todos los empleados de la organización y, en muchos casos, clientes y proveedores.

Así pues, el Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y objetivos adecuados para que la aplicación y revisión cíclica de los controles necesarios mantengan los riesgos de la seguridad de la información de la organización siempre por debajo del nivel de exposición asumible.

Con un SGSI la organización conoce los riesgos a los que está sometida su información y los asume, minimiza o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y actualiza constantemente.

Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

PLAN (Planificar): Establecer el SGSI
DO (Hacer): Implementar y utilizar el SGSI
CHECK (Verificar): Monitorizar y revisar el SGSI
ACT (Actuar): Mantener y mejorar el SGSI

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan y así sucesivamente.

© 2007 Berria Consultores. Consultoria de Seguridad de la Información
© www.BerriaConsultores.es Todos los derechos reservados.       Realizado por www.LaGuiaUtil.es