miércoles, 30 de julio de 2008

¿Qué es un SGSI?

Un Sistema de Gestión de la Seguridad de la Información o SGSI, es una forma de entender, de diseñar y de regular los procesos de negocio de la empresa desde una perspectiva mucho más eficiente, con la implantación de un SGSI se intenta establecer una metodología de trabajo para la propia entidad que sea más clara y estructura (además de más comprensible tanto hacia el exterior como hacia la propia organización), con esta metodología de trabajo se reduce el riesgo de cualquier tipo de manipulación de la información que puede traducirse en su robo, pérdida o corrupción.

Un Sistema de Gestión de la Seguridad de la Información basado en el standard ISO/IEC 27001-2005. Así se pretende por parte de las Compañías una mejora en la calidad y servicio proporcionado a los clientes, además este tipo de implantación por estándares reconocidos a nivel internacional aumenta la confianza de los clientes y de los socios estratégicos.

Además este tipo de sistemas exigen la implantación de controles y un análisis de riesgos que luego deberá ser sometido a una auditoría externa anual para renovar tal certificación, lo que aun aumenta más la confianza y la excelencia en la mejora de la imagen de la empresa.

Ya que para el establecimiento de este tipo de controles se establece la necesidad de realización de un inventario de activos (que se suele utilizar el Rango de Madurez Cobit), para la realización de un análisis de riesgos que muestre a la Compañía las amenazas y vulnerabilidades que afectan a sus activos, para en una fase posterior poder realizar la gestión del riesgo que servirá para establecer las pautas que debe seguir la propia compañía para actuar en caso de incidencia o pérdida del servicio.

El SGSI establece un marco de trabajo que refleja el enfoque de la Organización hacia la gestión del riesgo, los objetivos de control, sus controles correspondientes y el grado de confianza requerido. El SGSI establece un sistema de gestión basándose en los tres pilares de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad.

Uno de los controles que establece este sistema –además de todos al nivel IT- es establecer el grado de cumplimiento legal de la propia organización sin el cual en el caso de algunas Compañías les haría abocarse al fracaso antes nuestros propios clientes. Con la implantación de SGSI se establece en resumen un aumento de la seguridad en base a la mejora de procesos y al conocimiento interno de las reglas para poder manejar la información, reducción de los costes de tales procesos y un aumento de la seguridad en base a la gestión de procesos en vez de la compra sistemática de productos y tecnología.

El estándar ISO/IEC 27001:2005 basa su éxito en un proceso de mejora continua que se denomina Plan-Do-Check-Act o PDCA:





El ISO/IEC 27001/2005: Publicado el 15 de Octubre de 2005. Es la norma principal de requisitos del sistema de gestión de seguridad de la información.
- Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
- La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al “establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. El SGSI, es el punto fuerte de este estándar. Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
o Sistema de Gestión de la Seguridad de la Información.
o Valoración de riesgos.
o Controles.