SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION.
1- ¿Qué es un SGSI?
Es un proceso sistemático, documentado y conocido por toda la organización.
La seguridad de la información, según ISO 207001 consiste en la preservación de tres términos que constituyen la base de la seguridad de la información.
Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Disponibilidad: Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieren.
2- ¿Para que sirve?
Un SGSI contempla procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgo y una medición eficaz de los mismos, e igual manera un SGSI ayuda a establecer políticas y procedimientos en relación a los objetivos de negocios de la organización.
3- ¿Qué incluye un SGSI?
Según ISO 9001, se muestra gráficamente la documentación del sistema como una pirámide de cuatros niveles
Nivel 1
Manual de Seguridad: Es el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcances, objetivos, responsabilidades, politicas y directrices principales el SGSI.
Nivel 2
Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planeación, operación y control de los procesos de seguridad de la información.
Nivel 3
Instrucciones, checklists y formularios: Documentos que describen como se realizan las tareas y las actividades especificas relacionadas con la seguridad de la información.
evidence
Nivel 4
Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estan asociados a documentos de los otros tres niveles como output que muestra que se ha cumplido lo indicado en los mismos.
ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos:
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y limites que existen entre el alcance y aquellas que no
Política y objetivos de seguridad: Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.
Procedimientos y mecanismos de control que soportan al SGSI: Los que regulan el propio funcionamiento del SGSI.
Enfoque de evaluación de riesgos: Descripción de la metodología a emplear, desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
Informe de evaluación de riesgo: Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.
Plan de tratamiento de riesgo: Documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información.
Procedimientos documentados: Todo los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.
Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.
Declaración de aplicabilidad: Documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgo, justificando inclusiones y exclusiones.
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina la acciones de gestión necesarias para:
Aprobar documentos.
Revisar y actualizar documentos.
Garantizar los cambios y el estado actual de la revisión.
Documentos vigentes disponibles.
Legibles y fácilmente identificables.
Transmitidos, almacenados y distribuidos acorde con los procedimientos.
Documentos procedentes del exterior.
Distribución de documentos controlada.
Prevenir documentos obsoletos.
Identificación de documentos retenidos.
5- ¿Qué tarea tiene la Gerencia en un SGSI?
Tareas fundamentales del SGSI que ISO 27001 asigna a la dirección.
Compromiso de la Dirección: Debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI
Asignación de recursos: para el correcto desarrollo de toda las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos.
Formación y concienciación. Son elementos básicos para el éxito del SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asigne responsabilidades definidas en el SGSI este suficientemente capacitado.
Revisión del SGSI: La dirección de la organización debe revisar que el SGSI continúe siendo adecuado y eficaz.
4- ¿Cómo se implementa un SGSI?
Se utiliza un ciclo continuo PDCA el cual es un ciclo de vida continuo
Plan: Establecer el SGSI
Alcances Políticas de seguridad Metodologías de evaluación del riesgo Identificación de los riesgos Analizar y evaluar los riesgos
Objetivos de control y los controles del Anexo A de ISO 27001
Aprobar riesgos residuales, implantación y uso del SGSI
Declaración de aplicabilidad
Subtopic
Do: Implementar y utilizar el SGSI.
Plan de tratamiento de riesgos
Implantar el plan de tratamiento de riesgo
Implementar los controles
Definir sistemas de métricas
Programas de formación y concienciación
Gestionar las operaciones del SGSI
Gestionar los recursos
Detección y respuesta
Check: Monitorizar y revisar el SGSI.
La organización deberá:
Monitorización y revisión
Efectividad de los controles
Efectividad del SGSI
Evaluaciones de riesgo
Auditoras internas
Revisar el SGSI por parte de la dirección
Actualizar los planes de seguridad
Registrar acciones y eventos
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
Mejoras identificadas
Acciones preventivas y correctivas
Comunicar las acciones y mejoras
Alcanzar los objetivos previstos