Menu
Menu

6 simples pasos para implementar SGSIs bajo estándar ISO 270016 min read

SGSI

De acuerdo a Wikipedia, los Sistemas de Gestión de Seguridad de la Información (SGSI):

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Toda empresa necesita un plan para sus SGSI, y desde luego, este plan debe regirse por protocolos y normas aceptadas internacionalmente. Entre dichos protocolos y normas, uno de los mayormente aceptadas es la Norma 27001.

¿Por qué ISO 27001 para implementar SGSI?

Si bien existen muchas normas internacionales para evaluar los riesgos informáticos y aplicar controles para mitigarlos o eliminarlos, la norma ISO 27001 cuenta con amplia aceptación para asegurar la integridad de tus datos informáticos. Sus principales características son:

  • Confidencialidad. Garantiza acceso seguro a la información exclusivamente a los agentes que autorices a ando acceso únicamente a aquellos que estén autorizados.
  • Integridad. Estrechamente relacionado al punto anterior, ISO 27001 asegura que tanto los procesos como la información relacionada con tus sistemas de seguridad sean completos y precisos.
  • Disponibilidad. Tus agentes autorizados podrán acceder a la información  pertinente cuando lo necesiten.
  • Prestigio. La norma ISO 27001 recubre con su buen nombre a toda empresa que lo adopte ya que es referente mundial de buenas prácticas y excelentes resultados.
  • Accesibilidad. Funciona para todo tipo de empresa y para todos los sectores o verticales. Los expertos pueden adaptarse más fácilmente a sus postulados, lo que resulta más conveniente a nivel económico y de costos operativos.

Ahora veamos 6 sencillos pasos para implementar nuestros SGSI bajo esta norma en 6 simples pasos.

6 pasos simples para implementar SGSI bajo Norma ISO 27001

1. Fase de evaluación

Primero que todo, debes someter a evaluación a tus sistemas e infraestructura. Tu seguridad informática siempre dependerá de la madurez de la seguridad informática y en similar medida; del modelo de infraestructura con la que cuentas.

Este diagnóstico te indicará la etapa y las medidas correctivas a tomar para corregir para darle paso a la implementación de tu SGSI bajo estándares ISO 27001.

2. Planificación

Seguido y una vez sepas con certeza qué te hace falta o qué necesitas para poner a tono tus sistemas con la norma ISO 27001; necesitas planificar y estudiar tus opciones para la implementación del SGSI. Así pues tienes estas opciones:

  1. Auto-gestión. Es la alternativa tipo hágalo usted mismo. Vale la pena adoptarla si cuentas con el personal técnico y la documentación necesaria para mitigar el impacto del cambio; es decir, estás en un Nivel 3 o superior de Madurez de Seguridad Informática. De ser así, te ahorrará tiempo y dinero.
  2. Contratación de un consultor. Esta alternativa es la más recomendada para empresas con un Nivel 1 de Madurez de Seguridad Informática. Con ella, cedes todo el poder de la implementación a un experto que obligatoriamente tiene que darte las respuestas que necesitas; y garantizarte todas certificaciones relacionadas.
  3. Opción mixta. Combina las anteriores. Funciona mejor en empresas con Nivel 2 de Madurez de Seguridad Informática; y saca lo mejor de tus fortalezas y las del consultor experto en seguridad. Esta opción puede incluir tutoriales, ayuda en línea y apoyos similares.

Todas las opciones ofrecen ventajas y desventajas que te conviene medir muy bien. Lo más recomendable en este punto es hacer una matriz DOFA que recojan estas variables:

    • Gasto general.
    • Inversión en tiempo.
    • Integridad de la documentación.
    • Transferencia de Conocimiento.
    • Certificaciones.

Cada una de estas variables recogen tareas y actividades que van desde la elección del personal técnico encargado; hasta la puesta en marcha de la implementación.

3. Documentación + Gantt

El tercer paso consiste en reunir toda la documentación pertinente para alimentar la base de conocimiento; y agruparla por actividades y tareas lógicas en un tiempo determinado. Con este paso, ya el proyecto comienza a materializarse en base a la planificación elegida, ajustada al tamaño de tu empresa.

 4. Organización

El cuarto paso es organizar la documentación por fases de ejecución y organización del proyecto. La campana de Gantt de la fase de ejecución para la integración de SGSI bajo norma ISO 27001 es el reloj que indica el ritmo para la integración que, sin duda, debe estar bajo el mando de líderes de proyecto.

En esta etapa también se compilan los manuales para ser utilizados al momento de lanzar las campañas de concientización respecto a la implementación del SGSI bajo norma ISO 27001.

5. Presentación

Seguido, damos el quinto paso para integrar todo lo recogido en los pasos anteriores. Se presenta el proyecto factible a la alta gerencia y a los involucrados en su ejecución.

La presentación incluye alcances de la norma ISO 27001; exposición de motivos y políticas; recoge los resultados de la fase de evaluación; define el tratamiento de los riesgos detectados; declara la aplicabilidad o no de los controles; los motivos que apoyan la decisión y la forma de aplicación.

Asimismo se presentan los resultados de la medición de la eficacia de los controles para dar un panorama completo de los alcances totales de la norma.

6. Despliegue y puesta en marcha

Finalmente, el sexto y último paso comienza con la aprobación de la directiva. Una vez este cuerpo da el visto bueno, inician las campañas de concientización en forma de programas cortos en forma de programas cortos para el despliegue y puesta en marcha del proyecto.

Esto supone implementar de la misma manera los controles; procedimientos exigidos; los programas de capacitación unidos a los de concientización. El SGSI comenzará a formar parte del día día laboral.

Con ello; comenzará la emisión de registros que mantendrán informados a los auditores y agentes autorizados sobre el verdadero rendimiento de la empresa, sus empleados, y el éxito de la implementación de la Norma 27001 para tus SGSI.

Si te decantas por la opción b o c durante la fase de Planificación, tienes en nosotros un aliado ideal para llevar adelante tu implementación en SGSI bajo norma 27001. Contáctanos aquí y comencemos con tu plan de 6 pasos.

¿Te gustó esta información? Compártela con tus colegas:
Volver arriba