/ 
¿Cómo implementar un Sistema de Gestión de Seguridad de la Información?
¿Cómo implementar un Sistema de Gestión de Seguridad de la Información?
Compartir en:
- Estudiar la norma ISO 27001
Se dan muchos casos de organizaciones que comienzan a introducir un sistema de gestión de seguridad de la información antes de conocer íntegramente y comprender los alcances de la norma y sus requisitos. Es mejor estudiarla antes de aplicarla en forma sistemática. Los preparativos aplicados sobre la base de ese estudio son muy importantes para el éxito del proceso de certificación.
- Garantizar el compromiso de la alta dirección
Para que la certificación ISO 21007:2013 tenga éxito es imprescindible que la dirección de la organización esté involucrada en el proyecto. No se trata solamente de que dé el visto bueno, sino que participe en la implementación, supervisión, revisión y en la mejora continua del SGSI. Igualmente se debe garantizar la asignación de los recursos necesarios para desarrollar el sistema de gestión de seguridad de la información.
- Determinar la política y alcances de la seguridad de la información
Una vez logrado el compromiso de la dirección, será posible trabajar con tranquilidad en la implementación del SGSI. Seguidamente se debe determinar el alcance del sistema de gestión y definir aspectos claves como la política de seguridad de la información, los objetivos para la seguridad de la información y las responsabilidades y reglas relacionadas con la seguridad de la información. Definidos estos temas, se procede a determinar las partes de la organización que serán incluidas en el sistema de gestión.
- Definir el método para evaluar los riesgos
La norma ISO 21007:2013 no define el modelo de evaluación de riesgos que se debe utilizar. En lugar de ello señala ciertas pautas a seguir. El modelo debe: evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad; establecer metas para mantener los riesgos en un nivel aceptable; y determinar criterios que definan cuándo el riesgo es aceptable.
- Definir acciones y objetivos para gestionar los riesgos
La identificación e implementación de acciones y objetivos para la gestión de riesgos permitirán cumplir con el proceso de evaluación de riesgos, que es el siguiente paso. Dicha identificación debe tener en cuenta los criterios para establecer riesgos aceptables e inaceptables, así como obligaciones legales y regulatorias y contractuales.
- Identificar, analizar y evaluar los riesgos
Luego de identificar los riesgos de seguridad que serán analizados y evaluados, se debe evaluar cómo la organización podría verse perjudicada si dichos riesgos se convirtieran en una realidad. Establezca las consecuencias en caso que la confidencialidad, integridad o disponibilidad de los recursos de información se vieran comprometidos o dañados. Se debe establecer diferentes niveles de riesgo y hacer evaluar el impacto de cada uno de ellos.
- Implementación de la norma ISO 27001:2013
El plan de implementación de la norma debe incluir, entre otros aspectos, una descripción de la gestión de riesgos en la que se precise la gestión de acciones, recursos, responsabilidades y las prioridades de las acciones con respecto a la seguridad de la información. También se debe incorporar un plan de gestión de riesgos para alcanzar los objetivos, lo cual incluye el financiamiento del plan así como la asignación de funciones y responsabilidades. Finalmente, se debe determinar las medidas necesarias para alcanzar los objetivos y la capacitación de los colaboradores que participarán directamente.
- Auditoría interna, revisión del proceso y mejoras
Para garantizar el funcionamiento eficaz del SGSI, así como su continuidad, la norma ISO 27001:2013 establece la ejecución de la auditoría interna. Igualmente, la dirección de la organización debe ejecutar evaluaciones periódicas del SGSI para asegurar el buen funcionamiento del sistema y facilitar los procedimientos que permitan encontrar mejoras.
- Hacer una pre evaluación
Cuando se considere que el SGSI de la organización ya está completamente implementado y funciona como un reloj, o si tiene un avance del 90%, se recomienda realizar una pre evaluación externa del mismo varios meses antes que se realice la auditoría de certificación. La identificación de posibles fallas hará posible determinar correcciones antes de pasar a la auditoría de certificación.
- Iniciar la certificación
El proceso de certificación ISO 27001:2013 puede tomar varios meses desde la solicitud para realizarlo hasta completar la auditoría. La empresa certificadora debe cotizar el servicio y los responsables del proceso dentro de la organización deben tomar nota de todos los detalles durante la auditoría.
¿Deseas saber más acerca de los pasaos para la implementación de un sistema de gestión de seguridad de la información? Inscríbete en el Programa de Especialización en la Implementación del Sistema de Gestión de Seguridad de la Información Óptica de ESAN.
FUENTE CONSULTADA:
Artículo "Diez pasos para la seguridad de la información con la norma ISO 27001", publicado por el portal argentino DNV-GL.
Portal de negocios de ESAN Graduate School of Business. Desde el 2010 difunde contenido de libre acceso (artículos, infografías, podcast, videos y más) elaborado por los más destacados especialistas. Encuentra contenido en más de 15 áreas y sectores como Administración, B2B, Derecho Corporativo, Finanzas, Gestión de Proyectos, Gestión de Personas, Gestión Pública, Logística, Marketing, Minería, TI y más. ¡Conéctate con los expertos de ESAN y aumenta tu conocimiento en los negocios!
Otros artículos del autor
Teletrabajo se perfila como respuesta ante déficit energético y presión en combustibles
La interrupción en el suministro de gas natural vehicular (GNV) y el incremento del precio internacional del petróleo, asociados a la guerra en Medio Oriente, han reabierto el debate sobre el teletrabajo en Perú como medida para reducir la demanda de combustibles y mitigar el impacto energético. En este contexto, Edmundo Lizarzaburu, profesor de la carrera de Administración y Finanzas de ESAN University, explicó en RPP TV, que esta modalidad, ya contemplada en la legislación peruana, puede aplicarse temporalmente tanto en el sector público como en el privado, siempre que se garantice una adecuada conectividad y se respeten las condiciones laborales de los trabajadores.
Obras por Impuestos: una herramienta clave para impulsar infraestructura en el país
El mecanismo de Obras por Impuestos se consolida como una herramienta clave para acelerar la ejecución de infraestructura en el Perú. Según explicó Manuel Paredes, director de la Maestría en Gestión Pública y Desarrollo Territorial de ESAN, en una entrevista a Sol TV, este modelo permite que empresas privadas financien y ejecuten obras con cargo a sus impuestos, reduciendo plazos frente a los procesos tradicionales de contratación pública. Para el especialista, la articulación entre el sector público y privado no solo agiliza la ejecución de proyectos, sino que también contribuye a cerrar brechas de infraestructura y atender demandas urgentes de la población en distintas regiones.
Proyecto presentado por ESAN sobre turismo regenerativo obtiene financiamiento internacional de ECOS Nord
El estudio, presentado por ESAN y la Université Côte d’Azur, propondrá soluciones para equilibrar turismo y calidad de vida en Lima y Niza. El programa ECOS Nord impulsa la cooperación científica entre Perú y Francia mediante el financiamiento de proyectos de investigación conjunta.