Seguridad en América | Post

¿QUÉ ES UN SGSI?

Como sus siglas lo indican, SGSI hace referencia al Sistema de Gestión de Seguridad de la Información (SGSI) o ISMS, por sus siglas en inglés (Information Security Management System). Es un Sistema de Gestión que ayuda a proteger tres propiedades principales de la información.

1. Confidencialidad: propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

2. Integridad: propiedad de la información relativa a su exactitud y completitud.

3. Disponibilidad: propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad o proceso autorizado.

La norma internacional que certifica este Sistema de Gestión es la ISO (International Organization for Standardization) / IEC (International Electrotechnical Commission) 27001:2013.

 

¿POR QUÉ DEBERÍA IMPLEMENTARLO?

Cabe mencionar que implementar un Sistema de Gestión de Seguridad de la Información, ayudará a las empresas a tener una mejora competitiva en el mercado y un orden organizacional, ya que estas normas se basan en procesos de negocio y de soporte, es por ello que el aspecto socio cultural es definitivo para poder lograr una correcta implementación. Hoy en día poder contar con un Sistema de Gestión de Seguridad de la Información, puede brindar mucha certidumbre y seguridad a nuestros clientes y a los terceros con los que lleguemos a tener relación.

 

¿DEBO SER UNA EMPRESA GRANDE PARA IMPLEMENTARLO?

No, la realidad es que cualquier empresa sin importar el tamaño puede implementar un Sistema de Gestión de Seguridad de la Información (SGSI), la norma ISO/IEC 27001:2013 está diseñada para poder ser implementada basándose en procesos de negocio y así poder analizar la exposición al riesgo de los activos de información, cabe mencionar que un activo de información es todo aquel que almacena, transmite o procesa información.

 

5 COSAS QUE SÍ DEBES HACER

• Siempre buscar el apoyo de la alta dirección, sin ese apoyo, no será posible implementarlo.

• Mantener simples y apegados a la realidad de su empresa los controles que implemente.

• Documente de forma correcta y ordenada los documentos mandatorios, controles, políticas, procedimientos, guías y apéndices.

• Informar los riesgos a la alta dirección para que se pueda determinar el apetito de riesgo y con base en ello tomar decisiones para dar respuesta al riesgo.

• Realice auditorías internas de forma objetiva, no deje pasar cosas por alto, recuerde que un auditor debe ser imparcial.

 

5 COSAS QUE NO DEBES HACER

• Tomar decisiones que no le correspondan, siempre tenga claro su lugar y responsabilidades en el alcance del Sistema de Gestión.

• Documentar actividades que no pueda comprobar de forma tangible, por ejemplo, si usted no respalda su información diariamente, no establezca una política en la que mencione que lo ejecuta diariamente, siempre debe basarse en la realidad tangible.

• No todas las soluciones o controles deben significar un alto costo para la organización, se pueden usar diversas herramientas de open source para mitigar los riesgos asociados.

• No aplique controles que su empresa no necesite, por ejemplo, si usted no permite el uso de dispositivos móviles no defina una política sobre dispositivos móviles.

• No intente certificar su Sistema de Gestión sin haber realizado varias auditorías internas satisfactorias.  

“Siempre debemos recordar que el éxito deriva de la planeación”