El sistema de gestión de seguridad de la información es una de las herramientas de gobernanza imprescindible en la dinámica corporativa. Las organizaciones necesitan SGSI y profesionales con formación especializada porque tienen obligaciones regulatorias que no se podrían cumplir si no se gestionan los riesgos a los que están expuestos los datos y la información de la organización.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

Hay que tener en cuenta, por otra parte, que la protección de la información, especialmente de terceros como consumidores, socios comerciales o proveedores, es un asunto estratégico. Una violación de seguridad que exponga la información privada de terceros conduce a un deterioro reputacional que podría ser irreversible.

Qué es un sistema de gestión de seguridad de la información

Un sistema de gestión de seguridad de la información es una estructura de administración y control sistemáticos. Se basa en políticas y objetivos sobre los que se construyen procesos y procedimientos para alcanzar los objetivos, cumplir las políticas y tratar los riesgos a los que está expuesta la información y los datos de la organización. Todo se autoevalúa con herramientas que el mismo sistema prevé (revisiones, inspecciones y auditorías) con el fin de cumplir con un modelo cíclico que promueve la mejora continua.

La evaluación de riesgos y su gestión son la columna vertebral del un sistema de gestión de seguridad de la información. Es importante anotar que el SGSI no se ocupa de forma exclusiva de la información telemática, electrónica, digital, magnética o virtual. La información y los datos contenidos en papel o transmitidos de forma oral también son competencia del sistema.

Cómo funciona un sistema de gestión de seguridad de la información

El sistema de gestión de seguridad de la información basado en la norma internacional ISO 27001 utiliza una estructura de alto nivel de diez capítulos. Los primeros tres aportan orientaciones, glosario y puntos de referencia para la implementación de lo dispuesto en los otros siete.

Los siete capítulos restantes contienen los requisitos que necesita cumplir la organización para alcanzar la conformidad. Además, ISO 27001 entrega un anexo con 93 controles de seguridad de la información que utilizará la organización a discreción para prevenir o contener amenazas.

En términos muy generales un sistema de gestión de seguridad de la información funciona en seis fases:

  • La Alta Dirección declara un compromiso ilimitado con la seguridad de la información y fija unos objetivos generales. Esto lo hacen en la política.
  • El equipo de seguridad de la información planifica las tareas y actividades necesarias para alcanzar la conformidad con los requisitos, entre ellas, la gestión de riesgos.
  • Se identifican los riesgos de seguridad de la información.
  • Se diseñan e implementan las acciones de prevención, eliminación, mitigación, traslado o aceptación.
  • Se definen los controles que se utilizarán.
  • Se verifica la eficacia de las estrategias utilizadas.
  • Se aplican acciones correctivas sobre los resultados de la verificación.
  • Se revisa, inspecciona y audita el sistema y su funcionamiento.
  • Se aplican nuevas acciones correctivas y se reinicia el funcionamiento del sistema.

Qué organizaciones utilizan un sistema de gestión de seguridad de la información

El sistema de gestión de seguridad de la información sirve a organizaciones de todos los tamaños y sectores de cualquier país y de cualquier complejidad. Todas las empresas, por pequeñas que sean, deberían cuantificar los riesgos de seguridad de la información y gestionarlos adecuadamente.

La violación de la privacidad de los datos de terceros es un golpe demoledor del que pocas organizaciones logran reponerse. Sin embargo, es evidente que algunos sectores son más sensibles y, por ello, mucho más dependientes de la gestión de la seguridad de la información:

  • Sector sanitario.
  • Sector financiero.
  • Farmacéutico.
  • Organismos gubernamentales.
  • Entidades tributarias estatales.
  • Seguridad industrial y comercial.
  • Medios de comunicación.
Descubre los beneficios de un #SistemaDeGestión de #SeguridadDeLaInformación y conoce las mejores prácticas para su implementación. Compartir en X

Por qué implementar un sistema de gestión de seguridad de la información

La certificación de seguridad de la información confirma que la organización adopta las mejores prácticas para proteger su información y la de sus terceros y garantiza la integridad, confidencialidad e invulnerabilidad de sus datos. Esto es ya una razón para implementar un SGSI. Pero aún es posible mencionar otras de igual relevancia:

  • Elimina costes por incumplimiento de regulaciones como RGPD o por reclamaciones de terceros por la exposición indebida de sus datos.
  • Protege la reputación de la organización y genera confianza en clientes, proveedores, inversionistas y cualquier tercero que deba confiar su información y sus datos para establecer alguna relación comercial.
  • Facilita el acceso a mercados en los que es preciso demostrar la conformidad con estándares homólogos a RGPD, como HIPAAA o CCPA en América del Norte, por citar un ejemplo.
  • Garantiza la continuidad del negocio en condiciones de mínima operabilidad ante la ocurrencia de un evento disruptivo o ante la necesidad de interrumpir todas las comunicaciones por causa de una violación de datos.
  • Crea un marco de operación seguro en el que todos los niveles y departamentos de la organización saben que hay un respaldo de seguridad eficiente para resguardar la información y los datos, que es evaluado y auditado para verificar que no se han abierto brechas de seguridad.
  • Genera ventaja competitiva, sobre otras organizaciones de la misma industria que no han implementado un sistema de gestión de seguridad de la información o no lo han certificado.

Cómo implementar un sistema de gestión de seguridad de la información

El sistema de gestión de seguridad de la información más adoptado, implementado y certificado es el que se basa en la norma ISO 27001. La implementación de esta norma, al igual que muchas de las publicaciones de esta organización internacional, sigue un flujo de trabajo que lo marca la misma estructura del estándar.

1. Realizar un análisis de brechas

El análisis de brechas permite a la organización establecer qué le falta para alcanzar la conformidad con los requisitos de la norma, entendiendo que todas las empresas realizan acciones para proteger su información y la de sus terceros. Algunos elementos sobrevivirán y servirán para el nuevo SGSI.

2. Establecer el alcance del sistema

Puede ser para una determinada ubicación, para un país, para un departamento o área o puede ser total. Dependerá de aspectos como exigencias regulatorias, problemas que se hayan presentado, calidad y sensibilidad de los datos que se gestionen en una ubicación o en cada área, etc. Definir el alcance del sistema de gestión de seguridad de la información limita el área en la que el equipo tendrá que buscar riesgos y realizar otras tareas en el camino de implementación.

3. Identificar el contexto y los objetivos

El contexto, interno y externo, se define para que el equipo entienda a qué tipo de riesgos pueden enfrentarse en materia de seguridad de la información. De una acertada definición del contexto dependerá la calidad de los objetivos que se fijen para el sistema de gestión de seguridad de la información.

4. Realizar un inventario de activos

Los activos de información son los dispositivos, elementos o medios que almacenan, procesan o transmiten datos e información. Los activos tienen propietarios, que no siempre son empleados. Un activo puede pertenecer a un proceso que, a su vez, puede pertenecer a un empleado.

5. Identificar los riesgos

Si la tarea se ha hecho bien hasta aquí, los riesgos que se identifiquen serán los correctos, los más relevantes y los que merecen atención inmediata. La adecuada clasificación y gestión de activos de información y sus propietarios lleva a una identificación de riesgos completa, integral y útil para la gestión.

6. Diseñar e implementar las estrategias de gestión

Las estrategias de gestión se limitan a una de las siguientes opciones: eliminar, mitigar, trasladar, compartir o aceptar. En esta misma etapa se eligen los controles que se utilizarán para prevenir riesgos y se explica cuáles no se utilizarán y se explica el porqué.

7. Monitorear y revisar el funcionamiento del sistema

El equipo comprueba la eficacia de las estrategias de gestión de riesgos implementadas. En caso de evidencia de problemas subsistentes o ineficacia de la acción implementada se diseñan e implementan acciones correctivas.

8. Auditar el SGSI

La auditoría entrega información y evidencia confiable para garantizar que el sistema está listo para afrontar una auditoría de certificación. Las auditorías internas en seguridad de la información son el fin de un ciclo de operación del sistema y el inicio de uno nuevo. Es el punto de coyuntura que define la mejora continua, requisito esencial del sistema.

Mejores prácticas para implementar un sistema de gestión de seguridad de la información

Seguir la estructura de requisitos de ISO 27001 y conformar un equipo interdisciplinario que incluya empleados de áreas clave como TI y también expertos en el estándar, en seguridad de la información y en auditoría de sistemas de gestión es la primera entre las mejores prácticas para implementar el SGSI. Pero no es la única, otras que muestran gran eficacia son:

  • Crear una política que responda a las necesidades específicas y únicas de la organización. La política es la base de los objetivos, y los objetivos lo son para la gestión de riesgos. Por ello, la redacción de la política repercutirá en toda la estructura del sistema.
  • Identificar el contexto de forma integral y profesional: copiarlo de otra organización o tratar de adaptar uno importado no son buenas ideas. El contexto es único para cada organización y es preciso considerar la cultura de la organización, el marco regulatorio y los recursos tecnológicos disponibles, entre otros factores relevantes.
  • Implementar un software para automatización de la gestión es una estrategia que facilitará obtener el máximo potencial del sistema. La automatización facilitará la práctica de auditorías, las actividades de monitoreo y revisión y la entrega de informes en tiempo real.
  • Contar con profesionales formados en seguridad de la información, pero también en los requisitos de la norma ISO 27001 y en técnicas de auditoría interna.

Diplomado de Seguridad de la Información ISO/IEC 27001

El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa de la Escuela Europea de Excelencia diseñado para formar a profesionales expertos en la norma, en seguridad de la información y en auditoría interna de SGSI. El Diplomado se ofrece en la modalidad e-learning, los alumnos tienen acceso a un campus virtual en el que pueden interactuar con docentes y compañeros de estudio de todas las latitudes del mundo.

Además de la certificación propia del Diplomado y de la de auditores internos de gestión de seguridad de la información, los alumnos que superan el programa pueden aplicar al Certificado ERCA, que les permitirá trabajar en cualquier país de la Unión Europea o de América Latina. Si quieres ser uno de ellos, da el primer paso, contacta con nuestros asesores.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013