Scribd Logo
Importer

Bienvenue sur Scribd !

  • 10 Pasos Sgsi

    Transféré par

    Kike Urrea Serna
    130 vues2 pages

    Titre original

    10 pasos sgsi

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    130 vues2 pages

    10 Pasos Sgsi

    Transféré par

    Kike Urrea Serna

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 2

    82

    Perspectiva Empresarial

    Las 10 claves de éxito


    para un SGSI
    EN ESTE ARTÍCULO PRESENTAMOS UN LISTADO DE LOS 10 ELEMENTOS CONSIDERADOS
    CLAVE PARA EL PROCESO DE LA IMPLEMENTACIÓN Y DEL MANTENIMIENTO DE UN SGSI
    CON ÉXITO

    factor clave para el proceso, una vez que

    Carlos A. Paulo se considere que toda la empresa puede


    Sáiz Barbosa no ser la mejor opción (coste, tiempo
    necesario, magnitud de los cambios), y
    SOCIO RESPONSABLE DEL CONSULTOR DE
    ÁREA DE IT COMPLIANCE SEGURIDAD DE LA por otro lado, focalizar demasiado suele
    Y SEGURIDAD INFORMACIÓN
    tornar el SGSI en un elemento de baja
    Écija Écija
    relevancia (o completamente irrelevante)
    a la empresa.

    2. Obtener el apoyo de la

    L
    as empresas cada vez tienen dirección
    más claro que necesitan
    Desarrollar un SGSI es Cambiar procesos antiguos, limitar
    soluciones en materia de
    seguridad duraderas, sostenibles y
    como crear una nueva los privilegios de acceso, responsabilizar
    a personas (formalmente) de la
    alineadas a los objetivos globales del
    negocio, seguramente cansadas de
    camada de gestión, seguridad de su información no suelen
    ser tareas simples. Cuando la propia
    invertir en controles puntuales o en compleja y que afecta identidad de la empresa y su cultura de
    las mejores prácticas de seguridad trabajo pueden ser cambiadas, los
    sugeridas por algún estudio reciente y horizontalmente al negocio directores y otros responsables del
    generalmente difíciles de justificar en negocio tienen que estar activamente
    una lógica de coste y beneficio. de una manera continuada involucrados. Tienen que dar a
    Una de las soluciones actualmente comprender que es la propia empresa
    más adoptadas por las empresas y más En este artículo presentamos un la que está cambiando, y que todos
    discutidas por los especialistas de listado de los 10 elementos forman parte de este proceso.
    seguridad, es el sistema de gestión de considerados clave para el proceso de
    seguridad de la información (SGSI), un la implementación y del 3. Alinear al negocio
    conjunto de procesos, políticas, mantenimiento de un SGSI con éxito. La seguridad de la información
    procedimientos, análisis y testes, existe para viabilizar negocios. La
    organizados de manera lógica y 1. Comprender qué es un SGSI principal misión del responsable de
    soportada por objetivos a nivel No es un software. No es un conjunto seguridad es alinear las actividades de
    estratégico, estructurados principalmente de documentos. Desarrollar un SGSI es seguridad con los objetivos globales
    por los requisitos presentados en la como crear una nueva camada de gestión, de la empresa, garantizando que los
    norma ISO 27001 – una de las compleja y que afecta horizontalmente al riesgos sean conocidos y que están
    principales referencias en el mundo de la negocio de una manera continuada. controlados adecuadamente conforme
    seguridad de la información. Comprender el alcance del sistema es un a una estrategia definida.

    nº 26  octubre 2008
    83
    Perspectiva Empresarial

    información de apoyo. Entretanto, la


    recomendación es buscar soluciones
    ideales para la empresa y sus
    particularidades. Ya que cada negocio
    es único, suelen haber requisitos
    específicos. Think out of the (ISO) box.

    9. Establecer métricas
    Parafraseando a Lord Kelvin, “No se
    puede gestionar lo que no se puede
    medir”. Así como ocurre con la
    operación, o la producción de la
    empresa, es necesario conocer el
    estado de la seguridad.
    ¿Cuántos riesgos hemos reducido en
    los últimos 6 meses? ¿En el último año?
    4. Conocer profundamente los
    riesgos
    Resulta fundamental tener ¿Cuál sería el impacto financiero si uno
    de esos escenarios ocurriera hoy?
    Invertir en medidas de seguridad sin una herramienta que ¿Cuánto hemos invertido en seguridad?
    antes conocer los riesgos es como ¿Las medidas fueron proporcionales a
    tomar una medicación sin antes saber genere todo o parte de esta las posibles pérdidas financieras,
    cuál es la enfermedad. Además, conocer operacionales y de reputación? Resulta
    las vulnerabilidades tecnológicas no es información a través de fundamental tener una herramienta que
    suficiente, una vez que la tecnología es genere todo o parte de esta
    un elemento de soporte al negocio, no
    cuadros de mando para la información a través de cuadros de
    su finalidad. Es necesario comprender lo mando para la toma de decisiones.
    que puede afectar a cada proceso de
    toma de decisiones
    negocio, y cuales son los impactos y 10. Seguridad como herramienta
    probabilidades de ocurrencia inherentes. diseño reduce el valor a invertir en de apoyo a la toma de decisiones
    comparación con medidas paliativas. Considerando que la seguridad de la
    5. Toda medida de seguridad información viabiliza negocios, alcanzar
    tiene que tener un porqué 7. Establecer procesos repetibles el nivel de apoyo a la toma de
    Toda inversión en seguridad debe El SGSI implementa el concepto decisiones es el “estado del arte” para
    ser justificada, por lo menos, en administrativo PDCA (Plan, Do, Check, la seguridad, beneficiando a los
    términos de coste y beneficio, o bien Act), así que muchos de los procesos responsables de la gestión del negocio
    por la reducción de un riesgo (valores de seguridad (análisis de riesgos, en cada nueva iniciativa presentándoles
    financieros son bienvenidos), o por auditorías, testes de procedimientos y los riesgos inherentes y las medidas
    cumplimiento legal o normativo. tecnologías, training, y muchos otros) necesarias (así como sus costes).
    serán repetibles de forma continuada.
    6. Unir los procesos de gestión Además, algunos procesos serán Un SGSI no es inviolable, no deja a
    Hay dos momentos en los que la ejecutados puntualmente, cuando haya la empresa inmune frente a los
    seguridad tiene que ser especialmente incidentes de seguridad, por ejemplo. incidentes de seguridad. Eso
    tenida en consideración: planificaciones probablemente nunca será posible. El
    y cambios. Anticipar los riesgos, tras su 8. Las ISO son la base, pero mi verdadero objeto del SGSI es organizar
    identificación y la aplicación de medidas empresa puede necesitar más las medidas de seguridad de acuerdo a
    adecuadas, reduce la probabilidad y/o La ISO 27001 establece los objetivos de negocio, reducir los
    el impacto de un incidente, que a su requisitos para un SGSI, la 27002 riesgos a niveles aceptables, gestionar
    vez reduce las pérdidas financieras y presenta los controles de seguridad esos riesgos, cambiando el escenario
    posibles pérdidas de imagen y recomendables. Un conjunto de nuevas actual donde la seguridad es un coste
    reputación. Los estudios revelan que ISO está en desarrollo en este y transformándola en una herramienta
    anticipar los cuidados de seguridad en momento, ofreciendo una cantidad para viabilizar negocios más seguros y
    la fase de planeamiento, cambio o cada vez mayor y más depurada de mejor gestionados.

    nº 26  octubre 2008

    Vous aimerez peut-être aussi