CIBERSEGURIDAD

CARLOS ERNESTO GOMEZ RODRIGUEZ

CIBERCEGURIDAD SENA

Es el estándar internacional para la seguridad de la información que establece la especificación para un sistema de gestión de seguridad de la información (SGSI).

Sistema de gestión de Seguridad de la Info

Para la implantación de un sistema de gestión de la seguridad de la información, se requiere del desarrollo de actividades que marquen un orden lógico para llevar organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su equivalencia en español es planificar, hacer, verificar y actuar (PHVA), es una estrategia de mejora continua de calidad en cuatro pasos.

1 ISO IEC 27001

2 Plan de gestión de un SGSI

La ISO 27001, expresa que un Sistema de Gestión de la Seguridad de la información, es un sistema de gestión que comprende la política, estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.

3 Alcance del SGSI

Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de empleados, volumen de información manejada, número de clientes, volúmenes de activos físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario determinar qué áreas o dependencias de la organización se desea implantar el SGSI como primera medida y cuales posteriormente.

4 Política de seguridad

Contempla todos los aspectos orientados al acceso a la información, utilización de los activos físicos y lógicos de la organización y el comportamiento que debe hacer en caso de que ocurra un incidente de seguridad.

5 Diseño del SGSI

Abarca todos los aspectos de planeación y trazado de la ruta a seguir para la implantación del SGSI en la organización.

6 Auditoria al SGSI

Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección. El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización. Se debe estipular un coordinador del equipo auditor. Las auditorías se deben orientar hacia la correcta implantación de los 14 dominios, 35 objetivos de control y 114 controles de seguridad implementados. Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna. Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI. De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas. Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección. El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización. Se debe estipular un coordinador del equipo auditor. Las auditorías se deben orientar hacia la correcta implantación de los 14 dominios, 35 objetivos de control y 114 controles de seguridad implementados. Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna. Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI. De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas.

7 Implementación SGSI (N.ISO 27001)

Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su información, sino, cuando ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que, para ello, requerirá del uso de la Tecnología de la información y las comunicaciones para lograrlo.  La seguridad de la información es un compromiso de todos en una organización.