Sistema de gestión de seguridad de la información

Un Sistema de Gestión de Seguridad de la Información (SGSI) consta de políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una organización, con el fin de proteger sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los riesgos de forma eficaz. El análisis de los requisitos para la protección de los activos de información y la aplicación de los controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la implementación exitosa de un SGSI.

Los siguientes principios fundamentales también contribuyen a la implementación exitosa de un SGSI:

  • Conciencia de la necesidad de seguridad de la información.
  • Asignación de responsabilidad por la seguridad de la información.
  • Incorporar el compromiso de la gestión y los intereses de las partes interesadas.
  • Mejorar los valores sociales.
  • Evaluaciones de riesgo que determinan los controles apropiados para alcanzar niveles aceptables de riesgo.
  • La seguridad incorporada como elemento esencial de las redes y sistemas de información.
  • Prevención activa y detección de incidentes de seguridad de la información.
  • Asegurar un enfoque integral para la gestión de la seguridad de la información.
  • Reevaluación continua de la seguridad de la información y realización de modificaciones según corresponda.

Factores críticos de éxito del SGSI

Una gran cantidad de factores son fundamentales para la implementación exitosa de un SGSI para permitir que una organización cumpla con sus objetivos comerciales. Ejemplos de factores críticos de éxito incluyen los siguientes:

  • Política, objetivos y actividades de seguridad de la información alineados con los objetivos.
  • Un enfoque y marco para diseñar, implementar, monitorear, mantener y mejorar la seguridad de la información consistente con la cultura organizacional. 
  • Apoyo y compromiso visibles de todos los niveles de la dirección, especialmente la alta dirección.
  • Comprensión de los requisitos de protección de activos de información logrados mediante la aplicación de la gestión de riesgos de seguridad de la información (ver ISO / IEC 27005).
  • Un programa efectivo de sensibilización, capacitación y educación en seguridad de la información, informando a todos los empleados y otras partes relevantes de sus obligaciones de seguridad de la información establecidas en las políticas, estándares, etc. de seguridad de la información, y motivándolos a actuar en consecuencia.• Un proceso eficaz de gestión de incidentes de seguridad de la información.
  • Un enfoque eficaz de gestión de la continuidad del negocio.• Un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y sugerencias de retroalimentación para mejorar.