SEGURIDAD INFORMATICA

FORO SEMANA 2

SEGURIDAD EN LAS ORGANIZACIONES

IVAN DARIO SIERRA RIOS

¿Qué beneficios le trae a una organización implementar metodologías de seguridad para proteger los activos de información?

R. Proteger la información de nuestro negocio,

Certificación ISO 27001 define como implantar un Sistema de Gestión de Seguridad de la información que aporta a la Organización interesantes beneficios:

Ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre otras, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), Propiedad Intelectual, etc.

• Aporta a la empresa un valor añadido, dando a nuestros clientes una mayor credibilidad, ya que contar con esta certificación, asegura que tenemos un proceso adecuado para la gestión de la información.

• Ofrece una metodología para llevar a cabo un Análisis y Gestión de Riesgos.

• Garantiza la implantación de medidas de seguridad consistente, eficiente y apropiada al valor de la información protegida.

• Contempla planes de contingencia ante cualquier tipo de incidencia (pérdidas de datos, incendio, robo, terrorismo, etc.)

• Puede ser utilizada como herramienta de diferenciación frente a la competencia.

• Mejora la concienciación del personal en todo lo que se refiere a la seguridad y a sus responsabilidades dentro de la organización.

El desarrollo de las nuevas tecnologías hace que el tratamiento de la información haya dado un cambio importante en la cultura empresarial y obliga a extremar las precauciones para garantizar:

• La confidencialidad: Evitar que la información esté a disposición de individuos, entidades o procesos que no tienen autorización.

• La disponibilidad: Asegurar que la información sea accesible cuando sea necesario.

• La integridad: Mantener la información exacta y completa.

Contar con un SGSI ayudará a la Dirección de nuestra empresa a decidir qué políticas y objetivos de seguridad deben establecerse y nos permitirá crear mecanismos que nos ayuden a proteger la información y los sistemas que los procesan.

Para implementar un SGSI conforme a la norma ISO 27001 se deberá establecer un ciclo continuo 'PDCA' como el utilizado en los sistemas de calidad:

• Planificar: Establecer el Sistema de Gestión, su alcance y objetivos. En esta fase deberá definirse la política de seguridad de la organización y la metodología para la evaluación de los riesgos que utilizaremos en nuestro Sistema. Posteriormente, deberán identificarse los riesgos que nuestros activos tienen, evaluando las amenazas y vulnerabilidades que estos pudieran tener y los impactos que tendría el negocio ante una pérdida de confidencialidad, integridad o disponibilidad.

Una vez analizados los riesgos y determinadas qué situaciones no son aceptables para la empresa, se establecerá un plan para tratar y mitigar los riesgos no aceptables. Para ello, se aplicarán los controles oportunos. Deberán seleccionarse los objetivos de control y controles del anexo A de la norma ISO 27001 que serán utilizados para el tratamiento de los riesgos y serán recogidos en una declaración de aplicabilidad.

• Do: Hacer, implementar y utilizar el Sistema de Gestión, sus controles de seguridad y sus exigencias normativas.

En esta fase deberá establecerse un plan para la gestión de los riesgos que incluya su oportuna planificación y desglose de responsabilidades y organización de los proyectos.

Además deberán definirse los indicadores que ayuden a la organización a conocer la eficacia y eficiencia de las acciones llevadas a cabo para la mitigación de los riesgos.

Se concienciará y formará a todos las personas y se implantarán

...