martes, 3 de junio de 2014

Sistema de Gestión de Seguridad de la Información

Un Sistema de Gestión de la seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información. 

El término es utilizado principalmente por la  norma ISO 17799 y por la norma ISO/IEC 27001.

En la página de INTECO se presentan 12 videos que ayudan a conocer sobre el tema, le comparto el primero.
 


"SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.

Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.

Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, etc.) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, etc.).

Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir.

En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente."

La seguridad de la información debe ser un compromiso de todos en cada organización, lo mejor es prepararse.
 


Le sugiero descargar la  Norma ISO 17799, la utilizo con mis estudiantes al desarrollar el tema Seguridad




1 comentario:

  1. En el ambiente dinámico de la Tecnología de la Información y Comunicación, la gestión de riesgos en una organización implica, entre otras cosas, una constante actualización y monitoreo para enfrentar los riesgos con posibilidades razonables de éxito.
    Los mismos principios deberían ser aplicados a la situación personal, donde es importante proteger la información que se genera.

    ResponderEliminar