Conocer los objetivos a alcanzar en un SGSI

Conoce los objetivos a alcanzar mediante la implantación de un SGSI en tu empresa

Para proteger nuestra empresa de las posibles amenazas y riesgos que puedan tener, es necesario conocerlos y afrontarlos de una manera adecuada y para ello, debemos establecer unos procedimientos adecuados e implementar controles de seguridad basados en la evaluación de los riesgos y en una medición de su eficacia.

Un Sistema de Gestión de Seguridad de la Información, basado en la norma UNEISO/IEC 27001, es una herramienta o metodología sencilla y de bajo coste que cualquier PYME puede utilizar. La norma le permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de su organización.

      1. Proteger los activos de información de entidad, frente a amenazas, internas y o externas, deliberadas o accidentales, como: accesos no autorizados, modificaciones no autorizadas pérdidas de información, ataques informáticos, virus, etc.
      2. Reducir los riesgos de errores humanos, de irregularidades, de fraude, de uso inadecuado y manejo no autorizado de la información.
      3. Mejorar continuamente la seguridad de la información de la entidad mediante la realización periódica de un análisis de riesgos que permita conocer y actualizar las amenazas y riesgos de los activos de información, para poder fortalecer los controles de seguridad implantados y o implementar nuevos controles.
      4. Gestionar de forma eficiente, eficaz y efectiva, los incidentes de seguridad para asegurar la prestación adecuada de los servicios y la continuidad del negocio.
      5. Asegurar que todo el personal de Red.es conozca las principales amenazas y riesgos en materia de seguridad de la información.
      6. Acatar los requerimientos legislativos y regulatorios en materia de seguridad de la información.

Descubra nuestro software para implantar un SGSI

Te lo contamos TODO!

¿Qué ventajas ofrece implantar un Sistema de Gestión de Seguridad de la Información a las empresas?

  • Confidencialidad de la información, que únicamente es accesible para aquellos que estén autorizados para ello.
  • Disponibilidad de la información y de sus activos asociados por parte de los usuarios autorizados cuando éstos lo requieran.
  • Integridad de la información para evitar que ésta sea modificada por usuarios no autorizados para ello.
  • Autenticidad de la información para garantizar que la información que se utilice sea auténtica.
  • Trazabilidad de la información para garantizar que se pueda rastrear a posteriori quién ha accedido o ha modificado ésta.
  • Elemento de diferenciación en el sector para la organización, como organismo prestador de servicios de confianza.
  • Precisión y completitud de la información y de sus métodos de cálculo.
  • Incremento del compromiso interno, dado que el sistema permite garantizar la eficacia de los esfuerzos desarrollados en materia de Gestión de Seguridad de la Información.
  • Garantía de la conformidad y el cumplimiento a las autoridades competentes de los aspectos referentes a la reglamentación y leyes aplicables, pudiendo evidenciarlo mediante registros.
  • Establecimiento de planes para la adecuada gestión de la continuidad del negocio.

Desde Fersoft ofrecemos a las empresas nuestra herramienta eIceberg Tools, una herramienta para facilitar la implantación y mantenimiento de un sistema de gestión de seguridad de la información (SGSI).

La herramienta incluye módulos específicos que permiten atender los diferentes requisitos de seguridad de la información de la organización, independientemente de si la organización se quiere certificar en ISO/IEC 27001, ya que desde Fersoft, entendemos que no hay mejores prácticas de seguridad para una empresa como las que plantea esta norma ISO.

  • Organización: Para la gestión del contexto y liderazgo de la organización.
  • Política de seguridad: Repositorio para el marco documental de seguridad de la información de la organización.
  • Análisis de riesgos: Para el análisis de los riesgos tecnológicos de la organización.
  • Gestión de incidentes: Para que la organización pueda gestionar los posibles incidentes de la información que pueda ocurrir.
  • Plan de tratamiento: Para que la organización pueda diseñar un plan de tratamiento de los riesgos identificados.
  • Competencia: Para que la organización pueda determinar la competencia necesaria de las personas de la organización, poner en marcha las acciones y conservar la información relativa.
  • Gestión de proyectos: Para que la organización, desde la propia herramienta, pueda llevar una gestión de los proyectos de seguridad derivados del plan de tratamiento.
  • Registros: Este módulo se encarga de registrar todas las actividades y acciones realizadas en el SGSI, para que haya evidencias de las mismas.
  • Evaluación: Para la revisión del propio SGSI por parte de dirección, así como de la monitorización de los eventos de los sistemas de información, auditorías y medición de la efectividad y eficiencia de los controles implantados.

Si quieres ampliar información, contacta con nosotros y te informaremos de todo.

 

Seguro que te interesan estas otras entradas: