Con la implantación de un Sistema de Gestión de Seguridad de la Información, la organización consigue garantizar el cumplimiento de los requisitos de seguridad de la información, siguiendo las buenas prácticas marcadas por la norma ISO/IEC 27001, sin la necesidad de estar certificado.
El desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios, a la vez que ha aumentado los riesgos de las empresas ya que se exponen a nuevas amenazas y, desafortunadamente, es relativamente fácil tener acceso a las herramientas que permiten a personas no autorizadas llegar hasta la información protegida con poco esfuerzo y conocimientos, causando graves perjuicios para la empresa.
Para poder trabajar en un entorno de la forma más segura posible, podríamos asegurar nuestros datos e información de valor con la ayuda de un Sistema de Gestión de Seguridad de la Información (SGSI).
El propósito de un Sistema de Gestión de Seguridad de la Información (SGSI) es garantizar que los riesgos que conlleva son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y, adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) es una decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada y dirigida desde la dirección.
Para poder llevar a cabo la implantación es necesario que la empresa cuente con una estructura organizativa y de los recursos necesarios y además, es bueno contar con la ayuda de una empresa especializada que nos asesore durante todo el proceso.
El tiempo de implantación del sistema de gestión de seguridad de la información varía en función de cada empresa pero normalmente, el tiempo estimado es de entre seis meses y un año.
La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) comienza con su correcto diseño. Para ello deberemos definir cuatro aspectos fundamentales. Primero, el alcance del sistema. Segundo, la Política de Seguridad a seguir. Tercero, la organización de la seguridad. Y cuarto, los programas de concienciación y formación del personal.
En Fersoft hemos desarrollado la herramienta eIceberg Tools para ayudar a las empresas en la implantación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI).
La herramienta incluye módulos específicos que permiten atender los diferentes requisitos de seguridad de la información de la organización, independiente-mente, de si la organización se quiere certificar en ISO/IEC 27001, ya que desde Fersoft, entendemos que no hay mejores prácticas de seguridad para una empresa como las que plantea esta norma ISO.
Los módulos con los que cuenta la herramienta son:
Organización.
Para la gestión del contexto y liderazgo de la organización.
Política de Seguridad.
Repositorio para el marco documental de seguridad de la información de la organización.
Análisis de Riesgos.
Para el análisis de los riesgos tecnológicos de la organización.
Gestión de Incidentes.
Para que la organización pueda gestionar los posibles incidentes de la información que pueda ocurrir.
Plan de Tratamiento.
Para que la organización pueda diseñar un plan de tratamiento de los riesgos identificados.
Competencia.
Para que la organización pueda determinar la competencia necesaria de las personas de la organización, poner en marcha las acciones y conservar la información relativa.
Gestión de Proyectos.
Para que la organización, desde la propia herramienta, pueda llevar una gestión de los proyectos de seguridad derivados del plan de tratamiento.
Registros.
Este módulo se encarga de registrar todas las actividades y acciones realizadas en el SGSI, para que haya evidencias de las mismas.
Evaluación.
Para la revisión del propio SGSI por parte de dirección, así como de la monitorización de los eventos de los sistemas de información, auditorias y medición de la efectividad y eficiencia de los controles implantados.
Si quieres implantar un Sistema de Gestión de Seguridad de la Información en tu empresa, contacta con nosotros y nuestro equipo le asesorará e informará de todo sin compromiso.
