Sistema de gestión de la seguridad de la información

ENISA: Gestión de riesgo y actividades del SGSI.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) (en inglés: Information Security Management System, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001,[1]​ aunque no es la única normativa que utiliza este término o concepto.

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.

PDCAEditar

La ISO/IEC 27001 se basa en el conocido "Ciclo de Deming" Plan-Do-Check-Act (PDCA o PHVA) que significa "Planificar-Hacer-Verificar-Actuar" siendo este un enfoque de mejora continua:

  • Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
  • Do (hacer): es una fase que envuelve la implantación y operación de los controles.
  • Check (verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
  • Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.

Otros SGSIEditar

  • O-ISM3. El modelo de madurez de gestión de seguridad de la información de Open Group (O-ISM3) es el marco de Open Group para gestionar la seguridad de la información. Su objetivo es garantizar que los procesos de seguridad en cualquier organización se implementen para operar a un nivel consistente con los requisitos comerciales de esa organización. O-ISM3 define un número integral pero manejable de procesos de seguridad de la información suficiente para las necesidades de la mayoría de las organizaciones, con los controles de seguridad relevantes identificados dentro de cada proceso como un subconjunto esencial de ese proceso. El sitio web «O-ISM3».  indica que el proyecto examinó ISO 9000, COBIT, ITIL, ISO/IEC 27001:2013 y otras normas, y encontraron un potencial de mejora en varios campos, como vincular la seguridad con las necesidades comerciales, utilizando un enfoque basado en procesos, que proporciona algunos detalles adicionales (quién, qué, por qué) para la implementación y sugiere métricas específicas, al tiempo que preserva la compatibilidad con los estándares de gestión de seguridad y TI más populares.
  • SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
  • TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido

Otros marcos de trabajoEditar

  • En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad.
  • PRINCE2 es otro marco de trabajo de buenas prácticas, en este caso relacionadas con la gestión de proyectos, siendo ésta, ampliamente utilizada.

Véase tambiénEditar

ReferenciasEditar

  1. Cao Avellaneda, Javier (14 de febrero de 2011). «Medición de un SGSI: diseñando el cuadro de mandos (I)» (html). INCIBE. Archivado desde el original el 10 de marzo de 2020. Consultado el 9 de marzo de 2020. «Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables o deseados.» 

Enlaces externosEditar