Protección de Datos Puntos Fundamentales

En la actualidad son muchos los factores a tener

en cuenta en lo relativo a la gestión de la

seguridad de la información (SGSI), un aspecto

que día a día va adquiriendo más protagonismo,

convirtiéndose en uno de los principales activos

de cualquier organización.

Los planes de contingencia y de continuidad de

negocio cobran especial relevancia a la hora de

abordar cualquier proyecto TIC. Ya son muchos y

muy frecuentes los escenarios donde la pérdida

de información puede ocasionar daños

importantes en los desarrollos corporativos.

La implantación de Sistemas de Gestión de

Seguridad de la Información (SGSI) según los

estándares de la Norma ISO/IEC 27001:2005

facilita a la empresa los instrumentos

necesarios y más eficaces para asegurar la

protección de la información susceptible de

intercepciones no autorizadas y salvaguardar

la exactitud e integridad de sus activos.

Sistema de Gestión de la Seguridad de la Información

ISO/IEC 27001:2005

2 de 5

Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005

La Norma ISO/IEC 27001:2005 es una norma

de carácter internacional que se utiliza como

referencia para el desarrollo de un Sistema de

Gestión de Seguridad de la Información

(SGSI).

Puede ser auditada por un organismo externo

(Bureau Veritas Certificación, DNV, SGS, etc.)

y, por tanto, certificada como prueba de

compromiso asumido por la Dirección y por el

Personal de la organización.

De forma resumida, un Sistema de gestión de

Seguridad de la Información (SGSI) consiste en

un conjunto de:

>>>> Estructura Organizativa

>>>> Activos físicos (hard y soft)

>>>> Conocimiento

>>>> Procedimientos

>>>> Recursos Humanos

Puestos a disposición por la Dirección de la

empresa con el único objetivo de asegurar la

confidencialidad, disponibilidad e integridad

de la información y los datos existentes.

Se trata de asegurar los siguientes requisitos:

>>>> Garantizar la confidencialidad,

integridad y disponibilidad de la

información a todos los niveles.

>>>> Reducir los riesgos a niveles

aceptables.

>>>> Cumplir con las Leyes y

Reglamentaciones vigentes (UE,

Estatales, Autonómicas, Locales).

OBJETIVOS DE NUESTROS PROYECTOS DE IMPLANTACIÓN DE UN SGSI

>>>> Definir e implementar un Sistema de

Gestión de Seguridad de la

Información, basado en los requisitos

de la norma ISO/IEC 27001:2005, y

obtener la Certificación por un

organismo acreditado.

>>>> Implantar un método óptimo de

Organizar la Seguridad de la

Información en todos los ámbitos de

la empresa, incluido software,

hardware, así como el área de

desarrollo, incluyendo instalaciones

físicas, personal y estaciones de

trabajo, así como Centro de

Procesamiento de Datos (CPD) en el

caso de que existiera en la entidad.

¿QUÉ ES UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN?

¿QUÉ ES LA NORMA ISO/IEC 27001:2005?

3 de 5

Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005

VENTAJAS DE LA IMPLANTACIÓN DE UN SGSI

A nivel interno:

>>>> Mejorar la organización y asignación

de responsabilidades en lo relativo a

la seguridad de la información en la

empresa.

>>>> Permite documentar y estandarizar

las actividades referentes a la gestión

de la seguridad de la información.

>>>> Disminuir el riesgo derivado de

posibles usos de información

confidencial por parte de personal

ajeno.

>>>> Conseguir un Sistema que aprenda de

los errores y evolucione de manera

constante.

>>>> Involucrar al personal como parte

activa y creativa en el proyecto.

>>>> Aumentar la rentabilidad a medio y

corto plazo, al disminuir la

probabilidad de pérdidas y fugas en

el sistema de información de la

entidad.

A nivel externo:

>>>> Mayor estabilidad y posicionamiento

en su mercado debido a que se puede

prever que la certificación será casi

una obligación para cualquier

empresa que desee competir.

>>>> Evitar la apertura de brechas de

seguridad al interrelacionar sistemas

de clientes, control de stock,

facturación, pedidos, productos, etc.

entre diferentes organizaciones.

>>>> Mejora de la Imagen Corporativa.

>>>> Establecer un Lenguaje común entre

clientes. Proveedores y terceras

partes.

El proceso de implantación de un Sistema de

Gestión de la Seguridad de la Información

pasa por las siguientes fases:

FASE 1. Estudio de objetivos,

requerimientos y necesidades de seguridad.

Identificación de los objetivos y

requerimientos de seguridad del Sistema de

Información de la Organización. Inventariado

de los activos de la Organización.

¿CÓMO IMPLANTAR UN SGSI?

4 de 5

Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005

FASE 2 - Análisis de riesgos. Identificación de

las vulnerabilidades y amenazas de seguridad

de la información que recaen sobre los

servicios, procesos y activos de la

Organización, así como la probabilidad e

impacto de materialización de dichas

amenazas. El análisis exhaustivo de los riesgos

de seguridad de la información será la piedra

angular para orientar adecuadamente el

enfoque del SGSI.

FASE 3 - Selección de objetivos de control y

controles. Selección de los controles

necesarios para tratar los riesgos detectados

en la FASE 2, y documentar esta selección en

un plan de tratamiento del riesgo, documento

fundamental de un SGSI y como tal exigido

por la norma ISO/IEC 27001:2005. Este plan

de tratamiento del riesgo se verá

complementado y ampliado con el desarrollo

de un plan director de seguridad en la FASE 7.

FASE 4 - Formalización del SGSI.

Documentación de todas las políticas,

programas y procedimientos del SGSI exigidos

por la norma ISO/IEC 27001:2005 y necesarios

para gestionar los riesgos de seguridad de la

información de la Organización.

FASE 5 - Plan de implementación de

controles. Identificación del grado de

desviación entre la situación deseada para los

controles y procesos del SGSI y la situación

actual de madurez de la Organización a este

respecto. Desarrollo de un plan director de

seguridad de la información.

FASE 6 - Auditoría interna del SGSI.

Ejecución de una auditoría interna del SGSI

después de su implantación, Los resultados de

esta auditoría son registros exigidos como

evidencia por la norma ISO/IEC 27001:2005,

además de ser una entrada fundamental para

la revisión del SGSI por la Dirección.

FASE 7 - Auditoría externa de certificación.

Certificación del SGSI por un organismo

externo acreditado por la UKAS, resolución de

las posibles no conformidades detectadas.

Magerit es una de las metodologías de Análisis

y Gestión de Riesgos de los Sistemas de

Información. Frente a otras metodologías,

Magerit ha sido desarrollada 100% por

expertos españoles en SGSI y próximamente

será traducida a numerosos idiomas en por su

óptimos resultados en su aplicación.

MAGERIT: METODOLOGÍA PARA LA IMPLANTACIÓN DE UN SGSI

5 de 5

Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005

Los objetivos de Magerit son:

>>>> Ofrecer un método sistemático para

analizar los riesgos que puedan

afectar al Sistema de Información.

>>>> Dar soporte para descubrir y

planificar las medidas oportunas para

mantener los riesgos bajo control.

>>>> Apoyar a la organización en procesos

de evaluación, auditoría certificación

>>>> Concienciar a los responsables de los

Sistemas de Información de la

existencia de riesgos y la necesidad

de atajarlos a tiempo.

>>>> La duración aproximada hasta lograr

la certificación es de entre 6 y 9

meses.

>>>> El desarrollo del Proyecto incluye

tramitación y seguimiento de las

correspondientes Subvenciones, las

cuales llegan a cubrir la implantación

y certificación.

ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones

Instituto Nacional de Tecnologías de la Información

Asociación Española para el Fomento de la Seguridad de la Información

Socios de Asociación Andaluza de Comercio Electrónico

Socio fundador del comité de Andalucía de ITSMF (Information Technology Service Management Forum)

www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es

CONSIDERACIONES FINALES

www.ascendiarc.com - info@ascendiarc.com Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla

T. 954 298 201 - 902 111 024 F. 954 629 674