SGSI – Gestione y proteja los datos corporativos con un Sistema de Gestión de Seguridad de la Información

¿Qué es un SGSI?

SGSI es un Sistema de Gestión de Seguridad de la Información (Information Security Management System, por sus siglas en inglés). Un SGSI es un conjunto de principios o procedimientos que se utilizan para identificar riesgos y definir los pasos de mitigación de riesgos que deben llevarse a cabo. Éste garantiza que las empresas tomen medidas sistemáticamente para mantener seguros los datos y la información; puede ser cualquier tipo de información, como datos de clientes, procesos internos o detalles de pago.

Las organizaciones generan confianza, evitan riesgos y ayudan al cumplimiento a través de la implementación de un SGSI. Nosotros ofrecemos una sencilla forma de integrar los procesos de SGSI.

La norma ISO/IEC 27001 guía la implementación del SGSI

¿Cuáles son los componentes básicos de un SGSI según la norma ISO/IEC 27001?

ISO/IEC 27001 es la norma internacional que define cuáles deben ser los componentes de un sistema de gestión de seguridad de la información y cómo deben utilizarse. Los estándares describen las medidas de protección de seguridad de la información que deben considerarse para fines de planeación, llamados controles. A partir de ahí, la norma ISO/IEC 27001 sugiere cómo hacer operativo el sistema y revisar su desempeño a lo largo del tiempo.

SGSI no es solo seguridad de TI.

Es importante señalar que la norma ISO/IEC 27001 aborda la seguridad de la información desde una perspectiva holística; no se centra solo en la seguridad informática. En total, el marco recomienda más de 100 controles para proteger los activos de información, principalmente los procesos y la información de la organización. Estos están organizados en 14 “conjuntos de control” o grupos, como Seguridad de Recursos Humanos, Gestión de Activos o Seguridad Física y Ambiental.

¿Qué son controles SGSI?

Los controles son los pasos que se toman para mitigar los riesgos de los datos del negocio y los activos de información. Estos suelen ser iniciados por los requerimientos de ISO/IEC 27001, pero también pueden ser impulsados por un acuerdo contractual, regulaciones legales o incluso otro control. Algunos ejemplos de control pueden incluir:

  1. Una política que requiere el uso de una VPN,
  2. Tener tarjetas de acceso de seguridad para ingresar a un edificio,
  3. El uso de un software antivirus.

¿Cómo implementar un SGSI?

La norma ISO/IEC 27001 es un marco flexible de gestión de la seguridad de la información (GSI) que pueden utilizar empresas de todos los tamaños a medida que examinan las operaciones, protegen los activos de información y trabajan para mejorar la gestión de la seguridad de la información a través de un SGSI. A un nivel muy alto, los pasos incluyen:

1. Crear políticas: una política de seguridad de la información, una Declaración de Aplicabilidad (SoA por sus siglas en inglés) y un Plan de Tratamiento de Riesgos (RTP por sus siglas en inglés).
2. Definir el alcance del SGSI.
¿Qué cubre el SGSI?
3. Establecer un método para identificar riesgos.
4. Comenzar a evaluar qué riesgos son aplicables a su negocio.
5. Evaluar y definir controles relacionados con estos riesgos.
6. Documentar y realizar un seguimiento de los esfuerzos de mitigación.
7. Realizar revisiones y reevaluaciones continuas.
Previous slide
Next slide

Si bien la norma ISO/IEC 27001 ofrece orientación, las empresas son libres de determinar el alcance del SGSI, su método de identificación de riesgos y qué controles administrar para que puedan proteger mejor los datos del negocio.

¿Cómo un SGSI mantiene seguros los datos de la empresa?

La implementación de un sistema de gestión de seguridad de la información agrega estructura a la planeación de la seguridad y los esfuerzos de mitigación de riesgos. Sin tener la estructura en su lugar, las organizaciones a menudo identifican un riesgo, lo abordan en el momento y pasan al siguiente incendio. Esto conduce a ineficiencias, desinformación y vulnerabilidades no identificadas.

Con un SGSI, las empresas tienen la intención de:

  1. Identificar posibles amenazas y vulnerabilidades,
  2. Analizar cómo evitar estos riesgos,
  3. Tomar medidas proactivas para mitigar estos riesgos, y
  4. Revisar constantemente las acciones planificadas para asegurarse de que se alinean con el trabajo moderno.

Existen menos brechas, las partes interesadas comprenden la naturaleza crítica de la seguridad de la información y la Gerencia tiene una visión general de cuán bien protegida está la empresa.

La diferencia entre ISO/IEC 27001, HIPPA, GDPR, LGPD, TISAX o CCPA

Si bien no son todos iguales, requieren una gestión similar.

La norma ISO/IEC 27001 es un estándar que tiene una visión amplia de la postura de seguridad general de la empresa y los pasos que existen para mantener la seguridad de los datos y la información. Ayuda a las empresas a implementar un SGSI para que puedan estructurar, documentar y cumplir con sus propias medidas de seguridad, identificadas de forma independiente, en función de los controles sugeridos.

Algunas empresas, dependiendo de su ubicación o industria, también deberían cumplir con regulaciones de protección de datos legalmente vinculantes, como HIPPA, GDPR, LGPD, TISAX o CCPA. Cada uno de éstas describe las medidas de seguridad que deben tomar las empresas para seguir operando. Al igual que los controles identificados por la norma ISO/IEC 27001, se debe realizar un seguimiento de todos los requisitos de estas regulaciones, documentar los pasos de acción y realizar revisiones en curso.

¿Qué sucede cuando fallan los esfuerzos de mitigación de la seguridad de la información?

Un SGSI es el punto de partida para definir, documentar y mejorar los esfuerzos de seguridad de la información. Por supuesto, ningún sistema es 100% a prueba de fallas, por lo que parte de su SGSI debe definir los pasos de mitigación para cuando ocurra un incidente.

  • ¿Qué procesos de respuesta de seguridad existen?
  • ¿Cómo se manejarán estos?
  • ¿Qué notificaciones y escalaciones se requieren?
  • ¿Pueden y deben ser automatizadas?
  • ¿En qué sistemas: un SOAR, una herramienta ITSM o en el software SGSI?
  • ¿Cuál es el procedimiento y cuáles son los requisitos de control de acceso para entregar un incidente de un equipo a otro?

¿Qué es el software SGSI?

Si bien la norma ISO/IEC 27001 describe los controles y las consideraciones de implementación, no especifica exactamente cómo debe hacerse. Algunas empresas comienzan rastreando sus controles en una hoja de cálculo; lo que rápidamente se vuelve abrumador: cada control puede terminar convirtiéndose prácticamente en un mini-proyecto con sus propios requisitos de documentación, necesidades de estado, necesidades de entrenamiento de GSI, etc.

isms-software-stoppt-chaos-vorher
isms-software-stoppt-chaos-nachher
El software SGSI detiene el caos.

Con un SGSI, cada control se gestiona en su propio objeto de negocio. Toda la comunicación que rodea a un control, incluidos los documentos requeridos, se rastrea dentro de este objeto de negocio centralizado, lo que da como resultado:

La gestión del control es fácil porque cada actualización de la documentación de control está organizada y se marca su fecha y hora.

Las notificaciones sobre los requerimientos se pueden activar automáticamente, lo que permite que todos sepan cuándo un control necesita atención.

Los flujos de trabajo automatizados pueden acelerar las tareas, como la búsqueda de aprobaciones.

Las consideraciones de seguridad y las opciones de control de acceso que se incorporan en un SGSI garantizan que la comunicación entre todas las partes, internas o externas, sea siempre segura y estructurada.

Todo el proceso de gestión de riesgos se vuelve más rápido y el mantenimiento de registros siempre está actualizado, lo que significa que está listo para una auditoría.

Certificación ISO 27001

El uso de un sistema de gestión de seguridad de la información como se describe en la norma ISO 27001 es importante para las empresas porque demuestra a sus socios, clientes y otras partes interesadas que la organización identifica, gestiona y mitiga los riesgos de forma sistemática; lo que genera confianza.

Para verificar aún más la implementación exitosa y el uso de la norma ISO/IEC 27001 y un SGSI, las empresas a menudo buscan la certificación ISO 27001. Los organismos de certificación o registro aprobados revisan el SGSI para asegurarse de que existan los documentos esenciales (Etapa 1), que el SGSI esté configurado y supervisado correctamente (Etapa 2) y que la empresa continúe con sus esfuerzos para proteger los activos de información (Revisión continua).

El interés en lograr la certificación es otra razón por la que el software SGSI es útil. Los auditores pueden encontrar rápidamente el estado y la información necesaria sobre cada control, ahorrando tiempo durante el proceso, tanto al auditor como a su equipo de seguridad.

Conozca más sobre la posibilidad de integrar los procesos de SGSI en su empresa.
Boletín OTRS

Más información sobre características de productos, consejos interesantes y eventos en el boletín de la OTRS.

Utilizamos Keap. Protección de datos