Manteniendo y mejorando nuestro SGSI

Tecnología y Sentido Común es la Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

Introducción

La decisión de implantar un Sistema de Gestión de Seguridad de la Información (SGSI) es una decisión estratégica para cualquier organización. El éxito de la implantación del sistema y de su funcionamiento dependerá de, entre otras cosas, la implicación por parte de Dirección.

Tan importante es el proyecto de implantación del SGSI como lo es su mantenimiento, ya que no tendría ningún sentido montar un sistema de gestión solo para conseguir el ”sello” de la certificación. La certificación y obtención de una Norma ISO como la 27001 tiene que ser una consecuencia de una correcta implantación del sistema y de su mantenimiento. En este artículo hablaremos sobre algunas recomendaciones para mantener correctamente un SGSI y de cómo mejorarlo.

Ya tenemos el sistema implantado, ¿y ahora qué?

La implantación del SGSI deberá tener en cuenta los procesos principales para la gestión de la seguridad de la información, como puede ser la gestión de riesgos, bastionado de los sistemas, control de accesos, gestión de vulnerabilidades o las auditorías, por nombrar solo algunas.

Pero no hay que olvidar que un sistema de gestión, como su nombre indica, utiliza la sistematización de los procesos para conseguir la máxima eficacia y rendimiento del sistema. Esto significa que, durante el proyecto de implantación, también se deberá tener en cuenta la implantación de herramientas que permitan monitorizar, controlar y medir la efectividad de todos los procesos y del desempeño en general del SGSI.

El objetivo de este seguimiento y medición es poder garantizar que se alcanzan los objetivos marcados en el SGSI, y que se tuvieron en cuenta a la hora de decidir la implantación de un sistema de este tipo en la organización.

Concretamente, la medición nos permitirá mejorar continuamente el sistema de gestión, a través de la detección de posibles errores, desvíos y oportunidades de mejora, ya que, como se suele decir, “no podemos mejorar lo que no se mide”. Siendo exigentes y siguiendo estas buenas prácticas de los diferentes estándares podremos alcanzar (o acercarnos) a la excelencia.

Imaginemos que hemos finalizado el proyecto de implantación del SGSI en la organización, realizando las siguientes actividades:

  • Elaboración de políticas, procedimientos y guías de seguridad.
  • Evaluación de riesgos y plan de tratamiento.
  • Implantación de medidas de seguridad.
  • Registro de actividades.
  • Recopilación de evidencias.
  • Auditoría interna.
  • Acciones correctivas.
  • Acciones de mejora.

Continuar leyendo…

Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad