¿Qué es el Sistema de Gestión de la Seguridad de la Información?

No hay duda. Cada proceso tecnológico de una compañÃa está expuesto a amenazas de seguridad y privacidad. Es cierto que las tecnologÃas más sofisticadas son capaces de combatir ciberataques, pero esto no resulta suficiente; por ello, las organizaciones deben instaurar polÃticas que minimicen aún más estos riesgos. Y aquà es donde el Sistema de Gestión de la Seguridad de la Información (ISMS por sus siglas en inglés) adquiere un papel muy importante.
¿De qué se trata un Sistema de Gestión de Seguridad de la Información?
Se trata de un marco de polÃticas y controles que administra sistemáticamente los riesgos a través de toda la empresa. Estos controles de seguridad pueden seguir estándares muy comunes o estar más enfocados en una industria en especÃfico.
Por ejemplo, la norma ISO 27001 es un conjunto de especificaciones que detallan cómo crear, gestionar e implementar polÃticas SGSI. Y aunque no establece acciones especÃficas, sà provee una lÃnea de trabajo para desarrollar estrategias adecuadas.
Objetivo: Protección de la confidencialidad, integridad y disponibilidad de la información.
El marco de referencia del SGSI usualmente está enfocado en la evaluación y administración de riesgos. Las organizaciones que operan en industrias sumamente reguladas, como salud y defensa nacional, requieren un alcance más amplio en cuanto a sus actividades de seguridad y su estrategia de mitigación.
¿Cómo se implementa un SGSI?
Según ISO 27001, el SGSI se implementa siguiendo el modelo PHVA (Planear-Hacer-Verificar-Actuar) para la mejora continua de los procesos:
- Planear: identificar el problema y recolectar información útil para evaluar los riesgos de seguridad. Definir las polÃticas y procesos que puedan ser usados para atender la causa raÃz del problema. Desarrolla métodos para establecer una mejora continua en las capacidades de gestión de la seguridad de la información.
- Hacer: implementar las polÃticas y procedimientos ya ideados. La implementación sigue los estándares ISO, aunque también se basa en los recursos disponibles en la compañÃa.
- Verificar: monitorear la efectividad de las polÃticas y controles del SGSI. Evaluar los resultados tangibles, asà como los aspectos de comportamientos asociados con los procesos del sistema.
- Actuar: enfocarse en la mejora continua. Documentar los resultados, compartir el conocimiento y usar el ciclo de retroalimentación para lidiar con la implementación de las polÃticas y controles del SGSI a través del modelo PHVA.

También lee: Las ventajas y desventajas de una polÃtica BYOD
Beneficios de un SGSI
- Asegura la información en todas sus formas, sin importar que se encuentre en formato fÃsico o en la nube.
- Incrementa la resiliencia ante ciberataques gracias la implementación y mantenimiento del sistema.
- Gestiona toda la información a través de un marco central para mantener segura y en un solo lugar la información de una compañÃa.
- Responde ante distintas amenazas adaptándose a los cambios del entorno y dentro de una organización. El SGSI protege contra los riesgos en constante evolución.
- Reduce costos asociados con la seguridad de la información gracias a la evaluación de riesgos y el acercamiento analÃtico. Los gastos asociados con la adición indiscriminada de capas de tecnologÃa defensiva ya no son necesarios.
- Protege la confidencialidad, disponibilidad e integridad de los datos por medio de un conjunto de prácticas procedimientos y controles fÃsicos y técnicos que garantizan lo anterior.
- Mejora la cultura corporativa, pues el acercamiento holÃstico del SGSI cubre toda la organización, no solo TI. Esto permite que los colaboradores entiendan los riesgos y adopten los controles de seguridad como parte de su dÃa a dÃa.
También lee: Qué es la seguridad por capas y cómo se compone
Si te interesa conocer las herramientas que puedes implementar para fortalecer tu estrategia de seguridad actual y además alinearte a las mejores prácticas de un Sistema de Gestión, en icorp podemos ayudarte.
Fuentes: IT Governance UK, BMC, ISMS.online