La implantación de un SGSI de acuerdo al estándar internacional ISO 27001:2013, supone para la organización, además del refuerzo de la seguridad de sus activos de información, la posibilidad de gestionarla más eficazmente y mejorar así todos los procesos de negocio. La seguridad total no existe, y por ello la implantación de un SGSI no significa que laa empresa sea completamente segura, sino que ha sido capaz de disminuir las probabilidades de que ocurran incidentes, y ha disminuido el impacto de la materialización de los mismos.

Estos son los beneficios fundamentales de implantar un SGSI de acuerdo al estándar:

  • A nivel organizativo-Compromiso: Se garantiza y demuestra la eficacia de los esfuerzos desarrollados para asegurar la organización. Facilita la integración con Sistemas de Gestión: ISO 9000 e ISO 14000.
  • A nivel legal-Conformidad con Requisitos Legales y Contractuales: Permite el cumplimiento de todas las normativas y leyes aplicables en el alcance, así como garantiza el cumplimiento de los contratos con terceras partes.
  • A nivel funcional-Gestión de Riesgos: Proporciona un mejor conocimiento de los sistemas de información, sus vulnerabilidades y los medios de protección. Garantiza la mejor disponibilidad de los activos de su organización.
  • A nivel comercial- Credibilidad y confianza: Los socios, accionistas, clientes pueden constatar la importancia que la organización concede a la protección de sus activos y a la información. La consecución de una certificación brinda una diferenciación sobre la competencia y el mercado. Algunas licitaciones ya comienzan a pedir un SGSI certificado.
  • A nivel financiero- Reducción de Costes: Relacionados con la resolución de incidentes no previstos de seguridad.
  • A nivel humano-Mejoras: Sensibilización del personal y aumenta responsabilidad en seguridad.

Implantación ISO 27001

El Instituto Científico de Gobierno Electrónico sigue los siguientes pasos para implantar en las empresas un SGSI:

  • Definir el alcance.
  • Crear un Comité de Seguridad y nombrar un Responsable del SGSI.
  • Analizar el contexto y la situación actual en el entorno de la Seguridad de la Información.
  • Análisis de vulnerabilidades a la infraestructura de los Sistemas de Información.
  • Análisis de Riesgos.
  • Definir un Plan de Continuidad de Negocio.
  • Procedimentar el Sistema de Gestión de Seguridad de la Información.
  • Definir indicadores y métricas que sirvan para identificar en cada momento el nivel de Seguridad.
  • Auditoría Interna una vez finalizado el proyecto.
  • Concienciar al personal interno.
  • Acompañamiento durante el proceso de Certificación (si procede).
  • Mantenimiento SGSI

Para realizar un mantenimiento de la implantación del SGSI, se llevará a cabo las siguientes tareas entre otras:

  1. Se revisarán los informes de auditoría internos y de seguimiento de tercera parte, así como los PAC generados.
  2. Se revisarán los cambios producidos en los procesos de negocio objeto del alcance.
  3. Se revisarán las incidencias del SGSI generadas.
  4. Se revisará la Política de Seguridad.
  5. Se revisará y actualizará el Análisis de Riesgos.

El Servicio

El servicio se compone de varias fases, que se pueden personalizar para satisfacer sus necesidades específicas:

  1. Se toma un tiempo significativo con su alta dirección en la Definición del Alcance que incluye plazos, responsabilidades y presupuesto para la aplicación.
  2. Se lleva a cabo un análisis de brechas de su organización vis-à-vis al estándar.
  3. A continuación, al equipo de SGSI se le da una breve Formación en Sensibilización de ISO27001 junto con sus responsabilidades y plazos.
  4. Se identifican sus activos críticos de información, posteriormente se clasifica y se crea un Inventario de Activos.
  5. Con la parte del “Qué” identificado, se realiza una evaluación integral de riesgos para identificar lo que puede ir mal con los activos y cómo afectará a su organización.
  6. En otra etapa se clasifican los riesgos y le ayudan a elaborar medidas y estrategias de Tratamiento de Riesgos.
  7. Con todos los datos en la mano, se crea entonces el conjunto de documentos SGSI. Sus insumos necesarios sólo para validar la misma.
  8. En el proceso se apoya a su equipo en la Implementación del SGSI desarrollado.
  9. Posteriormente se realizará la Capacitación del Usuario de todo el personal identificado en el Alcance de Responsabilidades específicas del SGSI.
  10. Después de un período de gestación razonable, se elabora una pre-evaluación de su configuración.
  11. Una vez confirmado que todos los controles están en su lugar, se le ayuda a obtener la certificación con los auditores externos (de su elección) para la ISO27001.

¿Qué es lo que obtiene?

  1. Políticas y procedimientos acordes con sus niveles de riesgo organzacional.
  2. Un documento conjunto completo SGSI.
  3. Entrenamiento de videos y materiales con su marca.
  4. Apoyo para Certificación
  5. Solución de GRC en línea

Seleccionar País:

Sector:

Acepto la política de privacidad de este sitio.

Inscribirme al Boletín de Noticias

[recaptcha size:compact]