La implantación de un SGSI de acuerdo al estándar internacional ISO 27001:2013, supone para la organización, además del refuerzo de la seguridad de sus activos de información, la posibilidad de gestionarla más eficazmente y mejorar así todos los procesos de negocio. La seguridad total no existe, y por ello la implantación de un SGSI no significa que laa empresa sea completamente segura, sino que ha sido capaz de disminuir las probabilidades de que ocurran incidentes, y ha disminuido el impacto de la materialización de los mismos.
Estos son los beneficios fundamentales de implantar un SGSI de acuerdo al estándar:
- A nivel organizativo-Compromiso: Se garantiza y demuestra la eficacia de los esfuerzos desarrollados para asegurar la organización. Facilita la integración con Sistemas de Gestión: ISO 9000 e ISO 14000.
- A nivel legal-Conformidad con Requisitos Legales y Contractuales: Permite el cumplimiento de todas las normativas y leyes aplicables en el alcance, así como garantiza el cumplimiento de los contratos con terceras partes.
- A nivel funcional-Gestión de Riesgos: Proporciona un mejor conocimiento de los sistemas de información, sus vulnerabilidades y los medios de protección. Garantiza la mejor disponibilidad de los activos de su organización.
- A nivel comercial- Credibilidad y confianza: Los socios, accionistas, clientes pueden constatar la importancia que la organización concede a la protección de sus activos y a la información. La consecución de una certificación brinda una diferenciación sobre la competencia y el mercado. Algunas licitaciones ya comienzan a pedir un SGSI certificado.
- A nivel financiero- Reducción de Costes: Relacionados con la resolución de incidentes no previstos de seguridad.
- A nivel humano-Mejoras: Sensibilización del personal y aumenta responsabilidad en seguridad.
Implantación ISO 27001
El Instituto Científico de Gobierno Electrónico sigue los siguientes pasos para implantar en las empresas un SGSI:
- Definir el alcance.
- Crear un Comité de Seguridad y nombrar un Responsable del SGSI.
- Analizar el contexto y la situación actual en el entorno de la Seguridad de la Información.
- Análisis de vulnerabilidades a la infraestructura de los Sistemas de Información.
- Análisis de Riesgos.
- Definir un Plan de Continuidad de Negocio.
- Procedimentar el Sistema de Gestión de Seguridad de la Información.
- Definir indicadores y métricas que sirvan para identificar en cada momento el nivel de Seguridad.
- Auditoría Interna una vez finalizado el proyecto.
- Concienciar al personal interno.
- Acompañamiento durante el proceso de Certificación (si procede).
- Mantenimiento SGSI
Para realizar un mantenimiento de la implantación del SGSI, se llevará a cabo las siguientes tareas entre otras:
- Se revisarán los informes de auditoría internos y de seguimiento de tercera parte, así como los PAC generados.
- Se revisarán los cambios producidos en los procesos de negocio objeto del alcance.
- Se revisarán las incidencias del SGSI generadas.
- Se revisará la Política de Seguridad.
- Se revisará y actualizará el Análisis de Riesgos.
El Servicio
El servicio se compone de varias fases, que se pueden personalizar para satisfacer sus necesidades específicas:
- Se toma un tiempo significativo con su alta dirección en la Definición del Alcance que incluye plazos, responsabilidades y presupuesto para la aplicación.
- Se lleva a cabo un análisis de brechas de su organización vis-à-vis al estándar.
- A continuación, al equipo de SGSI se le da una breve Formación en Sensibilización de ISO27001 junto con sus responsabilidades y plazos.
- Se identifican sus activos críticos de información, posteriormente se clasifica y se crea un Inventario de Activos.
- Con la parte del “Qué” identificado, se realiza una evaluación integral de riesgos para identificar lo que puede ir mal con los activos y cómo afectará a su organización.
- En otra etapa se clasifican los riesgos y le ayudan a elaborar medidas y estrategias de Tratamiento de Riesgos.
- Con todos los datos en la mano, se crea entonces el conjunto de documentos SGSI. Sus insumos necesarios sólo para validar la misma.
- En el proceso se apoya a su equipo en la Implementación del SGSI desarrollado.
- Posteriormente se realizará la Capacitación del Usuario de todo el personal identificado en el Alcance de Responsabilidades específicas del SGSI.
- Después de un período de gestación razonable, se elabora una pre-evaluación de su configuración.
- Una vez confirmado que todos los controles están en su lugar, se le ayuda a obtener la certificación con los auditores externos (de su elección) para la ISO27001.
¿Qué es lo que obtiene?
- Políticas y procedimientos acordes con sus niveles de riesgo organzacional.
- Un documento conjunto completo SGSI.
- Entrenamiento de videos y materiales con su marca.
- Apoyo para Certificación
- Solución de GRC en línea