|
Pasos a seguir para llegar a un SGSI óptimo |
|
|
Para que un Sistema de Gestión de Seguridad de la Información consiga ser efectivo y, si la empresa lo decide, certificable, será necesario ir quemando etapas específicas y en un orden determinado. Nuestro equipo de implantadores recomienda las siguientes etapas a la hora de crear un SGSI:
1. Crear el equipo de Gestión de Seguridad de la Información
Es necesario formar un grupo de personas procedentes de todas las áreas de influencia de la entidad, que conformen el Equipo de Gestión de Seguridad de la Información, apoyado en todo momento por un completo apoyo de parte de la dirección de la organización. Sus principales funciones serán las siguientes: - Determinar el Ámbito y Alcance del SGSI
- Establecer un plan director de toda la implantación
- Coordinar todo el proceso de principio a fin
|  | | 2. Realizar un completo Análisis de Riesgos
Esta fase, de vital importancia y obligado cumplimiento a la hora de decidir certificarse, es una de las herramientas más valiosas a la hora de ver las carencias en materia de seguridad de la información con las que cuenta la empresa. A grosso modo, consiste en revisar, medir y ponderar todas las amenazas, riesgos y vulnerabilidades que giran alrededor de la información que custodia la empresa.
|  | 3. Documentar las políticas
Es Sistema de Gestión de Seguridad de la Información deberá de seguir unas directrices que habrán de marcarse aquí en virtud de los resultados del análisis de riesgos. Estas directrices o políticas habrán de fijarse siempre por escrito y responderán a unos objetivos bien definidos
|  | 4. Crear la documentación de apoyo
Elabore una Manifestación de Aplicación y Procesos para apoyar su política de seguridad. Esto cubrirá una gama de áreas incluyendo clarificación y control de activos, seguridad del personal, seguridad ambiental y física y administración de continuidad en el negocio.
|  | 5. Seleccionar una entidad certificadora
La entidad certificadora evalúa la efectividad del SGSI, y expide un certificado, si éste cumple los requisitos de la norma. Escoger una compañía certificadora puede ser un asunto complejo, porque existen muchas operando en el mercado. Los factores que debe considerar incluyen experiencia en la industria, cobertura geográfica, precio y nivel de servicio ofrecidos.
|  | 6. Implementar el Sistema de Gestión de Seguridad de la Información (SGSI).
En éste punto del proceso es menester llevar a cabo todo lo establecido en las políticas y la documentación generada. Para ello será necesario en primer lugar seleccionar los controles de la norma UNE 17799 que la organización ha decidido que le son aplicables al ámbito seleccionado.
|  | 7. Certificarse
Éste es el momento en el que el auditor o auditores de la entidad de certificación deben de revisar el Sistema de Gestión de Seguridad de la Información con el fin de determinar si ha llegado al estado idóneo para conseguir la certificación o bien es necesario realizar algunos cambios.
|  | 8. Evaluación contínua
Una vez obtenida la certificación se impone la necesidad de realizar periódicamente, según requiera la dinámica de la organización, auditorías de mantenimiento internas que irán encaminadas a comprobar que el sistema de gestión está funcionando de manera correcta. Éstas auditorías internas además son fundamentales para que las que tienen que llevar a cabo necesariamente desde la entidad certificadora, sean exitosas. |  |
|
SGSI-ISO 27001 
