¿Qué es un SGSI?: Aprende cómo funciona y para qué sirve
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Cada día, la información digital se convierte, más y más, en uno de los principales activos para las empresas y organizaciones. Por lo tanto, la seguridad de dicha información se ha vuelto una prioridad. Se hace necesario entonces un sistema que permita mitigar al máximo posible todo este tipo de problemas imprevistos.
El SGSI hace exactamente esto. ¡Sigue leyendo y aprende más sobre este sistema de gestión de seguridad!
¿Qué es un SGSI?
Un Sistema de Gestión de la Seguridad de la Información (SGSI) (en inglés: Information Security Management System, ISMS) es un conjunto de políticas y procedimientos para la administración eficiente de la accesibilidad de la información en una empresa u organización. El término SGSI es muy utilizado por la ISO/IEC 27001.
Un activo de información, en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”, ya que pueden ser amenazados, o encontrarse en peligro, debido a distintos incidentes de seguridad como ataques de cibercriminales a través de ransomware o phishing, errores causados por descuido o negligencia, fallas en los equipos electrónicos, e incluso desastres naturales.
Por ello, este sistema consiste en una serie de pasos en los cuales se analiza las distintas partes del funcionamiento de la empresa, se buscan posibles vulnerabilidades y luego éstas son revisadas y corregidas. Este es un proceso iterativo, haciendo así a la seguridad informática un proceso dinámico y continuo.
Es cierto que ninguna organización está exenta de sufrir alguna eventualidad que ponga en riesgo su información. Sin embargo, aquellas empresas que han implementado un SGSI se sienten más seguras que aquellas que no lo han hecho, ya que estas políticas y procedimientos están diseñados para maximizar la seguridad informática.
Norma ISO 27001 y SGSI
La Organización Internacional de Estandarización, o ISO por sus siglas en inglés, es una de las organizaciones más reconocidas en el mundo en cuanto a estándares internacionales se refiere. ISO posee un conjunto de normas, en distintas áreas de la tecnología, comercio e industria. Una de esas normas es la norma 27001, la cual hace referencia a las políticas y procedimientos de la seguridad informática.
El SGSI es el principal enfoque de la norma ISO/IEC 27001. Dicho enfoque ayuda a una organización o empresa a preservar tres componentes claves.
Componentes de un SGSI según la norma ISO 27001
Como mencionamos previamente, según la norma ISO 27001 existen tres componentes esenciales en un SGSI, los cuales son: Confidencialidad, Integridad y Disponibilidad.
Confidencialidad
Los datos o información que maneja la empresa deben ser confidenciales y, en general, no pueden ser accedidos por terceros para evitar riesgos de seguridad de la información, por lo que éstos solo deben ser manejados por la empresa.
Es posible que algunos datos sean compartidos con terceros, siempre y cuando la empresa u organización tenga conciencia plena de esto y esté atenta a los niveles de riesgo. Sin la autorización correspondiente, no se debería poder acceder a estos datos.
Integridad
La integridad de la información se refiere a que los datos que utiliza la empresa, y los procesos autorizados por los cuales se maneja la información, deben permanecer inalterables. Solo en el caso en que la empresa, de manera justificada, realice alguna modificación, sería aceptable.
Disponibilidad
La disponibilidad se refiere al acceso que podrían tener otras entidades a la información de la organización, siempre y cuando la organización lo autorice. Es por esto que este punto no es contrario a la confidencialidad.
Los datos en general no serán revelados a cualquier entidad, pero pueden ser compartidos estratégicamente luego de pasar por controles adecuados, si la organización así lo desea.
¿Para qué sirve un SGSI?
El SGSI permite el conocimiento y manejo de riesgos de un negocio en la industria tecnológica. Esto naturalmente trae muchos beneficios, algunos de los cuales te mencionamos a continuación:
Genera mayor confianza
Los clientes y los socios de la organización se sienten más seguros al tener un SGSI implementado. Llevar a cabo un sistema de gestión de riesgos garantiza que los activos de información estén más seguros, lo cual hace que aumente la confianza de las partes interesadas.
Garantiza la continuidad del negocio
Al tener planes de respaldo para las distintas eventualidades se garantiza la continuidad del servicio a pesar de las dificultades. Uno de los mayores beneficios de un SGSI es asegurar que los sistemas y servicios sigan funcionando a pesar de las posibles eventualidades.
Reduce los costos
Al ser precavidos, se disminuye el impacto económico que puede traer algún problema a futuro, ya que se minimizan las posibles pérdidas causadas por algún problema de seguridad. Además, se optimizan varios procesos lo cual traerá también un ahorro de costos.
Garantiza la mejora de los procesos y el servicio
Al ser una gestión estructurada y organizada, los métodos de proceso y servicios se mejoran y optimizan para su máximo rendimiento. Esto asegura que dichos procesos sean lo más eficientes posibles, lo cual es beneficioso para cualquier empresa u organización.
Los riesgos son revisados continuamente
La seguridad se maneja de manera dinámica, siempre actualizando los sistemas y controles de seguridad correspondientes a las nuevas amenazas emergentes.
Esto hace que la organización mantenga un sistema de seguridad de la información a la vanguardia, lo que permite una mejora continua a la hora de gestionar su plan de tratamiento de riesgos.
Facilita la integración con otros sistemas de gestión
Existen diversos sistemas de gestión, los cuales pueden ser utilizados simultáneamente para un mayor beneficio de la empresa. Implementar un SGSI facilita la adopción de estos otros sistemas de gestión.
Mejora la imagen de la organización
Tanto a nivel nacional como internacional, contar con un SGSI mejora automáticamente la percepción interna y externa de la organización. Esto le da tranquilidad y confianza a todos los involucrados.
Reduce el riesgo de pérdidas
La probabilidad de robo o pérdida de información se minimiza lo más posible si se cuenta con una gestión de seguridad. Al tener los sistemas actualizados, implementar medidas de seguridad y estar en constante proceso de revisión, la probabilidad de un daño es mínima.
Cumplimiento de las normativas de seguridad
Otra de las ventajas de contar con un SGSI es que asegura que las normas de seguridad establecidas estén aplicadas en el marco legal adecuado y actualizado.
Las leyes nacionales e internacionales siempre van cambiando respecto al tema de ciberseguridad, ya que constantemente surgen nuevas amenazas. El sistema de gestión ayuda cumplir los objetivos de seguridad y a mantenerse modernizado en este importante aspecto.
Controles y fases SGSI
Implementar un SGSI en tu organización o empresa se puede hacer, a grandes rasgos, utilizando el ciclo de Deming o ciclo PDCA, el cual debe su nombre a Plan, Do, Check, Act, lo que se traduce como Planificar, Hacer, Comprobar y Actuar, respectivamente.
Te explicamos cada fase a continuación:
Plan (Planificar)
En esta fase inicial se hace una evaluación de todos los posibles riesgos y amenazas que pudiesen poner en peligro la información relevante de tu empresa, teniendo en cuenta el alcance del SGSI. Se establecen además las políticas, objetivos y procesos de seguridad que vayan a garantizar la seguridad de la información.
Finalmente se establecen los roles, y sus responsabilidades correspondientes, de todos los participantes del proyecto.
Do (Hacer)
En esta segunda fase se empieza a implementar y gestionar el SGSI establecido. Los procesos y procedimientos utilizados se aplican de acuerdo a las políticas de seguridad previamente decretadas.
Es recomendable realizar este paso primeramente en un entorno de prueba. Luego de que se haya pasado dicha prueba se puede proceder a la implementación real.
Check (Comprobar)
En esta fase se hace un proceso de verificación de los resultados obtenidos en fases anteriores. Se monitorea y revisa los procedimientos de todas las partes que conforman el SGSI y se verifica que todos estén cumpliendo lo debido.
Luego de haber recopilado todos estos datos, se comprueba la efectividad del sistema de gestión. Es importante recalcar que estas revisiones deben hacerse de manera periódica, no basta con hacerlas sólo una vez.
Act (Actuar)
En esta última fase procedemos a tomar acciones correctivas sobre cualquier parte del proceso que no haya salido como era esperado. Se busca mejorar cualquier aspecto del SGSI una vez que se hayan tomado en cuenta las primeras tres fases. También se llevarán a cabo acciones preventivas que permitan asegurar el funcionamiento continuo del plan de gestión.
Como todo ciclo de vida de un proceso, el ciclo PDCA debe ser repetido tantas veces como sea necesario para llegar a un óptimo funcionamiento. A través del ensayo y error se va perfeccionando el sistema de gestión.
Sin embargo, aunque este ciclo es una representación o esquema general a seguir, los pasos a seguir son en realidad un poco más detallados. Entre los principales se encuentran:
• Ver el alcance del SGSI.
• Establecer las políticas del SGSI.
• Hacer una evaluación de riesgos.
• Realizar una declaración de aplicabilidad.
• Planificar un tratamiento de riesgos.
• Redactar los objetivos y planes.
• Establecer las competencias necesarias.
• Planificar el control operacional y métricas.
• Realizar auditorías internas y revisión de la dirección.
• Verificar las no conformidades y realizar acciones correctivas.
Aquí puedes encontrar la información mínima necesaria que debes tener documentada en tu propia organización u empresa para implementar un SGSI, según la norma internacional ISO/IEC 27001.
¿Cómo implementar un SGSI?
En la sección anterior vimos que la implementación de un SGSI conlleva un gran número de pasos. La verdad es que la implementación real es un poco más compleja, ya que la ISO requiere de manera bastante formal que se cumplan ciertos pasos específicos y se tenga la documentación adecuada.
La ISO, como organización, no realiza la implementación del SGSI. Ésta se hace a través de entes de certificación ISO, quienes revisarán que el SGSI cumpla con los documentos esenciales para así proceder a la certificación.
¿Cómo obtener el cumplimiento de la norma ISO 27001?
En Delta Protect buscamos siempre simplificar la ciberseguridad de tu organización o empresa. Es por esto que te ofrecemos CISO as a service, uno de los complementos de Apolo, para ayudarte con el cumplimiento de la norma ISO 27001 y otras certificaciones de seguridad informática que puedas necesitar. Nuestros expertos cuentan con toda la experiencia necesaria para ayudarte en este proceso.
No olvides que en Delta Protect contamos con la experiencia y herramientas necesarias para simplificar la ciberseguridad y cumplimiento. Visita nuestro sitio web para conocernos un poco más.