Cómo implantar un SGSI: metodologías (A4C41B2D01)

Gestión de la seguridad de la información

La gestión de la seguridad de la información se refiere a la protección de los activos de información de una organización para garantizar su confidencialidad, integridad y disponibilidad. Normalmente consiste en un conjunto de procesos, políticas, procedimientos y medidas técnicas diseñadas para identificar, evaluar y mitigar los riesgos de seguridad de la información.

VÍDEO

GESTIÓN DE RIESGOS: ACTIVO, PROBABILIDAD E IMPACTO

La gestión de riesgos es el proceso de identificar, analizar y evaluar los riesgos potenciales que pueden afectar a una organización e implementar las medidas preventivas y de mitigación oportunas.

e.digitall.org.es/A4C41B1V02

VÍDEO

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI): APLICANDO CONTROLES A LOS RIESGOS

Aplicar controles a los riesgos supone el siguiente paso a la gestión de riesgos en el desarrollo de un sistema de gestión de seguridad de la información.

e.digitall.org.es/A4C41B2V02

El objetivo principal de la gestión de la seguridad de la información es asegurar que la información se mantenga segura y protegida contra amenazas internas y externas. Para facilitar su proceso de implementación en una organización es recomendable hacer uso de alguna de las metodologías existentes.

Nota

Metodología de gestión de la seguridad de la información: es un enfoque estructurado y sistemático utilizado para planificar, implementar, controlar y mejorar la seguridad de la información en una organización.

Saber más

La gestión de la seguridad de la información es esencial en el entorno actual, donde la información juega un papel crítico en las operaciones empresariales y en la confianza del cliente.

Metodologías de gestión de la seguridad de la información

Existen varias metodologías de gestión de la seguridad de la información, cada una con enfoques y características específicas. La elección de una u otra depende de las necesidades y requisitos específicos de cada organización, así como de los estándares y regulaciones que deban cumplirse en su industria.

Una de las características más valoradas a lo hora de elegir una metodología es la posibilidad de obtener una certificación ya que habitualmente representa un valor añadido para las organizaciones.

ISO 27001

La norma ISO/IEC 27001 es una norma internacionalmente reconocida que establece los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) en una organización. Fue desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Establece un enfoque basado en el riesgo para la gestión de la seguridad de la información, lo que implica identificar los riesgos, evaluar su impacto y probabilidad, y tomar medidas para mitigarlos.

Esta norma se basa en el ciclo de mejora continuo conocido como Ciclo de Deming o ciclo PDCA (Plan-Do-Check-Act) que sigue un enfoque iterativo y cíclico.

Las principales fortalezas de la ISO 27001 que la convierten en una de las metodologías de gestión de seguridad de la información más utilizada son:

  • Reconocimiento y confianza basada en su certificación: obtener la certificación demuestra el compromiso de una organización con la seguridad de la información y brinda confianza a los clientes, socios comerciales y partes interesadas.
  • Enfoque integral: aborda de manera integral la gestión de la seguridad de la información en una organización, no se limita únicamente a aspectos técnicos, sino que también considera aspectos organizativos, legales y humanos
  • Flexibilidad y adaptabilidad: se puede adaptar a las necesidades y requisitos específicos de cada organización permitiendo establecer controles y medidas de seguridad personalizados, de acuerdo con los riesgos y el contexto particular de la organización.

Un ejemplo de la importancia que tiene la ISO 27001 en nuestro país es el hecho de que las administraciones públicas españolas se basaran en esta metodología, adaptándola y complementándola con requisitos y directrices adicionales específicas para las administraciones públicas en España y dando lugar así a la creación del Esquema Nacional de Seguridad.

Saber más

El Esquema nacional de Seguridad (ENS) es un marco de referencia que establece los principios y requisitos mínimos de seguridad de la información para las administraciones públicas en España.

ISO 27001

Otras metodologías

Aunque la ISO 27001 podemos decir que es la metodología más usada a nivel global es importante comentar otras existentes.

NIST SP 800-53

El NIST SP 800-53 es un conjunto de estándares y guías desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. Se utiliza como referencia para la gestión de la seguridad de la información en sistemas federales de información de agencias gubernamentales en los Estados Unidos.

El NIST SP 800-53 proporciona un amplio conjunto de controles y salvaguardas de seguridad y su enfoque se basa en la gestión de riesgos y en la adaptación de los controles a las necesidades y características de cada organización.

Es importante destacar que este conjunto de estándares debe entenderse como un conjunto de buenas prácticas y por tanto no se corresponde con un marco de certificación.

COBIT

COBIT (Control Objectives for Information and Related Technologies) es un marco de referencia desarrollado por ISACA (Information Systems Audit and Control Association) que proporciona un conjunto de mejores prácticas para la gobernanza y gestión de tecnologías de la información (TI) en las organizaciones, y dentro de este marco, la seguridad de la información es uno de los aspectos fundamentales.

Uno de los principales objetivos de COBIT es garantizar el cumplimiento de los requisitos legales y regulatorios.

Proporciona un marco estructurado, objetivos de control y prácticas recomendadas para ayudar a las organizaciones a establecer y mantener un nivel adecuado de seguridad de la información en el para mantener sus operaciones y alcanzar sus objetivos estratégicos.

Al igual que la NIST SP 800-53 este marco de referencia tampoco es certificable.