Software de Gestión de Seguridad de la Información – SGSI

Un software de Gestión de Seguridad de la Información garantiza la confidencialidad, integridad y disponibilidad de los activos de información esenciales mediante la administración de políticas, procedimientos, directrices, recursos y actividades. Nuestro software permite una gestión ágil y eficiente, reduce tiempos y costos al simplificar la documentación y los registros, y al priorizar los riesgos para tratar sólo aquellos representan una amenaza para su organización.

Agende su demo
 Software de Gestión de Seguridad de la Información – SGSI

Información realmente confidencial, íntegra y disponible

Información realmente confidencial, íntegra y disponible

Garantice que la información se revela y está disponible sólo para los individuos, las entidades y los procesos autorizados. Gestione los controles necesarios de forma eficiente y justifique las inclusiones y exclusiones ágilmente. Mantenga la exactitud en la información y sus métodos de trabajo para prevenir modificaciones no autorizadas.

Quiero que me contacten

Automatice su proceso para dar una respuesta eficiente

Automatice su proceso para dar una respuesta eficiente

Garantice una reacción efectiva frente a los incidentes de Seguridad de la Información gracias a la automatización de todo el ciclo de vida: desde el registro, pasando por la clasificación y la comunicación a las partes interesadas, el análisis de las causas, la definición de los planes de acción y llegando finalmente a la verificación y evaluación de la eficacia de las acciones de respuesta.

Agende su demo

Implemente correctamente la normativa

Implemente correctamente la normativa

Garantice una reacción efectiva frente a los incidentes de Seguridad de la Información gracias a la automatización de todo el ciclo de vida: desde el registro, pasando por la clasificación y la comunicación a las partes interesadas, el análisis de las causas, la definición de los planes de acción y llegando finalmente a la verificación y evaluación de la eficacia de las acciones de respuesta.

Quiero saber más 

Asegure un enfoque integral

Asegure un enfoque integral
Asegure un enfoque integral

Considere los ataques persistentes avanzados, realice cambios constantes en la infraestructura de TI o en los procesos de negocio y conozca las amenazas, todo desde una misma plataforma que le permitirá alinear todos los miembros y procesos involucrados en la gestión de la información.

Agende su demo
¿Qué es un Sistema de Gestión de Seguridad de la Información?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es, básicamente, un conjunto de políticas de administración de la información que busca garantizar la protección de sus activos de información esenciales. Para lograr este objetivo se vale de políticas, directrices, procedimientos, recursos y actividades asociados que se administran colectivamente al interior de una organización.

Existen normas de gestión que buscan, como su nombre lo indica, contribuir a la gestión de procesos de una organización para alcanzar objetivos definidos. La norma ISO 27001 es el estándar que rige la gestión de la seguridad de la información y permite la disponibilidad, la confidencialidad y la integridad de los datos y la información, así como de los sistemas que la procesan. Su aplicación mejora la competitividad y la imagen de la organización.

¿Qué es un Sistema de Gestión de Seguridad de la Información?

Para entender mejor qué busca garantizar el estándar, desglosemos sus términos:

  • Confidencialidad de la información: la información debe revelarse y estar a disposición unicamente de las entidades, procesos o individuos autorizados. Deben existir procesos de autorización y control para acceder a la información.
  • Integridad de la información: busca prevenir modificaciones no autorizadas de la información manteniendo su exactitud, completitud y métodos de procesamiento de esta.
  • Disponibilidad de la información: busca evitar las interrupciones no autorizadas de los recursos informáticos, asegurando a individuos, entidades y procesos autorizados el acceso y la utilización de la información y sus sistemas de tratamiento cuando lo requieran.

La protección de los activos de información se hace a través del Sistema de Gestión de Seguridad de la Información que, al desarrollarse con un enfoque de mejora continua, garantiza un proceso que se retroalimenta y optimiza sin pausa. Este enfoque consta de cuatro pasos que abordaremos a continuación.

Hablemos
¿Qué es un Sistema de Gestión de Seguridad de la Información?
  • Planear: se diseña el SGSI, se evalúan los riesgos de seguridad de la información y se seleccionan los controles adecuados.
  • Hacer: se implementan y operan los controles.
  • Verificar: se revisa y evalúa el desempeño (eficiencia y eficacia) del SGSI.
  • Actuar: se realizan cambios periódicamente para mantener el SGSI al máximo rendimiento.

Uno de los pilares para garantizar el éxito de este proceso de mejora continua es tener un inventario claro de los activos de información. Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por expertos es la siguiente.

Ciclo de Deming

Activos de información pura:

Datos digitales

  • Bases de datos
  • Unidades lógicas
  • Copias de seguridad

Activos tangibles

  • Personales
  • Financieros
  • Legales

Activos intangibles

  • Conocimiento
  • Relaciones
  • Secretos comerciales

Software de aplicación

  • Propietario desarrollo por la organización
  • Herramientas de bases de datos
  • Aplicaciones de comercio electrónico
  • Middleware

Sistemas operativos

  • Servidores
  • Dispositivos de red
  • Dispositivos de mano e incrustados
Activos de información pura:
Activos fisicos

Activos físicos:

Infraestructura de TI

  • Edificios
  • Centros de datos
  • Habitaciones de equipos y servidores

Controles de entorno de TI

  • Equipos de alarma
  • Supresión contra incendio
  • Sistemas de alimentación ininterrumpida

Hardware de TI

  • Dispositivos de almacenamiento
  • Ordenadores de mesa
  • Estaciones de trabajo
  • Ordenadores portátiles

Activos de servicios de TI

  • Servicios de autenticación de usuario
  • Administración de procesos
  • Enlaces

Activos humanos:

Empleados

  • Personal y directivos
  • Participan quienes tienen roles de gestión como, por ejemplo, altos cargos
  • Arquitectos de software y desarrolladores

Externos

  • Trabajadores temporales
  • Consultores externos
  • Asesores especialistas

Todos los activos de información deben ser propiedad de un área o de un encargado designado de la organización. El propietario del activo definirá y garantizará la implementación de los controles para la adecuada protección del activo. Adicionalmente, debe existir un inventario de  activos de información en el que se deben clasificar en términos de confidencialidad, integridad y disponibilidad.

    Growth curve-cuate
    Agende su demo
     Alcance del SGSI, evaluación y tratamiento de riesgos

    Tener claro el contexto, la importancia y la ubicación de los activos críticos de la organización (en diferentes sedes o departamentos), permite determinar cuál es el alcance o los límites del SGSI. Asimismo, permite visualizar cuáles son los riesgos propios y externos asociados (leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales).

    Para definir el alcance es importante considerar los obstáculos internos y externos, analizando el contexto de la organización, así como los requisitos y expectativas de las partes interesadas, es decir, de aquellas personas o entidades que se relacionan con las actividades esenciales que permiten cumplir con la misión y los objetivos generales de la organización.

    Por último, es indispensable tener claridad sobre cuáles son los procesos que se incluirán en el alcance y las relaciones entre estos. El alcance debe tener en cuenta los procesos relacionados con seguridad de la información y todos aquellos que impactan o pueden ser impactados por la seguridad de la información.

    Alcance del SGSI, evaluación y tratamiento de riesgos

    Es en este punto donde la evaluación de riesgos se establece como un proceso ineludible. Cada organización debe determinar el proceso más apropiado para evaluar los riesgos teniendo en cuenta las guías ISO/IEC 27005 e ISO 31000.

    Este proceso debe ser estructurado y repetible. Debe explicar cómo se identifican, analizan, evalúan y priorizan los riesgos relacionados con los activos de información más relevantes de acuerdo con alcance.

    Las revisiones y actualizaciones permiten evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque preventivo y de anticipación en acciones mitigadoras o de control.

    Tanto la gestión del riesgo como el alcance de su SGSI pueden visualizarse y gestionarse en una sola plataforma gracias a un software de Gestión de Seguridad de la Información.

    Quiero asesoría
    Implementación del SGSI

    La implementación del Sistema de Gestión de Seguridad de la Información se da a través de proyectos: proyecto políticas de seguridad de la información, proyecto control de acceso y seguridad física, proyecto análisis de riesgos. Para cada proyecto debe generarse un informe del progreso, el costo, el tiempo, el alcance y la gestión de interesados, entre otros.

    A continuación, se hace seguimiento al cumplimiento de los objetivos del sistema de gestión de seguridad de la información establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento de las pautas de seguridad de la información, generando informes posteriores a incidentes, informes de pruebas de seguridad, evaluaciones de productos de seguridad, evaluaciones de vulnerabilidad, evaluaciones de impacto comercial, arquitecturas y diseños de seguridad, entre otras evidencias de los controles y acciones realizadas para gestionar los riesgos identificados.

    Implementación del SGSI

    Posteriormente, es necesario llevar a cabo un proceso de auditoría interna que debe ser sistemático, independiente y documentado. Lo implementa la propia organización para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar en qué grado se cumplen los requisitos del SGSI de acuerdo a los criterios de auditoría. Busca preparar a la organización para una auditoría de certificación, la cual se divide en dos etapas:

    1. Primero una revisión documental para evidenciar la preparación de la organización para la auditoría, revisando si se han desarrollado los procedimientos y controles necesarios de acuerdo a la norma ISO/IEC 27001. En el informe se comparten los detalles de los hallazgos evidenciados, de manera que, si se encuentran algunas brechas se puedan cerrar antes de la segunda etapa. 
    2. Si se considera conveniente, se realiza la segunda etapa, en la quese evalúa la implementación de los procedimientos y controles para asegurar que estén funcionando eficientemente y se cumplan los requisitos para la certificación.

    Una vez obtenida la certificación, las organizaciones han de seguir trabajando para mejorar continuamente su sistema de seguridad de la información, aunque ya cuenten con la certificación en ISO 27001.

    Como es evidente, la implementación de un Sistema de Gestión de Seguridad de la Información efectivo no es sencilla y de su gestión  rigurosa depende completamente la certificación y mantenimiento del sistema. Es por ello por lo que en Pensemos hemos desarrollado un software de Seguridad de la Información que garantice no solo el éxito de la implementación inicial sino la mejora continua, la evaluación y el tratamiento de riesgos y la confidencialidad, integridad y disponibilidad de sus activos de información. Conózcalo aquí y garantice que la información, el activo más importante de su organización, es tratado con la rigurosidad necesaria.

    Agende su demo

    Otros módulos de Suite Visión Empresarial que puede conocer: