Gestión de Seguridad de la Información

¿Qué es?

Es gestionar los riesgos de pérdida de disponibilidad, integridad y confidencialidad de la información, manteniéndoles a un nivel asumible por la organización. La manera de hacerlo es mediante un Sistema de Gestión de Seguridad de la Información (SGSI), basado en las normas UNE-EN ISO/IEC 27001, que detalla los requisitos que debe cumplir un SGSI y UNE-EN ISO/IEC 27002, que da indicaciones prácticas para la implantación de los controles de seguridad.

¿A quién afecta?

Cualquier organización que gestione información, independientemente de su naturaleza, tamaño y sector de actividad, puede implantar y mantener un SGSI. La importancia que tendrá hacerlo será directamente proporcional al volumen y criticidad de la información gestionada y de la dependencia de sus procesos respecto de dicha información.

¿Para qué sirve?

Para conocer y tratar adecuadamente los riesgos a los que se enfrentan las organizaciones hoy en día, cuya materialización pone en peligro la información almacenada y el desarrollo de la actividad.

¿Qué implicaciones tiene?

Gestionar la seguridad, según la Norma ISO 27001 implica:

  • Definir la política de seguridad a seguir.
  • Identificar los activos de información que dan soporte a los procesos de la organización (qué se quiere proteger).
  • Hacer un análisis de riesgos (qué puede pasar y cuál sería su impacto en la organización).
  • Decidir cómo tratar los diferentes riesgos, por ejemplo, adoptando medidas de seguridad en función de los resultados del análisis de riesgos (qué se va a hacer para proteger los activos)
  • Preparar un plan de acción

La norma es certificable, por lo que una vez implantado un Sistema de Gestión de Seguridad de la Información, se puede realizar una auditoría externa por una entidad acreditada para certificarlo.

Ventajas de su aplicación

  • Reducir costes mediante la prevención, eliminación o reducción eficaz del nivel de riesgo.
  • Garantizar el cumplimiento de la legislación vigente y las normas y regulaciones internacionales.
  • Mantener y mejorar la imagen corporativa.
  • Garantizar la continuidad del negocio.
  • Optimizar los recursos asignados a la seguridad de la información.