La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
Confidencialidad, la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Integridad, mantenimiento de la exactitud y completitud de la información y sus métodos de proceso y
Disponibilidad, acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
Algunos de los proyectos que hemos realizado de forma exitosa son los siguientes:
Plan Director de SeguridadSe trata de un documento de carácter estratégico que indica una planificación de las actuaciones a realizar para alcanzar un determinado nivel de seguridad corporativo previamente establecido por la alta dirección, y que se llévarán a cabo en los próximos dos ó tres años. Se basa en el uso de metodologías que incluyen el análisis de la situación actual, análisis de riesgos, estudio comparativo con estándares internacionales, benchmarking del estado de las empresas del sector, propuesta de soluciones y proyectos de mejora, estudio de viabilidad de los proyectos resultantes y planificación de los mismos.
Implantación de Controles de SeguridadImplantación de salvaguardas y controles estratégicos de seguridad para cumplir determinados requisitos, generalmente impuestos por alguna normativa (ISO27002, PCI-DSS, LOPD, etc).
Gestión de RiesgosConocer y gestionar los riesgos de una organización en materia de seguridad de la información es la clave para planificar adecuadamente las actuaciones en materia de seguridad. El Análisis de Riesgos permite conocer las amenazas y vulnerabilidades de determinados activos de información y conocer el valor del riesgo intrínseco y real de dichos activos.
Plan de Continuidad de NegocioUn Plan de Continuidad de Negocio es el resultado de la necesidad de alineación entre negocio y tecnología para asegurar la continuidad de las compañías ante cualquier tipo de contingencia. Es conveniente diferenciar entre un Plan de Continuidad del Negocio y un Plan de Recuperación ante Desastres.
Un plan de continuidad de negocio (BCP) debe garantizar las operaciones necesarias para cumplir con el funcionamiento establecido en el desarrollo habitual del negocio ante cualquier tipo de desastre, interrupción o contingencia.
Un plan de recuperación de desastres (DRP), por su parte, es el plan que ejecuta Tecnologías de la Información para recuperar los sistemas que gestiona.
Concienciación y Formación
El factor humano es el eslabón más debil de la cadena de la seguridad de la información. Es por eso que resulta imprescindible en la actualidad que los empleados estén debidamente concieciados de las amenazas que afectan a los activos de informaicón de la organización y que conozcan las pautas mínimas a cumplir para proteger dichos activos.