Establecimiento
de una
metodología de
gestión de la
seguridad clara y
estructurada
Los clientes
tienen acceso a
la información a
través medidas
de seguridad.
Reducción del
riesgo de
pérdida, robo o
corrupción de
información.
Los riesgos y
sus controles
son
continuamente
revisados.
Confianza de
clientes y socios
estratégicos por la
garantía de calidad
y confidencialidad
comercial.
Las auditorías
externas
ayudan
cíclicamente a
identificar las
debilidades del
sistema y las
áreas a
mejorar.
Conformidad con
la legislación
vigente sobre
información
personal,
propiedad
intelectual y otras
ARRANQUE
DEL
PROYECTO
Compromiso de la Dirección: una de las bases
fundamentales sobre las que iniciar un proyecto
de este tipo es el apoyo claro y decidido de la
Dirección de la organización. No sólo por ser un
punto contemplado de forma especial por la
norma sino porque el cambio de cultura y
concienciación que lleva consigo el proceso
hacen necesario el impulso constante de la
Dirección.
PLANIFICACIÓN
Características del negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI empezar por una
política de seguridad: que incluya el marco general y los objetivos de
seguridad de la información de la organización, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad,
esté alineada con la gestión de riesgo general, establezca criterios de
evaluación de riesgo y sea aprobada por la Dirección. Definir el
enfoque de evaluación de riesgos.
IMPLEMENTACIÓN
Definir plan de tratamiento de riesgos: que
identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de
los riesgos de seguridad de la información.
Formación y concienciación: de todo el personal
en lo relativo a la seguridad de la información. •
Desarrollo del marco normativo necesario:
normas, manuales, procedimientos e
instrucciones. • Gestionar las operaciones del
SGSI y todos los recursos que se le asignen. •
Implantar procedimientos y controles de
detección y respuesta a incidentes de
seguridad.
SEGUIMIENTO
Ejecutar procedimientos y controles
de monitorización y revisión: para
detectar errores en resultados de
procesamiento, identificar brechas e
incidentes de seguridad, determinar
si las actividades de seguridad de la
información están desarrollándose
como estaba planificado, detectar y
prevenir incidentes de seguridad
mediante el uso de indicadores y
comprobar si las acciones tomadas
para resolver incidentes de
seguridad han sido eficaces
MEJORA
CONTINUA
Implantar mejoras: poner en marcha
todas las mejoras que se hayan
propuesto en la fase anterior. •
Acciones correctivas: para solucionar
no conformidades detectadas. •
Acciones preventivas: para prevenir
potenciales no conformidades. •
Comunicar las acciones y mejoras: a
todos los interesados y con el nivel
adecuado de detalle. • Asegurarse de
que las mejoras alcanzan los objetivos
pretendidos: la eficacia de cualquier
acción, medida o cambio debe
comprobarse siempre.
FACTORES DE
EXITO
• La concienciación del empleado por la seguridad. Principal objetivo
a conseguir. • Realización de comités de dirección con
descubrimiento continuo de no conformidades o acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja
notificaciones continuas por parte de los usuarios (los incidentes de
seguridad deben ser reportados y analizados). • La seguridad
absoluta no existe, se trata de reducir el riesgo a niveles asumibles. •
La seguridad no es un producto, es un proceso. • La seguridad no es
un proyecto, es una actividad continua y el programa de protección
requiere el soporte de la organización para tener éxito. • La
seguridad debe ser inherente a los procesos de información y del
negocio.