946 470 657 info@kpicheck.eu

Sistema de gestión de seguridad de la información (SGSI)

El sistema de gestión de seguridad de la Información representa un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización.

¿Qué ocurriría si nuestra empresa se encontrase en alguna de las siguientes situaciones de vulnerabilidad de la seguridad?¿Qué deberíamos hacer?

  • Si perdemos papeles con la información de un cliente.
  • Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.
  • Se produce una pérdida de datos y no tenemos copias de seguridad o no podemos recuperar la información.
  • Perdemos o extraviamos un disco duro portátil con información sensible.
  • Nuestra página web es el objetivo de un ataque de denegación de servicio, dejándola inoperativa.
  • Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica.

Nos traería consecuencias económicas y de imagen. ¿Qué podemos hacer entonces para saber como actuar?

¿Qué es un sistema de gestión de seguridad de la información (SGSI)?

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.

Existen normativas como la ISO 27001 que nos ofrece un modelo, necesario para crear, implementar, supervisar, mantener y mejorar un sistema de gestión de seguridad de la información.

Para garantizar que el sistema de gestión de seguridad de la información esté gestionado de forma correcta se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar su:

  • Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.
  • Integridad: mantener de forma completa y exacta la información y los métodos de proceso.
  • Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.

El SGSI permite organizar las medidas de seguridad de acuerdo a los objetivos de negocio convirtiendose en una herramienta para que la seguridad no sea un gasto.

Para organizar el área del responsable de seguridad de la información se crea un plan director de seguridad enfocado en medidas para mejores prácticas de seguridad de la información.

¿Qué es un plan director de seguridad?

Un plan director de seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.
Es fundamental para la realización de un buen plan director de seguridad (PDS) que esté alineado con los objetivos estratégicos de la empresa, incluya una definición del alcance e incorpore las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización así como terceros que colaboren con ésta.

LOPD y GDPR

Ante la entrada en vigor del reglamento general de protección de datos (GDPR), de aplicación obligatoria a partir del 25 de mayo de 2018, a nivel europeo, todas las empresas sin excepción se enfrentan a importantes retos a la hora de realizar una gestión diligente en el manejo de datos protegidos.

Muchas organizaciones se encuentran perdidas sobre cómo abordar este nuevo requerimiento legal; ¿Es complementario a la LOPD y RD?. ¿Lo sustituye? ¿A qué me obliga en concreto? ¿Cómo puedo resolver con garantías de cumplimiento?

KPI Prevención, ofrece un servicio integral de asesoramiento, gestión, mantenimiento y formación técnico-legal para la adaptación y actualización de empresas y profesionales a la GDPR-LOPD-LSSICE, que incluye la formación del responsable, el acceso a consultoría y la realización de las auditorías que obliga la legislación vigente.

Quiero saber cómo aplicarlo a mi empresa