Diseño del SGSI

ACTIVIDADES PARA EL DISEÑO DEL SGSI

Para implementar la norma ISO 27001:2013 y sus controles de seguridad, se recomienda ir de la mano de un modelo de Sistema de Gestión de Seguridad de la Información, (SGSI), utilizando el ciclo de mejoramiento continuo PHVA (planear, hacer, verificar y actuar). Los diferentes controles de la norma serán priorizados lo que determinará a futuro un plan de acción que ayudará a la implementación de la norma de un modo estratégico. (https://www.bsigroup.com/es-CO/seguridad-de-la-informacion-isoiec-27001-/).  Para este modelo se tienen en cuenta los siguientes aspectos:

  • La integridad
  • La confidencialidad
  • La disponibilidad
  • Controles de acceso
  • Técnicas criptográficas
  • Servicios AAA (authentication, accounting, authorization)
  • Definición de variables

El  modelo del SGSI ISO 27001:2013 está basado en el ciclo de mejoramiento continuo PHVA, el cual asegura que el SGSI esté expuesto a revisiones continuas cuando existe un cambio importante en la infraestructura o se requiera mejorar su efectividad dependiendo de las mediciones de parámetros claves de su operación. Se cuenta, entonces, con un ciclo que permite establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI ISO 27001:2013. (https://www.iso.org/standard/44375.html)

Para la implementación priorizada del SGSI ISO 27001:2013 es necesario definir una serie de variables que ayuden a la priorización de los diferentes dominios de la NTC/ISO 27001:2013. Los 14 dominios de la norma están conformados por 114 controles. Este Plan propone una estrategia para la implementación basada en una serie de variables que permiten inferir el orden de implementación de cada uno de los dominios teniendo en cuenta algunos aspectos asociados a cada uno de los controles. A continuación los objetivos de la seguridad de la información:

Disponibilidad:

Propiedad de que la información sea accesible y utilizable por solicitud de una Entidad autorizada.

Confidencialidad:

Propiedad que determina la condición de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Integridad:

Propiedad de salvaguardar la exactitud y estado completo de los activos.

Ahora bien, la adecuada seguridad de la información requiere también considerar los siguientes puntos:

  • Comprender los requisitos de seguridad de la información de la Entidad, y la necesidad de establecer políticas de seguridad de la información.
  • Implementar y operar controles para disminuir el riesgo de pérdida de la confidencialidad, integridad y disponibilidad de la información.
  • Medir el desempeño y la eficacia del SGSI.
  • Mantener una mejora continua basada en la medición de objetivos.

 

Leave a comment