sábado, 26 de octubre de 2024

SISTEMA DE GESTIÓN Y SEGURIDAD DE LA INFORMACION // Juan Quiroz

 

Caracas, 26 de octubre del 2024


SGSI


Según (Valencia-Duque & Orozco-Alzate, 2017) existen diversas formas de llevar a cabo una implementación de un SGSI en una organización, no obstante, para lograr cierto nivel de éxito y disminuir la incertidumbre en sus resultados, se debe adoptar un enfoque que permita abordar, desde una perspectiva sistémica, la forma de cumplir con los elementos que hacen parte de éste.






¿Qué es SGSI y cuál es su objetivo?

 

     SGSI es el acrónimo de Sistema de Gestión de Seguridad de la Información y es un conjunto de políticas y procedimientos para gestionar sistemáticamente los datos confidenciales de una organización.

 

El objetivo de un SGSI es minimizar el riesgo y garantizar la continuidad del negocio limitando proactivamente el impacto de una brecha de seguridad. Básicamente, busca lograr un sistema de prácticas por parte de todo el personal de la empresa para que esta no pierda información. Un SGSI generalmente aborda tanto el comportamiento y los procesos de los colaboradores, como los datos y la tecnología. No es solo un sistema de protección contra ciberataques, va mucho más allá.

 


 

Es un sistema integral de políticas, procesos, procedimientos, auditorías y prácticas laborales cotidianas (hábitos de trabajo), para que aun cuando ocurra una intrusión a la organización ya sea física o digital, no haya pérdida de información y, claro, también busca que no existan las condiciones para que dicha intrusión sea exitosa.

 

Esto último no siempre se logra debido no solamente a deficiencias en el SGSI o a deficiencias en su cumplimiento, sino también a incapacidades de la empresa, sobre todo financieras, que no le permitan, aun cuando quiera lograrlo, abordar la solución adecuada. El SGSI puede estar dirigido a un tipo particular de datos, como los datos de los clientes, o puede implementarse de una manera integral para que se convierta en parte de la cultura de la empresa.

 

Cómo funciona un SGSI

 

Un SGSI proporciona un enfoque sistemático para gestionar la seguridad de la información de una organización, aplicando políticas que controlan y administran los niveles de riesgo de seguridad en una organización. El objetivo de un SGSI no es necesariamente maximizar la seguridad de la información, sino alcanzar el nivel deseado de seguridad de la información de una organización, para que si sucede un incidente pueda responder adecuadamente a él sin detrimento de esta.


                         


Dependiendo de las necesidades específicas de la industria, estos niveles de control pueden variar. Por ejemplo, dado que la atención médica es un campo altamente regulado, una organización de atención médica puede desarrollar un sistema para garantizar que los datos confidenciales de los pacientes estén completamente protegidos. Los sistemas de gestión de la seguridad de la información en las empresas están orientados a los procesos y siempre son responsabilidad de la dirección. Es un enfoque de arriba hacia abajo. Se puede delegar la implementación, pero no la responsabilidad.

 

Dependiendo del motivo la gerencia selecciona los procedimientos y métodos a aplicar o construir para garantizar la seguridad de la información en las actividades corporativas. La dirección debe examinar periódicamente el alcance, la intensidad y el progreso de las medidas. Una corporación debe conocer su información, los riesgos y el impacto financiero de un riesgo materializado. Con base en este conocimiento, la gerencia debe decidir en qué medida un SGSI debe reducir los riesgos.

 

Los beneficios de contar con un SGSI

 

El SGSI proporciona un enfoque holístico para administrar los sistemas de información dentro de una organización. Esto ofrece numerosos beneficios, algunos de los cuales se destacan a continuación. Protege los datos confidenciales. Un SGSI protege todos los tipos de activos de información, ya sea que estén en papel, digitalmente o residan en la nube. Estos activos pueden incluir datos personales, propiedad intelectual, datos financieros, datos de clientes y datos confiados a empresas a través de terceros.

 

El SGSI ayuda a las organizaciones a cumplir con todos los requisitos contractuales y de cumplimiento normativo y proporciona una mejor comprensión de las legalidades que rodean a los sistemas de información. Dado que la violación de las regulaciones legales conlleva fuertes multas, tener un SGSI puede ser especialmente beneficioso para las industrias altamente reguladas con infraestructuras críticas, como las finanzas o la atención médica.

 

 

 

Proporciona continuidad de negocio. Cuando las organizaciones invierten en un SGSI, aumentan automáticamente su nivel de defensa contra las amenazas. Esto reduce la cantidad de incidentes de seguridad, como ataques cibernéticos, lo que genera menos interrupciones y menos tiempo de inactividad, que son factores importantes para mantener la continuidad del negocio.

 

Reduce costos. Un SGSI ofrece una evaluación de riesgos exhaustiva de todos los activos. Esto permite a las organizaciones priorizar los activos de mayor riesgo para evitar gastos indiscriminados en defensas innecesarias y proporcionar un enfoque enfocado para protegerlos. Este enfoque estructurado, junto con menos tiempo de inactividad debido a la reducción de los incidentes de seguridad, reduce significativamente el gasto total de una organización.

 

Mejora la cultura de la empresa. Un SGSI proporciona un enfoque integral para la seguridad y la gestión de activos en toda la organización que no se limita a la seguridad de TI. Esto alienta a todo el personal a comprender los riesgos relacionados con los activos de información y adoptar las mejores prácticas de seguridad como parte de sus rutinas diarias.

 

Se adapta a las amenazas emergentes. Las amenazas a la seguridad evolucionan constantemente. Un SGSI ayuda a las organizaciones a prepararse y adaptarse a las amenazas más nuevas y a las demandas en constante cambio del panorama de la seguridad.

 

¿Por qué es importante el SGSI?

 

El aumento de la presión sobre las organizaciones para desarrollar estándares más altos de seguridad de la información ha despertado el interés en la implementación de un SGSI.

 

Aunque un SGSI generalmente tiene sentido para todas las empresas, independientemente de la industria y el tamaño de la empresa, la mayor parte de la atención se centra en empresas basadas en software, digitalizadas y basadas en SaaS ( un modelo de distribución de software donde el soporte lógico y los respectivos datos que maneja se alojan en los servidores de un proveedor ) así mismo las empresas con redes de suministro complejas y los negocios regulados se encuentran bajo mayor presión de cumplimiento.

 



 Las siguientes son algunas razones por las que las organizaciones están bajo escrutinio en lo que respecta a la seguridad de la información:

 

1-    El delito cibernético es costoso: la seguridad cibernética se está expandiendo porque la mayoría de las empresas no pueden permitirse filtraciones de datos.

2-    Todo está automatizado: cada vez más la infraestructura de una empresa se basa en la tecnología a medida que sus procedimientos se automatizan con código al que pueden acceder los delincuentes que piratean el sistema. En consecuencia, cuantas más actividades se realicen digitalmente, más posibilidades tienen los piratas informáticos de obtener información confidencial.

3-    Las vulnerabilidades están en todas partes: existe una amplia gama de tecnologías que los piratas informáticos pueden explotar, no solo computadoras, sitios web y servidores. Más elementos y sistemas que nunca son vulnerables a los ataques cibernéticos, desde sistemas de aerolíneas y alarmas de automóviles hasta redes eléctricas y sistemas de seguridad.

 

Las 5 ventajas más importantes


    La implementación de un SGSI conlleva numerosas ventajas para la empresa. Algunas de los cuales son:

 

·       Disminuirá el peligro de pérdida de información valiosa para la empresa y aumentará la garantía de continuidad de la misma después de un incidente grave.

·       Se ahorrarán costes y se mejorará la competitividad, puesto que la empresa tendrá una cara fiable y de prestigio.

·       Debido a las auditorías externas, se captarán rápidamente las debilidades del SGSI y los aspectos susceptibles de mejora.

·       Se cumplirá con la legislación en lo relativo a la información personal y a la propiedad intelectual.

·       Se revisarán los posibles riesgos de manera continua y se implementará una metodología de gestión de seguridad estructurada y clara.










By at

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Auditoria de Tecnología de Información y Seguridad de Datos

Artículos Yirso Infante, SGSI

https://docs.google.com/document/d/1WRsV312O8QUxLA7JWON03VF-jZmHoaex/edit?usp=drivesdk&ouid=109181301035130102245&rtpof=true&sd=...

  • LA ÉTICA EN LA AUDITORÍA
                                                                                             Juan C Quiroz                                     ...
  • LOS 7 PRINCIPIOS DE LAS AUDITORIAS
                                                                                                                Juan c Quiroz Los 7 principios d...
  • ISO 9000 / 27001 / 27002 (International Organization for Standardization)
                                                                                          Raquel A  González               ISO      El Organismo...