Un sistema de gestión de la seguridad de la información (SGSI) es un enfoque sistemático para la gestión de la información sensible de una organización, de manera que ésta permanezca segura. Incluye políticas y procedimientos sobre cómo se protegen los datos del acceso, uso, divulgación y destrucción no autorizados.
Un SGSI está diseñado para ayudar a una organización a gestionar sus riesgos de seguridad de la información, incluidos los que pueden resultar de las nuevas tecnologías, los procesos empresariales o las amenazas externas. Es un enfoque proactivo que ayuda a una organización a anticipar, evaluar y responder a las amenazas de seguridad.
Un SGSI se implementa normalmente utilizando un marco, como la ISO 27001, que proporciona orientación sobre cómo establecer, implementar, mantener y mejorar un SGSI.
¿Cuáles son los 3 principios de la seguridad de la información?
Los tres principios de la seguridad de la información son la confidencialidad, la integridad y la disponibilidad.
La confidencialidad se refiere al secreto de la información. Es el principio que garantiza que la información sólo es accesible para aquellos que están autorizados a verla.
La integridad se refiere a la exactitud y exhaustividad de la información. Es el principio que garantiza que la información no se altere de forma no autorizada o accidental.
La disponibilidad se refiere a la disponibilidad de la información. Es el principio que garantiza que la información es accesible a los usuarios autorizados cuando la necesitan.
¿Cuál es el objetivo principal de la política del SGSI?
El objetivo principal de una política de SGSI es establecer un marco para gestionar los riesgos de seguridad de la información de una organización. La política debe identificar las funciones y responsabilidades de los individuos y departamentos dentro de la organización, y especificar los procedimientos para manejar los incidentes de seguridad de la información. ¿Cuál es el principal objetivo de la política del SGSI? El principal objetivo de una política de SGSI es establecer un marco para gestionar los riesgos de seguridad de la información de una organización. La política debe identificar las funciones y responsabilidades de los individuos y departamentos dentro de la organización, y especificar los procedimientos para manejar los incidentes de seguridad de la información.
¿Cuáles son los requisitos de la norma ISO 27001?
ISO 27001 es una norma de seguridad de la información que se publicó en octubre de 2013. Proporciona un marco para un sistema de gestión de seguridad de la información (ISMS), y es parte de la familia de normas ISO 27000.
La norma está diseñada para ayudar a las organizaciones a:
- Establecer, implementar, mantener y mejorar continuamente un SGSI
- Proteger los activos de información
- Mejorar la capacidad de la organización para hacer frente a los riesgos de seguridad de la información
- Demostrar el cumplimiento de las leyes y reglamentos aplicables
La norma ISO 27001 está organizada en cuatro secciones:
- Introducción
- Principios de seguridad
- Marco para un SGSI
- Requisitos para un SGSI
Los requisitos para un SGSI se dividen en dos cláusulas:
- Cláusula 4: Sistema de Gestión
- Cláusula 5: Controles del SGSI
La cláusula 4 de la norma ISO 27001 describe los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI. Esto incluye los requisitos para el alcance del SGSI, la documentación, las funciones y responsabilidades, y el compromiso de la dirección.
La cláusula 5 de la norma ISO 27001 describe los requisitos para la selección e implementación de los controles de seguridad. Estos controles están diseñados para proteger los activos de información y reducir los riesgos de seguridad de la información. La norma incluye un anexo con una lista de posibles controles que se pueden utilizar. ¿Cuáles son los tres principios de la norma ISO 27001? Los tres principios de la ISO 27001 son la confidencialidad, la integridad y la disponibilidad.