Sistema de gestión de la seguridad de la información

Un Sistema de Gestión de la Seguridad de la Información (SGSI) (en inglés: Information Security Management System, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001,[1]​ aunque no es la única normativa que utiliza este término o concepto.

ENISA: Gestión de riesgo y actividades del SGSI.

Un SGSI es para una organización el diseño, implementación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.

 
Ciclo de Deming.

La ISO/IEC 27001 se basa en el conocido "Ciclo de Deming" Plan-Do-Check-Act (PDCA o PHVA) que significa "Planificar-Hacer-Verificar-Actuar" siendo este un enfoque de mejora continua:

  • Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
  • Do (hacer): es una fase que envuelve la implantación y operación de los controles.
  • Check (verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
  • Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.

Otros SGSI

editar
  • O-ISM3. El modelo de madurez de gestión de seguridad de la información de Open Group (O-ISM3) es el marco de Open Group para gestionar la seguridad de la información. Su objetivo es garantizar que los procesos de seguridad en cualquier organización se implementen para operar a un nivel consistente con los requisitos comerciales de esa organización. O-ISM3 define un número integral pero manejable de procesos de seguridad de la información suficiente para las necesidades de la mayoría de las organizaciones, con los controles de seguridad relevantes identificados dentro de cada proceso como un subconjunto esencial de ese proceso. El sitio web «O-ISM3».  indica que el proyecto examinó ISO 9000, COBIT, ITIL, ISO/IEC 27001:2013 y otras normas, y encontraron un potencial de mejora en varios campos, como vincular la seguridad con las necesidades comerciales, utilizando un enfoque basado en procesos, que proporciona algunos detalles adicionales (quién, qué, por qué) para la implementación y sugiere métricas específicas, al tiempo que preserva la compatibilidad con los estándares de gestión de seguridad y TI más populares.
  • SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
  • TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido

Otros marcos de trabajo

editar
  • En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad.
  • PRINCE2 es otro marco de trabajo de buenas prácticas, en este caso relacionadas con la gestión de proyectos, siendo esta, ampliamente utilizada.

Incidente de seguridad y violaciones de seguridad

editar

En España, el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica define un incidente de seguridad. como “aquel suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”.

Por otro lado, el RGPD el que define, las violaciones (o incidencias) de seguridad de los datos personales (también denominadas brechas de seguridad), como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Podemos observar que la principal diferencia entre ambos conceptos radica en que una brecha de seguridad solo se aplicará en el supuesto en el que vean afectados datos de carácter personal, por lo tanto, una brecha de seguridad va a ser en todo caso un incidente de seguridad; sin embargo, cuando hablamos de un incidente de seguridad pueden no verse afectados datos de carácter personal y por tanto no incluir el concepto de brecha.[2]

Véase también

editar

Referencias

editar
  1. Cao Avellaneda, Javier (14 de febrero de 2011). «Medición de un SGSI: diseñando el cuadro de mandos (I)» (html). INCIBE. Archivado desde el original el 10 de marzo de 2020. Consultado el 9 de marzo de 2020. «Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables o deseados.» 
  2. Morán, Cristina Zato (5 de junio de 2019). «Regulación de las brechas de seguridad y su notificación a la AEPD y a los interesados». Prodat. Consultado el 3 de septiembre de 2024. 

Enlaces externos

editar