Implementación de un SGSI.
Es la hora de diseñar nuestros procesos de seguridad integrándolos en los procesos de nuestra organización tomando en cuenta los hallazgos identificados y los controles para mitigar los riesgos que deberemos poner en funcionamiento para garantizar niveles aceptables en la confidencialidad, integridad y disponibilidad de la información.
Medición de controles.
Controles de Gestión: En este grupo estarán aquellos que afectan la organización de la empresa en cuanto a su estructura y métodos de trabajo, las responsabilidades sobre la seguridad de la información, las instrucciones de uso de dispositivos etc.
Controles Técnicos: Aquellos controles que tienen en cuenta más que nada factores tecnológicos como las medidas de seguridad sobre software de protección para el correo electrónico o medidas para proteger las comunicaciones o accesos externos (firewalls etc.)
Controles Operacionales: Nos referimos a las medidas que tienden a eliminar o minimizar los riesgos en la seguridad de la información mediante directrices sobre tareas peligrosas etc. Programas de formación para garantizar el buen entendimiento de las medidas de seguridad y la sensibilización de los empleados.
Controles de cumplimiento: Proyectos para incorporar o mejorar el cumplimiento y adaptación de las actividades realizadas con las regulaciones del sector y gubernamentales en relación a la seguridad de la información.
Proceso de la seguridad.
La seguridad de la información es un proceso cíclico que nos permite garantizar la mejora continua. Objetivo de fondo de cualquier sistema de Gestión, no se trata de conseguir en una primera fase atacar frontalmente todos los requisitos de la seguridad de la información para luego quedarnos estancados, sino de conseguir progresivamente una mejora de nuestros procesos de acuerdo a las posibilidades y necesidades de una organización
En el siguiente diagrama mostramos una representación de como se ha de entender esto en el nivel de procesos de seguridad y establecimiento de controles.
Los procesos de seguridad podemos sacarlos de los propuestos en el anexo A de la norma ISO/IEC 27001:2022.