¿Qué es un SGSI?
Un SGSI (Sistema de Gestión de la Seguridad de la Información) consiste en un conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionados de manera colectiva por una organización.
Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio.
El SGSI se conecta con la ISO 27005 y la ISO 31000 como familia, la cual desarrolla una visión del proceso del riesgo de seguridad en la información con: Establecimiento de contexto, identificación, estimación, evaluación, tratamiento y aceptación del riesgo de la organización.
El SGSI protege los activos de la información y contiene los controles adecuados para garantizar la protección de estos activos de información.
Contribución a la Organización de un SGSI.
- La conciencia de la organización en la necesidad de seguridad de la información.
- La asignación de responsabilidades en seguridad de la información.
- El compromiso de la Alta Dirección.
- Tomar en cuenta la necesidad y requisitos de las partes interesadas.
- La gestión de los riesgos para determinar los controles adecuados para alcanzar niveles aceptables de riesgo.
- La seguridad de la información como un componente esencial de los procesos.
- La prevención y detección activas de incidentes de seguridad de la información.
- Generación de capacidad de cumplimiento.
- La mejora continua de los procesos a través de la seguridad de la información.