¿Para qué sirve un SGSI? Controles y fases

La seguridad es una de las preocupaciones de las empresas hoy en día, donde la información se ha convertido en uno de sus principales activos.

Garantizar la privacidad e integridad de los datos que maneja un negocio le permite ganar un mayor grado de confianza por parte de sus clientes a la vez que cumple con las normativas legales en relación con la protección de datos. 

El sistema SGSI es una guía que permite a las empresas evaluar los riesgos y definir las aplicaciones de control necesarias para poder eliminarlos o minimizar sus consecuencias negativas.

Qué es SGSI 

El sistema de seguridad de la información o SGSI (Information Security Management System) tiene como objetivo evaluar todos los riesgos asociados con los datos e información que se manejan en una empresa. El SGSI es un elemento fundamental de la norma internacional ISO 27001 (Sistemas de Gestión de la Seguridad de la Información), que persigue asegurar la integridad y confidencialidad de los datos y los sistemas encargados de procesarlos. 

Las empresas que obtienen el certificado ISO 27001 se diferencian por su tratamiento seguro y preciso de todos los datos que manejan y garantizan que se utiliza un sistema de seguridad de la información, que es un estándar a nivel internacional para proteger la privacidad e integridad de la información. 

Para qué sirve SGSI 

El SGSI es un sistema de fácil implantación tanto para grandes empresas como para pymes. Es una herramienta para conocer y gestionar los riesgos a los que se enfrenta el negocio al manejar su información en el día a día. Al implementar SGSI se podrá eliminar esos riesgos o establecer los mecanismos necesarios para mitigar sus consecuencias. 

Los principales beneficios que obtiene una empresa al implantar un sistema SGSI para la seguridad de sus datos son: 

• Reducción de riesgos. Se identificarán los riesgos y amenazas gracias a controles, protocolos, políticas y monitorización de procesos logrando reducir el número de amenazas de forma notable. En caso de que se produzca un incidente relacionado con los datos, el negocio estará preparado para actuar de forma inmediata minimizando su impacto. 
• Reducción de costes. Se optimizará todo el proceso para evaluar y detectar amenazas descartando aquellos poco eficaces. Con un uso racional de los recursos se conseguirá un ahorro de costes en seguridad. 
• Integración de la seguridad en el negocio. Este sistema requiere de la implicación de todos los miembros de la empresa y del cambio de mentalidad, pasando a ser la seguridad uno de los componentes más importantes en cualquier proceso o actividad del negocio. 
• Cumplimiento de la normativa vigente en seguridad. Las leyes nacionales e internacionales para el tratamiento y protección de datos estarán cubiertas garantizando que se cumplen en todos los niveles o áreas de la empresa. 
• Incremento de la competitividad. Con este sistema se dispondrá de una prestigiosa certificación ISO de seguridad que será un elemento diferenciador con la competencia. Los clientes se sentirán más confiados y seguros de compartir sus datos personales, bancarios, gustos, y similares al saber que la empresa utiliza las mejores prácticas para garantizar que estén seguros. 

Cuáles son las características de SGSI 

Las tres características en las que se basa SGSI son la integridad, la confidencialidad y la disponibilidad: 

Integridad 

La información siempre debe permanecer exacta e inalterable, así como los procesos encargados de utilizarla. Bajo ninguna circunstancia los datos pueden modificarse ni alterarse sin que la empresa lo autorice por alguna causa justificada. 

Confidencialidad 

Los datos que maneja la empresa son confidenciales y no pueden ser revelados a terceros (otras empresas, entidades o personas). La información es propiedad de la empresa y debe utilizarse única y exclusivamente por ella. 

Disponibilidad 

La disponibilidad puede parecer una característica opuesta a la confidencialidad. Sin embargo, en un SGSI, la disponibilidad hace referencia a la posibilidad de que personas, empresas o procesos autorizados puedan acceder a la información del negocio. 

Otras características 

El sistema SGSI también cuenta con otras características y elementos como la definición de objetivos, la formación del personal en seguridad, el enfoque en los riesgos, la necesidad del apoyo de la dirección de la empresa en materia de seguridad, o el compromiso de una mejora continua del sistema.

Controles y fases SGSI 

Para implantar el SGSI se debe utilizar el Ciclo de Deming o PDCA (Plan, Do, Check, Act) que hace referencia a la serie planea, implementa, comprueba y actúa. Se trata de un sistema que está diseñado para implementar una mejora continua en la gestión y ejecución de procesos. 

El conocido como Ciclo de Deming cuenta con las siguientes fases: 

• Planificar (Plan). En la fase inicial se realiza una evaluación de todos los riesgos y amenazas sobre la información que se producen en las distintas áreas de la empresa. Se deben establecer los controles oportunos para medir el nivel de riesgo de los datos en su flujo interno y externo y definir las políticas necesarias para el cumplimiento de las medidas de seguridad. 
• Hacer (Do). En esta fase se implementa la selección de controles adecuados para medir los riesgos. En esta fase se pone en marcha el sistema SGSI para la detección y evaluación de los riesgos y amenazas. 
• Comprobar (Check). En esta fase se debe evaluar y revisar la eficiencia y la eficacia. Mediante KPI (métricas asociadas a objetivos) y el análisis de feedback se puede determinar si se están alcanzando los objetivos fijados. Es la etapa donde se detectan fallos o errores que deben ser corregidos. 
• Actuar (Act). En esta última fase se aplican las correcciones o cambios necesarios en el sistema para sacar el máximo rendimiento y que fueron detectados en la fase anterior de comprobación. 

Hay que tener en cuenta que el SGSI es un sistema dinámico que persigue una mejora continua en la detección, evaluación y reducción de amenazas y riesgos de la información. Por lo tanto, se trata de un ciclo que se repite, con cambios de planificación, nuevas implementaciones en seguridad, monitoreo y control continuo, y aplicaciones y ajustes constantes para alcanzar un alto nivel de seguridad de los datos de la empresa. 

Con la implementación de un sistema SGSI se consigue establecer una serie de procesos y controles para mejorar y proteger el acceso a la información que se maneja en el día a día de las empresas. 

Los riesgos a los que se enfrenta una organización en la actualidad son muy amplios y peligrosos con ataques externos a sus servidores (como los de denegación de servicio) e infecciones de malware (como los peligrosos ransomware o phishing).

Con un SGSI la empresa incrementará de forma notable su nivel de protección reduciendo los riesgos de sufrir este tipo de ataques y estando preparada para minimizar sus consecuencias en caso de que se produzcan. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.