Tal y como hago referencia en el anterior post denominado “CONCEPTO Y BENEFICIOS DE LA SGSI”, existen una serie de pasos para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), el primero de ellos es PLANEAR (Creación del SGSI), que es el momento de definir la política, objetivos, procesos y procedimiento del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización.
Para la creación de la SGSI, la organización debe hacer lo siguientes:
Definir el alcance según las características de la actividad empresarial, la organización, su ubicación, activos y tecnología.
Definir la política de la SGSI, cuyo documento deberá contener, al menos:
a. Una definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la información.
b. Establecer objetivos de gerencia como soporte de los objetivos y principios de la Seguridad de la Información.
c. Objetivos de control, incluyendo la estructura de evaluación y gestión del riesgo.
d. Explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.
e. Responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluida la comunicación de las incidencias de seguridad.
f. Referencias a documentación que pueda sustentar la política.
Definir el enfoque de la evaluación de riesgos de la organización
a. Establecer metodologías para la evaluación de riesgos, las necesidades del negocio en materia de seguridad de la información de la empresa y los requisitos legales y reglamentarios.
b. Desarrollar criterios de aceptación de riesgo y fijar los niveles de riesgo aceptables.
Identificar los riesgos, se basa en la identificación de los activos, así como las amenazas y vulnerabilidades que afectan a los mismos.
Analizar y valorar los riesgos
a. Evaluar los efectos en la actividad de la organización que pudieran derivarse de eventuales fallos de seguridad, con la consecuente perdida de confidencialidad, integridad y disponibilidad de los activos.
b. Evaluar la probabilidad de que se produzcan fallos de seguridad debido a las amenazas y vulnerabilidades existentes.
c. Estimar los niveles de riesgo.
d. Determinar si los riesgos son aceptables o si requieren un tratamiento.
Identificar y evaluar las opciones para el tratamiento de riesgos
Para cada uno de los riesgos identificados, se toma una decisión para el tratamiento del riesgo, entre los que se pueden incluir:
a. La aplicación de controles apropiados para el tratamiento del riesgo.
b. Evitar la realización de acciones que puedan causar que estos riesgos ocurran.
c. Transferir los riesgos asociados a terceros como son los proveedores.
Se deben seleccionar e implementar controles para conocer los requerimientos identificados por una evaluación de riesgos. Los controles deben asegurarse de que los riesgos son reducidos a un nivel aceptable tomando en cuenta:
a. Exigencias de las legislaciones y regulaciones nacionales e internacionales.
b. Objetivos organizacionales.
c. Exigencias operacionales.
d. Costo de la implementación y operación en relación con los riesgos que serán reducidos.
Se debe tener en cuenta que ningún conjunto de controles puede alcanzar completa seguridad y que una gestión adicional deberá implementarse para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para apoyar las necesidades de la organización.