Seguridad Informacion
Enviado por mheredial • 17 de Noviembre de 2014 • 1.144 Palabras (5 Páginas) • 259 Visitas
Sistema de Gestión de Seguridad de la Información ISO 27001
En el presente ensayo voy a exponer algunas ideas acerca de lo que es la seguridad de la información, sus beneficios y la necesidad que tienen las organizaciones de salvaguardar su información para garantizar la continuidad de sus operaciones y como todas estas acciones pueden darse dentro de un marco de trabajo que permita gestionar la seguridad de una manera planificada y organizada teniendo siempre presente la generación de valor y el alineamiento a los objetivos organizacionales.
En la actualidad las organizaciones se benefician del uso de las tecnologías de la información permitiendo una mayor eficiencia en sus procesos de negocios y mejoras en la entrega de servicios, sin embargo estos mismos adelantos tecnológicos están exponiendo a la información que disponen, a ciertos riesgos de seguridad que si no son gestionados de manera adecuada pueden impactar negativamente poniendo en riesgo la continuidad de la organización.
Es por ello que las organizaciones deben ser concientes de la importancia que tiene la información para el desarrollo de sus actividades, la toma de decisiones y el logro de sus objetivos; y que por tanto es necesario adoptar medidas adecuadas para su protección sobretodo de aquella información considerada critica, frente a amenazas que pongan en riego la preservación de su confidencialidad, integridad y disponibilidad.
Adoptar oportunamente medidas de seguridad apropiadas para la protección de la información, permitirá a la organización entre otros beneficios, minimizar el impacto negativo (perdida financiera, perdida de reputación, etc) que pudiera ocasionar su perdida, además de permitir el cumplimiento legal y asegurar la continuidad del negocio, sin embargo hasta ahora muchas organizaciones han venido invirtiendo muchos recursos en la implementación de controles (que por lo general son controles de tipo técnico) principalmente para asegurar su infraestructura tecnológica pero que muchas veces resultan en medidas aisladas y poco efectivas que no consideran el hecho que la seguridad de la información tiene que analizarse desde una perspectiva integral y transversal a toda la organización.
En este sentido la seguridad debe ser vista como un proceso continuo que debe ser controlado, gestionado y monitoreado y es lo que la norma NTP-ISO/IEC 27001:2008 propone mediante la adopción de un sistema de gestión de seguridad de la información que identifica y evalúa los riesgos, con el objetivo de implantar medidas, procesos y procedimientos para su apropiado control, tratamiento y mejora continua.
De este modo la implementación de un sistema de gestión de seguridad de la información (SGSI) permite que la organización deje de actuar de manera intuitiva respecto a la seguridad de sus activos y adopte un modelo de gestión para la seguridad, que este alineado a los requerimientos y objetivos del negocio. Este modelo esta basado en un enfoque de procesos y compuesto por una serie de fases que a continuación menciono.
Esta norma, especifica los requisitos para el establecimiento, implementación, operación, monitoreo, revisión y mejora de un SGSI, teniendo en cuenta los riesgos para la seguridad y este es uno aspecto fundamental, pues la selección e implementación de los objetivos de control y controles, deben ser producto de un análisis de riesgo previo que permita la planificación y priorización de las acciones a realizar teniendo en cuenta los recursos disponibles y el apoyo en el logro de objetivos de la organización.
Algo que me parece importante resaltar acerca de esta norma que esta basada en controles, es que en su Anexo A, organiza estos controles en 11 dominios
...