Diseño de un Sistema de Gestión de Seguridad de la Información

  • Alcance: consiste en definir el alcance del sistema. Este debe determinar las partes o procesos de la organización que van a ser incluidos dentro del mismo. Se deben determinar cuáles son los procesos críticos para su organización decidiendo qué es lo quiere proteger y por dónde debe empezar.
    • Las actividades de la organización
    • Las ubicaciones físicas que van a verse involucradas
    • La tecnología de la organización y las áreas que quedarán excluidas en la implantación del sistema (hay que estimar los recursos económicos y de personal que se van a implantar y mantener en el sistema).
  • Política de Seguridad a seguir: su principal objetivo es recoger las directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la organización a la legislación vigente.
    • Debe de establecer las pautas de actuación en el caso de incidentes y definir las responsabilidades.
    • El documento debe delimitar qué se tiene que proteger, de quién y por qué.
    • Debe explicar qué es lo que está permitido y qué no; determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan.
    • Identificar los riesgos a los que está sometida la organización.

Para que la Política de Seguridad sea un documento de utilidad en la organización y cumpla con lo establecido en la norma ISO 27001 debe cumplir los siguientes requisitos:

Etiquetado con: