DIVILOP Systems - Mantenimiento de la seguridad de redes informaticas de ordenadores en Manresa, Bages, Barcelona y Cataluña

Mantenimientos ›
Seguridad ›
Implantar un SGSI

Como se implanta un SGSI

Existe una normativa en desarrollo, la ISO 27003, prevista para mayo de 2003, que especifica cómo se implanta un SGSI. Mientras tanto se utiliza el sentido común.

El sentido común en una política Plan-Do-Check-Act dice que necesitamos una primera planificación donde se analizarán los activos, los riesgos y la importancia de estos riesgos. Entonces veremos cómo mitigamos los riesgos. Y ya tenemos la fase de planificación.

Especificamos toda la información (activos, riesgos, vulnerabilidades y actuaciones) dentro del software SGSI y ya tenemos unas guía para ir poniendo en práctica las actuaciones planificadas.

El siguiente paso consiste a profundizar y especificar una evaluación continuada del sistema, a partir de medidas regulares en el tiempo.

Las medidas se incorporan a la base de datos del SGSI, las que son incorrectas generan actuaciones orientadas a restablecer los niveles de seguridad. El conjunto de medidas tratado estadísticamente se transforma en indicadores que proporcionan información a diferentes niveles a lo largo del tiempo. Evidentemente, la salida de esta información es automática. Si una medida no se efectúa a tiempo el resultado es negativo en aquella medida y afecta de forma negativa a ciertos indicadores.

Por ejemplo, una medida puede consistir a analizar el resultado de una copia de seguridad una vez a la semana. Se puntúa de 0 a 10. 10 es cuando la copia se ha realizado del todo satisfactoriamente, 5 cuando ha fallado alguna parte de algún día, 4 cuando ha fallado algún día, 0 si no se mide a tiempo o no se se ha realizado ningún día. Si el indicador general de seguridad (llamado de seguridad global) contempla 4 indicadores, agregados a partes iguales (uno de ellos el de copia de seguridad), si la copia de seguridad no se revisa, la máxima puntuación de aquel indicador de seguridad global será 7,5 en lugar de 10.

Quién recibe los informes de funcionamiento del SGSI

Los informes de seguridad del SGSI los tienen que recibir a los responsables de la información de la empresa a diferentes niveles. Teniendo en cuenta que, a la mayoría de las empresas, la información es estratégica, el máximo responsable de la empresa tiene que saber de primera mano que los activos de información de la empresa están bajo control.