DIVILOP Systems - Implantació de Sistemes de Gestio de la Seguretat de la Informació (SGSI) per a xarxes informatiques d'ordinadors a Manresa, Bages, Barcelona i Catalunya

Manteniments ›
Seguretat ›
Implantar un SGSI

Com s'implanta un SGSI

Existeix una normativa en desenvolupament, la ISO 27003, prevista pel maig de 2003, que especifica com s'implanta un SGSI. Mentrestant s'utilitza el sentit comú.

El sentit comú en una política Plan-Do-Check-Act diu que necessitem una primera planificació on s'analitzaran els actius, els riscos i la importància d'aquests riscos. Llavors veurem com mitiguem els riscos. Ja ho tenim planificat.

Especifiquem tota la informació (actius, riscos, vulnerabilitats i actuacions) dins el software SGSI i ja tenim unes guia per anar posant en pràctica les actuacions planificades.

El següent pas consisteix a aprofundir i especificar una avaluació continuada del sistema, a partir de mesures regulars en el temps.

Les mesures s'incorporen a la base de dades del SGSI, les que són incorrectes generen actuacions orientades a restablir els nivells de seguretat. El conjunt de mesures tractat estadísticament es transforma en indicadors que proporcionen informació a diferents nivells al llarg del temps. Evidentment, la sortida d'aquesta informació és automàtica. Si una mesura no s'efectua a temps el resultat és negatiu en aquella mesura i afecta de forma negativa certs indicadors.

Per exemple, una mesura pot consistir a analitzar el resultat d'una copia de seguretat un cop a la setmana. Es puntua de 0 a 10. 10 és quan la còpia s'ha realitzat del tot satisfactòriament, 5 quan ha fallat alguna part d'algun dia, 4 quan ha fallat algun dia, 0 si no es mesura a temps o no es s'ha realitzat cap dia. Si l'indicador general de seguretat (anomenat de seguretat global) contempla 4 indicadors, agregats a parts iguals (un d'ells el de còpia de seguretat), si la copia de seguretat no es revisa, la màxima puntuació d'aquell indicador de seguretat global serà 7,5 en lloc de 10.

Qui rep els informes de funcionament del SGSI

Els informes de seguretat del SGSI els han de rebre els responsables de la informació de l'empresa a diferents nivells. Tenint en compte que, a la majoria de les empreses, la informació és estratègica, el màxim responsable de l'empresa ha de saber de primera mà que els actius d'informació de la empresa estan sota control.