Leer más acerca de Instituto Internacional de Seguridad Cibernética aquí

Sistema de gestión de seguridad de la información

SERVICIOS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

Sistema de gestión de seguridad de la información | Auditoría de sistemas de información



Según perspectiva global de empresas de seguridad en los sistemas de información; integridad, confidencialidad, disponibilidad, auditabilidad y no repudio forman los cinco pilares fundamentales para seguridad en sistemas de información. Para las pequeñas y medianas empresas en los países como México, Brasil, Estados Unidos, Colombia, Argentina, UAE, India, el tema de seguridad en sistemas de información es muy importante. La auditoría de sistemas de información ayudan al mejoramiento de la seguridad en sistemas de información, haciendo que los sistemas permanezcan preparados ante eventualidades que puedan interrumpir el crecimiento de una empresa. Las empresas pueden implementar seguridad en los sistemas de información con ayuda del sistema de gestión de seguridad de la información.
El sistema de gestión de seguridad de la información abarca diferentes temas, como planeación de seguridad, políticas de seguridad en sistemas de información, aseguramiento de los recursos empresarial, entre otros. La implementación completa del sistema de gestión de seguridad de la información se compone de tres procesos:

1. Planificación
2. Implementación
3. Verificación y Actualización

Según Mike Steven, el experto de la auditoría de sistemas de información; la implementación de una solución de auditoría de sistemas de información, brinda muchas funciones. Las funciones incluyen una visibilidad del estado actual de sistemas, los controles de seguridad en los sistemas de información y la especialización en seguridad de la información que se pueden aplicar para tomar decisiones acertadas sobre la estrategia aplicada. A continuación, se explican más detalle los procesos del sistema de gestión de seguridad de la información.

Planificación del sistema de gestión de seguridad de la información


En este proceso hacen el diseño de la arquitectura del sistema de gestión de seguridad de la información. Los expertos de seguridad en los sistemas de información afirman que, este proceso ayuda establecer las políticas de auditoría de sistemas de información, y lograr objetivos empresariales relacionados a la seguridad informática. El primer paso en el proceso de planificación es determinar los requerimientos.

Determinar los requerimientos de la seguridad

Los requerimientos de la seguridad, se determinan mediante la realización de la auditoría de sistemas de información y es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. Auditoría ayuda a calcular los posibles impactos de los riesgos, su probabilidad de ocurrencia e identificación de los recursos a proteger.

Según el experto de auditoría de sistemas de información; los servicios de seguridad en los sistemas de información deben:
• Definir los recursos informáticos.
• Identificar y evaluar las amenazas y vulnerabilidades junto con sus prioridades.

Los servicios de seguridad en los sistemas de información se pueden diferenciar en dos aspectos:
• El servicio de seguridad en los sistemas de información para evaluación de los riesgos y determinar los sistemas que, pueden verse afectados por amenazas y estableciendo sus prioridades e impactos.
• El servicio de seguridad en los sistemas de información para la identificación, selección, aprobación, manejo de los riesgos y controles de seguridad en sistemas de información para eliminar o reducir los riesgos. Los expertos de auditoría de sistemas de información afirman que este servicio ayuda en la limitación del impacto de una amenaza y recuperación del impacto.

En resumen, los servicios de seguridad en los sistemas de información deben determinar los requerimientos de la seguridad y deben cubrir los siguientes procesos.

1. Definir los sistemas de información
Definir los sistemas de información incluye la determinación de los recursos informáticos que deben ser protegidos, sus valoraciones y clasificaciones según sus prioridades. Según el experto de auditoría de sistemas de información; una buena definición del sistemas de información debe incluir cualquier aspecto que haga más precisa su descripción como su ubicación, tipos de tecnología, personal que operan etc.
El personal con especialización en seguridad en los sistemas de información debe realizar la valoración de los sistemas de información y debe realizar la valoración teniendo en cuenta aspectos tales como: la función que realizan y su costo. Mike Steven, el experto de seguridad en los sistemas de información menciona, que este proceso ayuda a determinar los sistemas de información críticos y los riesgos a que están sometidos. Según experiencia de los personales con especialización en auditoría de sistemas de información, existe la tendencia de declarar críticos a sistemas de información que en realidad no lo son. A la hora de tratar este aspecto la empresa debe tomar ayuda de personal con con experiencia en implementación completa del sistema de gestión de seguridad de la información para evitar los problemas en el futuro.

2. Identificación y evaluación de los riesgos de seguridad en sistemas de información
Las empresas pueden identificar los riesgos de seguridad en sistemas de información mediante la realización de auditoría de sistemas de información y esto es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. La realización de auditoría implica el examen de cada una de las amenazas. Algunas empresas de auditoría de sistemas de información también realizan la estimación de los riesgos. La estimación de los riesgos determina las probabilidades de materialización de las amenazas y ayuda en la selección de los controles de seguridad que deben ser establecidos.
Según especialistas de auditoría de sistemas de información, es necesario evaluar de manera crítica la efectividad de las soluciones de seguridad en los sistemas de información existentes, sobre la base de los resultados del análisis de riesgos realizado. Esto ayudará a orientar e implementar las soluciones con mucha efectividad o tomar ayuda de una empresa de seguridad en los sistemas de información para protegerse.

3. Selección de los controles de seguridad de la información
Las empresas deben seleccionar los controles de seguridad basados en la auditoría de sistemas de información, los criterios para la aceptación del riesgo, las opciones para el tratamiento, y para cumplir las normas de seguridad. Las empresas pueden identificar los controles de seguridad mediante la realización de auditoría. Los controles de seguridad forman una parte integral de una auditoría de sistemas de información y de la arquitectura del sistema de gestión de seguridad de la información. Implementación de un sistema de gestión de seguridad de la información se logra implantando un conjunto adecuado de controles, que incluyen políticas, procedimientos, procesos y diferentes soluciones.
Selección de los controles de seguridad debe ser avalada por personales con experticia en implementación de gestión de seguridad de la información y por jefes de las empresas que tiene el poder de hacerlas cumplir. Según expertos de auditoría de sistemas de información, los procedimientos y soluciones constituyen los pasos requeridos para proteger los sistemas. Los controles deben ser instrumentados mediante los procedimientos y soluciones que garanticen sus cumplimientos. Las soluciones de seguridad en los sistemas de información se clasifican de acuerdo a su origen: administrativas; de seguridad física o lógica; de seguridad de operaciones; y educativas. A su vez, por forma de actuar, las soluciones pueden ser: preventivas, de detección y de recuperación. En caso que la empresa no tenga la especialización en auditoría de sistemas de información para implementar las soluciones, podría establecer contactos con empresas de seguridad en los sistemas de información o grupos externos, incluyendo autoridades pertinentes, para mantenerse al día con tendencias de la industria, seguimiento de normas, y métodos de evaluación.

Implementación del sistema de gestión de seguridad de la información


El proceso de implementación del sistema de gestión de seguridad de la información incluye gestión de los riesgos identificados mediante la aplicación de los controles y las soluciones de seguridad en los sistemas de información. Este proceso asegura que el personal de la empresa tiene el conocimiento y las habilidades, mediante la formación y el curso de seguridad de la información. Según expertos de la auditoría de sistemas de información, las empresas deben implementar programas de capacitación y los cursos de seguridad de la información que debe cubrir siguientes aspectos:

1. El personal debe tener la conciencia de la importancia que el SGSI y auditoría de sistemas de información tiene para la organización.
2. El curso de auditoría de sistemas de información debe asegurar la divulgación del conocimiento y comprensión de las políticas de seguridad que se implementan.
3. El curso debe capacitar a los usuarios en los procedimientos y soluciones que se van a implantar.
4. El personal debe estar consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información después de tomar el curso de seguridad de la información.
5. Con ayuda de del curso, el personal debe entender los procedimientos y controles que se requieran para detectar y dar respuesta oportuna a los incidentes de seguridad.

De modo que el proceso de implementación del sistema de gestión de seguridad de la información sea exitoso las empresas deben asegurar la implementación de todos los controles, que incluyen políticas, procedimientos, procesos, soluciones de seguridad en los sistemas de información y desarrollo de habilidades del personal con los cursos.

Verificación y actualización de sistema de gestión de seguridad de la información


El proceso de verificación del sistema de gestión de seguridad de la información incluye comprobación del rendimiento y la eficacia del SGSI, verificación periódica de los riesgos residuales. Según empresa de auditoría de sistemas de información, los clientes deben realizar auditorías internas/externas periódicamente para lograr el objetivo empresarial.
El proceso de actualización del sistema de gestión de seguridad de la información incluye realización de los cambios basados en los resultados del proceso de verificación para asegurar máximo rendimiento del sistema de gestión de seguridad de la información. Este proceso se suele llevar en paralelo con el proceso de la verificación y también se lleva a cabo las labores de mantenimiento del sistema. Según expertos de auditoría de sistemas de información, durante la implementación de este proceso se requiere modificación de los control de seguridad o implementar nuevas soluciones de seguridad en los sistemas de información. Entonces las empresas deben evaluar los nuevos riesgos y proporcionar formación al personal sobre los cambios o nuevas soluciones.

La implementación de sistema de gestión de seguridad de la información es un paso importante en el ámbito de seguridad. IICS, una organización con especialización en auditoría de sistemas de información, es una fuente de asesoramiento especializado. Nuestros expertos de auditoría de sistemas de información han trabado con sector privado y público en varios países. Con centros de especialización en seguridad de la información en México, EE.UU. e India, el Instituto Internacional de Seguridad Cibernética ofrece soluciones, servicios y cursos de seguridad de la información. Trabajamos con nuestros socios para ofrecer auditoría de sistemas de información en CDMX, México, EE:UU, India, España y otros países. Tenemos programa de partners que reconoce el esfuerzo y la inversión de aliados estratégicos, brindándoles cursos en línea, cursos presenciales, servicios y soluciones para lograr negocios sostenibles y de mutuo beneficio. Nuestro programa de partners/socios está disponible en España, Argentina, Bolivia, Chile, Colombia, Costa Rica, Ecuador, El Salvador , Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, República Dominicana, Belice, Brasil, y Uruguay.

Página del blog

Leer más acerca de Instituto Internacional de Seguridad Cibernética aquí

Leer más acerca de los servicios de Instituto Internacional de Seguridad Cibernética aquí.

Basados en México, USA, India.
Proporcionamos capacitaciones y servicios en todo el mundo
Envíenos un mensaje de texto o un correo electrónico o llámenos o visítenos

Email:
Website: www.iicybersecurity.com

538 Homero # 303-703
Polanco, México D.F (Distrito Federal) - CDMX 11570
México
México Tel: +52 55 9183 5420

620 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
US Tel: +1 267 705 5264

Fifth Floor, HB Twin Tower
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845