El Sistema de Gestión de Seguridad de la Información resumido en 10 recomendaciones

El Sistema de Gestión de Seguridad de la Información resumido en 10 recomendaciones

La implantación a nivel corporativo de políticas y procedimientos de gestión segura de la información, permite no solo el despliegue de unas medidas técnicas informáticas adecuadas, sino también la realización de un cambio organizativo en la forma de trabajar de todas las personas que componen la empresa.

El hecho de tener documentos internos que sirvan de guías de actuación, permite no solo anticiparse a posibles problemas y debilidades a nivel de seguridad y privacidad, sino también y en caso de sufrir un ciberataque, saber dar una respuesta rápida y conjunta entre todas las áreas y departamentos afectados, para poder contener la incidencia.

10 recomendaciones

Por ello venimos a recordar de forma resumida 10 recomendaciones en las cuales ha de basarse una buena gestión de la seguridad en nuestra empresa (sin seguir el orden estricto de los apartados de la Norma ISO/IEC27001):

  1. Determinar el contexto de la empresa en aspectos de seguridad, teniendo en especial consideración la legislación aplicable a determinado tipo de datos o actividades (Protección de Datos – RGPD, Ciberseguridad – normativa NIS, etc.).
  2. Consultar opiniones a terceras partes interesadas y adoptar sugerencias y recomendaciones de clientes y proveedores para mejorar la seguridad.
  3. Comparar la gestión de la seguridad actual con el alcance y el campo de aplicación de estándares y marcos de referencia (ISO/IEC27001 o Esquema Nacional de Seguridad).
  4. Determinar los riesgos existentes y definir las medidas técnicas y organizativas adecuadas a implantar para mitigarlos.
  5. Conseguir el compromiso y apoyo de la alta dirección para realizar los cambios necesarios en el nivel de seguridad y adaptar la actividad de la empresa a los principios básicos de confidencialidad, integridad, disponibilidad y resiliencia.
  6. Asignar funciones, responsabilidades y competencias claras y debidamente planificadas en el tiempo y definir equipos de seguimiento continuado, que adapten las políticas y los procedimientos a la evolución de la empresa y a las tecnologías utilizadas.
  7. Motivar y concienciar al personal mediante formación e incentivos, a fin de que sean capaces de determinar el nivel de seguridad aplicable a cada tipo de información y detectar de forma independiente posibles debilidades o amenazas.
  8. Fomentar la comunicación interna entre todas las áreas, y entre estas y el Responsable de Seguridad o el departamento de IT, mediante canales conocidos y continuados.
  9. Revisar periódicamente el nivel de seguridad mediante auditorías internas y externas para garantizar la mejora continua y la correcta adaptación al cambio.
  10. Plantear la certificación de nuestro Sistema de Gestión de Seguridad de la Información conforme a la ISO/IEC27001 o Esquema Nacional de Seguridad, como sello de garantía y confianza.
0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather