DISEÑO DE UN SISTEMA DE GESTION SEGURIDAD INFORMACION - Tecno-Libro

Ver Índice

'El estándar para la seguridad de la información ISO/IEC 27001 (Information technology Security techniques - Information security management systems - Requirements) fue aprobado y publicado en Octubre de 2005 por la International Organization for Standardization y por la Electrotechnical Commission, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el Ciclo de Deming (Planear, Hacer, Evaluar, Actuar). Es consistente con las prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS 7799-2:2002.
Características:
Este manual cubre el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un Sistema de Gestión de Seguridad de Información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Contiene un método completo para instaurar en cualquier firma un SGSI basado en la Norma ISO 27001:2005. Las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación.
Lamentablemente, lo único que suelen hacer las empresas, frente a la seguridad de información, es actuar de manera reactiva. Al presentarse un incidente, se establece un control. Y pareciera que la labor de las personas encargadas de la seguridad de información consiste en administrar controles, y reaccionar ante la aparición de incidentes de seguridad. Rara vez se actúa de manera proactiva. Frente a la seguridad de información debiéremos actuar de manera diferente: identificar los activos de información que poseen y con una tasación conocer su impacto en la empresa.'

Este manual cubre el vacAƒA o generado por la falta de un mAƒA©todo documentado sobre cAƒA mo proceder a implantar en cualquier empresa un sistema de gestiAƒA n de seguridad de informaciAƒA n (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Contiene un mAƒA©todo completo para instaurar en cualquier firma un SGSI basado en la norma ISO 27001: 2005. las fases y las actividades de la metodologAƒA a sirven de guAƒA a a los profesionales encargados de manejar proyectos de implantaciAƒA n.

Al instaurar un SGSI, usualmente no se sabe con precisiAƒA n cAƒA mo se procede a documentar el modelo. Con quAƒA© clAƒA¡usula se debe iniciar la documentaciAƒA n? CAƒA mo se documenta un procedimiento para que sea amigable y sea una herramienta de trabajo? En el libro se resuelven con la debida profundidad estas preguntas y en AƒA©l se presenta la estructura piramidal de la documentaciAƒA n del modelo ISO 27001: 2005 y AƒA©l mAƒA©todo de los 13 pasos para documentar un SGSI, el cual debe convertirse en una gran asistencia para los responsables de documentar los sistemas. Concreta y detalladamente, se describen las fases y los pasos de la metodologAƒA a para diseAƒA ar un Plan de Continuidad del Negocio (PCN). No existe un SGSI si no se tiene instaurado un PCN. En el capAƒA tulo 4 se aborda con detalle metodolAƒA gico el proceso de elaboraciAƒA n de un PCN. Esta metodologAƒA a debe ser una lectura obligada de todo profesional interesado en elaborar planes de continuidad del negocio para cualquier empresa.

Con sencillez, se le presentan al lector o lectora los distintos pasos para realizar, dentro de la AƒA ptica de la norma ISO 27001: 2005, el anAƒA¡lisis y la evaluaciAƒA n del riesgo de activos de informaciAƒA n. AsAƒA entenderAƒA¡ cAƒA mo se establecen las opciones de tratamiento del riesgo y se procede a elaborar un plan de tratamiento del riesgo, para una empresa determinada.

Este texto deberAƒA¡ utilizarse en los programas de pre y posgrado en carreras de tecnologAƒA a de informaciAƒA n y administraciAƒA n de empresas, y por profesionales dedicados a la auditoria de SGSI, y considerado un manual de gran por los consultores de empresas.