Un Sistema de Gestión de la Seguridad de la Información(SGSI) (en inglés: Information Security Management System, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001,[1] aunque no es la única normativa que utiliza este término o concepto.
ENISA: Gestión de riesgo y actividades del SGSI.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.
La ISO/IEC 27001 se basa en el conocido "Ciclo de Deming" Plan-Do-Check-Act (PDCA o PHVA) que significa "Planificar-Hacer-Verificar-Actuar" siendo este un enfoque de mejora continua:
Plan(planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
Do(hacer): es una fase que envuelve la implantación y operación de los controles.
Check(verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
Act(actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
O-ISM3. El modelo de madurez de gestión de seguridad de la información de Open Group (O-ISM3) es el marco de Open Group para gestionar la seguridad de la información. Su objetivo es garantizar que los procesos de seguridad en cualquier organización se implementen para operar a un nivel consistente con los requisitos comerciales de esa organización. O-ISM3 define un número integral pero manejable de procesos de seguridad de la información suficiente para las necesidades de la mayoría de las organizaciones, con los controles de seguridad relevantes identificados dentro de cada proceso como un subconjunto esencial de ese proceso. El sitio web «O-ISM3». indica que el proyecto examinó ISO 9000, COBIT, ITIL, ISO/IEC 27001:2013 y otras normas, y encontraron un potencial de mejora en varios campos, como vincular la seguridad con las necesidades comerciales, utilizando un enfoque basado en procesos, que proporciona algunos detalles adicionales (quién, qué, por qué) para la implementación y sugiere métricas específicas, al tiempo que preserva la compatibilidad con los estándares de gestión de seguridad y TI más populares.
SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido
Otros marcos de trabajo
En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad.
PRINCE2 es otro marco de trabajo de buenas prácticas, en este caso relacionadas con la gestión de proyectos, siendo esta, ampliamente utilizada.
Cao Avellaneda, Javier (14 de febrero de 2011). (html). INCIBE. Archivado desde el original el 10 de marzo de 2020. Consultado el 9 de marzo de 2020. «Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables o deseados.»
Enlaces externos
BSI, información en español
(en inglés)
Information Security Management Maturity Model (ISM3) (en inglés)
www.iso27000.es - www.iso27001.es: Portal con información en español sobre la serie 27000 y los sistemas de gestión de seguridad de la información.
Wiki en español sobre los controles en los sistemas de gestión de seguridad de la información.
Guía SGSI de INTECO-CERT VideoGuia en español, de INTECO_CERT sobre los sistemas de gestión de seguridad de la información.
Datos:Q1662500
Noviembre 25, 2021
sistema, gestión, seguridad, información, este, artículo, sección, necesita, referencias, aparezcan, publicación, acreditada, este, aviso, puesto, julio, 2014, sistema, gestión, seguridad, información, sgsi, inglés, information, security, management, system, i. Este articulo o seccion necesita referencias que aparezcan en una publicacion acreditada Este aviso fue puesto el 31 de julio de 2014 Un Sistema de Gestion de la Seguridad de la Informacion SGSI en ingles Information Security Management System ISMS es como el nombre lo sugiere un conjunto de politicas de administracion de la informacion El termino es utilizado principalmente por la ISO IEC 27001 1 aunque no es la unica normativa que utiliza este termino o concepto ENISA Gestion de riesgo y actividades del SGSI Un SGSI es para una organizacion el diseno implantacion mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacion buscando asegurar la confidencialidad integridad y disponibilidad de los activos de informacion minimizando a la vez los riesgos de seguridad de la informacion Como todo proceso de gestion un SGSI debe seguir siendo eficiente durante un largo tiempo adaptandose a los cambios internos de la organizacion asi como los externos del entorno Indice 1 PDCA 2 Otros SGSI 3 Otros marcos de trabajo 4 Vease tambien 5 Referencias 6 Enlaces externosPDCA EditarArticulo principal PDCA Ciclo de Deming La ISO IEC 27001 se basa en el conocido Ciclo de Deming Plan Do Check Act PDCA o PHVA que significa Planificar Hacer Verificar Actuar siendo este un enfoque de mejora continua Plan planificar es una fase de diseno del SGSI realizando la evaluacion de riesgos de seguridad de la informacion y la seleccion de controles adecuados Do hacer es una fase que envuelve la implantacion y operacion de los controles Check verificar es una fase que tiene como objetivo revisar y evaluar el desempeno eficiencia y eficacia del SGSI Act actuar en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a maximo rendimiento SGSI es descrito por la ISO IEC 27001 y ISO IEC 27002 y relaciona los estandares publicados por la International Organization for Standardization ISO y la International Electrotechnical Commission IEC JJO tambien define normas estandarizadas de distintos SGSI Otros SGSI EditarO ISM3 El modelo de madurez de gestion de seguridad de la informacion de Open Group O ISM3 es el marco de Open Group para gestionar la seguridad de la informacion Su objetivo es garantizar que los procesos de seguridad en cualquier organizacion se implementen para operar a un nivel consistente con los requisitos comerciales de esa organizacion O ISM3 define un numero integral pero manejable de procesos de seguridad de la informacion suficiente para las necesidades de la mayoria de las organizaciones con los controles de seguridad relevantes identificados dentro de cada proceso como un subconjunto esencial de ese proceso El sitio web O ISM3 indica que el proyecto examino ISO 9000 COBIT ITIL ISO IEC 27001 2013 y otras normas y encontraron un potencial de mejora en varios campos como vincular la seguridad con las necesidades comerciales utilizando un enfoque basado en procesos que proporciona algunos detalles adicionales quien que por que para la implementacion y sugiere metricas especificas al tiempo que preserva la compatibilidad con los estandares de gestion de seguridad y TI mas populares SOGP es otro SGSI que compite en el mercado es el llamado Information Security Forum s Standard of Good Practice SOGP Este SGSI es mas una best practice buena practica basado en las experiencias del Foro de la seguridad de la informacion ISF TLLJO este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducidoOtros marcos de trabajo EditarEn el caso de ITIL sobre todo la v 3 tiene muchos puntos de contacto respecto a cuestiones de seguridad PRINCE2 es otro marco de trabajo de buenas practicas en este caso relacionadas con la gestion de proyectos siendo esta ampliamente utilizada Vease tambien EditarLey Organica de Proteccion de Datos de Caracter Personal de Espana Seguridad de la informacion PDCA ISO IEC 27000 series ISO IEC 27001 ISO IEC 27002 ISO 9001Referencias Editar Cao Avellaneda Javier 14 de febrero de 2011 Medicion de un SGSI disenando el cuadro de mandos I html INCIBE Archivado desde el original el 10 de marzo de 2020 Consultado el 9 de marzo de 2020 Uno de los grandes beneficios de implantar un sistema de gestion basado en ISO 27001 debe ser pasar de una seguridad basada en sensaciones a una seguridad basada en datos de comportamiento que permita mostrar y sobre todo demostrar que las cosas se estan controlando y se mantienen dentro de unos rangos de valores aceptables o deseados Enlaces externos EditarBritish Standards Institution BSI informacion en espanol Information Security Forum ISF en ingles Information Security Management Maturity Model ISM3 en ingles www iso27000 es www iso27001 es Portal con informacion en espanol sobre la serie 27000 y los sistemas de gestion de seguridad de la informacion www iso27002 es Wiki en espanol sobre los controles en los sistemas de gestion de seguridad de la informacion Guia SGSI de INTECO CERT VideoGuia en espanol de INTECO CERT sobre los sistemas de gestion de seguridad de la informacion Datos Q1662500 Obtenido de https es wikipedia org w index php title Sistema de gestion de la seguridad de la informacion amp oldid 133347065, wikipedia, wiki, leyendo, leer, libro, biblioteca,
