- Cantidad y complejidad de la organización.
- Grado de riesgo de la información.
- Número de procedimientos y tecnología aplicada.
- Número de sitios o procesos a certificar.
- Combinación con otras normas.
- Madurez del sistema de gestión.
Sistema de Gestión de Seguridad de la Información (SGSI)
Cada día son más las empresas que perciben su información como el motor del negocio que es, un activo estratégico que diariamente es sometido a nuevos y más graves riesgos imposibilitando que de manera efectiva que la información aporte el valor que tiene, siendo necesario vencer la inseguridad y la desconfianza que ésto genera. Virus, hackers, averías, incendios, personal descontento, errores humanos, son miles las amenazas que tienen efectos devastadores, y que generan:
- Indisponibilidad: No poder acceder a la información cuando es vital y necesaria para la toma de decisiones, por inoperatividad de las infraestructuras tecnológicas.
- Falta de confidencialidad: Información accedida por personas no autorizadas. Robo de datos de clientes, espionaje, filtraciones, fraude.
- Pérdida de integridad: alteración de la información intencionada o por error al no existir controles.
- Falta de confianza en las transacciones electrónicas con terceros, al no existir mecanismos de autenticidad y repudio.
Afrontar estas situaciones, controlando la inseguridad de nuestros sistemas de información dentro de límites aceptables por el negocio sólo es posible mediante la integración de medidas organizativas y técnicas en el marco del desarrollo de una Cultura de la Seguridad de la Información en la empresa.
No es posible eliminar las amenazas, pero si debemos reducir la posibilidad de que actúen y el perjuicio que pueden ocasionar: es decir, controlar el riesgo para generar seguridad y confianza.
El propósito de la consultoría será prestar apoyo a la entidad en el desarrollo, implantación, administración y certificación de un Sistema de Gestión de la Seguridad de la Información (SGSI) según los requisitos especificados por el estándar internacional ISO 27001 de seguridad de la información.
El estándar ISO 27001 define las exigencias relacionadas con sistemas de gestión de la seguridad de la información. Su objetivo es permitir a las empresas identificar, tratar y limitar amenazas en los activos de información. En el servicio de consultoría se realizará una adaptación específica del estándar para el caso concreto de la entidad, identificando las necesidades particulares de las mismas y facilitando el aseguramiento de sus sistemas de información. Este servicio pretende facilitar un acercamiento al estándar, con vistas a que su comprensión y adopción resulten menos costosas para la entidad.
Para calcular el esfuerzo de la consultoría se consideran los siguientes aspectos de la entidad:
Para calcular el esfuerzo de la consultoría se consideran los siguientes aspectos de la entidad:
- Cantidad y complejidad de la organización.
- Grado de riesgo de la información.
- Número de procedimientos y tecnología aplicada.
- Número de sitios o procesos a certificar.
- Combinación con otras normas.
- Madurez del sistema de gestión.
La implantación y operación de un SGSI aportará los siguientes beneficios a la organización:
- Poder disponer de una metodología dedicada a la seguridad de la información reconocida internacionalmente.
- Contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la información.
- Diferenciarse en el mercado de otras organizaciones.
- Satisfacer requerimientos de clientes, proveedores y Organismos (Concursos Públicos).
- Potenciales disminuciones de costos e inversiones.
- Formalizar las responsabilidades operativas y legales de los usuarios Internos y Externos de la Información.
- Cumplir con disposiciones legales (p.e. Leyes de Protección de Datos, Privacidad, etc.)
- Disponer de una Metodología para poder Administrar los riesgos.