En Detectives Privados Madrid, realizamos sistemas de gestiones de seguridad. Para muchos que nos estén leyendo, pensara que es eso y para qué sirve. Pues bien, hoy queremos explicarles cuál es su funcionamiento y su objetivo.
SGSI o Sistemas de gestiones de seguridad en información
El SGSI o como se denomina, sistema de gestiones de seguridad, es un conjunto de políticas de administración. Se utiliza para gestionar un sistema informático cuya finalidad es la de garantizar y asegurar la confidencialidad, disponibilidad e integridad de los activos de dicho sistema y detectar riesgos que puedan afectar, infectar o dañar la información contenida en el sistema.
Para que no suceda nada y continúe siendo un buen blindaje, para que nos entendamos; se debe mantener dicha seguridad. Adaptándose a los cambios internos que puede haber o a externos como ataques informáticos. Estos últimos, cada vez son más fuertes y dañinos; de hecho cada cierto tiempo, se detectan ataques más eficientes. Siendo objeto de estudio de las grandes compañías de seguridad informáticas.
El objetivo del sistema de gestiones de seguridad, es proteger la información o datos que contengan un sistema; ya sean redes, un sistema de ordenadores u otras infraestructuras de una organización.
Sistemas de gestiones de seguridad y su funcionamiento.
Pero el sistema de gestiones de seguridad, deben tener una metodología y respetar una serie de normas legales. Por ese motivo, se crearon protocolos de actuación y normas jurídicas, destinadas a explicar, enfocar y cómo funcionar dichos sistemas.
Una de las más conocidas es la Norma ISO/IEC 27001; es la más estándar y fue aprobada en octubre del 2005. En ella se especifica los requisitos más importantes que debe tener un sistema de gestiones de seguridad. Como implantar, mejorar, mantener ciertos puntos concretos para un buen funcionamiento.
Aunque existe más versiones posteriores a esta normativa; las características esenciales, continúan siendo las más importantes. Deben tener una política de seguridad de la información, una organización de la seguridad de la información, una gestión de activos de la información, seguridad de recursos humanos, física y ambiental, control de accesos, adquisición, desarrollo y mantenimiento de los sistemas, gestiones de incidentes y de continuidad del negocio como un cumplimiento.
Cada sección nombrada, tienen su objetivos concretos y específicos para los distintos controles de la seguridad de la información.
Un inciso, si nos damos cuenta, hablamos más de seguridad de información que de informática; y esto es debido a que en estos últimos años, los expertos en el mundo de las tecnologías, se han dado cuenta, que la palabra información, engloba más que informática. Porque al fin de cuentas, lo que protegemos son datos e informaciones; del mismo modo, que los que hace los ataques informáticos, quieren dañar o robar el contenido del sistema, que no es otro que informaciones y datos.
Los sistemas de gestiones de seguridad, no es más que una guía de buenas prácticas, que recomiendan para la seguridad de la información. Dando medidas para que las organizaciones internacionales, sepan cómo deben realizarse, dentro de una normativa legal.
Política de seguridad e implantación de un SGSI
Las directrices que nos dan, deben estar definidas dentro de un marco de referencia de seguridad, respaldado y reconocido, internacionalmente. Ya que si es atacado y los peritos judiciales informáticos, deben averiguar cómo ha sido dicho ataque y recoger evidencias digitales, para a posteriormente, explicarlas en los tribunales. Estos deben estar sujetos a dichas legislaciones y las periciales informáticas, a su vez, deben seguir unas reglas concretas.
Los procedimientos y herramientas de seguridad para la protección de activos de información, tienen como objetivos, la identificación de activos, más importantes de cada organización.
Además de haber un análisis de riesgos, una gestión de seguridad dentro de la infraestructura de la organización, mantenimiento en la seguridad de dichos activos, más los recursos que acceden desde el exterior y garantizar la confidencialidad, integridad, disponibilidad, conservación y autenticad de la información. Estas son las políticas de seguridad más esenciales que se deben poner.
La implantación de los modelos de normativas, explicados anteriormente, se redactarán para que luego se apliquen y se haga un seguimiento para su control y seguridad.
Para ello se hará una auditoria inicial con análisis de procesos y flujos; el siguiente punto es el análisis e identificación de activos a proteger y una gestión de riesgos. Por último, tendremos ya el sistema de gestión de seguridad. Todo esto, garantizando el cumplimiento de las leyes, que condicionan el Uso de las Tecnologías, la Ley de Protección de Datos, la Ley de Firmas electrónicas, la de Servicios de la Sociedad de la Información…
Más tarde, se debe aplicar a todos los componentes, como el hardware y software, las redes, equipos de ordenadores o usuarios, servidores, base de datos, aplicaciones…Lo anteriormente, expuesto.
La renovación que constantemente está apareciendo en el mundo de las tecnologías, hace que se deban experimentar cambios para encajar todas las novedades. De ahí, que la seguridad como las normativas de la información, se deban revisar cada cierto tiempo.
Debemos entender, que en menos de veinte años, cuando la tecnología entro en nuestras vidas, ha estado variando y mejorando para bien y para mal. Aunque la seguridad avanza, también lo hace de forma paralela, los piratas informáticos o los crackers, con sus ataques y virus, que mutan a escalas más difíciles de combatir y detectar.
Si necesita a expertos en la materia o quiere más información acerca de este tema para su empresa; contacte a profesionales del medio y expertos, como nuestra agencia.
