Actividades asociadas a la implementación del SGSI
Todo proceso de implementación de un “Sistema de Gestión de Seguridad de la Información” involucra el logro de un conjunto de objetivos los cuales son llevados adelante a través de la realización de actividades. Estas actividades están asociadas a las etapas de establecer, implementar, controlar y mantener el SGSI.
El siguiente cuadro muestra las etapas y actividades necesarias para implementar un SGSI.
Etapa | Actividades |
---|---|
ESTABLECER | Definir el Alcance del SGSI |
Definir Activos Críticos | |
Definir la organización del SGSI y asignar RRHH | |
Definir la Aplicabilidad del SGSI (Definición de objetivos de control y controles seleccionados para el gerenciamiento de los riesgos y justificación de los que no fueron seleccionados). | |
Elaborar el Documento de la Política de Seguridad de la Información y Procedimientos | |
Evaluar y planificar riesgos | |
IMPLEMENTAR | Divulgar la Política de Seguridad de la Información |
Implementar controles definidos | |
CONTROLAR | Realizar auditorías y chequear efectividad de controles |
MANTENER | Gestionar los riesgos |
Gestionar incidentes | |
Revisar la definición de los activos críticos, políticas y procedimientos. |
Debido a la complejidad que tiene cada una de las etapas, en general cada actividad es completada en base a aproximaciones sucesivas utilizando el modelo de mejora continua de Deming (PLAN-DO-CHECK-ACT). Son muy pocas las actividades que podrían realizarse en un solo paso sin requerir mejoras posteriores, pero pueden existir dependiendo del grado de madurez de la organización.
Por otro lado, el llevar adelante todas las etapas y actividades correspondientes no nos asegura que el SGSI se encuentre implementado totalmente, menos aún por que cada objetivo puede tener o no dependencias de otros.