Sistema Integral de Gestión

  • Sistema de Gestión de Seguridad de la Información
Última actualización: Miercoles, Enero 16, 2019 5:09 PM

Seguridad de la Información ISO 27001:2013 y Gobierno en Línea

 

¿Qué es?:

Conjunto de controles y directrices que buscan proteger nuestros activos de información en su confidencialidad, integridad y disponibilidad, definiéndose como activo de información, todo aquello que posee valor para la organización y que representa, contiene, almacena o transmite información.

Antecedentes:

La Universidad Tecnológica de Pereira, como institución pública del orden nacional y alineada con la estrategia de Gobierno en Línea, ha venido trabajando en los últimos años en la implementación de un Sistema de Gestión de Seguridad de la Información, siguiendo las mejores prácticas de la norma ISO 27001/2013 y trabajando en conjunto con el Sistema Integral de Gestión institucional, buscando que los riesgos asociados a la seguridad de la información sea identificados, analizados, minimizados y gestionados de una forma adecuada, continua, eficiente y adaptada a los cambios de la organización, el entorno y la tecnología que lo soporta.

¿Cuál es su alcance?:

Tiene como alcance el área de Gestión de Tecnologías Informáticas y Sistemas de Información (Arquitectura de Software, Administración de Servidores Especializados y Bases de Datos, administración de Servicios Informáticos, Implementación del Sistema de Información Institucional, Renovación Tecnológica Institucional); el área de Recursos Informáticos y Educativos (Administración de redes y seguridad de la información) y el área de Gestión de Documentos.

 

 

Leer publicación completa [+]
Última actualización: Miercoles, Mayo 16, 2018 11:47 AM

¿Qué es el SGSI?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua, velando por la protección y resguardo de la información a través de  la Confidencialidad, Integridad y disponibilidad.

El Sistema de Gestión de Seguridad de la Información (SGSI), se fundamenta en la norma NTC-ISO/IEC 27001, esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del sistema de gestión de la seguridad de la información (SGSI).

Enfoque Basado en Procesos

Esta norma promueve la adopción de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una  organización.

Para funcionar eficazmente, una organización debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestión permita la transformación de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente.

La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones entre estos procesos, y su gestión, se puede denominar como un “enfoque basado en procesos”.

El enfoque basado en procesos para la gestión de la seguridad de la información, recentado en esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:

 a)    comprender los requisitos de seguridad de la información del negocio, y la necesidad de establecer la política y objetivos en relación con la seguridad de la información;

b)    implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización;

c)    el seguimiento y revisión del desempeño y eficacia del SGSI, y

d)    la mejora continua basada en la medición de objetivos.

También, adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cómo el SGSI toma como elementos de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas, y a través de las acciones y procesos necesarios produce resultados de seguridad de la información que cumplen estos requisitos y expectativas. 

 

Modelo PHVA aplicado a los procesos de SGSI    

  • Planificar: (establecer el SGSI) Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.
  • Hacer (implementar y operar el SGSI) Implementar y operar la política, los controles, procesos y procedimientos del SGSI. 
  • Verificar (hacer seguimiento y revisar el SGSI) Evaluar, y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para su revisión. 
  • Actuar (mantener y mejorar el SGSI) Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI.

Compatibilidad con Otros Sistemas de Gestión

Esta norma está alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de apoyar la implementación y operación, consistentes e integradas con sistemas de gestión relacionados. Un sistema de gestión diseñado adecuadamente puede entonces satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relación entre los numerales de esta norma, la norma NTC-ISO 9001:2000 y la NTC-ISO 14001:2004.

Esta norma está diseñada para permitir que una organización alinee o integre su SGSI con los requisitos de los sistemas de gestión relacionados.

Leer publicación completa [+]
Última actualización: Martes, Enero 23, 2018 4:47 PM

Decálogo de Buenas Prácticas

   

La protección de la  información a su cargo, también es su responsabilidad.

Leer publicación completa [+]
Teléfono: 313 73 24 - 313 74 85 - 313 73 00 ext. 485 Contacto: calidad@utp.edu.co
CRIE • © 2018 • Universidad Tecnológica de Pereira