Alyne ayuda a su organización a diseñar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) que se ajusta a las normas comunes de seguridad de la información y gestión de la ciberseguridad.
Introducción
El diseño y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con las normas comunes para la seguridad de la información y la gestión de la ciberseguridad, como la norma ISO/IEC 27001:2013, la Ciberseguridad del NIST o los marcos SOC2, es habitual en casi todas las organizaciones que necesitan proteger la información de sus empresas y clientes. En Alyne, hemos apoyado regularmente a nuestros clientes a través de nuestro Software como Servicio (SaaS) en este proceso y hemos observado algunos retos comunes, además de analizar algunos factores de éxito:
Desafíos comunes
- Objetivo: 100 %
Un SGSI no significa que tenga que alcanzar el 100 % de madurez en todos los controles desde el principio. Solo significa que tengo que contar con un proceso de gestión adecuado para gestionar todo el alcance del SGSI. Esto suele implicar gestionar activamente la información y los riesgos cibernéticos, y definir las medidas adecuadas o la aceptación de riesgos. - Obsesión por las medidas técnicas
A menudo, la gestión de la seguridad de la información se reduce en exceso a medidas técnicas individuales, ya que estas son fáciles de comprender. Lo que nos enseña un SGSI es que lo que realmente aumenta el nivel de seguridad es la combinación de medidas técnicas y organizativas, junto con una gestión comprometida. - Marque la casilla
Reducir un SGSI a marcar una casilla acabará fracasando. Intentar externalizar esta tarea de la dirección a otra parte de la organización también fracasará. No se llama sistema de gestión por nada. Como dirección, o se participa o no se empieza.
Factores de éxito
- Integrar orgánicamente
Incluya el SGSI en la agenda habitual de interacciones que ya mantiene con las partes interesadas pertinentes, en lugar de programar nuevas reuniones periódicas. De este modo, minimizará las interrupciones y aprovechará los puntos de contacto existentes para formalizar los resultados del SGSI. - Aprovechar las sinergias del marco
No aborde el SGSI de forma aislada. Desde el punto de vista de los procesos, las personas y la tecnología, existe un gran solapamiento con otros temas relacionados, como la privacidad de los datos, la gestión del riesgo operativo, la gestión de la continuidad del negocio, la auditoría y otros. Su inversión de tiempo y presupuesto se aprovechará mucho mejor si aborda la capacidad del SGSI en este contexto más amplio. - Resuelve en Sprint
Reserva algo de tiempo en tu agenda y realiza gran parte de la implementación o revisión del SGSI de una sola vez en unos pocos días. De este modo, se minimiza el tiempo total dedicado al tema. Si estas actividades se prolongan en el tiempo, se pierde rápidamente el impulso.
Para obtener más información y acceder a los recursos dedicados al SGSI de Alyne, alineados con las normas ISO 27001, haga clic aquí.
