Esta norma proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de dicho SGSI basándose en un enfoque de la seguridad como proceso y apoyado en el tradicional ciclo de Demming de mejora continua, PDCA (Plan – Do – Check – Act).
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
Mucho se habla últimamente de ciberseguridad y la verdad es que la cuestión debería empezar a preocupar. Cuando ves a tanto experto comentar que la situación está empeorando con titulares como "el mayor ataque ciberterrorista es cuestión de tiempo" de Eugene Kaspersky hemos de suponer que las cosas deben estar muy feas. Tal como expresa el titulo del post quiero aportar mi visión de la situación partiendo de la realidad que me toca analizar día a día y teniendo en cuenta que quien escribe es un profesional de provincia que analiza la realidad de empresas que no están situadas dentro del Ibex 35. En cualquier caso al menos creo interesante comentar cómo se ven las cosas por estas tierras, aunque sean de segunda división.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
Mucho se habla últimamente de ciberseguridad y la verdad es que la cuestión debería empezar a preocupar. Cuando ves a tanto experto comentar que la situación está empeorando con titulares como "el mayor ataque ciberterrorista es cuestión de tiempo" de Eugene Kaspersky hemos de suponer que las cosas deben estar muy feas. Tal como expresa el titulo del post quiero aportar mi visión de la situación partiendo de la realidad que me toca analizar día a día y teniendo en cuenta que quien escribe es un profesional de provincia que analiza la realidad de empresas que no están situadas dentro del Ibex 35. En cualquier caso al menos creo interesante comentar cómo se ven las cosas por estas tierras, aunque sean de segunda división.
La seguridad de la información, según ISO 27001, consiste en la
preservación de su confidencialidad, integridad y disponibilidad, así como de
los sistemas implicados en su tratamiento, dentro de una organización.
Fundamentos:
Para
garantizar que la seguridad de la información es gestionada correctamente se
debe identificar inicialmente su ciclo de vida y los aspectos relevantes
adoptados para garantizar su C-I-D:
·
Confidencialidad: la información no se pone a disposición ni se
revela a individuos, entidades o procesos no autorizados.
·
Integridad: mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
·
Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
En base
al conocimiento del ciclo de vida de cada información relevante se debe adoptar
el uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
No hay comentarios.:
Publicar un comentario