MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El propósito 6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –<br />
que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son<br />
conocidos, asumidos, gestionados y minimizados por la organización de una forma docum<strong>en</strong>tada,<br />
sistemática, estructurada, continua, repetible, efici<strong>en</strong>te y adaptada a los cambios que se produzcan <strong>en</strong> la<br />
organización, los riesgos, el <strong>en</strong>torno y las tecnologías.<br />
El SGSI protege los activos de información de una organización, indep<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te del medio <strong>en</strong> que se<br />
<strong>en</strong>cu<strong>en</strong>tr<strong>en</strong>; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imág<strong>en</strong>es,<br />
docum<strong>en</strong>tos, hojas de cálculo, faxes, pres<strong>en</strong>taciones, contratos, registros de cli<strong>en</strong>tes, información<br />
confid<strong>en</strong>cial de trabajadores y colaboradores, <strong>en</strong>tre otros.<br />
3.6.1. B<strong>en</strong>eficios de la implantación de un SGSI<br />
Aplica una arquitectura de gestión de la seguridad que id<strong>en</strong>tifica y evalúa los riesgos que afectan al<br />
negocio, con el objetivo de implantar contramedidas, procesos y procedimi<strong>en</strong>tos para su apropiado control,<br />
tratami<strong>en</strong>to y mejora continua.<br />
Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las<br />
inversiones innecesarias, inefici<strong>en</strong>tes o mal dirigidas que se produc<strong>en</strong> por contrarrestar am<strong>en</strong>azas sin una<br />
evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles<br />
desproporcionados y de un costo más elevado del necesario, por el retraso <strong>en</strong> las medidas de seguridad <strong>en</strong><br />
relación a la dinámica de cambio interno de la propia organización y del <strong>en</strong>torno, por la falta de claridad <strong>en</strong><br />
la asignación de funciones y responsabilidades sobre los activos de información, por la aus<strong>en</strong>cia de<br />
procedimi<strong>en</strong>tos que garantic<strong>en</strong> la respuesta puntual y adecuada ante incid<strong>en</strong>cias o la propia continuidad<br />
del negocio, etc.<br />
3.6.2. Justificación de la implem<strong>en</strong>tación de un SGSI<br />
La información, junto a los procesos, personas y sistemas que hac<strong>en</strong> uso de ella, son activos muy<br />
importantes d<strong>en</strong>tro de una organización. La confid<strong>en</strong>cialidad, integridad y disponibilidad de información<br />
s<strong>en</strong>sitiva son elem<strong>en</strong>tos es<strong>en</strong>ciales para mant<strong>en</strong>er los niveles de competitividad, r<strong>en</strong>tabilidad, conformidad<br />
legal e imag<strong>en</strong> empresarial necesarios para lograr los objetivos de la organización y asegurar b<strong>en</strong>eficios<br />
económicos.<br />
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de<br />
am<strong>en</strong>azas que, aprovechando cualquiera de las vulnerabilidades exist<strong>en</strong>tes –inher<strong>en</strong>tes a los activos,<br />
pued<strong>en</strong> someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, <strong>en</strong>tre<br />
otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos<br />
comunes y conocidos, pero también se deb<strong>en</strong> considerar los riesgos de sufrir incid<strong>en</strong>tes de seguridad<br />
causados voluntaria o involuntariam<strong>en</strong>te desde d<strong>en</strong>tro de la propia organización o aquellos provocados<br />
accid<strong>en</strong>talm<strong>en</strong>te por catástrofes naturales y fallas técnicos.<br />
6 Tomado de “Preguntas más Frecu<strong>en</strong>tes, doc_faq_all pág. 8”, www.iso27000.es<br />
Página 16 de 207