Atención 24 horas   902 26 22 22 Área Cliente

WebControl:
Acceso a la información de sus instalaciones, sistemas de alarma e incidencias.

Seguridad de la información

Los Sistemas de Gestión de Seguridad de la Información (SGSI) se definen como un conjunto de Políticas de Seguridad encaminadas a diseñar e implantar procedimientos de seguridad aplicables en todos las áreas de la empresa, unificadas en un Plan de Seguridad de la Información e integradas en la Planificación de Seguridad de la organización.

seguridad de la informacion

La Seguridad de la Información debe abarcar una seria de medidas preventivas y reactivas que permiten proteger la Información y proporcionar seguridad a todos los  diversos elementos del Sistema de Información y procesos que intervienen en el acceso, utilización, modificación, almacenamiento y transporte de dicha Información que pueda ser crítica para el negocio.

 

Grupo Control divide el proceso de implantación de un Sistema de Gestión de Seguridad de la Información en varias fases:

 
  • Definición, a nivel de dirección, de Políticas de Seguridad. Consiste en la elaboración de directrices y definición de reglas de ámbito general relacionadas con la seguridad informática en el marco de alguna de sus áreas. Estas directrices deben ser aprobadas por la gerencia de la empresa y servirán como guía para la creación de normas más específicas para cada área concreta y para cada uno de los elementos del Sistema de Información. Adicionalmente las Políticas de Seguridad se deben trasladar desde gerencia y dirección hasta cada área y cada empleado que estén relacionados de algún modo con alguno de los elementos del  Sistema de Información o procesos relacionados con el mismo.
  • Alcance y objetivos del Sistema de Gestión de Seguridad de la Información. Se debe definir de forma previa el alcance del SGSI en relación a los servicios que presta la empresa y sus procesos asociados. Será necesario decidir bajo qué servicios de los que presta la empresa cliente se enmarcará el SGSI y cuáles son los procesos que abarcará. De esta forma los clientes, ya sean internos o externos, verán el SGSI desde una perspectiva de seguridad en los procesos de negocio de la empresa.
  • Análisis de Riesgos. Identificación de vulnerabilidades de los activos del Sistema de Información, análisis de las principales amenazas y cuantificación de los riesgos asociados en función de la criticidad. Grupo Control utiliza su propia metodología PIC (Protección de Infraestructuras Críticas) para llevar a cabo el análisis de riesgos.
  • Gestión de los riesgos y selección de los controles de seguridad que se deben implantar. En función de los riesgos identificados y el nivel de criticidad se propondrán una serie de acciones que permitirán bien asumir el riesgo (por ejemplo si la probabilidad de ocurrencia es muy baja), bien reducir el riesgo a través de una serie de medidas de seguridad con recursos propios de la empresa, bien transferirlo a través de terceras partes, o bien eliminarlo (por ejemplo modificando o eliminando algún procedimiento o proceso).
  • Seguimiento, evaluación y mejora del Sistema de Gestión de la Seguridad de la Información. Se realizará a través de indicadores de calidad y auditorías de seguridad programadas de forma periódica.

 

El objetivo de Grupo Control al prestar este servicio a las empresas consiste en fortalecer la seguridad de los Sistemas de Información en torno a cinco ejes principales:

 

  • Confidencialidad. La información debe ser accesible solo a los usuarios autorizados.
  • Integridad. Garantizar que la información disponible no ha sido alterada.
  • Disponibilidad. La información debe estar disponible cuando sea necesario acceder a ella.
  • Trazabilidad. Rastreo de operaciones informáticas y modificaciones de los estados de los elementos del Sistema de Información hasta su origen.
  • Autenticidad. Los usuarios que acceden a la información son quien dicen ser.

 

David López
Analista-Consultor

  Suscríbete al boletín de noticias