Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita, de su origen o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de confidencialidad, integridad y disponibilidad así como los sistemas implicados en su tratamiento, dentro de una organización.
Garantizar un nivel de protección total es imposible, incluso en el caso de disponer de un presupuesto ilimitado; lo que buscamos es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados.
La implantación de un sistema de Gestión de la Seguridad de la información (SGSI) implica las siguientes tareas:
- Compromiso de la dirección general de la organización.
- Elaboración de un plan de Gestión de Seguridad.
- Asignación de recursos, funciones y responsabilidades.
- Formación y concienciación del personal.
- Establecer controles periódicos y mejoras.
El plan de Gestión de Seguridad consiste en:
- Identificar los activos del SGSI y sus propietarios.
- Identificar las amenazas de cada activo.
- Identificar las vulnerabilidades del sistema.
- Identificar los posibles impactos de las vulnerabilidades.
- Gestionar el riesgo:
- Evitarlo: suprimir las causas del riesgo (activo, amenaza, vulnerabilidad)
- Transferirlo: Outsourcing, seguro.
- Reducirlo: la amenaza, vulnerabilidad o impacto.
- Aceptarlo
