Sistema de Gestion de Seguridad de la Informacion SGSI

A todas menos a la fabrica de galletas ya que los datos que maneja no son importantes.

A ninguna es un sistema muy costoso y no aporta nada a la organización

A todas ellas

A toda la empresa, cuanto mas segura este toda la información será mejor para la organización

En las áreas de servicios auxiliares porque manejan la información mas critica

En la cadena de montaje ya que abarca el mayor numero de empleados con lo que supone que la información estará mas protegida.

Realizar un inventario de activos para conocer que activos maneja la empresa en las áreas de alcance.

Dar formación al personal de la empresa, es muy importante ser transparente en este tipo de procesos

Desarrollar la política de seguridad para marcar las directrices de seguridad de la empresa

Definir las responsabilidades dentro de la gestión de la seguridad

Dar formación al personal de la empresa, es muy importante ser transparente en este tipo de procesos

Revisar el alcance a ver si se ajusta a lo que hemos definido en la Política de Seguridad y si no es así redefinirlo

Los responsables de los activos, el comité de dirección y el comité de gestión.

El responsable de seguridad, el comité de dirección y el comité de gestión

El comité de gestión y el comité de dirección

A todas las áreas de la organización por igual tanto la formación como la concienciación

La formación solo a las áreas dentro del SGSI y la concienciación a toda la organización

Bastaría con concienciar y formar al personal de las áreas involucradas dentro del SGSI

Un análisis de riesgos para saber cuales son las áreas mas criticas y que tienen mas riesgos dentro de la organización.

Establecer los responsables de todos los activos y áreas de la organización involucradas en el SGSI

Un inventario de activos para saber a que afecta la implantación del SGSI

Valorar los activos através de encuestas, entrevistas, etc…

Asignar un responsable a todos los activos

Hace un análisis de vulnerabilidades de todos los activos del inventario

Asignar un responsable a todos los activos

Hacer un árbol de dependencias de los activos

Hacer un análisis de riesgos de los activos del inventario

Seleccionar los controles a implantar

Revisar el alcance del sistema por si hemos abarcado demasiado poder rectificarlo ahora

Realizar una auditoría interna para ver que todo se está realizando de acuerdo a la norma ISO 27001

La declaracion de aplicabilidad - SOA

La normativa de organización

El inventario de controles.

Redactar la normativa de la organización para ver quienes son responsables de los controles.

Implantar los controles

Revisar los controles seleccionados y los recursos que supondría su implantacion para ver si hemos superado el presupuesto y poder redimensionar el alcance, de ser necesario.

Realizar acciones correctivas y de mejora que hemos detectado en la implantación

Realizar nuevas acciones de formación y concienciacion explicando los controles implantados.

Validar los controles implantados para saber si la implantación ha sido correcta

Una auditoría interna

Una auditoría externa

La dirección

Una nueva auditoría interna tras la inclusión de acciones de mejora

Una auditoría externa para certificar el sistema

Dejar que el sistema vaya rodando y que los indicadores definidos nos indiquen si hay que realizar alguna otra acción correctiva o de mejora

ISO 27000

ISO 27001

ISO 27002