SEGURIDAD DE LA INFORMACIÓN

Home / SISTEMAS DE GESTIÓN Estratégica / SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SGSI

Las organizaciones en la actualidad, conscientes de los cambios y evolución de las nuevas tecnologías en nuestro entorno y la cantidad de información de valor que almacenan y gestionan en sus sistemas, se ven en la obligación de proteger y salvaguardar sus datos, ante la gran cantidad de peligros que pueden afectar a la confidencialidad, integridad y disponibilidad de su información. Normalizar los sistemas de información ayuda a tener control y buscar continuamente mejoras que hacen que la organización sea más segura y competitiva en los mercados más evolucionados.

Para poder tener bajo control y poder optimizar la seguridad de la información de nuestra empresa es muy recomendable disponer de un Sistema de Gestión de Seguridad de la Información (en adelante SGSI). Un SGSI consiste en definir, aplicar y revisar periódicamente un conjunto de políticas, procedimientos, herramientas y controles utilizados para garantizar la disponibilidad, integridad y confidencialidad de la información de la organización.

Desde EASY TELECOM LAW apoyamos y asesoramos a organizaciones públicas y privadas de cualquier sector y dimensión, en la implantación, mantenimiento, auditoría y certificación de un SGSI; contemplando la aplicación de normativas, legislación y estándares vigente, nacionales e internacionales, para que su negocio esté siempre protegido y seguro.

¿Qué ES UN SGSI?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de políticas, procedimientos, estándares y herramientas que se utilizan para gestionar la seguridad de la información de una organización. El objetivo de un SGSI es garantizar la confidencialidad, integridad y disponibilidad de la información, y cumplir con las regulaciones y las normas aplicables. El SGSI se basa en un enfoque de riesgo y se utiliza para identificar, evaluar y gestionar los riesgos asociados a la información de una organización.

El mayor referente de SGSI a nivel internacional es la norma ISO/IEC ISO 27001. En España existe el Esquema Nacional de Seguridad, (en adelante ENS) que es de obligado cumplimiento en la Administración Pública y en aquellas empresas privadas que prestan servicios a la Administración Pública.

¿Qué servicios se prestan en el ámbito del Sistema de Gestión de la Seguridad de la Información?

En EASY TELECOM LAW tenemos gran experiencia en la gestión de proyectos relativos a los Sistemas de Gestión de Seguridad, entre los que destacan:

Sistemas de Gestión de la Seguridad de la Información ISO27001: 2013 y ISO27001:2022
Adaptación de la norma ISO 27001:2013 a la nueva norma ISO 27001:2022
Apoyo y acompañamiento en la certificación de la norma ISO 27001 por entidad certificadora autorizada por la ENAC
Sistema de Gestión de la Continuidad de Negocio ISO 22301:2020
Apoyo y acompañamiento en la certificación de la norma ISO 22301 por entidad certificadora autorizada por la ENAC
Esquema Nacional de Seguridad (ENS)
Apoyo y acompañamiento en la certificación del Esquema Nacional de Seguridad (ENS) por entidad certificadora autorizada por la ENAC
Sistema de Gestión de Servicios TI ISO 20000
Mantenimiento del Sistema de Gestión de la Seguridad de la Información
Formación para empresas en cualquiera de las etapas del SGSI, ENS y SGCN

¿CÓMO APLICAMOS DICHOS SERVICIOS PARA PODER AYUDAR A TU NEGOCIO DESDE EASY TELECOM LAW?

Análisis de riesgos: Identificación y evaluación de los riesgos a los que puede estar expuesta la información en la empresa u organización.
Planificación de la seguridad: Diseño de las medidas de seguridad con el objetivo de proteger la información y cumplir con las políticas de seguridad de la empresa u organización.
Implementación de medidas de seguridad: Instalación y configuración de las herramientas y los sistemas de seguridad para proteger la información
Supervisión y cumplimiento: Monitorización y verificación del cumplimiento de las políticas y procedimientos de seguridad de la información.
Gestión de incidentes: Identificación, clasificación, análisis, investigación y resolución de los posibles incidentes de seguridad ocurridos.
Formación y sensibilización: Concienciación y capacitación del personal en materia de los riesgos y las medidas de seguridad.
Mejora continua: Evaluación continua y actualización de las medidas de seguridad para adaptarse a los cambios en el entorno y a las nuevas amenazas que puedan surgir.

¿Qué beneficios aporta a mi empresa estar certificada en ISO 27001 o en el ENS?

Los principales motivos por lo que es recomendable certificarse en ISO 27001 o en el ENS:

Mejora de la seguridad de la información: Tanto la ISO/IEC 27001 como el ENS establecen un marco de referencia para la gestión de la seguridad de la información que ayuda a las organizaciones a identificar y mitigar los riesgos.
Mejora del cumplimiento normativo: Muchas regulaciones y leyes requieren que las organizaciones implementen medidas para proteger la información confidencial. La certificación puede ayudar a cumplir con estas regulaciones.
Mejora de la confianza de los clientes y de los proveedores: La certificación puede demostrar a los clientes y proveedores que una organización tiene medidas sólidas en su lugar para proteger la información confidencial y cumplir con las regulaciones.
Mejora de la competitividad: La certificación puede ayudar a una organización a destacarse frente a la competencia y aumentar su atractivo para los clientes potenciales.
Mejora de la eficiencia operativa: Un sistema de gestión de seguridad de la información (SGSI) bien diseñado puede ayudar a una organización a ser más eficiente en la gestión de sus activos de información.
La ISO 27001 proporciona una buena práctica internacional para la gestión de la seguridad de la información.
El ENS es de obligado cumplimiento para todas aquellas empresas que prestan servicios a la Administración Pública, sin ella no es posible presentarse a concursos públicos.

¿Cómo implantamos un Sistema de Gestión de Seguridad de la Información?

Nuestro equipo para conseguir una gestión efectiva de sistema nos centramos en 6 etapas que mencionamos a continuación:

Realización de un estudio de la situación actual de la empresa en lo que respecta a su gestión de la seguridad de la información

Se establece el alcance, los objetivos y los recursos necesarios para implementar el sistema de gestión de seguridad de la información

Se desarrolla el plan de implementación y se establecen los procedimientos necesarios para cumplir con los requisitos de la norma.

Se lleva a cabo la implementación de los procedimientos y controles de seguridad de la información.

Auditoría independiente para asegurar que todo se realiza de forma correcta. Se genera un informe con las posibles no conformidades encontradas y se establece un plan de acción para subsanarlas.

proceso final de auditoría por una entidad certificadora independiente acreditada por la ENAC. Si el proceso es satisfactorio la entidad certificadora emite el certificado que acredita el cumplimiento de los requisitos establecidos por la norma ISO/IEC 27001

¿Cuánto tiempo se necesita para implantar un SGSI?

El tiempo necesario para implementar un SGSI va a depender de varios factores, como pueden ser el tamaño y complejidad de la organización, el nivel de madurez de la seguridad de la información existente, y los recursos disponibles.

En general, se puede estimar que la implementación de un SGSI puede tardar entre 6 meses y 2 años. Sin embargo, esto puede variar significativamente dependiendo de las circunstancias específicas de cada organización.

La implementación de un SGSI requiere una planificación cuidadosa y un enfoque en etapas, comenzando por la comprensión de los requisitos de la norma ISO 27001, la identificación de los riesgos, la elaboración de un plan de implementación y la implementación de controles de seguridad de la información.

Es importante tener en cuenta que la implementación de un SGSI no es un evento puntual, sino un proceso continuo de mejora. Una vez implementado, el SGSI debe ser revisado y actualizado regularmente para asegurar que sigue siendo efectivo

Ya tengo implementado mi SGSI, ¿cómo lo puede certificar?

Fase de implementación: La organización se prepara para el proceso de certificación mediante la implementación de un sistema de gestión de seguridad de la información (SGSI) que cumpla con los requisitos exigidos.
Evaluación de cumplimiento: La entidad certificadora realiza una evaluación inicial del SGSI de la organización para determinar si cumple con los requisitos de la norma.
Auditoría: La entidad certificadora lleva a cabo una auditoría del SGSI de la organización para verificar el cumplimiento de los requisitos de la norma.
Emisión de certificado: Si la organización cumple con los requisitos de la norma, la entidad certificadora emite un certificado de conformidad.
Seguimiento: La entidad certificadora realiza auditorías parciales de seguimiento anual para asegurar que la organización sigue cumpliendo con los requisitos de la norma.
Renovación: El certificado debe ser renovado cada 3 años

¿Necesita contratar profesionales para lograr la certificación de SGSI?

La Adecuación e Implementación de un SGSI requiere mucho tiempo y recursos, muchas veces imposible de compatibilizar con el día a día de nuestra organización, es por eso por lo que, a través de nuestros servicios, podemos suplir mientras dura todo este proceso, involucrando al personal y engranando las herramientas del Sistema de Gestión.

En EASY TELECOM LAW le ofrecemos el acompañamiento necesario y una asesoría adecuada para la consecución de los objetivos marcados, apoyándole de forma efectiva y eficaz en las actividades que se requieren para llevar a cabo para el cumplimiento de todos los requisitos de la norma, generando la documentación y evidencias necesarias y estando presente en todas las fases de la certificación.

¿Qué otros servicios ofrece EASY TELECOM LAW en relación a la Seguridad de la Información?

Adicionalmente ofrecemos servicios adecuados a las necesidades de cada cliente en materia de auditorías y ciberseguridad, destacando los servicios de auditoría, peritaje informático que se realiza para extraer pruebas o rastros digitales, para posteriormente hacer un análisis y poder presentarlas ante un juzgado con un informe pericial detallado, esto se hace necesario en casos en donde las pruebas se encuentren contenidas o almacenadas en un dispositivo informático. El robo de información, acoso escolar, certificación de correos, WhatsApp, acoso sexual o laboral, sextorsión, certificación WEB son solo alguno de los casos en los que es necesaria una peritación informática.

El diseño e implementación de un Sistema de Gestión, demanda tiempos y dedicación, que, si es llevada por el personal de la empresa, muchas veces recargan las actividades cotidianas, por lo que, a través de nuestros servicios, podemos suplir mientras dura todo este proceso, involucrando al personal y engranando las herramientas del Sistema de Gestión.

Auditorías y seguridad informática
Análisis y gestión de riesgos
Hacking ético
Análisis y revisión de documentación técnica
Informes forenses y de peritaje informático
Defensa de peritaje ante tribunales
Peritaje extrajudicial
Recuperación de documentos
Formación y concienciación

SEGURIDAD DE LA INFORMACIÓN

Home / SISTEMAS DE GESTIÓN Estratégica / SEGURIDAD DE LA INFORMACIÓN