Etapa de planeación de un sistema de gestión de seguridad de la información para el proceso de gestión de información en la Empresa GERS S.A.S

Abstract

En la empresa, dentro del proceso de Gestión de Información, como su nombre lo indica, se gestiona la información de la organización independientemente del medio en donde se almacena, ya sea físico o lógico, por ende, es importante iniciar con una planeación que permita identificar las vulnerabilidades que ponen en riesgo la información de la empresa, y todas sus partes interesadas, que son: los clientes tanto internos como externos, los proveedores y los colaboradores, en cualquiera de los tres pilares que define la seguridad de la información, que son: integridad, confidencialidad y disponibilidad.

Para lograrlo se plantea iniciar con la primera etapa del ciclo de vida PHVA (Planear, Hacer, Verificar, Actuar) en sistemas de gestión, es decir, con la planeación, bajo el marco de trabajo de la norma ISO/IEC 27001:2013 y su guía de buenas prácticas, la ISO/IEC 27002:2013. Este par de normas en conjunto ayudarán a iniciar con un proceso de madurez y dejarán todo listo para dar el siguiente paso y poder iniciar con la etapa del hacer y de esta manera, empezar a tomar las medidas correspondientes que ayuden a mitigar los riesgos y amenazas previamente identificados.

La etapa de planeación comprende los siguientes escenarios de cumplimiento:

● Diseño del SGSI ● Análisis de procesos ● Definición del alcance ● Elaboración de la política de seguridad ● Identificación y evaluación del inventario de activos ● Análisis de riesgos ● Generación de la declaración de aplicabilidad (SoA)