Un Sistema de Gestión de Seguridad de la Información – SGSI, está enfocado en administrar y proteger la información sensible dentro de una organización. Su objetivo principal es establecer un marco estructurado que permita a la organización identificar, gestionar, controlar y minimizar los riesgos relacionados con la seguridad de la información.
En CINTEL desarrollamos la implementación del SGSI alineado al modelo de negocio y los requerimientos de seguridad de su organización, basados en la experiencia adquirida luego de apoyar a más de 100 organizaciones en la construcción de este tipo de Sistemas.
Algunas de las ventajas de implementar un SGSI en su organización son las siguientes:
- Protección de la información crítica y sensible.
- Cumplimiento de regulaciones y normativas.
- Reducción de riesgos de seguridad.
- Continuidad del negocio y recuperación de desastres.
- Mayor confianza de clientes y socios comerciales.
- Eficiencia operativa y estandarización de procesos.
- Gestión eficaz de incidentes de seguridad.
- Promoción de la conciencia de seguridad entre los empleados.
- Reducción de costos a largo plazo.
- Ventaja competitiva a través de la seguridad de la información.
¿Por qué desarrollar este Sistema de Gestión de la mano de CINTEL?
En el proceso nuestro grupo de expertos acompaña al cliente en las fases del ciclo PHVA del Sistema de Gestión de Seguridad de la Información – SGSI, conforme a la norma ISO/IEC 27001 y alineados con las mejores prácticas internacionales, de manera que se logren cumplir los requisitos que permitan al cliente conseguir la certificación en dicha norma.
Por otra parte, en CINTEL apoyamos a las organizaciones en la generación de todos los documentos de cumplimiento para la implementación del SGSI, encaminado al cumplimiento de la Norma Técnica Colombiana ISO27001:2022.
Asimismo, la capacitación al personal es un punto clave que realizamos de forma articulada con la organización para la generación de las capacidades propias.
Así desarrollamos este Sistema de Gestión en el Centro:
En la fase de Planeación:
- Desarrollamos un diagnóstico de seguridad de la información que permitirá identificar las brechas en los controles de seguridad de la organización con respecto a las exigidas en la norma ISO/IEC 27001 y la normatividad nacional.
- Realizamos una evaluación de los riesgos presentes en los activos de información de acuerdo con una metodología de análisis de riesgo.
- Planteamos un Plan de mitigación para los riesgos no aceptados por la organización, el cual está alineado con el modelo de negocios del cliente, para lograr impactar directamente los controles de seguridad exigidos por la norma ISO/IEC 27001.
- Se desarrolla un Plan de Seguridad de la Información que incluye la definición de una declaración de aplicabilidad, la política SGSI, la matriz de riesgos y el plan de acción con la formulación de proyectos en seguridad de la información.
- Ejecutamos pruebas de penetración de acuerdo con las metodologías OSSTMM y OWASP.
En la fase de Implementación:
- Realizamos un acompañamiento al cliente en la implementación de los proyectos definidos en el plan de acción de la fase anterior.
- Ayudamos en el proceso de definición del RFP para la contratación de bienes y servicios.
- Asistimos el proceso de evaluación y selección de proveedores.
- Realizamos una asesoría en la supervisión o interventoría de los proyectos contratados.
En la fase de Verificación:
- Comprobamos la operación efectiva de los controles de seguridad implementados en la fase anterior, conforme con la norma ISO/IEC 27001, a través de técnicas de medición, agregación, evaluación y presentación.
- Realizamos una Pre-auditoria al SGSI implementado.
En la fase de Actuación:
- Consolidamos la evaluación de los controles auditados.
- Proponemos la realización de los correctivos, basados en un proceso de aprendizaje continuo.
- Realizamos un acompañamiento en las actividades de certificación del SGSI según la norma 27001.
