El ciclo de vida de la seguridad de la información

Consta de las siguientes etapas:

1. Identificación del sistema de información de la organización.
2. Identificación de los requerimientos y expectativas de la seguridad de la información.
3. Realizar la valoración del riesgo (risk assessment).
4. Diseñar un sistema de gestión o administración de seguridad de la información.
5. Establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad
de la información en forma continua.

Requerimientos de Seguridad

Es esencial que una organización identifique sus requerimientos de seguridad.

Existen 3 fuentes principales de requerimientos de seguridad:
1. Una fuente deriva de evaluar los riesgos que enfrenta la organización, tomando en
cuenta la estrategia general y los objetivos de la organización, mediante la evaluación de
riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y
probabilidades de ocurrencia, y se estima el impacto potencial.
2. Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y
contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y
los prestadores de servicios ( proveedores), y su ambiente socio-cultural.
3. Otra fuente es el conjunto especifico de principios, objetivos y requisitos comerciales
para el procesamiento de la información que la organización ha desarrollado para
respaldar sus operaciones.

La evaluación de riesgos

La evaluación de riesgos es una consideración sistémica de los siguientes puntos:

a) Impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las
potenciales consecuencias por una pérdida de la confidencialidad, integridad o
disponibilidad de la información y otros recursos.
b) Probabilidad de ocurrencia de dicha falla, tomando en cuente las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.

La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de

los riesgos (análisis de los riesgos) y el proceso de comparar los riesgos estimados con
un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).

Los resultados de esta evaluación ayudarán a:

• Orientar y determinar las prioridades y las acciones de gestión adecuadas para la
administración de los riesgos concernientes a seguridad de la información.
• La implementación de los controles seleccionados a fin de brindar protección
contra dichos riesgos.

Los resultados de la evaluación del riesgo debieran ayudar a guiar y determinar las
acciones de gestión apropiadas para la administración de los riesgos concernientes a
seguridad de la información, y establecer las prioridades para manejar los riesgos de la
seguridad de la información y para implementar los controles seleccionados para
protegerse contra estos riesgos.
La seguridad de los sistemas de la información

Planificar.- establecer las políticas, los objetivos, los procesos y procedimientos del ISMS
pertinentes a la gestión de riesgos y la mejora de la seguridad de la información para
entregar resultados de acuerdo con las políticas y objetivops generales de la
organización.

Implementar y operar el ISMS.- implementar y operar las políticas , controles, procesos y

procedimientos del ISMS.

Evaluar, monitorear y examinar el ISMS.- evaluar y, cuado sea aplicable, medir el

rendimiento de los procesos en contraste con las políticas y los objetivos del ISMS y la
experiencia práctica, e informar los resultados a la gerencia para su examen.

Actualizar.- tomar acciones correctivas y preventivas, sobre la base de los resultados de la

auditoría interna del ISMS y del examen de la gestión o de otra información relevante
paralograr la mejora continua del SGSI.