¿Necesito un SGSI?

| Sep 17, 2019 |

¿Necesito un SGSI?


La información es crucial para la toma de decisiones de las organizaciones; creación de presupuestos, compra de activos, administración de recursos humanos, etc. Sin información, una organización anda a ciegas en su industria. No es de sorprender que actualmente las empresas más grandes explotan su información mediante técnicas como Data science.

¿Sabemos cuánto vale la información de la empresa?

La mayoría de las empresas grandes no saben calcular el valor de su información. Y sin ello, no se puede permear al personal con el conocimiento que podemos obtener de ella.

Un Sistema de Gestión de la Seguridad de la Información es un mecanismo que nos ayudará a implementar una estrategia alineada a los objetivos de negocio de nuestra organización. De tal forma que, podemos ponderar métricas que nos ayuden a evaluar qué información es crítica para nosotros. Y posteriormente implementar acciones de cómo la protegeremos.

El fin de implementar un SGSI es tener una correcta estrategia de negocio para posteriormente pasar a la táctica. Sin planeación, es muy probable que las acciones que tomemos no sean correctamente implementadas. Si pensamos que toda la información tiene el mismo valor, no podremos establecer prioridades al gestionar el impacto y riesgo que llegará a surgir de la materialización de una vulnerabilidad.

Al guiarnos con un SGSI tenemos una visión holística de nuestra organización. Al establecer un alcance de este, es mucho más sencillo establecer los controles adecuados que sí aplican a nuestra organización.

ISO 27001 cuenta con 114 controles. Si no tenemos un plan de implementación, es probable que pensemos debemos cumplir con los 114. Sin embargo, la norma nos dice que sólo se recomienda implementar aquellos alineados con la política de seguridad que decidamos establecer. Es aquí cuando cobra sentido la estrategia creada previamente.

Varios de los controles establecidos por ISO 27001 hacen referencia a la correcta gestión y auditoría de usuarios de sistemas. Para esto podemos apoyarnos de un sistema de gestión de AD en conjunto con la auditoría de un SIEM.

Manage Engine cuenta con AD Manager Plus, aplicación con la que podemos tener una gestión centralizada y eficaz de nuestro AD. Con la ayuda de AD Audit, cumplimos con varios de los controles propuestos por la norma ya nombrada de ISO.

Tags : ADAudit Plus

Artículos relacionados:


Compartir