Sistema de gestión de seguridad de la información: qué es y sus etapas-DominioDigital

¿Qué es un sistema de gestión documental y para qué sirve?

Los sistemas de gestión documental se están convirtiendo en una pieza cada vez más importante para las empresas. La cantidad de información generada por las compañías actuales crece de forma exponencial y los antiguos sistemas de almacenamiento presentan demasiadas carencias. Un sistema de gestión documental asegura una información organizada y eficiente, que favorezca la productividad empresarial. ¿Cuáles son las ventajas de los sistemas de gestión documental? ¿Para qué sirve la gestión documental de forma digital?

Índice:

Definición sistema de gestión documental

Un sistema de gestión documental, o document management system (DMS), por sus siglas en inglés, está diseñado para almacenar, administrar y controlar el flujo de documentos dentro de una organización. Se trata de una forma de organizar los documentos e imágenes digitales en una localización centralizada a la que los empleados puedan acceder de forma fácil y sencilla.

La necesidad de organizar la información es un factor importante para el éxito de un creciente número de compañías y por ello, las copias en papel están pasando a ocupar un segundo plano. Para organizar, compartir y acelerar el flujo de trabajo de forma eficiente, el sistema de gestión documental debe presentar algunas particularidades esenciales. La Guía de Gestión Documental 2022 recoge un análisis de las principales características que no deben faltar en un DMS.

¿Cuáles son los principales motivos para adquirir un sistema de gestión documental? Según un estudio realizado por TIC Portal sobre empresas que han iniciado un proyecto de gestión documental, los principales motivos para buscar un sistema de gestión documental son: Mejora de la eficiencia por optimización del archivo y búsqueda de la información

Digitalización (de procesos y papel)

Mejora de la gestión y organización empresarial Fuente: digiBook Estadísticas de Gestión Documental.

¿Cuáles son las ventajas de los sistemas de gestión documental?

Digitalización de documentos

Comenzar a trabajar con un sistema de gestión documental significa llevar a cabo la digitalización de documentos en papel. Con la colaboración de un escáner, los documentos físicos se convertirán en versiones digitales que se almacenarán en una localización central. Este procedimiento puede ser tedioso y bastante costoso, sin embargo, una digitalización organizada y planificada es primordial para el correcto aprovechamiento del sistema.

En la Guía de Gestión Documental 2022 podrá ver cuáles son los requisitos generales, y los específicos centrados en la digitalización de documentos, para la adecuada selección del proveedor .

Localización central

La cantidad de canales a través de los que la información llega a las empresas es amplia. A consecuencia de esto, grandes volúmenes de información quedan desestructurados y repartidos entre los distintos sistemas de una compañía. Un sistema de gestión documental almacena y organiza toda la información proveniente del trabajo diario de la empresa en una ubicación central. La empresa decidirá qué empleados pueden tener acceso a los documentos alojados en dicha localización gracias al mecanismo de concesión de permisos. Esta centralización de la información supone terminar con la búsqueda infinita de documentos por las redes de carpetas de la organización agilizando, de esta forma, el ritmo de trabajo.

Mejorar el flujo de trabajo

Un DMS puede convertir los flujos de trabajo en procesos más eficientes y productivos. Gracias a la automatización de las funciones , el sistema proporcionará una imagen global de los procesos de trabajo dentro de la compañía. Este control de procesos permitirá seguir las tareas incompletas, conocer aquellas que ya han finalizado o automatizar tareas repetitivas que terminarán ahorrando tiempo a la organización.

Seguridad de la información

Aún son muchas las empresas que mantienen sus documentos almacenados en ficheros físicos y, de este modo, la posibilidad de que un archivo termine perdido o deteriorado es alta. Los DMS solucionan este problema. Estableciendo copias digitales de documentos en papel, el riesgo de pérdida disminuye de forma considerable. De esta forma, la organización trabaja con la certeza de que toda su información está segura ubicada en un mismo sistema, sistema que puede incluir entre otras características, la recuperación de datos en caso de desastre.

Compartir documentos

Muchos documentos son creados para ser compartidos. Los sistemas de gestión documental facilitan esta tarea. A través de la creación de grupos o con accesos ilimitados a la localización central, los documentos pueden ser distribuidos tanto de forma interna como externa. Los gestores documentales permiten a diferentes grupos externos a la empresa (proveedores, clientes…) el acceso a documentos necesarios para la relación que mantienen. Con esta característica ya no son necesarias las pequeñas memorias USB, o los emails con diferentes versiones de un documento.

Colaboración documental

Hay sistemas en los que múltiples personas pueden trabajar en un documento al mismo tiempo, mientras éste está alojado en una localización central. Con ello, los empleados podrán acceder en todo momento a una visión general de un documento, pudiendo modificarlo si se considera necesario. La colaboración documental permite, de esta forma, compartir ideas e información entre los empleados de una compañía de forma más sencilla. No obstante, si el sistema de gestión documental no se asienta en su totalidad, en la organización los problemas de colaboración documental pueden seguir existiendo. La Guía de Gestión Documental recoge los problemas más comunes que una empresa puede afrontar para sacarle el máximo rendimiento a la colaboración documental.

Control de versiones

Según una encuesta realizada por Perforce, el 81% de los trabajadores de oficina ha trabajado alguna vez en la versión incorrecta de un documento. Teniendo en cuenta que un documento realizado por un grupo de trabajo puede ser modificado infinidad de veces, controlar las diferentes versiones puede resultar complicado. Los gestores documentales tratan de controlar este inconveniente. A través de un historial de versiones, los sistemas de gestión documental ofrecen la posibilidad de acceder a cualquier versión del texto para recuperar información, eliminarla o añadirla. En el artículo Control de versiones encontrará una explicación más detallada de esta característica.

¿Cómo elegir un sistema de gestión documental?

La oferta de sistemas de gestión documental es realmente amplia. Ante tal diversidad precios, características, fabricantes y modelos, decantarse por un sistema no es tarea fácil. La Guía de Gestión Documental analiza los diferentes sistemas en el mercado según el sector al que se dirigen para ayudar a las empresas en sus procesos de selección.

Software de gestion de oficina de turismo

Los contactos puedes ser posicionados en Google maps de una manera automática, pudiendolos enlazar con un mapa interactivo.

A todos sus contactos enviandoles información, news letters, mails de actualización de los datos registrados. Tambien podrá exportarlos en formatos estándar XML, CVS ... e incluso imprimirlos para entregarlos a los visitantes.

La gestión de productos y del almacén.

Es otra de las soluciones que infotourist incluye. Esta gestión permite conocer cuantos productos y donde están ubicados en el almacén, quienes son sus proveedores y que cantidad disponemos.

También nos permite el control de salidas y entradas de los productos del almacén.

Es otra de las herramientas que la plataforma permite, con ello conseguiremos saber en que estado están las peticiones a nuestros proveedores y obtener los informes adecuados para conocer en cualquier momento la situación de nuestra oficina y si cumple con los objetivos de calidad Q que nos hemos fijado.

Sistema de gestión de seguridad de la información: qué es y sus etapas

En Pensemos, sabemos que la información es el activo más importante de su organización, por ello entendemos la importancia de contar con un sistema sólido para administrarla y protegerla. En este artículo le indicaremos claramente en qué consiste un Sistema de Gestión de Seguridad de la Información (SGSI) y daremos a conocer una ruta de 18 pasos sugeridos para garantizar la adecuada implementación y el mejoramiento continuo del SGSI en cualquier tipo de organización.

¿Qué es un Sistema de Gestión de Seguridad de la Información?

Un Sistema de gestión de seguridad de la información (SGSI) es, básicamente, un conjunto de políticas de administración de la información. Para entender más a profundidad en qué consiste un SGSI debemos partir de la definición dada por el estándar internacional ISO/IEC 27000:

Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.

Además, debemos tener en cuenta la visión dada por el estándar ISO/IEC 27001:

Es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio.

Hay algunos términos de aquí que es relevante definir y aclarar, entre ellos, ¿cómo se define un activo de información? Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”. La protección de estos activos está destinada a preservar la confidencialidad, la integridad y la disponibilidad de la información. Además, puede abarcar otras propiedades como la autenticidad, la responsabilidad y la fiabilidad. A continuación, hablaremos de qué significan cada uno de estos términos en relación con la información:

Confidencialidad : la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Es necesario acceder a la información mediante autorización y control.

: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Es necesario acceder a la información mediante autorización y control. Integridad : debe mantenerse la exactitud y completitud de la información y sus métodos de proceso. Su objetivo es prevenir modificaciones no autorizadas de la información.

: debe mantenerse la exactitud y completitud de la información y sus métodos de proceso. Su objetivo es prevenir modificaciones no autorizadas de la información. Disponibilidad: Garantizar el acceso y la utilización de la información y los sistemas de tratamiento de la misma, por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Su objetivo es prevenir interrupciones no autorizadas de los recursos informáticos.

Para lograr esta protección de los activos se debe establecer, implantar, mantener y mejorar un SGSI, el cual puede desarrollarse según el conocido enfoque de mejora continua denominado Ciclo de Deming. Este enfoque está constituido por cuatro pasos:

Planificar: es una fase de diseño del SGSI en la que se evalúan los riesgos de seguridad de la información y se seleccionan los controles adecuados.

Hacer: es una fase que envuelve la implantación y operación de los controles.

Verificar: es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.

Actuar: en esta fase se realizan cambios periódicamente para mantener el SGSI al máximo rendimiento.

Ruta de implementación y mejoramiento continuo:

1. Apoyo de la alta dirección

Debido a que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio, requiere que todas las acciones futuras y las decisiones que se tomen sólo puedan ser desarrolladas por la alta dirección de la organización.

Es un error común que el SGSI sea considerado una cuestión meramente tecnológica o técnica de los niveles operativos de la empresa. El compromiso de la alta dirección en la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información se evidencia con las siguientes iniciativas:

Desarrollar una política de seguridad de la información.

Garantizar el cumplimiento de planes y objetivos del Sistema de Gestión de Seguridad de la Información.

Constituir roles y responsabilidades de seguridad de la información.

Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir con la política de seguridad.

Designar todos los recursos necesarios para llevar a cabo el SGSI.

Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.

Asignar los recursos suficientes para todas las fases del SGSI.

Garantizar que se realizan todas las auditorías internas.

2. Alcance del SGSI

El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la ubicación de los activos críticos de información de la organización (por ejemplo: unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo: leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales).

Se deben tener en cuenta los problemas internos y externos (análisis del contexto de la organización) y los requisitos y expectativas procedentes de las partes interesadas, que se relacionan con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización.

También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la seguridad de la información.

3. Inventario de activos de información

Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.

Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por expertos es la siguiente.

Activos de información pura:

Datos digitales

Bases de datos

Unidades lógicas

Copias de seguridad

Activos tangibles

Personales

Financieros

Legales

Activos intangibles

Conocimiento

Relaciones

Secretos comerciales

Software de aplicación

Propietario desarrollo por la organización

Herramientas de bases de datos

Aplicaciones de comercio electrónico

Middleware

Sistemas operativos

Servidores

Dispositivos de red

Dispositivos de mano e incrustados

Activos físicos:

Infraestructura de TI

Edificios

Centros de datos

Habitaciones de equipos y servidores

Controles de entorno de TI

Equipos de alarma

Supresión contra incendio

Sistemas de alimentación ininterrumpida

Hardware de TI

Dispositivos de almacenamiento

Ordenadores de mesa

Estaciones de trabajo

Ordenadores portátiles

Activos de servicios de TI

Servicios de autenticación de usuario

Administración de procesos

Enlaces

Activos humanos:

Empleados

Personal y directivos

Participan quienes tienen roles de gestión como, por ejemplo, altos cargos

Arquitectos de software y desarrolladores

Externos

Trabajadores temporales

Consultores externos

Asesores especialistas

Todos los activos de información deben ser propiedad de una parte designada de la organización. En este sentido, el propietario del activo definirá y garantizará los controles para la adecuada protección del activo. Adicionalmente, los activos de información en este inventario deben clasificarse en términos de confidencialidad, integridad y disponibilidad.

4. Evaluación de riesgos

Cada organización debe determinar el proceso más apropiado para evaluar los riesgos teniendo en cuenta las guías ISO/IEC 27005 e ISO 31000.

Este proceso debe ser estructurado y repetible, es decir, un procedimiento documentado de evaluación de riesgos que explique cómo se identifican, analizan (por ejemplo en base a posibles consecuencias y probabilidades de ocurrencia), evalúan (por ejemplo aplicando criterios específicos para la aceptación del riesgo) y priorizan los riesgos relacionados con los activos de información más relevantes del alcance (por ejemplo en atención a niveles de riesgo definidos).

Las revisiones y las actualizaciones periódicas, o por cambios sustanciales que afronta la organización, son requeridas para evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque preventivo y de anticipación en acciones mitigadoras o de control. El análisis de riesgo informático es un proceso relevante y es crucial su implementación para poder tener una perspectiva preventiva y no reactiva.

5. Declaración de aplicabilidad

Una vez evaluados los riesgos, se bebe hacer una verificación para determinar cuáles de los controles recomendados en el Anexo A de ISO/IEC 27001 están siendo aplicados o deben aplicarse en la organización. Para esto se puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y con cualquier otra fuente alternativa o suplementaria de información.

La función esencial de este documento es evidenciar que los controles recomendados en el Anexo A de ISO/IEC 27001 se aplican cuando están dentro del alcance y son apropiados para su organización o, por el contrario, dejar claro cuando no se justifica el esfuerzo de su aplicación por motivosde gestión estratégica o de coste/efectividad, esto motivos que deben ser formalmente registrados y justificados para evidenciar ante los auditores que no se los ha descuidado, ignorado o excluido arbitrariamente o porque hayan pasado inadvertidos.

6. Tratamiento de riesgos

En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información. Esta definición debe alinearse con la disponibilidad, confidencialidad e integridad del mismo y con la política definida por la dirección. En este punto, se seleccionan las acciones adecuadas para cada riesgo, las cuales irán orientados a:

Asumir el riesgo: se trata de no hacer nada. Simplemente, sabemos que no tenemos cómo evitarlo y debemos convivir con él. Las organizaciones deciden aceptar un riesgo cuando la probabilidad de que ocurra esmuy baja.

se trata de no hacer nada. Simplemente, sabemos que no tenemos cómo evitarlo y debemos convivir con él. Las organizaciones deciden aceptar un riesgo cuando la probabilidad de que ocurra esmuy baja. Reducir el riesgo: Se usa cuando eliminar completamente el riesgo resulta mucho más costoso que asumir las consecuencias negativas de que este llegara a materializarse.

Se usa cuando eliminar completamente el riesgo resulta mucho más costoso que asumir las consecuencias negativas de que este llegara a materializarse. Eliminar el riesgo: Se implementan las acciones para hacer que las condiciones o los factores que pueden generar el riesgo desaparezcan y con ellos el riesgo. Esta es una opción para aquellos casos de alta probabilidad de ocurrencia, con un muy alto impacto negativo.

Se implementan las acciones para hacer que las condiciones o los factores que pueden generar el riesgo desaparezcan y con ellos el riesgo. Esta es una opción para aquellos casos de alta probabilidad de ocurrencia, con un muy alto impacto negativo. Transferir el riesgo: Significa que pasamos el problema a alguien más. La forma más usual de transferir un riesgo es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el problema.

7. Definición del programa de implementación del SGSI

El programa de implementación del SGSI se basa en la política y los objetivos definidos. Este programa debe determinar qué se realizará, con qué recursos, quién es el responsable, cuándo se debe completar y cómo se evaluarán los resultados. También debe determinar la manera de identificar e implementar posibles mejoras de acuerdo con los resultados.

En esta planeación se deben considerar funciones y responsabilidades específicas para las personas asignadas a los roles relacionados con el SGSI y que pueden extenderse a otras funciones y personas relacionadas con los riesgos de la seguridad de la información (seguridad física, gobernanza, privacidad, continuidad del negocio, cumplimiento legal).

8. Implementación del programa de implementación del SGSI

Durante la etapa de implementación del programa de implementación se deben ejecutar diferentes proyectos entre estos: Proyecto políticas de seguridad de la información, Proyecto control de acceso y seguridad física, Proyecto análisis de riesgos.

En esta etapa se debe hacer seguimiento a estos proyectos mediante la revisión de informes de progreso de costo, tiempo, alcance, gestión de interesados, entre otros.

9. Administración del Sistema de Seguridad de la Información

Durante esta etapa, se hace seguimiento al cumplimiento de los objetivos de seguridad de la información establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento de las pautas de seguridad de la información.

Las métricas relevantes para tener en cuenta son:

Cubrimiento de activos de información en el SGSI

Tratamiento de eventos relacionados en marco de seguridad y privacidad de la información

Plan de sensibilización

Cumplimiento de políticas de seguridad de información en la entidad

10. Operación artefactos SGSI

En esta etapa se generan informes posteriores a incidentes, informes de pruebas de seguridad, evaluaciones de productos de seguridad, evaluaciones de vulnerabilidad, evaluaciones de impacto comercial, arquitecturas y diseños de seguridad, entre otras evidencias de los controles y acciones realizadas para gestionar los riesgos identificados.

11. Auditorías Internas SGSI

La auditoría interna es un proceso sistemático, independiente y documentado realizado por la propia organización, o en su nombre, para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar en qué grado se cumplen los criterios de auditoría.

Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo

12. Revisión de cumplimiento

Los resultados de esta auditoría interna constan de hallazgos de auditoría detallados y evidencia (como listas de verificación completadas), recomendaciones de auditoría, planes de acción acordados, notas de cierre, etc.

13. Acciones correctivas

Esta etapa consiste en analizar los resultados de la auditoría para identificar los requisitos del SGSI parcial o totalmente insatisfechos, conocidos como no conformidades.

Estas no conformidades deben ser analizadas, para identificar la causa raíz, y comunicadas a los responsables para su resolución.

14. Evaluación pre-certificación

Esta es una auditoría de tercera parte realizada con el fin de revisar de cerca el sistema de seguridad de la información existente y compararlo con los requisitos del estándar ISO/IEC 27001. Esto ayuda a identificar áreas que necesitan más trabajo antes de llevar a cabo la auditoría formal, ahorrándole tiempo y dinero.

15. Auditoría de Certificación

Esta auditoría se da en dos etapas:

Primero se realiza una revisión documental para evidenciar la preparación de la organización para la evaluación, revisando si se han desarrollado los procedimientos y controles ISO/IEC 27001 necesarios. En el informe se comparten los detalles de los hallazgos evidenciados, de manera que si se encuentran algunas brechas, se puedan cerrar antes de la segunda etapa.

Si se considera conveniente, se realiza la segunda etapa, en ella se evalúa la implementación de los procedimientos y controles para asegurar que estén funcionando eficientemente como lo requiere la certificación.

16. Celebración del logro

Teniendo en cuenta el esfuerzo requerido por parte de toda la organización para implementar y certificar el SGSI, es importante tener planeado un evento para reconocer a las personas o equipos más directamente implicados en los pasos enunciados anteriormente y motivar a otros equipos a establecer esfuerzos que lleven al mejoramiento continuo de la organización

17. Operación rutinaria del SGSI

Una vez obtenida la certificación, las organizaciones han de seguir trabajando para mejorar su sistema de seguridad de la información, aunque ya cuenten con la certificación en ISO 27001.

En esta etapa, los pasos 8 y 9, Administración del Sistema de Seguridad de la Información y Operación artefactos SGSI respectivamente, deben seguir realizándose para mantener el cumplimiento de los procedimientos y controles definidos.

18. Auditorías anuales de control

Esta certificación ISO 27001 se mantiene a través de auditorías de control anuales y de una evaluación completa cada tres años. Esta auditoría, al igual que la auditoría de certificación, sólo puede ser realizada por una entidad de certificación debidamente acreditada.

Esperamos que este artículo, junto con otros relacionados que hemos dado a conocer anteriormente, sean una ayuda para una implementación exitosa de un Sistema de Gestión de Seguridad de la información en su organización o para su mejoramiento continuo. Para conocer más sobre la implementación y desarrollo de Sistemas de Gestión en una organización no dude en contactarnos. También, conozca nuestro Software de Cuadro de Mando Integral, un Software que le permitirá medir y mejorar la ejecución de la estrategia de su organización. Por último, recuerde que puede suscribirse a nuestro blog si quiere recibir información relevante sobre este y otros temas que son relevantes para su organización.