Implantación de sistemas de seguridad y privacidad de la información

Entendemos como proceso de gestión de la seguridad y proivacidad de la información el conjunto de actividades que se realizan para dar soporte a la mejora continua sobre la mayor seguridad de la información basándonos en las normas ISO 27001 y ENS, así como de privacidad, basándonos en la norma ISO 27701.

  • Planificación del sistema
    • Política de seguridad de la información y/o Política de privacidad de la información.
    • Identificación y valoración de activos de información.
    • Estructuración de una organización adecuada.
    • Fijación de objetivos de seguridad y/o de privacidad.
    • Lanzamiento de proyectos de mejora de la seguridad y/o privacidad de la información.
    • Planificación de recursos humanos
    • Planificación de auditorías
  • Gestión:
    • Planes Operativos y proyectos clave.
    • Formación y motivación del personal
    • Ejecución de proyectos y acciones derivados de los Planes de seguridad y/o privacidad de la información.
    • Ejecución de auditorías y monitorización de las actividades.
    • Gestión de incidentes, desviaciones y no conformidades del sistema.
  • Seguimiento:
    • Seguimiento de objetivos e indicadores.
    • Seguimiento de proyectos y acciones de mejora.
    • Seguimiento del plan de formación.
    • Evaluación del rendimiento
    • Revisión del sistema por la dirección.
  • Cambio del sistema:
    • Actualización y cambios en el inventario de activos.
    • Actualización y cambios en procesos.
    • Actualización del sistema documental.
    • Actualización y cambios en los recursos

En Acompalia hemos creado los siguientes módulos para dar cobertura a este proceso:

  • Evaluación y Mejora: nos permite las actividades clave vinculadas a un sistema de gestión de la seguridad de la información y/o de la privacidad: gestión de objetivos, gestión de auditorías, gestión de posiciones laborales, revisión del sistema, etc..
  • Espacios de trabajo (opcional no empaquetado en el proceso): si vamos a gestionar los proyectos de mejora utilizando técnicas y procedimientos de gestión de proyectos.
  • Gestión de Expedientes: para gestionar acciones de mejora del sistema de gestión de la seguridad y la privacidad de la información, proyectos de mejora de la seguridad y privacidad de la información y gestión de las incidencias (No Conformidades, Incidentes, Brechas de Segridad, ...)
  • Organización y Personas: para documentar la organización, para describir el organigrama y puestos de trabajo y para registrar la información relativa a personas y a gestión de formación y concienciación en la seguridad y privacidad de la información.
  • Gestión de protocolos: para gestionar el sistema documental y la base de datos de normativa que debemos tener en cuenta en nuestras actividades.
  • Gestión de los activos de información y sus riesgos: focalizado a dar cobertura al inventario y gestión de activos de información, sus relaciones, su ciclo de vida y a la gestión de amenazas, evaluación de su riesgo, de su valor y la gestión de planes para su mitigación.

Ventajas de implantar su proceso de gestión de la seguridad laboral en  acompalia

  • Disponemos de contenido para que sirva de punto de partida para su implantación. Consiga su certificación ISO27001 o de su ISO 27701 o ENS de forma sencilla, guiada y centrándose solamente en los aspectos que le aportan valor.
  • Ahorro en Coste: empaquetamos todo lo necesario en un solo módulo de gestión de la seguridad y privacidad de la información para que tenga cubiertas las necesidades.
  • Facilidad: Tenemos una utilidad diseñada y pensada para cada necesidad, para facilitar la implantación del sistema con un concepto de plantilla que nos guía para cubrir los aspectos clave de un sistema de gestión de seguridad y privacidad de la información.
  • Ponemos a su disposición paquetes de servicios a su medida para cubrir todo el ciclo de vida del sistema de gestión de seguridad y privacidad de la información, desde su implantación, certificación, revisiones posteriores hasta el final del ciclo de vigencia de su certificado. Si quiere, a través de una tarifa plana, puede tener asegurados sus servicios durante los años de cada ciclo de vigencia de su certificado.
  • Productividad: implante de nuevo su sistema o ya lo tenga implantado, cuente o no con servicios de consultoría que le ayuden, con nuestro sistema en la nube, consiga claros beneficios de productividad, de orden en la documentación y registros, y de facilidad para comunicar su sistema de gestión y justificar las actividades que deben desarrollarse.
  • Integración: podemos integrar el sistema de forma coherente con otras normas de calidad, gestión ambiental,  seguridad alimentaria, ...

Los recursos que empaquetamos en este proceso, y su funcionalidad:

Gestión de Objetivos de seguridad y privacidad de la información
  • Configuración de un mapa específico para objetivos de seguridad y privacidad de la información.
  • Configuración de diferentes grupos de objetivos para facilitar su manejo y seguimiento.
  • Seguimiento de los valores de los objetivos vinculados a indicadores de seguridad y privacidad de la información y proyectos (si disponemos del módulo de espacios de trabajo)
 Evaluación y Mejora
Proyectos de Mejora de la seguridad y privacidad de la información
  • Gestión de los proyectos de mejora de la seguridad y privacidad de la información como proyectos. Esta opción nos permite gestionar un proyecto con todos los detalles de gestión de proyectos y con las metodologías que decidamos adoptar: agile, cascada, ...
 Espacios de Trabajo
  • Podemos configurar una carpeta de Proyectos o de Gestión de Mejora de la seguridad y privacidad de la información y tratar cada proyecto como un expediente. Con esta opción llevamos a cabo un "libro de bitácora" de seguimiento del proyecto  o acción de mejora de la seguridad y privacidad de la información y podemos coordinar actividades a través de las herramientas de workflow de expedientes.
 Gestión de Expedientes
Planificación y Gestión de Recursos Humanos

 

  • Disponemos de funciones para realizar el plan de formación, inscripción de personas en acciones formativas, informativas y de motivación, y realizar su evaluación.
  • En las fichas de las personas tenemos su vinculación a la descripción de su puesto de trabajo y toda la información vinculada las gestiones especificadas en los puntos anteriores.
  Organización y Personas
Planificación y Gestión de auditorías
  • Definición de grupos de auditorías o planes de auditorías.
  • Creación de las fichas de auditoría donde tenemos los datos de identificación, alcance, auditores participantes, estado de gestión (planificada, en curso, cerrada) y donde podemos adjuntar los informes de auditoría.
  • Posibilidad de configurar plantillas de auditoría y realizar la auditoría con cuestionarios informatizados, disponiendo de un informe automatizado de la misma.
  • No conformidades y recomendaciones vinculados a través del módulo de expedientes (*ver gestión de incidencias).
  Evaluación y Mejora
Gestión de Incidencias y No Conformidades
  • Definimos una carpeta de gestión de incidencias de seguridad y privacidad de la información.
  • Conectamos uno de sus ejes con diferentes orígenes
    • Auditorías: conectamos con la lista de auditorías del módulo de auditorías.
    • Incidencias: tipologías de incidencias
  • Conectamos otro eje con la tabla de posiciones laborales: para poder asignar cualquier incidencia a una posición laboral.
  • Definimos criterios de cualificación de la incidencia:
    • No Conformidad
    • Recomendación de auditoría
    • Incidente
    • Accidente
    • ...
  • Definimos un cuadro de códigos de causas para poder clasificar mejor nuestros expedientes de incidencia al realizar análisis de causas.
  • Por cada incidencia, abrimos expediente y realizamos su flujo de trabajo para:
    • Su tratamiento: acciones para su resolución, análisis de causa raíz, ...
    • Su Evaluación: evaluación, efectividad y acciones posteriores a realizar para mejora.
    • Su cierre
 Gestión de Expedientes
Gestión de activos de información y sus riesgos
  • Cubrimos el ciclo de vida de los activos y su inventario a partir del Mapa de Activos, dividido en capas de clasificación de los mismos por su sensibilidad (esenciales, redes, infraestructuras) y por su naturaleza (información, servicios, servidores, ...) y vinculamos los activos a dimensiones según su naturaleza y norma a implantar.
  • Cubrimos todo el ciclo de gestión de riesgos y oportunidades.
  • Disponemos de catálogos de Amenazas por tipología de activos que nos ayudan a determinar el alcance de cada activo a nivel de análisis de riesgos.
  • Disponemos de catálogos de medidas vinculadas a controles de la norma, indicadores, documentos (procedimientos y políticas), conceptos de gestión, procesos, actividades, .... y su relación con la mitigación con amenazas.
  • Evaluación de riesgos: por cada amenza del activo, procedemos a evaluar su riesgo inicial, definir posibles actuaciones de mitigación o erradicación y el riesgo residual esperado. Generamos nuevos registros en cada evaluación.
  • Una vez realizado el análisis de riesgos de la evaluación, procedemos a determinar qué acciones realizamos de las posibles y qué riesgos abordamos y lo registramos en la evaluación.
  • En los planes de mitigación determinamos la mitigación esperada por las acciones detalladas.
 Gestión de Activos de información y sus riesgos
Revisión del sistema por la dirección
  • En la definición de normas, definimos todos los apartados de la revisión del sistema.
  • Abrimos una revisión del sistema y definimos sus datos de participación.
  • Podemos adjuntar el acta en esta cabecera o bien, generar el detalle a partir de la plantilla de apartados.
  • En el detalle, por cada apartado, tenemos un espacio para escribir las conclusiones sobre el mismo y para adjuntar la documentación que fundamenta este punto de la reunión.
  • El conjunto de detalle constituye el acta de revisión del sistema, facilitando su tratamiento punto a punto y el control de no saltarnos ninguno de ellos.
 Evaluación y Mejora
Sistema Documental
  • Manual de cumplimiento: en la configuración de las normas, podemos detallar su estructura de requisitos, documentando como cumplimos cada punto de la norma y, relacionando, cada punto con los documentos del sistema documental y con los elementos de descripción de la organización para disponer de una visión global del cumplimiento de la norma en la empresa.
 Evaluación y Mejora 
  • Definición de una carpeta de gestión del sistema para representar el Sistema Documental de seguridad y privacidad de la información. En ella determinamos la estructura de documentos que vamos a definir (procedimientos, políticas , ...) y ejes de clasificación para poder estructurar la documentación (por ejemplo un eje por plantas y otro eje por ámbito,  ...).
  • Tenemos el concepto de documento, con su identificador, título y relaciones con otros documentos y sus listas de difusión.
  • Cada documento tiene una pestaña de cumplimiento donde visualizamos, su relación con los requisitos de los mapas de cumplimiento de las diferentes normas.
  • Tenemos todo el historial de versiones publicadas y borradores en curso.
  • Disponemos de los correspondientes mecanismos de workflow de revisión y aprobación si procede o bien podemos publicar directamente los documentos.
  • Los usuarios a los que se distribuye, reciben los correspondientes avisos de nueva versión de documento y se controla su visualización.
 Gestión de Protocolos 
  • Carpetas de normativa: para diferenciar diferentes grupos de normas o grupos a los que se va a difundir para su consulta.
  • Bases de datos de normativa: podemos identificarla, clasificarla por varios ejes, definir un abstract de la misma para visualizar rápidamente su alcance, el nivel de implantación que tenemos de la misma y su estado de vigencia.
  • Podemos adjuntar la documentación relativa a la norma o bien utilizarla solo como un índice de referencia.
 Gestión de Protocolos

 

 

Solicitar Asesoramiento Gratuito o Contratar