ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

Gobernanza de seguridad de la información: la estrategia es clave

Análisis de la ISO/IEC 27014:2013 y sus seis principios de gobernanza para alinear la seguridad de la información con la estrategia organizacional.

No basta con solo aplicar controles, la estrategia es una parte que debemos tener en nuestro ADN desde el momento de que optamos por implementar un sistema de seguridad de la información. Básicamente la relación es la siguiente, la gobernanza colabora con la alineación estratégica entre la seguridad de la información y la estrategia de la organización, el cual si no es nuestro fin último, no sabría cuál es.

La ISO/IEC 27014:2013 proporciona una orientación sobre conceptos y principios para la gobernanza de la seguridad de la información, mediante la cual las organizaciones pueden evaluar, dirigir, controlar y comunicar las actividades relacionadas con la seguridad de la información dentro de la organización.

La ISO/IEC 27014:2013 es aplicable a todos los tipos y tamaños de organizaciones.

La ISO-27014 indica seis principios de gobierno de la seguridad de información.

La composición del cuerpo normativo de la ISO/IEC 27014:2013, se divide como definición en los siguientes procesos:

Evaluar

Considera el logro actual y previsto de los objetivos de seguridad basados en los procesos actuales y los cambios planificados y determina dónde se necesitan ajustes.

Dirigir

El cuerpo directivo da instrucciones sobre los objetivos de seguridad de la información y estrategia que debe implementarse. La dirección puede incluir cambios en los niveles de recursos, asignación de recursos, priorización de actividades y aprobaciones de políticas, aceptación de riesgos materiales y planes de gestión de riesgos.

Monitorear

Es el proceso de gobernanza que permite al cuerpo directivo evaluar el logro de objetivos estratégicos.

Comunicar

Es el proceso de gobernanza bidireccional mediante el cual el órgano rector y los interesados intercambian información sobre la seguridad de la información, adecuada a sus necesidades específicas.

Asegurar

Mediante el cual el órgano rector encarga auditorías, revisiones o auditorías independientes y objetivas, identificarán y validarán los objetivos y acciones relacionados con la implementación de la gobernanza, actividades y operaciones para alcanzar el nivel deseado de seguridad de la información.

¡La gobernanza es un factor clave para el éxito de su SGSI!

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo