FRAMEWORK SGSI






    Una administración adecuada de la gestión de riesgos permite alinear las medidas de seguridad
    con los riesgos que deben mitigarse en las diferentes actividades.


    Un Sistema de Gestión de Seguridad de la Información (SGSI),  nos permite gestionar de manera eficiente
    y establecer una mejora continua de las actividades de seguridad de la información.


    Es una metodología basada en controles para cada uno de los principales procesos y actividades. De
    manera de identificar los riesgos significativos y poder construir controles eficientes para cubrir y mitigar
    los riesgos identificados.


    Basada en los siguientes conceptos:

       ▪    En riesgos identificados
       ▪    Sobre objetivos de control (lo que hace posible cubrir los riesgos)
       ▪    Define actividades de control
       ▪    Algunas de las actividades de control se establecen como obligatorias


    Para cada uno de los procesos identificados, se definen:
       ▪    Los principales riesgos
       ▪    Los objetivos de control
       ▪    Las actividades de control estándar



    Evaluación:
       ▪    Se controla mediante autoevaluaciones una vez al año por el responsable del control
       ▪    El CISO debe auditar como mínimo anualmente y comprobar que la documentación y
       los resultados de la autoevaluación se ajusten adecuadamente a los controles establecidos.