SGSI

Los servicios de consultoría tienen por objetivo general, realizar las actividades de implementación de un “Sistema de Gestión de Seguridad de la Información”, utilizando como metodología de implementación la normativa ISO/IEC 27001:2005 – ISO/IEC 27002:2005, y tomando como base la documentación existente dentro de la compañía.

Etapa 1

  • Diagnosticar la situación de seguridad de la información institucional.

  • Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2005 y el nivel en que la organización se encuentra con respecto de ellos.

  • Determinar las brechas a ser abordadas en el Plan General de Seguridad de la Información institucional.

Etapa 2

  • Definir el Plan General de Seguridad de la Información institucional, para el año en curso y siguientes, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2005. Este plan debe estar aprobado por la autoridad superior de la organización.

  • Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:2005 que se alcanzará para el año, hitos, cronograma, plazos y responsables. 

  • Plan de Mitigación de Riesgos, que defina los riesgos asociados al plan y sus acciones para resolverlos. Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad de la organización. 

Etapa 3

  • Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el  plan general de seguridad de la información y el porcentaje de cumplimiento de la norma ISO/IEC 27001:2005 comprometido.

  • Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión/sensibilización/capacitación y las modificaciones realizadas según lo programado. 

Etapa 4

  • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.

  • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual. 

  • Diseñar el Programa de Seguimiento a partir de las  recomendaciones formuladas. 

  • Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas.

  • Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.