[Metodología para la implementación de un SGSI en la fundación universitaria Juan de Castellanos, bajo la norma ISO 27001: 2005]

Abstract

Las tecnologías de la información y las comunicaciones han dotado al mundo actual de un sin número de posibilidades que le permiten al ser humano gozar de comodidad y rapidez en sus procesos cotidianos; sin embargo, a raíz de estos adelantes tecnológicos también surge la necesidad de proteger y salvaguardar los sistemas informáticos en su conjunto: software, hardware y datos, de amenazas que impidan su correcto funcionamiento y puedan afectar la integridad, disponibilidad y confidencialidad de la información. Las organizaciones han colocado un sin número de mecanismos y medidas de seguridad para proteger sus activos informáticos, siendo estos insuficientes para llegar a cumplir con sus metas de seguridad, por tanto, la legislación y la comunidad internacional se han unido para generar normas y estándares en cuanto a seguridad informática, estableciendo parámetros para evaluar, medir, prevenir, mitigar y corregir los riesgos que pueden provocar pérdida del negocio, daños en la imagen corporativa, sanciones legales y hasta cierre de una empresa. Los SGSI (Sistemas de Gestión de Seguridad Informática) son una herramienta corporativa que permiten establecer un plan de acción para la solución de problemas de seguridad a nivel técnico, organizativo y legislativo, mediante el uso de estrategias como el análisis de riesgos, el mejoramiento y mantenimiento de la seguridad de la información, y garantizando la continuidad de negocio. La implementación de un SGSI se encuentra determinada por la estructura organizacional de las instituciones, lo cual abarca características como: tipo, tamaño, objetivos, servicios, procesos, personal y requerimientos de seguridad que establece la misma, para lo cual se apoya en estándares internacionales tales como ISO/IEC 27001. Algunos de los tipos de instituciones que requieren la implementación de un SGSI son las Universidades de carácter privado, a fin de medir los niveles de riesgo, identificando amenazas, vulnerabilidades e impactos en sus actividades organizacionales, para lo cual se requiere el diseño de una metodología que les permita identificar su estado actual en cuanto a seguridad informática y realizar el alistamiento para implementar su propio SGSI y a su vez complementar sus procesos de certificación de calidad ISO 91001.