¿Existe un Sistema de gestión de seguridad de la información (SGSI) para PYME / PYME, si no es así, por qué?
Las llamadas suites GRC están dirigidas principalmente a compañías Fortune 100 (puede ser hasta Fortune 1000), considerando el alto costo, el mantenimiento y el costo total de propiedad (TCO). Ellos serán los únicos que tendrán suficientes presupuestos de seguridad y roles como CISO para pagar y ejecutar dichos programas (soluciones) de manera efectiva.
La administración de seguridad de la información requiere cerebros como primer recurso: debe haber alguien en la organización que "refunde a la seguridad", comprenda lo que está pasando y piense sobre los problemas. Este será el CISO, de hecho si no está en el título.
ISMS son herramientas predigeridas que ayudarán a un CISO a enfrentar el gran tamaño del alcance de la seguridad de la información en gran organizacion Su existencia se justifica solo en ese caso; Son artillería pesada. Una analogía: para defender adecuadamente un país , necesitas un ejército. Un ejército implica mucha logística, para armamento, alojamiento, alimentación y manejo de las tropas; Esto implicará una gran cantidad de personal administrativo y edificios y mobiliario y presupuesto. Para defender tu casa contra los ladrones, no necesitas un ejército; y, de hecho, no hay un paquete "ejército para su casa" que esté a la venta (a menos que extienda el término "ejército" para cubrir el concepto de "perro", pero eso es un tramo).
En una organización pequeña, la situación de la seguridad de la información debe ser de una complejidad suficientemente baja para que un proto-CISO pueda manejarlo sin usar herramientas pesadas, y esas herramientas solo lo frenarán sin realmente ayudarlo.
En cualquier caso, el SGSI no reemplaza la parte inteligente de la seguridad de la información, simplemente la complementa cuando se enfrenta a una situación demasiado compleja de manejar de una sola vez. mente humana.
Hay muchos productos que hacen lo que usted pidió, pero generalmente bajo el término: SIEM (información de seguridad y gestión de eventos).
Las recomendaciones de productos no se recomiendan aquí, pero verá rápidamente que la calidad, el precio y la funcionalidad varían mucho entre las ofertas y cada organización tiene que decidir qué tipo de información necesita.
Las búsquedas de Google para "SIEM" en lugar de "SGSI" darán mejores resultados.
Lea otras preguntas en las etiquetas corporate-policy audit security-theater monitoring