INTRO

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central

sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización.

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con
una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad
de la información.

¿QUÉ ES UN SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad
de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de
Information Security Management System.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización.

FUNDAMENTOS:
Para garantizar que la seguridad de la información es gestionada correctamente se
debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para
garantizar su C-I-D:
 Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de
la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
En base al conocimiento del ciclo de vida de cada información relevante se debe
adoptar el uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de

disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de
la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

USO
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organización. La confidencialidad, integridad y disponibilidad de
información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada

vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los
 ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero
también se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia organización o aquellos
provocados accidentalmente por catástrofes naturales y fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones

variables del entorno, la protección adecuada de los objetivos de negocio para
asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí

mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la
organización, con la gerencia al frente, tomando en consideración también a clientes y
proveedores de bienes y servicios.

El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados

y la planificación e implantación de controles de seguridad basados en una evaluación
de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer

estas políticas y procedimientos en relación a los objetivos de negocio de la
organización, con objeto de mantener un nivel de exposición siempre menor al nivel de
riesgo que la propia organización ha decidido asumir.

BENEFICIOS
 Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
 Reducción del riesgo de pérdida, robo o corrupción de información.
 Los clientes tienen acceso a la información a través medidas de seguridad.
 Los riesgos y sus controles son continuamente revisados.
 Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y
las áreas a mejorar.
 Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
 Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
 Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
 Confianza y reglas claras para las personas de la organización.
 Reducción de costes y mejora de los procesos y servicio.
 Aumento de la motivación y satisfacción del personal.
 Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
Dispone de "Implicaciones financieras de la implantación de ISO/IEC 27001 & 27002:
modelo genérico de coste-beneficio"junto a un caso práctico orientado a la alta
gerencia.

IMPLANTAR (VERSIÓN 2005)

DOCUMENTACIÓN MÍNIMA
 Política y objetivos de seguridad.
 Alcance del SGSI.
 Procedimientos y controles que apoyan el SGSI.
 Descripción de la metodología de evaluación del riesgo.
 Informe resultante de la evaluación del riesgo.
 Plan de tratamiento de riesgos.
 Procedimientos de planificación, manejo y control de los procesos de seguridad de la
información y de medición de la eficacia de los controles.
 Registros.
 Declaración de aplicabilidad (SOA -Statement of Applicability-).

 Procedimiento de gestión de toda la documentación del SGSI.

ENFOQUE A PROCESOS
IMPLANTACIÓN DEL SGSI

El diagrama anterior ha sido desarrollado por miembros internacionales del "Foro de

implementación ISO 27k" (click sobre la imagen para descargar en formato pdf).
 Las actividades más relevantes son:

 Implicación de la Dirección.
 Alcance del SGSI y política de seguridad.
 Inventario de todos los activos de información.
 Metodología de evaluación del riesgo.
 Identificación de amenazas, vulnerabilidades e impactos.
 Análisis y evaluación de riesgos.
 Selección de controles para el tratamiento de riesgos.
 Aprobación por parte de la dirección del riesgo residual.
 Declaración de aplicabilidad.
 Plan de tratamiento de riesgos.
 Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
 Definición de un método de medida de la eficacia de los controles y puesta en marcha
del mismo.
 Formación y concienciación en lo relativo a seguridad de la información a todo el
personal.
 Monitorización constante y registro de todas las incidencias.
 Realización de auditorías internas.
 Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y
de su alcance.
 Mejora continua del SGSI.

 PLAN
 DO
 CHECK
 ACT

ASPECTOS CLAVE
FUNDAMENTALES
• Compromiso y apoyo de la Dirección de la organización que debe:
 Establecer una política de seguridad de la información.
 Asegurarse de que se establecen objetivos y planes del SGSI.
 Establecer roles y responsabilidades de seguridad de la información.
 Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad
de la información y de cumplir con la política de seguridad, como sus responsabilidades
legales y la necesidad de mejora continua.
 Asignar suficientes recursos al SGSI en todas sus fases.
 Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
 Asegurar que se realizan auditorías internas.
 Realizar revisiones del SGSI, como se detalla más adelante.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal en base a:
 Determinar las competencias necesarias para el personal que realiza tareas en
aplicación del SGSI.
 Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,
contratación de personal ya formado.
 Evaluar la eficacia de las acciones realizadas.
 Mantener registros de estudios, formación, habilidades, experiencia y cualificación.
 Además, la dirección debe asegurar que todo el personal relevante esté concienciado
de la importancia de sus actividades de seguridad de la información y de cómo
contribuye a la consecución de los objetivos del SGSI.
• Evaluación de riesgos adecuada a la organización.
• Compromiso de mejora continua por la dirección con evidencias de:
 Al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado
y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar
decisiones, entre las que se pueden enumerar:
 Resultados de auditorías y revisiones del SGSI.
 Observaciones de todas las partes interesadas.
 Consideración de técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
 Información sobre el estado de acciones preventivas y correctivas.
 Identificación de vulnerabilidades o amenazas que no fueran tratadas adecuadamente
en evaluaciones de riesgos anteriores.
 Resultados de las mediciones de eficacia.
 Revisión de estado de las acciones iniciadas a raíz de revisiones anteriores de la
dirección.
 Valoración de cualquier cambio que pueda afectar al SGSI.
 Recomendaciones de mejora.
 Toma de decisiones y acciones positivas.
 Mejora de la eficacia del SGSI.
 Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
 Modificación de los procedimientos y controles que afecten a la seguridad de la
información, en respuesta a cambios internos o externos en los requisitos de negocio,
requerimientos de seguridad, procesos de negocio, marco legal, obligaciones
contractuales, niveles de riesgo y criterios de aceptación de riesgos.
 Necesidades de recursos.
 Mejora de la forma de medir la efectividad de los controles.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del
cumplimiento legal y de la externalización.
• Integración del SGSI en la organización.

FACTORES DE ÉXITO
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión
continua de no conformidades, incidentes de seguridad, acciones de mejora,
tratamiento de riesgos...
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas
por parte de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.

RIESGOS
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
desmotivación, alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas
de tipo organizativo.
• Falta de comunicación de los progresos al personal de la organización.

CONSEJOS BÁSICOS
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de
trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área
sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar
gradualmente el alcance en sucesivas fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones
exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de
problemas la implantación; adquirir experiencia de otras implantaciones, asistir a
cursos de formación o contar con asesoramiento de consultores externos
especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio
el alcance se restringe a un alcance reducido- evitarán un muro de excusas para
desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la
norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la
norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un
objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito.
Eso sí, la certificación es la "guinda del pastel", no es bueno que sea la meta en sí
misma. El objetivo principal es la gestión de la seguridad de la información alineada
con el negocio.
• No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya
establecidos, así como en la experiencia de otras organizaciones.
• Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la
calidad o ISO 14001 para medio ambiente) ya implantados en la organización son
útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es
conveniente pedir ayuda e implicar a responsables y auditores internos de otros
sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el
proyecto debe ser capaz de trabajar con continuidad en el proyecto.
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del
intento de certificación para demostrar que el SGSI funciona adecuadamente. No
precipitarse en conseguir la certificación.
• Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la
mejora del SGSI a lo largo de los años posteriores requeriran también esfuerzo y
recursos.