El SGSI (Sistema de Gestión de Seguridad de la Información) es el

concepto central sobre el que se construye ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un

proceso sistemático, documentado y conocido por toda la organización.

Este proceso es el que constituye un SGSI, que podría considerarse, por

analogía con una norma tan conocida como ISO 9001, como el sistema
de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso
en el caso de disponer de un presupuesto ilimitado. El propósito de un
sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean
conocidos, asumidos, gestionados y minimizados por la organización de
una forma documentada, sistemática, estructurada, repetible, eficiente y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías.

SGSI según la norma ISO 27001.

.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión
de la Seguridad de la Información. ISMS es el concepto equivalente en
idioma inglés, siglas de Information Security Management System
.
En el contexto aquí tratado, se entiende por información todo aquel
conjunto de datos organizados en poder de una entidad que posean valor
para la misma, independientemente de la forma en que se guarde o
transmita (escrita, en imágenes, oral, impresa en papel, almacenada
electrónica mente, proyectada, enviada por correo, fax o e-mail,
transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.

[Link]

La seguridad de la información, según ISO 27001, consiste en la

preservación de su confidencialidad, integridad y disponibilidad, así como
de los sistemas implicados en su tratamiento, dentro de una
organización. Así pues, estos tres términos constituyen la base sobre la
que se cimienta todo el edificio de la seguridad de la información:

Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la

información y sus métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada

correctamente, se debe hacer uso de un proceso sistemático,
documentado y conocido por toda la organización, desde un enfoque de
riesgo empresarial.

¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella,

son activos muy importantes de una organización. La confidencialidad,
integridad y disponibilidad de información sensible pueden llegar a ser
esenciales para mantener los niveles de competitividad, rentabilidad,
conformidad legal e imagen empresarial necesarios para lograr los
objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un

número cada vez más elevado de amenazas que, aprovechando
cualquiera de las vulnerabilidades existentes, pueden someter a activos
críticos de información a diversas formas de fraude, espionaje, sabotaje o
vandalismo. Los virus informáticos, el “hacking” o los ataques de
denegación de servicio son algunos ejemplos comunes y conocidos, pero
también se deben considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de la propia
organización o aquellos provocados accidentalmente por catástrofes
naturales y fallos técnicos.

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha
mostrado gráficamente la documentación del sistema como una pirámide
de cuatro niveles. Es posible trasladar ese modelo a un Sistema de
Gestión de la Seguridad de la Información basado en ISO 27001 de la
siguiente forma:

¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA,
tradicional en los sistemas de gestión de la calidad.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

•
Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su

localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.

Definir una política de seguridad que: incluya el marco general y los

objetivos de seguridad de la información de la organización; considere
requerimientos legales o contractuales relativos a la seguridad de la
información; esté alineada con el contexto estratégico de gestión de
riesgos de la organización en el que se establecerá y mantendrá el SGSI;
establezca los criterios con los que se va a evaluar el riesgo; esté
aprobada por la dirección.

• Definir una metodología de evaluación del riesgo apropiada para el

SGSI y los requerimientos del negocio, además de establecer los
criterios de aceptación del riesgo y especificar los niveles de riesgo
aceptable. Lo primordial de esta metodología es que los resultados
obtenidos sean comparables y repetibles (existen numerosas
metodologías estandarizadas para la evaluación de riesgos, aunque es
perfectamente aceptable definir una propia).

• Identificar los riesgos: identificar los activos que están dentro del
alcance del SGSI y a sus responsables directos, denominados
propietarios;

* identificar las amenazas en relación a los activos; identificar las

vulnerabilidades que puedan ser aprovechadas por dichas amenazas;

* identificar los impactos en la confidencialidad, integridad y

disponibilidad de los activos.

• Analizar y evaluar los riesgos:

- evaluar el impacto en el negocio de un fallo de seguridad que

suponga la pérdida de confidencialidad, integridad o disponibilidad de
un activo de información;

– evaluar de forma realista la probabilidad de ocurrencia de un fallo de

seguridad en relación a las amenazas, vulnerabilidades, impactos en
los activos y los controles que ya estén implementados;

– estimar los niveles de riesgo;

– determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.

• Identificar y evaluar las distintas opciones de tratamiento de los riesgos

para:
– aplicar controles adecuados;
– aceptar el riesgo, siempre y cuando se siga cumpliendo con las
políticas y criterios establecidos para la aceptación de los riesgos;

- evitar el riesgo, p. ej., mediante el cese de las actividades que lo

originan;
– transferir el riesgo a terceros, p. ej., compañías aseguradoras o
proveedores de outsourcing

PLAN DE CONTINGENCIA

El Plan de Contingencia de Seguridad Informática pese a todas las

medidas de seguridad puede ocurrir un desastre. De hecho los expertos
en seguridad afirman que se debe definir un plan de recuperación de
desastres "para cuando falle el sistema", no "por si falla el sistema".

Se entiende por Recuperación, "tanto la capacidad de seguir trabajando

en un plazo mínimo después de que se haya producido el problema,
como la posibilidad de volver a la situación anterior al mismo, habiendo
reemplazado o recuperado el máximo posible de los recursos e
información".

Si bien es cierto que se pueden presentar diferentes niveles de daños,

también se hace necesario presuponer que el daño ha sido total, con la
finalidad de tener un Plan de Contingencias lo más completo y global
posible.

Consiste en pasos que se deben seguir luego de un desastre para

recuperar mínimo una parte de la capacidad funcional del sistema
aunque por lo general constan de reemplazos de dichos sistemas.

Por tanto, es necesario que éste incluya un plan de recuperación de

desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo
en forma rápida, eficiente y con el menor costo y pérdidas posibles.
 EVALUACIÓN DE RIESGOS

La evaluación de riesgos informáticos comprende la

identificación de activos informáticos sus
vulnerabilidades y amenazas a los que se encuentran
expuestos y poder así evaluar su probabilidad de
ocurrencia y el impacto que se generaría, todo esto con
el fin de determinar, los controles adecuados para
calcular, aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.

Como parte del Sistema de Gestión de Seguridad de la

Información, es necesario para la empresa hacer una
adecuada gestión de riesgos que le permita saber
cuáles son las principales vulnerabilidades de sus
activos de información y cuáles son las amenazas que
podrían explotar las vulnerabilidades.