lunes, 30 de mayo de 2016


El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
  • Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos; esta protegida de personas no autorizadas.
  • Integridad: La información se muestra como se pretende sin modificaciones inapropiadas.
  • Disponibilidad: Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

¿Para qué sirve un SGSI?

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Ilustración 02: Riesgos – SGSI.
Fuente: www.ISO27000.es


El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. 

¿Qué incluye un SGSI? 

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:

Documentación del Sistema de Seguridad
Fuente: www.ISO27000.es

Documentos de Nivel 1

Manual de seguridad: Documentación que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI. 

Documentos de Nivel 2

Procedimientos: Documentación en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información. 

Documentos de Nivel 3

Instrucciones, checklists y formularios: Documentación que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información. 

Documentos de Nivel 4

Registros: Documentación que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. 

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): 

Alcance del SGSI: Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas). 

Política y objetivos de seguridad: Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información. 

Procedimientos y mecanismos de control que soportan al SGSI: Aquellos procedimientos que regulan el propio funcionamiento del SGSI. 

Enfoque de evaluación de riesgos: Descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables . 

Informe de evaluación de riesgos: Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. 

Plan de tratamiento de riesgos: Documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. 

Procedimientos documentados: Todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados. 

Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. 

Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

¿Qué aspectos de seguridad cubre un SGSI?

Aspectos que cubre el SGSI


Niveles de seguridad:
  • Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un SGI. 
  • Organizativa: Relativa a la prevención, detección y corrección de riesgos. 
  • Física: Protección de elementos físicos de las instalaciones: servidores, PCs, etc. 
  • Legal: Cumplimiento de la legislación vigente.
¿Cómo se implementa un SGSI?

Se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Modelo de Desarrollo del SGSI

Revisión del SGSI 

A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: 
  • Resultados de auditorias y revisiones del SGSI. 
  • Observaciones de todas las partes interesadas. 
  • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI. 
  • Información sobre el estado de acciones preventivas y correctivas. 
  • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. 
  • Resultados de las mediciones de eficacia. 
  • Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección. 
  • Cualquier cambio que pueda afectar al SGSI. 
  • Recomendaciones de mejora. 
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones relativas a: 
  • Mejora de la eficacia del SGSI. 
  • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. 
  • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos. 
  • Necesidades de recursos. 
  • Mejora de la forma de medir la efectividad de los controles.

1 comentarios:

  1. Post muy bueno, una manera resumida y precisa del SGSI gran aporte y felicitaciones por tan excelente blog desde ahora un seguidor mas saludos!

    ResponderEliminar