2. 2
“…Un Sistema de Gestión de la Seguridad de la Información (SGSI) es
un conjunto de políticas, procedimientos y operaciones para gestionar la
seguridad de la información en todo el ciclo de una organización…”
El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la
mejora continua, en este caso aplicado a la seguridad.
Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, ISM3, SOGP,
etc.).
3. ◦ Una reducción en los incidentes de seguridad y una disminución del impacto
◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad
◦ Justifica los gastos en seguridad, al conocer que controles reducen los riesgos
◦ Impulsa la creación de políticas y procedimientos que mejoran la seguridad
◦ Permite el cumplimiento de la legislación aplicable
◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres
3
4. Como resultado de un proyecto de la implantación de un SGSI se obtiene:
◦ Un conjunto de documentación de todos los controles requeridos para la
seguridad de la organización (y que aplican para la organización).
◦ Se crea documentación en 3 niveles:
Políticas
Normas y Procedimientos
Instrucciones
4
(*) Las políticas y procedimientos deben seguir los lineamientos de la organización
(*)
5. Dirección:
◦ Máximo responsable del SGSI, debe firmar y aceptar las políticas y aceptar el
SGSI
◦ Comité de Seguridad y Responsable de Seguridad:
◦ Analiza y desarrolla el SGSI
Administradores de Seguridad:
◦ Personal que tenga que desarrollar tareas directas para el cumplimiento del
SGSI
◦ Todos los empleados:
◦ La correcta gestión de un SGSI depende de todas las personas
5
= La organización