Sistema de Gestión de
Seguridad de la
Información (SGSI)
Administración Pública y Política Informática
Cesar Augusto Manzanares Chevez 20142000948

Objeto y campo de aplicación de la norma
La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los
sistemas de gestión, esta pensada para que se emplee en todo tipo de
organizaciones (empresas privadas y publicas, entidades sin animo de lucro,
etc.), sin importar el tamaño o la actividad.

La norma esta conformada por:
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorias internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.

¿Qué es un SGSI?
• Un Sistema de Gestión de Seguridad de la Información (SGSI), según la
Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general,
basada en un enfoque de riesgo empresarial, que se establece para crear,
implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de
la información. Esto significa que se va a dejar de operar de una manera
intuitiva y se va a empezar a tomar el control sobre lo que sucede en los
sistemas de información y sobre la propia información que se maneja en la
organización.

El sistema constara de una documentación
en varios niveles
Lo que la norma reclama es que
exista un sistema documentado
(política, análisis de riesgos,
procedimientos, etc.), donde la
dirección colabore activamente y se
implique en el desarrollo y gestión
del sistema.

Establecer el SGSI
Cuando una empresa decide
adaptarse a esta norma básicamente
se emprenderán las actividades que
se detallan a continuación, y que
como tienen que ser documentadas,
al finalizarlas, el SGSI contara ya
con los siguientes documentos:

Definir alcance: es decir sobre que procesos va actuar (departamentos que parezcan mas sencillos para
aplicar el SGSI)
Definir política de seguridad: los criterios a seguir, líneas de acción a tomar a partir de situaciones que
sucedan.
Identificar los activos de información: activos que soportan los procesos de la organización(Equipos,
Apps, Informes, Expedientes, BDD, Comunicaciones, Etc.) junto a sus responsables.
Definir el enfoque del Análisis de Riesgos: determinar amenazas y vulnerabilidades de los activos
escogidos anteriormente para escoger un control u otro.
Como escoger la metodología del análisis de riesgos: a partir de que riesgos son aceptables por la
organización, la mejor que se adapte. En este punto se documentará la política de seguridad aprobada
por la dirección y la metodología a seguir.

Tratamiento de los riesgos: determinar si un riesgo es tolerable y a partir de eso:
• Mitigar el riesgo (reducirlo mediante controles)
• Asumir el riesgo (tolerable por la empresa)
• Transferirlo a terceros (asegurando el activo/información)
• Eliminar el riesgo.
Selección de controles: controles o medidas de seguridad que ayudarán al tratamiento de los riesgos,
estos serán tomados de la norma ISO/IEC 27002.
Gestión de los riegos: repetir el análisis de los riesgos con los controles para obtener el valor del riego
actual, para determinar lo que se resultara como riesgo asumible que deberá aprobar la organización.
Declaración de Aplicabilidad: para demostrar que se consideran todas las opciones.
• Objetivos de control y control seleccionados
• Objetivos de control y control seleccionados actualmente seleccionados
• Controles excluidos y el por qué

Implementación y puesta en marcha del SGSI: puesta en marcha de SGSI
involucrando al responsable de seguridad y el comité de seguridad.
Control y revisión del SGSI: Fase del check del ciclo PDCA(Pan, Do, Check, Act),
Revisar el alcance y niveles aceptables de riesgos, las eficiencias de las mediciones; por
supuesto toda esta revisión deberá ser documentada.
Mantenimiento y Mejora: en este punto se deberán detectar mejoras para que sean
implementadas y aplicar acciones correctivas.

Control de registros
Los registros son aquellos
documentos que proporcionan
evidencia de la realización de
actividades del SGSI. Con ellos se
puede verificar el cumplimiento de los
requisitos.

Compromiso de la dirección
La dirección debe comprometerse de
manera evidente con el establecimiento,
implementación, puesta en marcha,
monitorización, revisión, mantenimiento
y mejora del SGSI. La forma en la que se
plasma este compromiso es colaborando
o ejecutando, según los casos.

Gestión de los recursos
La implementación eficiente y eficaz
de los recursos de la organización
cuando se necesiten. Estos
recursos pueden
incluir recursos financieros,
inventario, habilidades humanas,
los recursos de producción, o
tecnología de la información (IT), etc.

Formación
Esta norma exige que todos los
trabajadores sean competentes para
efectuar las actividades necesarias para
así reducir drásticamente la
probabilidad de fallos y su potencial
impacto.

Auditorías internas
Necesaria para controlar el
funcionamiento del SGSI, deben
programarse y prepararse regularmente,
normalmente una vez al año. Estas sirven
para determinar si los objetivos , los
controles y los procedimientos son
conformes con los requisitos aplicables,
es decir si se está bien y los resultados
obtenidos son los esperados.

Mejora continua
Necesaria para incrementar la
capacidad a la hora de cumplir los
requisitos, mediante la mejora
continua el cual se establecen
objetivos y se identifican
oportunidades para implementarlas al
sistema.

El ciclo de mejora continua
Para establecer y gestionar un
(SGSI) en base a ISO 27001, se
utiliza el ciclo continuo PDCA,
tradicional en los sistemas de
gestión de la calidad.