Un sistema de gestión de la seguridad de la información (SGSI) ayuda a crear, implementar, supervisar y mejorar la seguridad de la información mediante el uso de políticas, planes, asignación de tareas, procedimientos y un ciclo de mejora continua. La norma ISO/IEC 27001 especifica los requisitos de un SGSI efectivo.

1. UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS EN
EL VALLE DE SULA

2. Un Sistema de Gestión de la Seguridad de la Información
(SGSI) es una parte del sistema de gestión general basada en
el enfoque de riesgo empresarial para crear, implementar,
supervisar y mejorar la seguridad de la información.
Con el SGSI se toma el control sobre lo que ocurre en los
sistemas de información y sobre la información que se maneja
en ellos.

3. Políticas
Planes
Asignación de tareas
Práctica
Procedimientos

4. Los SGSI debe documentas todos sus elementos importantes
mencionados anteriormente, al documentarlos se opta por una manera
formal y fácil de transmitir la información a los miembros de la
organización.
Los SGSI pueden implementarse junto a otros sistemas de gestión
para que no se dupliquen esfuerzos ya que estos sistemas de gestión
poseen estructura y requisitos comunes.

5. Ciclo de mejora continua
Para implementar un SGSI se utiliza el ciclo PDCA, llamado Ciclo
Deming.
¿En que consiste en Ciclo Deming?
Consiste en una serie de fases y acciones para establecer un modelo
de indicadores métricos comparables con el tiempo, que permiten
cuantificar el avance de mejora que se va logrando a medida se lleva a
cabo este proceso.

7. 1) Plan: planificar y diseñar el programa,
sistematizar políticas, definir los fines y
como esos fines contribuyen al logro de
objetivos. Definir los medios, procesos y
activos a utilizar.
Aquí también debe considerarse como se
enfocará en análisis de riesgos y los
criterios a seguir para gestionar las
contingencias que se presenten.

8. 2) Do (hacer) : es poner en marcha el SGSI, es decir ejecutar las
tareas que se definieron en el plan y para ello deben haber
personas responsables encargados de implementar políticas y
controles necesarios para cumplir tales políticas mediante el uso
de recursos técnicos y procedimientos.

9. 3) Check (verificar) : es el monitoreo y
revisión del SGSI. Consiste en controlar los
procesos y verificar que éstos estén
realizándose de la manera planificada,
logrando la eficiencia y eficacia para lograr
los objetivos. Se evalúa el grado de
cumplimiento de las diversas políticas y
procedimientos, se detentan errores y fallas
que surgieron en el proceso, además se
realizan revisiones y auditoría necesarias.

10. 4) Act (actuar) : en esta fase se
debe mantener y mejorar el SGSI,
efectuar acciones preventivas y
correctivas que permitan corregir
errores que se detectaron en las
revisiones y auditorías del SGSI en
la fase anterior con el fin de lograr la
mejora continua.

11. Mejora continua: es la mejora progresiva de los niveles de
eficiencia y eficacia mediante un proceso de continuo aprendizaje,
tanto de las actividades como de los resultados de la organización.

12.  Es necesario diseñar un SGSI que
se ajuste a la realidad de la
organización, contemplando medidas
de seguridad mínimas y necesarias
para salvaguardar la información y
cumplir con la norma, de manera que
también se haga uso de pocos
recursos con un menor numero de
cambios posibles.

13. Un factor de éxito fundamental es cuando el SGSI es aceptado
en la organización, de esta manera se irá logrando el mejorar la
seguridad de la información poco a poco sin mucho esfuerzo.

14. Norma UNE-ISO/IEC 27001
 ISO: Organización Internacional de Normalización
 IEC: Comisión Electrotécnica Internacional.
Estas dos organizaciones constituyen el sistema especializado de
normalización a nivel mundial.
ISO e IEC participan en el desarrollo de normas internacionales a y
través de comités técnicos y realizan acuerdos en campos específicos
de la actividad técnica.

15. El proceso que se lleva a cabo para crear normas
internacionales es crear borradores de esas normas que luego
serán evaluados por organismos internacionales y sus comités.
La norma ISO/IEC 27001 esta en proceso de revisión
internacional (Año 2013).

16. Objetivo y campo de aplicación de la norma ISO/IEC 27001:
Esta norma puede aplicarse en el sector publico y privados, en
instituciones con y sin fines de lucro.
Esta norma explica como diseñar SGSI y como establecer los controles
de seguridad requeridos que concuerden con las necesidades de la
organización , pero no define que procedimientos usar porque esa ya es
decisión interna de la empresa, siempre y cuando tales procedimientos
contribuyan a lograr los objetivos.

17. Norma UNE-ISO/IEC 27002:
Código de buenas practicas para la gestión de la seguridad de la
información. Se desarrolla dentro de una familia de normas
internacionales sobre sistemas de gestión de seguridad de la
información.
Objetivo y campo de aplicación de la Norma UNE-ISO/IEC 27002:
Establece directrices y principios para iniciar, realizar, mantener y
mejorar la GSI, antes debe hacerse un análisis y definir objetivos de
control y controles para desarrollar pautas de seguridad internas.