El documento describe lo que es un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo sus principios fundamentales de confidencialidad, integridad y disponibilidad. Explica que un SGSI utiliza un enfoque sistemático y documentado para gestionar los riesgos relacionados con la información de una organización de acuerdo con la norma ISO 27001. También cubre otros elementos clave como la evaluación de riesgos, el compromiso de la dirección y la mejora continua.

1. SGSI

2. ¿Qué es un SGSI?
• El SGSI es la abreviatura usada para referirse al Sistema de Gestión de la Seguridad de
la Información e ISMS son las siglas equivalentes en ingles a Information Security
Management System.
• Podemos entender por información todo el conjunto de datos que se organizan en una
organización y otorgan valor añadido para ésta, de forma independiente de la forma en la
que se guarde o transmita, el origen que tenga o la fecha de elaboración.
• El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en
preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas
implicados en el tratamiento dentro de la organización.

3. ¿Qué Fundamentos se utilizan para un SGSI?
Para garantizar que el Sistema de Gestión de Seguridad de la Información gestionado de
forma correcta se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados
para garantizar su:
• Confidencialidad: la información no se pone a disposición de nadie, ni se revela a
individuos o entidades no autorizados.
• Integridad: mantener de forma completa y exacta la información y los métodos de proceso.
• Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma
parte de los individuos, entidades o proceso autorizados cuando lo requieran.
• Según el conocimiento que se tiene del ciclo de vida de la información relevante se puede
adoptar la utilización de un proceso sistemático, documentado y conocido por toda la
empresa, desde un enfoque de riesgos empresarial. El proceso es el que constituye
un SGSI.

4. Utilización
• La información, junto a los procesos y los sistemas que hacen uso de ella, son activos
demasiado importantes para la empresa. La confidencialidad, integridad y
disponibilidad de dicha información puede ser esencial para mantener los niveles de
competitividad, conformidad, rentabilidad e imagen de la empresa necesarios para
conseguir los objetivos de la empresa y asegurase de que haya beneficios económicos.
• El modelo de gestión de la seguridad tiene que contemplar unos procedimientos adecuados
y planificar e implementar controles de seguridad que se basan en una evaluación de
riesgos y en una medición de la eficiencia de los mismos.
• Para entender que es SGSI, ayuda a establecer la política de seguridad y los
procedimientos en relación a los objetivos de negocio de la empresa, con objeto de
mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización
ha decidido asumir.

5. Beneficios
• Establecer una metodología de Gestión de la Seguridad estructurada y clara.
• Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
• Los clientes tienen acceso a la información mediante medidas de seguridad.
• Los riesgos y los controles son continuamente revisados.
• Se garantiza la confianza de los clientes y los socios de la organización.
• Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las
áreas que se deben mejorar.
• Facilita la integración con otros sistemas de gestión.
• Se garantiza la continuidad de negocio tras un incidente grave.

6. SGSI: otros elementos a tener en cuenta
Teniendo claros la función de un Sistema de Seguridad de la Información y sus tres principios
básicos, veamos ahora otros elementos que las organizaciones no pueden perder de vista
en el proceso de implementación:
• Compromiso y apoyo de la dirección. Debe ser el área más comprometida a la hora de la
difusión, la gestión y el seguimiento del proceso.
• Definición del alcance. Es preciso definir qué objetivos tendrá nuestro SGSI, qué
beneficios supondrá y por cuánto tiempo queremos aplicarlo.

7. • Formación del personal interno. Los trabajadores de una empresa deben ser parte activa
del proceso y para ello es necesario que reciban la formación necesaria que les permita
estar a la altura del mismo.
• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados
al manejo y la gestión de la información, que en cada empresa tiene características distintas
y, por tanto, soluciones distintas.
• Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI
supone la adopción de la mejora continua como elemento de identidad corporativa.

8. El valor de la Gestión de Riesgos y Seguridad
• Si bien supone costes e inversión, la gestión de Riesgos y Seguridad en el trabajo en un
valor a largo plazo para cualquier empresa. En lo referente a un SGSI, las empresas que
protegen y gestionan adecuadamente sus datos están preparadas para cualquier riesgo o
amenaza asociada a la información que gestionan internamente.
• La norma ISO 27001 no excluye la implementación de otros estándares similares. Por el
contrario, debido a su flexibilidad permite la aplicación de indicadores y requisitos de otras
normas, algo en lo que el software ISO Tools puede ser de utilidad.

9. Podemos hablar del ciclo de mejora continua

10. Esquema Nacional de Seguridad(ENS)
Esquema Nacional de Seguridad (ENS)
• En el ámbito de la Administración Electrónica española, el Esquema Nacional
de Seguridad (ENS) tiene por objeto establecer la política de seguridad en la utilización de
medios electrónicos y está constituido por principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
• Dicho esquema se regula en Real Decreto 3/2010, de 8 de enero, y es establecido en el
artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a
los Servicios Públicos.

11. Ámbito de aplicación
• A la Administración General del Estado, Administraciones de las
Comunidades Autónomas y las Entidades que integran la Administración
Local, así como las entidades de derecho público vinculadas o dependientes
de las mismas.
• A los ciudadanos en sus relaciones con las Administraciones Públicas.
• A las relaciones entre las distintas Administraciones Públicas.

12. Elementos principales del ENS
• Sus elementos principales son:
• Los principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
• Los requisitos mínimos que permitan una protección adecuada de la información.
• La categorización de los sistemas, en nivel Alto Medio o Bajo, para la adopción de
medidas de seguridad proporcionales a la naturaleza de la información, del sistema y de los
servicios a proteger y a los riesgos a que están expuestos.
• Las medidas de seguridad (75) organizadas en: Marco Organizativo (4), Marco
Operacional (31) y Medidas de protección (40)
• La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de
Seguridad

13. Conclusión del SGSI
Esta norma cubre todos los tipos de organizaciones y especifica los requisitos
para la aplicación de controles de seguridad adaptados a las necesidades de
las mismas o partes de ellas. Además está diseñado para garantizar la
selección de los controles de seguridad adecuadas y proporcionadas para
proteger los activos de información y dar confianza a las partes interesadas.