ADMINISTRACIN DE LOS SISTEMAS DE GESTIN

DE LA SEGURIDAD DE LA INFORMACIN (SGSI)

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central
sobre el que se construye ISO 27001, gestin de la seguridad de la informacin debe
realizarse mediante un proceso sistemtico, documentado y conocido por toda la
organizacin.
Este proceso que constituye un SGSI se considerarse, por analoga con una norma tan
conocida como ISO 9001, como el sistema de calidad para la seguridad de la
informacin. El propsito de un sistema de gestin de la seguridad de la informacin
es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean
conocidos, asumidos, gestionados y minimizados por la organizacin de una forma
documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios
que se produzcan en los riesgos, el entorno y las tecnologas.
En las siguientes secciones, se desarrollarn los conceptos fundamentales de un
SGSI segn la norma ISO 27001.
Objetivos
Saber el significado de SGSI
Identificar qu es la seguridad de la informacin de acuerdo con los lineamientos del
estndar
Determinar los tipos de estndares y normas ms adecuadas
Determinar las amenazas y riesgos que puede realizar en la organizacin

Saber cul es la mejor manera de utilizar el SGSI

Saber en forma ganamos al utilizar SGSI

Information Security Management System, (ISMS): Grupo de polticas que se usan

para la administracin de la informacin. Usado principalmente por la norma ISO/IEC
27001.
Ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de un
determinado negocio de la organizacin con todos los riesgos que se le presentan; los
cuales asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Este SGSI es la solucin ms adecuada para evaluar los riesgos fsicos y lgicos que
tiene presente la informacin que es importante para una empresa como se muestra
en la Figura 1-1:

Ejemplo riesgos que tiene la informacin. Figura 1-1

Esto ayuda a establecer estrategias y controles para asegurar la proteccin la
informacin.
Familia de normas internacionales ISO/IEC 27000
Estas normas son creadas por la fusin de la Organizacin Internacional de
Normalizacin y la Comisin Electrotcnica Internacional como podemos apreciar en la
Figura1-2 las cuales se encargan de elaborar normas internacionales que el mercado
requiere y necesita.

Origen de la familia de normas internacionales ISO/IEC. Figura 1-2

Normas que son utilizadas para contribuir a las empresas u organizaciones a mejorar la
calidad de sus Productos, Servicios, Tecnologas y Normas tal como tenemos en el
ejemplo de la Figura 1-3.

Ejemplo del uso de las Normas ISO/IEC. Figura1-3

Norma ISO/IEC 27001
La norma ISO/IEC 27001 es una de las muchas normas que realiza la familia de normas
internacionales ISO/IEC; Esta norma es un estndar que contribuye con la seguridad de la
informacin en un SGSI como est en la Figura 1-4.

Establecer
Implantar
Mantener
Mejorar

Contribucin de la norma ISO/IEC 27001 con el SGSI. Figura 1-4

Un SGSI segn ISO 9001, siempre ha mostrado grficamente la documentacin del
sistema como una pirmide de cuatro niveles Figura 1-5.

Pirmide de la documentacin de un SGSI. Figura 1-5

Manual de seguridad.- documentos que dirigen, inspiran todo el sistema

Procedimiento.-Documentos que controlan los procesos de seguridad de la
informacin
Instrucciones Cheklists Formularios.- Documentos que describen las actividades
relacionadas con la seguridad de la informacin.
Registros .- Documentos que evidencian el cumplimiento de los registros del SGSI
Un SGSI debe estar formado por los siguientes documentos:
Alcance del SGSI:
mbito de la organizacin que queda sometido al SGSI.
Poltica y objetivos de seguridad:
Documento que establece el compromiso y enfoque de la organizacin.
Procedimientos y mecanismos de control que soportan al SGSI:
Procedimientos que regulan el funcionamiento del SGSI.
Enfoque de evaluacin de riesgos:
Descripcin de criterios de aceptacin de riesgo, fijacin de niveles de riesgo aceptados.
Informe de evaluacin de riesgos:
Estudio resultante de aplicar la metodologa de evaluacin a la informacin.
Plan de tratamiento de riesgos:
Identifica las acciones para gestionar los riesgos de seguridad de la informacin.
Procedimientos documentados:
Para asegurar la planificacin, operacin y control de los procesos de seguridad de la
informacin.
Registros:
Documentos de evidencias del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad:
Documento que contiene los objetivos de control y los controles contemplados por el SGSI.
IMPLEMENTACIN DE UN SGSI
La ISO/IEC 27001 incorpora "Plan-Do-Check-Act" (PDCA) que significa "Planificar-HacerControlar-Actuar" siendo este un enfoque de mejora continua:
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.

Implementacin de un SGSI. Figura 1-6

Bibliografa
www.wikipedia.com
http://sgsi-iso27001.blogspot.com/
www.youtube.com

Preguntas de Autoevaluacin
1.
2.
3.
4.
5.
6.
7.
8.

Qu es el SGSI?
Para qu sirve el SGSI?
Indique un diagrama PDCA?
Grafique el diagrama de Implementacion de SGSI?
Cul es el componente de la Implementacin del SGSI?
Existen otra implementacin del SGSI?
Cul norma ISO es la ms actual ISO/270001 o ISO/27000?
ISO/270001 emplea un plan cul es :?
a) PCDA
b) CPDA
c) CDAP
d) APDC
e) Otra