Un SGSI es un conjunto de procesos diseñados para gestionar la seguridad de la información de una organización y asegurar la confidencialidad, integridad y disponibilidad de los activos de información. Establecer un SGSI implica definir el alcance, política de seguridad, activos de información, análisis de riesgos, tratamiento de riesgos y selección de controles, con el compromiso y apoyo de la dirección. Un SGSI exitoso requiere documentación, auditorías, revisión por la dirección y mejora continua.

1. SISTEMA DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN (SGSI)
By: Eric Wilson Urraco
20112005849

2. ¿QUÉ ES SGSI?
 Un SGSI es para una organización el diseño, implantación,
mantenimiento de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información, buscando
asegurar la confidencialidad, integridad y disponibilidad de los
activos de información minimizando a la vez los riesgos de
seguridad de la información.

3. ESTA NORMA ESTÁ CONFORMADA POR:
 Sistema de Gestión de la Seguridad de la
Información (SGSI)
 Responsabilidad de la dirección
 Auditorias internas del SGSI
 Revisión del SGSI por la Dirección
 Mejora del SGSI

4. ESTABLECIMIENTO Y GESTIÓN DE SGSI
 En este punto se verán necesidades de la organización, a qué se
dedica, los recursos disponibles, restricciones legales de dichas
actividades a las que se dedica. Cuando decida adaptarse a dicha
norma hará lo que se especifica en la imagen siguiente.

5.  Definir alcance: es decir sobre que procesos va actuar
(departamentos que parezcan mas sencillos para aplicar el SGSI)
 Definir política de seguridad: los criterios a seguir, líneas de
acción a tomar a partir de situaciones que sucedan.
 Identificar los activos de información: activos que soportan los
procesos de la organización(Equipos, Apps, Informes, Expedientes,
BDD, Comunicaciones, Etc.) junto a sus responsables.
 Definir el enfoque del Análisis de Riesgos: determinar amenazas
y vulnerabilidades de los activos escogidos anteriormente para
escoger un control u otro.
 Como escoger la metodología del análisis de riesgos: a partir
de que riesgos son aceptables por la organización, la mejor que se
adapte. En este punto se documentará la política de seguridad
aprobada por la dirección y la metodología a seguir.

6.  Tratamiento de los riesgos: determinar si un riesgo es tolerable y a
partir de eso:
 Mitigar el riesgo (reducirlo mediante controles)
 Asumir el riesgo (tolerable por la empresa)
 Transferirlo a terceros (asegurando el activo/información)
 Eliminar el riesgo.
 Selección de controles: controles o medidas de seguridad que
ayudarán al tratamiento de los riesgos, estos serán tomados de la
norma ISO/IEC 27002.
 Gestión de los riegos: repetir el análisis de los riesgos con los
controles para obtener el valor del riego actual, para determinar lo que
se resultara como riesgo asumible que deberá aprobar la organización.
 Declaración de Aplicabilidad: para demostrar que se consideran
todas las opciones.
 Objetivos de control y control seleccionados
 Objetivos de control y control seleccionados actualmente
seleccionados
 Controles excluidos y el por qué

7.  Implementación y puesta en marcha del SGSI: puesta en
marcha de SGSI involucrando al responsable de seguridad y el
comité de seguridad.
 Control y revisión del SGSI: Fase del check del ciclo
PDCA(Pan, Do, Check, Act), Revisar el alcance y niveles
aceptables de riesgos, las eficiencias de las mediciones; por
supuesto toda esta revisión deberá ser documentada.
 Mantenimiento y Mejora: en este punto se deberán detectar
mejoras para que sean implementadas y aplicar acciones
correctivas.

8. REQUISITOS DE DOCUMENTACIÓN
 Para justificar las decisiones tomadas por la dirección, las
políticas y acciones tomadas, igualmente se deberán tener
ciertos controles con la documentación estos son:
 Control de documentos: deberán de estar protegidos y
controlados, además se controlará cómo se generan, revisan
y actualizan.
 Control de registros: libro de visitas, informes de auditorias,
logs al sistema, etc.

9. COMPROMISO DE LA DIRECCIÓN
 Uno de los requisitos fundamentales para la implementación del
SGSI es contar con la colaboración de la dirección en todo el
proceso ejecutando según las casos y por mencionar algunos
como los siguientes:
 Establecer políticas del SGSI
 Decidir los criterios de aceptación de los riesgos
 Dirigir la gestión de las revisiones del SGSI

10. GESTIÓN DE LOS RECURSOS
 La implementación eficiente y eficaz de los recursos de la
organización cuando se necesiten. Estos recursos pueden
incluir recursos financieros, inventario, habilidades humanas,
los recursos de producción, o tecnología de la información (IT),
etc.

11. FORMACIÓN
 Esta norma exige que todos los trabajadores sean
competentes para efectuar las actividades
necesarias para así reducir drásticamente la
probabilidad de fallos y su potencial impacto.

12. AUDITORÍAS INTERNAS
 Necesaria para controlar el funcionamiento del SGSI, deben
programarse y prepararse regularmente, normalmente una vez
al año. Estas sirven para determinar si los objetivos , los
controles y los procedimientos son conformes con los requisitos
aplicables, es decir si se está bien y los resultados obtenidos son
los esperados.

13. REVISIÓN POR LA DIRECCIÓN
 Es una de las pocas tareas que se le asigna a la dirección, esta
deberá revisar periódicamente el SGSI para garantizar la
conveniencia, adecuación y eficacia continua del sistema

14. MEJORA CONTINUA
 Necesaria para incrementar la capacidad a la hora de cumplir los
requisitos, mediante la mejora continua el cual se establecen
objetivos y se identifican oportunidades para implementarlas al
sistema. En esta etapa se realizaran dos acciones:
 Acción Correctiva (Detectar fallos o errores en los procesos)
 Acción Preventiva (Evitar futuras no conformidades)