SGSI es un sistema de gestión que implementa y mantiene la seguridad de la información en una organización.

¿Qué es SGSI?

SGSI es un sistema de gestión que implementa y mantiene la seguridad de la información basado en la norma ISO 27001.

Componentes

Políticas

• Política de seguridad: Política general de seguridad
• Políticas específicas: Políticas específicas por área
• Procedimientos: Procedimientos de seguridad
• Directrices: Directrices de implementación

Procesos

• Identificación: Identificación de activos
• Evaluación: Evaluación de riesgos
• Tratamiento: Tratamiento de riesgos
• Monitoreo: Monitoreo y revisión

Controles

• Controles organizacionales: Controles de organización
• Controles técnicos: Controles técnicos
• Controles físicos: Controles físicos
• Controles de personal: Controles de personal

Implementación

Fase 1: Planificación

• Análisis: Análisis de requisitos
• Diseño: Diseño del SGSI
• Recursos: Recursos necesarios
• Cronograma: Cronograma de implementación

Fase 2: Implementación

• Políticas: Implementar políticas
• Procesos: Implementar procesos
• Controles: Implementar controles
• Formación: Capacitar personal

Fase 3: Operación

• Monitoreo: Monitoreo continuo
• Auditorías: Auditorías internas
• Revisión: Revisión de la dirección
• Mejora: Mejora continua

Fase 4: Certificación

• Preparación: Preparación para certificación
• Auditoría: Auditoría de certificación
• Certificación: Obtención de certificación
• Mantenimiento: Mantenimiento de certificación

Beneficios

Organizacionales

• Gobernanza: Mejor gobernanza
• Riesgos: Gestión de riesgos
• Compliance: Cumplimiento normativo
• Reputación: Mejor reputación

Operacionales

• Eficiencia: Mayor eficiencia
• Calidad: Mejor calidad
• Continuidad: Continuidad del negocio
• Innovación: Fomento de la innovación

Comerciales

• Confianza: Mayor confianza
• Competitividad: Ventaja competitiva
• Acceso: Acceso a mercados
• Contratos: Obtener contratos

Mejores Prácticas

Implementación

• Compromiso: Compromiso de la dirección
• Recursos: Recursos apropiados
• Formación: Formación del personal
• Comunicación: Comunicación efectiva

Operación

• Monitoreo: Monitoreo continuo
• Auditorías: Auditorías regulares
• Revisión: Revisión de la dirección
• Mejora: Mejora continua

Certificación

• Preparación: Preparación adecuada
• Auditoría: Auditoría de certificación
• Mantenimiento: Mantenimiento de certificación
• Renovación: Renovación de certificación

Conceptos Relacionados

• CISO - Rol que implementa SGSI
• ISO 27001 - Estándar que define SGSI
• ISMS - Sistema que incluye SGSI
• Compliance - Proceso que incluye SGSI
• GDPR - Regulación que incluye SGSI
• CIS Benchmarking - Estándar complementario a SGSI
• Auditorías - Proceso que incluye SGSI
• BIA - Análisis que incluye SGSI
• GAP Análisis - Evaluación de SGSI
• Gobierno TI - Disciplina que incluye SGSI
• COBIT 5 - Marco complementario a SGSI
• SIEM - Sistema que monitorea SGSI

Referencias

• ISO 27001
• ISO 27002
• NIST SP 800-53
• CIS Controls