Blog de Innevo

SGSI: Qué es y Cómo Implementarlo

Escrito por Tania López | Jan 20, 2023 4:00:00 PM

La IEC/ISO 27001 está llena de conceptos que, si no eres un experto en seguridad, pueden ser confusos. En esta entrada hablaremos sobre un concepto fundamental para la implementación de esta norma: el Sistema de Gestión de Seguridad de la Información, el SGSI.

¿Qué encontrarás en este artículo?


¿Qué es SGSI y cuál es su objetivo?

SGSI es el acrónimo de Sistema de Gestión de Seguridad de la Información y es un conjunto de políticas y procedimientos para gestionar sistemáticamente los datos confidenciales de una organización.

El objetivo de un SGSI es minimizar el riesgo y garantizar la continuidad del negocio limitando proactivamente el impacto de una brecha de seguridad. Básicamente, busca lograr un sistema de prácticas por parte de todo el personal de la empresa para que esta no pierda información.

Un SGSI generalmente aborda tanto el comportamiento y los procesos de los colaboradores, como los datos y la tecnología. No es solo un sistema de protección contra ciber ataques, va mucho más allá.

Es un sistema integral de políticas, procesos, procedimientos, auditorías y prácticas laborales cotidianas (hábitos de trabajo), para que aun cuando ocurra una intrusión a la organización ya sea física o digital, no haya pérdida de información y, claro, también busca que no existan las condiciones para que dicha intrusión sea exitosa.

Esto último no siempre se logra debido no solamente a deficiencias en el SGSI o a deficiencias en su cumplimiento, sino también a incapacidades de la empresa, sobre todo financieras, que no le permitan, aun cuando quiera lograrlo, abordar la solución adecuada.

El SGSI puede estar dirigido a un tipo particular de datos, como los datos de los clientes, o puede implementarse de una manera integral para que se convierta en parte de la cultura de la empresa.

¿Cómo funciona un SGSI?

Un SGSI proporciona un enfoque sistemático para gestionar la seguridad de la información de una organización, aplicando políticas que controlan y administran los niveles de riesgo de seguridad en una organización.

El objetivo de un SGSI no es necesariamente maximizar la seguridad de la información, sino alcanzar el nivel deseado de seguridad de la información de una organización, para que si sucede un incidente pueda responder adecuadamente a él sin detrimento de esta.

Dependiendo de las necesidades específicas de la industria, estos niveles de control pueden variar. Por ejemplo, dado que la atención médica es un campo altamente regulado, una organización de atención médica puede desarrollar un sistema para garantizar que los datos confidenciales de los pacientes estén completamente protegidos.

Los sistemas de gestión de la seguridad de la información en las empresas están orientados a los procesos y siempre son responsabilidad de la dirección. Es un enfoque de arriba hacia abajo. Se puede delegar la implementación, pero no la responsabilidad.

Dependiendo del motivo la gerencia selecciona los procedimientos y métodos a aplicar o construir para garantizar la seguridad de la información en las actividades corporativas. La dirección debe examinar periódicamente el alcance, la intensidad y el progreso de las medidas.

Repito, el objetivo de un SGSI no es lograr la máxima seguridad de la información. Más bien, es alcanzar el nivel deseado de seguridad de la información de la organización. El apetito por el riesgo es clave.

Una corporación debe conocer su información, los riesgos y el impacto financiero de un riesgo materializado. Con base en este conocimiento, la gerencia debe decidir en qué medida un SGSI debe reducir los riesgos.

¿Cuáles son los beneficios de contar con un SGSI?

El SGSI proporciona un enfoque holístico para administrar los sistemas de información dentro de una organización. Esto ofrece numerosos beneficios, algunos de los cuales se destacan a continuación.

  1. Protege los datos confidenciales. Un SGSI protege todos los tipos de activos de información, ya sea que estén en papel, digitalmente o residan en la nube. Estos activos pueden incluir datos personales, propiedad intelectual, datos financieros, datos de clientes y datos confiados a empresas a través de terceros.

  2. Respeta el cumplimiento normativo. El SGSI ayuda a las organizaciones a cumplir con todos los requisitos contractuales y de cumplimiento normativo y proporciona una mejor comprensión de las legalidades que rodean a los sistemas de información. Dado que la violación de las regulaciones legales conlleva fuertes multas, tener un SGSI puede ser especialmente beneficioso para las industrias altamente reguladas con infraestructuras críticas, como las finanzas o la atención médica.

  3. Proporciona continuidad de negocio. Cuando las organizaciones invierten en un SGSI, aumentan automáticamente su nivel de defensa contra las amenazas. Esto reduce la cantidad de incidentes de seguridad, como ataques cibernéticos, lo que genera menos interrupciones y menos tiempo de inactividad, que son factores importantes para mantener la continuidad del negocio.

  4. Reduce costos. Un SGSI ofrece una evaluación de riesgos exhaustiva de todos los activos. Esto permite a las organizaciones priorizar los activos de mayor riesgo para evitar gastos indiscriminados en defensas innecesarias y proporcionar un enfoque enfocado para protegerlos. Este enfoque estructurado, junto con menos tiempo de inactividad debido a la reducción de los incidentes de seguridad, reduce significativamente el gasto total de una organización.

  5. Mejora la cultura de la empresa. Un SGSI proporciona un enfoque integral para la seguridad y la gestión de activos en toda la organización que no se limita a la seguridad de TI. Esto alienta a todo el personal a comprender los riesgos relacionados con los activos de información y adoptar las mejores prácticas de seguridad como parte de sus rutinas diarias.

  6. Se adapta a las amenazas emergentes. Las amenazas a la seguridad evolucionan constantemente. Un SGSI ayuda a las organizaciones a prepararse y adaptarse a las amenazas más nuevas y a las demandas en constante cambio del panorama de la seguridad.

¿Por qué es importante el SGSI?

El aumento de la presión sobre las organizaciones para desarrollar estándares más altos de seguridad de la información ha despertado el interés en la implementación de un SGSI.

Aunque un SGSI generalmente tiene sentido para todas las empresas, independientemente de la industria y el tamaño de la empresa, la mayor parte de la atención se centra en empresas basadas en software, digitalizadas y basadas en SaaS, así mismo las empresas con redes de suministro complejas y los negocios regulados se encuentran bajo mayor presión de cumplimiento.

Considera, por ejemplo, las PYME en la industria automotriz o la banca donde existen FinTechs, y los seguros con las InsurTechs. Otro sector es el cuidado de los mercados de salud, en donde tienen estándares mínimos estrictos que deben observarse en el campo de la seguridad de la información para garantizar la confidencialidad médica.

Sin embargo, más allá de las causas y necesidades específicas de las industrias, también existe una tendencia general hacia una mayor seguridad de la información.

Las siguientes son algunas razones por las que las organizaciones están bajo escrutinio en lo que respecta a la seguridad de la información:

  1. El delito cibernético es costoso: la seguridad cibernética se está expandiendo porque la mayoría de las empresas no pueden permitirse filtraciones de datos. 

    Un informe de violación de datos publicado por IBM estima que el costo promedio de una violación de datos en 2022 es de $ 4,24 millones, una cantidad que puede dejar a muchas empresas fuera de servicio. Por si fuera poco, otro estudio reciente estima que el costo del delito cibernético en todo el mundo aumentará de $ 6 billones a $ 10,5 billones para 2025.

    Es claro que aquellas organizaciones que no tengan expertos y medidas de seguridad de la información que la protejan ponen en juego su futuro.

  2. Todo está automatizado: cada vez más la infraestructura de una empresa se basa en la tecnología a medida que sus procedimientos se automatizan con código al que pueden acceder los delincuentes que piratean el sistema. En consecuencia, cuantas más actividades se realicen digitalmente, más posibilidades tienen los piratas informáticos de obtener información confidencial.

  3. Las vulnerabilidades están en todas partes: existe una amplia gama de tecnologías que los piratas informáticos pueden explotar, no solo computadoras, sitios web y servidores. Más elementos y sistemas que nunca son vulnerables a los ataques cibernéticos, desde sistemas de aerolíneas y alarmas de automóviles hasta redes eléctricas y sistemas de seguridad.

ISO 27001: las mejores prácticas para el SGSI

ISO/IEC 27001 es el estándar internacional para la seguridad de la información y para la creación de un SGSI.

Este estándar no exige acciones específicas, pero si incluye sugerencias y mejores prácticas para la documentación, identificación de riesgos y vulnerabilidades, auditorías internas, mejora continua y acciones correctivas y preventivas.

Conoce más sobre la norma en nuestra Guía sobre la Certificación ISO 27001.

¿Qué compone el SGSI y la certificación en la norma ISO 27001?

Para obtener la certificación ISO 27001, una organización requiere un SGSI que identifique los activos de la organización y proporcione la siguiente evaluación:

  1. Los riesgos a los que se enfrentan los activos de información.
  2. Las medidas adoptadas para proteger los activos de información.
  3. Un plan de acción en caso de que ocurra un incidente de seguridad.
  4. Identificación de las personas responsables de cada paso del proceso de seguridad de la información.

Hay varios elementos que debes contemplar para diseñar y ejecutar un SGSI y obtener la certificación correspondiente en ISO 27001:

1. Recurso para la implementación de SGSI

Un sistema de gestión de la seguridad de la información que cumpla con la norma ISO 27001 o esté certificado puede ser una tarea difícil. Para implementar correctamente un SGSI, necesitarás personal con los recursos y la experiencia necesarios. Una vez que tu SGSI esté en funcionamiento, tu empresa requerirá los mecanismos de gobierno apropiados para supervisarlo.

2. Implementación, sistemas y herramientas de gestión continua

Como parte de un sistema integral de gestión de la seguridad de la información, se utilizan muchos recursos. Además de los datos, se pueden incluir el software y el hardware de su empresa, la infraestructura física e incluso sus empleados y proveedores. Hay varias cosas que deberás hacer para realizar un seguimiento de todos ellos en tu SGSI. El uso de un enfoque sistemático para la gestión de riesgos garantiza el éxito de toda tu organización.

3. Políticas y restricciones procesables que se pueden implementar en el mundo real

En caso de una violación de datos, tu sistema de gestión de seguridad de la información instruye a tu personal, proveedores y otras partes interesadas clave sobre cómo mantener sus datos seguros. Es imperativo que estas prácticas y procesos de seguridad de la información también se establezcan en políticas y controles claros, ampliamente entendidos y fáciles de implementar. De esta forma, se conocerán públicamente las ventajas de tu SGSI y se asegurará su integridad.

4. Estrategias de comunicación y compromiso para los empleados

Los sistemas de gestión de la seguridad de la información deben ser el alma de tu organización, según las normas ISO 27001. Aquellos que estén interesados en la seguridad de la información deben conocer tu SGSI, así como las razones de su importancia y sus deberes para mantenerlo. ¡Nada estará protegido si dejas que tu SGSI acumule polvo! Es fundamental contar con las herramientas y los procesos adecuados para realizar el trabajo. Es posible que incluso tengas que realizar algunas sesiones de educación sobre seguridad de la información.

5. Herramientas y sistemas de gestión de la cadena de suministro

Tu sistema de gestión de la seguridad de la información se utilizará más allá de los muros de tu empresa. Tus proveedores y otros terceros pueden tener acceso o ser responsables de información crucial en tu nombre. Es importante garantizar la integridad de tu organización protegiéndote de cualquier riesgo potencial de seguridad de la información o desafíos que puedan presentar tus datos.

6. Trabajar con auditores externos y obtener la certificación

Para obtener una certificación ISO 27001 completa, un organismo de certificación independiente debe estar debidamente acreditado. Luego volverá cada tres años para realizar actualizaciones periódicas de tu certificación ISO 27001. Deberás realizar auditorías internas frecuentes de tu SGSI para cumplir con los criterios.

7. Mejora continua del SGSI y recursos operativos

Siempre activo y consciente, un buen sistema de gestión de la seguridad garantiza la seguridad de la información confidencial. A medida que la organización crece y se desarrolla, también lo hace su infraestructura de seguridad de la información, que se adapta para mantenerse al día con las amenazas en constante cambio. Incluso si el sistema comete un error, puede usar la información que recopila para seguir mejorando: la evaluación de riesgos y la respuesta nunca terminan.

Pasos para implementar un SGSI

Hay varias formas de configurar un SGSI. La mayoría de las organizaciones estudian el estándar de seguridad internacional ISO 27001 y siguen un proceso de planificar-hacer-verificar-actuar.

1. Crea una política SGSI

  • ¿Por qué nosotros como empresa queremos establecer un SGSI?
  • ¿Qué objetivos esperamos alcanzar con él?
  • ¿Cómo implementamos tal sistema organizacionalmente?
  • ¿Quién asume el rol de oficial de seguridad de la información (ISO)?
  • ¿Con qué recursos cuenta?
  • ¿Qué medidas hay que tomar?

2. Identifica y clasifica los activos

  • ¿Qué activos/información queremos proteger?
  • ¿Qué tan sensibles son estos activos?

Ejemplo automotriz: Las imágenes de un vehículo prototipo que aún no se ha construido necesitarían mucha más protección que las imágenes de un modelo de prueba en una prueba de carretera, es decir, un vehículo poco antes de su lanzamiento al mercado.

Puedes leer más sobre la clasificación de la información en este artículo.

3. Establece la organización del SGSI y las estructuras de gestión de riesgos

  • ¿Qué herramientas queremos usar?
  • ¿Con qué recursos financieros y humanos cuenta la ISO?
  • ¿Qué estructuras debería establecer esto?

4. Desarrolla mecanismos de control

  • ¿Cómo comprobamos si el SGSI es eficaz y protege los activos de nuestra empresa como se desea?

5. Operar tu SGSI

  • ¿Qué procesos ponemos en acción en la vida cotidiana?
  • ¿Cómo los integramos y documentamos?

6. Evalúa resultados y KPIs

  • Pregúntate de forma rutinaria: ¿Qué resultados logra nuestro SGSI y qué indicadores clave de rendimiento (KPI) derivamos de ellos?

7. Realiza correcciones y toma precauciones

  • ¿En qué áreas necesitamos mejorar según los resultados?
  • ¿Cómo podemos contrarrestar los riesgos de forma preventiva?

8. Revisión por la gerencia

  • ¿Todavía se ajustan los objetivos del SGSI y la orientación general, o se necesitan correcciones de rumbo por parte de la dirección? Esto debe ser analizado por lo menos una vez al año.

Te recomendamos leer:
10 Criterios para un buen Sistema de Gestión de Seguridad de la Información.

¿Cómo garantizar el éxito de un SGSI?

Un SGSI solo puede implementarse con éxito si la dirección de la empresa realmente lo desea y si dispone de los recursos necesarios.

Los 3 factores clave que determinarían el éxito de un SGSI son:

1. Compromiso de la gerencia:

El compromiso de la gerencia juega un papel importante para garantizar que el implementador del SGSI tenga una dirección clara en la implementación del SGSI.

Las actividades de gestión incluyen garantizar que los recursos adecuados estén disponibles para trabajar, capacitar a todos los empleados afectados por la estructuración del SGSI, organizar programas de concientización y monitorear la competencia del SGSI.

2. Compromiso del implementador:

Tu equipo de implementación del SGSI deben tener una planificación adecuada en su horario de trabajo diario para garantizar que se asigne un tiempo adecuado para centrarse en los procesos de SGSI para garantizar el éxito de la implementación del sistema.

3. Competencia del implementador:

Los implementadores deben adquirir al menos tres competencias para obtener las habilidades y los conocimientos adecuados para comprender el ciclo completo de implementación del SGSI:

    • Implementación y la gestión del cambio.
    • Conocimiento de los estándares.
    • Presentación de un método o marco para implementar, mantener, monitorear y mejorar la seguridad de la información.

Si dentro de tu organización no cuentas con expertos en seguridad de la información o ISO 27001, apóyate de un servicio de consultoría especializada para que guíe a tu equipo en el diseño e implementación del SGSI.

El servicio de consultoría de Innevo te ayudará en la identificación y evaluación de tus riesgos y medidas de seguridad óptimas para tu negocio.