¿Qué es un SGSI y para qué sirve?

Un SGSI (Sistema de Gestión de Seguridad de la Información) debe ser creado y diseñado conforme a la operación de una empresa u organización, basándose en la importancia de sus procesos, por lo que se debe prestar mayor atención a aquellos que son críticos conforme a su importancia y los riesgos a los que se encuentran expuestos.

¿Qué es un SGSI y para que sirve?

En palabras sencillas, un SGSI es una estrategia para tratar los riesgos de seguridad mediante la implementación de controles que garantizarán el cumplimiento de una normativa, en este caso la ISO/IEC 27001.

¿Cómo se aplica un SGSI?

Su aplicación puede llevar mucho tiempo ya que se deben documentar todos los procesos y actividades de la empresa y adaptarse a la normativa, pero principalmente lo aplicaremos cuando se definan las siguientes cuestiones que se obtendrán de un análisis de riesgos, el cual es la base para poder implementar y aplicar un SGSI.

• ¿Qué se quiere proteger?
• ¿Qué es necesario de proteger?
• ¿Cuál es la probabilidad de que suceda una amenaza?
• ¿Cómo implementar controles de forma rentable?
• ¿Qué proceso de revisión se llevará a cabo cada vez que una vulnerabilidad sea detectada?

De la lista anterior, nos debemos centrar primeramente en los tres puntos iniciales ya que nos darán la información necesaria para conocer lo que se quiere proteger, contra qué lo debemos proteger y cuán probable es que se materialice una amenaza. 

Con base en las definiciones anteriores, podremos seleccionar los controles que se implementarán para mantener la Confidencialidad, Integridad y Disponibilidad de la información.

PLAN, DO, CHECK, ACT

El SGSI se encuentra basado en la mejora continua o ciclo de Deming que va a llevar a madurar nuestro sistema, aplicando el "Plan-Do-Check-Act".

• Plan (Establecer el SGSI) En este punto se establecen las políticas de seguridad, objetivos, procesos y procedimientos para gestionar el riesgo y mejorar la seguridad.
• Do (Implementar el SGSI) En este punto se implementan los controles definidos en el paso anterior.
• Check (Evaluación y seguimiento) En este punto se evalúa y valida el desempeño de los procesos, políticas, objetivos y la experiencia práctica, lo que dirá si es necesario realizar cambios en alguno de ellos para lograr la mejora.
• Act (Mantener y mejorar) Aquí se aplican todas las acciones correctivas y preventivas que se detectaron en el punto anterior.
  
  

Muchas veces las organizaciones quieren comenzar con la implantación de un SGSI sin haber realizado los pasos previos, que en este caso, es el Análisis de riesgos, lo que genera un gasto en muchas ocasiones innecesario en algunos controles que no eran relevantes para la organización, por lo que llevar a cabo este proceso de forma ordenada y sistemática, podrá lograr resultados exitosos. 

El SGSI no solo se aplica en grandes empresas, puede aplicarse a pequeñas y medianas organizaciones que piensen en seguridad y en proteger sus activos críticos, este sistema podría ayudar a disminuir el número de incidentes de los que hemos escuchado tanto en las noticias y que afectan principalmente a las PyMEs.