Quartz 4

Sistema De Gestion De La Seguridad De La Informacion

3 min read

La imagen resume de forma muy clara la estructura fundamental de un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, y lo compara de forma didáctica como un “antivirus para humanos” en la arquitectura TIC.

A continuación te explico cada uno de los elementos con mayor profundidad:

¿Qué es un SGSI?

Relacionado: Controles. 2025 02 20 Seguridad iOS memoria permisos y sandboxing.

Un SGSI es un conjunto de políticas, procesos, personas, responsabilidades y controles destinados a proteger la información frente a riesgos de:

  • Confidencialidad

  • Integridad

  • Disponibilidad

Todo esto, dentro de un enfoque de gestión sistemática, basada en riesgos y mejora continua.

ISO/IEC 27001 es la norma internacional que define cómo diseñar, implantar, mantener y mejorar un SGSI.

“El antivirus para humanos”

Esta metáfora representa muy bien la idea de que un SGSI no es solo tecnología, sino una capa organizativa que regula el comportamiento humano: cómo actuamos, decidimos, accedemos o compartimos la información.

Mientras el antivirus defiende los sistemas, el SGSI defiende la organización y su cultura frente a los errores, descuidos, abusos o malas prácticas humanas.

Estructura del SGSI (según la diapositiva)

1. Políticas → ¿Qué queremos ser?

  • Documento de alto nivel aprobado por la dirección.

  • Define el compromiso de la organización con la seguridad de la información.

  • Establece objetivos y principios generales.

Ejemplo: Política de Seguridad de la Información de una empresa pública.

2. Normas → ¿Qué hacer para serlo?

  • Derivan de las políticas.

  • Son mandatos específicos sobre lo que debe hacerse.

Ejemplo: Norma de clasificación de la información.

3. Procedimientos → ¿Cómo hacerlo?

  • Detallan paso a paso cómo aplicar una norma.

  • Describen quién hace qué, cuándo y cómo.

Ejemplo: Procedimiento de alta/baja de usuarios.

4. Guías y reglamentos

  • Apoyan la implementación, pero no son obligatorias.

  • Explican buenas prácticas, casos ejemplo o recomendaciones.

5. Registros y evidencias

  • Documentos que prueban que se ha cumplido lo anterior.

  • Clave para auditorías, cumplimiento y trazabilidad.

Ejemplo: registros de formación, logs de acceso, actas de reuniones de seguridad.

Relación con el ciclo de mejora continua (PDCA)

Un SGSI sigue el ciclo Plan-Do-Check-Act:

  1. Plan: políticas, objetivos, análisis de riesgos

  2. Do: implementación de controles, normas y procedimientos

  3. Check: auditoría, revisión, indicadores

  4. Act: mejora, corrección, actualización

Conclusión

Un SGSI no es solo documentación, es la columna vertebral de la gestión de la seguridad de la información.
Su propósito es lograr que la organización piense, actúe y mejore de forma segura, con criterios medibles, repetibles y auditables.

¿Quieres que te prepare un esquema visual ampliado de esta jerarquía (política → norma → procedimiento → evidencia) para usar en un trabajo, presentación o manual interno?

Graph View

Backlinks