¿Qué es un Sistema de Gestión de la Seguridad de la Información (SGSI)?

Desde correos electrónicos internos hasta materiales de ventas y estados financieros, las organizaciones de todos los tamaños y de todos los sectores gestionan grandes cantidades de información a diario. Para una organización como la suya, esta información constituye una ventaja competitiva: es el medio a través del cual resuelven problemas, captan grandes clientes y aseguran su cuota de mercado. El objetivo de un Sistema de Gestión de la Seguridad de la Información (SGSI) es proteger la información que distingue a su negocio, tanto en el entorno digital como en el físico.

Principios de un Sistema de Gestión de la Seguridad de la Información

Si bien la implementación de un SGSI variará de una organización a otra, existen principios fundamentales que todo SGSI debe cumplir para ser eficaz en la protección de los activos de información de una organización. Estos principios —algunos de los cuales se mencionan a continuación— le servirán de guía en el camino hacia la certificación ISO/IEC 27001.

El primer paso para implementar con éxito un SGSI consiste en concienciar a las partes interesadas clave sobre la necesidad de la seguridad de la información. Sin el respaldo de las personas que implementarán, supervisarán o mantendrán el SGSI, resultará difícil alcanzar y mantener el nivel de diligencia necesario para crear y conservar un sistema certificado.

La Tríada de la CIA – Confidencialidad, Integridad y Disponibilidad – sirve como marco fundamental para cualquier Sistema de Gestión de Seguridad de la Información (SGSI) robusto. En el contexto de un SGSI, como la norma ISO/IEC 27001:

• La Confidencialidad asegura que los datos sensibles sean accesibles únicamente para aquellas personas con la autorización pertinente, previniendo así su divulgación no autorizada o las fugas de datos.
• La Integridad se centra en mantener la exactitud y la coherencia de los datos a lo largo de todo su ciclo de vida, protegiéndolos de manipulaciones o alteraciones por parte de terceros no autorizados.
• La Disponibilidad garantiza que la información y los sistemas vitales sean accesibles de manera fiable para los usuarios autorizados, exactamente en el momento en que se requieran para las operaciones del negocio.

En conjunto, estos tres pilares guían a la organización en la identificación de riesgos de seguridad específicos y en la implementación de los controles necesarios para proteger sus activos de información frente a una amplia gama de amenazas modernas.

Para que el SGSI (Sistema de Gestión de Seguridad de la Información) de una organización sea eficaz, esta debe analizar las necesidades de seguridad de cada activo de información y aplicar los controles adecuados para mantener dichos activos a salvo. No todos los activos de información requieren los mismos controles, y no existe una solución mágica para la seguridad de la información. La información se presenta en todo tipo de formas y tamaños, al igual que los controles destinados a mantenerla segura.

La implementación de un SGSI no es un proyecto de duración fija. Para mantener a una organización protegida frente a las amenazas a su información, el SGSI debe crecer y evolucionar continuamente para adaptarse al panorama tecnológico, el cual cambia con gran rapidez. Por consiguiente, la reevaluación continua del Sistema de Gestión de Seguridad de la Información resulta indispensable. Al someter el SGSI a pruebas y evaluaciones frecuentes, la organización podrá determinar si su información sigue estando protegida o si es necesario realizar modificaciones.

Un ejemplo de esta evolución es la actualización del Anexo A de la norma ISO/IEC 27001, la cual incorpora nuevos controles para servicios en la nube, inteligencia de amenazas y enmascaramiento de datos. Este Anexo A actualizado reconoce que los límites de la oficina tradicional o del centro de datos se han difuminado, proporcionando un marco flexible que alinea el SGSI con los dinámicos desafíos de ciberseguridad propios del panorama digital moderno.

La revisión de 2022 de la norma ISO/IEC 27001 consolidó los 114 controles de la versión anterior en 93 controles, organizados en cuatro temas sencillos:

• Organizacionales
• Personas
• Físicos
• Tecnológicos

La seguridad de la información es una función de gestión.

Si bien existen muchos aspectos técnicos en la creación de un Sistema de Gestión de la Seguridad de la Información, una gran parte de un SGSI recae en el ámbito de la gestión.

La seguridad de la información es una función de la alta dirección.

Si bien existen muchos aspectos técnicos en la creación de un Sistema de Gestión de Seguridad de la Información (SGSI), una gran parte de este sistema recae en el ámbito de la gestión y debe constituir un esfuerzo descendente (de arriba hacia abajo).

El «Compromiso de la dirección» y el «Contexto de la organización» son aspectos particularmente importantes a tener en cuenta. Estos corresponden a los requisitos de las Cláusulas 4 y 5, los cuales son objeto de un minucioso escrutinio por parte de los auditores. La certificación ISO/IEC 27001 es una herramienta que la dirección de una empresa puede utilizar para demostrar su «Gobernanza», en lugar de limitarse únicamente a la seguridad informática general.

Uno de los eslabones más débiles en la cadena de seguridad de la información es el empleado: la persona que accede a información crítica o la controla a diario. Un SGSI debe incluir políticas y procesos diseñados para proteger a la organización contra el uso indebido de datos por parte de los empleados. Para resultar eficaces, dichas políticas deben contar con el respaldo y la supervisión de la dirección.

Además de los cambios formales en las políticas y los procesos, la dirección también debe transformar la cultura de la organización para que esta refleje el valor que se otorga a la seguridad de la información. Esta no es una tarea sencilla, pero resulta fundamental para la implementación eficaz de un SGSI.

La gestión de la seguridad de la información es un proceso

Del mismo modo que las organizaciones se adaptan a los entornos empresariales cambiantes, los Sistemas de Gestión de la Seguridad de la Información deben adaptarse a los avances tecnológicos en constante evolución y a la nueva información organizacional. Para adaptarse a estas condiciones cambiantes, la norma ISO/IEC 27001 adopta un enfoque basado en procesos para los SGSI, utilizando la metodología de Planificar-Hacer-Verificar-Actuar.