Knowledge Base Wiki

Un Sistema de Gestión de la Seguridad de la Información (SGSI) (en inglés: Information Security Management System, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001,^[1]​ aunque no es la única normativa que utiliza este término o concepto.

Un SGSI es para una organización el diseño, implementación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.

La ISO/IEC 27001 se basa en el conocido "Ciclo de Deming" Plan-Do-Check-Act (PDCA o PHVA) que significa "Planificar-Hacer-Verificar-Actuar" siendo este un enfoque de mejora continua:

• Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .

• Do (hacer): es una fase que envuelve la implantación y operación de los controles.

• Check (verificar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.

• Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.

• O-ISM3. El modelo de madurez de gestión de seguridad de la información de Open Group (O-ISM3) es el marco de Open Group para gestionar la seguridad de la información. Su objetivo es garantizar que los procesos de seguridad en cualquier organización se implementen para operar a un nivel consistente con los requisitos comerciales de esa organización. O-ISM3 define un número integral pero manejable de procesos de seguridad de la información suficiente para las necesidades de la mayoría de las organizaciones, con los controles de seguridad relevantes identificados dentro de cada proceso como un subconjunto esencial de ese proceso. El sitio web «O-ISM3».  indica que el proyecto examinó ISO 9000, COBIT, ITIL, ISO/IEC 27001:2013 y otras normas, y encontraron un potencial de mejora en varios campos, como vincular la seguridad con las necesidades comerciales, utilizando un enfoque basado en procesos, que proporciona algunos detalles adicionales (quién, qué, por qué) para la implementación y sugiere métricas específicas, al tiempo que preserva la compatibilidad con los estándares de gestión de seguridad y TI más populares.
• SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
• TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido

• En el caso de ITIL (sobre todo la v.3) tiene muchos puntos de contacto respecto a cuestiones de seguridad.

• PRINCE2 es otro marco de trabajo de buenas prácticas, en este caso relacionadas con la gestión de proyectos, siendo esta, ampliamente utilizada.

En España, el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica define un incidente de seguridad. como “aquel suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”.

Por otro lado, el RGPD el que define, las violaciones (o incidencias) de seguridad de los datos personales (también denominadas brechas de seguridad), como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Podemos observar que la principal diferencia entre ambos conceptos radica en que una brecha de seguridad solo se aplicará en el supuesto en el que vean afectados datos de carácter personal, por lo tanto, una brecha de seguridad va a ser en todo caso un incidente de seguridad; sin embargo, cuando hablamos de un incidente de seguridad pueden no verse afectados datos de carácter personal y por tanto no incluir el concepto de brecha.^[2]​

• Ley Orgánica de Protección de Datos de Carácter Personal de España
• Magerit (metodología)
• PDCA
• Seguridad de la información

• ISO/IEC 27000-series
• ISO/IEC 27001
• ISO/IEC 27002
• ISO 9001

• British Standards Institution BSI, información en español
• Information Security Forum (ISF) (en inglés)
• Information Security Management Maturity Model (ISM3) (en inglés)
• www.iso27000.es - www.iso27001.es: Portal con información en español sobre la serie 27000 y los sistemas de gestión de seguridad de la información.
• www.iso27002.es Wiki en español sobre los controles en los sistemas de gestión de seguridad de la información.
• Guía SGSI de INTECO-CERT Archivado el 15 de julio de 2014 en Wayback Machine. VideoGuia en español, de INTECO_CERT sobre los sistemas de gestión de seguridad de la información.