Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua, velando por la protección y resguardo de la información a través de la Confidencialidad, Integridad y disponibilidad.
El Sistema de Gestión de Seguridad de la Información (SGSI), se fundamenta en la norma NTC-ISO/IEC 27001, esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del sistema de gestión de la seguridad de la información (SGSI).
Enfoque Basado en Procesos
Esta norma promueve la adopción de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización.
Para funcionar eficazmente, una organización debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestión permita la transformación de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones entre estos procesos, y su gestión, se puede denominar como un “enfoque basado en procesos”.
El enfoque basado en procesos para la gestión de la seguridad de la información, recentado en esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:
a) comprender los requisitos de seguridad de la información del negocio, y la necesidad de establecer la política y objetivos en relación con la seguridad de la información;
b) implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización;
c) el seguimiento y revisión del desempeño y eficacia del SGSI, y
d) la mejora continua basada en la medición de objetivos.
También, adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cómo el SGSI toma como elementos de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas, y a través de las acciones y procesos necesarios produce resultados de seguridad de la información que cumplen estos requisitos y expectativas.
Modelo PHVA aplicado a los procesos de SGSI
-
Planificar: (establecer el SGSI) Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.
-
Hacer (implementar y operar el SGSI) Implementar y operar la política, los controles, procesos y procedimientos del SGSI.
-
Verificar (hacer seguimiento y revisar el SGSI) Evaluar, y, en donde sea aplicable, medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para su revisión.
-
Actuar (mantener y mejorar el SGSI) Emprender acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI.
Compatibilidad con Otros Sistemas de Gestión
Esta norma está alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de apoyar la implementación y operación, consistentes e integradas con sistemas de gestión relacionados. Un sistema de gestión diseñado adecuadamente puede entonces satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relación entre los numerales de esta norma, la norma NTC-ISO 9001:2000 y la NTC-ISO 14001:2004.
Esta norma está diseñada para permitir que una organización alinee o integre su SGSI con los requisitos de los sistemas de gestión relacionados.