1.

TÍTULO
“LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
(SGSI) EN LA GERENCIA EMPRESARIAL”

2. AUTOR
CHANTA GARCÍA MARIELLA
CORREO ELECTRÓNICO: mchantagarcia@gmail.com

3. RESUMEN
La información es un valioso activo del que depende el buen funcionamiento de una
organización. Mantener su integridad, confidencialidad y disponibilidad es esencial para
alcanzar los objetivos de negocio, por esa razón, se propone implementar un SGSI en
las organizaciones y evitar el robo y manipulación de sus datos confidenciales y por
ende mejorar la gestión empresarial.

4. INTRODUCCIÓN
La información, en el sentido amplio de la palabra, se ha convertido en un activo
fundamental que debe ser protegido para que las firmas puedan sobrevivir y competir.
La protección de la confidencialidad, disponibilidad e integridad de la información en
las empresas, debe ser una preocupación estratégica. Los activos de información están
sujetos constantemente a una serie de amenazas que buscan penetrar las
vulnerabilidades organizacionales.
La implantación de un Sistema de Gestión de Seguridad de la Información es una
decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada
y dirigida desde la dirección. Su diseño dependerá de los objetivos y necesidades de la
empresa, así como de su estructura. Estos elementos son los que van a definir el alcance
de la implantación del sistema, es decir, las áreas que van a verse involucradas en el
cambio; y la herramienta que nos da los pasos para implantar un SGSI es el estándar
internacional ISO 27001:2013, que busca como propósito la implantación en las
empresas de un Sistema de Gestión de Seguridad de Información (SGSI), con el fin de
asegurar la instauración de controles como producto del análisis y evaluación del riesgo
para minimizar daños a la organización a través de la prevención y reducción del
impacto de los incidentes de seguridad.
5. FUNDAMENTOS TEÓRICOS
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 nos ofrece un modelo necesario para crear, implementar,
supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Para ello debemos tener algunas cosas claras antes de tomar la decisión de implementar
la norma ISO 27001. Si tu empresa ha comenzado la aplicación de los requisitos de la
norma ISO 27001, seguramente habrás oído el término Sistema de Gestión de Seguridad
de la Información, dicho Sistema de Gestión de Seguridad de la Información es la
principal aplicación.
La ISO 27001 nos aporta toda la información necesaria para desarrollar un Sistema de
Gestión de Seguridad de la Información, se puede considerar que el Sistema de Gestión
cuenta con un enfoque sistemático para gestionar y proteger la información importante
de la empresa. El Sistema de Gestión de Seguridad de la Información representa un
conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para
controlar y establecer todas las reglas de seguridad de la información de una
organización.

Seguridad de la información
La información es un activo fundamental y cumple un rol vital en una empresa. Es como
el oxígeno para el organismo: debe fluir adecuada y oportunamente por todas las áreas.
También se deben evitar filtraciones hacia la competencia, entre otros riesgos.
Precisamente, disponer de la certificación de un Sistema de Gestión de Seguridad de la
Información (SGSI) ayuda a la organización a gestionar y proteger su información.
Preservar la confidencialidad, la integridad y la disponibilidad de la información es la
base sobre la que se erige la seguridad de la información.

Confidencialidad: mediante un SGSI se garantiza que la información de la

organización no estará disponible ni será revelada a personas, organizaciones o procesos
no autorizados.
Integridad: el SGSI promete mantener la información exacta y completa, tal como fue
finalmente elaborada, así como sus métodos de proceso.
Disponibilidad: las personas, organizaciones y procesos que tengan acceso autorizado
a la información deberán disponer de ella cuando la requieran.
ISO 27001
La norma ISO 27001, es el estándar a nivel internacional que muchas organizaciones
siguen para implementar su Sistema de Gestión de Seguridad de la Información (SGSI).
Concretamente, este estándar internacional, nos ayuda a gestionar la seguridad de la
información en una organización, sea cual sea el tamaño de la misma o su carácter
público o privado, dado que ofrece a ésta la metodología necesaria para implantar la
seguridad en la gestión de la información.

Gerencia
Gerencia implica tomar decisiones en la administración de recursos de la organización
para el cumplimiento de sus metas y objetivos.
También se puede decir que es el proceso de trabajar con gente y recursos para lograr
las metas de la organización.
También se define como la acción de planear, organizar, dirigir y controlar actividades
de otros para lograr metas.
En todo caso, tomar decisiones será una de las principales responsabilidades de
cualquier gerente, lo cual significa que el prepararse para tomar decisiones con menor
nivel de riesgo y en forma más efectiva, es de vital importancia para el gerente moderno.

Funciones Del Gerente

La toma de decisiones es la parte fundamental del trabajo de un gerente, sus funciones
pueden ser agrupadas de la siguiente manera: planear, organizar, dirigir y controlar. En
cada una de estas funciones el gerente estará expuesto a la toma de decisiones como
factor común de desempeño.
 Planear: La organización fija las metas y estrategias para la consecución de
objetivos mediante su equipo gerencial y de directores. Planear significa especificar
esas metas y establecer el camino estratégico para lograr su realización. De esta
manera el gerente puede prepararse por adelantado respecto a las acciones que
deberá emprender para alcanzar las metas determinadas.
 Organizar: Dado que gerencia significa la administración de los recursos, los
gerentes deben poder organizar la distribución de los mismos y deben ser orientados
a la consecución y realización de la visión y metas concretas de la empresa.
 Dirigir: El gerente moderno requiere tener la capacidad de liderar a sus subalternos.
En las organizaciones actuales es necesario que la gerencia logre estimular
 mediante su liderazgo al resto de los componentes de la organización. Un líder es
capaz de lograr de su gente la mayor cantidad de provecho, gracias a la entrega e
inspiración que por medio del liderazgo se genera. Por el contrario, la falta de un
líder puede llevar a la organización a situaciones en las que se vea comprometida
incluso su estabilidad. Un buen líder debe estar consciente de las limitaciones de su
equipo, y procurar la estabilidad y confianza de su gente. Para ello es necesario
realizar esfuerzos en el área de comunicaciones interpersonales y darle a la gente la
posibilidad de tener libertad para la toma de decisiones de forma tal que se
desarrolle el sentido de la confianza.
 Controlar: Aún con los planes mejor elaborados, con los recursos mejor
distribuidos y con líderes de alta calidad, no existe garantía de éxito organizacional
sin proceso de control y evaluación de los resultados obtenidos. Gracias a la función
de control, la gerencia podrá tener tiempo suficiente para reaccionar ante
determinada circunstancia no prevista o simplemente desfavorable.

6. METODOLOGÍAS
La metodología que vamos a utilizar es el análisis detallado de la nueva versión ISO
27001:2013 propuesta por Javier Cao Avellaneda y que se muestra en el siguiente
gráfico:
La nueva versión ISO 27001:2013 para la implantación del SGSI considera los siguientes
puntos:
1) Contexto de la organización.
Este aspecto está centrado en identificar quienes son los clientes o beneficiarios del
SGSI, comprende las siguientes tareas:
- Entender la organización y su contexto.
- Entender las necesidades y expectativas de las partes interesadas.
- Determinar el alcance del SGSI.
2) Liderazgo
Este aspecto reúne los requisitos para garantizar que la puesta en marcha del SGSI
efectivamente es un proceso estratégico y establece las directrices de gestión de alto
nivel que deben motivar el funcionamiento del sistema, comprende las siguientes
tareas:
- Liderazgo y compromiso.
- Política.
- Roles de la organización, responsabilidades y autoridad.
3) Panificación
Esta cláusula secuencia los pasos para la creación del SGSI en donde es una tarea
clave y principal para la toma de decisiones el proceso de identificación y análisis
del riesgo. Tiene las siguientes tareas:
- Acciones para dirigir los riesgos y oportunidades.
- Objetivos y planes para lograrlos.
4) Soporte
Esta cláusula establece qué medios serán necesarios en la puesta en marcha del
SGSI. En este sentido además de identificar las necesidades materiales se insiste
también en la importancia de las personas y de sus capacidades técnicas siendo
necesaria la formación y la concienciación para garantizar que son las adecuadas.
Esta etapa comprende las siguientes tareas:
- Recursos.
- Competencias.
- Concienciación.
- Comunicación.
- Documentación.
 5) Operación
Esta cláusula determina cómo se garantiza el funcionamiento del SGSI una vez ha
completado su fase de construcción y entra en los diferentes ciclos PDCA en años
sucesivos, comprende:
- Planificación operativa y control.
- Análisis del riesgo.
- Tratamiento del riesgo.
6) Evaluación del rendimiento
Este es otro de los apartados más importantes de este reenfoque de la gestión hacia
la búsqueda de resultados, tiene las siguientes tareas:
- Monitorización, medición, análisis y evaluación.
- Auditoría interna.
- Revisión por Dirección.
7) Mejora
Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas
que no funcionan de forma adecuada son documentadas para aplicar acciones de
corrección que mitiguen tanto las consecuencias directas como las causas que las
ocasionan. Sigue las tareas:
- No conformidad y acción correctiva.
- Mejora Continua.

7. RESULTADOS
8. DISCUSIÓN O REFLEXIÓN CRÍTICA
Haciendo el análisis correspondiente del tema en mención se plasma las siguientes
conclusiones:
 Un SGSI implica crear un plan de diseño, implementación, y mantenimiento de una
serie de procesos que permitan gestionar de manera eficiente la información, para
asegurar la integridad, confidencialidad y disponibilidad de la información.
 Un SGSI apoya a la toda organización a cumplir sus objetivos en cuanto a seguridad
la de información, relacionados con el mercado y los negocios.
 Es primordial que una empresa implemente el SGSI (Sistema de Gestión de
Seguridad de la Información) con el fin de gestionar los riesgos y así minimizar la
materialización de estos.
  Es importante la planificación e implantación de ciertos controles basados en un
cuidadoso análisis de riesgo. Un SGSI ayuda a mantener este riesgo por debajo del
nivel aceptable que se haya determinado a nivel directivo.
 Desde el punto de vista de la alta gerencia, un SGSI permite obtener una visión
global del estado de los sistemas de información sin caer en detalles técnicos,
además de poder observar las medidas de seguridad aplicadas y los resultados
obtenidos, para poder con todos estos elementos tomar mejores decisiones
estratégicas.
 Un SGSI debe estar documentado y ser conocido a distintos niveles por todo el
personal, y estar incluido en un proceso global que permita la mejora continua.
 Por tanto, un SGSI debe ser considerado fundamental a la hora de administrar la
seguridad en una organización y además cuando la estructura cuenta con un alto
nivel de complejidad, para conseguir así una mayor eficiencia y garantía en la
protección de sus activos de información.
 Implantar un SGSI a través de ISO 27001 es importante para la empresa porque
permite:
o Cumplir con los requerimientos legales.
o Obtener una ventaja comercial.
o Menores costos.
o Tendrá una mejor organización.
o Cuenta con el ciclo PHVA. Planificar, Hacer, Verificar y Actuar; que asegura la
MEJORA CONTINUA en cuanto a los controles de seguridad.

9. REFERENCIAS BIBLIOGRÁFICAS
https://www.esan.edu.pe/apuntes-empresariales/2016/05/importancia-y-beneficios-de-
contar-con-un-sistema-de-gestion-de-seguridad-de-informacion/

https://www.esan.edu.pe/programa/gestion-seguridad-iso-27001/

http://biblioteca.iapg.org.ar/ArchivosAdjuntos/Petrotecnia/2007-4/Gestion.pdf

http://www.iso27000.es/download/doc_sgsi_all.pdf

https://www.pmg-ssi.com/2017/05/implementar-sgsi-en-tu-organizacion/