Caso de Seguridad de la Información y Gestión de Riesgos

Base teórica

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que

se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que
constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO
9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de
protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto
ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados
y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones, se desarrollarán los conceptos fundamentales de un SGSI según la
norma ISO 27001.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la
que se cimienta todo el edificio de la seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de

esta por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso
de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque
de riesgo empresarial. Este proceso es el que constituye un SGSI.
¿Que debemos incluir en un SGSI?

¿Como vamos a implementar un SGSI?

• Plan (planificar): Establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.
• Check (Verificar): Monitorizar y revisar el SGSI.
• Act (actuar): Mantener y mejorar el SGSI.
¿Como vamos a realizar la Gestión de riesgos?

Planteamiento del problema (Caso a Resolver)

La empresa Seguranca le ha contratado como Gerente de riesgos tencologicos, dentro de sus
atribuciones están las siguientes:

a) Establecer una política de seguridad de la información.

b) Asegurarse de que se establezcan los objetivos y planes del SGSI
c) Establecer roles y responsabilidades de seguridad de la información.
d) Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de
la información y de cumplir con las políticas de seguridad, como sus responsabilidades
legales y la necesidad de la mejora continua.
e) Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.

Usted deberá documentar cada uno de los incisos para poderlos presenta. En el plan de
comunicación podría utilizar también algún tipo de presentación para poder socializarlo entre los
involucrados. El objetivo de la resolución de este caso de estudio es que usted pueda profundizar
en la normativa ISO 27001 y su aplicación dentro del aseguramiento de la información asi como
la gestión de riesgos.