29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

SGSI: Qué es y Cómo Implementarlo

Conoce qué es un SGSI, por qué lo necesitas en tu
empresa y cómo implementarlo para que sea exitoso.

ISO 27001

Tania López
ene 20, 2023

https://blog.innevo.com/que-es-sgsi 1/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

La IEC/ISO 27001 está llena de conceptos que, si no eres un experto en seguridad,

pueden ser confusos. En esta entrada hablaremos sobre un concepto fundamental para
la implementación de esta norma: el Sistema de Gestión de Seguridad de la
Información, el SGSI.

<< Certifica tu empresa en ISO 27001

y optimiza la seguridad en tu organización >>

¡Contáctanos para atención personalizada!

¿Qué encontrarás en este artículo?

¿Qué es SGSI y cuál es su objetivo?

¿Cómo funciona un SGSI?
¿Cuáles son los beneficios de contar con un SGSI?
¿Por qué es importante el SGSI?
ISO 27001: las mejores prácticas para el SGSI
¿Qué compone el SGSI y la certificación en la norma ISO 27001?
Pasos para implementar un SGSI
¿Cómo garantizar el éxito de un SGSI?

¿Qué es SGSI y cuál es su objetivo?

SGSI es el acrónimo de Sistema de Gestión de Seguridad de la Información y es un
conjunto de políticas y procedimientos para gestionar sistemáticamente los datos
confidenciales de una organización.

El objetivo de un SGSI es minimizar el riesgo y garantizar la continuidad del negocio

limitando proactivamente el impacto de una brecha de seguridad. Básicamente, busca

https://blog.innevo.com/que-es-sgsi 2/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

lograr un sistema de prácticas por parte de todo el personal de la empresa para que
Normas Servicios Sobre Pregun
esta no pierda información.
Nosotros Frecuen

Un SGSI generalmente aborda tanto el comportamiento y los procesos de los

colaboradores, como los datos y la tecnología. No es solo un sistema de protección
contra ciber ataques, va mucho más allá.

Es un sistema integral de políticas, procesos, procedimientos, auditorías y prácticas

laborales cotidianas (hábitos de trabajo), para que aun cuando ocurra una intrusión a la
organización ya sea física o digital, no haya pérdida de información y, claro, también
busca que no existan las condiciones para que dicha intrusión sea exitosa.

Esto último no siempre se logra debido no solamente a deficiencias en el SGSI o a

deficiencias en su cumplimiento, sino también a incapacidades de la empresa, sobre
todo financieras, que no le permitan, aun cuando quiera lograrlo, abordar la solución
adecuada.

El SGSI puede estar dirigido a un tipo particular de datos, como los datos de los clientes,
o puede implementarse de una manera integral para que se convierta en parte de la
cultura de la empresa.

https://blog.innevo.com/que-es-sgsi 3/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

¿Cómo funciona un SGSI?

Normas Servicios Sobre Pregun

Nosotros Frecuen
Un SGSI proporciona un enfoque sistemático para gestionar la seguridad de la
información de una organización, aplicando políticas que controlan y administran los
niveles de riesgo de seguridad en una organización.

El objetivo de un SGSI no es necesariamente maximizar la seguridad de la información,

sino alcanzar el nivel deseado de seguridad de la información de una organización, para
que si sucede un incidente pueda responder adecuadamente a él sin detrimento de
esta.

Dependiendo de las necesidades específicas de la industria, estos niveles de control

pueden variar. Por ejemplo, dado que la atención médica es un campo altamente
regulado, una organización de atención médica puede desarrollar un sistema para
garantizar que los datos confidenciales de los pacientes estén completamente
protegidos.

Los sistemas de gestión de la seguridad de la información en las empresas están

orientados a los procesos y siempre son responsabilidad de la dirección. Es un enfoque
de arriba hacia abajo. Se puede delegar la implementación, pero no la responsabilidad.

Dependiendo del motivo la gerencia selecciona los procedimientos y métodos a aplicar

o construir para garantizar la seguridad de la información en las actividades
corporativas. La dirección debe examinar periódicamente el alcance, la intensidad y el
progreso de las medidas.

Repito, el objetivo de un SGSI no es lograr la máxima seguridad de la información. Más

bien, es alcanzar el nivel deseado de seguridad de la información de la organización. El
apetito por el riesgo es clave.

Una corporación debe conocer su información, los riesgos y el impacto financiero de un

riesgo materializado. Con base en este conocimiento, la gerencia debe decidir en qué
medida un SGSI debe reducir los riesgos.

https://blog.innevo.com/que-es-sgsi 4/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

¿Cuáles son los beneficios de contar con un SGSI?

El SGSI proporciona un enfoque holístico para administrar los sistemas de información
dentro de una organización. Esto ofrece numerosos beneficios, algunos de los cuales se
destacan a continuación.

1. Protege los datos confidenciales. Un SGSI protege todos los tipos de activos de
información, ya sea que estén en papel, digitalmente o residan en la nube. Estos
activos pueden incluir datos personales, propiedad intelectual, datos
financieros, datos de clientes y datos confiados a empresas a través de terceros.

2. Respeta el cumplimiento normativo. El SGSI ayuda a las organizaciones a

cumplir con todos los requisitos contractuales y de cumplimiento normativo y
proporciona una mejor comprensión de las legalidades que rodean a los
sistemas de información. Dado que la violación de las regulaciones legales
conlleva fuertes multas, tener un SGSI puede ser especialmente beneficioso
para las industrias altamente reguladas con infraestructuras críticas, como las
finanzas o la atención médica.

3. Proporciona continuidad de negocio. Cuando las organizaciones invierten en

un SGSI, aumentan automáticamente su nivel de defensa contra las amenazas.
Esto reduce la cantidad de incidentes de seguridad, como ataques cibernéticos,
lo que genera menos interrupciones y menos tiempo de inactividad, que son
factores importantes para mantener la continuidad del negocio.

4. Reduce costos. Un SGSI ofrece una evaluación de riesgos exhaustiva de todos

los activos. Esto permite a las organizaciones priorizar los activos de mayor
riesgo para evitar gastos indiscriminados en defensas innecesarias y
proporcionar un enfoque enfocado para protegerlos. Este enfoque
estructurado, junto con menos tiempo de inactividad debido a la reducción de
los incidentes de seguridad, reduce significativamente el gasto total de una
https://blog.innevo.com/que-es-sgsi 5/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

organización.
Normas Servicios Sobre Pregun

5. Mejora la cultura de la empresa. Un SGSI proporciona un enfoqueNosotros Frecuen

integral para
la seguridad y la gestión de activos en toda la organización que no se limita a la
seguridad de TI. Esto alienta a todo el personal a comprender los riesgos
relacionados con los activos de información y adoptar las mejores prácticas de
seguridad como parte de sus rutinas diarias.

6. Se adapta a las amenazas emergentes. Las amenazas a la seguridad evolucionan

constantemente. Un SGSI ayuda a las organizaciones a prepararse y adaptarse a
las amenazas más nuevas y a las demandas en constante cambio del panorama
de la seguridad.

¿Por qué es importante el SGSI?

El aumento de la presión sobre las organizaciones para desarrollar estándares más
altos de seguridad de la información ha despertado el interés en la implementación de
un SGSI.

Aunque un SGSI generalmente tiene sentido para todas las empresas,

independientemente de la industria y el tamaño de la empresa, la mayor parte de la
atención se centra en empresas basadas en software, digitalizadas y basadas en SaaS,
así mismo las empresas con redes de suministro complejas y los negocios regulados se
encuentran bajo mayor presión de cumplimiento.

Considera, por ejemplo, las PYME en la industria automotriz o la banca donde existen
FinTechs, y los seguros con las InsurTechs. Otro sector es el cuidado de los mercados de
salud, en donde tienen estándares mínimos estrictos que deben observarse en el
campo de la seguridad de la información para garantizar la confidencialidad médica.

Sin embargo, más allá de las causas y necesidades específicas de las industrias, también
existe una tendencia general hacia una mayor seguridad de la información.

Las siguientes son algunas razones por las que las organizaciones están bajo escrutinio
en lo que respecta a la seguridad de la información:

1. El delito cibernético es costoso: la seguridad cibernética se está expandiendo

porque la mayoría de las empresas no pueden permitirse filtraciones de datos.

Un informe de violación de datos publicado por IBM estima que el costo

https://blog.innevo.com/que-es-sgsi 6/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

promedio de una violación de datos en 2022 es de $ 4,24 millones, una cantidad

que puede dejar a muchas Normas
empresas fuera de Servicios Sobre
servicio. Por si fuera poco, otro Pregun
Nosotros
estudio reciente estima que el costo del delito cibernético en todo el mundo Frecuen
aumentará de $ 6 billones a $ 10,5 billones para 2025.

Es claro que aquellas organizaciones que no tengan expertos y medidas de

seguridad de la información que la protejan ponen en juego su futuro.

2. Todo está automatizado: cada vez más la infraestructura de una empresa se

basa en la tecnología a medida que sus procedimientos se automatizan con
código al que pueden acceder los delincuentes que piratean el sistema. En
consecuencia, cuantas más actividades se realicen digitalmente, más
posibilidades tienen los piratas informáticos de obtener información
confidencial.

3. Las vulnerabilidades están en todas partes: existe una amplia gama de

tecnologías que los piratas informáticos pueden explotar, no solo computadoras,
sitios web y servidores. Más elementos y sistemas que nunca son vulnerables a
los ataques cibernéticos, desde sistemas de aerolíneas y alarmas de automóviles
hasta redes eléctricas y sistemas de seguridad.

ISO 27001: las mejores prácticas para el SGSI

ISO/IEC 27001 es el estándar internacional para la seguridad de la información y para
la creación de un SGSI.

Este estándar no exige acciones específicas, pero si incluye sugerencias y mejores

prácticas para la documentación, identificación de riesgos y vulnerabilidades,
auditorías internas, mejora continua y acciones correctivas y preventivas.

Conoce más sobre la norma en nuestra Guía sobre la Certificación ISO 27001.

https://blog.innevo.com/que-es-sgsi 7/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

¿Qué compone el SGSI y la certificación

Normas Servicios enSobre
la normaPregun
ISO 27001? Nosotros Frecuen

Para obtener la certificación ISO 27001, una organización requiere un SGSI que
identifique los activos de la organización y proporcione la siguiente evaluación:

1. Los riesgos a los que se enfrentan los activos de información.

2. Las medidas adoptadas para proteger los activos de información.
3. Un plan de acción en caso de que ocurra un incidente de seguridad.
4. Identificación de las personas responsables de cada paso del proceso de
seguridad de la información.

Hay varios elementos que debes contemplar para diseñar y ejecutar un SGSI y obtener
la certificación correspondiente en ISO 27001:

1. Recurso para la implementación de SGSI

Un sistema de gestión de la seguridad de la información que cumpla con la norma ISO

27001 o esté certificado puede ser una tarea difícil. Para implementar correctamente
un SGSI, necesitarás personal con los recursos y la experiencia necesarios. Una vez que
tu SGSI esté en funcionamiento, tu empresa requerirá los mecanismos de gobierno
apropiados para supervisarlo.

2. Implementación, sistemas y herramientas de gestión continua

Como parte de un sistema integral de gestión de la seguridad de la información, se

utilizan muchos recursos. Además de los datos, se pueden incluir el software y el
hardware de su empresa, la infraestructura física e incluso sus empleados y
proveedores. Hay varias cosas que deberás hacer para realizar un seguimiento de todos
ellos en tu SGSI. El uso de un enfoque sistemático para la gestión de riesgos garantiza el
éxito de toda tu organización.

3. Políticas y restricciones procesables que se pueden implementar en

el mundo real

En caso de una violación de datos, tu sistema de gestión de seguridad de la información

instruye a tu personal, proveedores y otras partes interesadas clave sobre cómo
https://blog.innevo.com/que-es-sgsi 8/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

mantener sus datos seguros. Es imperativo que estas prácticas y procesos de seguridad
Normas Servicios Sobre Pregun
de la información también se establezcan en políticas y controles claros, ampliamente
Nosotros Frecuen
entendidos y fáciles de implementar. De esta forma, se conocerán públicamente las
ventajas de tu SGSI y se asegurará su integridad.

4. Estrategias de comunicación y compromiso para los empleados

Los sistemas de gestión de la seguridad de la información deben ser el alma de tu

organización, según las normas ISO 27001. Aquellos que estén interesados en la
seguridad de la información deben conocer tu SGSI, así como las razones de su
importancia y sus deberes para mantenerlo. ¡Nada estará protegido si dejas que tu
SGSI acumule polvo! Es fundamental contar con las herramientas y los procesos
adecuados para realizar el trabajo. Es posible que incluso tengas que realizar algunas
sesiones de educación sobre seguridad de la información.

5. Herramientas y sistemas de gestión de la cadena de suministro

Tu sistema de gestión de la seguridad de la información se utilizará más allá de los

muros de tu empresa. Tus proveedores y otros terceros pueden tener acceso o ser
responsables de información crucial en tu nombre. Es importante garantizar la
integridad de tu organización protegiéndote de cualquier riesgo potencial de seguridad
de la información o desafíos que puedan presentar tus datos.

6. Trabajar con auditores externos y obtener la certificación

Para obtener una certificación ISO 27001 completa, un organismo de certificación

independiente debe estar debidamente acreditado. Luego volverá cada tres años para
realizar actualizaciones periódicas de tu certificación ISO 27001. Deberás realizar
auditorías internas frecuentes de tu SGSI para cumplir con los criterios.

7. Mejora continua del SGSI y recursos operativos

Siempre activo y consciente, un buen sistema de gestión de la seguridad garantiza la

seguridad de la información confidencial. A medida que la organización crece y se
desarrolla, también lo hace su infraestructura de seguridad de la información, que se
adapta para mantenerse al día con las amenazas en constante cambio. Incluso si el

https://blog.innevo.com/que-es-sgsi 9/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

sistema comete un error, puede usar la información que recopila para seguir
Normas Servicios Sobre Pregun
mejorando: la evaluación de riesgos y la respuesta nunca terminan.
Nosotros Frecuen

Pasos para implementar un SGSI

Hay varias formas de configurar un SGSI. La mayoría de las organizaciones estudian el
estándar de seguridad internacional ISO 27001 y siguen un proceso de planificar-
hacer-verificar-actuar.

1. Crea una política SGSI

¿Por qué nosotros como empresa queremos establecer un SGSI?

¿Qué objetivos esperamos alcanzar con él?
¿Cómo implementamos tal sistema organizacionalmente?
¿Quién asume el rol de oficial de seguridad de la información (ISO)?
¿Con qué recursos cuenta?
¿Qué medidas hay que tomar?

2. Identifica y clasifica los activos

https://blog.innevo.com/que-es-sgsi 10/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

¿Qué activos/información queremos proteger?

Normas Servicios Sobre Pregun
¿Qué tan sensibles son estos activos?
Nosotros Frecuen

Ejemplo automotriz: Las imágenes de un vehículo prototipo que aún no se ha

construido necesitarían mucha más protección que las imágenes de un modelo de
prueba en una prueba de carretera, es decir, un vehículo poco antes de su lanzamiento
al mercado.

Puedes leer más sobre la clasificación de la información en este artículo.

3. Establece la organización del SGSI y las estructuras de gestión de

riesgos

¿Qué herramientas queremos usar?

¿Con qué recursos financieros y humanos cuenta la ISO?
¿Qué estructuras debería establecer esto?

4. Desarrolla mecanismos de control

¿Cómo comprobamos si el SGSI es eficaz y protege los activos de nuestra

empresa como se desea?

5. Operar tu SGSI

¿Qué procesos ponemos en acción en la vida cotidiana?

¿Cómo los integramos y documentamos?

6. Evalúa resultados y KPIs

Pregúntate de forma rutinaria: ¿Qué resultados logra nuestro SGSI y qué

indicadores clave de rendimiento (KPI) derivamos de ellos?

7. Realiza correcciones y toma precauciones

¿En qué áreas necesitamos mejorar según los resultados?

¿Cómo podemos contrarrestar los riesgos de forma preventiva?

8. Revisión por la gerencia

https://blog.innevo.com/que-es-sgsi 11/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

¿Todavía se ajustan los objetivos del SGSI y la orientación general, o se necesitan

correcciones de rumbo porNormas Servicios
parte de la dirección? Esto debe serSobre Pregun
analizado por lo
menos una vez al año. Nosotros Frecuen

Te recomendamos leer:
10 Criterios para un buen Sistema de Gestión de Seguridad de la Información.

¿Cómo garantizar el éxito de un SGSI?

Un SGSI solo puede implementarse con éxito si la dirección de la empresa realmente lo
desea y si dispone de los recursos necesarios.

Los 3 factores clave que determinarían el éxito de un SGSI son:

1. Compromiso de la gerencia:

El compromiso de la gerencia juega un papel importante para garantizar que el

implementador del SGSI tenga una dirección clara en la implementación del SGSI.

Las actividades de gestión incluyen garantizar que los recursos adecuados estén
disponibles para trabajar, capacitar a todos los empleados afectados por la
estructuración del SGSI, organizar programas de concientización y monitorear la
competencia del SGSI.

https://blog.innevo.com/que-es-sgsi 12/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

2. Compromiso del implementador:

Normas Servicios Sobre Pregun

Nosotros Frecuen
Tu equipo de implementación del SGSI deben tener una planificación adecuada en su
horario de trabajo diario para garantizar que se asigne un tiempo adecuado para
centrarse en los procesos de SGSI para garantizar el éxito de la implementación del
sistema.

3. Competencia del implementador:

Los implementadores deben adquirir al menos tres competencias para obtener las
habilidades y los conocimientos adecuados para comprender el ciclo completo de
implementación del SGSI:

Implementación y la gestión del cambio.

Conocimiento de los estándares.
Presentación de un método o marco para implementar, mantener,
monitorear y mejorar la seguridad de la información.

Si dentro de tu organización no cuentas con expertos en seguridad de la información o

ISO 27001, apóyate de un servicio de consultoría especializada para que guíe a tu
equipo en el diseño e implementación del SGSI.

El servicio de consultoría de Innevo te ayudará en la identificación y evaluación de tus

riesgos y medidas de seguridad óptimas para tu negocio.

https://blog.innevo.com/que-es-sgsi 13/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

Logra la Certificación ISO 27001

Cumple los requisitos, optimiza la seguridad de tus operaciones y ahorra
tiempo, dinero y enredos con un plan de acompañamiento.
¿Comenzamos?

¡Contáctanos para atención personalizada!

¿Qué te pareció esta publicación?

Calificar (1 Voto)

PUBLICACIONES SIMILARES

https://blog.innevo.com/que-es-sgsi 14/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

ISO 27001

Definiendo los Roles y Responsabilidades ISO 27001

https://blog.innevo.com/que-es-sgsi 15/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Cómo Fomentar la Innovación

Normas
Empresarial
Servicios
en tu Sobre Pregun
Organización Nosotros Frecuen

Las mejores recomendaciones para lograr una cultura que fomente y acepte la
innovación empresarial.

ENRIQUE ROMÁN DIC 30, 2022

ISO 27001

Evaluación de Riesgos de Seguridad de la Información

Conoce el proceso de evaluación de riesgos de seguridad de la información para
identificar y priorizar los riesgos de tu organización.

TANIA LÓPEZ MAR 10, 2023

https://blog.innevo.com/que-es-sgsi 16/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

Innevo

Home
Somos una
consultora especializada en Sobre Nosotros
mejora de procesos desde
Preguntas Frecuentes
hace 20 años.
Contáctanos
Ciudad de México
| Guadalajara

Blog
MEJORES EMPRESAS,
MEJOR SOCIEDAD
Desarrollo de Software

LinkedIn | X - Twitter Seguridad de la Información

Servicios de TI

Gestión Empresarial

Gestión de Proyectos

Procesos

Normas Servicios

ISO 20000 Consultoría

ISO 27001 Evaluaciones CMMI

ISO 29110 Cursos Oficiales CMMI

CMMI Servicios

CMMI Desarrollo

ITIL para mi empresa

https://blog.innevo.com/que-es-sgsi 17/18
29/4/24, 15:14 SGSI: Qué es y Cómo Implementarlo

Normas Servicios Sobre Pregun

Nosotros Frecuen

Todos los derechos reservados. © 2022 Innevo

Aviso de privacidad.

Powered by Atlas - a B2B SaaS HubSpot theme

https://blog.innevo.com/que-es-sgsi 18/18