Sie sind auf Seite 1von 2

Qué es un Sistema de Gestión de la Seguridad de la Información

(SGSI)?

¿Qué es un Sistema de Gestión de la Seguridad de la Información


(SGSI)?

Se entiende por información todo aquel conjunto de datos organizados en poder de una
entidad que posean valor para la misma, independientemente de la forma en que se
guarde o transmita, de su origen o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de


confidencialidad, integridad y disponibilidad así como los sistemas implicados en su
tratamiento, dentro de una organización.

Garantizar un nivel de protección total es imposible, incluso en el caso de disponer de


un presupuesto ilimitado; lo que buscamos es garantizar que los riesgos de la seguridad
de la información sean conocidos, asumidos, gestionados y minimizados.

La implantación de un sistema de Gestión de la Seguridad de la información


(SGSI) implica las siguientes tareas:

 Compromiso de la dirección general de la organización.


 Elaboración de un plan de Gestión de Seguridad.
 Asignación de recursos, funciones y responsabilidades.
 Formación y concienciación del personal.
 Establecer controles periódicos y mejoras.

El plan de Gestión de Seguridad consiste en:

 Identificar los activos del SGSI y sus propietarios.


 Identificar las amenazas de cada activo.
 Identificar las vulnerabilidades del sistema.
 Identificar los posibles impactos de las vulnerabilidades.
 Gestionar el riesgo:
o Evitarlo: suprimir las causas del riesgo (activo, amenaza, vulnerabilidad)
o Transferirlo: Outsourcing, seguro.
o Reducirlo: la amenaza, vulnerabilidad o impacto.
o Aceptarlo