Página web
Volver a la descripción general

Sistema de gestión de seguridad de la información (SGSI)

Un sistema de gestión de seguridad de la información (SGSI) es un marco sistemático de políticas, procesos y medidas con el que las organizaciones gestionan, supervisan y mejoran continuamente su seguridad de la información de forma integral. El objetivo es garantizar de forma permanente los tres objetivos de protección centrales de la seguridad de la información: confidencialidad, es decir, la protección frente a accesos no autorizados; integridad, es decir, la inalterabilidad de los datos; y disponibilidad, es decir, la garantía de acceso a sistemas e información cuando sea necesario. Como estándares reconocidos para la implantación de un SGSI se consideran internacionalmente la ISO/IEC 27001 y, en Alemania en particular, el BSI IT-Grundschutz.

El núcleo de un SGSI no es un proyecto puntual, sino un proceso de mejora continua. Las organizaciones definen su ámbito de aplicación, analizan riesgos, derivan medidas de protección adecuadas y verifican su eficacia de forma regular. Este ciclo de planificación, implementación, verificación y mejora garantiza que el SGSI se mantenga al día ante nuevas amenazas, tecnologías y requisitos regulatorios. Un SGSI formalmente implantado incluye siempre la implicación de la dirección y responsabilidades claramente definidas.

Para organismos públicos, operadores de infraestructuras críticas y empresas que suministran a organismos contratantes públicos, un SGSI es en muchos casos legalmente obligatorio o requisito previo para participar en licitaciones. Pero también las medianas empresas sin obligación legal explícita se benefician de ello, ya que un SGSI certificado refuerza la confianza de clientes y socios y demuestra, en caso de incidente, que se adoptaron medidas de seguridad adecuadas. Los titulares de centros escolares que procesan datos sensibles de alumnos pueden utilizar un SGSI como marco estructurado para cumplir los requisitos del RGPD de forma sistemática y demostrable.

La ventaja decisiva de un SGSI frente a medidas aisladas es la capacidad de demostración y la sistematicidad. En lugar de reaccionar puntualmente ante incidentes de seguridad, un SGSI crea una base documentada sobre la que pueden superarse con garantías auditorías, certificaciones y requerimientos de las autoridades. Al mismo tiempo, ayuda a priorizar las medidas de seguridad de forma eficiente y a destinar los recursos allí donde el riesgo es mayor.

Un SGSI establece el marco organizativo dentro del cual medidas técnicas como la gestión y protección centralizada de dispositivos finales despliegan todo su efecto.