Para

establecer y gestionar un SGSI se utiliza el

ciclo continuo PDCA.

El ciclo PDCA, tambin conocido como Crculo de

Deming*, es una estrategia de mejora continua de
la calidad en cuatro pasos (Walter A. Shewhart*),
tradicional en los sistemas de gestin de calidad

*: W. Edwards Deming, padre del concepto Calidad Total

**: Padre del control estadstico de la calidad

El

ciclo PDCA tambin es conocido como espiral de

mejora continua.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.
Check (verificar): control y seguimiento del SGSI.
Act (actuar): mantener y mejorar el SGSI.

Definir

el alcance del SGSI en trminos del

negocio, la organizacin, su localizacin,
activos y tecnologas, incluyendo detalles y
justificacin de cualquier exclusin.

Definir una poltica de seguridad que:

incluya el marco general y los objetivos de seguridad de la

informacin de la organizacin;
considere requerimientos legales o contractuales relativos a la
seguridad de la informacin;
est alineada con el contexto estratgico de gestin de riesgos
(GPTI) de la organizacin en el que se establecer y mantendr el
SGSI;
establezca los criterios con los que se va a evaluar el riesgo
(relativos a la seguridad); mtricas cuantitativas o cualitativas;
establezca los procesos a seguir si un riesgo ocurre.
est aprobada por la direccin.
Establezca los sistemas de comunicacin para las polticas se
difundan en la organizacin y as sean conocidas por todos.

Definir una metodologa de evaluacin del riesgo alineada a los

requerimientos del negocio, que establezca los criterios de aceptacin del
riesgo y especifique los niveles de riesgo aceptable para el SGSI. Lo
resultados de la metodologa adoptada, que puede ser estndar o propia,
deben ser comparables y repetibles.

Identificar los riesgos:

identificar los activos junto con sus responsables
directos que estn dentro del alcance del SGSI;
identificar las amenazas a los activos;
identificar las vulnerabilidades que puedan ser
aprovechadas por dichas amenazas;
identificar los impactos en la confidencialidad,
integridad y disponibilidad de los activos.

Analizar y evaluar los riesgos:

evaluar el impacto en el negocio en relacin a la
prdida de confidencialidad, integridad o
disponibilidad de un activo de informacin;
Estimar y evaluar la probabilidad de ocurrencia de
un fallo de seguridad en relacin a las amenazas,
vulnerabilidades, impactos en los activos y los
controles que ya estn implementados;
estimar los niveles de riesgo;
determinar, segn los criterios de aceptacin de
riesgo previamente establecidos, si el riesgo es
aceptable o necesita ser tratado.

Identificar
y
evaluar
las
distintas
opciones
de tratamiento de los riesgos para:
aplicar controles adecuados;
aceptar el riesgo, siempre y cuando se siga
cumpliendo con las polticas y criterios
establecidos para la aceptacin de los riesgos;
Evitar y/o mitigar el riesgo, por ejemplo, no
realizar la actividad que genera el riesgo
transferir el riesgo a terceros, por ejemplo,
transferir el riesgo a compaas aseguradoras o
proveedores de outsourcing.

Seleccionar
los
objetivos
de
control
y
los controles del para el tratamiento del riesgo que
cumplan con los requerimientos identificados en el
proceso de evaluacin del riesgo.

Aprobar por parte de la direccin tanto los riesgos

residuales como la implantacin y uso del SGSI.

Definir una declaracin de aplicabilidad que incluya:

los objetivos de control y controles seleccionados
y los motivos para su eleccin;
los
objetivos de control y controles que
actualmente ya estn implantados;
los objetivos de control, controles y los motivos
para su exclusin; este es un mecanismo que
permite, adems, detectar posibles omisiones
involuntarias.

Definir un plan de tratamiento de riesgos que

identifique las acciones, recursos, responsabilidades
y prioridades en la gestin de los riesgos de
seguridad de la informacin.

Implantar el plan de tratamiento de riesgos, para

alcanzar los objetivos de control identificados,
incluyendo
la
asignacin
de
recursos,
responsabilidades y prioridades.

Implementar los controles seleccionados que lleven

a cumplir los objetivos de control.

Definir mtricas que permita obtener resultados

reproducibles y comparables para medir la eficacia
de los controles o grupos de controles.

Establecer plan de comunicacin y programas

de formacin y concienciacin en relacin a la
seguridad de la informacin a todo el personal.

Gestionar las operaciones del SGSI.

Gestionar los recursos necesarios asignados al SGSI

para el mantenimiento y mejora continua de la
seguridad de la informacin.

Implantar procedimientos y controles que permitan

una rpida deteccin y respuesta a los incidentes de
seguridad.

Ejecutar procedimientos de monitorizacin y revisin para:

detectar a tiempo los errores en los resultados generados
por el procesamiento de la informacin (uso de mtricas);
identificar brechas e incidentes de seguridad;
ayudar a la direccin a determinar si las actividades
desarrolladas por las personas y dispositivos tecnolgicos
para garantizar la seguridad de la informacin se
desarrollan en relacin a lo previsto;
detectar y prevenir eventos e incidentes de seguridad
mediante el uso de indicadores;
determinar si las acciones realizadas para resolver brechas
de seguridad fueron efectivas.

Revisar regularmente la efectividad del SGSI,

atendiendo al cumplimiento de la poltica y objetivos
del SGSI, los resultados de auditoras de seguridad,
incidentes, resultados de las mediciones de eficacia,
sugerencias y observaciones de todas las partes
implicadas.

Medir la efectividad de los controles para verificar

que se cumple con los requisitos de seguridad.

Revisar regularmente en intervalos planificados las

evaluaciones de riesgo, los riesgos residuales y sus
niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la
organizacin, la tecnologa, los objetivos y procesos
de negocio, las amenazas identificadas, la
efectividad de los controles implementados y el
entorno
exterior
-requerimientos
legales,
obligaciones contractuales, etc.-.

Realizar peridicamente auditoras internas del SGSI en

intervalos planificados.

Revisar el SGSI por parte de la direccin peridicamente para

garantizar que el alcance definido sigue siendo el adecuado y
que las mejoras en el proceso del SGSI son evidentes.

Actualizar los planes de seguridad en funcin de las

conclusiones y nuevos hallazgos encontrados durante las
actividades de monitorizacin y revisin.

Registrar acciones y eventos que puedan haber impactado

sobre la efectividad o el rendimiento del SGSI.

Implantar en el SGSI las mejoras identificadas.

Realizar las acciones preventivas y correctivas adecuadas en

relacin a las lecciones aprendidas de las experiencias propias y
de otras organizaciones.

Comunicar las acciones y mejoras a todas las partes

interesadas con el nivel de detalle adecuado y acordar, si es
pertinente, la forma de proceder.

Asegurarse que las mejoras introducidas alcanzan los objetivos

previstos.

PDCA es un ciclo de vida continuo, lo cual

quiere decir que la fase de Actuar lleva de
nuevo a la fase de Plan para iniciar un nuevo
ciclo de las cuatro fases.

Sin embargo no tiene que haber una secuencia

estricta de las fases.

El xito de un Sistema de Gestin de Seguridad

depende del grado de involucramiento de la gerencia
o direccin de la organizacin.
Desde un principio el SGSI afecta a la gestin del
negocio y requiere, por tanto, de decisiones y
acciones que slo puede tomar la gerencia de la
organizacin.
No se debe caer en el error de considerar un SGSI
una mera cuestin tcnica o tecnolgica relegada a
niveles inferiores del organigrama.

El trmino Direccin debe contemplarse

siempre desde el punto de vista del alcance
del SGSI. Es decir, se refiere al nivel ms alto
de gerencia de la parte de la organizacin
afectada por el SGSI

NOTA: El alcance no tiene por qu ser toda

la organizacin.

La direccin de la organizacin debe comprometerse

con el establecimiento, implementacin, operacin,
monitorizacin, revisin, mantenimiento y mejora del
SGSI.
Para ello, debe tomar las siguientes iniciativas (1):
Establecer una poltica de seguridad de la
informacin.
Asegurarse de que se establecen objetivos y
planes del SGSI.
Establecer roles y responsabilidades de seguridad
de la informacin.

DEFINICION DE PROBLEMAS:
-

7 sombreros
Diagrama de ishikawa (cola de pez)
Mapas mentales.

Para ello, debe tomar las siguientes iniciativas (2):

Comunicar a la organizacin tanto la importancia de lograr
los objetivos de seguridad de la informacin y de cumplir
con la poltica de seguridad, como sus responsabilidades
legales y la necesidad de mejora continua.
Asignar suficientes recursos para llevar a cabo todas las
fases que comprenden al SGSI.
Decidir los criterios de aceptacin de riesgos y sus
correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI.

Para el correcto desarrollo de todas las actividades

relacionadas con el SGSI, es imprescindible la
asignacin de recursos.

Es responsabilidad de la direccin garantizar que se

asignan los suficientes para (1):
Establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar el SGSI.
Garantizar que los procedimientos de seguridad
de la informacin apoyan los requerimientos de
negocio.

Es responsabilidad de la direccin garantizar que se

asignan los suficientes para (2):
Identificar y tratar todos los requerimientos legales y
normativos, as como las obligaciones contractuales de
seguridad.
Aplicar
correctamente
todos
los
controles
implementados, manteniendo de esa forma la
seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar
adecuadamente segn los resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.

La formacin y la concienciacin son elementos bsicos

para el xito de un SGSI.

Por ello, la direccin debe asegurar que todo el personal

de la organizacin al que se le asignen responsabilidades
definidas en el SGSI est suficientemente capacitado.

Para cumplir con lo anterior expuesto se deber (1):

Determinar las competencias necesarias para el
personal involucrado en aplicacin del SGSI.

Para cumplir con lo anterior expuesto se deber (2):

Satisfacer dichas necesidades por medio de formacin o de
otras acciones como, contratacin de personal ya formado y
que sirva de apoyo al SGSI.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades,
experiencia y cualificacin.
La direccin debe asegurar que todo el personal relevante
est concienciado de la importancia de sus actividades de
seguridad de la informacin y de cmo contribuye a la
consecucin de los objetivos del SGSI (y por qu no de los
castigos derivados del incumplimiento de las actividades
asignadas).

La gerencia debe revisar cada cierto tiempo el SGSI.

Este tiempo depende de las polticas establecidas en
el plan de mejora continua.

De esta forma la gerencia asegura que el SGSI sigue

siendo eficaz y el adecuado para la organizacin.

Para esto, la gerencia debe recibir una serie de

informaciones, que le ayuden a tomar decisiones,
entre las que se pueden enumerar:

Resultados de auditoras y revisiones del SGSI.

Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser
tiles para mejorar el rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y
correctivas.
Vulnerabilidades o amenazas que no fueran tratadas
adecuadamente en evaluaciones de riesgos anteriores.
Resultados de las mediciones de eficacia.
Estado de las acciones iniciadas a raz de revisiones
anteriores de la direccin.
Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.

Basndose en todas estas informaciones, la direccin debe revisar

el SGSI y tomar decisiones y acciones relativas a:
Mejora de la eficacia del SGSI.
Actualizacin de la evaluacin de riesgos y del plan de
tratamiento de riesgos.
Modificacin de los procedimientos y controles que afecten
a la seguridad de la informacin, en respuesta a cambios
internos o externos en los requisitos de negocio,
requerimientos de seguridad, procesos de negocio, marco
legal, obligaciones contractuales, niveles de riesgo y
criterios de aceptacin de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.

Un SGSI es un sistema de gestin, es decir, una

herramienta de la que dispone la gerencia para
dirigir y controlar un determinado mbito.
La gestin de las actividades de las organizaciones
se realiza segn sistemas de gestin basados en
estndares internacionales (para compararse):
se gestiona la calidad segn ISO 9001
el impacto medio-ambiental segn ISO 14001
la prevencin de riesgos laborales segn OHSAS
18001
Ahora, se aade ISO 27001 como estndar de
gestin de seguridad de la informacin.

Las empresas tienen la posibilidad de implantar un

nmero variable de estos sistemas de gestin para
mejorar la organizacin y beneficios sin imponer una
carga a la organizacin.

El objetivo ltimo debera ser llegar a un nico

sistema de gestin (integracin de SG) que
contemple todos los aspectos necesarios para la
organizacin, basndose en el ciclo PDCA de mejora
continua comn a todos estos estndares.

Para la integracin de sistemas se utilizan las PAS (Publicly

Available Specification: Especificacin Disponible al Pblico).
Para la integracin de sistemas de gestin se utiliza PAS 99.
Las normas que se pueden utilizar para esta especificacin son:
Un sistema de gestin integrada tpico puede incluir:
ISO 9001 Gestin de la calidad
ISO 14001 Gestin medioambiental
OHSAS 18001 Salud y seguridad en el trabajo
ISO/IEC 27001 Seguridad de la informacin
ISO 22000 Inocuidad de los alimentos seguridad
alimentaria
ISO/IEC 20000 Gestin de servicios de TI

Sin embargo, recordar que cada pas adeca los

estndares para la realidad del pas. As se generan
las NTX NUMERO, las Normas Tcnicas del pas
involucrado.

De estas Especificaciones Disponibles para el Pblico

podemos concluir que los diferentes sistemas de
gestin deben tener un alto porcentaje de
correspondencia para poder ser integrado y no
provean un gran impacto en la organizacin.