ISMS Sistema de Gestión de Seguridad de la Información.

Un ISMS es el sistema documentado que se opera para proteger los activos de información: basado en riesgos, respaldado por evidencias y sometido a revisión por la dirección. No es un archivador de políticas. Los auditores no evalúan las políticas; evalúan las evidencias operativas. Ciclo Plan-Do-Check-Act, certificado bajo ISO 27001, con el SoA como artefacto central.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

La perspectiva de Cyber Academy

Un ISMS es el sistema documentado que se opera para proteger los activos de información: basado en riesgos, respaldado por evidencias y sometido a revisión por la dirección. No es un archivador de políticas. Los auditores no evalúan las políticas; evalúan las evidencias operativas. Ciclo Plan-Do-Check-Act, certificado bajo ISO 27001, con el SoA como artefacto central.

Qué es realmente un SGSI

Un sistema de gestión de seguridad de la información es el sistema operativo que pone en marcha para proteger los activos de información de forma deliberada y repetible. La palabra que más importa es «sistema». No son las herramientas de seguridad, ni una carpeta de políticas aprobadas guardada en una unidad compartida. Es el conjunto de procesos, roles, decisiones y registros mediante el cual una organización identifica qué información debe proteger, decide cuánto riesgo está dispuesta a aceptar, elige controles para tratar ese riesgo y luego demuestra que esos controles funcionan realmente con el tiempo. Una política dice lo que debería ocurrir. Un SGSI es la maquinaria que hace que ocurra y que genera la evidencia de que así fue.

Sus características definitorias son que se basa en el riesgo y se sustenta en evidencia, y que opera bajo revisión por la dirección. Basarse en el riesgo significa que los controles no se eligen de una lista de deseos, sino que se justifican mediante una evaluación documentada de las amenazas a activos concretos. Sustentarse en evidencia significa que cada control tiene artefactos que lo respaldan: revisiones de acceso que se realizaron, registros que se monitorizaron, incidentes que se gestionaron, formación que se impartió. La revisión por la dirección significa que el liderazgo es propietario del sistema, fija sus objetivos e inspecciona periódicamente si se están cumpliendo. Quite cualquiera de esos tres elementos y tendrá un programa de seguridad, no un sistema de gestión.

Por qué los auditores califican la evidencia, no las políticas

Un malentendido común y costoso es creer que la certificación consiste en tener buena documentación. No es así. Un auditor de certificación da por sentado que usted sabe redactar una política de control de acceso competente. Lo que va a verificar es si su realidad operativa coincide con lo que afirman sus documentos. Pedirá ver la última revisión de acceso y comprobará que efectivamente se completó, tomará una muestra de tickets para confirmar que los cambios se autorizaron, y trazará un incidente desde su detección hasta las lecciones aprendidas. Las políticas bonitas sin ninguna evidencia operativa detrás suspenden las auditorías. Por eso los profesionales describen el SGSI como algo que se pone en marcha, no algo que se redacta.

Plan-Do-Check-Act: cómo se mantiene vivo el sistema

Un SGSI está concebido para mejorar de forma continua en lugar de perfeccionarse una sola vez. La mayoría de las implementaciones siguen el ciclo Plan-Do-Check-Act, que mantiene honesto al sistema:

  1. Plan: establecer el alcance, evaluar los riesgos, fijar los objetivos de seguridad y seleccionar los controles para tratar los riesgos que ha identificado.
  2. Do: implementar y operar esos controles y los procesos de apoyo en el día a día.
  3. Check: monitorizar, medir, auditar internamente y realizar revisiones por la dirección para ver si los controles funcionan y si se están cumpliendo los objetivos.
  4. Act: corregir lo que falla, abordar las causas raíz de las no conformidades y retroalimentar las mejoras en el siguiente ciclo.

Ese bucle es lo que separa un SGSI vivo de un esfuerzo de cumplimiento puntual. Un registro de riesgos revisado una vez al año y nunca vuelto a tocar no es un SGSI en ningún sentido útil, aunque en algún momento produjera un certificado.

Dónde se sitúa entre conceptos vecinos

El SGSI es el marco, certificado conforme a la ISO/IEC 27001, la norma internacional que especifica los requisitos que debe cumplir un sistema de gestión. La ISO/IEC 27001 es la norma de requisitos certificable; guías complementarias como la ISO/IEC 27005 apoyan el trabajo de evaluación y tratamiento de riesgos que la alimenta. A menudo se confunde el SGSI con los controles que contiene, pero los controles son entradas que el sistema selecciona y opera. No son el sistema. La disciplina del SGSI consiste precisamente en que obliga a remitir cada control a un riesgo y cada riesgo a una decisión documentada tomada por personas que son responsables de ella.

Frequently asked questions

01¿Es un SGSI lo mismo que la ISO 27001?

No exactamente. Un SGSI es el sistema de gestión en sí: los procesos y la evidencia que pone en marcha para proteger la información. La ISO/IEC 27001 es la norma que especifica qué debe contener un sistema así, y el marco frente al cual un SGSI puede certificarse. Puede operar un SGSI sin certificarlo, pero la certificación significa que un organismo acreditado ha auditado el suyo frente a la ISO 27001.

02¿Qué es la declaración de aplicabilidad y por qué importa tanto?

La declaración de aplicabilidad, o SoA, es el documento que enumera cada control de referencia, indica si aplica a su organización y justifica cada decisión frente a su evaluación de riesgos. Es el artefacto central de un SGSI porque vincula sus riesgos con sus controles, y los auditores lo utilizan como mapa de todo lo demás que inspeccionan.

03¿Necesitamos todos los controles para certificarnos?

No. Los controles se seleccionan en función de su evaluación de riesgos, y se permiten exclusiones siempre que estén justificadas en la declaración de aplicabilidad y no menoscaben su capacidad de gestionar los riesgos dentro del alcance. La cuestión es una selección defendible y basada en el riesgo, no la cobertura máxima por sí misma.

04¿Cuánto se tarda en implantar un SGSI?

Varía mucho según el alcance, el tamaño de la organización y cuán maduras sean ya las prácticas de seguridad existentes. La mayor limitación suele ser la evidencia: un SGSI necesita controles que lleven operando el tiempo suficiente para producir registros que un auditor pueda muestrear, de modo que incluso una organización bien preparada necesita un periodo de operación antes de que una auditoría de certificación tenga sentido.

05¿Quién es el propietario del SGSI dentro de la organización?

La responsabilidad recae en la alta dirección, que debe demostrar liderazgo, fijar objetivos y llevar a cabo revisiones por la dirección. La coordinación cotidiana suele estar a cargo de un responsable de seguridad de la información o un rol equivalente, pero la propiedad no puede delegarse fuera del liderazgo sin romper el requisito de revisión por la dirección que está en el centro de la norma.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.