4 pasos para implementar un Sistema de Seguridad de Información

4 pasos para implementar un Sistema de Seguridad de Información

A través del proceso cíclico PHVA, una organización puede implementar y gestionar un Sistema de Gestión de Seguridad de la Información. Al hacerlo, protegerá la información más importante que posee.

Por: Conexión Esan el 04 Febrero 2019

Compartir en: FACEBOOK LINKEDIN TWITTER WHATSAPP

Toda empresa cuenta con información relevante que debe resguardar frente a distintas amenazas, tanto internas como externas, para garantizar el crecimiento del negocio. Para ello, las compañías pueden apoyarse en un Sistema de Gestión de Seguridad de la Información (SGSI), mediante el cual logran proteger los datos imprescindibles. Este sistema está basado en tres dimensiones fundamentales, las cuales son:

  • Confidencialidad. Consiste en no dar acceso a la información a individuos, entidades o procesos no autorizados.
  • Integridad. Es decir, la conservación de la completitud y exactitud de la información y sus métodos de proceso.
  • Disponibilidad. Individuos, entidades o grupos autorizados tienen acceso a la información y a sus sistemas de tratamiento cuando lo requieran.

Ninguna organización puede garantizar un nivel de protección absoluto. Sin embargo, con un Sistema de Gestión de Seguridad de la Información, conseguirá que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados.

¿Cómo poner en práctica el SGSI?

En 1986, el estadístico y académico William Edwards Deming dio a conocer una estrategia de mejora continua que se puede aplicar tanto para establecer como para gestionar un SGSI. Se trata de un proceso cíclico denominado PHVA: planificar, hacer, verificar y actuar.

1. Planificar. En esta etapa se deben cumplir las siguientes acciones:

  • Determinar el alcance del SGSI en términos del negocio, la empresa, su localización, activos y tecnologías.
  • Fijar una política de seguridad.
  • Identificar, analizar y evaluar los riesgos.
  • Evaluar alternativas de tratamiento de riesgos para aplicar controles adecuados.
  • Definir una declaración de aplicabilidad que incluya los objetivos de los controles mencionados.

2. Hacer. En esta fase, se realiza la implementación del Sistema de Gestión de Seguridad de la Información. Para lo cual, se deben tomar decisiones como: 

  • Establecer e implantar un plan de tratamiento de riesgos.
  • Implementar los controles anteriormente seleccionados.
  • Definir un sistema de métricas para medir la eficacia de los controles.
  • Implantar procedimientos para detectar y resolver los incidentes de seguridad.

3. Verificar. Abarca las tareas para la monitorización del SGSI, las cuales son: 

  • Revisar regularmente la efectividad del sistema.
  • Medir la efectividad de los controles planteados.
  • Actualizar los planes de seguridad.
  • Revisar las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables.
  • Realizar periódicamente auditorías internas del SGSI.

4. Actuar. Las acciones que se desarrollan en esta fase deben darse regularmente. De lo contrario, los resultados no serán favorables. Deming nombra las siguientes: 

  • Instaurar las mejoras a identificar en el SGSI.
  • Comunicar las mejoras a todas las partes interesadas con detalles y precisión.
  • Garantizar que las mejoras implantadas logren los objetivos previstos.

La implementación de un Sistema de Gestión de Seguridad de la Información es una acción que debe realizarse de forma estratégica. Asimismo, requiere de la participación de toda la organización, incluyendo el respaldo y conducción de la dirección.

Si quieres saber más sobre este tema, participa en el curso Gerencia en seguridad de información del PEE en ESAN.

También puedes leer:

Fuentes:

ISO 27000.ES. Sistema de Gestión de la Seguridad de la Información.

Oficina Nacional de Gobierno Electrónico e Informática. Taller de implementación de la norma ISO 27001.

Colegio Oficial Ingenieros de Telecomunicación. Guía de iniciación a actividad profesional implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001.

Conexión Esan

Portal de negocios de ESAN Graduate School of Business. Desde el 2010 difunde contenido de libre acceso (artículos, infografías, podcast, videos y más) elaborado por los más destacados especialistas. Encuentra contenido en más de 15 áreas y sectores como Administración, B2B, Derecho Corporativo, Finanzas, Gestión de Proyectos, Gestión de Personas, Gestión Pública, Logística, Marketing, Minería, TI y más. ¡Conéctate con los expertos de ESAN y aumenta tu conocimiento en los negocios!

Otros artículos del autor

Profesor Nestor U. Salcedo participa en paper que redefine las competencias del liderazgo empresarial

30 Junio 2026

En un entorno marcado por la transformación digital, la inteligencia artificial y el trabajo híbrido, las organizaciones necesitan líderes capaces de integrar personas, tecnología y estrategia. Así lo sostiene el paper Human, Technical and Conceptual Skills among Colombian Managers: Revisiting Katz’s Model from a Workplace Learning Perspective, publicado en el Journal of Workplace Learning, en cuya elaboración participó Nestor U. Salcedo, profesor de ESAN Graduate School of Business.

  • Sala de prensa
  • Notas de prensa

Redinter y ESAN University reivindican el papel central de Iberoamérica en la transición energética y la sostenibilidad mundial

30 Junio 2026

Redinter y ESAN University celebraron la II Jornada de Sostenibilidad y Energía en Iberoamérica: acción hacia la Transición, en la que abordaron cambios para promover esta transformación. Expertos nacionales e internacionales analizaron los desafíos climáticos para las infraestructuras, las finanzas sostenibles y el impacto de la IA en el sector, entre otros temas.

  • Actualidad
  • Conexión Empresarial

Pluriempleo: oportunidades y desafíos del trabajador multitarea

30 Junio 2026

El pluriempleo viene ganando terreno como una alternativa para complementar ingresos, desarrollar nuevas competencias y responder a un mercado laboral cada vez más flexible. Sin embargo, esta modalidad también plantea desafíos relacionados con el bienestar de los trabajadores, los conflictos de interés, el rendimiento laboral y las políticas de las organizaciones.
Enrique Louffat, profesor principal en los Programas en Administración del MBA, Maestrías Especializadas y de Educación Ejecutiva de ESAN, analiza en Gestión las oportunidades y los retos que el pluriempleo representa tanto para los profesionales como para las empresas.

  • Sala de prensa
  • ESAN en los medios