👋 Agenda una reunión y empieza a habilitar nuevos negocios con tu ciberseguridad
Ingresa tu correo corporativo. Nuestras soluciones están diseñadas específicamente para empresas.

Al hacer clic en Enviar, aceptas que Delta Protect almacene y procese la información personal suministrada arriba de acuerdo a la política de privacidad establecida en el Aviso de Privacidad.

🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García
Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla
Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo
CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández
Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman
Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere
Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez
Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa
Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera
Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi
Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro
Head of Product - Arkángeles
-
14 min.

¿Qué es un SGSI?: Aprende cómo funciona y para qué sirve

Tabla de Contenidos
¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Cada día, la información digital se convierte, más y más, en uno de los principales activos para las empresas y organizaciones. Por lo tanto, la seguridad de dicha información se ha vuelto una prioridad. Se hace necesario entonces un sistema que permita mitigar al máximo posible todo este tipo de problemas imprevistos.

El SGSI hace exactamente esto. ¡Sigue leyendo y aprende más sobre este sistema de gestión de seguridad!

¿Qué es un SGSI?

Un Sistema de Gestión de la Seguridad de la Información (SGSI) (en inglés: Information Security Management System, ISMS) es un conjunto de políticas y procedimientos para la administración eficiente de la accesibilidad de la información en una empresa u organización. El término SGSI es muy utilizado por la ISO/IEC 27001. 

Un activo de información, en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”, ya que pueden ser amenazados, o encontrarse en peligro, debido a distintos incidentes de seguridad como ataques de cibercriminales a través de ransomware o phishing, errores causados por descuido o negligencia, fallas en los equipos electrónicos, e incluso desastres naturales.

Por ello, este sistema consiste en una serie de pasos en los cuales se analiza las distintas partes del funcionamiento de la empresa, se buscan posibles vulnerabilidades y luego éstas son revisadas y corregidas. Este es un proceso iterativo, haciendo así a la seguridad informática un proceso dinámico y continuo.

Es cierto que ninguna organización está exenta de sufrir alguna eventualidad que ponga en riesgo su información. Sin embargo, aquellas empresas que han implementado un SGSI se sienten más seguras que aquellas que no lo han hecho, ya que estas políticas y procedimientos están diseñados para maximizar la seguridad informática.

Norma ISO 27001 y SGSI

La Organización Internacional de Estandarización, o ISO por sus siglas en inglés, es una de las organizaciones más reconocidas en el mundo en cuanto a estándares internacionales se refiere. ISO posee un conjunto de normas, en distintas áreas de la tecnología, comercio e industria. Una de esas normas es la norma 27001, la cual hace referencia a las políticas y procedimientos de la seguridad informática.

El SGSI es el principal enfoque de la norma ISO/IEC 27001. Dicho enfoque ayuda a una organización o empresa a preservar tres componentes claves.

Componentes de un SGSI según la norma ISO 27001

Como mencionamos previamente, según la norma ISO 27001 existen tres componentes esenciales en un SGSI, los cuales son: Confidencialidad, Integridad y Disponibilidad.

Confidencialidad

Los datos o información que maneja la empresa deben ser confidenciales y, en general, no pueden ser accedidos por terceros para evitar riesgos de seguridad de la información, por lo que éstos solo deben ser manejados por la empresa.

Es posible que algunos datos sean compartidos con terceros, siempre y cuando la empresa u organización tenga conciencia plena de esto y esté atenta a los niveles de riesgo. Sin la autorización correspondiente, no se debería poder acceder a estos datos.

Integridad

La integridad de la información se refiere a que los datos que utiliza la empresa, y los procesos autorizados por los cuales se maneja la información, deben permanecer inalterables. Solo en el caso en que la empresa, de manera justificada, realice alguna modificación, sería aceptable.

Disponibilidad

La disponibilidad se refiere al acceso que podrían tener otras entidades a la información de la organización, siempre y cuando la organización lo autorice. Es por esto que este punto no es contrario a la confidencialidad. 

Los datos en general no serán revelados a cualquier entidad, pero pueden ser compartidos estratégicamente luego de pasar por controles adecuados, si la organización así lo desea.

¿Para qué sirve un SGSI?

El SGSI permite el conocimiento y manejo de riesgos de un negocio en la industria tecnológica. Esto naturalmente trae muchos beneficios, algunos de los cuales te mencionamos a continuación:

Genera mayor confianza 

Los clientes y los socios de la organización se sienten más seguros al tener un SGSI implementado. Llevar a cabo un sistema de gestión de riesgos garantiza que los activos de información estén más seguros, lo cual hace que aumente la confianza de las partes interesadas.

Garantiza la continuidad del negocio 

Al tener planes de respaldo para las distintas eventualidades se garantiza la continuidad del servicio a pesar de las dificultades. Uno de los mayores beneficios de un SGSI es asegurar que los sistemas y servicios sigan funcionando a pesar de las posibles eventualidades.

Reduce los costos 

Al ser precavidos, se disminuye el impacto económico que puede traer algún problema a futuro, ya que se minimizan las posibles pérdidas causadas por algún problema de seguridad. Además, se optimizan varios procesos lo cual traerá también un ahorro de costos.

Garantiza la mejora de los procesos y el servicio 

Al ser una gestión estructurada y organizada, los métodos de proceso y servicios se mejoran y optimizan para su máximo rendimiento. Esto asegura que dichos procesos sean lo más eficientes posibles, lo cual es beneficioso para cualquier empresa u organización.

Los riesgos son revisados continuamente 

La seguridad se maneja de manera dinámica, siempre actualizando los sistemas y controles de seguridad correspondientes a las nuevas amenazas emergentes. 

Esto hace que la organización mantenga un sistema de seguridad de la información a la vanguardia, lo que permite una mejora continua a la hora de gestionar su plan de tratamiento de riesgos.

Facilita la integración con otros sistemas de gestión 

Existen diversos sistemas de gestión, los cuales pueden ser utilizados simultáneamente para un mayor beneficio de la empresa. Implementar un SGSI facilita la adopción de estos otros sistemas de gestión.

Mejora la imagen de la organización 

Tanto a nivel nacional como internacional, contar con un SGSI mejora automáticamente la percepción interna y externa de la organización. Esto le da tranquilidad y confianza a todos los involucrados.

Reduce el riesgo de pérdidas 

La probabilidad de robo o pérdida de información se minimiza lo más posible si se cuenta con una gestión de seguridad. Al tener los sistemas actualizados, implementar medidas de seguridad y estar en constante proceso de revisión, la probabilidad de un daño es mínima.

Cumplimiento de las normativas de seguridad 

Otra de las ventajas de contar con un SGSI es que asegura que las normas de seguridad establecidas estén aplicadas en el marco legal adecuado y actualizado. 

Las leyes nacionales e internacionales siempre van cambiando respecto al tema de ciberseguridad, ya que constantemente surgen nuevas amenazas. El sistema de gestión ayuda cumplir los objetivos de seguridad y a mantenerse modernizado en este importante aspecto.

Controles y fases SGSI

Implementar un SGSI en tu organización o empresa se puede hacer, a grandes rasgos, utilizando el ciclo de Deming o ciclo PDCA, el cual debe su nombre a Plan, Do, Check, Act, lo que se traduce como Planificar, Hacer, Comprobar y Actuar, respectivamente.

Te explicamos cada fase a continuación:

Plan (Planificar)

En esta fase inicial se hace una evaluación de todos los posibles riesgos y amenazas que pudiesen poner en peligro la información relevante de tu empresa, teniendo en cuenta el alcance del SGSI. Se establecen además las políticas, objetivos y procesos de seguridad que vayan a garantizar la seguridad de la información. 

Finalmente se establecen los roles, y sus responsabilidades correspondientes, de todos los participantes del proyecto.

Do (Hacer)

En esta segunda fase se empieza a implementar y gestionar el SGSI establecido. Los procesos y procedimientos utilizados se aplican de acuerdo a las políticas de seguridad previamente decretadas. 

Es recomendable realizar este paso primeramente en un entorno de prueba. Luego de que se haya pasado dicha prueba se puede proceder a la implementación real.

Check (Comprobar)

En esta fase se hace un proceso de verificación de los resultados obtenidos en fases anteriores. Se monitorea y revisa los procedimientos de todas las partes que conforman el SGSI y se verifica que todos estén cumpliendo lo debido. 

Luego de haber recopilado todos estos datos, se comprueba la efectividad del sistema de gestión. Es importante recalcar que estas revisiones deben hacerse de manera periódica, no basta con hacerlas sólo una vez.

Act (Actuar)

En esta última fase procedemos a tomar acciones correctivas sobre cualquier parte del proceso que no haya salido como era esperado. Se busca mejorar cualquier aspecto del SGSI una vez que se hayan tomado en cuenta las primeras tres fases. También se llevarán a cabo acciones preventivas que permitan asegurar el funcionamiento continuo del plan de gestión.

Como todo ciclo de vida de un proceso, el ciclo PDCA debe ser repetido tantas veces como sea necesario para llegar a un óptimo funcionamiento. A través del ensayo y error se va perfeccionando el sistema de gestión.

Sin embargo, aunque este ciclo es una representación o esquema general a seguir, los pasos a seguir son en realidad un poco más detallados. Entre los principales se encuentran:

•    Ver el alcance del SGSI.

•    Establecer las políticas del SGSI.

•    Hacer una evaluación de riesgos.

•    Realizar una declaración de aplicabilidad.

•    Planificar un tratamiento de riesgos.

•    Redactar los objetivos y planes.

•    Establecer las competencias necesarias.

•    Planificar el control operacional y métricas.

•    Realizar auditorías internas y revisión de la dirección.

•    Verificar las no conformidades y realizar acciones correctivas.

Aquí puedes encontrar la información mínima necesaria que debes tener documentada en tu propia organización u empresa para implementar un SGSI, según la norma internacional ISO/IEC 27001.

¿Cómo implementar un SGSI?

En la sección anterior vimos que la implementación de un SGSI conlleva un gran número de pasos. La verdad es que la implementación real es un poco más compleja, ya que la ISO requiere de manera bastante formal que se cumplan ciertos pasos específicos y se tenga la documentación adecuada. 

La ISO, como organización, no realiza la implementación del SGSI. Ésta se hace a través de entes de certificación ISO, quienes revisarán que el SGSI cumpla con los documentos esenciales para así proceder a la certificación.

¿Cómo obtener el cumplimiento de la norma ISO 27001?

En Delta Protect buscamos siempre simplificar la ciberseguridad de tu organización o empresa. Es por esto que te ofrecemos CISO as a service, uno de los complementos de Apolo, para ayudarte con el cumplimiento de la norma ISO 27001 y otras certificaciones de seguridad informática que puedas necesitar. Nuestros expertos cuentan con toda la experiencia necesaria para ayudarte en este proceso.

No olvides que en Delta Protect contamos con la experiencia y herramientas necesarias para simplificar la ciberseguridad y cumplimiento. Visita nuestro sitio web para conocernos un poco más.

Escrito por:
Jorge García Martinez
Head of Security & Compliance

Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.

👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.