En un contexto en donde la información es uno de los activos más valiosos, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz es fundamental para garantizar la protección y disponibilidad de los datos. Incorporar esta herramienta alineada con la norma ISO/IEC 27001 fortalece la resiliencia organizacional ante amenazas como ciberataques, fallas técnicas o incidentes.
“Un SGSI real no se mide por su carpeta de políticas, sino por cómo logra mantenerse activo, útil y adaptativo en el día a día”, explicó Miguel Argüelles, Gerente de Arquitectura TI e Innovación Tecnológica, en su perfil de LinkedIn. Además, agregó: “La seguridad debe integrarse en cada decisión, proyecto o interacción que implique datos sensibles, tecnología o procesos clave”.
Además, un SGSI efectivo debe integrarse con el Plan de Continuidad del Negocio (BCP), para asegurar que la empresa pueda seguir operando ante cualquier crisis y, por ende, minimizar los impactos económicos y reputacionales.
Índice de temas
¿Qué es un SGSI y cómo se relaciona con la continuidad del negocio?
Un SGSI es un conjunto de políticas, procedimientos, herramientas y medidas organizativas orientadas a proteger los datos de una empresa o institución. Su objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información.
Esto implica no solo el uso de tecnologías como firewalls o cifrado, sino también la gestión de riesgos y el cumplimiento de normativas legales. Tal como destaca la Universidad Pontificia Comillas, un SGSI bien implementado también minimiza el riesgo legal y reputacional. Además, también reconoce que es esencial en sectores como el académico, empresarial o institucional.
La continuidad del negocio y su vínculo con SGSI
La continuidad del negocio se refiere a la capacidad de una organización para mantener sus operaciones y suministrar productos o servicios tras un incidente que pueda interrumpirlas. Esto no solo incluye los procesos productivos, sino también activos intangibles como la reputación, la marca y la confianza institucional.
Un SGSI eficaz forma parte integral del Sistema de Gestión de Continuidad del Negocio (BCMS), el cual se asegura que la información crítica y los sistemas tecnológicos estén protegidos ante amenazas que puedan impactar la operación.
Norma ISO 27001 y su integración con ISO 22301 para continuidad del negocio
ISO 27001 especifica un marco para implantar un SGSI que identifique amenazas, evalúe riesgos y establezca controles para proteger la información. Su aplicación ayuda a minimizar vulnerabilidades y preparar a la empresa para responder eficazmente ante incidentes relacionados con la seguridad.
La norma ISO 22301 y la continuidad del negocio
ISO 22301:2019 define los requisitos para un Sistema de Gestión de la Continuidad del Negocio (BCMS), orientado a planificar, implementar, supervisar y mejorar procesos que aseguren la operación ante cualquier crisis.
Esta norma contempla múltiples perturbaciones:
- Catástrofes naturales: terremotos, incendios, inundaciones.
- Emergencias sanitarias: pandemias, brotes epidemiológicos.
- Fallas operativas: averías, errores humanos.
- Amenazas externas: robos, sabotajes, ciberataques.
ISO 22301 está alineada con ISO 27001 para integrar la gestión de seguridad informática con la continuidad de las operaciones.
Normas complementarias
Además, existen otras normas que complementan y profundizan estos sistemas, como:
- ISO 22313: guía para implementar BCMS.
- ISO 22317: metodología para el Análisis de Impacto en el Negocio (BIA).
- ISO 22318: continuidad en la cadena de suministro.
Estas directrices conforman un ecosistema integral para proteger y asegurar la operación de las empresas.
Guía práctica para crear y mantener un Plan de Continuidad del Negocio alineado con SGSI
| Paso | Acción | Descripción |
|---|---|---|
| 1 | Análisis del contexto | Identifica lo esencial a proteger. |
| 2 | Compromiso directivo | Asegura liderazgo y recursos. |
| 3 | Áreas críticas | Detecta puntos sensibles. |
| 4 | Impacto en el negocio | Evalúa consecuencias clave. |
| 5 | Evaluación de riesgos | Define amenazas y respuestas. |
| 6 | Planes operativos | Diseña acciones específicas. |
| 7 | Comunicación en crisis | Establece canales claros. |
| 8 | Mejora continua | Ajusta con pruebas y auditorías. |
1. Análisis del contexto y definición del alcance
El primer paso para implementar un SGSI y un BCP es conocer los procesos críticos, recursos clave, canales de comunicación, las normas aplicables, clientes y proveedores de una empresa. Este análisis determina qué activos de información y procesos deben protegerse y qué riesgos son más relevantes.
2. Compromiso de la alta dirección y cultura organizacional
El éxito del SGSI y BCP depende del liderazgo, que debe asignar recursos adecuados, designar responsables claros y promover una cultura enfocada en la seguridad y la continuidad. Además, es fundamental que todo el personal conozca su rol y reciba capacitaciones periódicas.
3. Identificación de áreas vulnerables y funciones críticas
Luego de definir el alcance, se deben identificar y priorizar las áreas y funciones más susceptibles a interrupciones o ataques. Esto se debe hacer con el objetivo de focalizar esfuerzos y establecer controles eficaces.
4. Análisis de Impacto en el Negocio (BIA)
El BIA permite evaluar cómo diferentes incidentes pueden afectar la operación a lo largo del tiempo.
Estos parámetros orientan la planificación de recuperación y contingencia.:
- RTO (Recovery Time Objective): tiempo máximo tolerable de interrupción sin un daño considerable.
- RPO (Recovery Point Objective): cantidad máxima de datos que se puede perder sin afectar la operación.
5. Evaluación de riesgos y definición de controles
Se identifican las amenazas tecnológicas y operativas, que pueden ser desde un ransomware hasta un desastre natural, y se definen controles y protocolos para reducir la probabilidad y el impacto que puedan llegar a tener estos eventos.
6. Desarrollo de planes específicos y protocolos operativos
En línea con ISO 22301, en lugar de un plan único y extenso, se desarrollan varios planes operativos pequeños y específicos para cada tipo de contingencia. Esto facilitará la ejecución y la asignación de responsabilidades.
Un ejemplo de esto es el Plan de Continuidad de Operaciones del Estado de Michigan, que establece procedimientos específicos para garantizar la operación continua de los servicios gubernamentales mediante la aplicación de principios alineados con la norma ISO 22301 y recomendaciones de FEMA. Este enfoque puede ser adaptado por empresas privadas para diseñar planes eficaces.
7. Estrategias de comunicación en crisis
Se establecen canales y procedimientos claros para informar a empleados, clientes, proveedores y autoridades durante una crisis. Esto servirá para minimizar los rumores y daños reputacionales.
8. Pruebas, auditorías y mejora continua
Realizar simulacros y auditorías internas validan la eficacia del SGSI y BCP y, en base a esos análisis, se los podrá adaptar ante cambios tecnológicos y regulatorios.
Casos destacados
| Empresa | Año | País | Claves de implementación | Resultado principal |
|---|---|---|---|---|
| Tecnipesa | 2023 | España | Diagnóstico, políticas, auditorías y capacitación (con GISMA). | Certificación ISO 27001 y cultura de seguridad. |
| Grupo Tecon | 2024 | España | Renovación ISO 27001, ENS, EMMA, OpenNAC y refuerzo del blue team. | Mayor resiliencia ante ciberataques. |
| TCI | 2025 | Perú | Gestión de riesgos, controles, PDCA y auditorías internas. | Certificación ISO 27001 y SGSI robusto. |
TECNIPESA (2023)
En España, una de las experiencias más destacadas de 2023 fue la de Tecnipesa, una empresa de soluciones tecnológicas especializada en automatización industrial.
Acompañada por el grupo consultor GISMA, esta compañía implementó su SGSI en dos fases:
- La primera consistió en un diagnóstico inicial de madurez en ciberseguridad.
- La segunda, en la elaboración e implementación de políticas y procedimientos específicos, junto con auditorías internas y una estrategia de formación transversal para el personal.
Gracias a este proceso, la empresa pudo cumplir con los requisitos de la norma ISO/IEC 27001 y consolidó una cultura de protección de la información en todos los niveles.
Grupo Tecon (2024)
El Grupo Tecon, una compañía especializada en tecnologías de la información y ciberdefensa, renovó en 2024 su certificación ISO/IEC 27001. Lo hizo en conjunto con una estrategia integral de seguridad que incluyó la incorporación del esquema nacional de seguridad (ENS) nivel medio, el despliegue de herramientas como EMMA y OpenNAC, y el fortalecimiento de capacidades tanto en blue team como en auditoría de infraestructuras críticas.
Esta actualización mejoró su resiliencia operativa ante posibles ataques cibernéticos.
TCI (2025)
TCI (Transporte Confidencial de Información), una empresa peruana dedicada a soluciones de transferencia digital segura, logró en 2025 la certificación ISO/IEC 27001 tras implementar un SGSI basado en una gestión de riesgos robusta.
La empresa desarrolló inventarios detallados de activos, controles de acceso, procedimientos de respuesta a incidentes y un programa de capacitación. La implementación fue guiada por el ciclo de mejora continua PDCA (Plan-Do-Check-Act) y se reforzó mediante auditorías internas periódicas que permitieron ajustar procesos en tiempo real.
La integración entre SGSI, ciberseguridad y gestión de riesgos
Un SGSI sólido es la base para la gestión eficaz de la ciberseguridad. Protege las operaciones frente a amenazas digitales como ransomware, filtraciones o sabotajes. Incorporar el uso de este sistema con la gestión de riesgos y el Plan de Continuidad del Negocio garantiza que la empresa pueda anticipar, responder y recuperarse de incidentes diversos.
Recuperación ante Desastres (DR) como parte del SGSI y BCP
La Recuperación ante Desastres se enfoca en restaurar la infraestructura tecnológica tras incidentes graves.
Incluye métodos como:
- Copias de seguridad tradicionales y en la nube.
- Sitios fríos (infraestructura básica para activar en emergencias).
- Sitios calientes (réplicas en tiempo real).
- Servicios en la nube como DRaaS y BaaS.
- Virtualización para recuperación rápida.
Un plan de DR define objetivos claros:
- RPO: punto temporal hasta donde deben restaurarse los datos.
- RTO: tiempo máximo de inactividad tolerable.
Estos objetivos se integran al SGSI y BCMS para garantizar coherencia estratégica.
Adaptación según el tamaño y sector de la empresa
- Grandes empresas: cuentan con recursos para centros de datos espejo y sistemas redundantes que aseguran alta disponibilidad.
- PyMEs: pueden lograr resiliencia con soluciones cloud, automatización de respaldos y protocolos internos flexibles para optimizar los costos sin tener que sacrificar la seguridad.
Beneficios clave de un SGSI alineado con continuidad del negocio
- Mejora el cumplimiento normativo y la reputación corporativa.
- Minimiza interrupciones en servicios y producción.
- Acelera la recuperación ante incidentes.
- Fortalece la confianza de clientes, empleados e inversores.
- Optimiza procesos y reduce costos relacionados con emergencias.
Preguntas Frecuentes sobre SGSI
¿Qué es un SGSI y por qué es importante para las empresas?
Un SGSI (Sistema de Gestión de Seguridad de la Información) protege la confidencialidad, integridad y disponibilidad de la información crítica de una organización frente a amenazas internas y externas.
¿Qué relación hay entre un SGSI y la continuidad del negocio?
El SGSI forma parte del sistema que garantiza que, ante incidentes o crisis, la empresa pueda seguir operando sin interrupciones significativas.
¿Qué normas ISO son clave para SGSI y continuidad del negocio?
Las principales son ISO/IEC 27001 (seguridad de la información) e ISO 22301 (continuidad del negocio). Juntas ofrecen un marco robusto para gestionar riesgos y garantizar resiliencia.
¿Qué beneficios tiene implementar un SGSI certificado?
Mejora la protección ante ciberataques, fortalece la reputación corporativa, optimiza procesos, asegura cumplimiento normativo y minimiza riesgos económicos.
¿Una PyME puede implementar un SGSI?
Sí. Existen soluciones escalables que permiten a las PyMEs implementar SGSI con enfoque en la nube, automatización y formación del personal, adaptando los costos a sus capacidades.
¿Qué es el BIA y para qué sirve?
El Análisis de Impacto en el Negocio (BIA) identifica funciones críticas y evalúa el impacto de su interrupción, orientando así la planificación de recuperación y continuidad.
