Para implantar el SGSI se debe utilizar el Ciclo de Deming o PDCA (Plan, Do, Check, Act)

que hace referencia a la serie planea, implementa, comprueba y actúa. Se trata de un

sistema que está diseñado para implementar una mejora continua en la gestión y
ejecución de procesos.

¿Qué es el ciclo de Deming o PDCA? El ciclo de Deming es un método que las empresas
utilizan para mejorar sus procesos de forma continua, haciéndolos más eficaces y de
mayor calidad. En español se le conoce como el ciclo de Planificar, Hacer, Verificar y
Actuar.
El ciclo PDCA o Ciclo de Deming es una metodología de gestión que tiene como objetivo
la mejora constante de los procesos. Este ciclo consta de cuatro pasos: planificar (plan),
hacer (do), verificar (check) y actuar (act).
 ¿Para qué sirve un SGSI? Controles y fases
La seguridad es una de las preocupaciones de las empresas hoy en día, donde la
información se ha convertido en uno de sus principales activos.
Garantizar la privacidad e integridad de los datos que maneja un negocio le permite
ganar un mayor grado de confianza por parte de sus clientes a la vez que cumple con las
normativas legales en relación con la protección de datos. 
El sistema SGSI es una guía que permite a las empresas evaluar los riesgos y definir las
aplicaciones de control necesarias para poder eliminarlos o minimizar sus consecuencias
negativas.
Qué es SGSI 
El sistema de seguridad de la información o SGSI (Information Security
Management System) tiene como objetivo evaluar todos los riesgos asociados con los
datos e información que se manejan en una empresa. El SGSI es un elemento
fundamental de la norma internacional ISO 27001 (Sistemas de Gestión de la
Seguridad de la Información), que persigue asegurar la integridad y confidencialidad de
los datos y los sistemas encargados de procesarlos. 
Las empresas que obtienen el certificado ISO 27001 se diferencian por su tratamiento
seguro y preciso de todos los datos que manejan y garantizan que se utiliza un sistema
de seguridad de la información, que es un estándar a nivel internacional para proteger
la privacidad e integridad de la información. 
Para qué sirve SGSI 
El SGSI es un sistema de fácil implantación tanto para grandes empresas como para
pymes. Es una herramienta para conocer y gestionar los riesgos a los que se enfrenta el
negocio al manejar su información en el día a día. Al implementar SGSI se podrá eliminar
esos riesgos o establecer los mecanismos necesarios para mitigar sus consecuencias. 
Los principales beneficios que obtiene una empresa al implantar un sistema SGSI para la
seguridad de sus datos son: 
 Reducción de riesgos. Se identificarán los riesgos y amenazas gracias a controles,
protocolos, políticas y monitorización de procesos logrando reducir el número de
amenazas de forma notable. En caso de que se produzca un incidente relacionado con
 los datos, el negocio estará preparado para actuar de forma inmediata minimizando su
impacto. 
 Reducción de costes. Se optimizará todo el proceso para evaluar y detectar amenazas
descartando aquellos poco eficaces. Con un uso racional de los recursos se conseguirá
un ahorro de costes en seguridad. 
 Integración de la seguridad en el negocio. Este sistema requiere de la implicación de
todos los miembros de la empresa y del cambio de mentalidad, pasando a ser la
seguridad uno de los componentes más importantes en cualquier proceso o actividad
del negocio. 
 Cumplimiento de la normativa vigente en seguridad. Las leyes nacionales e
internacionales para el tratamiento y protección de datos estarán cubiertas garantizando
que se cumplen en todos los niveles o áreas de la empresa. 
 Incremento de la competitividad. Con este sistema se dispondrá de una prestigiosa
certificación ISO de seguridad que será un elemento diferenciador con la competencia.
Los clientes se sentirán más confiados y seguros de compartir sus datos personales,
bancarios, gustos, y similares al saber que la empresa utiliza las mejores prácticas para
garantizar que estén seguros. 
Cuáles son las características de SGSI 
Las tres características en las que se basa SGSI son la integridad, la confidencialidad y la
disponibilidad: 
Integridad 
La información siempre debe permanecer exacta e inalterable, así como los procesos
encargados de utilizarla. Bajo ninguna circunstancia los datos pueden modificarse ni
alterarse sin que la empresa lo autorice por alguna causa justificada. 
Confidencialidad 
Los datos que maneja la empresa son confidenciales y no pueden ser revelados a
terceros (otras empresas, entidades o personas). La información es propiedad de la
empresa y debe utilizarse única y exclusivamente por ella. 
Disponibilidad 
La disponibilidad puede parecer una característica opuesta a la confidencialidad. Sin
embargo, en un SGSI, la disponibilidad hace referencia a la posibilidad de que personas,
empresas o procesos autorizados puedan acceder a la información del negocio. 
Otras características 
El sistema SGSI también cuenta con otras características y elementos como la
definición de objetivos, la formación del personal en seguridad, el enfoque en los riesgos,
la necesidad del apoyo de la dirección de la empresa en materia de seguridad, o
el compromiso de una mejora continua del sistema.
Controles y fases SGSI 
Para implantar el SGSI se debe utilizar el Ciclo de Deming o PDCA (Plan,
Do, Check, Act) que hace referencia a la serie planea, implementa, comprueba y actúa.
Se trata de un sistema que está diseñado para implementar una mejora continua en la
gestión y ejecución de procesos. 
El conocido como Ciclo de Deming cuenta con las siguientes fases: 
 Planificar (Plan). En la fase inicial se realiza una evaluación de todos los riesgos y
amenazas sobre la información que se producen en las distintas áreas de la empresa.
Se deben establecer los controles oportunos para medir el nivel de riesgo de los datos
en su flujo interno y externo y definir las políticas necesarias para el cumplimiento de las
medidas de seguridad. 
 Hacer (Do). En esta fase se implementa la selección de controles adecuados para
medir los riesgos. En esta fase se pone en marcha el sistema SGSI para la detección y
evaluación de los riesgos y amenazas. 
 Comprobar (Check). En esta fase se debe evaluar y revisar la eficiencia y la eficacia.
Mediante KPI (métricas asociadas a objetivos) y el análisis de feedback se puede
determinar si se están alcanzando los objetivos fijados. Es la etapa donde se detectan
fallos o errores que deben ser corregidos. 
 Actuar (Act). En esta última fase se aplican las correcciones o cambios necesarios en el
sistema para sacar el máximo rendimiento y que fueron detectados en la fase anterior
de comprobación. 
Hay que tener en cuenta que el SGSI es un sistema dinámico que persigue una mejora
continua en la detección, evaluación y reducción de amenazas y riesgos de la
información. Por lo tanto, se trata de un ciclo que se repite, con cambios de planificación,
nuevas implementaciones en seguridad, monitoreo y control continuo, y aplicaciones y
ajustes constantes para alcanzar un alto nivel de seguridad de los datos de la empresa. 
Con la implementación de un sistema SGSI se consigue establecer una serie de
procesos y controles para mejorar y proteger el acceso a la información que se maneja
en el día a día de las empresas. 
Los riesgos a los que se enfrenta una organización en la actualidad son muy amplios y
peligrosos con ataques externos a sus servidores (como los de denegación de servicio) e
infecciones de malware (como los peligrosos ransomware o phishing).
Con un SGSI la empresa incrementará de forma notable su nivel de protección
reduciendo los riesgos de sufrir este tipo de ataques y estando preparada para minimizar
sus consecuencias en caso de que se produzcan.