BRIEFING DE SEGURIDAD · 16.07.2026 DEENFRES

Glosario de seguridad

¿Que es la proteccion basica de TI? El modelo aleman para un SGSI

Por Alec Chizhik · 11 de julio de 2026 · 7 min de lectura

¿Qué es BSI IT-Grundschutz? IT-Grundschutz es la metodología del BSI para la creación y operación de un sistema de gestión de seguridad de la información. Proporciona, mediante normas BSI y el IT-Grundschutz-Kompendium (edición actual 2023), componentes concretos y requisitos, en lugar de formular solo objetivos abstractos. IT-Grundschutz es compatible con ISO/IEC 27001:2022 y puede certificarse como ISO 27001 basándose en IT-Grundschutz.

Lo más importante en resumen

  • Qué es:: Una metodología práctica del BSI que marca el camino hacia un SMSI con componentes listos y preguntas de inspección.
  • Componentes clave:: Las normas BSI 200-1 a 200-4 y el IT-Grundschutz-Kompendium con componentes para tecnología, organización y procesos.
  • Cuándo es útil:: Cuando una empresa necesita una guía práctica en lugar de solo definir objetivos, especialmente en el entorno DACH y de autoridades.

Cómo se estructura el IT-Grundschutz

La estructura se basa en las normas de la BSI. El estándar 200-1 describe los requisitos generales para un ISMS. El estándar 200-2 establece el procedimiento y ofrece tres tipos de protección: protección básica para un rápido inicio, protección estándar para una cobertura completa y protección central para los valores más importantes primero. El estándar 200-3 abarca el análisis de riesgos, el estándar 200-4 la gestión de continuidad del negocio.

El núcleo es el compendio de IT-Grundschutz en la edición 2023. Agrupa más de 100 componentes en diez capas para temas como servidores, redes, aplicaciones y procesos organizativos. Cada componente menciona amenazas típicas y requisitos concretos. Esa concreción es lo que diferencia el enfoque alemán de una norma puramente objetivo.

200-1 bis 200-4

Los cuatro estándares de la BSI forman el marco metodológico del IT-Grundschutz, desde ISMS hasta la gestión de emergencias

Fuente: BSI

Cómo se desarrolla un proyecto en la práctica

Al principio está el análisis de la estructura: ¿Qué procesos empresariales, aplicaciones, sistemas y espacios forman parte del conjunto de información? A continuación sigue la determinación del nivel de protección, que asigna a cada objeto un nivel de protección que va desde normal, alto hasta muy alto. El nivel de protección determina hasta qué profundidad debe asegurarse.

Después se asignan los componentes adecuados del compendio y se implementan sus requisitos. Una comparación de lo previsto versus lo real revela las lagunas. Para áreas con alto o muy alto nivel de protección, un análisis de riesgos según la norma 200-3 complementa la base. El resultado es un estado de seguridad comprensible y verificable.

EL INICIO EN IT-GRUNDSCHUTZ

  • Delimitar claramente el conjunto de información y su ámbito de aplicación
  • Comenzar con la protección básica para obtener impacto rápido
  • Definir claramente el nivel de protección de cada proceso y sistema
  • Asignar los componentes del compendio y documentar la implementación

IT-Grundschutz o ISO 27001

Los dos enfoques no están en contradicción. ISO/IEC 27001:2022 es la norma internacional para SMSI y está muy extendida. Fija objetivos y deja la concreta aplicación a la empresa. IT-Grundschutz proporciona la guía faltante y, a través de la certificación ISO 27001 basada en IT-Grundschutz, une ambas áreas.

Quien actúa internacionalmente y busca máxima flexibilidad, a menudo elige la ISO 27001 pura. Quien necesita requisitos concretos, proximidad con autoridades o una referencia sólida en la zona DACH, encuentra en IT-Grundschutz el camino más pragmático. Ambos conducen a un sistema de gestión certificable.

Los principales tropiezos

El error más frecuente es un ámbito de aplicación demasiado amplio. Quien intenta proteger todo el grupo de una sola vez se pierde en la complejidad antes de que la primera medida entre en vigor. El IT-Grundschutz (Sistema de Gestión de Seguridad de la Información) ofrece, con la protección básica, un camino claro: proteger primero los valores más importantes y ampliar el alcance después.

Un segundo tropiezo es la documentación. El IT-Grundschutz (Sistema de Gestión de Seguridad de la Información) se basa en decisiones comprensibles, pero en la práctica se suele descuidar su mantenimiento una vez que la primera configuración está lista. Un Sistema de Gestión de Seguridad de la Información (ISMS) es un proceso continuo que requiere revisiones periódicas y un responsable claro. Sólo así se mantiene el nivel de seguridad actualizado, en lugar de que se quede obsoleto con el tiempo.

Herramientas y el camino hacia la certificación

Para la implementación se dispone de herramientas que gestionan el conjunto de información, los componentes y la comparación entre lo planeado y lo real. Estas herramientas alivian a un equipo de la tediosa contabilidad y permiten seguir el progreso de la implementación de forma trazable. Sobre todo en grandes consorcios, este tipo de apoyo marca la diferencia entre un Sistema de Gestión de Seguridad de la Información (ISMS) bien estructurado y uno descuidado.

Al final, si se desea, se puede obtener la certificación. Esta se lleva a cabo por auditores certificados por el Bureau de Seguridad de la Información (BSI), que examinan de forma independiente el nivel de seguridad. El certificado ISO-27001 basado en IT-Grundschutz constituye una prueba sólida ante clientes, partners y autoridades de supervisión. La base de seguridad se concluye con el testat del BSI, mientras que el certificado completo requiere una auditoría de un auditor con decisión del BSI. El camino hacia ello obliga a la rigurosidad que todo sistema de gestión de seguridad eficaz necesita.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Es obligatorio el IT-Grundschutz?

No es general. Para las autoridades federales es casi obligatorio. Las empresas lo eligen de forma voluntaria, a menudo porque sirve como vía de implementación para ISO 27001 o como evidencia en entornos críticos.

¿Cuánto cuesta la entrada?

El esfuerzo depende del ámbito de aplicación. La cobertura básica reduce conscientemente la barrera de entrada, ya que inicialmente cubre las principales exigencias y permite el desarrollo completo más adelante.

¿Qué es la determinación de la necesidad de protección?

Un paso que asigna a cada objeto en la red de información una necesidad de protección: normal, alta o muy alta. Controla cuán intensas deben ser las medidas de seguridad.

¿Reemplaza IT-Grundschutz la ISO 27001?

No, lo complementa. En cuanto a la certificación ISO 27001 basada en la protección de TI (IT-Grundschutz), los componentes concretos pueden asociarse con la norma internacionalmente reconocida.

¿Qué tan actualizado está el compendio?

Actualmente está vigente la edición 2023 del IT-Grundschutz-Compendio (versión BSI). El BSI actualiza sus componentes de forma regular para mantenerse al día con el progreso tecnológico.

Selección de la redacción

RecomendadoQué derechos de decisión del CISO deben estar regulados por escrito

Más de la red MBF Media

cloudmagazinFlexera 2026: Lo que la pyme realmente puede asumirMyBusinessFuturePasaporte digital de producto: qué deben hacer los fabricantesDigital ChiefsIA soberana: la responsabilidad sigue en la empresa

Lectura adicional

Una revista de Evernine Media GmbH