GESTIN DEL RIESGO EN LA SEGURIDAD

INFORMTICA: EL NUEVO ESCENARIO DEL

CONTROL
JUAN HONORATO MAZZINGHI
honorato.juan@gmail.com
GERENTE GENERAL CIDEM CONSULT S.A.
CHILE
Estudio aprobado por el Comit Cientfico del X Seminario Iberoamericano de
Seguridad en las Tecnologas de la Informacin.
Ciudad Habana, Febrero 2011
RESUMEN
La ponencia incluye antecedentes de experiencias y vivencias reales del expositor, en el
desempeo de la funcin de responsable de la seguridad informtica y de la documentacin
electrnica en la Contralora General de la Republica de Chile, entre los aos 2005 y 2009.
Asimismo, se refiere a aspectos sustantivos de las polticas de seguridad y manejo del riesgo en
los rganos de la administracin del estado en chile.
Hay un primer aspecto inevitable, relativo a fijar el marco conceptual del estudio.
Tambin incorpora un capitulo relativo a examinar, a partir de las experiencias empricas
desarrolladas, las que podran llamarse claves del xito en la gestin del riesgo en la seguridad
informtica.
Otro aspecto relevante que ser estudiado en la presentacin es el relativo al diseo y puesta en
marcha de un sistema de gestin del riesgo en la seguridad INFORMATICA.

ABSTRACT
The paper include a record about author experience and real life , in his work like Chief of the

technology security and the electronis documation, betwen the years 2005 to 2009, in the
CGR of Chile.
In the same way, is refer to substantive topics about secutity policys and risk management
in the publics services in Chile.
There are one first topics inevitable, related with to setle the conceptual frame of the study.
Also include a chapter related to examine, based in the real experiences of the author, the
succes key in the risk mangememt of the information technology security.
Finally, an other topic outstanding that will be study in the presentation, is that related to the
design and start on of a mangement risk system for the information technology security.

INTRODUCCIN
El presente estudio, basado en buena parte en escenarios
empricos en que ha participado el autor, pretende ser una aportacin til al Torneo
Internacional y asimismo, una contribucin que anime el inters de los estudiosos y expertos
en el tema, para profundizar los comentarios y alcances que se han incluido.
Nos asiste la conviccin, y con el debido respeto por otras
opiniones, que el tema de la gestin del riesgo de la seguridad informtica en las instituciones
pblicas, se asocia ms b en con la urgente necesidad de contar con una Cultura de la
Seguridad debidamente operativa, ms que con disponer de sofisticados SW y HW para tales
efectos, que no obstante ser requeridos y necesarios, no cierran del todo el tema.
Pensamos que definir una estrategia para crear una cultura
corporativa de seguridad, debidamente difundida, conocida y apoyada por todos los miembros
de la organizacin, puede contribuir eficazmente , al urgente alineamiento del capital
intelectual en torno a sus demandas y exigencias.

I.- EL MARCO CONCEPTUAL PARA LA SEGURIDAD DE LA INFORMACIN Y DE

LOS SISTEMAS.
Un primer aspecto en
esta materia se refiere al cambio
paradigmtico observado en el quehacer pblico en Chile, que ha generado un concepto cada vez
ms internalizado en los lenguajes de complicidad de la administracin, al punto que hoy se habla
sin mayores restricciones de ADMINISTRACIN Y SOCIEDAD DIGITAL y con ello, se posiciona la
presencia de los siguientes aspectos relevantes en la gestin de los rganos de la Administracin
Pblica:
MASIFICACION EN EL USO DE LAS TECNOLOGIAS
GOBIERNO Y ADMINISTRACION PUBLICA ELECTRONICAS
ORIENTACION A LOS CIUDADANOS
TECNOLOGIAS BUSCAN MEJORES SERVICIOS EN INTERNET
EL USO DE LAS TECNOLOGIAS, ACARREA UNA AUTNTICA REVOLUCION
CULTURAL EN LOS CIUDADANOS
Y as las cosas en este nuevo escenario, se promueve el
reforzamiento del uso intensivo de la documentacin y trmites electrnicos, en ambientes
virtuales, en la mayora de los servicios de la Administracin del Estado.
Cada vez con mayor fuerza se acua el concepto de la
SEGURIDAD INFORMATICA COMO PROCESO Y NO COMO PRODUCTO y ello, asociado a
aspectos y fundamentos, que van dando al solidez requerida por la nueva cultura pblica que se
instala.
Como caractersticas sobresalientes de este nuevo entendimiento
podemos sealar las siguientes:
SU FIN PRINCIPAL TIENE QUE VER CON LA CONTINUIDAD DE LAS OPERACIONES

TAMBIEN CON LA PROTECCION DE LA DOCUMENTACION ELECTRONICA

Y CON LA PROTECCION DE ACTIVOS Y BIENES
LOS INCIDENTES DE SEGURIDAD AFECTAN LA CONFIANZA EN LA ORGANIZACIN
LA SEGURIDAD ES UN FENOMENO INTEGRAL

Se pueden apreciar claramente, tres planos relevantes par asegurar

la conviccin de la necesidad de aplicar esfuerzos en materia de seguridad informtica:
EL PROACTIVO: POLITICA GENERAL DE SEGURIDAD QUE INTEGRE LA DIRECCION,
LA EJECUCION Y EL CONTROL.
EL ORGANIZATIVO: COMO RESPUESTA NATURAL Y ESTRUCTURAL A LAS
DEMANDAS NORMATIVAS.
EL TECNOLOGICO: SE REFIERE A LA SEGURIDAD LOGICA; AL ACCESO A LOS
SISTEMAS; A LA CERTIFICACION DE IDENTIDADES DIGITALES; A LA FIRMA
ELECTRONICA; ETC.
En Chile, y de acuerdo con la norma chilena Nch 2777 y la ISO/IEC
2000, la seguridad de la informacin tiene que ver con la solvencia y permanencia de los siguientes
elementos:
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
EVALUACION DEL RIESGO
GESTION DEL RIESGO

Para la debida efectividad en el logro de los propsitos sealados,

resulta sugerente la conformacin de un Comit de Seguridad de la Informacin, que al menos
tengan las siguientes funciones y subsecuentes responsabilidades:

DETERMINAR ROLES Y RESPONSABILIDADES

ACORDAR METODOLOGIAS Y PROCESOS ESPECIFICOS
ACORDAR Y APOYAR LAS INICIATIVAS DE SEGURIDAD EN TODA LA CGR.
GARANTIZAR QUE LA SEGURIDAD SEA PARTE DEL PROCESO DE PLANIFICACION
DE LA INFORMACION
EVALUAR LOS CONTROLES DE SEGURIDAD.
REVISAR LOS INCIDENTES DE SEGURIDAD
PROMUEVE LA SEGURIDAD EN LOS NEGOCIOS

II.- LAS CLAVES EL XITO EN MATERIA DE SEGURIDAD INFORMTICA

La experiencia acumulada, en el trabajo realizado en la CGR de
Chile, durante ms de 4 aos, como responsable de la seguridad informtica y de la

documentacin electrnica corporativa, unida a la nutrida informacin disponible, nos permite

aproximar una categorizacin de decisiones de gestin, que en conjunto y sistmicamente,
pueden definir algunas claves o llaves, para avanzar con xito en esta delicada misin de
resguardar adecuadamente la seguridad de la documentacin electrnica y de la informtica.
Los que a continuacin se examinan son los propsitos
inevitables, que hay que acreditar, para crear un escenario de llaves o claves para el avance
exitoso en esta materia:
A) ESTRATEGIAS DE IMPLANTACION
Para la acreditacin de este propsito, en el levantamiento de los
procesos asociados, debera formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:
existe una estrategia en relacin con empleo de las TIC, aprobada y conocida por todos?
estn planificadas las acciones?
la planificacin de las TIC est alineada con el plan estratgico de la organizacin?
la alta direccin esta involucrada en el seguimiento?
funciona un Comit de Seguimiento?
participan en el la direccin, el centro de informtica y los usuarios?
B) POLITICAS, NORMAS Y PROCEDIMIENTOS
Para la acreditacin de este propsito, en el levantamiento de los
procesos asociados, debera formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:
hay en operacin polticas corporativas para el uso de las ti?
se han establecido polticas operativas para los diferentes negocios?
existen control para mitigar el riesgo?
las polticas son conocidas por los empleados?
existen procedimientos ti que especifiquen y documenten los procesos de negocios?
hay agentes preocupados de la mantencion de las polticas?

C) GESTIN DE LOS SISTEMAS DE INFORMACION

Para la acreditacin de este propsito, en el levantamiento de los
procesos asociados, debera formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

son los SIA un engranaje fundamental de la operacin de las unidades de negocios?

se ha definido una poltica de seguridad de la informacin?

se han comunicado estas polticas y se aplican?
hay instructivos para la gestin tic con outsourcing?
existen mediciones del grado de satisfaccin de usuarios?
hay agentes preocupados por los costos financieros y por la calidad?

D) ORGANIZACIN SERVICIOS TIC

Para la acreditacin de este propsito, en el levantamiento de los
procesos asociados, debera formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:
estn definidas la estructura, funciones y responsabilidades en la gestin del tic?
la unidad creada, asume todas las funciones tic?
hay adecuada oposicin de funciones en el entorno operativo?
se han definido perfiles de competencia, para cada desempeo de cargos en la unidad
tic?
hay polticas de capacitacin para los profesionales tic?
se ha instalado para la unidad, la filosofa de mejoramiento continuo?

E) LOS PROCESOS DE AUDITORIA Y CONTROL A LAS TIC

Para la acreditacin de este propsito, en el levantamiento de los

procesos asociados, debera formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

existen procedimientos formales o manuales en la materia?

se informan los resultados de las auditorias?
se publican en un sitio colaborativo para conocimiento de todos?
se auditan los procesos de negocios en escenarios informatizados?
se mide el impacto de implantar y aplicar tecnologas informticas en los procesos de
negocios?
La informacin que se rescate del levantamiento de estos procesos claves relacionados con la
infraestructura y funcionalidades de la seguridad informtica corporativa, permitir reducir de
manera potente la variedad y la incertidumbre posibles, en materia de las decisiones estratgicas
que habr que tomar para implantar un sistema de control de gestin de la seguridad informtica
(SGSI), que garantice su xito.

De esta forma, ser posible gestionar favorablemente factores

crticos de xito en la implantacin de un SGSI, como los siguientes:
Grado de madurez de la organizacin
Definicin del mbito y del alcance
Evaluacin de riesgos
Controles internos en las 4 e (eficiencia, eficacia, economicidad y tica).
Plan de auditorias
Recursos humanos calificados
Compromiso de la autoridad

3.- PRINCIPIOS Y REQUISITOS BASICOS EN LA SEGURIDAD INFORMTICA

Los principios universalmente aceptados son los siguientes:
CONFIDENCIALIDAD: Relacionado con la reserva necesaria de los procedimientos y
protocolos de seguridad.
INTEGRIDAD: Tiene que ver con la certeza y solidez de los datos relativos al sistema de
seguridad informtica.
DISPONIBILIDAD: Acceso 7 por 24.
PREVENCION: Gestin del Riesgo
PROTECCION: Busca eliminar vulnerabilidades
GESTION DE CRISIS :Cuando ella es inevitable, se pretende minimizar sus impactos
GESTION DE CONSECUENCIAS: Acertividad en la nueva situacin.
Las cuestiones trascendentes en materia de seguridad informtica tienen que ver con que las
decisiones que se tomen, estn alineadas con requerimientos bsicos de gestin relacionados con
los siguientes requerimientos inevitables:
GESTION GLOBAL Y CORPORATIVA DE LA SEGURIDAD
PLAN ESTRATEGICO DE SEGURIDAD
CUADRO DE MANDO INTEGRAL PARA LA SEGURIDAD INFORMATICA
INSTALACION DE UN SGSI
MODELOS DE MADUREZ DE LA SEGURIDAD

4.- EL RIESGO EN LA SEGURIDAD INFORMATICA: EL MARCO CONCEPTUAL PARA

UN TEMA TRASCENDENTE.
En el marco puramente conceptual, el Riesgo se entiende como la posibilidad de que un evento,
contingencia o episodio ocurra y que pueda tener impacto en los procesos del negocio; en los
objetivos y en las metas corporativas.

Es muy improbable el cero riesgo, pero si se puede mitigar de manera importante, mediante
eficaces sistemas de control y la disponibilidad de mapas de riesgo.
Desde el punto de vista organizacional o corporativo es posible disponer de un modelo estratgico
de gestin del riesgo, que sea capaz de reducir sus impactos y mitigar los efectos y alcances,
cuando este sea inevitable asumir.
Un modelo estratgico de gestin del riesgo, an aceptando que
los modelos son solo aproximaciones, debera tener los siguientes elementos que, claramente,
permiten aumentan la capacidad del modelo para prevenir a la organizacin cuando ello es una
realidad sin vuelta:
Presencia de controles de seguridad necesarios para mitigar el riesgo asociado a la fuga
de informacin.
Desarrollo de una poltica de seguridad corporativa.
Amplio espacio para implementar controles efectivos.
Definicin de polticas de gestin de identidad y de accesos a la informacion
Decisiones slidas en cuanto a la relevancia de tener planes de promocin de una cultura
de seguridad
Inversiones en procedimientos electrnicos para la gestin de contenidos de la
documentacin electrnica (Knowledge Management)
Disposicin de soluciones integrales de cifrado de datos
Ahora bien, en nuestra propia experiencia en la CGR de Chile, rescatamos como una cuestin
trascendente, en cuanto a que la gestin del riesgo en la seguridad de la informtica y de la
documentacin electrnica, no pasa tanto por la riqueza en HW y SW, sino que lo hace ms bien,
por la riqueza del capital intelectual de la entidad y por como este , en un proceso de
conversaciones inteligentes de carcter permanente, es capaz de asociar la seguridad y sus
exigencias, con los logros en su propio bienestar, y con ello, asume una buena disposicin para
desarrollar un concepto de CULTURA DE LA SEGURIDAD INFORMATICA en la Institucin.
Apreciamos los siguientes como principios rectores para un modelo de Cultura de la Seguridad
Informtica:
CONOCIMIENTO: ESTO ES CONCIENCIA DE SU NECESIDAD
RESPONSABILIDAD: DE TODOS

RESPUESTA: CONDUCTA PROACTIVA FRENTE A INCIDENTES

ETICA: RESPETO POR LOS DEMAS

EVALUACION DE LOS RIESGOS : EN FORMA PERMAN ENTE

DISEO E IMPLEMENTACION DEL MODELO : EN BREVE PLAZO

GESTION DE LA SEGURIDAD: EN LA ORGANICA DE LA ENTIDAD

FEEDBACK Y MEJORAMIENTO CONTINUO : PROCESOS RELEVANTES

El marco lgico para el anlisis y evaluacin del riesgo en la seguridad informtica puede definirse
como sigue:
Lo primero es tener muy claro que la exposicin al riesgo, pasa por una clara definicin de las
AMENAZAS, IMPACTOS Y VULNERABILIDADES de la entidad y su modelo de gestin.
A su turno, ese escenario est en directa relacin con aspectos organizacionales vinculados con a
lo menos, los ACTIVOS (infraestructura) SERVICIOS y CONTROLES existentes, y sus
capacidades de eficiencia, eficacia y oportunidad, y es en este esquema, en el que deben
resolverse las decisiones relativas al Riesgo In gerente y al Riesgo Efectivo.
Finalmente, en esta materia se estima de utilidad, tener presentes los siguientes documentos:
UNE-I50/IEC 17.799
CODIGO DE BUENAS PRCTICAS PARA LA GESTION DE
LA SEGURIDAD INFORMATICA
INFORME UNE 71.501 PARTE 3
ESTRATEGIAS DE GESTION DE LA SEGURIDAD EN TI.
RIESGO COMBINADO
INFORME UNE 71.502-2004
ESPECIFICACIONES PARA LOS SGSI
Para un efectivo anlisis del riesgo en el sistema de informacin y en la seguridad informtica,
es sugerente desglosar un proceso de negocios, lo que facilita el anlisis y la gestin del
riesgo, a partir de los subprocesos asociados.
Asimismo, precisar los flujos de transacciones relevantes y diferenciados, asociados a
productos del negocios, permite identificar los procesos.
As entonces, la gestin de un sistema de informacin, se examen a como PROCESO y como
SUBPROCESOS, por ejemplo, el uso de la Plataforma Tecnolgica, la gestin del Desarrollo y
Explotacin, Aplicaciones de HW y SW de Seguridad, las acciones en materia de Soporte y
Mantencin y la funcin de Comunicaciones.
Las reas ms sensibles en materia de evaluacin del riesgo en la seguridad informtica
podran ser las siguientes:

SISTEMAS OPERATIVOS
APLICACIONES
REDES
SERVIDORES
DOCUMENTACION ELECTRONICA
INTRANET
INTERNET
LO FISICO
USUARIOS
En el modelo de gestin de la seguridad, es posible advertir algunos requisitos esenciales, para
asegurar su eficiencia, como los que se indican:

Definiciones de accesibilidad (autenticacin) de identidades y

permisos
Reforzar la confidencialidad de la informacin relevante.

Declarar corporativamente el valor de la documentacin electrnica como activo

Impedir accesos no autorizados
Integridad de la informacin, promoviendo una sola identidad responsable y la no manipulacin de
la informacin
Procurar disponibilidad permanente y garantizar el 99,9%

Nos parece interesante comentar algunos aspectos relativos a los principales problemas en
seguridad informtica, que suelen ser pan de cada da en la gestin informtica de las
organizaciones, y que, se resuelven con soluciones de la ms variada ndole, y en muchos casos
recurriendo al talento y creatividad de los propios usuarios de los sistemas.
As, podemos mencionar los incidentes mas frecuentes en esta materia:
NO COMPRENDER LOS OBJETIVOS GENERALES DE LA ORGANIZACIN
SEGURIDAD NO FUNCIONAL A ESOS OBJETIVOS
NO SE CONTRIBUYE A OPTIMIZAR LOS PROCESO DE NEGOCIOS
NO CONTROLAR EL CUMPLIMIENTO DE TIEMPOS Y RECURSOS
AUSENCIA DE PLANIFICACION Y EVALUACION EN DEMANDA DE RECURSOS.
Ahora bien, en el mundo real de las organizaciones pblicas en Chile, no se esta al margen de
ataques que traen consecuencia de diversa naturaleza y que pueden resumirse, de acuerdo a su
frecuencia, como sigue:

INTERCEPCION DE CONTRASEAS
ROTURA DE CONTRASEA

FALSIFICACIONDE IDENTIDADES
ROBO DE INFORMACION
DESTRUCCION DE DATOS

DENEGACION DEL SERVICIO

Claramente estos episodios traen consigo diversidad de impactos en los sistemas y entre ellos,
mencionamos los siguientes:

USO ILICITO DE LA INFORMACION

PERDIDA DE DATOS
INTERRUPCION DEL SERVICIO
PERDIDAD DE IMAGEN
RESPONSABILIDADES LEGALES
Finalmente queremos aportar algunas reflexiones para animar una mejor administracin de la
seguridad informtica corporativa y ello, por cierto, sin agotar para nada el tema.
DIAGNOSTICO INICIAL DE LA SEGURIDAD
Fundamental para la toma de decisiones, basada en redefinicin
subprocesos asociados al negocio central y sus productos.

de los procesos y

PLAN INTEGRAL DE LA SEGURIDAD

Esto implica realizar un sostenido esfuerzo de naturaleza
corporativa y sistmica.
DEFINICION DE POLITICAS
Aspecto significativo y relevante, como factor crtico de xito, en la medida que ello traduce el
compromiso de la alta direccin publica.
DEFINICION DE ESTANDARES
Necesario par los efectos del cumplimiento de metas y controles
internos en general.
IMPLANTACION DE PROCEDIMIENTOS
Fuerte aporte a la normalizacin de los quehaceres cotidianos y notable contribucin para
el alineamiento del personal.
CLASIFICACION DE ACTIVOS INFORMATICOS
Informacin necesaria para el enfoque realista ante episodios o incidentes informticos.

EVALUACION DE RIESGOS EN SEGURIDAD

Contar con ello, no es solo una necesidad, sino que ms bien,
una autentica emergencia institucional

DEFINICION DE EQUIPOS RESPONSABLES

Clave par el xito del modelo.

DECISIONES EN SW DE SEGURIDAD
Importante, pero, cuidado con poner la carreta delante de los
bueyes.

10

BSC EN SEGURIDAD INFORMATICA

Esencial como herramienta par el control de gestin de la
informtica corporativa.

CONCLUSIONES
Como una forma de contribuir a seguir avanzado en el tema, sealamos resumidamente
algunas reflexiones finales:
La gestin del riesgo en la seguridad informtica en la institucin, es responsabilidad de TODOS.
Lo esencial es crear y desarrollar, al interior de la organizacin, una CULTURA DE LA
SEGUIRIDAD.
El alineamiento del personal, con la estrategia de seguridad, es un FACTOR CLAVE DE XITO
del modelo que se resuelva implantar.
El compromiso e involucramiento de la alta direccin, HACE SUSTENTABLE el modelo.
En las decisiones de SW y HW, poner la carreta delante de los bueyes PUEDE SER FATAL.

BIBLIOGRAFIA
1. APUNTES PERSONALES DEL AUTOR
2. LIBRO ELECTRONICO DE SEGURIDAD INFORMATICA Y CRIPTOGRAFIA.
JORGE RAMI AGUIRRE
3. SECURITY ENGINEERING THE BOOK
ROSS ANDERSON 2 EDICION 2007
4. AUDITORIA DE SISTEMA Y POLITICAS DE SEGURIDAD INFORMTICAS
PAPER PUBLICADO EN MONOGRAFIAS.COM

11