Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodologìas Degestiòn de Riesgos PDF
Metodologìas Degestiòn de Riesgos PDF
AUDITORA
CARLOS HERNN GMEZ
UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERA
CONTENIDO
1. Introduccin ................................................................................................................................................ 2
2. Metodologas de Gestin de Riesgo ....................................................................................................... 2
2.1. El anlisis y gestin de riesgos en su contexto ................................................................................. 2
2.2. Incidencias y recuperacin .................................................................................................................... 3
3. Octave ......................................................................................................................................................... 4
3.1. Historia y Evolucin ............................................................................................................................... 4
3.2. Descripcin General de Octave .......................................................................................................... 5
3.3. Mtodos .................................................................................................................................................. 6
3.3.1. Caractersticas y Ventajas de los Mtodos .................................................................................... 8
3.3.2. Fases ................................................................................................................................................... 8
4. Magerit ....................................................................................................................................................... 9
4.1. Historia y Evolucin .............................................................................................................................. 9
4.2. Descripcin General de Magerit .................................................................................................. 10
4.3. Organizacin de las Guas ................................................................................................................ 10
4.4. Evaluacin, Certificacin, Auditora y Acreditacin ....................................................................... 12
5. Comparativo con Cobit ......................................................................................................................... 13
6. Dafp ......................................................................................................................................................... 13
6.1. Historia y Evolucin ........................................................................................................................... 14
6.2. Descripcin General de Dafp ........................................................................................................... 15
6.3. Objetivos de DAFP ............................................................................................................................ 15
6.4 Marco Conceptual ............................................................................................................................... 15
6.5. Metodologa ........................................................................................................................................ 17
6.6. Contexto Estratgico ......................................................................................................................... 19
7. Conclusiones y Observaciones ........................................................................................................... 21
8. Referentes .............................................................................................................................................. 22
1. Introduccin
Definicin de Riesgo:
Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos
causando daos o perjuicios a la Organizacin.
El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es
importante saber qu caractersticas son de inters en cada activo, as como saber en qu
medida estas caractersticas estn en peligro, es decir, analizar el sistema.
Anlisis de riesgos:
Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin.
Gestin de riesgos:
Seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los
riesgos identificados.
que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se
acepta la Direccin.
La implantacin de los controles de seguridad requiere una organizacin gestionada y la
participacin informada de todo el personal que trabaja con el sistema de informacin. Es este
personal el responsable de la operacin diaria, de la reaccin ante incidencias y de la
monitorizacin en general del sistema para determinar si satisface con eficacia y eficiencia los
objetivos propuestos.
Este esquema de trabajo debe ser repetitivo pues los sistemas de informacin rara vez son
inmutables; ms bien se encuentran sometidos a evolucin continua tanto propia (nuevos
activos) como del entorno (nuevas amenazas), lo que exige una revisin peridica en la que se
aprende de la experiencia y se adapta al nuevo contexto.
El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y
salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La
gestin de riesgos es la estructuracin de las acciones de seguridad para satisfacer las
necesidades detectadas por el anlisis.
Tanto de los xitos como de los fracasos conviene aprender continuamente e incorporarlos al
proceso de anlisis y gestin de riesgos. La madurez de una organizacin se refleja en la
pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las
salvaguardas de todo tipo, desde medidas tcnicas hasta una ptima organizacin.
3. OCTAVE
Una evaluacin efectiva de riesgos en la seguridad de la informacin considera tanto los
temas organizacionales como los tcnicos, examina cmo la gente emplea la infraestructura
en forma diaria. La evaluacin es de vital importancia para cualquier iniciativa de mejora en
seguridad, porque genera una visin a lo ancho de la organizacin de los riesgos de seguridad
de la informacin, proveyndonos de una base para mejorar a partir de all.
Para que una empresa comprenda cules son las necesidades de seguridad de la informacin,
OCTAVE es una tcnica de planificacin y consultora estratgica en seguridad basada en el
riesgo.
En contra de la tpica consultora focalizada en tecnologa, que tiene como objetivo los riesgos
tecnolgicos y el foco en los temas tcticos, el objetivo de OCTAVE es el riesgo organizacional
y el foco son los temas relativos a la estrategia y a la prctica.
Cuando se aplica OCTAVE, un pequeo equipo de gente desde los sectores operativos o de
negocios hasta los departamentos de tecnologa de la informacin (IT) trabajan juntos
dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos,
Prcticas de seguridad Y Tecnologa.
3.1 HISTORIA Y EVOLUCIN
OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas de seguridad. La
tecnologa es examinada en relacin a las prcticas de seguridad, permitiendo a las compaas
tomar decisiones de proteccin de informacin basados en los riesgos de confidencialidad,
integridad y disponibilidad de los bienes relacionados a la informacin crtica.
El mtodo OCTAVE permite la comprensin del manejo de los recursos, identificacin y
evaluacin de riesgos que afectan la seguridad dentro de una organizacin.
Exige llevar la evaluacin de la organizacin y del personal de la tecnologa de la informacin
por parte del equipo de anlisis mediante el apoyo de un patrocinador interesado en la
seguridad.
El mtodo OCTAVE se enfoca en tres fases para examinar los problemas organizacionales y
tecnolgicos:
Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta
OCTAVE:
Estas actividades son apoyadas por un catlogo de buenas prcticas, as como encuestas y
hojas de clculo que se puede utilizar para obtener y captar informacin durante los debates y
la solucin de sesiones-problema.
Material Introductorio
Materiales Adicionales
Preparacin de la
direccin.
Adaptacin de la
direccin.
Administracin superior
de informacin.
Resumen.
Directrices detalladas.
Hojas de trabajo.
Diapositivas y apuntes.
Participantes de
informacin
Mtodo OCTAVE-S:
Fue desarrollado en respuesta a las necesidades de organizaciones ms pequeas alrededor
de 100 personas o menos. Cumple con los mismos criterios que el mtodo Octave pero est
adaptado a los limitados medios y restricciones nicas de las pequeas organizaciones.
Octave-S utiliza un proceso simplificado y ms hojas de trabajo diferentes, pero produce el
mismo tipo de resultados. Las dos principales diferencias en esta versin de Octave son:
1. Octave-S requiere un pequeo equipo de 3-5 personas que entienden la amplitud y
profundidad de la empresa. Esta versin no comienza con el conocimiento formal sino
con la obtencin de talleres para recopilar informacin sobre los elementos
importantes, los requisitos de seguridad, las amenazas y las prcticas de seguridad. El
supuesto es que el equipo de anlisis de esta informacin ya se conoce.
2. Octave-S incluye slo una exploracin limitada de la infraestructura informtica. Las
pequeas empresas con frecuencia externalizan sus procesos de TI por completo y no
tienen la capacidad de ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.
GUA DE IMPLEMENTACIN:
Proporciona la mayor parte de lo que necesita un equipo de anlisis para llevar a cabo una
evaluacin. Incluye hojas de trabajo y orientaciones para cada actividad, as como una
introduccin, la gua de preparacin, y un ejemplo completo. No se incluye an la adaptacin
de orientacin a reuniones o de informacin.
Material Introductorio
Materiales Adicionales
Introduccin.
Los ejemplos de
resultados completos.
Preparacin de
Orientacin.
Directrices.
Hojas de Trabajo.
Fase 4 - Los participantes identifican y analizan los riesgos para los activos de informacin y
empiezan a desarrollar planes de mitigacin.
GUA DE IMPLEMENTACIN:
Contiene todos los recursos necesarios para llevar a cabo una evaluacin de seguridad de la
informacin. Incluye paso a paso las instrucciones detalladas para realizar la evaluacin, hojas
de trabajo que acompaa al documento de la evaluacin, materiales de apoyo para la
identificacin y anlisis de riesgos, y un ejemplo de una evaluacin efectuada.
Material Introductorio
Materiales Adicionales
Introduccin y Objetivo.
Actividades detalladas,
mtodo para cada paso.
Incluyendo:
Antecedentes y
definiciones.
Notas generales y
conceptos.
Cuestionarios de riesgo
para cada tipo de riesgo.
Ejemplo completo de
hojas de actividades.
Pasos de la Actividad.
Ejemplos.
Notas especiales
Hojas de actividades.
3.3.1
3.3.2 FASES:
4. MAGERIT
Magerit es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior
de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en
general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin
para el cumplimiento de su misin.
La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de las
tecnologas de la informacin, que supone unos beneficios evidentes para los usuarios; pero
tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.
Interesa a todos aquellos que trabajan con informacin digital y sistemas informticos para
tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos,
Magerit les permitir saber cunto valor est en juego y les ayudar a protegerlo. Conocer el
riesgo al que estn sometidos los elementos de trabajo es, simplemente, imprescindible para
poder gestionarlos. Con Magerit se persigue una aproximacin metdica que no deje lugar a
la improvisacin, ni dependa de la arbitrariedad del analista.
4.1 HISTORIA Y EVOLUCIN
Actualmente se encuentra en la versin 2.0, el periodo transcurrido desde la publicacin de la
primera versin de Magerit (1997), el anlisis de riesgos se ha venido consolidando como paso
necesario para la gestin de la seguridad.
En Magerit v1.0, todos los conceptos resultan familiares con la v2.0, aunque hay cierta
evolucin.
En particular se reconocer lo que se denominaba submodelo de elementos: activos,
amenazas, vulnerabilidades, impactos, riesgos y salvaguardas. Esta parte conceptual ha sido
refrendada por el paso del tiempo y sigue siendo el eje alrededor del cual se vertebran las
fases fundamentales de anlisis y gestin. Se ha corregido y ampliado lo que se denominaba
subestados de seguridad dndole el nuevo nombre de dimensiones e introduciendo
nuevas varas de medir lo que interesa de los activos. El submodelo de procesos aparece bajo
el epgrafe de estructuracin del proyecto de anlisis y gestin de riesgos.
Si bien Magerit v1.0 ha resistido bien el paso del tiempo en lo conceptual, no se puede decir lo
mismo de los detalles tcnicos de los sistemas de informacin con los que se trabaja. Se
intenta una puesta al da; pero ante todo se intenta diferenciar lo que es esencial (y
permanente) de lo que es coyuntural y cambiar con el tiempo. Esto se traduce en
parametrizar el mtodo de trabajo, referencindolo a catlogos externos de amenazas y
salvaguardas que se podrn actualizar, adaptndose al paso del tiempo, tanto por progreso
tecnolgico como por progreso de los sujetos, pues tan cierto es que los sistemas cambian
como que lo hacen los sujetos a su alrededor, buenos y malos. Y, cuanto ms xito tengan los
sistemas, ms usuarios tendrn y simultneamente, ms sujetos habr interesados en abusar
de ellos o, simplemente, destruirlos.
As pues, quede el mtodo, abierto de forma que estando claro qu se hace y cmo, se
puedan adaptar los detalles a cada momento.
Por otro lado el paso de Mtrica v2.1 a Mtrica v3.0 ha supuesto una completa revisin de
este punto. En la v2.0 de Magerit aparece en el captulo de Desarrollo de Sistemas
Informticos, enfatizando primero el desarrollo de aplicaciones aisladas y luego el proceso de
desarrollo de sistemas de informacin completos.
4.2 DESCRIPCIN GENERAL DE MAGERIT
Magerit persigue los siguientes objetivos:
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
pautar roles, actividades, hitos y documentacin para que la realizacin del proyecto de
anlisis y gestin de riesgos est bajo control en todo momento.
El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de informacin, en el
entendimiento que los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos
desde el primer momento, tanto los riesgos a que estn expuestos, como los riesgos que las
propias aplicaciones introducen en el sistema.
Como complemento, el captulo 5 desgrana una serie de aspectos prcticos, derivados de la
experiencia acumulada en el tiempo para la realizacin de un anlisis y una gestin realmente
efectivos.
Los apndices recogen material de consulta:
Glosario
CATLOGO DE ELEMENTOS
Ofrece unas pautas y elementos estndar en cuanto a: tipos de activos, dimensiones de
valoracin de los activos, criterios de valoracin de los activos, amenazas tpicas sobre los
sistemas de informacin y salvaguardas a considerar para proteger sistemas de informacin.
Se persiguen dos objetivos:
1.
Por una parte, facilitar la labor de las personas que acometen el proyecto, en el
sentido de ofrecerles elementos estndar a los que puedan adscribirse rpidamente,
centrndose en lo especfico del sistema objeto del anlisis.
2. Por otra, homogeneizar los resultados de los anlisis, promoviendo una terminologa y
unos criterios uniformes que permitan comparar e incluso integrar anlisis realizados
por diferentes equipos.
Cada seccin incluye una notacin XML que se emplear para publicar regularmente los
elementos en un formato estndar capaz de ser procesado automticamente por
herramientas de anlisis y gestin.
Si el lector usa una herramienta de anlisis y gestin de riesgos, este catlogo ser parte de la
misma; si el anlisis se realiza manualmente, este catlogo proporciona una amplia base de
partida para avanzar rpidamente sin distracciones ni olvidos.
GUA DE TCNICAS
Se trata de una gua de consulta que proporciona algunas tcnicas que se emplean
habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos: tcnicas
especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de
ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de datos, diagramas de
procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoracin Delphi.
Es una gua de consulta. Segn el lector avance por las tareas del proyecto, se le recomendar
el uso de ciertas tcnicas especficas, de las que esta gua busca ser una introduccin, as como
proporcionar referencias para que el lector profundice en las tcnicas presentadas.
DERECHOS DE UTILIZACIN
Magerit es una metodologa de carcter pblico, perteneciente al Ministerio de la Presidencia
de Espaa; su utilizacin no requiere autorizacin previa del mismo.
COBIT en su proceso PO9 "Evaluar y Administrar los Riesgos de IT", recomienda "Crear y dar
mantenimiento a un marco de trabajo de administracin de riesgos", alertndonos de esta
forma de la necesidad de realizar un Anlisis de Riesgos, con el fin de poder desarrollar una
estrategia de mitigacin de Riesgos minimizando el Riesgo Residual hasta un nivel aceptable
por la organizacin.
COBIT no especifica ninguna metodologa ni herramienta de Anlisis de Riesgos en particular,
por lo que deja a nuestra eleccin la metodologa ms conveniente segn nuestras
necesidades. Aqu es donde se presenta una relacin entre COBIT y Magerit ya que esta ltima
segn la definicin es una metodologa de administracin de riesgos que proporciona polticas
para asegurar la informacin relevante de una organizacin. A continuacin se presenta una
definicin de esta metodologa:
MAGERIT es una metodologa desarrollada en Espaa por el Ministerio de Administraciones
Pblicas, que estudia los riesgos soportados por los Sistemas de Informacin para recomendar
aquellas medidas ms encaminadas a controlar su impacto. Sus objetivos bsicos son, en
primer lugar, concienciar a los responsables de los sistemas de informacin de la existencia de
6 DAFP
El tema de la Administracin de Riesgos ya no es un tema nuevo para las entidades pblicas,
en virtud de que el Estado colombiano mediante el Decreto 1537 de 2001 estableci que
todas las entidades de la Administracin Pblica deben contar con una poltica de
Administracin de Riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de
lograr de la manera ms eficiente el cumplimiento de sus objetivos y estar preparados para
enfrentar cualquier contingencia que se pueda presentar.
En este sentido, las entidades de la Administracin Pblica no pueden ser ajenas al tema de
los riesgos y deben buscar cmo manejarlos y controlarlos, partiendo de la base de su razn
de ser y de su compromiso con la sociedad; por esto se debe tener en cuenta que los riesgos
no solo son de carcter econmico y estn directamente relacionados con entidades
financieras o con lo que se ha denominado riesgos profesionales, sino que hacen parte de
cualquier gestin que se realice.
6.1 HISTORIA Y EVOLUCIN
A travs del Decreto 1599 del 20 de mayo del 2005 se adopt el Modelo Estndar de Control
Interno para todas las entidades del Estado de las que habla el artculo 5 de la Ley 87 de 1993;
este modelo presenta tres Subsistemas de Control: el Estratgico, el de Gestin y el de
Evaluacin. La Administracin del Riesgo ha sido contemplada como uno de los componentes
del Subsistema de Control Estratgico y ha sido definida en el Anexo Tcnico como el
conjunto de Elementos de Control que al interrelacionarse, permiten a la entidad pblica
evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o
impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan
identificar oportunidades para un mejor cumplimiento de su funcin. Se constituye en el
componente de control que al interactuar sus diferentes elementos le permite a la entidad
pblica auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos.
Al ser un componente del Subsistema de Control Estratgico, la Administracin del Riesgo se
sirve de la planeacin estratgica (misin, visin, establecimiento de objetivos, metas,
factores crticos de xito), del campo de aplicacin (procesos, proyectos, unidades de negocio,
sistemas de informacin), del componente ambiente de control y todos sus elementos
(acuerdos, compromisos y protocolos ticos, las polticas de desarrollo del talento humano y
el estilo de direccin), de la identificacin de eventos (internos y externos) y de los resultados
generados por el componente direccionamiento estratgico y sus elementos de control
(planes y programas, modelo de operacin y estructura organizacional). As mismo, debe
tener en cuenta el elemento de control controles del Subsistema de Gestin al momento de
realizar la valoracin de los riesgos (identificacin, medicin y priorizacin) y la formulacin de
la poltica (o respuesta al riesgo: evitar, aceptar, reducir, transferir). Esta mirada sistmica
contribuye a que la entidad no solo garantice la gestin institucional y el logro de los objetivos,
sino que fortalece el ejercicio del control interno en las entidades de la Administracin Pblica.
La actualizacin de la cartilla Gua Administracin del Riesgo obedece a la adopcin del
Modelo Estndar de Control Interno y a la armonizacin de la metodologa planteada por la
Direccin de Control Interno y Racionalizacin de Trmites del Departamento Administrativo
de la Funcin Pblica con el MECI 1000:2005, con el fin de facilitarles a las entidades el
ejercicio de la Administracin del Riesgo.
Adems, esta metodologa apunta a fortalecer los principios de la funcin administrativa,
enunciados en el artculo 209 de la Constitucin Poltica de Colombia, el artculo 3 de la Ley
489 de 1998 y el Decreto 1537 de 2001, as como a dar cumplimiento a los principios
constitucionales de igualdad, moralidad, eficacia, economa, celeridad, imparcialidad y
publicidad, los cuales se ejercen mediante la descentralizacin, la delegacin y la
desconcentracin de funciones, recordando que una de las finalidades sociales del Estado es
el bienestar general y el mejoramiento de la calidad de vida de la poblacin, acorde con los
enunciados contenidos en el artculo 366 de la Carta Magna y el artculo 4 de la Ley 489 de
1998.
ESPECFICOS
Propender a que cada entidad interacte con otras para fortalecer su desarrollo y
mantener la buena imagen y las buenas relaciones.
Entre los factores internos se destacan: el manejo de los recursos, la estructura organizacional, los
controles existentes, los procesos y procedimientos, la disponibilidad presupuestal, la forma como
se vinculan las personas a las entidades, los intereses de los directivos, el nivel del talento humano,
la motivacin y los niveles salariales, entre otros.
6.5 METODOLOGA
Las entidades de la Administracin Pblica deben darle cumplimiento a su misin
constitucional y legal a travs de los objetivos institucionales, los cuales desarrollan programas
y proyectos a partir del diseo y ejecucin de los diferentes planes. El cumplimiento de dichos
objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto
internos como externos, razn por la cual se hace necesario contar con acciones tendientes a
administrarlos dentro de la entidad.
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad. Con el
fin de asegurar dicho manejo, es importante que se establezca el entorno de la entidad, la
identificacin, anlisis, valoracin y definicin de las alternativas de acciones de mitigacin de
los riesgos:
Contexto estratgico
Identificacin de riesgos
Anlisis de riesgos
Valoracin de riesgos
DIRECTRICES GENERALES
Las etapas sugeridas para una adecuada Administracin del Riesgo son las siguientes:
primer nivel para que asesore y apoye todo el proceso de diseo e implementacin del
Componente de Administracin del Riesgo.
Conformacin de un Equipo MECI:
Es importante conformar un equipo que se encargue de liderar el proceso de administracin
del riesgo dentro de la entidad y cuente con un canal directo de comunicacin con el
designado de la direccin y las personas designadas para trabajar el tema en las diferentes
dependencias. Dicho equipo lo deben integrar personas de diferentes reas que conozcan
muy bien la entidad y el funcionamiento de los diferentes procesos, para que se facilite la
administracin del riesgo y la construccin de los mapas de riesgos institucionales.
Capacitacin en la metodologa:
Definido el Equipo MECI, debe capacitarse a sus integrantes en la metodologa de la
Administracin del Riesgo y su relacin con los dems Subsistemas y Elementos de Control del
MECI 1000:2005, para lo cual se podr contar con el apoyo del Departamento Administrativo
de la Funcin Pblica. As mismo, los gerentes pblicos en el proceso de actualizacin de sus
asuntos misionales deben integrar a partir de las problemticas de su entorno los factores de
riesgo inherentes al desarrollo institucional y administrativo.
ILUSTRACIN: PROCESO DE ADMINISTRACIN DEL RIESGO
Identificar los factores externos que pueden ocasionar la presencia de riesgos, con
base en el anlisis de la informacin externa y los planes y programas de la entidad.
Identificar los factores internos que pueden ocasionar la presencia de riesgos con base
en el anlisis de los componentes Ambiente de Control, Direccionamiento Estratgico
y dems estudios que sobre la cultura organizacional y el clima laboral se hayan
adelantado en la entidad.
As mismo, es necesario que en este punto la entidad se plantee cul es el contexto en que se
desarrolla la Administracin del Riesgo, estableciendo las metas, los objetivos, estrategias,
alcance y parmetros para llevarla a cabo, teniendo en cuenta que esta no es un fin en s
misma, sino un medio para lograr el cumplimiento de los objetivos propuestos.
Factores Externos
Factores Internos
Econmicos: Disponibilidad de
capital, emisin de deuda o no pago
de esta, liquidez, mercados
financieros, desempleo,
competencia.
Medioambientales: Emisiones y
residuos, energa, catstrofes
naturales, desarrollo sostenible.
Polticos:
Cambios de Gobierno.
Legislacin, polticas pblicas,
regulacin.
Sociales:
Demografa, responsabilidad social,
terrorismo.
Tecnolgicos: Interrupciones, comercio
electrnico, datos externos, tecnologa
emergente.
CONCLUSIONES Y OBSERVACIONES
El mejor plan de seguridad se vera seriamente hipotecado sin una colaboracin activa de las
personas involucradas en el sistema de informacin, especialmente si la actitud es negativa,
contraria o de luchar contra las medidas de seguridad. Es por ello que se requiere la
creacin de una cultura de seguridad que, emanando de la alta direccin, conciencie a todos
los involucrados de su necesidad y pertinencia.
Son dos los pilares fundamentales para la creacin de esta cultura:
Una poltica de seguridad corporativa que se entienda (escrita para los que no son
expertos en la materia), que se difunda y que se mantenga al da.
Una formacin continua a todos los niveles, recordando las cautelas rutinarias y las
actividades especializadas, segn la responsabilidad adscrita a cada puesto de trabajo.
8 REFERENTES
Institute
(2008).
en:
OCTAVE.
Disponible
http://redyseguridad.fi-