Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.
GERARDOAYALAGONZLEZ
JULINALBERTOGMEZISAZA
UNIVERSIDADTECNOLGICADEPEREIRA
FACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASY
COMPUTACIN
PEREIRA
2011
GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINEN
CONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.
GERARDOAYALAGONZLEZ
JULINALBERTOGMEZISAZA
MonografaparaoptaralttulodeIngenierodeSistemasyComputacin
Asesor:
IngenieroJULIOCSARCHAVARROPORRAS
DocenteAcadmico
UNIVERSIDADTECNOLGICADEPEREIRA
FACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASY
COMPUTACIN
PEREIRA
2011
Notadeaceptacin
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
PresidentedelJurado
__________________________________
Jurado
__________________________________
Jurado
_________________________________
Jurado
A Luis y Elicenia que me ensearon que la lucha es diaria y que no debe desistirse
en el logro de los propsitos trazados. Y a ti, Liliana, eterna compaera de viaje,
que me enseaste que los sueos cambian en la manera
en que cambie nuestra forma de proyectarnos.
G.A.
AGRADECIMIENTOS
MIprimeragradecimientoesaDios,puesmehabendecidoconunagranfamilia
quemehaenseadoasortearcadaobstculoyaperseverarparalaconsecucin
de mis sueos en segundo lugar, agradezco a esos docentes que con sus
particularidadesaportaronamiprocesodeformacin,especialmentealIngeniero
CsarChavarro,quienfuenuestroapoyoyguaeneldesarrollodesteproyecto.
Agradezco tambin a Julin Gmez, compaero y hermano con el que compart
grandes e inolvidables momentos de la formacin profesional y, finalmente, pero
no menos importante, le agradezco a mi esposa Liliana que con su toque de
alegra, seriedad y decisiva disposicin para hacer las cosas, me acompa en
todoesteproceso.
AdicionalmentequieroagradeceraJ.J.Hincapiqueconsusextraasocurrencias
logrhacermeaprenderydisfrutardelprocesodeinvestigacin.
G.A.
Agradezco infinitamente a DIOS, porque realiz ante mis propios ojos seales y
prodigios grandes, y me ha permitido vivir hasta el da de hoy. A mi familia,
soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro,
maestro, amigo y gua, conl aprend no solo cantidad si no calidad. A Gerardo
Ayala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje que
construimosjuntos.AJ.JHincapi,porquecomparticonmigounaformadiferente
deentenderlainvestigacin,yporltimo
categoras
trasnochos,meensearonaverelmundodeunamaneradiferente.
J.G
CONTENIDO
Pg.
1. CAPITULOI:GENERALIDADESYDEFINICINDELPROBLEMA......................... 13
1.1. DEFINICINDELPROBLEMA................................ ................................ ...........13
1.2. JUSTIFICACIN................................ ................................ ................................ 14
1.3. OBJETIVOS................................ ................................ ................................ .......16
1.3.1. OBJETIVOGENERAL................................ ................................ ............................ 16
1.3.2. OBJETIVOSESPECFICOS................................ ................................ ....................16
1.4. DELIMITACIN................................ ................................ ................................ ..17
1.5. MARCOREFERENCIAL................................ ................................ .....................17
1.5.1. ANTECEDENTES................................ ................................ ................................ .17
1.5.2. TENDENCIASDETECTADAS................................ ................................ ..................21
1.6. MARCOCONCEPTUAL................................ ................................ .....................24
1.6.1. SEGURIDADINFORMTICA................................ ................................ ...................25
1.6.2. SEGURIDADDELAINFORMACIN................................ ................................ .........29
1.7. MARCOTERICO................................ ................................ ............................. 35
1.7.1. ADMINISTRACINDELASEGURIDAD................................ ................................ ....36
1.7.2. ANLISISDERIESGOS................................ ................................ ......................... 37
1.7.3. POLTICASDESEGURIDAD................................ ................................ ...................38
1.8. DIRECCIONAMIENTO................................ ................................ ....................... 39
1.9. DISEOMETODOLGICO................................ ................................ ................41
1.9.1. METODOLOGA................................ ................................ ................................ ...41
2. CAPITULOII:CONSTRUCCINYAPLICACINDELMODELO............................ 44
2.1. PLANDEANLISIS................................ ................................ ............................ 44
2.2. SEGUNDAITERACINDELMODELO................................ .............................. 50
2.3. TERCERAITERACINDELMODELO................................ ............................... 52
3. CAPITULOIII:RESULTADOS,CONCLUSIONESYRECOMENDACIONES...........53
3.1. RESULTADOSOBTENIDOS................................ ................................ ..............53
3.2. CONCLUSIONES................................ ................................ ............................... 53
3.3. RECOMENDACIONES................................ ................................ ....................... 55
4. REFERENCIASBIBLIOGRFICAS................................ ................................ ..........56
LISTA DE FIGURAS
Pg.
Figura1.Firmadigital:Envodeunmensajeseguro................................. ...................... 25
Figura2.SeguridaddelaInformacin................................. ................................ ............30
Figura3.SbanadeConceptos................................. ................................ .....................45
Figura4.ManualdeRespuestaaIncidentesdeS.I................................ ......................... 59
Figura5.Mapadeprocedimientos:ManualdeRespuestaaIncidentesdeS.I................65
Figura6.PlandeAccindeS.I................................ ................................ ........................ 76
Figura7.MapadeprocedimientosPlandeAccindeS.I................................ ................83
Figura8.AnlisisyGestindeRiesgosdeS.I................................ ................................ 89
Figura9.Mapadeprocedimientos.AnlisisyGestindeRiesgosdeS.I........................ 97
Figura10.EstrategiasdeCapacitacinyComunicacin................................ ...............111
Figura11.Mapadeprocedimientos.PlandeCapacitacin................................. ..........116
Figura12.GuaderespuestaaIncidentesdeS.I................................ .......................... 119
Figura13.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................125
Figura14.ManualdeprocedimientosparalaAdministracindelaS.I.......................... 127
Figura15.PlandeAccindeS.I................................ ................................ ....................133
Figura16.MapadeprocedimientosPlandeAccindeS.I................................ ............136
Figura17.AnlisisyGestindeRiesgosdeS.I................................ ............................ 148
Figura18.Mapadeprocedimientos.AnlisisyGestindelRiesgo............................... 152
Figura19.GuadeRespuestaaIncidentesdeS.I................................ ......................... 163
Figura20.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................169
Figura21.Mapadeprocedimientos.PlandeCapacitacin................................ ...........174
LISTA DE TABLAS
Pg.
Tabla1.Formatodeprocedimientos................................ ................................ ................43
Tabla3.Metodologa:ManualdeRespuestaaIncidentesdeS.I................................ .....63
Tabla4.MetodologaPlandeAccindeS.I................................ ................................ ....81
Tabla5.MetodologaAnlisisyRestindeRiesgosdeS.I................................ .............94
Tabla6.Adicin.MetodologaAnlisisyGestindelRiesgodeS.I............................... 110
Tabla7.MetodologaPlandeCapacitacin................................. ................................ ..115
Tabla8.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad.............120
Tabla9.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes..............122
Tabla10.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora124
Tabla11.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin. 124
Tabla12.MetodologaPlandeAccindeS.I................................ ................................ 134
Tabla13.MetodologaAnlisisyGestindeRiesgosdeS.I................................ .........149
Tabla14.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad...........164
Tabla15.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes............166
Tabla16.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora168
Tabla17.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin..168
Tabla18.MetodologadelasEstrategiasdeCapacitacin................................. ...........173
LISTA DE ANEXOS
Pg.
ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIN .................................................................................................................... 58
Objetivo...................................................................................................................58
Delmanual..............................................................................................................60
Procedimientosdegestin......................................................................................61
Metodologa.............................................................................................................63
Mapadeprocedimientos.........................................................................................65
Especificacindeprocedimientos...........................................................................66
ANEXO B: GRUPO FOCAL ................................................................................................ 73
ANEXO C: PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN, ANLISIS Y
GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN .................................. 75
Objetivo...................................................................................................................77
Procedimientosdegestin......................................................................................77
Metodologaplandeaccindeseguridaddelainformacin..................................81
Mapadeprocedimientos.........................................................................................83
Especificacindeprocedimientos...........................................................................84
Anlisisygestinderiesgosdeseguridaddelainformacin.................................88
Objetivo...................................................................................................................88
Aspectolegal...........................................................................................................88
Delmanual..............................................................................................................90
Procedimientosdegestin......................................................................................92
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin............94
Mapadeprocedimientos.........................................................................................97
Especificacindeprocedimientos...........................................................................98
ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106
ANEXO E: ELIMINACIN DE ACTIVOS DE INFORMACIN Y ESTRATEGIAS DE
CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELO .. 108
Eliminar/dardebajaactivosdeinformacin.......................................................108
Estrategiadecapacitacinycomunicacin..........................................................112
Objetivo.................................................................................................................112
Delplan.................................................................................................................112
Procedimientosdegestin....................................................................................113
Metodologaplandecapacitacinycomunicacinparalaimplementacindel
modelo...................................................................................................................115
Mapadeprocedimientos.Plandecapacitacin....................................................116
Especificacindelprocedimiento..........................................................................116
ANEXO F: GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIN. ................................................................................................................. 118
Alcance:.................................................................................................................118
Responsabilidad:...................................................................................................118
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....120
Eventosdeseguridad(fasepre-incidente)...........................................................120
Gestindeincidentes(fasedeatencindeincidencia)........................................122
Disposicinfinal(fasepost-incidente)...................................................................123
Seguimientorevisinyauditoria...........................................................................124
Documentacinyretroalimentacin......................................................................124
Mapadeprocedimientos.......................................................................................125
ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN..................................126
Delmodelo............................................................................................................126
Plandeaccindeseguridaddelainformacin....................................................128
Objetivo.................................................................................................................128
Metodologaplandeaccindeseguridaddelainformacin................................134
Objetivo.................................................................................................................134
Mapadeprocedimientos.......................................................................................136
Especificacindeprocedimientos.........................................................................137
Anlisisygestinderiesgosdeseguridaddelainformacin...............................141
Objetivo.................................................................................................................141
Aspectolegal.........................................................................................................141
Procedimientosdegestin....................................................................................142
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin..........149
Mapadeprocedimientos.......................................................................................152
Especificacindeprocedimientos.........................................................................153
Guaderespuestaaincidentesdeseguridaddelainformacin..........................162
10
Alcance:.................................................................................................................162
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....164
Eventosdeseguridad(fasepre-incidente)...........................................................164
Gestindeincidentes(fasedeatencindeincidencia)........................................166
Disposicinfinal(fasepost-incidente)...................................................................167
Seguimientorevisinyauditoria...........................................................................168
Documentacinyretroalimentacin......................................................................168
Mapadeprocedimientos.......................................................................................169
Estrategiasdecapacitacinycomunicacin........................................................170
Objetivo.................................................................................................................170
Delplan.................................................................................................................170
Procedimientosdegestin....................................................................................171
MetodologaEstrategiasdeCapacitacinyComunicacin..................................173
Mapadeprocedimientos.Plandecapacitacin....................................................174
Especificacindelprocedimiento..........................................................................175
11
GLOSARIO DE TRMINOS
ACTIVOSDEINFORMACIN:todosloscomponentesde informacinquetienen
valor para la organizacin, todo lo que es posible realizar, concluir, visualizar y
procesardelainformacin.
AMENAZA:accinoeventoquepuedeocasionarconsecuenciasadversasenlos
datos.
ATAQUE:tipoynaturalezadeinestabilidadenlaseguridad.
CABALLODETROYA:programaqueseactivaenunsistemainformticoylodeja
expuestoaaccesosmalintencionados.
HARDWARE:terminoeninglesquehacereferenciaacualquiercomponentefsico
tecnolgico,queinteractadealgnmodoconunsistemacomputacional.
INCIDENTE:sedefinecomouneventoquesucededemanerainesperadayque
puedeafectarla Confidencialidad, Integridad y Disponibilidadde la informacin y
ademsdeestolosrecursostecnolgicos.
12
POLTICAS:actividadorientadaenformaideolgicaalatomadedecisionesdeun
grupoparaalcanzarciertosobjetivos.Accinelegidacomoguaenelprocesode
toma de decisiones al poner en practica o ejecutar las estrategias, programas y
proyectosespecficosdelnivelinstitucional.
,porunmediofsico(cable)odemanerainalmbricadondesecomparte
informacin,recursosylosservicios.
RIESGO: la probabilid
.
SEGURIDAD:puedeafirmarsequeesteconceptoqueprovienedellatnsecuritas
quehacereferenciaalacualidad
peligro, dao o riesgo. Algo seguro es algo cierto, firme e indubitable. La
seguridad,porlotanto,esunacerteza.
SGSI:SistemadeGestindelaSeguridaddelaInformacin.
RESUMEN
EstedocumentosecentraenlaaplicacindelanormaISO/IEC27001enatencin
alosnumerales4.2.2ImplementacinyOperacindeunSistemadeGestindela
SeguridaddelaInformacin(porsussiglas,SGSI),identificandolasaccionesde:
lagestinapropiada,prioridadesyresponsabilidadesdelagerenciaenlacreacin
depolticasquegaranticenelcumplimientodelosobjetivosdelSGSI, ademsse
hace referencia a la creacin de planes de accin para el tratamiento, anlisis y
gestin de los riesgos implementando procedimientos que brindan una atencin
oportuna a los incidentes de seguridad de la informacin, acompaados de
estrategiasdecapacitacinyformacinparalosintegrantesdelaorganizacin.
DESCRIPTORES
ABSTRACT
KEY WORDS
1.1.
Lacarenciadeestrategiasparaunaadministracinseguradelainformacin,est
acompaadadelafaltadeconocimientosobrelosestndaresinternacionalesyde
lasnormasquemediantesuaplicacinayudanaprevenirprdidasdeinformacin
yaevitarlaexistenciadeprocesosvulnerables.
Elevidentembitodecompetitividad,yelavancetecnolgico,enconsonanciacon
elprecariodesarrolloadministrativo,organizacionalytecnolgicodelasempresas
regionales, demuestran la necesidad de brindar mecanismos que les permitan
mitigarsuvulnerabilidadencuantoalaadministracindelainformacin.
13
1.2.
JUSTIFICACIN
Alrespecto,enlaRevistaSistemasN115sehacelapresentacindelaEncuesta
Nacional Seguridad Informtica en Colombia: Tendencias 2010 (pg. 26-49)
dondeplantealasfallasquesetienenencuantoalaseguridaddelainformacin.
Entreellasidentifica:
La conciencia en seguridad de la informacin y el uso de buenas
prcticas: Mostrando que an existe cerca de una tercera parte de las
empresas objetivo que no son conscientes de la necesidad de proteger la
informacinquemanejan.
14
Soloel33%delaswebtienenswadecuadodedeteccindeintrusiones.
Soloel51%delossitioswebcifranlastransaccionesdeinternetquedeben
serseguras.
Soloel27%delasorganizacionesinviertenmsdel1%delpresupuestoen
seguridaddelainformacin.
El43%delosataquesesrealizadosporallegadosalaorganizacin:
22%Empleadosantiguos
14%Empleadosactuales
7%Proveedoresoclientes.
El costo medio de recuperacin a un incidente es de 1.5 Millones de
Dlares.
Ahorabien,sienpasesindustrializadosconhistorialencontroldelainformacin
alinteriordesusorganizacionesydondesepuedesuponerqueexisteunacultura
mayorenseguridaddelainformacinsetienenestosresultados,enColombiase
convierte en un reto la aplicacin de buenas prcticas que garanticen una
adecuadaadministracindelaseguridaddelainformacin.
15
1.3.
OBJETIVOS
Establecerlosfundamentosparaelaborarestrategiasdeformacinytoma
de conciencia para el fortalecimiento de las competencias del personal de
cualquierempresaqueasumalaaplicacindelagua.
16
1.4.
DELIMITACIN
Deigualforma,propiciarlosfundamentosparaelaborarestrategiasdeformacin
y toma de conciencia, que desarrolle competencias para la aplicacin de la
herramienta, tambin brindar una gua documental que plantee una metodologa
que permitan detectar y dar respuesta oportuna a los incidentes de seguridad
tomando como base la norma ISO 27001, haciendo referencia a modelar los
procesos de buenas prcticas de seguridad de la informacin en las micros,
pequeasymedianasempresasdelaregin.
1.5.1. Antecedentes
17
organizacinpuedaasumirparalaproteccindelainformacindeunaformafcil
yalamedidadesusnecesidades.
Lapropiedadintelectualsedivideendoscategoras:a)lapropiedadindustrial,que
incluye las patentes de invenciones, las marcas, los diseos industriales y las
indicacionesgeogrficasyb)losderechosdeautor.
EnesteaspectosepuedenestablecercomoparmetroiniciallaLey23de1982la
cualestipulaellineamientoparalaproteccindederechosdeautor,sinembargo,
cientficas y artsticas gozarn de proteccin para sus obras. Tambin protege
sta ley a los intrpretes o ejecutantes y los productores de fonogramas y a los
contempladeformaliteraleltemainformtico.
18
DeigualformaseencuentranleyesydecretosqueregulanlosderechosdeAutor,
algunas con determinaciones explicitas sobre la informtica y otras con marco
jurdico sobre el tema de propiedad intelectual: Ley 44 de 1993, Decreto 460 de
1995,Decreto162de1996,Ley544de1999,Ley565de2000,Ley603de2000,
Ley719de2001.
Otro elemento que se debe tener en cuenta y que constituye esta misma lnea
normativa, es la legislacin sobre propiedad industrial, all se puede encontrar
normatividadNacionaleinternacional,comola Decisin486delaC.A.N.yenla
legislacinColombianaelDecreto2591de2000,ylaLey178de1994.
AsmismosehandefinidounaseriedeNormas,quedictaminanlacalidaddela
seguridad informtica, definiendo como norma, un modelo, un patrn, ejemplo o
cas que debe
poseer un objeto y los productos que han de tener una compatibilidad para ser
usadosanivelinternacional.
Enelmercadoexistendiferentestiposdenormas,sinembargoenelmbitolocal
se ha adoptado el sistema de las normas ISO (International Organization for
Standardization) que es la entidad internacional encargada de favorecer la
estandarizacinenelmundo.
Estas normas han ido evolucionando paulatinamente, y de all han surgido una
variadaynumerosagamanormativa,lacualseconocecomola familiaISO.
19
ISO27002:Desdeel1deJuliode2007.Esunaguadebuenasprcticas
quedescribelosobjetivosdecontrolycontrolesrecomendablesencuanto
aSeguridaddelaInformacin.Noescertificable.
ISO27003:ConsisteenunaguadeimplementacindeSGSIeinformacin
acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los
requerimientosdesusdiferentesfases.
ISO27004:Especificalasmtricasylastcnicasdemedidaaplicablespara
determinarlaeficaciadeunSGSIydeloscontrolesrelacionados.
ISO27005:Consisteenunaguadetcnicasparalagestindelriesgode
laSeguridaddelaInformacinysirve,portanto,deapoyoalaISO27001y
alaimplantacindeunSGSI.
ISO27007:ConsisteenunaguadeauditoradeunSGSI.
ISO27011:Consisteenunaguadegestindeseguridaddelainformacin
especficaparatelecomunicaciones.
20
ISO27032:Consisteenunaguarelativaalaciberseguridad.
ISO27033:Esunanormaconsistenteen7partes:gestindeseguridadde
redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
Gateways, acceso remoto, aseguramiento de comunicaciones en redes
medianteVPNsydiseoeimplementacindeseguridadenredes.
ISO27034:Consisteenunaguadeseguridadenaplicaciones.
ISO27799:Esunestndarparalaseguridaddelainformacinenelsector
salud.
ElpresentetrabajoinvestigativoseencuentraenmarcadoenlanormaISO27001,
bajoloslineamientosdeimplementacinyoperacindeunSistemadeGestinde
SeguridaddelaInformacin.
1
ALMANZA JUNCO, Ricardo Andrs, Revista Sistemas N 115, pg. 26-49. Artculo: Encuesta
nacional Seguridad informtica en Colombia: Tendencias 2010. Extrado del sitio web
http://www.acis.org.co/index.php?id=1490Septiembrede2010.
21
ste estudio longitudinal, realizado entre los aos 2002 y 2009, tuvo en cuenta
diferentes categoras, como la demografa (empresas a las que iban dirigida la
encuesta), presupuestos (que se manejan en tales empresas que propendan al
mejoramientodelaseguridaddelainformacin),fallasdeseguridad,herramientas
yprcticasdeseguridad,polticasdeseguridady,finalmente,elcapitalintelectual.
Acontinuacinseexpondrnlasprincipalesdealgunosapartados.
a.
Demografa.Identificaelementoscomolazonageogrfica,elsectoryel
tamaodelaorganizacin,responsabilidadyresponsablesdelaseguridad,ypor
ltimolaubicacindelaresponsabilidadenlaorganizacin.Entrelosparticipantes
de ste estudio se encuentra gran participacin del sector bancario, en donde la
SuperintendenciaFinancieradeColombiahadesarrolladopautasparaasegurarla
informacinparalosusuariosdelsistemabancario,tambindelsectoreducativoy
gobiernodondeseevidencialanecesidaddecontarconunadirectrizentemasde
seguridad de la informacin. Otro aspecto importante a resaltar es que la
seguridaddelainformacinsehaconvertidoenunelementoclaveparalamedia
empresa,formalizandosusestrategiasdenegocio.Paralagranempresasetrata
deuntemadelagestindelaorganizacindadoquelasregulacionesinternasy
tendencias internacionales establecen referentes que no pueden ser ignorados.
Finalmente, se evidencia que el cargo de Director del Departamento de
sistemas/Tecnologa ha tenido un aumento significativo, se puede ver que la
seguridad de la informacin continua en aumento, pero se vuelve necesario
coordinar los procesos de negocio con las reas de seguridad y de tecnologa
para as realizar propuestas con fines no estrictamente tecnolgicos para as no
limitar la participacin de estos en las decisiones de negocio o estrategias de la
organizacin.
b.
Presupuestos.Losresultadosmuestranlatendenciadelainversinen
seguridad concentrada en la zona perimetral, en las redes y sus componentes,
ascomolaproteccindedatoscrticosdelaorganizacin,porotroladohayuna
predisposicin a la no concientizacin y entrenamiento del usuario final. Con la
informacin expuesta se puede decir que se evidencia una inversin variable en
seguridad de la informacin, afirmando que en nuestro pas no se ha logrado
generarunaconcientizacinencuantoalanecesidaddetenerpolticasdirigidasa
22
laproteccindelainformacinsinembargo,unaspectopositivoaresaltaresque
enelao2009,segeneraalasempresaslanecesidaddedestinarmsrecursos
alaseguridaddesuinformacin,estodelamanodelacantidaddenormativasy
regulacionesalrededordelaindustrianacional,quemotivastainversin.Estas
inversiones estn generalmente desarrolladas por el sector de la banca y las
empresasdedicadasalastelecomunicaciones,mostrandoasquelaseguridadde
lainformacinnoesuntemaexclusivodelosinformticos,sinoquerequierede
laformacindeunequipomultidisciplinarioqueintegrelosdiferentesnivelesdela
organizacinylosdiferentestiposdeorganizaciones.
c.
Herramientas y Prcticas de Seguridad. Se evidencia como
preocupante que poco ms de la tercera parte de las empresas no prestan
atencin a las prcticas de seguridad y que an, teniendo a disposicin alguna
herramienta que brinde cierto nivel de seguridad, no hacen controles adecuados
sobre ella y sus efectos ni una vez al ao. Por otro lado, se encuentra que las
herramientas ms usadas por las empresas en pro de la seguridad de la
informacin son antivirus, contraseas, firewalls tanto de hardware como de
software,VPN/IPSecyProxiesenmayorporcentajeyotros,enmenorproporcin
comolosonlasfirmasdigitales,smartcards,biomtricos,sistemasdeprevencin
deintrusos,monitoreodebasesdedatos,entreotros.
d.
Polticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de las
empresas tienen tales polticas en ejecucin, mientras las restantes o bien estn
desarrollando tales polticas o sencillamente no han invertido sus recursos en hacerlo
estodebidoa,principalmente,segnelestudio,alpocoentendimientodelaseguridadde
la informacin y a la inexistencia de una poltica de seguridad, lo que finalmente lleva a
cuestionar la concientizacin que realizan las empresas para lograr que sus miembros
entiendan y desarrollencomportamientosque propendan por laseguridad. Parafinalizar
sehaceimportanteresaltarquelaNormaISO27001esadoptadaporcercadelamitad
de las empresas como gua para la adopcin de buenas prcticas en seguridad
informtica.
23
1.6.
MARCO CONCEPTUAL
Elriesgoenlainformacinhaaumentadoamedidaquestayanoescontrolada
en un solo lugar como lo era un sistema centralizado para las organizaciones
ahoralainformacinsedistribuyedetalformaqueseencuentraenvarioslugares
como lo son sedes o sucursales, por sta razn se desconoce qu informacin
puedeseralmacenadaenpuestosespecficosdetrabajo,quemuchasvecesson
usadoscomoequipospersonalesenlasorganizaciones.
Tcnicamenteesimposiblelograrsistemasinformticoscientoporcientoseguros,
"El nico sistema realmente seguro es aquel que est desconectado de la lnea
elctrica, incrustado dentro de un bloque de concreto, encerrado hermticamente
en una habitacin revestida de plomo y protegido por guardias armados y an as,
se puede dudar"2, pero buenas prcticas de seguridad evitan posibles daos y
problemas que pueden ocasionar las incidencias de seguridad de la informacin
enlaorganizacin.
GMEZ VIEITES, lvaro., Enciclopedia de la Seguridad Informtica, Alfa omega Grupo editor,
Mxico,PrimeraEdicin,2007
24
Laseguridadinformticaesunrecursoquenosevalorarealmente,debidoasu
intangibilidad,lasmedidasdeseguridadenlainformacinnocontribuyenaagilizar
los procesos en los equipos, porel contrario producen unefectoadverso a ste,
provocandounareduccinenelrendimientodestosylasaplicaciones,yaquese
realizanprocesosadicionalesalosquenormalmenteseefectan,porejemploen
el envo de datos por una red, no solo se deben procesar los datos para ser
enviados,sinoqueademsdesteprocedimientosellevanacabootrasacciones
comoencriptacindestosmensajes.
Fuente:ElaboracinPropia,basadoenGMEZVIEITESlvaro,2007,Enciclopediadela
seguridadinformtica,Capitulo14,FirmaElectrnica.
25
Cuandosedeseaemitirunmensajeconunnivelaltodeseguridad,lamejorforma
esutilizarlafirmadigital,mtodocriptogrficoqueconsisteenasociarlaidentidad
deunapersonaaunmensajeparagarantizarquenovaaseralteradoduranteel
envo y adems de esto asegurar la autenticidad del mismo, garantizando al
destinatarioqueelmensajefuecreadoporquindicesersuremitente.
Estemtodoconsisteen:
Creacindelafirmadigital.
Encriptacindelmensajeyenvo.
Recepcindelmensajeseguro.
Desencriptacindelmensajeylafirmadigital.
Verificacindelaautenticidaddelmensajeydelafirmadigital.
Porotrolado,cuandonoseaplicanmedidasdeseguridad,elmtodoconsisteen:
Creacindelmensaje
Envodelmensaje
Recepcindelmensaje.
Las
medidas y controles que aseguren la confidencialidad, integridad y disponibilidad
26
Paralograrestosobjetivossedebencontemplar4planosdeatencin:
INFOSECGlorssary2000,pg.13.
GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupo
editor,Mxico,PrimeraEdicin.Pg.4.
5
GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupo
editor,Mxico,PrimeraEdicin.Pg.8.
27
Plano humano:
Sensibilizacinyformacin.
Funciones,obligacionesyresponsabilidadesdelpersonal.
Controlysupervisindelosempleados.
Plano tcnico:
Seleccin,instalacin,configuracinyactualizacindesolucioneshardware
ysoftware.
Criptografa.
Estandarizacindeproductos.
Desarrollosegurodeaplicaciones.
Plano Organizacional:
Polticas,normasyprocedimientos.
Planesdecontingenciayrespuestaaincidentes.
Plano Legislativo:
Cumplimientoyadaptacinalalegislacinvigente.
28
LOS USUARIOS:Establecernormasqueminimicenlosriesgosalainformacino
infraestructura informtica. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertoslugares, autorizaciones, denegaciones, perfilesde usuario,
planes de emergencia, protocolos, as minimizando el impacto en el desempeo
delosfuncionariosydelaorganizacinengeneral.
29
Fuente:NormaISO/IEC17799
Dependiendodeltipodeinformacinmanejadaylosprocesosrealizadosporuna
organizacin, la seguridad de la informacin podr conceder ms importancia a
garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de
informacin6.
Porlotalraznesmuyimportanteidentificarlanecesidaddelaorganizacinpara
as garantizar los pilares de la seguridad de la informacin y enfatizar en la
necesidadadecuadaparadichainstitucin.
Eltrmino"seguridaddelainformacin",Significalaproteccindelainformaciny
de los sistemas de informacin del acceso, uso, divulgacin, alteracin,
modificacin o destruccin no autorizada con la finalidad de proporcionar
Integridad,ConfidencialidadyDisponibilidad7,involucrandolaimplementacinde
GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupo
editor,Mxico,PrimeraEdicin.Pg.5
CornellUniversityLawSchool,Extradodelsitioweb
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html,Octubrede
2010.
30
Esimportantemencionarquelaseguridadesunprocesodemejoracontinua,por
tal razn las polticas y controles que se establecen para la resguardo de la
informacindebenrevisarseyadecuarseparalosnuevosriesgosqueaparezcan,
paraasestablecerlasaccionesquepermitanreducirlosysiesposibleenelmejor
deloscasoseliminarlos.
Existenvariosmecanismosparacumplirnivelesdeserviciofrentealospilaresde
la seguridad de la informacin, que se implementan mediante infraestructura
tecnolgica (servidores de correo, de bases de datos, web, uso de clster de
discos,equiposenaltadisponibilidadaniveldered,servidoresespejo,replicacin
de datos, redes de almacenamiento (SAN, Storage Area Network), enlaces
redundantes,etc.).EstosmecanismossonllamadosServiciosdeSeguridad,cuyo
objetivoesmejorar laseguridad de los sistemasde procesamiento dedatos y la
GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupo
editor,Mxico,PrimeraEdicin,Pg.18.
31
NO REPUDIO DE ORIGEN:Elemisornopuedenegarqueenviporqueel
destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen delenvo, lo cual evita que el emisor, de negar tal
envo,tengaxitoanteeljuiciodeterceros.
Endefinitiva,elnorepudioevitaqueelemisoroelreceptornieguelatransmisin
delmensaje.
CRIPTOGRAFA(cifradodedatos):Mtodoporelcualsetransposicionau
ocultaunmensajehastaquellegaasudestino.
32
AUTENTICACIN: Tcnica de validacin de identificacin que comprueba
que el envo, recepcin o modificacin de informacin no la hace un
impostor.
AMENAZA:Accinoeventoquepuedeocasionarconsecuenciasadversas
enlosdatos.
ATAQUE:Tipoynaturalezadeinestabilidadenlaseguridad.
Laadministracindelainformacinestbasadaenlatecnologastapuedeser
Y/Otenerlossiguientesatributos:
Confidencial:Informacincentralizadaydealtovalor.
Divulgada:Malutilizada,robada,borradaosaboteada.
Estasparticularidadesafectanladisponibilidadylaponenenriesgo.
Cualidadesdelainformacin:
Critica:Indispensableparalaoperacindelaorganizacin.
Valiosa:Consideradacomoactivoparalaorganizacin.
Sensitiva:Debeserconocidaporlaspersonasautorizadas.
33
Riesgo: Todo tipo de vulnerabilidades y amenazas que pueden ocurrir sin
previoaviso.
Seguridad:Formadeprotegerlainformacinfrenteariesgos.
Pilaresdelaseguridaddelainformacin9:
Por otro lado, dentro del tema de seguridad de la informacin se debe tambin
conceptualizarsucomplemento,lainseguridaddelainformacin:
ISO/IEC17799:2005
34
Buscar formas detalladas para la gestin de los riesgos en los que cae la
informacin, y suministrar herramientas eficientes que permitan detectar y dar
respuestaoportunaalosincidentesdeseguridaddelainformacinatravsdela
implementacin de una gua de seguimiento y revisin de los procesos del
sistema, es un punto neurlgico del presente proyecto, cuya solucin se
dictaminar durante su ejecucin, ofreciendo mecanismos que permitan
paralelamente tener presente los escenarios de inseguridad de la informacin
posiblesyasuvezlosmediosdeseguridadaplicablesenelmbito.
1.7.
MARCO TERICO
Desdeunapticatericapropiamentedicha(sintenerencuentalanormatividady
losestndaresmencionadosenloscaptulosanteriores),sehaescritomuypoco
sobre la seguridad de la informacin y su papel desempeado dentro de la
organizacin por eso, en ste marco se pretende mostrar los aportes que han
enriquecidolosestndaresdeprcticasdeseguridaddelainformacin,ydesdela
perspectivadelosautores,esbozarunposibledireccionamientodelanormaISO
27001,desdeelpuntodevistadelaaplicacindelaguadebuenasprcticasde
seguridaddelainformacin-propuestoydesarrollado-enelproyecto.
10
CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la inseguridad
35
1.7.1. Administracin de la Seguridad
Lasbuenasprcticasdeadministracinindicanqueelestablecimientoclarodela
misin de una organizacin es indispensable para que todos los funcionarios
ubiquensuspropiosesfuerzosylosdireccionenenbiendelamisma.[Glueck,W.
11
La Seguridad de la Informacin
LimusaNoriegaEditores,2007.Pg.215.
36
Unpasointermedioentrelaadministracindelaseguridad, -quedesembocaenla
generacin del plan estratgico de seguridad (misin de seguridad)- , y las
polticas de seguridad, es el anlisis de riesgos de la informacin dentro de la
organizacin es aqu donde "se analiza una metodologa prctica para el
desarrollo de planes de contingencia de los sistemas de informacin, que
comprende: la identificacin de riesgos, calificacin del impacto del mismo si se
hiciera realidad, evaluacin del impacto en los procesos crticos y la creacin de
estrategias de contingencias"12.
LasbuenasprcticasdeInseguridaddelainformacinjueganunpapelimportante
en este punto, puesto que no se puede proteger la informacin, si no se sabe
contra qu hay que protegerla. Es necesario entonces, identificar cualquier
aspecto que ponga en riesgo los pilares de la seguridad de la informacin, as
como definir e implantar la defensa necesaria para mitigar y/o eliminar sus
posiblesconsecuencias.
12
NIMARAMOSJonathanD,
de informacin empresarial y de negocios
13
La Seguridad de la Informacin
LimusaNoriegaEditores,2007.Pg.26.
37
Enelprocesodeanlisisderiesgosdelainformacinsepuedendiferenciardos
mdulos: a) La Evaluacin del riesgo, orientado a determinar los sistemas de
informacin y sus componentes, que pueden ser afectados directa o
indirectamente por agentes externos, y b) La Gestin del riesgo, que implica la
identificacin, seleccin, aprobacin y administracin de las defensas para
eliminar,oreduciranivelesaceptables,los riesgosevaluados.Enconclusin,su
papel es reducir la posibilidad de que una amenaza ocurra, si ocurre, limitar su
impacto, eliminar la vulnerabilidad existente y retroalimentar para futuras
eventualidades.
Losbeneficiosdelestablecimientodelaspolticasdeseguridaddelainformacin
ayudan a tomar decisiones sobre otros tipos de poltica empresarial (propiedad
intelectual, destruccin de informacin, etc.), que al final de cuentas redunda en
una estructura de calidad de servicio, seguridad en el servicio y dispone un
ambiente propicio para suministrar una gua, ya que si ocurre un incidente, las
polticas constituyen un marco referencial sobre quin hace qu acciones que
minimicenelimpactodelosmismos.
14
Ibdem,Pg.27
15
221,LimusaNoriegaEditores,2007.
38
1.8.
DIRECCIONAMIENTO
LafortalezadelanormaISO/IEC27001enmateriadegestindeseguridaddela
informacin,adadehoynadielaponeenduda,dehechodesdesupublicacin,
esta norma ha empezado a ser parte fundamental, al menos en teora, del
funcionamientoadministrativodelasorganizaciones.
Sinembargo,estanormaestatodavalejanadealcanzarelgradodeimplantacin
funcionalanivelmundial,quesihanalcanzadootrosestndaresdegestin,como
porejemploelestndarqueestablecelosrequisitosdeunsistemadegestinde
lacalidad:ISO9001.
EstallasuperioridaddelaISO9001frentealasISO/IEC27001,comparadasen
niveldeimplantacinquelanormaISO9001sesaledelmbitoadministrativode
"certificacin" y se plantea en un plano de requerimiento funcional de cualquier
empresaenelmundo.As,sinoseestcertificadoenISO9001,seestfueradel
mercadomundial.
Analizandolaevolucindeesanorma(ISO9001),esposibleinferirunaevolucin
similar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o de
cumplimiento obligatorio, se empiezan a ver signos significativos de su
implantacinenlaorganizacincomosedescribe:
EnPer,laISO/IEC27002:2005(Guadebuenasprcticas.Nocertificable)esde
uso obligatorio en todas las instituciones pblicas desde el ao2005, fijandoas
unestndarparalasoperacionesdelaAdministracin16.
16
OficinaNacionaldeGobiernoElectrnicoeInformtica ONGEIPer,Extradodelsitioweb
http://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.
39
Como lo dice Manuel Daz San Pedro en su artculo ISO 27001 17: Hacia un
cumplimientoobligatorio?"Desde luego, un punto de apoyo muy slido hacia esa
evolucin lo proporciona el Informe Anual 2008 del IT Policy Compliance Group,
con el ttulo "Improving Business Results and Mitigating Financial Risk". Segn los
datos que recoge el informe, las organizaciones con mayor grado de desarrollo en
Gobierno, Gestin de Riesgos, y Cumplimiento en Tecnologas de la Informacin
(GRC IT), superan la media de ingresos en un 17% frente a las organizaciones
que no lo implantan, que se traduce en un 13,8% ms de beneficios para la
organizacin
Sinduda,conestosantecedentes,ISO27001seguiravanzandoenimportanciay
posicindemanerasimilaralestndardecalidadISO9001encuantoagradode
institucin y exigencia, tanto para la empresa privada como para la pblica y la
sociedadengeneral.
17
sitiowebhttp://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimientoobligatorio.htmNoviembrede2010
40
1.9.1. Metodologa
INDAGACIN INICIAL
Sepretendeconocerlosdiferentesmodelosexistentesparalaimplementacindel
SGSI desarrollados por diferentes autores y en diferentes pases con el fin de
ampliarlainformacinyperspectivasdelsistema.
ELABORACIN DE CATEGORAS
Con la informacin obtenida en la indagacin inicial se definirn puntos
divergencia y convergencia, de all se establecern los componentes ms
importantesdelaguaparalograrelestablecimientodelas categorasprincipales
queconformarnlamisma.
PRESENTACIN DE RESULTADOS
Gruposfocalesconpersonalespecializado
La informacin obtenida y procesada se presentar a un grupo de expertos,
conformado por especialistas en el tema para retroalimentar los hallazgos y
obtenernuevainformacinrelevanteparalaconstruccindelagua.
41
18
Guaparaunagestinbasadaenprocesos,InstitutoAndaluzdeTecnologa,ISBN84-923464-7-
7,Pg.22.
42
CDIGO
OBJETIVO
FORMATOS DE REFERENCIA
TIEMPO ESTIMADO/FRECUENCIA
TIPO
RESPONSABLE
NOMBRE
VERSIN
ACTIVIDADES
1.
4.
3.
2.
5.
DESCRIPCIN
<
OBSERVACIONES
Fuente:Elaboracinpropia.
43
2.1.
PLAN DE ANLISIS
Elpresentetrabajosedesarrollen5fasesomomentos:
II.
44
Enlostresconceptosincialesquesehabandeterminadocomoejesestructurales
delapresenteinvestigacin:seguridadinformtica,seguridaddelainformacine
inseguridad de la informacin, se hallan inmersos elementos constitutivos y en
diversoscontextostantonormativos,legalesytecnolgicos,sinembargodesdeel
punto de encuentro de los autores del presente trabajo se establecen elementos
integrantesconceptualescomo:
46
Imaginemosquetodoloplanteadoenlosprrafosanteriores,seasimilaaloque
sucede en la capa de ozono que se encuentra en la estratosfera,
aproximadamentede15a50Kmsobrelasuperficiedelplaneta.Elozonoesun
compuestoqueactacomounpotentefiltrosolar,evitandoelpasodeunaparte
delaradiacinultravioleta(UV)alasuperficiedelatierra.LaradiacinUVpuede
producir dao en los seres vivos, dependiendo de su intensidad y tiempo de
exposicin estos daos pueden abarcar desde irritacin a la piel, conjuntivitis y
deterioro en el sistema de defensas, hasta llegar a afectar el crecimiento de las
plantas, con las posteriores consecuencias que esto ocasiona para el normal
desarrollodelavidaenlatierra.
Sinembargosiguiendoelmismoejemplo,elhuecoenlacapadeozono,construye
47
Atravsdelahistorialaconcepcindeseguridadhaidoevolucionandoaliniciola
seguridad estaba dirigida a proteger la propia vida y garantizar el bienestar de
esta, para ello, se construyeron armaduras, escudos y otros artefactos que
proteganelcuerpoylavidadelosindividuosconlaevolucindelassociedades
yelsurgimientodelaexplotacinmercantillaseguridadsetrasladaaprotegerlos
bienes, productosyrecursosporcualquiermedio.Sinembargo,atravsdetoda
la evolucin social siempre se ha tenido informacin con accesorestringido para
todoslosmiembrosdelasociedad,informacinquesehaguardadosigilosamente
en secreto y que es de vital importancia para el desarrollo de las actividades
administrativas,esteltimoapunteeselquedaorigenaunaseriedeinstituciones
estatales que se dedican a la recoleccin y a salvaguardar la informacin
importanteactualmenteestasconductassegurasconrespectoalainformacinse
hantrasladadoaotrotipodeorganizacionesenbuscadeprotegerloselementos
decompetenciaqueposeen.
48
III.
IV.
Elmodeloplanteadosepresentaungrupodecuatroingenierosconocedoresde
latemtica,ylasntesisdesussugerenciassonlassiguientes:
Enfocar el trabajo realizado del modelo inicial del plan de accin hacia la
legislacin vigente y a las buenas prcticas establecidas en ISO 27001 e
ISM3conelnimodenormalizarelmodelo.
CrearEstrategias,mtodos,diferenciarrolesyresponsabilidadesconelfin
de hacer partcipe a toda la organizacin para la implantacin del modelo
dirigidoporaltagerencia.
Desarrollardeformamsrigurosaundocumentodirigidoaltratamientoyel
anlisisdelriesgo.
49
V.
SecreaunanexodocumentalrespectoalAnlisisyGestindeRiesgosde
SeguridaddelaInformacin.
Seestablecenestrategiasdedifusinycomunicacindelmodelo.
NOTA:Puestoquelasfasesdelplandeanlisisestndiseadasdeunamanera
incremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como se
sigue:
2.2.
50
Seplanteaunplandecapacitacinrigurosoydinmico,aprovechandotodo
el proceso de Anlisis y Gestin del Riesgo para generar los temas de
capacitacinendondeseencuentranfalencias,ademsdeestoselogreun
compromisodeformacinporlosparticipantes.Esmuyimportantebrindar
una difusin en cuanto a Plan de Accin y Anlisis y Gestin del Riesgo
generando un compromiso con los objetivos y metas de dichos
lineamientos.
ElprocedimientoseencuentradescritoenESTRATEGIAS DE CAPACITACIN Y
COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELOpresentadoenel
Anexo E,elcualestdiseadoparaimplementarprogramasdeformacinytoma
deconcienciaporpartedelosintegrantesdelaorganizacin.Estasestrategiasde
capacitacin optimizan y mejoran la difusin de los procedimientos que se
encontrabaninmersostantoenel Plan de AccincomoenAnlisis y Gestin del
51
Riesgo,paraaslograrunacapacitacinintegralymsrigurosadirigidaatodoel
modelo.
2.3.
52
3.1.
RESULTADOS OBTENIDOS
Unmodelovalidadodebuenasprcticasdeseguridaddelainformacin.
Undiagnsticogeneralatravsdelaconstruccindetendenciasdeprcticasde
seguridaddelainformacinenColombia,CANyEstadosUnidos.
3.2.
CONCLUSIONES
Aunqueeltemahacobradovigenciaenlosltimosaos,noseaccedefcilmente
ainformacinsobreeltemadeseguridadinformticaaplicadaenmodelo.
Paraqueelmodeloseaaplicado,sedebegenerarunespaciodeformacinatodo
el personal que tenga interaccin y acceso a la informacin. En los espacios
empresariales,sehaceungranesfuerzoparaquetodoslosempleadostenganlas
competenciasquepermitanaccederalossistemasdeinformacin,sinembargo
pocassonlasactividadesyprocesosquesedesarrollanparaquelohagandeuna
formasegura.
53
Elreducidoabismoentremodelaryaplicar,esquemasdeseguridadinformticay
deinformacin,tambinestmediadoporlaprofundidaddelmismo.Porlocual
organizaciones que han realizado inmensas inversiones para el desarrollo de
modelos sper avanzados y con todas las medidas planificadas para evitar
ataques,sehanolvidadodelasrealidadesdesusrecursosparaaplicarlos,casi
experimentandomegaprocesosparaseraplicadospordbilesequiposdetrabajo.
De esta manera se puede concluir que los procesos deben ser adecuados a las
realidades de cada organizacin, por ello el presente proceso investigativo no
generaunmodelorgidoyeinamovible,sinoantesbienentregaunaherramienta
paratenerencuentaenelmomentoquesevayaagenerarunmodeloaplicadoy
hechoalmedidadecadaorganizacin.
54
3.3.
RECOMENDACIONES
Apartirdelmodeloplanteadoenesteproyectoinvestigativo,debesurgirunnuevo
proyecto,queplanteelaejecucindelmodeloalinteriordeunaorganizacin.
55
4. REFERENCIAS BIBLIOGRFICAS
[1] ALMANZA
[2] [4] [5] [6] [8] GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad
Informtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.
[3]INFOSECGlorssary2000.
[7]
Cornell
University
Law
School,
Extrado
del
sitio
web
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000.htmlalos4dasdeOctubrede2010.
[9]ISO/IEC17799:2005
[10] CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la
inseguridad
informtica,
extrado
del
sitio
web
http://www.acis.org.co/index.php?id=457el15septiembrede2010.
oriegaEditores,2007.
[12]
UniversidaddePiura,Per,2009
56
[18] Gua para una gestin basada en procesos, Instituto Andaluz de Tecnologa,
ISBN84-923464-7-7
[19]ISO/IEC27001:2005
[17]
57
Todoslosprocesosqueconllevenaplanificar,organizar,dirigirycontrolarciertos
recursos, con el nimo de obtener beneficios de la informacin que posee una
organizacin,conllevanaqueadichainformacinseleatribuyannivelesaltosde
calidad, que permiten tomar decisiones estratgicas que direccionan la
organizacin,yqueademsgarantizanquelaseguridaddelainformacinyms
aun,quelasdecisionesbasadasendichainformacinnosevernvulneradaspor
factores externos que atenten contra confidencialidad, la disponibilidad y la
integridaddelainformacin.
Conelpropsitodeestablecerunnivelptimodeseguridaddelainformacin,se
estableceunManualdeRespuestaaIncidentesdeSeguridaddela Informacin,
que sirve como gua de implementacin dentro de la organizacin que desee
alinearseconlasbuenasprcticasestablecidasenlaISO27001.
OBJETIVO
Priorizar las iniciativas ms importantes para cumplir con los objetivos y metas
respecto a la seguridad de la informacin en la organizacin, con el fin de
establecerunaguademanejosobrelosproyectosdeseguridad.
58
DEL MANUAL
SeproporcionanlossiguientesprocedimientosparalaelaboracindelManualde
RespuestaaIncidentesdeSeguridaddelaInformacin:
Identificaryconocerlasposiblesvulnerabilidadesdeseguridaddelainformacin
alinteriordelaorganizacin,constituyeelpasoinicialparaelestablecimientode
polticas y estrategias que la direccionen, en va de salvaguardar la integridad,
disponibilidad y confidencialidad de informacin de la organizacin. Realizar un
diagnstico empresarial determina el punto de partida que prepara la unificacin
de los criterios y objetivos empresariales en aras de implementar unas buenas
prcticasdeseguridaddelainformacin.
Tras definir los objetivos a alcanzar, e identificar los factores que vulneran la
seguridad de la informacin de la organizacin, deben establecerse las lneas
estratgicas de seguridad,quegaranticenlacreacindeunplandeaccinfrente
a los factores de riesgo a los que se encuentra expuesta la informacin. Es
importante proporcionar una clara identificacin de los objetivos para que el
lineamientoseamarcadosinambigedadesenelejerciciodelasbuenasprcticas
deseguridad.
60
proporcionaunpuntodepartidaderetroalimentacindelmanualderespuesta,por
ello, establecer niveles de tolerancia a fallos, garantiza la trazabilidad del riesgo,
puestoqueconsecuentementehaceuntratamientodelriesgoasumido,yencaso
delaocurrenciadeunriesgonoprevisto,formalizasudocumentacinyposterior
tratamiento.
PROCEDIMIENTOS DE GESTIN
EstablecerDiagnsticoEmpresarial:
Encuestar a los miembros de la organizacin respecto al conocimiento de
polticasdeseguridaddelainformacin.
Verificarquelainformacinobtenidaesreal.
Proponerlneasestratgicasdeseguridad.
EstablecerLneasEstratgicasdeSeguridad.
Definirlosobjetivosdeseguridaddelainformacin.
Identificarlosfactoresderiesgodeseguridaddelainformacin.
Establecerunplanderespuestaacadafactorderiesgoidentificado.
EstablecerRecursosNecesarios.
Identificareltipoderiesgoyasociarloacadadepartamentoimplicado.
61
Asignarrolesyresponsabilidades.
EstablecerProgramasdeCumplimientodePrcticasdeSeguridad.
Establecerunaguadesolucindeincidentes.
Garantizarseguimientoyrevisindelmanualderespuestaaincidentes.
EjecutarProgramasdeCumplimientodePrcticasdeSeguridad.
Garantizar que el personal cumple con las medidas establecidas en el
manualderespuestaaincidentes.
EstablecerNivelesdeToleranciaaFallos.
Establecernivelesaceptablesdefactoresderiesgo.
Garantizar que los factores de riesgo no controlados sean seguidos y
parametrizados.
Revisar,EvaluaryAuditarelManualdeRespuestaaIncidentes.
Garantizarmtodosderevisin,seguimientoyauditoria.
Garantizarmejoracontinua.
62
METODOLOGA
OBJETIVO
ACTIVIDADES
63
DESCRIPCIN
Determinar un punto de partida
que prepare el establecimiento
de los objetivos de seguridad
de la organizacin.
OBJETIVO
ACTIVIDADES
DESCRIPCIN
Establecer
niveles Garantiza que los factores de
aceptables de factores de riesgo
sigan
un
patrn
riesgo.
controlable,
medible
y
parametrizable que permitan
una mejora continua, a dems
Establecer niveles de
los
incidentes
no
Garantizar que los factores que,
tolerancia a fallos.
de riesgo no controlados identificados como factores de
sean
seguidos
y riesgo sean parametrizados,
documentados y proporcionen
parametrizados
un punto de partida de
retroalimentacin del manual.
Garantizar
mtodos
de La
alta
gerencia
debe
revisin,
seguimiento
y garantizar que el manual de
auditoria.
respuesta se sigue segn sus
Revisar, evaluar y auditar
lineamientos, a dems de
el manual de respuesta a
incidentes.
su
seguimiento,
Garantizar mejora continua. garantizar
trazabilidad y la aplicacin
correcta segn los objetivos.
Fuente:ElaboracinPropia
64
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia.
65
ESPECIFICACIN DE PROCEDIMIENTOS
CDIGO
GBP-MRI001
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
66
CDIGO
GBP-MRI002
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
Proporcionar una identificacin clara de los objetivos de seguridad a seguir y establecer los
lineamientos de cumplimiento de dichos objetivos.
<
OBSERVACIONES
67
CDIGO
GBP-MRI003
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia
Departamento Implicado
OBJETIVO
FORMATOS DE REFERENCIA
TIEMPO ESTIMADO/FRECUENCIA
RESPONSABLES
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
68
CDIGO
GBP-MRI004
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
Proporcionar una gua que permita el tratamiento de los incidentes segn los riesgos
identificados y la tipificacin de los mismos.
<
OBSERVACIONES
69
CDIGO
GBP-MRI005
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
FORMATOS DE REFERENCIA
RESPONSABLE
OBJETIVO
ACTIVIDADES
1.
DESCRIPCIN
<
OBSERVACIONES
70
CDIGO
GBP-MRI006
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
DESCRIPCIN
Garantiza que los factores de riesgo sigan un patrn controlable, medible y parametrizable
que permitan una mejora continua, adems que, los incidentes no identificados como factores
de riesgo sean parametrizados, documentados y proporcionen un punto de partida de
retroalimentacin del manual.
<
OBSERVACIONES
71
CDIGO
GBP-MRI007
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
DESCRIPCIN
La alta gerencia debe garantizar que el manual de respuesta se sigue segn sus
lineamientos, adems de garantizar su seguimiento, trazabilidad y la aplicacin correcta
segn los objetivos.
<
OBSERVACIONES
72
ACTIVIDADES
1. Presentar el modelo del manual de Respuesta a Incidentes de Seguridad de la Informacin.
2. Recopilar informacin del grupo de expertos en seguridad de la informacin para
retroalimentar el modelo que se tiene planteado.
RESULTADOS OBTENIDOS
Enfocar el trabajo realizado del modelo inicial del plan de accin hacia la legislacin
vigente y a las buenas prcticas establecidas en ISO 27001 e ISM3 con el nimo de
normalizar el modelo.
>>
>>
Ingeniero de Sistemas
Ingeniero Juan Roa Salinas - Jefe proyectos Seguridad de la informacin en Transbank, Chile
Edison Ricardo Barahona Morales, Ingeniero en Sistemas. Consultor Dataware House. Atlantic
Security Bank, Panam City.
_____________________________
JulinAlbertoGmezIsaza
___________________________
GerardoAyalaGonzlez
EstudiantesdelprogramaIngenieradeSistemasyComputacin
UniversidadTecnolgicadePereira
2010
73
74
Eldiagnsticoempresarialfueevolucionadohaciaelestablecimientodeobjetivos
claros, concisosy medibles con elfin de instaurarunaplaneacinestratgica de
seguridad y encausar as la planeacin estratgica empresarial con la
implantacindeestasprcticassegurasalinteriordelaorganizacin.
75
OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividaddelaadministracindeseguridaddelainformacindelaorganizacin.
PROCEDIMIENTOS DE GESTIN
El Plan de Accin de la Seguridad de la Informacin est constituido por:
Objetivos,estrategias,tareas,seguimientoyrevisinyauditorias.
Comoprimerapartesevanaestablecerobjetivosclaros,concisosymediblescon
lafinalidaddetenerunadirectrizdeejecucindelPlandeAccindelaSeguridad
de la Informacin.Paraestableceresosobjetivos se vaa realizar undiagnstico
preliminar del estado actual de la organizacin con referencia a la seguridad de
sus activos de informacin, con la finalidad de conocer la situacin actual y
proyectarlasituacinidealdelaorganizacin.
77
Comosegundapartesevanaestablecerlasestrategiasquereflejenelcaminoa
seguirparalogrardichosobjetivos,estasestrategiastienencomofinalidaddarles
sentido, direccin y continuidad mediante el encause de los lineamientos
estratgicosadministrativosdelaorganizacinyloslineamientosestratgicosde
seguridad de la informacin este proceso debe contar con el apoyo de la alta
gerencia,porellohayqueconcientizarlasobrelaimportanciadequelosobjetivos
deseguridadylosobjetivosorganizacionalesestndireccionadoshacialamisma
lneadeaccin.
Comoterceramedidasehanestablecerlastareasdondesedescribanlospasos
exactosparaelcumplimientodelasestrategiassteapartadoestcompuestopor
lassiguientesactividades:primero,determinarculessonlasdependenciasdela
organizacinyculesdeestasvanaejecutarlosegundo,determinarelalcancey
lasdelimitacionesdecadatarea,endndeyporqusedetienecadaunadeellas
tercero, Objetivizar cada tarea y verificar que hace parte de la planeacin
estratgicadeseguridadydelaplaneacinestratgicaorganizacional,realizando
tareas posibles de cumplir y que estn dentro de los lineamientos de la
planeacinestratgicadeseguridadydelaplaneacinestratgicaorganizacional.
Dichastareasgarantizanelcumplimientodelobjetivo,luegodeestosedeterminan
tiemposdeadelanto,avance,entregasoposposicindecadatarea,cadaunade
ellas debe tener un inicio y un final teniendo un control para as evitar perder el
recurso tiempo, por ltimo en este tem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quienlahace,porquelahace,lostiemposyresultadosdedichatarea.
78
Determinarlasituacindeseadaquelaempresaintentalograr,yestablecer
lasmetasdeseguridadadondesedirigenlasacciones.
Establecerindicadoresdemedidaquepermitandefinirenformadetalladalo
queelobjetivodesealograr,enqutiempoysiesposible,aquecosto.Los
estndares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumplindose, y si es necesario
modificarlosono.
79
Darsentido,direccinycontinuidadalosobjetivosmedianteelencausede
loslineamientosestratgicosadministrativosyloslineamientosestratgicos
deseguridaddelainformacin.
Determinarlasdependencias,alcanceydelimitacionesdecadatarea.
Asignarrolesyresponsablesdirectosencadatarea.
80
Asegurarelseguimientoylatrazabilidaddelaaplicacindelmodelo.
Garantizarlacalidadylamejoracontinua.
OBJETIVO
ACTIVIDADES
Realizar un diagnstico
preliminar del estado actual
de la organizacin en
referencia a las seguridad
de
sus
activos
de
informacin.
Determinar la situacin
deseada que la empresa
Establecer los objetivos
intenta lograr, y establecer
del plan de accin.
las metas de seguridad a
donde se dirigen las
acciones.
Establecer indicadores de
medida
que
permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qu tiempo y si
es posible, a que costo
Encausar los lineamientos
estratgicos
administrativos y los
lineamientos estratgicos
Establecer las estrategias de seguridad.
del plan de accin.
Establecer las lneas de
accin
para
el
cumplimiento
de
los
requerimientos funcionales
del modelo.
81
DESCRIPCIN
OBJETIVO
ACTIVIDADES
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeacin estratgica
especficas
que
garanticen
el
de seguridad y de la
cumplimiento de las estrategias del plan
planeacin estratgica
de accin de seguridad de la
organizacional.
informacin, y para cada una de ellas,
asignar un responsable directo y un rol
Determinar tiempos de
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposicin de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer
indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicacin de los objetivos mtodos de revisin, seguimiento y
del plan de accin.
evaluacin de cumplimiento de los
Asegurar que se realiza objetivos del plan de accin, y garantizar
seguimiento a la aplicacin que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable.
establecidas.
Garantizar la calidad y
mejora continua.
Fuente:ElaboracinPropia
DESCRIPCIN
82
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia
83
ESPECIFICACIN DE PROCEDIMIENTOS
CDIGO
GBP-PASI001
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
Determinar la situacin deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.
3.
DESCRIPCIN
La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las
directrices de la creacin del plan de accin de seguridad de la informacin.
<
OBSERVACIONES
Los estndares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumplindose, y si es necesario modificarlos o no.
84
CDIGO
GBP-PASI002
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.
ACTIVIDADES
1.
2.
DESCRIPCIN
La alta gerencia debe garantizar que los objetivos estratgicos organizacionales y los
objetivos estratgicos de seguridad de la informacin tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestin de
seguridad de la informacin.
<
OBSERVACIONES
85
CDIGO
GBP-PASI003
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de accin.
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
La alta gerencia debe generar las tareas especficas que garanticen el cumplimiento de las
estrategias del plan de accin de seguridad de la informacin, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.
<
OBSERVACIONES
86
CDIGO
GBP-PASI004
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
87
OBJETIVO
ASPECTO LEGAL
DECRETO N1537 /26DE JULIO DE2001. ARTICULO 4. ADMINISTRACIN
DERIESGOS.Comoparte integraldelfortalecimientodelossistemasdecontrol
internoenlasentidadespblicaslasautoridadescorrespondientesestablecerny
aplicarnpolticasdeadministracindelriesgo.Paratalefecto,laidentificaciny
anlisis del riesgo debe ser un proceso permanente e interactivo entre la
administracinylasoficinasdecontrolinternooquienhagasusveces,evaluando
los aspecto tanto internos como externos que pueden llegar a representar
amenaza para la consecucin de los objetivos organizacionales, con miras a
estableceraccionesefectivas,representadasenactividadesdecontrol,acordadas
entrelosresponsablesdelasreasoprocesosylasoficinasdecontrolinternoe
integradasdemanerainherentealosprocedimientos.
88
DEL MANUAL
El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de informacin y por ende la continuidad de la
organizacin, creando estrategias de anlisis, identificacin de falencias,
fortalezasyrecursosdeinformacinqueseposeenenlaorganizacin,ademsde
estoevidenciarcomoseatiendenlasincidenciasdeseguridadgarantizandouna
buenatomadedecisionesrespectoaloscontrolesmsapropiadosparalagestin
de estos. ste, integrado a las polticas de gestin del riesgo con los objetivos
estratgicosdelaorganizacintienecomoresultadoelencausedelaslaboresal
propsitoofinorganizacional.
90
Esimportantetenerencuentaquenotodoslosactivosdeinformacinposeenla
misma calidad de informacin, por lo que es necesario establecer un anlisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.
Con la clasificacin del impacto del riesgo se busca establecer en primer lugar
cuales son los activos ms susceptibles de dao, por lo que es importante tener
claridad de cmo se realiza la proteccin de cada uno de ellos adems es
necesario evaluar el impacto para la organizacin si tales riesgos se hacen
efectivos.
91
quepermitanlacontinuidaddelosprocesosorganizacionalessinafectarengran
medidalosprocesosestablecidos.
Unavezquesehanidentificadolosriesgosenlosactivosdeinformacinyenlas
prcticas de seguridad que se implementan en la organizacin, se puede
determinarculeselniveldevulnerabilidadparacadaunodeellos,teniendoen
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
informacin y el impacto que puede tener en la organizacin, as entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
delamejorformaposible,deestamanerasepuedegarantizarunabuenaGestin
deltratamientodelriesgodelaSeguridaddelaInformacin.
PROCEDIMIENTOS DE GESTIN
92
Categorizarlasamenazasidentificadas.
Establecerescalasmtricasparaelanlisiscuantitativodelasamenazas.
Clasificar las amenazas de acuerdo a resultados obtenidos en la escala
mtrica.
IDENTIFICAR
ACTIVOS
ORGANIZACIN.
DE
INFORMACIN
VULNERABLES
EN
LA
ESTABLECER EL
INFORMACIN.
NIVEL
DE
PROTECCIN
DE
LOS
ACTIVOS
DE
Identificarelactivo.
Establecerfactoresderiesgoparacadaactivo.
Establecerlavulnerabilidadparacadaactivo.
Puntualizar en qu grado es efectiva la proteccin para cada activo de
informacin.
93
OBJETIVO
Establecer la situacin
actual de la
organizacin.
Identificar activos de
informacin.
ACTIVIDADES
Observar y realizar
seguimiento a
procedimientos de la
organizacin.
Desarrollar entrevistas y
encuestas a los
integrantes de la
organizacin.
Revisar la documentacin
que se posee.
Clasificar los de activos
de informacin que posee
la organizacin.
Asignar un valor de
importancia a estos
activos para establecer el
nivel de importancia de
cada uno de ellos.
94
DESCRIPCIN
La situacin actual de la organizacin
permite establecer cmo se encuentra
esta en cuanto a: sus recursos de
software, estrategias de seguridad
utilizadas, las falencias en los procesos
realizados y la atencin de incidentes
de seguridad
OBJETIVO
Identificar activos de
informacin vulnerables
en la organizacin.
ACTIVIDADES
Identificar factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a resultados
obtenidos en la escala
mtrica.
Identificar cuales
amenazas afecta a cada
uno de los activos de
informacin.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas en los activos
de informacin.
Identificar el activo.
Establecer factores de
riesgo para cada activo.
Establecer la
Establecer el nivel de
proteccin de los activos vulnerabilidad para cada
activo.
de informacin.
Puntualizar en qu grado
es efectiva la proteccin
para cada activo de
informacin.
95
DESCRIPCIN
En la identificacin del riesgo se va a
ponderar la posibilidad de ocurrencia de
eventos adversos o que las amenazas
se vuelvan una realidad, identificando
dichas amenazas a las que se
encuentran expuestos los activos de
informacin, y estableciendo mtricas
para analizarlas en cuanto a su mayor o
menor capacidad de causar dao a
estos activos, lo que permite tener una
evidencia y un soporte objetivo acerca
de los riesgos a los que se encuentra
expuesta la organizacin.
OBJETIVO
Crear estrategias de
contingencia.
ACTIVIDADES
Identificar el nivel de
importancia del activo
afectado.
Indicar como se realiza la
proteccin para cada
activo informtico.
Evaluar
las
consecuencias
en
la
organizacin por estos
factores de riesgo.
Identificar los activos de
informacin vulnerables.
Plantear una estrategia
alternativa para que el
activo de informacin
afectado no interfiera con
el funcionamiento de la
organizacin.
Ejecutar la estrategia para
el activo de informacin
que lo requiera.
Realizar evaluaciones
peridicas a las
estrategias para verificar
su adecuacin a los
cambios en los activos de
informacin.
DESCRIPCIN
Con el anlisis de la informacin
obtenida en los procesos anteriores se
permite en este proceso evaluar las
posibles consecuencias de un fallo o
realizacin de un riesgo en los activos
de informacin
Fuente:ElaboracinPropia
96
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia
97
ESPECIFICACIN DE PROCEDIMIENTOS.
CDIGO
GBP-AGR001
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
98
CDIGO
GBP-AGR002
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
DESCRIPCIN
Clasificar los activos de informacin segn el impacto que puede generar el fallo de stos en
la organizacin, asignndole a cada uno de ellos un valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de stos activos para la organizacin.
<
OBSERVACIONES
99
CDIGO
GBP-AGR003
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
<
OBSERVACIONES
100
CDIGO
GBP-AGR004
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GBP-AGR003
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
Identificar cuales amenazas afectan a cada uno de los activos de informacin. (GSIAGR003)
2.
Establecer el nivel de dao que puede generar cada una de las amenazas en los activos
de informacin.
DESCRIPCIN
<
OBSERVACIONES
101
CDIGO
GBP-AGR005
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
Este proceso brinda informacin clara y suficiente sobre la efectividad de las estrategias de
proteccin utilizadas por la organizacin en cada uno de los activos de informacin.
OBSERVACIONES
102
CDIGO
GBP-AGR006
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GSI-AGR002, GSI-AGR005
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
103
CDIGO
GBP-AGR007
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GSI-AGR004
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
OBSERVACIONES
104
CDIGO
GBP-AGR008
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
RESPONSABLE
FORMATOS DE REFERENCIA
OBJETIVO
ACTIVIDADES
1.
2.
DESCRIPCIN
<
OBSERVACIONES
105
ACTIVIDADES
Tambin se hace necesario crear un proceso que indique la correcta eliminacin de los
activos de informacin.
>>
PARTICIPANTES
Ingeniero Oscar Arroyave de la Pava Ingeniero de Sistemas
Ingeniero Jorge Ivn Ros P MSC en Ingeniera del Conocimiento.
_____________________________
JulinAlbertoGmezIsaza
___________________________
GerardoAyalaGonzlez
EstudiantesdelprogramaIngenieradeSistemasyComputacin
UniversidadTecnolgicadePereira
2010
106
107
Las modificaciones realizadas tras integrar las sugerencias propuestas por los
expertossonlassiguiente:
Secreaunprocedimientoquerijalaeliminacinybajadeactivosdeinformacin:
Identificartipodeactivoaeliminar/dardebaja.
Evaluarelimpactodelaeliminacin/bajadeesteactivodeinformacin.
Establecerunprotocolodeeliminacin/bajadecadaactivodeinformacin.
Garantizarquelabajadedichoactivosalvaguardelaconfidencialidaddela
informacindelaorganizacin.
Seplanteaparaesteprocedimientolarealizacindeunaseriedeactividades:La
primera de ellas involucra la identificacin del tipo de activo de informacin a
eliminar o dar de baja entendiendo la eliminacin de ste como su destruccin
total y dar de baja como el almacenamiento o retiro del funcionamiento en la
organizacindespusdeestosevaaevaluarelimpactodelaeliminacinobaja
de tal activo para la organizacin, analizando los pros y los contras de esta
actividad y no olvidando establecer un protocolo de eliminacin o baja para l
cada uno de ellos va a ser tratado con su propio mtodo para finalizar se debe
garantizar que la eliminacin o baja de dicho activo salvaguarde la
confidencialidaddelainformacindelaorganizacin.
108
Elprocedimientoseespecificacomosesigue:
CDIGO
GBP-AGR009
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GBP-AGR002
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
En este proceso se establecen medidas que garantizan una efectiva eliminacin/baja de los
activos de informacin, implantando metodologas eficientes para destruir o darle exclusin
de la organizacin a dichos activos.
OBSERVACIONES
109
SeleadicionaelsiguientecomponentealametodologaplanteadaparaelAnlisis
yGestindelRiesgodelaSeguridaddelaInformacin:
OBJETIVO
Eliminar activos de
informacin.
ACTIVIDADES
DESCRIPCIN
Fuente:ElaboracinPropia
110
Implementarprogramasdeformacinytomadeconcienciaparacomunicaralos
integrantes de la organizacin la implementacin e implantacin del Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin.
DEL PLAN
EldiseodelPlandeCapacitacinyComunicacinsedefineenunaherramienta
documental independiente tanto al Plan de Accin y al Anlisis y Gestin del
RiesgodelaSeguridaddlainformacindebidoalaspropuestasestablecidaspor
el panel de expertos donde se indicaba el establecimiento de capacitacin ms
dinmicadondenosolofueracapacitacin,sinotambingeneraruncompromiso
deformacindeloscolaboradoresdelaorganizacin.
Elplandecapacitacintienecomopropsitobrindaralpersonaldelaorganizacin
losconocimientosydesarrollodehabilidadesespecficasparaeldesempeode
susactividadesalinteriordelamisma,fortaleciendosuproductividadycalidaden
las actividades desarrolladas. El plan de capacitacin no solo est dirigido a los
integrantes nuevos sino tambin a los experimentados, es responsabilidad de la
organizacin garantizar el conocimiento y habilidades necesarias para el buen
desempeodelasactividadeslaborales.
112
aumentandosueficienciafrentealaorganizacinotrapartemuyimportanteque
locomponeesunconjuntodemtodos,tcnicasyrecursosparadarcumplimiento
aloslineamientosorganizacionalesrequeridos.
PROCEDIMIENTOS DE GESTIN
Identificarlatemticaatratar.
Disponerrecursoshumanosyfsicos.
Verificar aptitudes y habilidades del personal que va a realizar la
capacitacinyformacin.
Establecerelgrupofocalalcualvadirigidalacapacitacinylaformacin.
Comunicar lo establecido en el Manual de Procedimientos para la
Administracin de Seguridad de la Informacin, y los lineamientos
directivos,satisfaciendolasnecesidadesdeformacin,tomadeconciencia
ycompetencia.
Garantizar la evaluacin del cumplimiento de los objetivos del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin,
paraverificarlaeficaciadelasaccionesemprendidasenelmismo.
Documentarlasactividadesdeformacin.
113
Elplanbsicodesarrollarlassiguientestemticas:
PlanavanzadodeCapacitacin:
Los horarios establecidos para el plan de capacitacin, deben definirse por cada
organizacin,sinembargoseaconsejahacerlodeformasemanalyconespacios
denomsdecuatrohorasynomenosde2horasporjornada,conelfindetener
espaciosdetiempoadecuadosalametodologasocioconstructivista.Elplande
capacitacin se plantea de 90 horas, entregando como resultado el plan de
capacitacinavanzadoconlasnecesidadespropiasdelaorganizacin.
114
OBJETIVO
ACTIVIDADES
DESCRIPCIN
Fuente:ElaboracinPropia
115
Fuente:ElaboracinPropia
Elprocedimientoqueespecificalaejecucindelasdistintasfasesquecomponen
lasestrategiasdecapacitacinycomunicacindelaGua de Buenas Prcticas de
Seguridad de la Informacinsecitacomosigue:
116
CDIGO
GBP-PCC001
VERSIN
01
TIPO
Apoyo
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
RESPONSABLE
FORMATOS DE REFERENCIA
OBJETIVO
ACTIVIDADES
1.
2.
3.
4.
5.
6.
7.
DESCRIPCIN
de la Guia de buenas
La alta gerencia debe comunicar a la organizacin e
practicas
esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos
realizados durante el la implementacin de la Guia.
117
ALCANCE:
Estaguaaplicacomomodelodeatencinysolucinaincidentesdeseguridadde
la informacin dentro de la organizacin interesada en aplicar el Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin,buscando
que los integrantes de la organizacin comprendan las polticas y los
procedimientosestablecidos.
RESPONSABILIDAD:
Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizarelaseguramientodelosobjetivosfundamentalesdelaseguridaddela
informacin:Confidencialidad,Disponibilidad,Integridad,yencasodevulnerarse
algunodeestosobjetivos(opreverlaposiblevulnerabilidad),losresponsablesde
laatencindelincidenteactuarancomosesigue19:
19
,siguiendo
loslineamientosdelosprocedimientosadscritosalaGua.
118
OBJETIVO
ACTIVIDADES
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas.
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a los
resultados obtenidos en la
escala mtrica.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas a los activos
de informacin.
Identificar el nivel de
importancia del activo de
informacin afectado
[GBP-AGR002]
Indicar como se realiza la
proteccin para cada
activo de informacin.
[GBP- AGR005]
Evaluar las
consecuencias para la
organizacin debido a los
factores de riesgo.
120
DESCRIPCIN
OBJETIVO
Documentar evento de
seguridad
ACTIVIDADES
DESCRIPCIN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte
de la planeacin
estratgica de seguridad
y de la planeacin
estratgica
organizacional.
Determinar tiempos de
adelanto, avance,
entregas o posposicin de
cada tarea.
Asignar roles y
responsables directos
para cada tarea.
Fuente:ElaboracinPropia
121
OBJETIVO
ACTIVIDADES
Identificar el incidente.
Clasificar el incidente.
Reportar a responsable
equipo de respuesta a
incidentes.
Establecer las acciones
correctivas que conlleven
al tratamiento y solucin
Gestionar la mitigacin y /
del incidente.
o solucin del fallo de
Verificar que las acciones
seguridad.
correctivas mitigan y / o
solucionan eficazmente el
incidente.
Documentar incidencia y
metodologa de solucin de
Evidenciar y
la misma.
retroalimentar
ocurrencias de fallos y
Retroalimentacin del
atencin de los mismos.
mtodo de respuesta al
incidente.
Establecer mtodos de
seguimiento, revisin y
Revisar y controlar los
procedimientos (previos, auditoria a los procesos de
respuesta a incidentes.
de intervencin y
tratamiento, y
Informar a la alta gerencia
explicativos) de respuesta los resultados de los
a incidentes en la
procesos de auditora
organizacin.
hechos a los procesos de
respuesta a incidentes
Diagnosticar ocurrencia
de un fallo de seguridad
DESCRIPCIN
Fase previa al tratamiento y solucin de la
incidencia que permite establecer y
parametrizar histricamente la ocurrencia
de un fallo de seguridad.
Fuente:ElaboracinPropia.
122
Convocaralosintegrantesdelaorganizacinalaconcertacindepolticas,
procedimientos,capacitacinymanuales,quelaaltagerenciadefinacomo
pertinentes, en funcin del cumplimiento de los objetivos planteados, para
darrespuestaalosincidentesdeseguridad.
123
OBJETIVO
ACTIVIDADES
Establecer
indicadores
comparables y medibles
que den seguimiento a la
aplicacin de los objetivos
Comunicar la
implementacin e
de la gua de respuesta a
implantacin de la gua
incidentes.
de respuesta a incidentes
Asegurar que se realiza
de seguridad de la
seguimiento a la aplicacin
informacin
de la gua, y que la misma
es trazable.
Garantizar la calidad y
mejora continua.
DESCRIPCIN
DOCUMENTACIN Y RETROALIMENTACIN
OBJETIVO
Comunicar la
implementacin e
implantacin de la gua
de respuesta a incidentes
de seguridad de la
informacin
Documentacin y
ACTIVIDADES
Convocar a reunin a los
integrantes
de
la
organizacin.
Comunicar lo establecido
en el plan de accin y los
lineamientos directivos.
DESCRIPCIN
La alta gerencia debe comunicar
la organizacin e
cumplimiento de
Fuente:ElaboracinPropia
124
esos objetivos.
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia
125
ANEXO G
MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN
Estemodelosurgedel procesoinvestigativorealizadoenelproyecto,resultando
en una herramienta metodolgica documental y procedimental que sirve como
modeloparaeltratamientosegurodelainformacinutilizadaenlaorganizaciny
asuvezpresentaunmodelodebuenasprcticasdeseguridaddelainformacin,
fundamentadasenlanormaISO27001.
Estemanualestconstituidopor:
DEL MODELO
126
MANUALDEPROCEDIMIENTOSPARALAADMINISTRACIN
DELASEGURIDADDELAINFORMACIN
GuadeRespuestaa
AnlisisyGestindelriesgo
PlandeAccinde
IncidentesdeSeguridadde
SeguridaddelaInformacin
deSeguridaddela
laInformacin
Informacin
ESTRATEGIASDECAPACITACINYCOMUNICACINPARALAIMPLEMENTACINDEL
MODELO.
Fuente:ElaboracinPropia.
127
OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividaddelaadministracindeseguridaddelainformacindelaorganizacin.
PROCEDIMIENTOSDEGESTIN
El Plan de Accin de la Seguridad de la Informacin est constituido por:
Objetivos,estrategias,tareas,seguimientoyrevisinyauditorias.
Comoprimerapartesevanaestablecerobjetivosclaros,concisosymediblescon
lafinalidaddetenerunadirectrizdeejecucindelPlandeAccindelaSeguridad
de la Informacin.Para estableceresosobjetivos se va a realizar undiagnstico
preliminar del estado actual de la organizacin con referencia a la seguridad de
sus activos de informacin, con la finalidad de conocer la situacin actual y
proyectarlasituacinidealdelaorganizacin.
128
seestncumpliendoyenquporcentajeseestlogrando,demaneraquepermita
modificarlossiesnecesario.
Comosegundapartesevanaestablecerlasestrategiasquereflejenelcaminoa
seguirparalogrardichosobjetivos,estasestrategiastienencomofinalidaddarles
sentido, direccin y continuidad mediante el encause de los lineamientos
estratgicosadministrativosdelaorganizacinyloslineamientosestratgicosde
seguridad de la informacin este proceso debe contar con el apoyo de la alta
gerencia,porellohayqueconcientizarlasobrelaimportanciadequelosobjetivos
deseguridadylosobjetivosorganizacionalesestndireccionadoshacialamisma
lneadeaccin.
Comoterceramedidasehanestablecerlastareasdondesedescribanlospasos
exactosparaelcumplimientodelasestrategiassteapartadoestcompuestopor
lassiguientesactividades:primero,determinarculessonlasdependenciasdela
organizacinyculesdeestasvanaejecutarlosegundo,determinarelalcancey
lasdelimitacionesdecadatarea,endndeyporqusedetienecadaunadeellas
tercero, Objetivizar cada tarea y verificar que hace parte de la planeacin
estratgicadeseguridadydelaplaneacinestratgicaorganizacional,realizando
tareas posibles de cumplir y que estn dentro de los lineamientos de la
planeacinestratgicadeseguridadydelaplaneacinestratgicaorganizacional.
Dichastareasgarantizanelcumplimientodelobjetivo,luegodeestosedeterminan
tiemposdeadelanto,avance,entregasoposposicindecadatarea,cadaunade
ellas debe tener un inicio y un final teniendo un control para as evitar perder el
recurso tiempo, por ltimo en este tem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quienlahace,porquelahace,lostiemposyresultadosdedichatarea.
129
accin.Acontinuacinsetratadeasegurarelseguimientoylatrazabilidaddela
aplicacindelmodelo,garantizandoqueencualquiermomentosepuedeacceder
a versiones anteriores del modelo, si seesthaciendo un seguimiento, se debe
evidenciar la frecuencia con la que se realiza el procedimiento, por qu se hizo,
cuntosedemor,ysihayuncambioteneraccesoaestoscambiosypoderver
las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora
continualaprimerahacereferenciaalarealizacinestrictadelosprocedimientos
documentados y, la segunda hace referencia a la verificacin y reajuste de los
procedimientos con el fin de mantener la documentacin de los mismos
actualizada.
Determinarlasituacindeseadaquelaempresaintentalograr,yestablecer
lasmetasdeseguridadadondesedirigenlasacciones.
Establecerindicadoresdemedidaquepermitandefinirenformadetalladalo
queelobjetivodesealograr,enqutiempoysiesposible,aquecosto.Los
estndares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumplindose, y si es necesario
modificarlosono.
130
Darsentido,direccinycontinuidadalosobjetivosmedianteelencausede
loslineamientosestratgicosadministrativosyloslineamientosestratgicos
deseguridaddelainformacin.
Determinarlasdependencias,alcanceydelimitacionesdecadatarea.
Asignarrolesyresponsablesdirectosencadatarea.
131
Asegurarelseguimientoylatrazabilidaddelaaplicacindelmodelo.
Garantizarlacalidadylamejoracontinua.
132
OBJETIVO
OBJETIVO
ACTIVIDADES
Realizar un diagnostico
preliminar del estado actual
de la organizacin en
referencia a las seguridad
de
sus
activos
de
informacin.
Determinar la situacin
deseada que la empresa
Establecer los objetivos
intenta lograr, y establecer
del plan de accin.
las metas de seguridad a
donde se dirigen las
acciones.
Establecer indicadores de
medida
que
permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qu tiempo y si
es posible, a que costo
Encausar los lineamientos
estratgicos
administrativos y los
lineamientos estratgicos
Establecer las estrategias de seguridad.
del plan de accin.
Establecer las lneas de
accin
para
el
cumplimiento
de
los
requerimientos funcionales
del modelo.
134
DESCRIPCIN
OBJETIVO
ACTIVIDADES
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeacin estratgica
especficas
que
garanticen
el
de seguridad y de la
cumplimiento de las estrategias del plan
planeacin estratgica
de accin de seguridad de la
organizacional.
informacin, y para cada una de ellas,
asignar un responsable directo y un rol
Determinar tiempos de
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposicin de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer
indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicacin de los objetivos mtodos de revisin, seguimiento y
del plan de accin.
evaluacin de cumplimiento de los
Asegurar que se realiza objetivos del plan de accin, y garantizar
seguimiento a la aplicacin que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable.
establecidas.
Garantizar la calidad y
mejora continua.
Fuente:ElaboracinPropia
DESCRIPCIN
135
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia
136
ESPECIFICACIN DE PROCEDIMIENTOS
CDIGO
GBP-PASI001
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
Determinar la situacin deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.
3.
DESCRIPCIN
La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las
directrices de la creacin del plan de accin de seguridad de la informacin.
<
OBSERVACIONES
Los estndares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumplindose, y si es necesario modificarlos o no.
137
CDIGO
GBP-PASI002
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.
ACTIVIDADES
1.
2.
DESCRIPCIN
La alta gerencia debe garantizar que los objetivos estratgicos organizacionales y los
objetivos estratgicos de seguridad de la informacin tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestin de
seguridad de la informacin.
<
OBSERVACIONES
138
CDIGO
GBP-PASI003
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de accin.
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
La alta gerencia debe generar las tareas especficas que garanticen el cumplimiento de las
estrategias del plan de accin de seguridad de la informacin, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.
<
OBSERVACIONES
139
CDIGO
GBP-PASI004
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
140
OBJETIVO
Identificar cualquier riesgo significativo en los activos de informacin,
estableciendoelimpactopotencialdeestosenlaorganizacinconlafinalidadde
eliminarlosoatenuarlos,limitandosusconsecuenciasyminimizandolasprdidas
esto con el propsito de poseer la informacin suficiente que apoye la toma de
decisionesgerencialesrespectoaloscontrolesmsapropiadosparalaseguridad
delainformacinyalosfuncionariosdecadaprocesoatendersusincidentesde
seguridaddelamejorformaposible,ademsdeestopermitirelcumplimientode
los objetivos estratgicos de la organizacin acatando las polticas de la gestin
delriesgo.
ASPECTO LEGAL
DECRETO N1537 /26DE JULIO DE2001. ARTICULO 4. ADMINISTRACIN
internoenlasentidadespblicaslasautoridadescorrespondientesestablecerny
aplicarnpolticasdeadministracindelriesgo.Paratalefecto,laidentificaciny
anlisis del riesgo debe ser un proceso permanente e interactivo entre la
administracinylasoficinasdecontrolinternooquienhagasusveces,evaluando
los aspecto tanto internos como externos que pueden llegar a representar
amenaza para la consecucin de los objetivos organizacionales, con miras a
estableceraccionesefectivas,representadasenactividadesdecontrol,acordadas
entrelosresponsablesdelasreasoprocesosylasoficinasdecontrolinternoe
El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de informacin y por ende la continuidad de la
organizacin, creando estrategias de anlisis, identificacin de falencias,
fortalezasyrecursosdeinformacinqueseposeenenlaorganizacin,ademsde
estoevidenciarcomoseatiendenlasincidenciasdeseguridadgarantizandouna
buenatomadedecisionesrespectoaloscontrolesmsapropiadosparalagestin
de estos. ste, integrado a las polticas de gestin del riesgo con los objetivos
141
estratgicosdelaorganizacintienecomoresultadoelencausedelaslaboresal
propsitoofinorganizacional.
PROCEDIMIENTOS DE GESTIN
LosprocesosadesarrollarparaelAnlisis yGestindelRiesgodelaSeguridad
delaInformacinsedesarrollandelasiguienteforma:
Posteriormentesehandedeterminarculessonlosactivosdeinformacinquese
poseen para ser identificados, cada uno de estos activos encontrados se
clasificansegnelimpactoquepuedellegarasufrirlaorganizacinsidichoactivo
llega a fallar, se les asigna un valor que representa cun importante es para la
organizacin.
Comosiguientemedidaseidentificanlosfactoresderiesgoparacadaunodelos
activos de informacin, realizando la identificacin de los factores internos y
externos a los cuales se encuentran expuestos dichos activos, luego de esto
categorizar las amenazas identificadas o la posibilidad que ocurra un evento
adverso, para as establecer mtricas que permitan analizarlas y clasificarlas en
cuantoaldaoquepuedenllegaracausaralosactivosdeinformacinqueposee
laorganizacin.
142
AcontinuacinsehandeIdentificarlosdeactivosdeinformacinvulnerablesen
la organizacin, teniendo como vulnerabilidad el grado de resistencia que tienen
los activos de informacin para sus respectivas amenazas, se establece el
potencial que tienen estas para causar efectos adversos en los activos de
informacin.
Esimportantetenerencuentaquenotodoslosactivosdeinformacinposeenla
misma calidad de informacin, por lo que es necesario establecer un anlisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.
Con la clasificacin del impacto del riesgo se busca establecer en primer lugar
cuales son los activos ms susceptibles de dao, por lo que es importante tener
claridad de cmo se realiza la proteccin de cada uno de ellos adems es
necesario evaluar el impacto para la organizacin si tales riesgos se hacen
efectivos.
143
Unavezquesehanidentificadolosriesgosenlosactivosdeinformacinyenlas
prcticas de seguridad que se implementan en la organizacin, se puede
determinarculeselniveldevulnerabilidadparacadaunodeellos,teniendoen
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
informacin y el impacto que puede tener en la organizacin, as entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
delamejorformaposible,deestamanerasepuedegarantizarunabuenaGestin
deltratamientodelriesgodelaSeguridaddelaInformacin.
144
Observaryrealizarseguimientoaprocesosdelaorganizacin.
Desarrollarentrevistasyencuestasalosintegrantesdelaorganizacin.
Revisarladocumentacinqueseposee.
Clasificarlosdeactivosdeinformacinqueposeelaorganizacin.
Asignarunvalordeimportanciaaestosactivosparaestablecerelnivelde
importanciadecadaunodeellos.
Categorizarlasamenazasidentificadas.
Establecerescalasmtricasparaelanlisiscuantitativodelasamenazas.
145
IDENTIFICAR
ACTIVOS
ORGANIZACIN.
DE
INFORMACIN
VULNERABLES
EN
LA
Establecerelniveldedaoquepuedegenerarcadaunadelasamenazas
enlosactivosdeinformacin.
ESTABLECER EL
INFORMACIN.
NIVEL
DE
PROTECCIN
DE
LOS
ACTIVOS
DE
Identificarelactivo.
Establecerfactoresderiesgoparacadaactivo.
Establecerlavulnerabilidadparacadaactivo.
Identificarelniveldeimportanciadelactivoafectado.
Indicarcomoserealizalaproteccinparacadaactivodeinformacin.
Evaluarlasconsecuenciasenlaorganizacinporestosfactoresderiesgo.
146
Ejecutarlaestrategiaparaelactivodeinformacinquelorequiera.
Evaluarelimpactodelaeliminacin/bajadeesteactivodeinformacin.
Establecerunprotocolodeeliminacin/bajadecadaactivodeinformacin.
Garantizarquelabajadedichoactivosalvaguardelaconfidencialidaddela
informacindelaorganizacin.
147
OBJETIVO
Establecer la situacin
actual de la
organizacin.
Identificar activos de
informacin.
ACTIVIDADES
Observar y realizar
seguimiento a
procedimientos de la
organizacin.
Desarrollar entrevistas y
encuestas a los
integrantes de la
organizacin.
Revisar la documentacin
que se posee.
Clasificar los de activos
de informacin que posee
la organizacin.
Asignar un valor de
importancia a estos
activos para establecer el
nivel de importancia de
cada uno de ellos.
Identificar factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a resultados
obtenidos en la escala
mtrica.
149
DESCRIPCIN
La situacin actual de la organizacin
permite establecer cmo se encuentra
esta en cuanto a: sus recursos de
software, estrategias de seguridad
utilizadas, las falencias en los procesos
realizados y la atencin de incidentes
de seguridad
OBJETIVO
Identificar activos de
informacin vulnerables
en la organizacin.
ACTIVIDADES
Identificar cuales
amenazas afecta a cada
uno de los activos de
informacin.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas en los activos
de informacin.
Identificar el activo.
Establecer factores de
riesgo para cada activo.
Establecer la
Establecer el nivel de
proteccin de los activos vulnerabilidad para cada
activo.
de informacin.
Puntualizar en qu grado
es efectiva la proteccin
para cada activo de
informacin.
Identificar el nivel de
importancia del activo
afectado.
Indicar como se realiza la
Calificar el impacto del
proteccin para cada
riesgo si se hiciera
activo informtico.
realidad.
Evaluar
las
consecuencias
en
la
organizacin por estos
factores de riesgo.
150
DESCRIPCIN
La identificacin de los activos de
informacin
vulnerables
en
la
organizacin determina el grado de
resistencia que tienen stos respecto a
sus amenazas, adems se establece el
potencial que tiene cada amenaza para
afectar dichos activos.
OBJETIVO
Crear estrategias de
contingencia.
Eliminar activos de
informacin.
ACTIVIDADES
Identificar los activos de
informacin vulnerables.
Plantear una estrategia
alternativa para que el
activo de informacin
afectado no interfiera con
el funcionamiento de la
organizacin.
Ejecutar la estrategia para
el activo de informacin
que lo requiera.
Realizar
evaluaciones
peridicas
a
las
estrategias para verificar
su adecuacin a los
cambios en los activos de
informacin.
Identificar tipo de activo a
eliminar/dar
de
baja.
(GBP-AGR002)
Evaluar el impacto de la
eliminacin/baja de este
activo de informacin.
Establecer un protocolo
de eliminacin/baja de
cada activo de
informacin.
Garantizar que la baja de
dicho activo salvaguarde
la confidencialidad de la
informacin de la
organizacin.
DESCRIPCIN
Fuente:ElaboracinPropia
151
MAPA DE PROCEDIMIENTOS
FUENTE:Elaboracinpropia
152
ESPECIFICACIN DE PROCEDIMIENTOS
CDIGO
GBP-AGR001
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
153
CDIGO
GBP-AGR002
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
DESCRIPCIN
Clasificar los activos de informacin segn el impacto que puede generar el fallo de stos en
la organizacin, asignndole a cada uno de ellos un valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de stos activos para la organizacin.
<
OBSERVACIONES
154
CDIGO
GBP-AGR003
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
<
OBSERVACIONES
155
CDIGO
GBP-AGR004
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GBP-AGR003
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
Identificar cuales amenazas afectan a cada uno de los activos de informacin. (GSIAGR003)
2.
Establecer el nivel de dao que puede generar cada una de las amenazas en los activos
de informacin.
DESCRIPCIN
<
OBSERVACIONES
156
CDIGO
GBP-AGR005
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
Este proceso brinda informacin clara y suficiente sobre la efectividad de las estrategias de
proteccin utilizadas por la organizacin en cada uno de los activos de informacin.
OBSERVACIONES
157
CDIGO
GBP-AGR006
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GSI-AGR002, GSI-AGR005
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
DESCRIPCIN
<
OBSERVACIONES
158
CDIGO
GBP-AGR007
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GSI-AGR004
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
OBSERVACIONES
159
CDIGO
GBP-AGR008
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
RESPONSABLE
FORMATOS DE REFERENCIA
OBJETIVO
ACTIVIDADES
1.
2.
DESCRIPCIN
<
OBSERVACIONES
160
CDIGO
GBP-AGR009
VERSIN
01
TIPO
Estratgico
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
GBP-AGR002
OBJETIVO
FORMATOS DE REFERENCIA
RESPONSABLE
ACTIVIDADES
1.
2.
3.
4.
DESCRIPCIN
En este proceso se establecen medidas que garantizan una efectiva eliminacin/baja de los
activos de informacin, implantando metodologas eficientes para destruir o darle exclusin
de la organizacin a dichos activos.
OBSERVACIONES
161
ALCANCE:
Estaguaaplicacomomodelodeatencinysolucinaincidentesdeseguridadde
la informacin dentro de la organizacin interesada en aplicar el Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin,buscando
que los integrantes de la organizacin comprendan las polticas y los
procedimientosestablecidos.
RESPONSABILIDAD:
Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizarelaseguramientodelosobjetivosfundamentalesdelaseguridaddela
informacin:Confidencialidad,Disponibilidad,Integridad,yencasodevulnerarse
algunodeestosobjetivos(opreverlaposiblevulnerabilidad),losresponsablesde
laatencindelincidenteactuarancomosesigue20:
20
,siguiendo
loslineamientosdelosprocedimientosadscritosalaGua.
162
OBJETIVO
ACTIVIDADES
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas.
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a los
resultados obtenidos en la
escala mtrica.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas a los activos
de informacin.
Identificar el nivel de
importancia del activo de
informacin afectado
[GBP-AGR002]
Indicar como se realiza la
proteccin para cada
activo de informacin.
[GBP- AGR005]
Evaluar las
consecuencias para la
organizacin debido a los
factores de riesgo.
164
DESCRIPCIN
OBJETIVO
Documentar evento de
seguridad
ACTIVIDADES
DESCRIPCIN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte
de la planeacin
estratgica de seguridad
y de la planeacin
estratgica
organizacional.
Determinar tiempos de
adelanto, avance,
entregas o posposicin de
cada tarea.
Asignar roles y
responsables directos
para cada tarea.
Fuente:ElaboracinPropia
165
OBJETIVO
ACTIVIDADES
Identificar el incidente.
Clasificar el incidente.
Reportar a responsable
equipo de respuesta a
incidentes.
Establecer las acciones
correctivas que conlleven
al tratamiento y solucin
Gestionar la mitigacin y /
del incidente.
o solucin del fallo de
Verificar que las acciones
seguridad.
correctivas mitigan y / o
solucionan eficazmente el
incidente.
Documentar incidencia y
metodologa de solucin de
Evidenciar y
la misma.
retroalimentar
ocurrencias de fallos y
Retroalimentacin del
atencin de los mismos.
mtodo de respuesta al
incidente.
Establecer mtodos de
seguimiento, revisin y
Revisar y controlar los
procedimientos (previos, auditoria a los procesos de
respuesta a incidentes.
de intervencin y
tratamiento, y
Informar a la alta gerencia
explicativos) de respuesta los resultados de los
a incidentes en la
procesos de auditora
organizacin.
hechos a los procesos de
respuesta a incidentes
Diagnosticar ocurrencia
de un fallo de seguridad
DESCRIPCIN
Fase previa al tratamiento y solucin de la
incidencia que permite establecer y
parametrizar histricamente la ocurrencia
de un fallo de seguridad.
Fuente:ElaboracinPropia.
166
Convocaralosintegrantesdelaorganizacinalaconcertacindepolticas,
procedimientos,capacitacinymanuales,quelaaltagerenciadefinacomo
pertinentes, en funcin del cumplimiento de los objetivos planteados, para
darrespuestaalosincidentesdeseguridad.
167
OBJETIVO
ACTIVIDADES
Establecer
indicadores
comparables y medibles
que den seguimiento a la
aplicacin de los objetivos
Comunicar la
implementacin e
de la gua de respuesta a
implantacin de la gua
incidentes.
de respuesta a incidentes
Asegurar que se realiza
de seguridad de la
seguimiento a la aplicacin
informacin
de la gua, y que la misma
es trazable.
Garantizar la calidad y
mejora continua.
DESCRIPCIN
DOCUMENTACIN Y RETROALIMENTACIN
OBJETIVO
Comunicar la
implementacin e
implantacin de la gua
de respuesta a incidentes
de seguridad de la
informacin
Documentacin y
ACTIVIDADES
Convocar a reunin a los
integrantes
de
la
organizacin.
Comunicar lo establecido
en el plan de accin y los
lineamientos directivos.
DESCRIPCIN
La alta gerencia debe comunicar
cumplimiento de
Fuente:ElaboracinPropia
168
esos objetivos.
MAPA DE PROCEDIMIENTOS
Fuente:ElaboracinPropia
169
OBJETIVO
Implementarprogramasdeformacinytomadeconcienciaparacomunicaralos
integrantes de la organizacin la implementacin e implantacin del Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin.
DEL PLAN
170
Lasestrategiasdecapacitacinserealizadeformacontinuaytransversalatodos
componentesdelSistemadeGestindelaSeguridaddelaInformacin.
PROCEDIMIENTOS DE GESTIN
Identificarlatemticaatratar.
Disponerrecursoshumanosyfsicos.
Verificar aptitudes y habilidades del personal que va a realizar la
capacitacinyformacin.
Establecerelgrupofocalalcualvadirigidalacapacitacinylaformacin.
Comunicar lo establecido en el Manual de Procedimientos para la
Administracin de Seguridad de la Informacin, y los lineamientos
directivos,satisfaciendolasnecesidadesdeformacin,tomadeconciencia
ycompetencia.
Garantizar la evaluacin del cumplimiento de los objetivos del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin,
paraverificarlaeficaciadelasaccionesemprendidasenelmismo.
Documentarlasactividadesdeformacin.
171
Personaldecadacolaborador,cadadiagnsticoconstituireldiagnosticogeneral
delaorganizacinypermitirelaborarelplandecapacitacinAvanzado.
Elplanbsicodesarrollarlassiguientestemticas:
PlanavanzadodeCapacitacin:
Los horarios establecidos para el plan de capacitacin, deben definirse por cada
organizacin,sinembargoseaconsejahacerlodeformasemanalyconespacios
denomsdecuatrohorasynomenosde2horasporjornada,conelfindetener
espaciosdetiempoadecuadosalametodologasocioconstructivista.Elplande
capacitacin se plantea de 90 horas, entregando como resultado el plan de
capacitacinavanzadoconlasnecesidadespropiasdelaorganizacin.
172
OBJETIVO
ACTIVIDADES
DESCRIPCIN
Fuente:ElaboracinPropia
173
Fuente:ElaboracinPropia
174
Elprocedimientoqueespecificalaejecucindelasdistintasfasesquecomponen
lasestrategiasdecapacitacinycomunicacindelaGua de Buenas Prcticas de
Seguridad de la Informacinsecitacomosigue:
175
CDIGO
GBP-PCC001
VERSIN
01
TIPO
Apoyo
NOMBRE
Alta Gerencia.
TIEMPO ESTIMADO/FRECUENCIA
RESPONSABLE
FORMATOS DE REFERENCIA
OBJETIVO
ACTIVIDADES
1.
2.
3.
4.
5.
6.
7.
DESCRIPCIN
de la Guia de buenas
practicas
umplimiento de
esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos
realizados durante el la implementacin de la Guia.
176