Está en la página 1de 178

GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINEN

CONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.

GERARDOAYALAGONZLEZ
JULINALBERTOGMEZISAZA

UNIVERSIDADTECNOLGICADEPEREIRA
FACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASY
COMPUTACIN
PEREIRA
2011

GUADEBUENASPRCTICASDESEGURIDADDELAINFORMACINEN
CONTEXTOSDEMICRO,PEQUEASYMEDIANASEMPRESASDELA
REGIN.

GERARDOAYALAGONZLEZ
JULINALBERTOGMEZISAZA

MonografaparaoptaralttulodeIngenierodeSistemasyComputacin

Asesor:
IngenieroJULIOCSARCHAVARROPORRAS
DocenteAcadmico

UNIVERSIDADTECNOLGICADEPEREIRA
FACULTADDEINGENIERASELCTRICA,ELECTRNICA,FSICAYDE
SISTEMASYCOMPUTACIN,PROGRAMADEINGENIERADESISTEMASY
COMPUTACIN
PEREIRA
2011

Notadeaceptacin

__________________________________

__________________________________

__________________________________

__________________________________

__________________________________
PresidentedelJurado

__________________________________
Jurado

__________________________________
Jurado

_________________________________
Jurado

A Luis y Elicenia que me ensearon que la lucha es diaria y que no debe desistirse
en el logro de los propsitos trazados. Y a ti, Liliana, eterna compaera de viaje,
que me enseaste que los sueos cambian en la manera
en que cambie nuestra forma de proyectarnos.
G.A.

A Alberto que me enseo a no darme por vencido, y a Berenice, que me enseo a


Sin su amor, apoyo, ternura y paciencia
este logro no hubiera sido posible.
J.G.


AGRADECIMIENTOS

MIprimeragradecimientoesaDios,puesmehabendecidoconunagranfamilia
quemehaenseadoasortearcadaobstculoyaperseverarparalaconsecucin
de mis sueos en segundo lugar, agradezco a esos docentes que con sus
particularidadesaportaronamiprocesodeformacin,especialmentealIngeniero
CsarChavarro,quienfuenuestroapoyoyguaeneldesarrollodesteproyecto.
Agradezco tambin a Julin Gmez, compaero y hermano con el que compart
grandes e inolvidables momentos de la formacin profesional y, finalmente, pero
no menos importante, le agradezco a mi esposa Liliana que con su toque de
alegra, seriedad y decisiva disposicin para hacer las cosas, me acompa en
todoesteproceso.

AdicionalmentequieroagradeceraJ.J.Hincapiqueconsusextraasocurrencias
logrhacermeaprenderydisfrutardelprocesodeinvestigacin.

G.A.

Agradezco infinitamente a DIOS, porque realiz ante mis propios ojos seales y
prodigios grandes, y me ha permitido vivir hasta el da de hoy. A mi familia,
soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro,
maestro, amigo y gua, conl aprend no solo cantidad si no calidad. A Gerardo
Ayala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje que
construimosjuntos.AJ.JHincapi,porquecomparticonmigounaformadiferente
deentenderlainvestigacin,yporltimo
categoras
trasnochos,meensearonaverelmundodeunamaneradiferente.

J.G

CONTENIDO

Pg.
1. CAPITULOI:GENERALIDADESYDEFINICINDELPROBLEMA......................... 13
1.1. DEFINICINDELPROBLEMA................................ ................................ ...........13
1.2. JUSTIFICACIN................................ ................................ ................................ 14
1.3. OBJETIVOS................................ ................................ ................................ .......16
1.3.1. OBJETIVOGENERAL................................ ................................ ............................ 16
1.3.2. OBJETIVOSESPECFICOS................................ ................................ ....................16
1.4. DELIMITACIN................................ ................................ ................................ ..17
1.5. MARCOREFERENCIAL................................ ................................ .....................17
1.5.1. ANTECEDENTES................................ ................................ ................................ .17
1.5.2. TENDENCIASDETECTADAS................................ ................................ ..................21
1.6. MARCOCONCEPTUAL................................ ................................ .....................24
1.6.1. SEGURIDADINFORMTICA................................ ................................ ...................25
1.6.2. SEGURIDADDELAINFORMACIN................................ ................................ .........29
1.7. MARCOTERICO................................ ................................ ............................. 35
1.7.1. ADMINISTRACINDELASEGURIDAD................................ ................................ ....36
1.7.2. ANLISISDERIESGOS................................ ................................ ......................... 37
1.7.3. POLTICASDESEGURIDAD................................ ................................ ...................38
1.8. DIRECCIONAMIENTO................................ ................................ ....................... 39
1.9. DISEOMETODOLGICO................................ ................................ ................41
1.9.1. METODOLOGA................................ ................................ ................................ ...41
2. CAPITULOII:CONSTRUCCINYAPLICACINDELMODELO............................ 44
2.1. PLANDEANLISIS................................ ................................ ............................ 44
2.2. SEGUNDAITERACINDELMODELO................................ .............................. 50
2.3. TERCERAITERACINDELMODELO................................ ............................... 52
3. CAPITULOIII:RESULTADOS,CONCLUSIONESYRECOMENDACIONES...........53
3.1. RESULTADOSOBTENIDOS................................ ................................ ..............53
3.2. CONCLUSIONES................................ ................................ ............................... 53
3.3. RECOMENDACIONES................................ ................................ ....................... 55
4. REFERENCIASBIBLIOGRFICAS................................ ................................ ..........56

LISTA DE FIGURAS

Pg.
Figura1.Firmadigital:Envodeunmensajeseguro................................. ...................... 25
Figura2.SeguridaddelaInformacin................................. ................................ ............30
Figura3.SbanadeConceptos................................. ................................ .....................45
Figura4.ManualdeRespuestaaIncidentesdeS.I................................ ......................... 59
Figura5.Mapadeprocedimientos:ManualdeRespuestaaIncidentesdeS.I................65
Figura6.PlandeAccindeS.I................................ ................................ ........................ 76
Figura7.MapadeprocedimientosPlandeAccindeS.I................................ ................83
Figura8.AnlisisyGestindeRiesgosdeS.I................................ ................................ 89
Figura9.Mapadeprocedimientos.AnlisisyGestindeRiesgosdeS.I........................ 97
Figura10.EstrategiasdeCapacitacinyComunicacin................................ ...............111
Figura11.Mapadeprocedimientos.PlandeCapacitacin................................. ..........116
Figura12.GuaderespuestaaIncidentesdeS.I................................ .......................... 119
Figura13.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................125
Figura14.ManualdeprocedimientosparalaAdministracindelaS.I.......................... 127
Figura15.PlandeAccindeS.I................................ ................................ ....................133
Figura16.MapadeprocedimientosPlandeAccindeS.I................................ ............136
Figura17.AnlisisyGestindeRiesgosdeS.I................................ ............................ 148
Figura18.Mapadeprocedimientos.AnlisisyGestindelRiesgo............................... 152
Figura19.GuadeRespuestaaIncidentesdeS.I................................ ......................... 163
Figura20.Mapadeprocedimientos.GuadeRespuestaaIncidentesdeS.I................169
Figura21.Mapadeprocedimientos.PlandeCapacitacin................................ ...........174

LISTA DE TABLAS

Pg.
Tabla1.Formatodeprocedimientos................................ ................................ ................43
Tabla3.Metodologa:ManualdeRespuestaaIncidentesdeS.I................................ .....63
Tabla4.MetodologaPlandeAccindeS.I................................ ................................ ....81
Tabla5.MetodologaAnlisisyRestindeRiesgosdeS.I................................ .............94
Tabla6.Adicin.MetodologaAnlisisyGestindelRiesgodeS.I............................... 110
Tabla7.MetodologaPlandeCapacitacin................................. ................................ ..115
Tabla8.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad.............120
Tabla9.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes..............122
Tabla10.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora124
Tabla11.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin. 124
Tabla12.MetodologaPlandeAccindeS.I................................ ................................ 134
Tabla13.MetodologaAnlisisyGestindeRiesgosdeS.I................................ .........149
Tabla14.MetodologaGuadeRespuestaaIncidentes.EventosdeSeguridad...........164
Tabla15.MetodologaGuadeRespuestaaIncidentes.GestindeIncidentes............166
Tabla16.MetodologaGuadeRespuestaaIncidentes.SeguimientoRevisinyAuditora168
Tabla17.MetodologaGuadeRespuestaaIncidentes.DocumentacinyRetroalimentacin..168
Tabla18.MetodologadelasEstrategiasdeCapacitacin................................. ...........173

LISTA DE ANEXOS

Pg.
ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIN .................................................................................................................... 58
Objetivo...................................................................................................................58
Delmanual..............................................................................................................60
Procedimientosdegestin......................................................................................61
Metodologa.............................................................................................................63
Mapadeprocedimientos.........................................................................................65
Especificacindeprocedimientos...........................................................................66
ANEXO B: GRUPO FOCAL ................................................................................................ 73
ANEXO C: PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN, ANLISIS Y
GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN .................................. 75
Objetivo...................................................................................................................77
Procedimientosdegestin......................................................................................77
Metodologaplandeaccindeseguridaddelainformacin..................................81
Mapadeprocedimientos.........................................................................................83
Especificacindeprocedimientos...........................................................................84
Anlisisygestinderiesgosdeseguridaddelainformacin.................................88
Objetivo...................................................................................................................88
Aspectolegal...........................................................................................................88
Delmanual..............................................................................................................90
Procedimientosdegestin......................................................................................92
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin............94
Mapadeprocedimientos.........................................................................................97
Especificacindeprocedimientos...........................................................................98
ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106
ANEXO E: ELIMINACIN DE ACTIVOS DE INFORMACIN Y ESTRATEGIAS DE
CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELO .. 108
Eliminar/dardebajaactivosdeinformacin.......................................................108
Estrategiadecapacitacinycomunicacin..........................................................112
Objetivo.................................................................................................................112

Delplan.................................................................................................................112
Procedimientosdegestin....................................................................................113
Metodologaplandecapacitacinycomunicacinparalaimplementacindel
modelo...................................................................................................................115
Mapadeprocedimientos.Plandecapacitacin....................................................116
Especificacindelprocedimiento..........................................................................116
ANEXO F: GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIN. ................................................................................................................. 118
Alcance:.................................................................................................................118
Responsabilidad:...................................................................................................118
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....120
Eventosdeseguridad(fasepre-incidente)...........................................................120
Gestindeincidentes(fasedeatencindeincidencia)........................................122
Disposicinfinal(fasepost-incidente)...................................................................123
Seguimientorevisinyauditoria...........................................................................124
Documentacinyretroalimentacin......................................................................124
Mapadeprocedimientos.......................................................................................125
ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN..................................126
Delmodelo............................................................................................................126
Plandeaccindeseguridaddelainformacin....................................................128
Objetivo.................................................................................................................128
Metodologaplandeaccindeseguridaddelainformacin................................134
Objetivo.................................................................................................................134
Mapadeprocedimientos.......................................................................................136
Especificacindeprocedimientos.........................................................................137
Anlisisygestinderiesgosdeseguridaddelainformacin...............................141
Objetivo.................................................................................................................141
Aspectolegal.........................................................................................................141
Procedimientosdegestin....................................................................................142
Metodologaanlisisygestinderiesgosdeseguridaddelainformacin..........149
Mapadeprocedimientos.......................................................................................152
Especificacindeprocedimientos.........................................................................153
Guaderespuestaaincidentesdeseguridaddelainformacin..........................162

10

Alcance:.................................................................................................................162
Metodologa.Guaderespuestaaincidentesdeseguridaddelainformacin....164
Eventosdeseguridad(fasepre-incidente)...........................................................164
Gestindeincidentes(fasedeatencindeincidencia)........................................166
Disposicinfinal(fasepost-incidente)...................................................................167
Seguimientorevisinyauditoria...........................................................................168
Documentacinyretroalimentacin......................................................................168
Mapadeprocedimientos.......................................................................................169
Estrategiasdecapacitacinycomunicacin........................................................170
Objetivo.................................................................................................................170
Delplan.................................................................................................................170
Procedimientosdegestin....................................................................................171
MetodologaEstrategiasdeCapacitacinyComunicacin..................................173
Mapadeprocedimientos.Plandecapacitacin....................................................174
Especificacindelprocedimiento..........................................................................175

11

GLOSARIO DE TRMINOS

ACTIVOSDEINFORMACIN:todosloscomponentesde informacinquetienen
valor para la organizacin, todo lo que es posible realizar, concluir, visualizar y
procesardelainformacin.

AMENAZA:accinoeventoquepuedeocasionarconsecuenciasadversasenlos
datos.

ATAQUE:tipoynaturalezadeinestabilidadenlaseguridad.

AUTENTICIDAD:se tratadeproporcionar los medios para verificar que elorigen


delosdatoseselcorrecto,quienlos
ycuandofueronenviadosyrecibidos.

CABALLODETROYA:programaqueseactivaenunsistemainformticoylodeja
expuestoaaccesosmalintencionados.

CONFIDENCIALIDAD: propiedad de prevenir la divulgacin de informacin a


sistemasopersonasnoautorizados

DISPONIBILIDAD: caracterstica de la informacin de encontrarse SIEMPRE a


disposicin del solicitante que debe acceder a ella, sea persona, proceso o
sistema.

HARDWARE:terminoeninglesquehacereferenciaacualquiercomponentefsico
tecnolgico,queinteractadealgnmodoconunsistemacomputacional.

INCIDENTE:sedefinecomouneventoquesucededemanerainesperadayque
puedeafectarla Confidencialidad, Integridad y Disponibilidadde la informacin y
ademsdeestolosrecursostecnolgicos.

INFORMACIN: conjunto de datos que toman sentido al integrarse con


caractersticascomunes.

INFORMTICA: la informtica es la ciencia que tiene como objetivo estudiar el


tratamientoautomticodelainformacinatravsdelacomputadora.

12

INTEGRIDAD: propiedad que busca mantener los datos libres de modificaciones


noautorizadas.

ISO: International Organization for Standardization, Entidad internacional


encargadadefavorecerlaestandarizacinenelmundo.

englobaa todotipodeprograma o cdigode computadorcuya funcin es daar


unsistemaocausarunmalfuncionamiento.Estegrupopodemosencontrar
trminos como: Virus, Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware,
Adware,Hijackers,Keyloggers,FakeAVs,Rootkits,BootkitsyRogues.

POLTICAS:actividadorientadaenformaideolgicaalatomadedecisionesdeun
grupoparaalcanzarciertosobjetivos.Accinelegidacomoguaenelprocesode
toma de decisiones al poner en practica o ejecutar las estrategias, programas y
proyectosespecficosdelnivelinstitucional.

,porunmediofsico(cable)odemanerainalmbricadondesecomparte
informacin,recursosylosservicios.

RIESGO: la probabilid
.

SEGURIDAD:puedeafirmarsequeesteconceptoqueprovienedellatnsecuritas
quehacereferenciaalacualidad
peligro, dao o riesgo. Algo seguro es algo cierto, firme e indubitable. La
seguridad,porlotanto,esunacerteza.

SGSI:SistemadeGestindelaSeguridaddelaInformacin.

hace referencia a la posibilidadde ser heridoo


recibiralgntipodelesin,esunadebilidadenlosprocedimientosdeseguridad,
diseo, implementacin o control interno que podra ser explotada (accidental o
intencionalmente)yqueresultaenunabrechadeseguridadounaviolacindela
polticadeseguridaddesistemas.

RESUMEN

EstedocumentosecentraenlaaplicacindelanormaISO/IEC27001enatencin
alosnumerales4.2.2ImplementacinyOperacindeunSistemadeGestindela
SeguridaddelaInformacin(porsussiglas,SGSI),identificandolasaccionesde:
lagestinapropiada,prioridadesyresponsabilidadesdelagerenciaenlacreacin
depolticasquegaranticenelcumplimientodelosobjetivosdelSGSI, ademsse
hace referencia a la creacin de planes de accin para el tratamiento, anlisis y
gestin de los riesgos implementando procedimientos que brindan una atencin
oportuna a los incidentes de seguridad de la informacin, acompaados de
estrategiasdecapacitacinyformacinparalosintegrantesdelaorganizacin.

DESCRIPTORES

Gestin, implementacin, incidente, Norma, ISO, operacin, polticas,


procedimientos,riesgos,seguridad,SGSI.

ABSTRACT

This paper focuses on the implementation of ISO/IEC 27001, in response to


paragraphs 4.2.2 "Implementation and Operation of Information Security
ManagementSystem(ISMS)",identifyingactionsabout:appropriatemanagement,
resources, priorities and executive responsibilities in policy making, ensuring
compliance with the objectives of the ISMS. Also refers to the creation of action
plans for treatment, analysis and risk management, implement procedures that
provide a timely attention to incidents of information security, accompanied by
educationandtrainingformembersoftheorganization.

KEY WORDS

Management, implementation, incident, Standard, ISO, operation, policies,


procedures,risks,security,ISMS.

1. CAPITULO I: GENERALIDADES Y DEFINICIN DEL PROBLEMA

1.1.

DEFINICIN DEL PROBLEMA

Hoy en da no se puede concebir una organizacin aislada totalmente de la red,


siempreseestncompartiendodatosenredesinternasoatravsdelagranred,
Internet,permitindolesalosusuariosdisposicindeinformacinentodolugary
en todo momento. Los avances tecnolgicos que vienen en constante evolucin,
lastelecomunicacionesquesehanconvertidoenunaherramientamuyimportante
para las organizaciones y el crecimiento organizacional se han encargado de
propiciarvulnerabilidadesparalasmismas.

Las organizaciones dependen de los datos almacenados en sus sistemas de


informacinyesalldondelaseguridaddelainformacinseconvierteenunfactor
necesarioenlosprocesosquesedesarrollanalinterioryexteriordelamisma.Es
muy importante considerar adems, que en el desarrollo organizacional se
involucranfactores como recursoshumanos, procesosy tecnologa factores que
propician vulnerabilidades con respecto a la seguridad de la informacin. Puede
afirmarse que este fenmeno ofrece mayores retos en la micro, pequea y
medianaempresa.Esenestesectordondeexistenmenoresrecursosparainvertir
enelcampoinformtico,sinembargo,estasorganizacioneshanincursionadoen
tecnologaswebhacindosevulnerablesenestemismocampo.

Lacarenciadeestrategiasparaunaadministracinseguradelainformacin,est
acompaadadelafaltadeconocimientosobrelosestndaresinternacionalesyde
lasnormasquemediantesuaplicacinayudanaprevenirprdidasdeinformacin
yaevitarlaexistenciadeprocesosvulnerables.

Elevidentembitodecompetitividad,yelavancetecnolgico,enconsonanciacon
elprecariodesarrolloadministrativo,organizacionalytecnolgicodelasempresas
regionales, demuestran la necesidad de brindar mecanismos que les permitan
mitigarsuvulnerabilidadencuantoalaadministracindelainformacin.

13

1.2.

JUSTIFICACIN

Impedir hoy la ejecucin de operaciones no autorizadas sobre un sistema


informtico se asume de vital importancia, puesto que sus efectos conllevan a
daos sobre los datos, y comprometen la confidencialidad, la autenticidad e
integridaddelainformacinorganizacional.

Lanorma ISO/IEC 27001 ofrece un estndarde calidad en cuanto al tratamiento


Seguridad de la
(Numeral 4.2.2: "implementacin y operacin de un sistema de gestin de
seguridaddelainformacin"),queestableceloslineamientosquelaorganizacin
debeseguirencuantoalcumplimientodenormasquegarantizanlaseguridadde
suinformacin,lasaccionesoportunascuandosepresentanincidentes, adems,
brindar al personal indicado un plan para el tratamiento de los riesgos y dar
solucinalosposiblesincidentes entreotrosconestos,seplantealanecesidad
de poseer una gua en las organizacionesque permitaatender el tratamiento de
losriesgos.

Alrespecto,enlaRevistaSistemasN115sehacelapresentacindelaEncuesta
Nacional Seguridad Informtica en Colombia: Tendencias 2010 (pg. 26-49)
dondeplantealasfallasquesetienenencuantoalaseguridaddelainformacin.

Entreellasidentifica:
La conciencia en seguridad de la informacin y el uso de buenas
prcticas: Mostrando que an existe cerca de una tercera parte de las
empresas objetivo que no son conscientes de la necesidad de proteger la
informacinquemanejan.

Intrusiones o incidentes de seguridad identificados en el ao: Se


muestracomoestosincidentessehantratadoysehanlogradomonitorear
hastaun70%,buscandounareaccinmsoportunafrenteaunpanorama
quenotienefin.Elaumentoenincidentesdetipofinancieroyelmalwareen
trminosgeneralessehanpropagadodegranforma,estoinvitaafortalecer

14

los escenarios de proteccin de la informacin, y controlar los incidentes


paradisminuirsuefectodentrodelasorganizaciones.

Tipos de fallas de seguridad: Se evidencia que los virus, accesos no


autorizados a la web,caballos deTroya, software no autorizado yfuga de
informacinsonlasfallasmsfrecuentesenColombia.

Identificacin de las fallas de seguridad informtica: Aqu se puede


evidenciar que las mejores herramientas para la identificacin de posibles
fallas de seguridad son los registros de auditora, sistemas de archivos y
registros de firewalls, tambin los sistemas de deteccin de intrusos y
notificacionesporpartedeempleadosoalgncolaborador.

Por otro lado, segn "Network Attacks: Analysis of Department of Justice


Prosecutions" [1999 - 2006], estudio realizado por Trusted Strategies y Phoenix
Technologies,Ltd.,seevidenciaque:

Soloel33%delaswebtienenswadecuadodedeteccindeintrusiones.
Soloel51%delossitioswebcifranlastransaccionesdeinternetquedeben
serseguras.
Soloel27%delasorganizacionesinviertenmsdel1%delpresupuestoen
seguridaddelainformacin.
El43%delosataquesesrealizadosporallegadosalaorganizacin:
22%Empleadosantiguos
14%Empleadosactuales
7%Proveedoresoclientes.
El costo medio de recuperacin a un incidente es de 1.5 Millones de
Dlares.

Ahorabien,sienpasesindustrializadosconhistorialencontroldelainformacin
alinteriordesusorganizacionesydondesepuedesuponerqueexisteunacultura
mayorenseguridaddelainformacinsetienenestosresultados,enColombiase
convierte en un reto la aplicacin de buenas prcticas que garanticen una
adecuadaadministracindelaseguridaddelainformacin.

15

Por razones como las anteriormente mencionadas, se hace necesario elaborar


una gua de buenas prcticas de seguridad de la informacin en contextos de
micro, pequeas y medianas empresas de la regin, que propicie un ptimo
tratamientosegurodelainformacinutilizadaenlaorganizacinyquesirvacomo
modelodebuenasprcticasdeseguridaddelainformacin,fundamentadaenla
normaISO27001.

1.3.

OBJETIVOS

1.3.1. Objetivo General

Elaborar una gua de buenas prcticas que permita la aplicacin de un plan de


accinparaeltratamientodelosriesgoseimplementarcontrolesparadetectary
darrespuestaoportunaaincidentesdeseguridaddelainformacinencontextos
de micro, pequeas y medianas empresas de la regin, segn la norma ISO
27001.

1.3.2. Objetivos Especficos

Elaborar una gua documental que establezca una metodologa para la


construccin de un plan de accin para el tratamiento de riesgos de
seguridaddelainformacin.

Establecerlosfundamentosparaelaborarestrategiasdeformacinytoma
de conciencia para el fortalecimiento de las competencias del personal de
cualquierempresaqueasumalaaplicacindelagua.

Suministrar una gua documental que plantee una metodologa para


detectar y dar respuesta oportuna a los incidentes de seguridad de la
informacin.

16

1.4.

DELIMITACIN

El proyecto que se plantea en el presente documento se enfoca a brindar una


herramientametodolgicaquesirvacomomodeloparalaaplicacindeunplande
accinparaeltratamientodelosriesgoseimplementarcontrolesparadetectary
darrespuestaoportunaaincidentesdeseguridaddelainformacinencontextos
de micro, pequeas y medianas empresas de la regin, segn la norma ISO
27001.

Deigualforma,propiciarlosfundamentosparaelaborarestrategiasdeformacin
y toma de conciencia, que desarrolle competencias para la aplicacin de la
herramienta, tambin brindar una gua documental que plantee una metodologa
que permitan detectar y dar respuesta oportuna a los incidentes de seguridad
tomando como base la norma ISO 27001, haciendo referencia a modelar los
procesos de buenas prcticas de seguridad de la informacin en las micros,
pequeasymedianasempresasdelaregin.

1.5. MARCO REFERENCIAL

1.5.1. Antecedentes

suficientes para protegerlo. Cada vez se modernizan ms los medios para


suministrar, retroalimentar e intercambiar informacin, pero de forma paralela (e
inclusive mayor), se aumentan los medios para boicotear, plagiar o extraer
informacindeformafortuita.

En este marco, el presente trabajo da cuenta de la dinmica de la seguridad e


inseguridadenlainformacin,losmediosdeflujo,losprocesosyprocedimientos
quesehandesarrolladoparaqueestainformacinnosoloseagilsinotambin
segura, a la vez que pretende modelar los procesos que fcilmente cualquier

17

organizacinpuedaasumirparalaproteccindelainformacindeunaformafcil
yalamedidadesusnecesidades.

El avance en el manejo y procesos de seguridad de la informacin se puede


monitorear de mltiples formas, sin embargo para el presente desarrollo
investigativo,sehaadoptadoelseguimientoalestablecimientopaulatinotantode
unmarcolegalnacionaleinternacional,comoeldesarrollodenormastcnicasde
certificacindecalidad.

Las leyes de cada pas son la respuesta a problemticas o falencias frente a


aspectos puntuales, aunque en algunos pases desarrollados, las normas se
anticipan, puesto que cuentan con entidades legislativas modernas que
monitorean los fenmenos mundiales para adelantarse a esas realidades que
podrn afectarlos tanto positiva como negativamente. En Colombia de forma
lamentable la legislacin en la mayora de las ocasiones acta como paliativo o
solucin emergente, en el caso especfico a la legislacin sobre seguridad
informtica, se puede evidenciar que de manera tmida se ha generado
normatividadalrespecto.
EnColombialosprimerosvestigiosdenormatividadsobrelaseguridadinformtica
no se establecieron en forma directa al tema informtico, sino a los aspectos de
propiedadintelectual,lacualserefierealascreacionesdelamente:invenciones,
obrasliterariasyartsticas,ascomosmbolos,nombreseimgenesutilizadasen
elcomercio.

Lapropiedadintelectualsedivideendoscategoras:a)lapropiedadindustrial,que
incluye las patentes de invenciones, las marcas, los diseos industriales y las
indicacionesgeogrficasyb)losderechosdeautor.

EnesteaspectosepuedenestablecercomoparmetroiniciallaLey23de1982la
cualestipulaellineamientoparalaproteccindederechosdeautor,sinembargo,
cientficas y artsticas gozarn de proteccin para sus obras. Tambin protege
sta ley a los intrpretes o ejecutantes y los productores de fonogramas y a los
contempladeformaliteraleltemainformtico.

18

El segundo punto de referencia jurdica al respecto es el Decreto 1360 de 1989,

desarrollos dentro de los aspectos cubiertos por la legislacin vigente sobre


derechosdeautor.

DeigualformaseencuentranleyesydecretosqueregulanlosderechosdeAutor,
algunas con determinaciones explicitas sobre la informtica y otras con marco
jurdico sobre el tema de propiedad intelectual: Ley 44 de 1993, Decreto 460 de
1995,Decreto162de1996,Ley544de1999,Ley565de2000,Ley603de2000,
Ley719de2001.

Otro elemento que se debe tener en cuenta y que constituye esta misma lnea
normativa, es la legislacin sobre propiedad industrial, all se puede encontrar
normatividadNacionaleinternacional,comola Decisin486delaC.A.N.yenla
legislacinColombianaelDecreto2591de2000,ylaLey178de1994.

AsmismosehandefinidounaseriedeNormas,quedictaminanlacalidaddela
seguridad informtica, definiendo como norma, un modelo, un patrn, ejemplo o
cas que debe
poseer un objeto y los productos que han de tener una compatibilidad para ser
usadosanivelinternacional.

Enelmercadoexistendiferentestiposdenormas,sinembargoenelmbitolocal
se ha adoptado el sistema de las normas ISO (International Organization for
Standardization) que es la entidad internacional encargada de favorecer la
estandarizacinenelmundo.

Estas normas han ido evolucionando paulatinamente, y de all han surgido una
variadaynumerosagamanormativa,lacualseconocecomola familiaISO.

Las series de normas ISO relacionadas con la calidad constituyen lo que se


denominafamilia denormas, queabarcan distintos aspectos relacionados con la
calidad:

19

ISO 27000: Contiene trminos y definiciones que se emplean en toda la


serie27000.Laaplicacindecualquierestndarnecesitadeunvocabulario
claramentedefinido.

ISO 27001: Es la norma principal de la serie y contiene los requisitos del


Sistema de Gestin de Seguridad de la Informacin. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 para que sean seleccionados por las
organizacioneseneldesarrollodesusSGSI.

ISO27002:Desdeel1deJuliode2007.Esunaguadebuenasprcticas
quedescribelosobjetivosdecontrolycontrolesrecomendablesencuanto
aSeguridaddelaInformacin.Noescertificable.

ISO27003:ConsisteenunaguadeimplementacindeSGSIeinformacin
acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los
requerimientosdesusdiferentesfases.

ISO27004:Especificalasmtricasylastcnicasdemedidaaplicablespara
determinarlaeficaciadeunSGSIydeloscontrolesrelacionados.

ISO27005:Consisteenunaguadetcnicasparalagestindelriesgode
laSeguridaddelaInformacinysirve,portanto,deapoyoalaISO27001y
alaimplantacindeunSGSI.

ISO 27006: Especifica los requisitos para la acreditacin de entidades de


auditora y certificacin de Sistemas de Gestin de Seguridad de la
Informacin.

ISO27007:ConsisteenunaguadeauditoradeunSGSI.

ISO27011:Consisteenunaguadegestindeseguridaddelainformacin
especficaparatelecomunicaciones.

20

ISO 27031: Consiste en una gua de continuidad de negocio en cuanto a


tecnologasdelainformacinycomunicaciones.

ISO27032:Consisteenunaguarelativaalaciberseguridad.

ISO27033:Esunanormaconsistenteen7partes:gestindeseguridadde
redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
Gateways, acceso remoto, aseguramiento de comunicaciones en redes
medianteVPNsydiseoeimplementacindeseguridadenredes.

ISO27034:Consisteenunaguadeseguridadenaplicaciones.

ISO27799:Esunestndarparalaseguridaddelainformacinenelsector
salud.

ElpresentetrabajoinvestigativoseencuentraenmarcadoenlanormaISO27001,
bajoloslineamientosdeimplementacinyoperacindeunSistemadeGestinde
SeguridaddelaInformacin.

1.5.2. Tendencias Detectadas

Respecto a esta temtica es importante tener en cuenta los estudios que ha


realizado la Asociacin Colombiana de Ingenieros de Sistemas, pues esta
institucinsemantienealavanguardiaenlastemticasquetienequeverconel
manejo de la informacin y para este caso concreto, la seguridad que se debe
tenerconellaasentoncesnosencontramosconlapresentacindelaEncuesta
Nacional Seguridad Informtica en Colombia: Tendencias 2010 1 donde se
evidencianlossiguientesresultados:

1
ALMANZA JUNCO, Ricardo Andrs, Revista Sistemas N 115, pg. 26-49. Artculo: Encuesta
nacional Seguridad informtica en Colombia: Tendencias 2010. Extrado del sitio web
http://www.acis.org.co/index.php?id=1490Septiembrede2010.

21


ste estudio longitudinal, realizado entre los aos 2002 y 2009, tuvo en cuenta
diferentes categoras, como la demografa (empresas a las que iban dirigida la
encuesta), presupuestos (que se manejan en tales empresas que propendan al
mejoramientodelaseguridaddelainformacin),fallasdeseguridad,herramientas
yprcticasdeseguridad,polticasdeseguridady,finalmente,elcapitalintelectual.
Acontinuacinseexpondrnlasprincipalesdealgunosapartados.

a.
Demografa.Identificaelementoscomolazonageogrfica,elsectoryel
tamaodelaorganizacin,responsabilidadyresponsablesdelaseguridad,ypor
ltimolaubicacindelaresponsabilidadenlaorganizacin.Entrelosparticipantes
de ste estudio se encuentra gran participacin del sector bancario, en donde la
SuperintendenciaFinancieradeColombiahadesarrolladopautasparaasegurarla
informacinparalosusuariosdelsistemabancario,tambindelsectoreducativoy
gobiernodondeseevidencialanecesidaddecontarconunadirectrizentemasde
seguridad de la informacin. Otro aspecto importante a resaltar es que la
seguridaddelainformacinsehaconvertidoenunelementoclaveparalamedia
empresa,formalizandosusestrategiasdenegocio.Paralagranempresasetrata
deuntemadelagestindelaorganizacindadoquelasregulacionesinternasy
tendencias internacionales establecen referentes que no pueden ser ignorados.
Finalmente, se evidencia que el cargo de Director del Departamento de
sistemas/Tecnologa ha tenido un aumento significativo, se puede ver que la
seguridad de la informacin continua en aumento, pero se vuelve necesario
coordinar los procesos de negocio con las reas de seguridad y de tecnologa
para as realizar propuestas con fines no estrictamente tecnolgicos para as no
limitar la participacin de estos en las decisiones de negocio o estrategias de la
organizacin.

b.
Presupuestos.Losresultadosmuestranlatendenciadelainversinen
seguridad concentrada en la zona perimetral, en las redes y sus componentes,
ascomolaproteccindedatoscrticosdelaorganizacin,porotroladohayuna
predisposicin a la no concientizacin y entrenamiento del usuario final. Con la
informacin expuesta se puede decir que se evidencia una inversin variable en
seguridad de la informacin, afirmando que en nuestro pas no se ha logrado
generarunaconcientizacinencuantoalanecesidaddetenerpolticasdirigidasa

22

laproteccindelainformacinsinembargo,unaspectopositivoaresaltaresque
enelao2009,segeneraalasempresaslanecesidaddedestinarmsrecursos
alaseguridaddesuinformacin,estodelamanodelacantidaddenormativasy
regulacionesalrededordelaindustrianacional,quemotivastainversin.Estas
inversiones estn generalmente desarrolladas por el sector de la banca y las
empresasdedicadasalastelecomunicaciones,mostrandoasquelaseguridadde
lainformacinnoesuntemaexclusivodelosinformticos,sinoquerequierede
laformacindeunequipomultidisciplinarioqueintegrelosdiferentesnivelesdela
organizacinylosdiferentestiposdeorganizaciones.

c.
Herramientas y Prcticas de Seguridad. Se evidencia como
preocupante que poco ms de la tercera parte de las empresas no prestan
atencin a las prcticas de seguridad y que an, teniendo a disposicin alguna
herramienta que brinde cierto nivel de seguridad, no hacen controles adecuados
sobre ella y sus efectos ni una vez al ao. Por otro lado, se encuentra que las
herramientas ms usadas por las empresas en pro de la seguridad de la
informacin son antivirus, contraseas, firewalls tanto de hardware como de
software,VPN/IPSecyProxiesenmayorporcentajeyotros,enmenorproporcin
comolosonlasfirmasdigitales,smartcards,biomtricos,sistemasdeprevencin
deintrusos,monitoreodebasesdedatos,entreotros.

d.
Polticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de las
empresas tienen tales polticas en ejecucin, mientras las restantes o bien estn
desarrollando tales polticas o sencillamente no han invertido sus recursos en hacerlo
estodebidoa,principalmente,segnelestudio,alpocoentendimientodelaseguridadde
la informacin y a la inexistencia de una poltica de seguridad, lo que finalmente lleva a
cuestionar la concientizacin que realizan las empresas para lograr que sus miembros
entiendan y desarrollencomportamientosque propendan por laseguridad. Parafinalizar
sehaceimportanteresaltarquelaNormaISO27001esadoptadaporcercadelamitad
de las empresas como gua para la adopcin de buenas prcticas en seguridad
informtica.

e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a la


contratacinonodeprofesionalesrelacionadosconelcampodeingenieradesistemasy
computacin para el manejo de la informacin y designar en ellos laresponsabilidad de
salvaguardarla.Aquseevidenciaquecercadel60%delasempresastienenentreunoy
cincopersonasparaelmanejodeesteimportanteactivoparalaorganizacin.

23

1.6.

MARCO CONCEPTUAL

En el presente trabajo investigativo, es necesario generar un marco que permita


definirconceptosquesonrelevantesparaeltemadeseguridaddelainformacin.
Como se percibir a continuacin se han definido 3 conceptos fundamentales a
saber: seguridad informtica, seguridad de la informacin e inseguridad de la
informacin.

La necesidad de preservar y custodiar de manera efectiva y adecuada la


informacin al interior de una organizacin, y ms an, en la transmisin de la
misma, es un tema que se convierte en un requisito funcional dentro de las
polticas organizacionales es un factor determinante para la credibilidad de la
organizacin frente a sus clientes y usuarios, y un paso de adelanto hacia la
excelenciaenlacalidaddesusprocesos.

Elriesgoenlainformacinhaaumentadoamedidaquestayanoescontrolada
en un solo lugar como lo era un sistema centralizado para las organizaciones
ahoralainformacinsedistribuyedetalformaqueseencuentraenvarioslugares
como lo son sedes o sucursales, por sta razn se desconoce qu informacin
puedeseralmacenadaenpuestosespecficosdetrabajo,quemuchasvecesson
usadoscomoequipospersonalesenlasorganizaciones.

Tcnicamenteesimposiblelograrsistemasinformticoscientoporcientoseguros,
"El nico sistema realmente seguro es aquel que est desconectado de la lnea
elctrica, incrustado dentro de un bloque de concreto, encerrado hermticamente
en una habitacin revestida de plomo y protegido por guardias armados y an as,
se puede dudar"2, pero buenas prcticas de seguridad evitan posibles daos y
problemas que pueden ocasionar las incidencias de seguridad de la informacin
enlaorganizacin.

Al hablar de seguridad en trminos de informtica deben tenerse en cuenta 2


conceptosquedefinentcnicamentesuaplicacin:

GMEZ VIEITES, lvaro., Enciclopedia de la Seguridad Informtica, Alfa omega Grupo editor,
Mxico,PrimeraEdicin,2007

24

1.6.1. Seguridad Informtica

Laseguridadinformticaesunrecursoquenosevalorarealmente,debidoasu
intangibilidad,lasmedidasdeseguridadenlainformacinnocontribuyenaagilizar
los procesos en los equipos, porel contrario producen unefectoadverso a ste,
provocandounareduccinenelrendimientodestosylasaplicaciones,yaquese
realizanprocesosadicionalesalosquenormalmenteseefectan,porejemploen
el envo de datos por una red, no solo se deben procesar los datos para ser
enviados,sinoqueademsdesteprocedimientosellevanacabootrasacciones
comoencriptacindestosmensajes.

Para hacer ms descriptiva esta problemtica de re-procesos se explicar a


continuacinelmtododelafirmadigital.Ver figura 1.

Figura 1. Firma Digital: Envo de un mensaje Seguro.

Fuente:ElaboracinPropia,basadoenGMEZVIEITESlvaro,2007,Enciclopediadela
seguridadinformtica,Capitulo14,FirmaElectrnica.

25

Cuandosedeseaemitirunmensajeconunnivelaltodeseguridad,lamejorforma
esutilizarlafirmadigital,mtodocriptogrficoqueconsisteenasociarlaidentidad
deunapersonaaunmensajeparagarantizarquenovaaseralteradoduranteel
envo y adems de esto asegurar la autenticidad del mismo, garantizando al
destinatarioqueelmensajefuecreadoporquindicesersuremitente.

Estemtodoconsisteen:

Creacindelafirmadigital.
Encriptacindelmensajeyenvo.
Recepcindelmensajeseguro.
Desencriptacindelmensajeylafirmadigital.
Verificacindelaautenticidaddelmensajeydelafirmadigital.

Porotrolado,cuandonoseaplicanmedidasdeseguridad,elmtodoconsisteen:

Creacindelmensaje
Envodelmensaje
Recepcindelmensaje.

Debido a la cantidad de procesos adicionales, muchas empresas no recurren a


estos mtodos de seguridad en la informacin ya que son costosos en tiempo y
dinero, involucrando ms software y hardware dentro de sus procesos
empresariales.

Tambin se puede decir que la seguridad informtica es una disciplina que


relacionadiversastcnicas,aplicacionesydispositivosencargadosdeasegurarla
integridadyprivacidaddelainformacindeunsistemainformticoysususuarios.

Como lo cataloga la norma ISO 7498 l


una serie de
mecanismos que minimizan la vulnerabilidad de bienes y recursos en una
organizacin

Las
medidas y controles que aseguren la confidencialidad, integridad y disponibilidad

26

de los activos incluyendo hardware, software, firmware y la informacin que es


procesada, almacenada y comunicada 3

Cualquier medida que


impida la ejecucin de operaciones no autorizadas sobre un sistema o red
informtica cuyos efectos puedan conllevar daos sobre la informacin,
comprometer su confidencialidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios autorizados al
sistema4

A continuacin se hace referencia acerca de los objetivos que se deben cumplir


porlaseguridadinformtica5:
Objetivos de la seguridad informtica:

Minimizar y gestionar los riesgos, y detectar los posibles problemas y


amenazasalaseguridad.
Garantizar la adecuada utilizacin de los recursos y de aplicaciones del
sistema.
Limitar las prdidas y conseguir la adecuada recuperacin del sistema en
casodeunincidentedeseguridad.
Cumplirconelmarcolegalyconlosrequisitosimpuestosporlosclientes
ensuscontratos.

Paralograrestosobjetivossedebencontemplar4planosdeatencin:

INFOSECGlorssary2000,pg.13.

GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupo
editor,Mxico,PrimeraEdicin.Pg.4.

5
GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad Informtica, Alfa omega Grupo
editor,Mxico,PrimeraEdicin.Pg.8.

27

Plano humano:
Sensibilizacinyformacin.
Funciones,obligacionesyresponsabilidadesdelpersonal.
Controlysupervisindelosempleados.

Plano tcnico:
Seleccin,instalacin,configuracinyactualizacindesolucioneshardware
ysoftware.
Criptografa.
Estandarizacindeproductos.
Desarrollosegurodeaplicaciones.
Plano Organizacional:
Polticas,normasyprocedimientos.
Planesdecontingenciayrespuestaaincidentes.

Plano Legislativo:
Cumplimientoyadaptacinalalegislacinvigente.

La seguridad informtica se enfoca en la proteccin de la infraestructura


computacional y todo lo relacionado a esta, (proteger los activos informticos),
aplicndosesobre:
LA INFORMACIN: Establecer criterios por los administradores, para evitar que
usuariosexternosynoautorizadospuedanaccederaellasinautorizacin.Evitar
que la informacin sea utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o incompletas de la misma.
Asegurar el acceso a la informacin en el momento oportuno, incluyendo
respaldos de la misma en caso de que esta sufra daos o prdida producto de
accidentes,atentadosodesastres.

LA INFRAESTRUCTURA COMPUTACIONAL: Velar que los equipos funcionen


adecuadamente y prever en caso de falla planes de robos, incendios, boicot,
desastres naturales, fallas en el suministro elctrico y cualquier otro factor que
atentecontralainfraestructurainformtica.

28

LOS USUARIOS:Establecernormasqueminimicenlosriesgosalainformacino
infraestructura informtica. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertoslugares, autorizaciones, denegaciones, perfilesde usuario,
planes de emergencia, protocolos, as minimizando el impacto en el desempeo
delosfuncionariosydelaorganizacinengeneral.

La seguridad informtica para una organizacin se debe concebir como un


proceso yno comounproducto que sepuede compraro instalar, se tratade un
proceso continuo, donde se involucran la estimacin de riesgos, prevencin y
atencina los incidentes de la seguridadde la informacin,adems deesto una
firme retroalimentacin de las actividades realizadas, para as garantizar un
efectivo tratamiento a los incidentes en los que la seguridad informtica de la
organizacinestcomprometida.

1.6.2. Seguridad de la Informacin

La norma ISO/IEC 17799 define seguri


La
preservacin de su confidencialidad, su integridad y su disponibilidad .Ver Figura
2.

29

Figura 2. Seguridad de la Informacin.

Fuente:NormaISO/IEC17799

Dependiendodeltipodeinformacinmanejadaylosprocesosrealizadosporuna
organizacin, la seguridad de la informacin podr conceder ms importancia a
garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de
informacin6.

Porlotalraznesmuyimportanteidentificarlanecesidaddelaorganizacinpara
as garantizar los pilares de la seguridad de la informacin y enfatizar en la
necesidadadecuadaparadichainstitucin.

Eltrmino"seguridaddelainformacin",Significalaproteccindelainformaciny
de los sistemas de informacin del acceso, uso, divulgacin, alteracin,
modificacin o destruccin no autorizada con la finalidad de proporcionar
Integridad,ConfidencialidadyDisponibilidad7,involucrandolaimplementacinde

GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupo
editor,Mxico,PrimeraEdicin.Pg.5

CornellUniversityLawSchool,Extradodelsitioweb
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html,Octubrede
2010.

30

estrategias que cubran los procesos en donde la informacin es el activo


primordialparalaorganizacin.

Estas estrategias deben tener como punto de partida el establecimiento de


polticas, controles de seguridad, tecnologas y procedimientos para detectar
amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho
activo,esdecir,queayudenaprotegerysalvaguardartantoinformacincomolos
sistemasquelaalmacenanylaadministran.

Para ello se establece un SGSI (Sistema de Gestin de la Seguridad de la


Informacin):queesaquellap
comprende
la poltica, la estructura organizativa, los procedimientos, los procesos y los
recursos necesarios para implantar la gestin de la seguridad de la informacin en
una organizacin 8.

Esimportantemencionarquelaseguridadesunprocesodemejoracontinua,por
tal razn las polticas y controles que se establecen para la resguardo de la
informacindebenrevisarseyadecuarseparalosnuevosriesgosqueaparezcan,
paraasestablecerlasaccionesquepermitanreducirlosysiesposibleenelmejor
deloscasoseliminarlos.

Si dentro de la dinmica delnegocio deuna organizacin, la informacin de sus


e credibilidad, y pierde negocios que pueden
desembocarenladesaparicindelamisma.Aspues,protegerlainformacines
unrequisitofuncionaldelnegociodeunaorganizacin.

Existenvariosmecanismosparacumplirnivelesdeserviciofrentealospilaresde
la seguridad de la informacin, que se implementan mediante infraestructura
tecnolgica (servidores de correo, de bases de datos, web, uso de clster de
discos,equiposenaltadisponibilidadaniveldered,servidoresespejo,replicacin
de datos, redes de almacenamiento (SAN, Storage Area Network), enlaces
redundantes,etc.).EstosmecanismossonllamadosServiciosdeSeguridad,cuyo
objetivoesmejorar laseguridad de los sistemasde procesamiento dedatos y la

GMEZVIEITES,lvaro.2007,EnciclopediadelaSeguridadInformtica,AlfaomegaGrupo
editor,Mxico,PrimeraEdicin,Pg.18.

31

transferencia de informacin en las organizaciones, contrarrestar los ataques de


seguridad y proporcionar la confidencialidad, la integridad y sobre todo la
disponibilidaddelosservicios.

Desde el punto de vista de los servicios de seguridad, se definen 3 factores


importantesfrentealaseguridaddelainformacin,loscualesfuerontomadosde
GMEZ VIEITES lvaro, Enciclopedia de la seguridad informtica, Alfaomega
Editores,2007.

NO REPUDIO: Proporciona proteccin contra la interrupcin, por parte de


alguna de las entidades implicadas en la comunicacin, de haber
participadoentodaopartedelacomunicacin.

NO REPUDIO DE ORIGEN:Elemisornopuedenegarqueenviporqueel
destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen delenvo, lo cual evita que el emisor, de negar tal
envo,tengaxitoanteeljuiciodeterceros.

NO REPUDIO DE DESTINO: El receptor no puede negar que recibi el


mensaje porque el emisor tiene pruebas de la recepcin. Este servicio
proporcionaalemisorlapruebadequeeldestinatariolegtimodeunenvo,
realmentelorecibi,evitandoqueelreceptorloniegueposteriormente.

Endefinitiva,elnorepudioevitaqueelemisoroelreceptornieguelatransmisin
delmensaje.

Una condicin que posee la informacin es la portabilidad (envo, recepcin y


traslado de la misma), entonces, desde el punto de vista de protocolo de
seguridadencomunicacionessedefinen3aspectos:

PROTOCOLO: Cdigo de procedimientos o reglas estandarizadas para


controlarelflujoylacompatibilidadenelenvoyrecepcindeinformacin.

CRIPTOGRAFA(cifradodedatos):Mtodoporelcualsetransposicionau
ocultaunmensajehastaquellegaasudestino.

32


AUTENTICACIN: Tcnica de validacin de identificacin que comprueba
que el envo, recepcin o modificacin de informacin no la hace un
impostor.

Identificar las vulnerabilidades dentro de la infraestructura tecnolgica


organizacional es tambin un componente vital dentro de la seguridad de la
informacin,desdeelpuntodelavulnerabilidaddelainformacin,sedefinen:

AMENAZA:Accinoeventoquepuedeocasionarconsecuenciasadversas
enlosdatos.

ATAQUE:Tipoynaturalezadeinestabilidadenlaseguridad.

Otros 2 aspectos que deben tenerse muy en cuenta al definir la seguridad de la


informacinsonsusparticularidadesysuscualidades:

Laadministracindelainformacinestbasadaenlatecnologastapuedeser
Y/Otenerlossiguientesatributos:

Confidencial:Informacincentralizadaydealtovalor.

Divulgada:Malutilizada,robada,borradaosaboteada.

Estasparticularidadesafectanladisponibilidadylaponenenriesgo.

Cualidadesdelainformacin:

Critica:Indispensableparalaoperacindelaorganizacin.

Valiosa:Consideradacomoactivoparalaorganizacin.

Sensitiva:Debeserconocidaporlaspersonasautorizadas.

33


Riesgo: Todo tipo de vulnerabilidades y amenazas que pueden ocurrir sin
previoaviso.

Seguridad:Formadeprotegerlainformacinfrenteariesgos.

Pilaresdelaseguridaddelainformacin9:

CONFIDENCIALIDAD DE LA INFORMACIN Y DE LOS DATOS:


Propiedaddeprevenirladivulgacindeinformacinasistemasopersonas
noautorizados.

INTEGRIDAD DE LA INFORMACIN Y DE LOS DATOS: Propiedad que


buscamantenerlosdatoslibresdemodificacionesnoautorizadas.

DISPONIBILIDAD DE LA INFORMACIN Y DE LOS DATOS:


CaractersticadelainformacindeencontrarseSIEMPREadisposicindel
solicitante que debe acceder a ella, sea persona, proceso o sistema.
(Prevencindelataquededenegacindelservicio).

Por otro lado, dentro del tema de seguridad de la informacin se debe tambin
conceptualizarsucomplemento,lainseguridaddelainformacin:

Solo se concibe la inseguridad de la informacin desde el punto de vista de


seguridad de la informacin, como ente adjunto: si bien la seguridad de la
informacin puede significarse como todos los mecanismos en pro de
salvaguardarlaintegridad,laconfidencialidadyladisponibilidaddelainformacin,
la inseguridad de la informacin no tiene una concepcin antagnica sino
la manera estratgica en como

ISO/IEC17799:2005

34

las organizaciones establecen un escenario futuro de los riesgos sobre la


10

Es necesario entonces reconocer, que slo mirando las posibilidades de falla y


vulnerabilidad, es posible mejorar la prctica misma de la administracin de
riesgosyladefinicindemecanismosdeseguridadycontrol.

Buscar formas detalladas para la gestin de los riesgos en los que cae la
informacin, y suministrar herramientas eficientes que permitan detectar y dar
respuestaoportunaalosincidentesdeseguridaddelainformacinatravsdela
implementacin de una gua de seguimiento y revisin de los procesos del
sistema, es un punto neurlgico del presente proyecto, cuya solucin se
dictaminar durante su ejecucin, ofreciendo mecanismos que permitan
paralelamente tener presente los escenarios de inseguridad de la informacin
posiblesyasuvezlosmediosdeseguridadaplicablesenelmbito.

1.7.

MARCO TERICO

Desdeunapticatericapropiamentedicha(sintenerencuentalanormatividady
losestndaresmencionadosenloscaptulosanteriores),sehaescritomuypoco
sobre la seguridad de la informacin y su papel desempeado dentro de la
organizacin por eso, en ste marco se pretende mostrar los aportes que han
enriquecidolosestndaresdeprcticasdeseguridaddelainformacin,ydesdela
perspectivadelosautores,esbozarunposibledireccionamientodelanormaISO
27001,desdeelpuntodevistadelaaplicacindelaguadebuenasprcticasde
seguridaddelainformacin-propuestoydesarrollado-enelproyecto.

10

CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la inseguridad

informtica, extrado del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de


2010.

35


1.7.1. Administracin de la Seguridad

Lasbuenasprcticasdeadministracinindicanqueelestablecimientoclarodela
misin de una organizacin es indispensable para que todos los funcionarios
ubiquensuspropiosesfuerzosylosdireccionenenbiendelamisma.[Glueck,W.

Business Policy and Strategic Management


-Hill,1984],
adems permite elaborar polticas operativas que facilitan el cumplimiento de la
misin de la organizacin, que pueden entenderse como reglas que hay que
seguirobligatoriamente.

Es usual que la alta gerencia cometa errores en cuanto a la seguridad de la


informacindesusorganizaciones,comoporejemplosuponerquelosproblemas
desaparecen si se ignoran, no entender cunto dinero vale su informacin y que
tantodependelaorganizacindeella,nolidiarconlosaspectosoperacionalesde
laseguridad,noentenderlarelacinqueexisteentrelaseguridadylosproblemas
defuncionamientoymarchadelaorganizacin,entreotros.Silaadministracin
empresarial propone una misin para direccionar estratgicamente la
se
solucione las falencias, ubicando la seguridad informtica al mismo nivel que
otras actividades sustantivas de la organizacin, elaborando un plan de seguridad
informtica clara, promulgando polticas que se derivan de dicha misin y
determinando que mecanismos se requieren para implementar esas polticas 11.

11

La Seguridad de la Informacin

LimusaNoriegaEditores,2007.Pg.215.

36

1.7.2. Anlisis de Riesgos

Unpasointermedioentrelaadministracindelaseguridad, -quedesembocaenla
generacin del plan estratgico de seguridad (misin de seguridad)- , y las
polticas de seguridad, es el anlisis de riesgos de la informacin dentro de la
organizacin es aqu donde "se analiza una metodologa prctica para el
desarrollo de planes de contingencia de los sistemas de informacin, que
comprende: la identificacin de riesgos, calificacin del impacto del mismo si se
hiciera realidad, evaluacin del impacto en los procesos crticos y la creacin de
estrategias de contingencias"12.

LasbuenasprcticasdeInseguridaddelainformacinjueganunpapelimportante
en este punto, puesto que no se puede proteger la informacin, si no se sabe
contra qu hay que protegerla. Es necesario entonces, identificar cualquier
aspecto que ponga en riesgo los pilares de la seguridad de la informacin, as
como definir e implantar la defensa necesaria para mitigar y/o eliminar sus
posiblesconsecuencias.

Salvaguardar la confidencialidad, la integridad, la autenticidad y la disponibilidad


de la informacin es la caracterstica que en el fondo define el modelo que se
quiere disear en el presente proyecto. Aunque estas caractersticas soportan
No todas deben estar vigentes
simultneamente, ni tienen todas la misma importancia en todas las
circunstancias 13 . Existen casos de aplicacin en que en ocasiones es ms
importante la confidencialidad (acciones militares por ejemplo) que la
disponibilidad,otroscasosenquelainformacindebeserautntica(inversiones),
etc.Debedeterminarseenqucasos,culesdelaspropiedadessonnecesariaso
importantes.

12

NIMARAMOSJonathanD,
de informacin empresarial y de negocios

13

La Seguridad de la Informacin

LimusaNoriegaEditores,2007.Pg.26.

37

La seguridad de la informacin, como disciplina, trata precisamente de establecer


metodologas para determinar cules de las 4 caractersticas son deseables en
alguna circunstancia y de encontrar la forma de lograr que se apliquen 14.

Enelprocesodeanlisisderiesgosdelainformacinsepuedendiferenciardos
mdulos: a) La Evaluacin del riesgo, orientado a determinar los sistemas de
informacin y sus componentes, que pueden ser afectados directa o
indirectamente por agentes externos, y b) La Gestin del riesgo, que implica la
identificacin, seleccin, aprobacin y administracin de las defensas para
eliminar,oreduciranivelesaceptables,los riesgosevaluados.Enconclusin,su
papel es reducir la posibilidad de que una amenaza ocurra, si ocurre, limitar su
impacto, eliminar la vulnerabilidad existente y retroalimentar para futuras
eventualidades.

1.7.3. Polticas de Seguridad

Posterior al establecimiento de la misin de seguridad, se requiere redactar las


polticasenlasquesebasarelcumplimientodelamisin.Laimportanciadela
no se tiene un marco de
referencia general de seguridad, puesto que permiten definir los procedimientos y
herramientas necesarias del sistema de seguridad 15.

Losbeneficiosdelestablecimientodelaspolticasdeseguridaddelainformacin
ayudan a tomar decisiones sobre otros tipos de poltica empresarial (propiedad
intelectual, destruccin de informacin, etc.), que al final de cuentas redunda en
una estructura de calidad de servicio, seguridad en el servicio y dispone un
ambiente propicio para suministrar una gua, ya que si ocurre un incidente, las
polticas constituyen un marco referencial sobre quin hace qu acciones que
minimicenelimpactodelosmismos.

14

Ibdem,Pg.27

15

DALTABUIT GODAS Enrique, VZQUEZ Jos de Jess, La Seguridad de la Informacin. Pg.

221,LimusaNoriegaEditores,2007.

38

1.8.

DIRECCIONAMIENTO

LafortalezadelanormaISO/IEC27001enmateriadegestindeseguridaddela
informacin,adadehoynadielaponeenduda,dehechodesdesupublicacin,
esta norma ha empezado a ser parte fundamental, al menos en teora, del
funcionamientoadministrativodelasorganizaciones.

Sinembargo,estanormaestatodavalejanadealcanzarelgradodeimplantacin
funcionalanivelmundial,quesihanalcanzadootrosestndaresdegestin,como
porejemploelestndarqueestablecelosrequisitosdeunsistemadegestinde
lacalidad:ISO9001.

EstallasuperioridaddelaISO9001frentealasISO/IEC27001,comparadasen
niveldeimplantacinquelanormaISO9001sesaledelmbitoadministrativode
"certificacin" y se plantea en un plano de requerimiento funcional de cualquier
empresaenelmundo.As,sinoseestcertificadoenISO9001,seestfueradel
mercadomundial.

Analizandolaevolucindeesanorma(ISO9001),esposibleinferirunaevolucin
similar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o de
cumplimiento obligatorio, se empiezan a ver signos significativos de su
implantacinenlaorganizacincomosedescribe:

EnPer,laISO/IEC27002:2005(Guadebuenasprcticas.Nocertificable)esde
uso obligatorio en todas las instituciones pblicas desde el ao2005, fijandoas
unestndarparalasoperacionesdelaAdministracin16.

En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos


sectores,eselcasodelosoperadoresdeinformacin,quedeconformidadconel
Decreto1931de2006,sehallansujetosalcumplimientodelestndar.

16

OficinaNacionaldeGobiernoElectrnicoeInformtica ONGEIPer,Extradodelsitioweb

http://www.ongei.gob.pe/alos5dasdelmesdeoctubrede2010.

39

De ser continuo esteavance, la seguridadde la informacin se convierte en una


necesidad, cuyos procesos deben ser certificados no slo para mejorar dicha
seguridad, sino tambin para ampliar sus resultados y, por supuesto como se
haba anotado antes, para figurar de manera competitiva en un mercado que
conocelaimportanciadelaseguridaddelosactivosdeinformacin.

Como lo dice Manuel Daz San Pedro en su artculo ISO 27001 17: Hacia un
cumplimientoobligatorio?"Desde luego, un punto de apoyo muy slido hacia esa
evolucin lo proporciona el Informe Anual 2008 del IT Policy Compliance Group,
con el ttulo "Improving Business Results and Mitigating Financial Risk". Segn los
datos que recoge el informe, las organizaciones con mayor grado de desarrollo en
Gobierno, Gestin de Riesgos, y Cumplimiento en Tecnologas de la Informacin
(GRC IT), superan la media de ingresos en un 17% frente a las organizaciones
que no lo implantan, que se traduce en un 13,8% ms de beneficios para la
organizacin

Sinduda,conestosantecedentes,ISO27001seguiravanzandoenimportanciay
posicindemanerasimilaralestndardecalidadISO9001encuantoagradode
institucin y exigencia, tanto para la empresa privada como para la pblica y la
sociedadengeneral.

17

DAZSANPEDRO,Manuel.,2009,ISO27001:Hacia un cumplimiento obligatorio?,extradodel

sitiowebhttp://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimientoobligatorio.htmNoviembrede2010

40

1.9. DISEO METODOLGICO

Este diseo fue validado y aprobado por el grupo consultor especializado en la


temtica de Seguridad Informtica. Estos lo evaluaron en ocasiones diferentes
realizando ajustes a la herramienta que el modelo plantea dando
retroalimentaciones y proporcionando un valor agregado en cada socializacin y
retroalimentarrealizadadurantelainvestigacin.

1.9.1. Metodologa

INDAGACIN INICIAL
Sepretendeconocerlosdiferentesmodelosexistentesparalaimplementacindel
SGSI desarrollados por diferentes autores y en diferentes pases con el fin de
ampliarlainformacinyperspectivasdelsistema.

ELABORACIN DE CATEGORAS
Con la informacin obtenida en la indagacin inicial se definirn puntos
divergencia y convergencia, de all se establecern los componentes ms
importantesdelaguaparalograrelestablecimientodelas categorasprincipales
queconformarnlamisma.

CONSTRUCCIN DE DIAGNOSTICO INICIAL


Conloselementosanterioresseelaborarundocumentoqueesbozalosaspectos
preliminaresdelaguadebuenasprcticasdeseguridaddelainformacin.

PRESENTACIN DE RESULTADOS
Gruposfocalesconpersonalespecializado
La informacin obtenida y procesada se presentar a un grupo de expertos,
conformado por especialistas en el tema para retroalimentar los hallazgos y
obtenernuevainformacinrelevanteparalaconstruccindelagua.

41

RETROALIMENTACIN DEL MODELO


Con los resultados obtenidos se construye un modelo, constituido segn el
InstitutoAndaluzdeTecnologaporprocedimientosestratgicosydeapoyo18,los
cuales son retroalimentados para posteriores verificaciones, y seguirn el
siguienteformatoVer Tabla 1:

18

Guaparaunagestinbasadaenprocesos,InstitutoAndaluzdeTecnologa,ISBN84-923464-7-

7,Pg.22.

42

Tabla 1. Formato de Procedimientos

CDIGO

OBJETIVO

FORMATOS DE REFERENCIA

TIEMPO ESTIMADO/FRECUENCIA

TIPO

RESPONSABLE

NOMBRE

VERSIN

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

4.

3.

2.

5.

DESCRIPCIN

<

OBSERVACIONES

Fuente:Elaboracinpropia.

43

2. CAPITULO II: CONSTRUCCIN Y APLICACIN DEL MODELO

2.1.

PLAN DE ANLISIS

Elpresentetrabajosedesarrollen5fasesomomentos:

I. INDAGACIN INICIAL: Se pretende conocer los diferentes modelos


existentespara la implementacindebuenas prcticas de seguridadde la
informacindesarrolladaspordiferentesautoresyendiferentespasescon
el fin de ampliar la informacin y perspectivas de la gua. Para ello se
realizunaexhaustivaindagacindetrabajos,escritos,normas,ysepudo
establecer que no existe una amplia documentacin en la temtica, sin
embargoesteproyectoesresultadodelaindagacinterica,conceptualy
normativadeltema.

II.

ELABORACIN DE CATEGORAS: Con la informacin obtenida en los


antecedentes y las tendencias se definieron puntos de divergencia y
convergencia, de all se establecieron los componentes ms importantes
delsistemaparalograrelestablecimientodelascategorasprincipalesque
conformarnlagua.Ver figura 3

44

Enlostresconceptosincialesquesehabandeterminadocomoejesestructurales
delapresenteinvestigacin:seguridadinformtica,seguridaddelainformacine
inseguridad de la informacin, se hallan inmersos elementos constitutivos y en
diversoscontextostantonormativos,legalesytecnolgicos,sinembargodesdeel
punto de encuentro de los autores del presente trabajo se establecen elementos
integrantesconceptualescomo:

DE LA PREOCUPACIN DEL AGUJERO EN LA CAPA DE OZONO A LOS

Si se pudiera definir la administracin como todos los procesos que conlleven a


planificar, organizar, dirigir y controlar ciertos recursos con el nimo de obtener
beneficios, debera poderse adherir a esa definicin, el establecimiento de los
roles que pondran en marcha dichos procesos. El quin, el qu y el cmo, se
vuelvenpilaresfundamentalesdelengranajequemueveelsistemaquebuscael
beneficiomencionado.

Formas, maneras, y mtodos de administracin existen muchos, pero si a estos


diversos mtodos asignamos u
informacinpuedetomarseentoncescomolaformaenquesetratanlosdatosque
proporcionan la facilidad de tomar decisiones de algn tipo y que generan
conocimiento para planear, organizar y dirigir procesos. Si a esta planeacin de
puede descubrirse que esta informacin es susceptible a variables diversas del
entorno,queincidenenella,ylatransformanenunapotencialbaseestratgicade
adelanto y crecimiento empresarial, o en un apabullante muro de perdida y
quiebras. Y como sucede esto?. Es sencillo: dependiendo de la intencin que

Es necesario entonces plantear barreras que permitan verificar en cierta medida


direccionamiento trae, y decidir si esa variable incide positiva o negativamente
sobrelainformacin.

46

Esta necesidad de implantacin de barreras, de mtodos y estrategias, de


direccionamientos y verificaciones se llama Administracin de seguridad de la
informacin,yesuntemquetocaprofundamentelosobjetivosdeesteproyecto.

Imaginemosquetodoloplanteadoenlosprrafosanteriores,seasimilaaloque
sucede en la capa de ozono que se encuentra en la estratosfera,
aproximadamentede15a50Kmsobrelasuperficiedelplaneta.Elozonoesun
compuestoqueactacomounpotentefiltrosolar,evitandoelpasodeunaparte
delaradiacinultravioleta(UV)alasuperficiedelatierra.LaradiacinUVpuede
producir dao en los seres vivos, dependiendo de su intensidad y tiempo de
exposicin estos daos pueden abarcar desde irritacin a la piel, conjuntivitis y
deterioro en el sistema de defensas, hasta llegar a afectar el crecimiento de las
plantas, con las posteriores consecuencias que esto ocasiona para el normal
desarrollodelavidaenlatierra.

En este caso el conocimiento organizacional de la empresa, y todo su


direccionamiento estratgico estara representado por la vida en la tierra y la
gerenciaseralacapadeozono,quegarantizalaseguridaddelainformacin,as
mismo los aspectos financieros, la imagen corporativa y la calidez percibida por
losclientesseranlosvaloressusceptibles(informacin)aposiblesdaosseveros
que surgen a raz de una sobre exposicin a los factores de riesgo,
desencadenandoelanormaldesarrollodelasactividadesdelnegocio.Porellola
administracindelaseguridadesunpotentefiltro,queevitaelpasodemateriales
nocivosysuimplementacinenelnegocioesimprescindibleydevitalimportancia
paraelmismo.

Sinembargosiguiendoelmismoejemplo,elhuecoenlacapadeozono,construye

establecer mecanismos que posibiliten la prevencin y reaccin frente a los


diferentesacontecimientos.Lossistemasdeproteccinmsusados,hantomado
comobaselafamiliadenormasISO27000delacualserealizunasntesisenel
tem5.1 ANTECEDENTES.

47

DE LAS ARMAS ATMICAS A LAS ARMAS EN TOMOS

Atravsdelahistorialaconcepcindeseguridadhaidoevolucionandoaliniciola
seguridad estaba dirigida a proteger la propia vida y garantizar el bienestar de
esta, para ello, se construyeron armaduras, escudos y otros artefactos que
proteganelcuerpoylavidadelosindividuosconlaevolucindelassociedades
yelsurgimientodelaexplotacinmercantillaseguridadsetrasladaaprotegerlos
bienes, productosyrecursosporcualquiermedio.Sinembargo,atravsdetoda
la evolucin social siempre se ha tenido informacin con accesorestringido para
todoslosmiembrosdelasociedad,informacinquesehaguardadosigilosamente
en secreto y que es de vital importancia para el desarrollo de las actividades
administrativas,esteltimoapunteeselquedaorigenaunaseriedeinstituciones
estatales que se dedican a la recoleccin y a salvaguardar la informacin
importanteactualmenteestasconductassegurasconrespectoalainformacinse
hantrasladadoaotrotipodeorganizacionesenbuscadeprotegerloselementos
decompetenciaqueposeen.

Ahora bien, todo este proceso ha requerido un aprendizaje catastrfico para


muchas empresas y organizaciones, pues lo que se hace en la actualidad est
basadoenloserroresdelpasado,esdeestaformaquehoyendasecuentacon
una gran variedad de herramientas para mantener la informacin segura y con
esta a la organizacin. Sin embargo, tener a disposicin tales herramientas no
garantiza la proteccin absoluta de la informacin y la organizacin, pues es
necesario recordar que tales herramientas son manipuladas por personas y que
estas pueden cometer errores, por lo que la concienciacin de las personas que
componen la organizacin respecto a prcticas catalogadas como seguras debe
considerarsecomounpilarenelestablecimientodeunSGSI

Teniendo un modelo de seguridad a seguir como algo primordial para la


organizacin pueden evitarse prdidas excesivas de dinero, adems de esto los
daos a la informacin pueden llegar a ser devastadores para la organizacin,
tomando medidas preventivas se pueden garantizar escenarios controlados para
conservar la integridad, disponibilidad y confidencialidad de la informacin de la
organizacin.

48

III.

CONSTRUCCIN INICIAL DEL MODELO:Comosehabaplanteadoenel


anteproyecto,conloselementosobtenidosenlafasesanterioresseelabor
uninforme(VerAnexoA)quedetallaloshallazgosencontradosreferentes
alaSeguridaddelaInformacin,deigualformaseplanteaelmodeloInicial
llamado Manual de respuesta a incidentes, donde se hace referencia a la
gestin apropiada de la seguridad de la informacin priorizando las
iniciativasmsimportantesparacumplirconlosobjetivosymetasrespecto
a esta en la organizacin, con el fin de establecer una gua de manejo
sobrelosproyectosdeseguridad.

IV.

PRESENTACIN DEL MODELO A GRUPO FOCAL: Para esta fase de


desarrollo se plante la valoracin del modelo por parte de un grupo de
conocedores (Ver Anexo B), la informacin obtenida y que soporta la
construccin del Manual de Respuesta a Incidentes, se socializ con este
grupo, con el fin de retroalimentar los hallazgos y obtener nueva
informacinrelevanteparalaconstruccindelaherramienta.

Elmodeloplanteadosepresentaungrupodecuatroingenierosconocedoresde
latemtica,ylasntesisdesussugerenciassonlassiguientes:

Enfocar el trabajo realizado del modelo inicial del plan de accin hacia la
legislacin vigente y a las buenas prcticas establecidas en ISO 27001 e
ISM3conelnimodenormalizarelmodelo.

Encausar el direccionamiento de la Seguridad de la informacin con la


planeacinestratgicaempresarial.

CrearEstrategias,mtodos,diferenciarrolesyresponsabilidadesconelfin
de hacer partcipe a toda la organizacin para la implantacin del modelo
dirigidoporaltagerencia.

Desarrollardeformamsrigurosaundocumentodirigidoaltratamientoyel
anlisisdelriesgo.

49

Incluir un plan de capacitacin y divulgacin de dichas polticas de


seguridad.

V.

RETROALIMENTACIN DEL MODELO:Elmodeloobtenido(VerAnexoC)


alintegrarlassugerenciasplanteadasporelgrupofocaldacomoresultado
variacionesenelmodeloinicialrespectoa:

El Manualde Respuesta a Incidentes se transforma enun Plan de accin


deSeguridaddelaInformacin.

SecreaunanexodocumentalrespectoalAnlisisyGestindeRiesgosde
SeguridaddelaInformacin.

Seestablecenestrategiasdedifusinycomunicacindelmodelo.

NOTA:Puestoquelasfasesdelplandeanlisisestndiseadasdeunamanera
incremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como se
sigue:

2.2.

SEGUNDA ITERACIN DEL MODELO

El modelo planteado del Plan de Accin y Anlisis y Gestin de Riesgos de la


Seguridad de la Informacin son puestos a consideracin nuevamente al mismo
grupofocal,quienesretroalimentarondichosplanteamientos.

50

RETROALIMENTACIN DEL MODELO


LassugerenciasplanteadasporelgrupofocalsonadicionadasalPlandeAcciny
alAnlisisyGestindelRiesgodeSeguridaddelainformacin(verAnexoD),los
cambiosplanteadossonlossiguientes:

Se sugiere una adecuada disposicin final de los activos de informacin,


tenerunmtodoseguroconelcualrealizarlaeliminacindedichosactivos
delaorganizacin.

Seplanteaunplandecapacitacinrigurosoydinmico,aprovechandotodo
el proceso de Anlisis y Gestin del Riesgo para generar los temas de
capacitacinendondeseencuentranfalencias,ademsdeestoselogreun
compromisodeformacinporlosparticipantes.Esmuyimportantebrindar
una difusin en cuanto a Plan de Accin y Anlisis y Gestin del Riesgo
generando un compromiso con los objetivos y metas de dichos
lineamientos.

CONSTRUCCIN DEL MODELO


El modelo anterior es presentado al grupo focal, y se detectaron falencias en
cuantoaladisposicinfinaldelosactivosdeinformacin,teniendoencuentaque
esteesunfactorderiesgoimportante,laformaencmoserealizaeltratamiento
de eliminacin o baja de los activos de informacin desde el momento en que
consideranecesarioprescindirdeellos.
Otro cambio que surgi de los datos obtenidos de los expertos fue generar
estrategias de capacitacin ms dinmicas creando un compromiso con los
miembrosdelaorganizacin.

ElprocedimientoseencuentradescritoenESTRATEGIAS DE CAPACITACIN Y
COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELOpresentadoenel
Anexo E,elcualestdiseadoparaimplementarprogramasdeformacinytoma
deconcienciaporpartedelosintegrantesdelaorganizacin.Estasestrategiasde
capacitacin optimizan y mejoran la difusin de los procedimientos que se
encontrabaninmersostantoenel Plan de AccincomoenAnlisis y Gestin del

51

Riesgo,paraaslograrunacapacitacinintegralymsrigurosadirigidaatodoel
modelo.

2.3.

TERCERA ITERACIN DEL MODELO

Tras presentar el modelo obtenido al grupo focal, surge la necesidad de


complementar la gua con un tem que ayude a gestionar los incidentes de
seguridad presentados al interior de un organizacin, y por ello se plantea la
revisindelaNormaISO/IEC27005:2009GestindelRiesgodelaSeguridadde
la Informacin, para que sirva de apoyo la creacin de una gua de respuesta a
incidentesdeseguridaddelainformacin.

RETROALIMENTACIN DEL MODELO

Tras la valoracin de las sugerencias planteadas por el experto en la tercera


revisin del modelo, se alude a una revisin documental de las normas ISO/IEC
27001:2006 e ISO/IEC 27005:2009 y en consecuencia a esto se encontraron
falencias en el modelo planteado, que son subsanadas con la creacin de un
nuevomodelo,dondeseplanteaelsiguientecambio(verAnexoF):

Creacin de la Gua de Respuesta a Incidentes de Seguridad de la


Informacin.

52

3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES

3.1.

RESULTADOS OBTENIDOS

Unmodelovalidadodebuenasprcticasdeseguridaddelainformacin.

Undiagnsticogeneralatravsdelaconstruccindetendenciasdeprcticasde
seguridaddelainformacinenColombia,CANyEstadosUnidos.

Un proceso investigativo sistematizado para la construccin de un manual de


procedimientos para la administracin de la seguridad de la informacin,
propuesto como Gua de Buenas Practicas de Seguridad de la Informacin en
ContextosdeMicros,PequeasyMedianasEmpresasdelaRegin.

3.2.

CONCLUSIONES

Aunqueeltemahacobradovigenciaenlosltimosaos,noseaccedefcilmente
ainformacinsobreeltemadeseguridadinformticaaplicadaenmodelo.

Paraqueelmodeloseaaplicado,sedebegenerarunespaciodeformacinatodo
el personal que tenga interaccin y acceso a la informacin. En los espacios
empresariales,sehaceungranesfuerzoparaquetodoslosempleadostenganlas
competenciasquepermitanaccederalossistemasdeinformacin,sinembargo
pocassonlasactividadesyprocesosquesedesarrollanparaquelohagandeuna
formasegura.

No obstante la abundante gama normativa y Legal, stas per se no garantizan


seguridadtotaldelainformacin.

53

Aun los profesionales en temas informticos, suelen no diferenciar entre


conceptosde seguridad informtica y seguridad de la informacin, lo cual puede
generar o sesgos en cuanto esfuerzos o direccionamiento de los esquemas
preventivos.Olvidandolavisinholsticaquepermitiraminimizarriesgos.

Elreducidoabismoentremodelaryaplicar,esquemasdeseguridadinformticay
deinformacin,tambinestmediadoporlaprofundidaddelmismo.Porlocual
organizaciones que han realizado inmensas inversiones para el desarrollo de
modelos sper avanzados y con todas las medidas planificadas para evitar
ataques,sehanolvidadodelasrealidadesdesusrecursosparaaplicarlos,casi
experimentandomegaprocesosparaseraplicadospordbilesequiposdetrabajo.

De esta manera se puede concluir que los procesos deben ser adecuados a las
realidades de cada organizacin, por ello el presente proceso investigativo no
generaunmodelorgidoyeinamovible,sinoantesbienentregaunaherramienta
paratenerencuentaenelmomentoquesevayaagenerarunmodeloaplicadoy
hechoalmedidadecadaorganizacin.

Debe reafirmarse al empresario local que la adquisicin tecnolgica no implica


seguridad de la informacin, si no que esto requiere de buenas prcticas
estandarizadasdelaadministracindelosactivosdeinformacin.

Una gestin adecuada de los activos informacin trae como resultado la


implementacindeunSGSI.

La seguridad informtica para una organizacin se debe entender como un


procesoynocomounproductoquesepuedecompraroinstalar,estosetratade
un proceso continuo, en el que se incluyen actividades como la valoracin de
riesgos,prevencin,deteccinyrespuestaanteincidentesdeseguridad.

La implementacin de medidas de seguridad en lugar de agilizar los procesos,


ayudan al detrimento del rendimiento de los mismos (ej: envo de un mensaje
encriptado).

54

3.3.

RECOMENDACIONES

Se recomienda a nuevos investigadores dar a conocer el concepto de seguridad


de la informacin en las empresas de la regin para as asegurar la adecuada
gestindelosactivosdeinformacinteniendoencuentaqueestosabarcantodo
lorelacionadoensalvaguardarlospilaresdelaseguridaddelainformacin.

Generar en todos los integrantes de la organizacin un gran compromiso con la


seguridad de la informacin y de lo significativo que son estas prcticas para la
continuidaddelosobjetivosorganizacionales.

La legislacin se debe unir con los interesados en informtica y as generar


nuevasleyes que rijaneste mbito, sin obstaculizar el libre funcionamiento de la
informtica especialmente con la internet, puesto que hay muchos intereses en
estemundotanamplioypuedendirigirseporcaminosnocorrectosyaslimitarla
fluidezdelconocimiento.

Apartirdelmodeloplanteadoenesteproyectoinvestigativo,debesurgirunnuevo
proyecto,queplanteelaejecucindelmodeloalinteriordeunaorganizacin.

55

4. REFERENCIAS BIBLIOGRFICAS

[1] ALMANZA

JUNCO, Ricardo Andrs, Revista Sistemas N 115, pg. 26-49.


Artculo:EncuestanacionalSeguridadinformticaenColombia:Tendencias2010.
Extrado del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de
2010.

[2] [4] [5] [6] [8] GMEZ VIEITES, lvaro. 2007, Enciclopedia de la Seguridad
Informtica,AlfaomegaGrupoeditor,Mxico,PrimeraEdicin.

[3]INFOSECGlorssary2000.

[7]
Cornell
University
Law
School,
Extrado
del
sitio
web
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000.htmlalos4dasdeOctubrede2010.

[9]ISO/IEC17799:2005

[10] CANO, Jeimy J., 2005, Revista Sistemas N 92, artculo Aprendiendo de la
inseguridad
informtica,
extrado
del
sitio
web
http://www.acis.org.co/index.php?id=457el15septiembrede2010.

[11] [13] [14] [15]

oriegaEditores,2007.

[12]

UniversidaddePiura,Per,2009

[16] Oficina Nacional de Gobierno Electrnico e Informtica ONGEI Per,


Extradodelsitiowebhttp://www.ongei.gob.pe/alos5dasdelmesdeoctubrede
2010.

56

DAZ SAN PEDRO, Manuel., 2009, ISO 27001: Hacia un cumplimiento


obligatorio?, extrado del sitio web http://www.gestiopolis.com/administracionestrategia/iso-27001-cumplimiento-obligatorio.htmel8denoviembrede2010.

[18] Gua para una gestin basada en procesos, Instituto Andaluz de Tecnologa,
ISBN84-923464-7-7

[19]ISO/IEC27001:2005

[17]

57

ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA


INFORMACIN

La necesidad de implantar estrategias que permitan que la informacin se


mantenga segura, y que adems cumpla con las cualidades de disponibilidad,
integridad y confidencialidad, podra definirse de cierta manera como
administracindeseguridaddelainformacin.

Todoslosprocesosqueconllevenaplanificar,organizar,dirigirycontrolarciertos
recursos, con el nimo de obtener beneficios de la informacin que posee una
organizacin,conllevanaqueadichainformacinseleatribuyannivelesaltosde
calidad, que permiten tomar decisiones estratgicas que direccionan la
organizacin,yqueademsgarantizanquelaseguridaddelainformacinyms
aun,quelasdecisionesbasadasendichainformacinnosevernvulneradaspor
factores externos que atenten contra confidencialidad, la disponibilidad y la
integridaddelainformacin.

Conelpropsitodeestablecerunnivelptimodeseguridaddelainformacin,se
estableceunManualdeRespuestaaIncidentesdeSeguridaddela Informacin,
que sirve como gua de implementacin dentro de la organizacin que desee
alinearseconlasbuenasprcticasestablecidasenlaISO27001.

OBJETIVO

Priorizar las iniciativas ms importantes para cumplir con los objetivos y metas
respecto a la seguridad de la informacin en la organizacin, con el fin de
establecerunaguademanejosobrelosproyectosdeseguridad.

58

DEL MANUAL

SeproporcionanlossiguientesprocedimientosparalaelaboracindelManualde
RespuestaaIncidentesdeSeguridaddelaInformacin:

Identificaryconocerlasposiblesvulnerabilidadesdeseguridaddelainformacin
alinteriordelaorganizacin,constituyeelpasoinicialparaelestablecimientode
polticas y estrategias que la direccionen, en va de salvaguardar la integridad,
disponibilidad y confidencialidad de informacin de la organizacin. Realizar un
diagnstico empresarial determina el punto de partida que prepara la unificacin
de los criterios y objetivos empresariales en aras de implementar unas buenas
prcticasdeseguridaddelainformacin.

Tras definir los objetivos a alcanzar, e identificar los factores que vulneran la
seguridad de la informacin de la organizacin, deben establecerse las lneas
estratgicas de seguridad,quegaranticenlacreacindeunplandeaccinfrente
a los factores de riesgo a los que se encuentra expuesta la informacin. Es
importante proporcionar una clara identificacin de los objetivos para que el
lineamientoseamarcadosinambigedadesenelejerciciodelasbuenasprcticas
deseguridad.

Conciernealaaltagerenciaestablecer y garantizar los recursos necesarios,tanto


humanos,tcnicosytecnolgicosqueanenlosesfuerzosdelosintegrantesdela
organizacin con el fin de cumplir los objetivos establecidos, teniendo una
identificacin completa de cada tipo de riesgo probable, asocindolo a cada
departamento implicado, proporcionando soluciones contundentes mediante la
especializacin del talento humano, garantizando la idoneidad del personal y la
acertada solucin o mitigacin del incidente, estableciendo programas de
cumplimiento de prcticas de seguridad mediante guas procedimentales, que
garanticen que los integrantes de la organizacin conozcan el manual de
respuestaalosincidentesyelrespectivotratamientodelosriesgos,ylaposterior
ejecucinptimadecadaunodelosprocedimientosdelmanual.

Garantizar que los factores de riesgo sigan un patrn controlable, medible y


parametrizablequepermitanunamejoracontinua,ademsque,losincidentesno
identificados como factores de riesgo sean parametrizados y documentados,

60

proporcionaunpuntodepartidaderetroalimentacindelmanualderespuesta,por
ello, establecer niveles de tolerancia a fallos, garantiza la trazabilidad del riesgo,
puestoqueconsecuentementehaceuntratamientodelriesgoasumido,yencaso
delaocurrenciadeunriesgonoprevisto,formalizasudocumentacinyposterior
tratamiento.

Por ltimo, si se trazan mtodos de seguimiento, revisin y auditoria, no solo se


garantiza la utilizacin del manual, sino tambin, una mejora continua como
consecuencia de la retroalimentacin de los procesos definidos en el manual de
respuestaa incidentes, influyendo positivamente en lamejoradela calidad de la
seguridaddelainformacin.

PROCEDIMIENTOS DE GESTIN

EstablecerDiagnsticoEmpresarial:
Encuestar a los miembros de la organizacin respecto al conocimiento de
polticasdeseguridaddelainformacin.

Verificarquelainformacinobtenidaesreal.

Proponerlneasestratgicasdeseguridad.

EstablecerLneasEstratgicasdeSeguridad.
Definirlosobjetivosdeseguridaddelainformacin.

Identificarlosfactoresderiesgodeseguridaddelainformacin.

Establecerunplanderespuestaacadafactorderiesgoidentificado.
EstablecerRecursosNecesarios.
Identificareltipoderiesgoyasociarloacadadepartamentoimplicado.

61


Asignarrolesyresponsabilidades.

Garantizar idoneidad de los encargados de las lneas estratgicas de


seguridad.

EstablecerProgramasdeCumplimientodePrcticasdeSeguridad.
Establecerunaguadesolucindeincidentes.

Garantizar que los integrantes de la organizacin conozcan el manual de


respuestaaincidentes.

Garantizarseguimientoyrevisindelmanualderespuestaaincidentes.

EjecutarProgramasdeCumplimientodePrcticasdeSeguridad.
Garantizar que el personal cumple con las medidas establecidas en el
manualderespuestaaincidentes.

EstablecerNivelesdeToleranciaaFallos.
Establecernivelesaceptablesdefactoresderiesgo.
Garantizar que los factores de riesgo no controlados sean seguidos y
parametrizados.

Revisar,EvaluaryAuditarelManualdeRespuestaaIncidentes.
Garantizarmtodosderevisin,seguimientoyauditoria.
Garantizarmejoracontinua.

62

METODOLOGA

Tabla 3. Metodologa: Manual de Respuesta a Incidentes de Seguridad de la Informacin

OBJETIVO

ACTIVIDADES

Encuestar a los miembros


de la organizacin respecto
al conocimiento de polticas
de
seguridad
de
la
Establecer diagnstico
informacin.
empresarial.
Verificar que la informacin
obtenida es real.
Proponer lneas estratgicas
de seguridad.
Definir los objetivos de
seguridad de la informacin.
Identificar los factores de
Establecer lneas
riesgo de seguridad de la
estratgicas de
informacin.
seguridad.
Establecer un plan de
respuesta a cada factor de
riesgo identificado.
Identificar el tipo de riesgo y
asociarlo
a
cada
departamento implicado.
Establecer recursos
Asignar
roles
y
necesarios.
responsabilidades.
Garantizar idoneidad de los
encargados de las lneas
estratgicas de seguridad.
Establecer una gua de
solucin de incidentes.
Garantizar
que
los
integrantes
de
la
Establecer programas de
organizacin conozcan el
cumplimiento de
manual de respuesta a
prcticas de seguridad.
incidentes.
Garantizar seguimiento y
revisin del manual de
respuesta a incidentes.
Garantizar que el personal
Ejecutar programas de
cumple con las medidas
cumplimiento de
establecidas en el manual
prcticas de seguridad.
de respuesta a incidentes.

63

DESCRIPCIN
Determinar un punto de partida
que prepare el establecimiento
de los objetivos de seguridad
de la organizacin.

Proporcionar una identificacin


clara de los objetivos de
seguridad a seguir y establecer
los
lineamientos
de
cumplimiento
de
dichos
objetivos.

Gestiona los recursos que


preparan a la organizacin para
la atencin y el tratamiento de
un incidente

Proporcionar una gua que


permita el tratamiento de los
incidentes segn los riesgos
identificados y la tipificacin de
los mismos.

Verificar que el cumplimiento de


los procedimientos establecidos
por la gerencia como gua de
respuesta a incidentes.

OBJETIVO

ACTIVIDADES

DESCRIPCIN

Establecer
niveles Garantiza que los factores de
aceptables de factores de riesgo
sigan
un
patrn
riesgo.
controlable,
medible
y
parametrizable que permitan
una mejora continua, a dems
Establecer niveles de
los
incidentes
no
Garantizar que los factores que,
tolerancia a fallos.
de riesgo no controlados identificados como factores de
sean
seguidos
y riesgo sean parametrizados,
documentados y proporcionen
parametrizados
un punto de partida de
retroalimentacin del manual.
Garantizar
mtodos
de La
alta
gerencia
debe
revisin,
seguimiento
y garantizar que el manual de
auditoria.
respuesta se sigue segn sus
Revisar, evaluar y auditar
lineamientos, a dems de
el manual de respuesta a
incidentes.
su
seguimiento,
Garantizar mejora continua. garantizar
trazabilidad y la aplicacin
correcta segn los objetivos.
Fuente:ElaboracinPropia

64

MAPA DE PROCEDIMIENTOS

Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de Seguridad de la


Informacin.

Fuente:ElaboracinPropia.

65

ESPECIFICACIN DE PROCEDIMIENTOS

CDIGO

GBP-MRI001

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer diagnstico empresarial.

Alta Gerencia

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Conocer el estado actual de la organizacin en cuanto a la Gestin de la


Seguridad de la Informacin, para establecer un punto de partida.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Encuestar a los miembros de la organizacin respecto al conocimiento de polticas de


seguridad de la informacin.

2.

Verificar que la informacin obtenida es real.

3.

Proponer lneas estratgicas de seguridad.

DESCRIPCIN

Determinar un punto de partida que prepare el establecimiento de los objetivos de seguridad


de la organizacin.

<

OBSERVACIONES

66

CDIGO

GBP-MRI002

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer lneas estratgicas de seguridad.

Alta Gerencia

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer el direccionamiento que va a tener el modelo.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Definir los objetivos de seguridad de la informacin.

2.

Identificar los factores de riesgo de seguridad de la informacin.

3.

Establecer un plan de respuesta a cada factor de riesgo identificado..

DESCRIPCIN

Proporcionar una identificacin clara de los objetivos de seguridad a seguir y establecer los
lineamientos de cumplimiento de dichos objetivos.

<

OBSERVACIONES

67

CDIGO

GBP-MRI003

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer recursos necesarios.

Alta Gerencia

Departamento Implicado

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

TIEMPO ESTIMADO/FRECUENCIA

RESPONSABLES

Brindar estrategias para la asignacin de recursos para dar cumplimiento a


los objetivos establecidos.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar el tipo de riesgo y asociarlo a cada departamento implicado.

2.

Asignar roles y responsabilidades.

3.

Garantizar idoneidad de los encargados de las lneas estratgicas de seguridad.

DESCRIPCIN

Preparar al departamento para gestionar los recursos que permitan la atencin y el


tratamiento de un incidente.

<

OBSERVACIONES

68

CDIGO

GBP-MRI004

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer programas de cumplimiento de prcticas de seguridad.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Garantizar que los integrantes de la organizacin conozcan el manual de


respuesta a los incidentes y el respectivo tratamiento de los riesgos.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Establecer una gua de solucin de incidentes.

2.

Garantizar que los integrantes de la organizacin conozcan el manual de respuesta a


incidentes.

3.

Garantizar seguimiento y revisin del manual de respuesta a incidentes.

DESCRIPCIN

Proporcionar una gua que permita el tratamiento de los incidentes segn los riesgos
identificados y la tipificacin de los mismos.

<

OBSERVACIONES

69

CDIGO

GBP-MRI005

VERSIN

01

TIPO

Estratgico

NOMBRE

Ejecutar programas de cumplimiento de prcticas de seguridad.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

FORMATOS DE REFERENCIA

RESPONSABLE

OBJETIVO

Garantizar una ptima ejecucin de los procedimientos del Manual.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Garantizar que el personal cumple con las medidas establecidas en el manual de


respuesta a incidentes.

DESCRIPCIN

Verificar el cumplimiento de los procedimientos establecidos por la gerencia como gua de


respuesta a incidentes.

<

OBSERVACIONES

70

CDIGO

GBP-MRI006

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer niveles de tolerancia a fallos.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Garantizar una observacin a los factores de riesgo para atenuarlos.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Establecer niveles aceptables de factores de riesgo.

2.

Garantizar que los factores de riesgo no controlados sean seguidos y parametrizados.

DESCRIPCIN

Garantiza que los factores de riesgo sigan un patrn controlable, medible y parametrizable
que permitan una mejora continua, adems que, los incidentes no identificados como factores
de riesgo sean parametrizados, documentados y proporcionen un punto de partida de
retroalimentacin del manual.

<

OBSERVACIONES

71

CDIGO

GBP-MRI007

VERSIN

01

TIPO

Estratgico

NOMBRE

Revisar, evaluar y auditar el Manual de Respuesta a Incidentes.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Garantizar el uso correcto del Manual de Respuesta a Incidentes de


Seguridad de la Informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Garantizar mtodos de revisin, seguimiento y auditoria.

2.

Garantizar mejora continua

DESCRIPCIN

La alta gerencia debe garantizar que el manual de respuesta se sigue segn sus
lineamientos, adems de garantizar su seguimiento, trazabilidad y la aplicacin correcta
segn los objetivos.

<

OBSERVACIONES

72

ANEXO B: GRUPO FOCAL

[ GRUPO FOCAL ACTA 001 ]


FECHA: Febrero 25 de 2011
HORA DE INICIO: 08:00 horas
HORA DE FIN: 20:00 horas
OBJETIVO: Socializar y retroalimentar el modelo planteado.

ACTIVIDADES
1. Presentar el modelo del manual de Respuesta a Incidentes de Seguridad de la Informacin.
2. Recopilar informacin del grupo de expertos en seguridad de la informacin para
retroalimentar el modelo que se tiene planteado.

RESULTADOS OBTENIDOS
Enfocar el trabajo realizado del modelo inicial del plan de accin hacia la legislacin
vigente y a las buenas prcticas establecidas en ISO 27001 e ISM3 con el nimo de
normalizar el modelo.
>>

Encausar el direccionamiento de la Seguridad de la informacin con la planeacin


estratgica empresarial.
>>

Crear Estrategias, mtodos, diferenciar roles y responsabilidades con el fin de hacer


partcipe a toda la organizacin para la implantacin del modelo dirigido por alta
gerencia.
>>

Desarrollar de forma ms rigurosa un documento dirigido al tratamiento y el anlisis del


riesgo.
>>

>>

Incluir un plan de capacitacin y divulgacin de dichas polticas de seguridad.


PARTICIPANTES

Ingeniero Oscar Arroyave de la Pava


Ingeniero Jorge Ivn Ros P

Ingeniero de Sistemas

MSC en Ingeniera del Conocimiento.

Ingeniero Juan Roa Salinas - Jefe proyectos Seguridad de la informacin en Transbank, Chile
Edison Ricardo Barahona Morales, Ingeniero en Sistemas. Consultor Dataware House. Atlantic
Security Bank, Panam City.

_____________________________
JulinAlbertoGmezIsaza

___________________________
GerardoAyalaGonzlez

EstudiantesdelprogramaIngenieradeSistemasyComputacin
UniversidadTecnolgicadePereira
2010

73

ACTA: En reunin con este grupo el da 25 de Febrero de 2011 se puso a


consideracin el Manual de Respuesta a Incidentes de Seguridad de la
Informacinplanteadoporlosautoresconelfindeoptimizar,cualificaryaterrizar
la propuesta presentada. En dicha reunin se hizo lectura y anlisis de la
propuesta por parte de los expertos y a partir de all, los mismos hicieron sus
aportes,comentariosysugerenciasalmodelopresentado.

Edison Barahona: Propone que la investigacin debe orientarse a procesos y


procedimientosnoaundocumentoinformalcomoelquesetiene(modeloprevio)
debebasarseennormatividadylegislacinvigente,ascomotambinenbuenas
prcticasdeseguridaddelainformacinparaquelainvestigacinnoquedecomo
ruedasueltaalaestructuradelsistemadegestindeseguridaddelainformacin
asmismosugiereserm

Oscar J. Arroyave de la Pava: Asegura que en la prctica los SGSI no se


implementan debido a que no estn adheridos a la planeacin estratgica de la
empresaylaresponsabilidadrecaasobreeldepartamento/readesistemasyTI,
eldocumentofinaldebesugerirquequienquieraimplantarelmodelodebehacerlo
parte de los objetivos estratgicos empresariales y lograr en el mayor mbito
posibleylatransversalidaddelmodeloatodaslasareas.

Jorge Ivn Ros P:Sugiereserconsecuentesentreeldocumentopresentadoyel


objetivo general de la investigacin si el objetivo es presentar herramientas
metodolgicas, procedimentales y documentales el documento debe ser una
herramienta que contenga procesos,procedimientos, objetivos decada unoy un
mtododecomunicacinparalaempresaquedeseeimplantarelmodelo.

Juan Roa Salinas:Sugierediferenciarnotoriamenteelcampodeaccindecada


unodelosprocesos.Sugierelosnombresde:plandeaccindeseguridaddela
informacin,anlisisygestindelriesgoyplanesdecapacitacin.

74

ANEXO C: PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN,


ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN

El modelo que surge a continuacin es consecuencia de las sugerencias


realizadasporelgrupofocalseexpusoaestegrupoelmodeloanteriorManual de
Respuesta a Incidentes de Seguridad de la Informacin (ver Anexo A) para as
generar una retroalimentacin de dicho modelo. El resultado de esta reunin se
describeacontinuacin:

La estructura delmodelo inicial Manual de Respuesta a Incidentes de Seguridad


de la Informacin evolucionalmodelodeunPlandeAccindeSeguridaddela
Informacin,elcual,fueenriquecido,conunenfoquemsacordealalegislacin
vigenteyalasbuenasprcticasestablecidasenlanormaISO/IEC27001eISM3
conelnimodenormalizarloeincluirlasaccionesreferentesalaimplementacin
yoperacindeunSGSI.

El objetivo general del Manual de Respuesta a Incidentes de Seguridad de la


Informacin, aunque tiene un acercamiento leve a la organizacin, dista en gran
medida de la normatividad y legislacin actual, y de la aplicacin sobre la

Eldiagnsticoempresarialfueevolucionadohaciaelestablecimientodeobjetivos
claros, concisosy medibles con elfin de instaurarunaplaneacinestratgica de
seguridad y encausar as la planeacin estratgica empresarial con la
implantacindeestasprcticassegurasalinteriordelaorganizacin.

El establecimiento de las lneas estratgicas y la gestin de los recursos del


modeloinicialsetransformaronenelcuerpodelPlandeaccindelaSeguridadde
la Informacin actual, mediante la instauracin de estrategias, tareas, roles y
responsabilidades que hacen partcipes a los integrantes de la organizacin,
cumpliendo as con la transversalidad que tiene la seguridadde la informacina
todaslasreasdelaorganizacin.

Adems de esto es sugerido por el grupo focal la separacin del procedimiento


Establecer Niveles de Tolerancia a Fallos,elcualseencuentrainmersoenManual
de Respuesta a Incidentes de Seguridad de la Informacin, para as crear un
anexo documental enfocado al Anlisis y Gestin del Riesgo. A continuacin se
presentanlasherramientasdocumentalesquesurgieronparaestemodelo:

75

OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividaddelaadministracindeseguridaddelainformacindelaorganizacin.

La efectividad de la administracin de la seguridad de la informacin de la


organizacin se encuentra entre los lineamientos de un Plan de Accin de la
Seguridad de la Informacin y de los objetivos estratgicos organizacionales,
teniendo en cuenta en primer lugar, que el diseo de un plan de accin de la
seguridad de la informacin nos brinda la premisas necesarias para encausar la
seguridad de la informacin con los objetivos estratgicos empresariales y
segundolugarquedaunapautaparaactuarydarrespuestareferentealanlisis
deriesgos.

PROCEDIMIENTOS DE GESTIN
El Plan de Accin de la Seguridad de la Informacin est constituido por:
Objetivos,estrategias,tareas,seguimientoyrevisinyauditorias.

Comoprimerapartesevanaestablecerobjetivosclaros,concisosymediblescon
lafinalidaddetenerunadirectrizdeejecucindelPlandeAccindelaSeguridad
de la Informacin.Paraestableceresosobjetivos se vaa realizar undiagnstico
preliminar del estado actual de la organizacin con referencia a la seguridad de
sus activos de informacin, con la finalidad de conocer la situacin actual y
proyectarlasituacinidealdelaorganizacin.

Posteriormente se ha determinar la situacin deseada que la empresa intenta


lograryestablecerlasmetasdeseguridadadondesevanadirigirlasacciones,
estoconelfindelograrelobjetivoprimordialdelplandeaccinalquesequiere
llegarqueessalvaguardarladisponibilidad,laintegridad,laconfidencialidadyla
autenticidad de la informacin de la organizacin. Despus de esto, se van a
establecerestndaresdemedidaquepermitandefinirenformadetalladaloqueel
objetivo desea lograr, en qu tiempo y si es posible a que costo los objetivos
tienenquetenerindicadoresdecalidadparapodersermediblesyverificarsiestos
seestncumpliendoyenquporcentajeseestlogrando,demaneraquepermita
modificarlossiesnecesario.

77

Comosegundapartesevanaestablecerlasestrategiasquereflejenelcaminoa
seguirparalogrardichosobjetivos,estasestrategiastienencomofinalidaddarles
sentido, direccin y continuidad mediante el encause de los lineamientos
estratgicosadministrativosdelaorganizacinyloslineamientosestratgicosde
seguridad de la informacin este proceso debe contar con el apoyo de la alta
gerencia,porellohayqueconcientizarlasobrelaimportanciadequelosobjetivos
deseguridadylosobjetivosorganizacionalesestndireccionadoshacialamisma
lneadeaccin.

Comoterceramedidasehanestablecerlastareasdondesedescribanlospasos
exactosparaelcumplimientodelasestrategiassteapartadoestcompuestopor
lassiguientesactividades:primero,determinarculessonlasdependenciasdela
organizacinyculesdeestasvanaejecutarlosegundo,determinarelalcancey
lasdelimitacionesdecadatarea,endndeyporqusedetienecadaunadeellas
tercero, Objetivizar cada tarea y verificar que hace parte de la planeacin
estratgicadeseguridadydelaplaneacinestratgicaorganizacional,realizando
tareas posibles de cumplir y que estn dentro de los lineamientos de la
planeacinestratgicadeseguridadydelaplaneacinestratgicaorganizacional.
Dichastareasgarantizanelcumplimientodelobjetivo,luegodeestosedeterminan
tiemposdeadelanto,avance,entregasoposposicindecadatarea,cadaunade
ellas debe tener un inicio y un final teniendo un control para as evitar perder el
recurso tiempo, por ltimo en este tem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quienlahace,porquelahace,lostiemposyresultadosdedichatarea.

Como cuarto tem se tiene por establecer mtodos de revisin, seguimiento y


evaluacin de cumplimiento, est constituido por la elaboracin de un plan de
evaluacinderesultadosyestablecimientodereferencias(tantocualitativascomo
cuantitativas), a travs de indicadores comparables y medibles, para dar
seguimientoalaaplicacindelosobjetivosymetasdelManualdeProcedimientos
paralaAdministracindelaSeguridaddelaInformacin,elplandeevaluacinde
resultados entregado por el seguimiento y la revisin y estos resultados deben
estardentrodelasmtricastrazadasenlosobjetivos,encuantoaesteporcentaje
de cubrimiento de objetivos es que se est cumpliendo las metas del plan de
accin.Acontinuacinsetratadeasegurarelseguimientoylatrazabilidaddela
aplicacindelmodelo,garantizandoqueencualquiermomentosepuedeacceder
a versiones anteriores del modelo, si seesthaciendo un seguimiento, se debe

78

evidenciar la frecuencia con la que se realiza el procedimiento, por qu se hizo,


cuntosedemor,ysihayuncambioteneraccesoaestoscambios ypoderver
las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora
continualaprimerahacereferenciaalarealizacinestrictadelosprocedimientos
documentados y, la segunda hace referencia a la verificacin y reajuste de los
procedimientos con el fin de mantener la documentacin de los mismos
actualizada.

Es importante tener claro que la capacitacin debe ser un proceso continuo y


transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentrandescritosenelPLAN DE CAPACITACIN Y COMUNICACIN PARA
LA IMPLEMENTACIN DEL MODELO, el cual est diseado para implementar
programasde formacin y toma de conciencia porparte de los integrantes de la
organizacin.

A continuacin se lista las actividades de cada uno de los procedimientos de


gestinquecomponenelPlandeAccindelaSeguridaddelaInformacin:

ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES

Realizar un diagnostico preliminar del estado actual de la organizacin en


referenciaalasseguridaddesusactivosdeinformacin.

Determinarlasituacindeseadaquelaempresaintentalograr,yestablecer
lasmetasdeseguridadadondesedirigenlasacciones.

Establecerindicadoresdemedidaquepermitandefinirenformadetalladalo
queelobjetivodesealograr,enqutiempoysiesposible,aquecosto.Los
estndares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumplindose, y si es necesario
modificarlosono.

79

ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR


PARA LOGRAR DICHOS OBJETIVOS.

Darsentido,direccinycontinuidadalosobjetivosmedianteelencausede
loslineamientosestratgicosadministrativosyloslineamientosestratgicos
deseguridaddelainformacin.

Establecimiento de las lneas de accin para el cumplimiento de los


requerimientosfuncionalesdelmodelo.

DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA


EL CUMPLIMIENTO DE LAS ESTRATEGIAS.

Determinarlasdependencias,alcanceydelimitacionesdecadatarea.

Objetivizar cada tarea y verificar que hace parte de la planeacin


estratgicadeseguridadydelaplaneacinestratgicaorganizacional.

Determinar tiempos de adelanto, avance, entregas o posposicin de cada


tarea.

Asignarrolesyresponsablesdirectosencadatarea.

ESTABLECER MTODOS DE REVISIN, SEGUIMIENTO Y EVALUACIN DE


CUMPLIMIENTO.

Elaborar un plan de evaluacin de resultados y establecimiento de


referencias (tanto cualitativas como cuantitativas), a travs de indicadores
comparables y medibles, para dar seguimiento a la aplicacin de los
objetivosymetasdelPlandeAccin.

80

Asegurarelseguimientoylatrazabilidaddelaaplicacindelmodelo.

Garantizarlacalidadylamejoracontinua.

METODOLOGA PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN

Tabla 4. Metodologa Plan de Accin de Seguridad de la Informacin

OBJETIVO

ACTIVIDADES

Realizar un diagnstico
preliminar del estado actual
de la organizacin en
referencia a las seguridad
de
sus
activos
de
informacin.
Determinar la situacin
deseada que la empresa
Establecer los objetivos
intenta lograr, y establecer
del plan de accin.
las metas de seguridad a
donde se dirigen las
acciones.
Establecer indicadores de
medida
que
permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qu tiempo y si
es posible, a que costo
Encausar los lineamientos
estratgicos
administrativos y los
lineamientos estratgicos
Establecer las estrategias de seguridad.
del plan de accin.
Establecer las lneas de
accin
para
el
cumplimiento
de
los
requerimientos funcionales
del modelo.

81

DESCRIPCIN

La alta gerencia establece los objetivos


de una manera clara, concisa y medible,
que de las directrices de la creacin del
plan de accin de seguridad de la
informacin.

La alta gerencia debe garantizar que los


objetivos estratgicos organizacionales y
los objetivos estratgicos de seguridad
de la informacin tienen las mismas
directivas, con el fin de cumplir
efectivamente con los requerimientos
funcionales del sistema de gestin de
seguridad de la informacin

OBJETIVO

Determinar las tareas y


asignar roles y
responsabilidades.

Establecer los mtodos


de auditora

ACTIVIDADES

Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeacin estratgica
especficas
que
garanticen
el
de seguridad y de la
cumplimiento de las estrategias del plan
planeacin estratgica
de accin de seguridad de la
organizacional.
informacin, y para cada una de ellas,
asignar un responsable directo y un rol
Determinar tiempos de
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposicin de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer
indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicacin de los objetivos mtodos de revisin, seguimiento y
del plan de accin.
evaluacin de cumplimiento de los
Asegurar que se realiza objetivos del plan de accin, y garantizar
seguimiento a la aplicacin que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable.
establecidas.
Garantizar la calidad y
mejora continua.
Fuente:ElaboracinPropia

DESCRIPCIN

82

MAPA DE PROCEDIMIENTOS

Figura 7. Mapa de procedimientos Plan de Accin de Seguridad de la Informacin

Fuente:ElaboracinPropia

83

ESPECIFICACIN DE PROCEDIMIENTOS

CDIGO

GBP-PASI001

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer los objetivos del plan de accin

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las metas que se deben cumplir en el plan de accin de seguridad


de la informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Realizar un diagnstico preliminar del estado actual de la organizacin en referencia a la


seguridad de sus activos de informacin.

2.

Determinar la situacin deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.

3.

Establecer indicadores de medida que permitan definir en forma detallada lo que el


objetivo desea lograr, en qu tiempo y si es posible, a que costo

DESCRIPCIN

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las
directrices de la creacin del plan de accin de seguridad de la informacin.

<

OBSERVACIONES

Los estndares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumplindose, y si es necesario modificarlos o no.

84

CDIGO

GBP-PASI002

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer las estrategias del plan de accin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Encausar los lineamientos estratgicos administrativos y los lineamientos estratgicos de


seguridad.

2.

Establecer las lneas de accin para el cumplimiento de los requerimientos funcionales


del modelo.

DESCRIPCIN

La alta gerencia debe garantizar que los objetivos estratgicos organizacionales y los
objetivos estratgicos de seguridad de la informacin tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestin de
seguridad de la informacin.

<

OBSERVACIONES

85

CDIGO

GBP-PASI003

VERSIN

01

TIPO

Estratgico

NOMBRE

Determinar las tareas y asignar roles y responsabilidades

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de accin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Determinar las dependencias, alcance y delimitaciones de cada tarea.

2.

Objetivizar cada tarea y verificar que hace parte de la planeacin estratgica de


seguridad y de la planeacin estratgica organizacional.

3.

Determinar tiempos de adelanto, avance, entregas o posposicin de cada tarea.

4.

Asignar roles y responsables directos para cada tarea.

DESCRIPCIN

La alta gerencia debe generar las tareas especficas que garanticen el cumplimiento de las
estrategias del plan de accin de seguridad de la informacin, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.

<

OBSERVACIONES

86

CDIGO

GBP-PASI004

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer los mtodos de auditora.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer los mtodos de revisin, seguimiento, y evaluacin de


cumplimiento de los objetivos del pan de accin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Establecer indicadores comparables y medibles que den seguimiento a la aplicacin de


los objetivos del plan de accin.

2.

Asegurar que se realiza seguimiento a la aplicacin del modelo, y que el mismo es


trazable.

3.

Garantizar la calidad y mejora continua.

DESCRIPCIN

La alta gerencia debe establecer los mtodos de revisin, seguimiento y evaluacin de


cumplimiento de los objetivos del plan de accin, y garantizar que los resultados del mismo
son medibles en referencia a las metas establecidas.

<

OBSERVACIONES

87

ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN

OBJETIVO

Identificar cualquier riesgo significativo en los activos de informacin,


estableciendoelimpactopotencialdeestosenlaorganizacinconlafinalidadde
eliminarlosoatenuarlos,limitandosusconsecuenciasyminimizandolasprdidas
esto con el propsito de poseer la informacin suficiente que apoye la toma de
decisionesgerencialesrespectoaloscontrolesmsapropiadosparalaseguridad
delainformacinyalosfuncionariosdecadaprocesoatendersusincidentesde
seguridaddelamejorformaposible,ademsdeestopermitirelcumplimientode
los objetivos estratgicos de la organizacin acatando las polticas de la gestin
delriesgo.

ASPECTO LEGAL
DECRETO N1537 /26DE JULIO DE2001. ARTICULO 4. ADMINISTRACIN
DERIESGOS.Comoparte integraldelfortalecimientodelossistemasdecontrol
internoenlasentidadespblicaslasautoridadescorrespondientesestablecerny
aplicarnpolticasdeadministracindelriesgo.Paratalefecto,laidentificaciny
anlisis del riesgo debe ser un proceso permanente e interactivo entre la
administracinylasoficinasdecontrolinternooquienhagasusveces,evaluando
los aspecto tanto internos como externos que pueden llegar a representar
amenaza para la consecucin de los objetivos organizacionales, con miras a
estableceraccionesefectivas,representadasenactividadesdecontrol,acordadas
entrelosresponsablesdelasreasoprocesosylasoficinasdecontrolinternoe
integradasdemanerainherentealosprocedimientos.

88

DEL MANUAL

El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de informacin y por ende la continuidad de la
organizacin, creando estrategias de anlisis, identificacin de falencias,
fortalezasyrecursosdeinformacinqueseposeenenlaorganizacin,ademsde
estoevidenciarcomoseatiendenlasincidenciasdeseguridadgarantizandouna
buenatomadedecisionesrespectoaloscontrolesmsapropiadosparalagestin
de estos. ste, integrado a las polticas de gestin del riesgo con los objetivos
estratgicosdelaorganizacintienecomoresultadoelencausedelaslaboresal
propsitoofinorganizacional.

Este Anlisis de Riesgos de la Seguridad de la Informacin se sustenta en el


decretoNo1537del26dejuliode2001enelArtculo4,quesehacereferenciaa
la administracin de riesgos, donde se considera como parte integral del
fortalecimientodelossistemasdecontrolinternoenlasentidades,ysereconoce
el anlisis del riesgo como un proceso permanente e interactivo entre la
administracinylasoficinasdecontrolinterno.

Losprocesosadesarrollarparael Anlisis y Gestin del Riesgo de la Seguridad


de la Informacinsedesarrollandelasiguienteforma:

En primer lugar se debe establecer la situacin actual de la organizacin en


cuantoa seguridad de la informacin, efectundosemediante la observacin, el
seguimiento y la revisin de los procesos, estos resultados se obtienen a travs
entrevistas y encuestas a los integrantes de la organizacin, adems de esto
realizarunarevisindeladocumentacinqueseposee.

Posteriormente se han de determinar cules son los activos de informacin


que se poseenparaseridentificados,cadaunodeestosactivosencontradosse
clasificansegnelimpactoquepuedellegarasufrirlaorganizacinsidichoactivo
llega a fallar, se les asigna un valor que representa cun importante es para la
organizacin.

Comosiguientemedidaseidentifican los factores de riesgoparacadaunode


los activos de informacin, realizando la identificacin de los factores internos y

90

externos a los cuales se encuentran expuestos dichos activos, luego de esto


categorizar las amenazas identificadas o la posibilidad que ocurra un evento
adverso, para as establecer mtricas que permitan analizarlas y clasificarlas en
cuantoaldaoquepuedenllegaracausaralosactivosdeinformacinqueposee
laorganizacin.

AcontinuacinsehandeIdentificar los de activos de informacin vulnerables


en la organizacin, teniendo como vulnerabilidad el grado de resistencia que
tienenlosactivosdeinformacinparasusrespectivasamenazas,seestableceel
potencial que tienen estas para causar efectos adversos en los activos de
informacin.

Esimportantetenerencuentaquenotodoslosactivosdeinformacinposeenla
misma calidad de informacin, por lo que es necesario establecer un anlisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.

El siguiente paso es Establecer el nivel de proteccin de los activos de


informacin, que brinda como resultado la informacin precisa acerca de las
estrategias de proteccin utilizadas para garantizar el adecuado funcionamiento
delactivodeinformacin.

Con el anlisis de la informacin obtenida en estosprocesos se contina con un


paso muy importante en el anlisis y Gestin del Riesgo de la Seguridad de la
Informacin que es la Calificacin del impacto del riesgo si este se hiciera
realidad, aqu se evalan las consecuencias de un fallo en la seguridad de la
informacinoqueunriesgosehagaefectivoenlosactivosdeinformacin.

Con la clasificacin del impacto del riesgo se busca establecer en primer lugar
cuales son los activos ms susceptibles de dao, por lo que es importante tener
claridad de cmo se realiza la proteccin de cada uno de ellos adems es
necesario evaluar el impacto para la organizacin si tales riesgos se hacen
efectivos.

No pueden faltar las estrategias de contingencia que puedan suplir el


funcionamiento de los procesos de la organizacin, planteando medidas alternas

91

quepermitanlacontinuidaddelosprocesosorganizacionalessinafectarengran
medidalosprocesosestablecidos.

El establecimiento de alternativas funcionales, aunque no garanticen la


continuidad absoluta de los procesos organizacionales, garantizar que el
proceso afectado no se detenga y no afecte de manera crucial el buen
funcionamientodelaorganizacin.

Unavezquesehanidentificadolosriesgosenlosactivosdeinformacinyenlas
prcticas de seguridad que se implementan en la organizacin, se puede
determinarculeselniveldevulnerabilidadparacadaunodeellos,teniendoen
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
informacin y el impacto que puede tener en la organizacin, as entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
delamejorformaposible,deestamanerasepuedegarantizarunabuenaGestin
deltratamientodelriesgodelaSeguridaddelaInformacin.

PROCEDIMIENTOS DE GESTIN

ESTABLECER LA SITUACIN ACTUAL DE LA ORGANIZACIN


Observaryrealizarseguimientoaprocesosdelaorganizacin.
Desarrollarentrevistasyencuestasalosintegrantesdelaorganizacin.
Revisarladocumentacinqueseposee.

IDENTIFICAR LOS ACTIVOS DE INFORMACIN.


Clasificarlosdeactivosdeinformacinqueposeelaorganizacin.
Asignarunvalordeimportanciaaestosactivosparaestablecerelnivelde
importanciadecadaunodeellos.

IDENTIFICAR LOS FACTORES DE RIESGO.


Identificar factores internos y externos que amenazan la seguridad de los
activosdeinformacindelaorganizacin.

92

Categorizarlasamenazasidentificadas.
Establecerescalasmtricasparaelanlisiscuantitativodelasamenazas.
Clasificar las amenazas de acuerdo a resultados obtenidos en la escala
mtrica.

IDENTIFICAR
ACTIVOS
ORGANIZACIN.

DE

INFORMACIN

VULNERABLES

EN

LA

Identificar cuales amenazas afectan a cada uno de los activos de


informacin.
Establecerelniveldedaoquepuedegenerarcadaunadelasamenazas
enlosactivosdeinformacin.

ESTABLECER EL
INFORMACIN.

NIVEL

DE

PROTECCIN

DE

LOS

ACTIVOS

DE

Identificarelactivo.
Establecerfactoresderiesgoparacadaactivo.
Establecerlavulnerabilidadparacadaactivo.
Puntualizar en qu grado es efectiva la proteccin para cada activo de
informacin.

CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.


Identificarelniveldeimportanciadelactivoafectado.
Indicarcomoserealizalaproteccinparacadaactivodeinformacin.
Evaluarlasconsecuenciasenlaorganizacinporestosfactoresderiesgo.

93

CREAR ESTRATEGIAS DE CONTINGENCIA.


Identificarlosactivosdeinformacinvulnerables.
Plantear una estrategia alternativa para que el activo de informacin
afectadonointerfieraconelfuncionamientodelaorganizacin.
Ejecutarlaestrategiaparaelactivodeinformacinquelorequiera.
Realizar evaluaciones peridicas a las estrategias para verificar su
adecuacinaloscambiosenlosactivosdeinformacin.

METODOLOGA ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE


LA INFORMACIN

Tabla 5. Metodologa Anlisis y Gestin de Riesgos de Seguridad de la Informacin

OBJETIVO

Establecer la situacin
actual de la
organizacin.

Identificar activos de
informacin.

ACTIVIDADES
Observar y realizar
seguimiento a
procedimientos de la
organizacin.
Desarrollar entrevistas y
encuestas a los
integrantes de la
organizacin.
Revisar la documentacin
que se posee.
Clasificar los de activos
de informacin que posee
la organizacin.
Asignar un valor de
importancia a estos
activos para establecer el
nivel de importancia de
cada uno de ellos.

94

DESCRIPCIN
La situacin actual de la organizacin
permite establecer cmo se encuentra
esta en cuanto a: sus recursos de
software, estrategias de seguridad
utilizadas, las falencias en los procesos
realizados y la atencin de incidentes
de seguridad

Se clasifican los activos de informacin


segn el impacto que puede generar el
fallo de stos en la organizacin,
asignndole a cada uno de ellos, un
valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de
stos activos.

OBJETIVO

Identificar los factores


de riesgo.

Identificar activos de
informacin vulnerables
en la organizacin.

ACTIVIDADES
Identificar factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a resultados
obtenidos en la escala
mtrica.
Identificar cuales
amenazas afecta a cada
uno de los activos de
informacin.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas en los activos
de informacin.

Identificar el activo.
Establecer factores de
riesgo para cada activo.
Establecer la
Establecer el nivel de
proteccin de los activos vulnerabilidad para cada
activo.
de informacin.
Puntualizar en qu grado
es efectiva la proteccin
para cada activo de
informacin.

95

DESCRIPCIN
En la identificacin del riesgo se va a
ponderar la posibilidad de ocurrencia de
eventos adversos o que las amenazas
se vuelvan una realidad, identificando
dichas amenazas a las que se
encuentran expuestos los activos de
informacin, y estableciendo mtricas
para analizarlas en cuanto a su mayor o
menor capacidad de causar dao a
estos activos, lo que permite tener una
evidencia y un soporte objetivo acerca
de los riesgos a los que se encuentra
expuesta la organizacin.

La identificacin de los activos de


informacin
vulnerables
en
la
organizacin determina el grado de
resistencia que tienen stos respecto a
sus amenazas, adems se establece el
potencial que tiene cada amenaza para
afectar dichos activos.

El resultado obtenido de este proceso


brinda informacin clara y suficiente
sobre la efectividad de las estrategias
de proteccin utilizadas por la
organizacin en cada uno de los activos
de informacin.

OBJETIVO

Calificar el impacto del


riesgo si se hiciera
realidad.

Crear estrategias de
contingencia.

ACTIVIDADES
Identificar el nivel de
importancia del activo
afectado.
Indicar como se realiza la
proteccin para cada
activo informtico.
Evaluar
las
consecuencias
en
la
organizacin por estos
factores de riesgo.
Identificar los activos de
informacin vulnerables.
Plantear una estrategia
alternativa para que el
activo de informacin
afectado no interfiera con
el funcionamiento de la
organizacin.
Ejecutar la estrategia para
el activo de informacin
que lo requiera.
Realizar evaluaciones
peridicas a las
estrategias para verificar
su adecuacin a los
cambios en los activos de
informacin.

DESCRIPCIN
Con el anlisis de la informacin
obtenida en los procesos anteriores se
permite en este proceso evaluar las
posibles consecuencias de un fallo o
realizacin de un riesgo en los activos
de informacin

Este proceso conlleva a plantear


medidas alternas para garantizar un
funcionamiento
continuo
de
los
procesos, evitando que se vean
afectados de modo crucial los procesos
organizacionales establecidos.

Fuente:ElaboracinPropia

96

MAPA DE PROCEDIMIENTOS

Figura 9. Mapa de Procedimientos. Anlisis y Gestin de Riesgos de SI

Fuente:ElaboracinPropia

97

ESPECIFICACIN DE PROCEDIMIENTOS.

CDIGO

GBP-AGR001

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer la situacin actual de la organizacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar cmo se encuentra la organizacin respecto a sus recursos de


software, estrategias de seguridad utilizadas, las falencias en los procesos
realizados y la atencin de incidentes de seguridad.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Observar y realizar seguimiento a procesos de la organizacin.

2.

Desarrollar entrevistas y encuestas a los integrantes de la organizacin.

3.

Revisar la documentacin que se posee.

DESCRIPCIN

La alta gerencia obtendr un estado actual de la organizacin en cuanto a los activos


informticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la
administracin de la seguridad de la informacin que tiene la organizacin y verificar como se
atienden los incidentes de seguridad.

<

OBSERVACIONES

98

CDIGO

GBP-AGR002

VERSIN

01

TIPO

Estratgico

NOMBRE

Identificar de activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Generar un inventario de los activos de informacin que posee la


organizacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Clasificar los de activos de informacin que posee la organizacin.

2.

Asignar un valor de importancia a estos activos para establecer el nivel de importancia


de cada uno de ellos.

DESCRIPCIN

Clasificar los activos de informacin segn el impacto que puede generar el fallo de stos en
la organizacin, asignndole a cada uno de ellos un valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de stos activos para la organizacin.

<

OBSERVACIONES

99

CDIGO

GBP-AGR003

VERSIN

01

TIPO

Estratgico

NOMBRE

Identificar los factores de riesgo.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Identificar los factores de riesgo que afectan los activos de informacin y


analizar la capacidad de dao que pueden realizar estos riesgos en la
organizacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar factores internos y externos que amenazan la seguridad de los activos de


informacin de la organizacin.

2.

Categorizar las amenazas identificadas.

3.

Establecer escalas mtricas para el anlisis cuantitativo de las amenazas.

4.

Clasificar las amenazas de acuerdo a resultados obtenidos en la escala mtrica.

DESCRIPCIN

Con la ponderacin de la posibilidad de ocurrencia de las amenazas y la identificacin de


estas respecto a los activos de informacin, se establecen mtricas para analizarlas en
cuanto a su mayor o menor capacidad de dao a los activos de informacin, lo que permite
tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra
expuesta la organizacin.

<

OBSERVACIONES

100

CDIGO

GBP-AGR004

VERSIN

01

TIPO

Estratgico

NOMBRE

Definir los factores de riesgo para los activos informticos.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GBP-AGR003

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer y medir el dao que causan las amenazas en los activos de


informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar cuales amenazas afectan a cada uno de los activos de informacin. (GSIAGR003)

2.

Establecer el nivel de dao que puede generar cada una de las amenazas en los activos
de informacin.

DESCRIPCIN

La identificacin de los activos de informacin vulnerables en la organizacin determina el


grado de resistencia que tienen stos respecto a sus amenazas, adems se establece el
potencial que tiene cada amenaza para afectar dichos activos.

<

OBSERVACIONES

101

CDIGO

GBP-AGR005

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer el nivel de proteccin de los activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR002, GSI-AGR003, GSI-AGR004

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Obtener la efectividad de las estrategias de seguridad utilizadas.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar el activo. (GSI-AGR002)

2.

Establecer factores de riesgo para cada activo. (GSI-AGR003)

3.

Establecer la vulnerabilidad para cada activo. (GSI-AGR004)

4.

Evidenciar en qu grado es efectiva la proteccin para cada activo de informacin.

DESCRIPCIN

Este proceso brinda informacin clara y suficiente sobre la efectividad de las estrategias de
proteccin utilizadas por la organizacin en cada uno de los activos de informacin.

OBSERVACIONES

102

CDIGO

GBP-AGR006

VERSIN

01

TIPO

Estratgico

NOMBRE

Calificar el impacto del riesgo si se hiciera realidad.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR002, GSI-AGR005

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Evaluar las consecuencias de los riesgos en los activos de informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar el nivel de importancia del activo afectado. (GSI-AGR002)

2.

Indicar como se realiza la proteccin para cada activo informtico. (GSI-AGR005)

3.

Evaluar las consecuencias en la organizacin por estos factores de riesgo.

DESCRIPCIN

Con el anlisis de la informacin obtenida en los procesos anteriores se permite en este


proceso evaluar las posibles consecuencias de un fallo o realizacin de un riesgo en los
activos de informacin.

<

OBSERVACIONES

103

CDIGO

GBP-AGR007

VERSIN

01

TIPO

Estratgico

NOMBRE

Crear estrategias de contingencia

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR004

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Crear alternativas para la continuidad de los procesos organizacionales


planteando estrategias.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar los activos de informacin vulnerables. (GSI-AGR004)

2.

Plantear una estrategia alternativa para que el activo de informacin afectado no


interfiera con el funcionamiento de la organizacin.

3.

Ejecutar la estrategia para el activo de informacin que lo requiera.

4.

Realizar evaluaciones peridicas a las estrategias para verificar su adecuacin a los


cambios en los activos de informacin.

DESCRIPCIN

En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de


los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales
establecidos.

OBSERVACIONES

104

CDIGO

GBP-AGR008

VERSIN

01

TIPO

Estratgico

NOMBRE

Capacitar y Formar en Anlisis y Gestin del Riesgo.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

RESPONSABLE

Asignado por el responsable

FORMATOS DE REFERENCIA

OBJETIVO

Difundir al personal de la organizacin lo establecido en el Anlisis y Gestin


del Riesgo.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Convocar a Reunin a los Integrantes de la Organizacin.

2.

Comunicar lo establecido en el Anlisis y Gestin del Riesgo.

DESCRIPCIN

Comunica a los integrantes de la organizacin lo establecido en el Anlisis y Gestin del


Riesgo de la Seguridad de la Informacin

<

OBSERVACIONES

105

ANEXO D: GRUPO FOCAL FASE II

[ GRUPO FOCAL ACTA 002 ]


FECHA: Abril 5 de 2011
HORA DE INICIO: 08:00 horas
HORA DE FIN: 10:00 horas
OBJETIVO: Socializar y retroalimentar el modelo planteado.

ACTIVIDADES

1. Exponer los modelos realizados y recopilar informacin del grupo de expertos en


seguridad de la informacin para retroalimentar los modelos que se han planteado.
RESULTADOS OBTENIDOS
Para el modelo de Anlisis y Gestin del Riesgo se hace necesario involucrar un Plan
de capacitacin y difusin para garantizar que es conocido por todos los interesados de
la organizacin.
>>

Tambin se hace necesario crear un proceso que indique la correcta eliminacin de los
activos de informacin.
>>

PARTICIPANTES
Ingeniero Oscar Arroyave de la Pava Ingeniero de Sistemas
Ingeniero Jorge Ivn Ros P MSC en Ingeniera del Conocimiento.

_____________________________
JulinAlbertoGmezIsaza

___________________________
GerardoAyalaGonzlez

EstudiantesdelprogramaIngenieradeSistemasyComputacin
UniversidadTecnolgicadePereira
2010

106

ACTA: En reunin con los expertos el da 5 de Abril de 2011 se puso a


consideracin de los mismos el modelo de implementacin y operacin de un
SGSI planteado por los autores con el fin de optimizar, cualificar y aterrizar la
propuestapresentada.Endichareuninsehizolecturayanlisisdelapropuesta
por parte de los expertos y a partir de all, los mismos hicieron sus aportes,
comentariosysugerenciasalmodelopresentado.

Oscar J. Arroyave de la Pava: Sugiere una adecuada disposicin final de los


activosdeinformacin,tenerunmtodoseguroconelcualrealizarlaeliminacin
dedichosactivosdelaorganizacin.

Jorge Ivn Ros P: Plantea un plan de capacitacin riguroso y dinmico,


aprovechandotodo elprocesodeAnlisisy Gestin delRiesgopara generarlos
temasdecapacitacinendondeseencuentranfalencias,ademsdeestoselogre
uncompromisodeformacinporlosparticipantes,esmuyimportantebrindaruna
difusin del Anlisis y Gestin del Riesgo generando un compromiso con los
objetivosymetasdedicholineamiento.

107

ANEXO E: ELIMINACIN DE ACTIVOS DE INFORMACIN Y ESTRATEGIAS


DE CAPACITACIN Y COMUNICACIN PARA LA IMPLEMENTACIN DEL
MODELO

Las modificaciones realizadas tras integrar las sugerencias propuestas por los
expertossonlassiguiente:

Secreaunprocedimientoquerijalaeliminacinybajadeactivosdeinformacin:

ELIMINAR / DAR DE BAJA ACTIVOS DE INFORMACIN

Identificartipodeactivoaeliminar/dardebaja.

Evaluarelimpactodelaeliminacin/bajadeesteactivodeinformacin.

Establecerunprotocolodeeliminacin/bajadecadaactivodeinformacin.

Garantizarquelabajadedichoactivosalvaguardelaconfidencialidaddela
informacindelaorganizacin.

Seplanteaparaesteprocedimientolarealizacindeunaseriedeactividades:La
primera de ellas involucra la identificacin del tipo de activo de informacin a
eliminar o dar de baja entendiendo la eliminacin de ste como su destruccin
total y dar de baja como el almacenamiento o retiro del funcionamiento en la
organizacindespusdeestosevaaevaluarelimpactodelaeliminacinobaja
de tal activo para la organizacin, analizando los pros y los contras de esta
actividad y no olvidando establecer un protocolo de eliminacin o baja para l
cada uno de ellos va a ser tratado con su propio mtodo para finalizar se debe
garantizar que la eliminacin o baja de dicho activo salvaguarde la
confidencialidaddelainformacindelaorganizacin.

108

Elprocedimientoseespecificacomosesigue:

CDIGO

GBP-AGR009

VERSIN

01

TIPO

Estratgico

NOMBRE

Eliminar / Dar Baja a activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GBP-AGR002

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer medidas que garanticen una efectiva eliminacin de los activos de


informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

2.

Evaluar el impacto de la eliminacin/baja de este activo de informacin.

3.

Establecer un protocolo de eliminacin/baja de cada activo de informacin.

4.

Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la informacin


de la organizacin.

DESCRIPCIN

En este proceso se establecen medidas que garantizan una efectiva eliminacin/baja de los
activos de informacin, implantando metodologas eficientes para destruir o darle exclusin
de la organizacin a dichos activos.

OBSERVACIONES

109

SeleadicionaelsiguientecomponentealametodologaplanteadaparaelAnlisis
yGestindelRiesgodelaSeguridaddelaInformacin:

Tabla 6. Adicin. Metodologa Anlisis y Gestin del Riesgo de SI

OBJETIVO

Eliminar activos de
informacin.

ACTIVIDADES

DESCRIPCIN

Identificar tipo de activo a


eliminar/dar de baja. (GBPAGR002)
Evaluar el impacto de la
eliminacin/baja de este
activo de informacin.
Establecer un protocolo de
eliminacin/baja de cada
activo de informacin.
Garantizar que la baja de
dicho activo salvaguarde la
confidencialidad de la
informacin de la
organizacin.

Establecer medidas que garanticen una


efectiva eliminacin/baja de los activos de
informacin, implantando metodologas
eficientes para destruir o darle exclusin
de la organizacin a dichos activos.

Fuente:ElaboracinPropia

110

ESTRATEGIA DE CAPACITACIN Y COMUNICACIN


OBJETIVO

Implementarprogramasdeformacinytomadeconcienciaparacomunicaralos
integrantes de la organizacin la implementacin e implantacin del Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin.

DEL PLAN

EldiseodelPlandeCapacitacinyComunicacinsedefineenunaherramienta
documental independiente tanto al Plan de Accin y al Anlisis y Gestin del
RiesgodelaSeguridaddlainformacindebidoalaspropuestasestablecidaspor
el panel de expertos donde se indicaba el establecimiento de capacitacin ms
dinmicadondenosolofueracapacitacin,sinotambingeneraruncompromiso
deformacindeloscolaboradoresdelaorganizacin.

Las capacitaciones inicialmente se planteaban como un componente adicional


tanto al Plan de Accin de la Seguridad de la Informacin como al Anlisis y
Gestin del Riesgo de la Seguridad de la Informacin, pero con la propuesta
realizada por el panel de expertos de realizar la capacitacin ms rigurosa, se
plantea la creacin de esta herramienta documental, que tiene como objetivo
brindarunapoyointegralalacomunicacinydifusindelSistemadeGestinde
laSeguridaddelaInformacin.

Elplandecapacitacintienecomopropsitobrindaralpersonaldelaorganizacin
losconocimientosydesarrollodehabilidadesespecficasparaeldesempeode
susactividadesalinteriordelamisma,fortaleciendosuproductividadycalidaden
las actividades desarrolladas. El plan de capacitacin no solo est dirigido a los
integrantes nuevos sino tambin a los experimentados, es responsabilidad de la
organizacin garantizar el conocimiento y habilidades necesarias para el buen
desempeodelasactividadeslaborales.

La capacitacin est compuesta por un conjunto de estrategias orientadas a


integrar al colaborador tanto a la organizacin como a su puesto de trabajo,

112

aumentandosueficienciafrentealaorganizacinotrapartemuyimportanteque
locomponeesunconjuntodemtodos,tcnicasyrecursosparadarcumplimiento
aloslineamientosorganizacionalesrequeridos.

El plan de capacitacin se realiza de forma continua y transversal a todos


componentesdelSistemadeGestindelaSeguridaddelaInformacin.

PROCEDIMIENTOS DE GESTIN
Identificarlatemticaatratar.
Disponerrecursoshumanosyfsicos.
Verificar aptitudes y habilidades del personal que va a realizar la
capacitacinyformacin.
Establecerelgrupofocalalcualvadirigidalacapacitacinylaformacin.
Comunicar lo establecido en el Manual de Procedimientos para la
Administracin de Seguridad de la Informacin, y los lineamientos
directivos,satisfaciendolasnecesidadesdeformacin,tomadeconciencia
ycompetencia.
Garantizar la evaluacin del cumplimiento de los objetivos del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin,
paraverificarlaeficaciadelasaccionesemprendidasenelmismo.
Documentarlasactividadesdeformacin.

Es de vital importancia garantizar la comunicacin y capacitacin del Manual de


Procedimientos para la Administracin de Seguridad de la Informacin, debe
realizarse de forma continua transversalizando a todas las actividades que
componendichoproceso.

Se determina para el desarrollo del modelo 2 momentos de capacitacin: Plan


bsicogeneralyPlanavanzadodeCapacitacin.

El Primero consiste en brindar la informacin general y bsica necesaria para el


desarrollo de un SGSI, en este primer escenario se generar un anlisis y
diagnstico estructural de la organizacin, de los procesos y de los puestos de
trabajo en torno al tema, el segundo momento se realiza un diagnostico de
Personaldecadacolaborador,cadadiagnsticoconstituireldiagnosticogeneral
delaorganizacinypermitirelaborarelplandecapacitacinAvanzado.

113


Elplanbsicodesarrollarlassiguientestemticas:

Informacin de Generalidades sobre manejo de informacin, seguridad


informticayseguridaddelainformacin.
LegislacinVigente,conocimientoycumplimientodelamisma.
NormasdeSeguridadyCalidad.
Rolesenseguridaddeinformacin.
DefinicindeSistemadeGestindeSeguridaddelainformacin
Alcances.
Rolesyresponsabilidades.
Medidas.
Modelosaplicadosenotrasorganizaciones.

PlanavanzadodeCapacitacin:

Diagnostico DOFA de las prcticas utilizadas en la organizacin para la


Seguridaddelainformacin.
Diagnostico DOFA de las procesos mediados por cargos y funciones de
cadacolaboradordelaorganizacin
Diagnostico DOFA de las competencias de cada colaborador de la
organizacin, para desarrollar un modelo para el funcionamiento de un
SGSI.
ConstruccindeunPlandeCapacitacinadecuadoalosresultadosdelos
Diagnsticos.

Para eldesarrollo delmodelo de capacitacin, se utilizaran talleres deformacin


basadosenpedagogasocioconstructivista,enespaciospresencialesyvirtuales,
dondeseapliquenlosconocimientosdeformatericoprctica.

Los horarios establecidos para el plan de capacitacin, deben definirse por cada
organizacin,sinembargoseaconsejahacerlodeformasemanalyconespacios
denomsdecuatrohorasynomenosde2horasporjornada,conelfindetener
espaciosdetiempoadecuadosalametodologasocioconstructivista.Elplande
capacitacin se plantea de 90 horas, entregando como resultado el plan de
capacitacinavanzadoconlasnecesidadespropiasdelaorganizacin.

114

METODOLOGA PLAN DE CAPACITACIN Y COMUNICACIN PARA LA


IMPLEMENTACIN DEL MODELO

Tabla 7. Metodologa Plan de Capacitacin.

OBJETIVO

ACTIVIDADES

Identificar temtica a tratar.


Disponer
recursos
humanos y fsicos.
Verificar
aptitudes
y
habilidades del personal
que va a realizar la
capacitacin y formacin.
Establecer el grupo focal al
cual
va
dirigida
la
capacitacin y la formacin
Comunicar lo establecido
en
el
Manual
de
Procedimientos para la
Administracin
de
Capacitar y comunicar los Seguridad
de
la
procedimientos para la
Informacin,
y
los
implementacin del
lineamientos
directivos,
modelo.
satisfaciendo
las
necesidades de formacin,
toma de conciencia y
competencia.
Garantizar la evaluacin
del cumplimiento de los
objetivos del Manual de
Procedimientos para la
Administracin
de
la
Seguridad
de
la
Informacin, para verificar
la eficacia de las acciones
emprendidas en el mismo.
Documentar las actividades
de formacin.

DESCRIPCIN

La alta gerencia debe comunicar a la


Procedimientos para la Administracin de
seguir sus lineamientos y determinar el
objetivos.

Fuente:ElaboracinPropia

115

MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIN

Figura 11. Mapa de procedimientos. Plan de Capacitacin.

Fuente:ElaboracinPropia

ESPECIFICACIN DEL PROCEDIMIENTO

Elprocedimientoqueespecificalaejecucindelasdistintasfasesquecomponen
lasestrategiasdecapacitacinycomunicacindelaGua de Buenas Prcticas de
Seguridad de la Informacinsecitacomosigue:

116

CDIGO

GBP-PCC001

VERSIN

01

TIPO

Apoyo

NOMBRE

Plan de Capacitacin y Comunicacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

RESPONSABLE

Asignado por el responsable

FORMATOS DE REFERENCIA

OBJETIVO

Implementar programas y toma de conciencia para comunicar a los


integrantes de la organizacin la implementacin del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar temtica a tratar.

2.

Disponer recursos humanos y fsicos.

3.

Verificar aptitudes y habilidades del personal que va a realizar la capacitacin y


formacin.

4.

Establecer el grupo focal al cual va dirigida la capacitacin y la formacin.

5.

Comunicar lo establecido en el Manual de Procedimientos para la Administracin de


Seguridad de la Informacin, y los lineamientos directivos, satisfaciendo las necesidades
de formacin, toma de conciencia y competencia.

6.

Garantizar la evaluacin del cumplimiento de los objetivos del Manual de Procedimientos


para la Administracin de la Seguridad de la Informacin, para verificar la eficacia de las
acciones emprendidas en el mismo.

7.

Documentar las actividades de formacin.

DESCRIPCIN

de la Guia de buenas
La alta gerencia debe comunicar a la organizacin e
practicas
esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos
realizados durante el la implementacin de la Guia.

117

ANEXO F: GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA


INFORMACIN.

ALCANCE:

Estaguaaplicacomomodelodeatencinysolucinaincidentesdeseguridadde
la informacin dentro de la organizacin interesada en aplicar el Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin,buscando
que los integrantes de la organizacin comprendan las polticas y los
procedimientosestablecidos.

RESPONSABILIDAD:

Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizarelaseguramientodelosobjetivosfundamentalesdelaseguridaddela
informacin:Confidencialidad,Disponibilidad,Integridad,yencasodevulnerarse
algunodeestosobjetivos(opreverlaposiblevulnerabilidad),losresponsablesde
laatencindelincidenteactuarancomosesigue19:

19

,siguiendo

loslineamientosdelosprocedimientosadscritosalaGua.

118

METODOLOGA. GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD


DE LA INFORMACIN

EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)

Tabla 8. Metodologa Gua de respuesta a Incidentes. Eventos de Seguridad.

OBJETIVO

Definir los factores de


riesgo [GBP-AGR004]

Calificar el impacto del


riesgo (en caso de que
ste se materialice)
[GBP-AGR006]

ACTIVIDADES
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas.
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a los
resultados obtenidos en la
escala mtrica.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas a los activos
de informacin.
Identificar el nivel de
importancia del activo de
informacin afectado
[GBP-AGR002]
Indicar como se realiza la
proteccin para cada
activo de informacin.
[GBP- AGR005]
Evaluar las
consecuencias para la
organizacin debido a los
factores de riesgo.

120

DESCRIPCIN

Identificar los activos de informacin


vulnerables
en
la
organizacin
tienen stos respecto a sus amenazas,
a dems se establece el potencial que
tiene cada amenaza para afectar dichos
activos.

Con el anlisis de la informacin


obtenida en los procesos anteriores, se
abre paso a evaluar las consecuencias
de
un
fallo
de
seguridad
o
materializacin de un riesgo en los
activos de informacin.

OBJETIVO

Determinar las tareas y


asignar roles y
responsabilidades
[GBP-PASI003]

Documentar evento de
seguridad

ACTIVIDADES

DESCRIPCIN

Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte
de la planeacin
estratgica de seguridad
y de la planeacin
estratgica
organizacional.
Determinar tiempos de
adelanto, avance,
entregas o posposicin de
cada tarea.
Asignar roles y
responsables directos
para cada tarea.

La alta gerencia debe generar las tareas


especificas
que
garanticen
el
cumplimiento de los objetivos del
manual de administracin de seguridad
de la informacin, y para cada una de
ellas, asignar un responsable directo y
un rol que especialice y diferencie cada
tarea, con el fin de garantizar la
idoneidad del personal asignado a la
solucin de una incidencia.

Registrar los resultados


del estudio de los
procedimientos previos.

Registrar los resultados de estudio de


cada procedimiento permite tener un
referente histrico de los eventos de
seguridad, adems de lograr un mtodo
de seguimiento y trazabilidad de los
mismos.

Fuente:ElaboracinPropia

121

GESTIN DE INCIDENTES (FASE DE ATENCIN DE INCIDENCIA)

Tabla 9. Metodologa Gua de Respuesta a Incidentes - Gestin de Incidentes

OBJETIVO

ACTIVIDADES
Identificar el incidente.

Clasificar el incidente.
Reportar a responsable
equipo de respuesta a
incidentes.
Establecer las acciones
correctivas que conlleven
al tratamiento y solucin
Gestionar la mitigacin y /
del incidente.
o solucin del fallo de
Verificar que las acciones
seguridad.
correctivas mitigan y / o
solucionan eficazmente el
incidente.
Documentar incidencia y
metodologa de solucin de
Evidenciar y
la misma.
retroalimentar
ocurrencias de fallos y
Retroalimentacin del
atencin de los mismos.
mtodo de respuesta al
incidente.
Establecer mtodos de
seguimiento, revisin y
Revisar y controlar los
procedimientos (previos, auditoria a los procesos de
respuesta a incidentes.
de intervencin y
tratamiento, y
Informar a la alta gerencia
explicativos) de respuesta los resultados de los
a incidentes en la
procesos de auditora
organizacin.
hechos a los procesos de
respuesta a incidentes
Diagnosticar ocurrencia
de un fallo de seguridad

DESCRIPCIN
Fase previa al tratamiento y solucin de la
incidencia que permite establecer y
parametrizar histricamente la ocurrencia
de un fallo de seguridad.

Fase de intervencin y tratamiento de


fallos de seguridad de la informacin que
permite normalizar la incidencia para dar
cumplimiento a los objetivos de seguridad
de la informacin y determina si las
acciones tomadas fueron eficaces.
Fase explicativa que permite seguimiento,
revisin, trazabilidad y control sobre los
fallos de seguridad ocurridos, y permite la
deteccin rpida de errores en los
resultados del proceso.

Fase de evaluacin que permite a la


direccin determinar que las actividades
de seguridad delegadas o implementadas
se estn ejecutando en la forma esperada

Fuente:ElaboracinPropia.

122

DISPOSICIN FINAL (FASE POST-INCIDENTE)

El tratamientode la fase post-incidente se realizara bajo protocolo administrativo


queincluyalostrminosaseguir:

Elaboracin de informes que den cuentadeltratamiento, la respuesta y la


disposicindecadaincidentedeseguridadocurrido.

Establecimiento de un archivo documental que permita agilizar la


implantacindeprocesosderespuestaaincidentesdeseguridad.

Comunicar a los integrantes de la organizacin las medidas preventivas,


correctivasyproactivasestablecidasaltrminodelosprocesosdeatencin
yrespuestaaincidentesdeseguridad.

Convocaralosintegrantesdelaorganizacinalaconcertacindepolticas,
procedimientos,capacitacinymanuales,quelaaltagerenciadefinacomo
pertinentes, en funcin del cumplimiento de los objetivos planteados, para
darrespuestaalosincidentesdeseguridad.

123

SEGUIMIENTO REVISIN Y AUDITORIA.

Tabla 10. Metodologa Gua de Respuesta a Incidentes

OBJETIVO

Seguimiento Revisin y Auditora.

ACTIVIDADES

Establecer
indicadores
comparables y medibles
que den seguimiento a la
aplicacin de los objetivos
Comunicar la
implementacin e
de la gua de respuesta a
implantacin de la gua
incidentes.
de respuesta a incidentes
Asegurar que se realiza
de seguridad de la
seguimiento a la aplicacin
informacin
de la gua, y que la misma
es trazable.
Garantizar la calidad y
mejora continua.

DESCRIPCIN

La alta gerencia debe establecer los


mtodos de revisin, seguimiento
y
cumplimiento de
los objetivos de la
gua de respuesta a incidentes, y
garantizar que los resultados de la misma
son medibles en referencia a las metas
establecidas.

DOCUMENTACIN Y RETROALIMENTACIN

Tabla 11. Metodologa Gua de Respuesta a Incidentes


Retroalimentacin.

OBJETIVO
Comunicar la
implementacin e
implantacin de la gua
de respuesta a incidentes
de seguridad de la
informacin

Documentacin y

ACTIVIDADES
Convocar a reunin a los
integrantes
de
la
organizacin.
Comunicar lo establecido
en el plan de accin y los
lineamientos directivos.

DESCRIPCIN
La alta gerencia debe comunicar
la organizacin e

cumplimiento de

Fuente:ElaboracinPropia

124

esos objetivos.

MAPA DE PROCEDIMIENTOS

Figura 13. Mapa de Procedimientos. Gua de Respuesta a Incidentes de Seguridad de la


Informacin.

Fuente:ElaboracinPropia

125

ANEXO G
MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN

El resultado obtenido al final de la investigacin es el MANUAL DE


PROCEDIMIENTOS PARA LA ADMINISTRACIN DE LA SEGURIDAD DE LA
INFORMACINelcualseproponecomoGua de Buenas Prcticas de Seguridad
de la Informacin en Contextos de Micros, Pequeas y Medianas Empresas de la
Regin.

Estemodelosurgedel procesoinvestigativorealizadoenelproyecto,resultando
en una herramienta metodolgica documental y procedimental que sirve como
modeloparaeltratamientosegurodelainformacinutilizadaenlaorganizaciny
asuvezpresentaunmodelodebuenasprcticasdeseguridaddelainformacin,
fundamentadasenlanormaISO27001.

Estemanualestconstituidopor:

DEL MODELO

Plan de Accin y el Anlisis y Gestin del Riesgo de la seguridad de la


Informacin, estos dos procesos se formulan con el fin de brindar un
modelo metodolgico para el tratamiento del riesgo, indicndole a la
organizacin la gestin apropiada, los recursos, responsabilidades y
prioridades para garantizar una adecuada Gestin de la Seguridad de la
Informacin.

Gua de Respuesta a Incidentes de Seguridad de la Informacin,estagua


aplicacomomodelodeatencinysolucinaincidentesdeseguridaddela
informacin dentro de la organizacin interesada en aplicar el Manual de
Procedimientos para la Administracin de Seguridad de la Informacin,
buscandoquelosintegrantesdelaorganizacincomprendanlaspolticasy
losprocedimientosestablecidos.

126

Estrategias de Capacitacin y Comunicacin para la Implementacin del


Modelo,elcualtienecomopropsitobrindaralpersonaldelaorganizacin
los conocimientos y habilidades especficas para el desempeo de sus
actividadesalinteriordelamisma,fortaleciendosuproductividadycalidad
en las actividades desarrolladas. El plan de capacitacin no solo est
dirigido a los integrantes nuevos sino tambin a los experimentados, es
responsabilidaddelaorganizacingarantizarelconocimientoyhabilidades
necesariasparaelbuendesempeodelasactividadeslaborales.

Figura 14. Manual de Procedimientos para la Administracin de la Seguridad de la


Informacin.

MANUALDEPROCEDIMIENTOSPARALAADMINISTRACIN

DELASEGURIDADDELAINFORMACIN

GuadeRespuestaa
AnlisisyGestindelriesgo
PlandeAccinde
IncidentesdeSeguridadde
SeguridaddelaInformacin
deSeguridaddela
laInformacin
Informacin

ESTRATEGIASDECAPACITACINYCOMUNICACINPARALAIMPLEMENTACINDEL

MODELO.

Fuente:ElaboracinPropia.

127

PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN

OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividaddelaadministracindeseguridaddelainformacindelaorganizacin.

La efectividad de la administracin de la seguridad de la informacin de la


organizacin se encuentra entre los lineamientos de un Plan de Accin de la
Seguridad de la Informacin y de los objetivos estratgicos organizacionales,
teniendo en cuenta en primer lugar, que el diseo de un plan de accin de la
seguridad de la informacin nos brinda la premisas necesarias para encausar la
seguridad de la informacin con los objetivos estratgicos empresariales y
segundolugarquedaunapautaparaactuarydarrespuestareferentealanlisis
deriesgos.

PROCEDIMIENTOSDEGESTIN
El Plan de Accin de la Seguridad de la Informacin est constituido por:
Objetivos,estrategias,tareas,seguimientoyrevisinyauditorias.

Comoprimerapartesevanaestablecerobjetivosclaros,concisosymediblescon
lafinalidaddetenerunadirectrizdeejecucindelPlandeAccindelaSeguridad
de la Informacin.Para estableceresosobjetivos se va a realizar undiagnstico
preliminar del estado actual de la organizacin con referencia a la seguridad de
sus activos de informacin, con la finalidad de conocer la situacin actual y
proyectarlasituacinidealdelaorganizacin.

Posteriormente se ha determinar la situacin deseada que la empresa intenta


lograryestablecerlasmetasdeseguridadadondesevanadirigirlasacciones,
estoconelfindelograrelobjetivoprimordialdelplandeaccinalquesequiere
llegarqueessalvaguardarladisponibilidad,laintegridad,laconfidencialidadyla
autenticidad de la informacin de la organizacin. Despus de esto, se van a
establecerestndaresdemedidaquepermitandefinirenformadetalladaloqueel
objetivo desea lograr, en qu tiempo y si es posible a que costo los objetivos
tienenquetenerindicadoresdecalidadparapodersermediblesyverificarsiestos

128

seestncumpliendoyenquporcentajeseestlogrando,demaneraquepermita
modificarlossiesnecesario.

Comosegundapartesevanaestablecerlasestrategiasquereflejenelcaminoa
seguirparalogrardichosobjetivos,estasestrategiastienencomofinalidaddarles
sentido, direccin y continuidad mediante el encause de los lineamientos
estratgicosadministrativosdelaorganizacinyloslineamientosestratgicosde
seguridad de la informacin este proceso debe contar con el apoyo de la alta
gerencia,porellohayqueconcientizarlasobrelaimportanciadequelosobjetivos
deseguridadylosobjetivosorganizacionalesestndireccionadoshacialamisma
lneadeaccin.

Comoterceramedidasehanestablecerlastareasdondesedescribanlospasos
exactosparaelcumplimientodelasestrategiassteapartadoestcompuestopor
lassiguientesactividades:primero,determinarculessonlasdependenciasdela
organizacinyculesdeestasvanaejecutarlosegundo,determinarelalcancey
lasdelimitacionesdecadatarea,endndeyporqusedetienecadaunadeellas
tercero, Objetivizar cada tarea y verificar que hace parte de la planeacin
estratgicadeseguridadydelaplaneacinestratgicaorganizacional,realizando
tareas posibles de cumplir y que estn dentro de los lineamientos de la
planeacinestratgicadeseguridadydelaplaneacinestratgicaorganizacional.
Dichastareasgarantizanelcumplimientodelobjetivo,luegodeestosedeterminan
tiemposdeadelanto,avance,entregasoposposicindecadatarea,cadaunade
ellas debe tener un inicio y un final teniendo un control para as evitar perder el
recurso tiempo, por ltimo en este tem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quienlahace,porquelahace,lostiemposyresultadosdedichatarea.

Como cuarto tem se tiene por establecer mtodos de revisin, seguimiento y


evaluacin de cumplimiento, est constituido por la elaboracin de un plan de
evaluacinderesultadosyestablecimientodereferencias(tantocualitativascomo
cuantitativas), a travs de indicadores comparables y medibles, para dar
seguimientoalaaplicacindelosobjetivosymetasdelManualdeProcedimientos
paralaAdministracindelaSeguridaddelaInformacin,elplandeevaluacinde
resultados entregado por el seguimiento y la revisin y estos resultados deben
estardentrodelasmtricastrazadasenlosobjetivos,encuantoaesteporcentaje
de cubrimiento de objetivos es que se est cumpliendo las metas del plan de

129

accin.Acontinuacinsetratadeasegurarelseguimientoylatrazabilidaddela
aplicacindelmodelo,garantizandoqueencualquiermomentosepuedeacceder
a versiones anteriores del modelo, si seesthaciendo un seguimiento, se debe
evidenciar la frecuencia con la que se realiza el procedimiento, por qu se hizo,
cuntosedemor,ysihayuncambioteneraccesoaestoscambiosypoderver
las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora
continualaprimerahacereferenciaalarealizacinestrictadelosprocedimientos
documentados y, la segunda hace referencia a la verificacin y reajuste de los
procedimientos con el fin de mantener la documentacin de los mismos
actualizada.

Es importante tener claro que la capacitacin debe ser un proceso continuo y


transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentrandescritosenelPLAN DE CAPACITACIN Y COMUNICACIN PARA
LA IMPLEMENTACIN DEL MODELO, el cual est diseado para implementar
programasde formacin y toma de conciencia por parte de los integrantes de la
organizacin.

A continuacin se lista las actividades de cada uno de los procedimientos de


gestinquecomponenelPlandeAccindelaSeguridaddelaInformacin:

ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES

Realizar un diagnostico preliminar del estado actual de la organizacin en


referenciaalasseguridaddesusactivosdeinformacin.

Determinarlasituacindeseadaquelaempresaintentalograr,yestablecer
lasmetasdeseguridadadondesedirigenlasacciones.

Establecerindicadoresdemedidaquepermitandefinirenformadetalladalo
queelobjetivodesealograr,enqutiempoysiesposible,aquecosto.Los
estndares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumplindose, y si es necesario
modificarlosono.

130

ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR


PARA LOGRAR DICHOS OBJETIVOS.

Darsentido,direccinycontinuidadalosobjetivosmedianteelencausede
loslineamientosestratgicosadministrativosyloslineamientosestratgicos
deseguridaddelainformacin.

Establecimiento de las lneas de accin para el cumplimiento de los


requerimientosfuncionalesdelmodelo.

DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA


EL CUMPLIMIENTO DE LAS ESTRATEGIAS.

Determinarlasdependencias,alcanceydelimitacionesdecadatarea.

Objetivizar cada tarea y verificar que hace parte de la planeacin


estratgicadeseguridadydelaplaneacinestratgicaorganizacional.

Determinar tiempos de adelanto, avance, entregas o posposicin de cada


tarea.

Asignarrolesyresponsablesdirectosencadatarea.

131

ESTABLECER MTODOS DE REVISIN, SEGUIMIENTO Y EVALUACIN DE


CUMPLIMIENTO.

Elaborar un plan de evaluacin de resultados y establecimiento de


referencias (tanto cualitativas como cuantitativas), a travs de indicadores
comparables y medibles, para dar seguimiento a la aplicacin de los
objetivosymetasdelPlandeAccin.

Asegurarelseguimientoylatrazabilidaddelaaplicacindelmodelo.

Garantizarlacalidadylamejoracontinua.

132

METODOLOGA PLAN DE ACCIN DE SEGURIDAD DE LA INFORMACIN

OBJETIVO

Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la


efectividaddelaadministracindeseguridaddelainformacindelaorganizacin.

Tabla 12. Metodologa Plan de Accin de Seguridad de la Informacin

OBJETIVO

ACTIVIDADES

Realizar un diagnostico
preliminar del estado actual
de la organizacin en
referencia a las seguridad
de
sus
activos
de
informacin.
Determinar la situacin
deseada que la empresa
Establecer los objetivos
intenta lograr, y establecer
del plan de accin.
las metas de seguridad a
donde se dirigen las
acciones.
Establecer indicadores de
medida
que
permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qu tiempo y si
es posible, a que costo
Encausar los lineamientos
estratgicos
administrativos y los
lineamientos estratgicos
Establecer las estrategias de seguridad.
del plan de accin.
Establecer las lneas de
accin
para
el
cumplimiento
de
los
requerimientos funcionales
del modelo.

134

DESCRIPCIN

La alta gerencia establece los objetivos


de una manera clara, concisa y medible,
que del las directrices de la creacin del
plan de accin de seguridad de la
informacin.

La alta gerencia debe garantizar que los


objetivos estratgicos organizacionales y
los objetivos estratgicos de seguridad
de la informacin tienen las mismas
directivas, con el fin de cumplir
efectivamente con los requerimientos
funcionales del sistema de gestin de
seguridad de la informacin

OBJETIVO

Determinar las tareas y


asignar roles y
responsabilidades.

Establecer los mtodos


de auditora

ACTIVIDADES

Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeacin estratgica
especficas
que
garanticen
el
de seguridad y de la
cumplimiento de las estrategias del plan
planeacin estratgica
de accin de seguridad de la
organizacional.
informacin, y para cada una de ellas,
asignar un responsable directo y un rol
Determinar tiempos de
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposicin de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer
indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicacin de los objetivos mtodos de revisin, seguimiento y
del plan de accin.
evaluacin de cumplimiento de los
Asegurar que se realiza objetivos del plan de accin, y garantizar
seguimiento a la aplicacin que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable.
establecidas.
Garantizar la calidad y
mejora continua.
Fuente:ElaboracinPropia

DESCRIPCIN

135

MAPA DE PROCEDIMIENTOS

Figura 16. Mapa de procedimientos Plan de Accin de Seguridad de la Informacin

Fuente:ElaboracinPropia

136

ESPECIFICACIN DE PROCEDIMIENTOS

CDIGO

GBP-PASI001

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer los objetivos del plan de accin

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las metas que se deben cumplir en el plan de accin de seguridad


de la informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Realizar un diagnostico preliminar del estado actual de la organizacin en referencia a


las seguridad de sus activos de informacin.

2.

Determinar la situacin deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.

3.

Establecer indicadores de medida que permitan definir en forma detallada lo que el


objetivo desea lograr, en qu tiempo y si es posible, a que costo

DESCRIPCIN

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las
directrices de la creacin del plan de accin de seguridad de la informacin.

<

OBSERVACIONES

Los estndares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumplindose, y si es necesario modificarlos o no.

137

CDIGO

GBP-PASI002

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer las estrategias del plan de accin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Encausar los lineamientos estratgicos administrativos y los lineamientos estratgicos de


seguridad.

2.

Establecer las lneas de accin para el cumplimiento de los requerimientos funcionales


del modelo.

DESCRIPCIN

La alta gerencia debe garantizar que los objetivos estratgicos organizacionales y los
objetivos estratgicos de seguridad de la informacin tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestin de
seguridad de la informacin.

<

OBSERVACIONES

138

CDIGO

GBP-PASI003

VERSIN

01

TIPO

Estratgico

NOMBRE

Determinar las tareas y asignar roles y responsabilidades

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de accin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Determinar las dependencias, alcance y delimitaciones de cada tarea.

2.

Objetivizar cada tarea y verificar que hace parte de la planeacin estratgica de


seguridad y de la planeacin estratgica organizacional.

3.

Determinar tiempos de adelanto, avance, entregas o posposicin de cada tarea.

4.

Asignar roles y responsables directos para cada tarea.

DESCRIPCIN

La alta gerencia debe generar las tareas especficas que garanticen el cumplimiento de las
estrategias del plan de accin de seguridad de la informacin, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.

<

OBSERVACIONES

139

CDIGO

GBP-PASI004

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer los mtodos de auditora.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer los mtodos de revisin, seguimiento, y evaluacin de


cumplimiento de los objetivos del pan de accin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Establecer indicadores comparables y medibles que den seguimiento a la aplicacin de


los objetivos del plan de accin.

2.

Asegurar que se realiza seguimiento a la aplicacin del modelo, y que el mismo es


trazable.

3.

Garantizar la calidad y mejora continua.

DESCRIPCIN

La alta gerencia debe establecer los mtodos de revisin, seguimiento y evaluacin de


cumplimiento de los objetivos del plan de accin, y garantizar que los resultados del mismo
son medibles en referencia a las metas establecidas.

<

OBSERVACIONES

140

ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE LA INFORMACIN

OBJETIVO
Identificar cualquier riesgo significativo en los activos de informacin,
estableciendoelimpactopotencialdeestosenlaorganizacinconlafinalidadde
eliminarlosoatenuarlos,limitandosusconsecuenciasyminimizandolasprdidas
esto con el propsito de poseer la informacin suficiente que apoye la toma de
decisionesgerencialesrespectoaloscontrolesmsapropiadosparalaseguridad
delainformacinyalosfuncionariosdecadaprocesoatendersusincidentesde
seguridaddelamejorformaposible,ademsdeestopermitirelcumplimientode
los objetivos estratgicos de la organizacin acatando las polticas de la gestin
delriesgo.

ASPECTO LEGAL
DECRETO N1537 /26DE JULIO DE2001. ARTICULO 4. ADMINISTRACIN
internoenlasentidadespblicaslasautoridadescorrespondientesestablecerny
aplicarnpolticasdeadministracindelriesgo.Paratalefecto,laidentificaciny
anlisis del riesgo debe ser un proceso permanente e interactivo entre la
administracinylasoficinasdecontrolinternooquienhagasusveces,evaluando
los aspecto tanto internos como externos que pueden llegar a representar
amenaza para la consecucin de los objetivos organizacionales, con miras a
estableceraccionesefectivas,representadasenactividadesdecontrol,acordadas
entrelosresponsablesdelasreasoprocesosylasoficinasdecontrolinternoe

El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de informacin y por ende la continuidad de la
organizacin, creando estrategias de anlisis, identificacin de falencias,
fortalezasyrecursosdeinformacinqueseposeenenlaorganizacin,ademsde
estoevidenciarcomoseatiendenlasincidenciasdeseguridadgarantizandouna
buenatomadedecisionesrespectoaloscontrolesmsapropiadosparalagestin
de estos. ste, integrado a las polticas de gestin del riesgo con los objetivos

141

estratgicosdelaorganizacintienecomoresultadoelencausedelaslaboresal
propsitoofinorganizacional.

PROCEDIMIENTOS DE GESTIN

Este Anlisis de Riesgos de la Seguridad de la Informacin se sustenta en el


DecretoNo1537del26dejuliode2001enelArtculo4,quesehacereferenciaa
la administracin de riesgos, donde se considera como parte integral del
fortalecimientodelossistemasdecontrolinternoenlasentidades,
y se reconoce el anlisis del riesgo como un proceso permanente e interactivo
entrelaadministracinylasoficinasdecontrolinterno.

LosprocesosadesarrollarparaelAnlisis yGestindelRiesgodelaSeguridad
delaInformacinsedesarrollandelasiguienteforma:

En primer lugar se debe establecer la situacin actual de la organizacin en


cuantoa seguridad de la informacin, efectundosemediante la observacin, el
seguimiento y la revisin de los procesos, estos resultados se obtienen a travs
entrevistas y encuestas a los integrantes de la organizacin, adems de esto
realizarunarevisindeladocumentacinqueseposee.

Posteriormentesehandedeterminarculessonlosactivosdeinformacinquese
poseen para ser identificados, cada uno de estos activos encontrados se
clasificansegnelimpactoquepuedellegarasufrirlaorganizacinsidichoactivo
llega a fallar, se les asigna un valor que representa cun importante es para la
organizacin.

Comosiguientemedidaseidentificanlosfactoresderiesgoparacadaunodelos
activos de informacin, realizando la identificacin de los factores internos y
externos a los cuales se encuentran expuestos dichos activos, luego de esto
categorizar las amenazas identificadas o la posibilidad que ocurra un evento
adverso, para as establecer mtricas que permitan analizarlas y clasificarlas en
cuantoaldaoquepuedenllegaracausaralosactivosdeinformacinqueposee
laorganizacin.

142

AcontinuacinsehandeIdentificarlosdeactivosdeinformacinvulnerablesen
la organizacin, teniendo como vulnerabilidad el grado de resistencia que tienen
los activos de informacin para sus respectivas amenazas, se establece el
potencial que tienen estas para causar efectos adversos en los activos de
informacin.

Esimportantetenerencuentaquenotodoslosactivosdeinformacinposeenla
misma calidad de informacin, por lo que es necesario establecer un anlisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.

El siguiente paso es Establecer el nivel de proteccin de los activos de


informacin, que brinda como resultado la informacin precisa acerca de las
estrategias de proteccin utilizadas para garantizar el adecuado funcionamiento
delactivodeinformacin.

Con el anlisis de la informacin obtenida en estosprocesos se contina con un


paso muy importante en el anlisis y Gestin del Riesgo de la Seguridad de la
InformacinqueeslaCalificacindelimpactodelriesgosiestesehicierarealidad,
aquseevalanlasconsecuenciasdeunfalloenlaseguridaddelainformacino
queunriesgosehagaefectivoenlosactivosdeinformacin.

Con la clasificacin del impacto del riesgo se busca establecer en primer lugar
cuales son los activos ms susceptibles de dao, por lo que es importante tener
claridad de cmo se realiza la proteccin de cada uno de ellos adems es
necesario evaluar el impacto para la organizacin si tales riesgos se hacen
efectivos.

No pueden faltar las estrategias de contingencia que puedan suplir el


funcionamiento de los procesos de la organizacin, planteando medidas alternas
quepermitanlacontinuidaddelosprocesosorganizacionalessinafectarengran
medidalosprocesosestablecidos.

El establecimiento de alternativas funcionales, aunque no garanticen la


continuidad absoluta de los procesos organizacionales, garantizar que el
proceso afectado no se detenga y no afecte de manera crucial el buen
funcionamientodelaorganizacin.

143


Unavezquesehanidentificadolosriesgosenlosactivosdeinformacinyenlas
prcticas de seguridad que se implementan en la organizacin, se puede
determinarculeselniveldevulnerabilidadparacadaunodeellos,teniendoen
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
informacin y el impacto que puede tener en la organizacin, as entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
delamejorformaposible,deestamanerasepuedegarantizarunabuenaGestin
deltratamientodelriesgodelaSeguridaddelaInformacin.

Como ltima medida la eliminacin de los activos de informacin, para este


procedimiento se van a realizar una serie de actividades, la primera de ellas
involucralaidentificacindeltipodeactivodeinformacinaeliminarodardebaja
entendiendolaeliminacindestecomosudestruccintotalydardebajacomo
elalmacenamientooretirodelfuncionamientoenlaorganizacindespusdeesto
se va a evaluar el impacto de la eliminacin o baja de tal activo para la
organizacin, analizando los pros y los contras de esta actividad y no olvidando
establecerunprotocolodeeliminacinobajaparalcadaunodeellosvaa ser
tratadoconsupropiomtodoparafinalizarsedebegarantizarquelaeliminacin
o baja de dicho activo salvaguarde la confidencialidad de la informacin de la
organizacin.

Es importante tener claro que la capacitacin debe ser un proceso continuo y


transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentrandescritasenelPLAN DE CAPACITACIN Y COMUNICACIN PARA
LA IMPLEMENTACIN DEL MODELO, el cual est diseado para implementar
programasde formacin y toma de conciencia por parte de los integrantes de la
organizacin.

A continuacin se listan las actividades de cada uno de los procedimientos de


gestin que componen el Anlisis y Gestin del Riesgo de la Seguridad de la
informacin:

144

ESTABLECER LA SITUACIN ACTUAL DE LA ORGANIZACIN

Observaryrealizarseguimientoaprocesosdelaorganizacin.

Desarrollarentrevistasyencuestasalosintegrantesdelaorganizacin.

Revisarladocumentacinqueseposee.

IDENTIFICAR LOS ACTIVOS DE INFORMACIN.

Clasificarlosdeactivosdeinformacinqueposeelaorganizacin.

Asignarunvalordeimportanciaaestosactivosparaestablecerelnivelde
importanciadecadaunodeellos.

IDENTIFICAR LOS FACTORES DE RIESGO.

Identificar factores internos y externos que amenazan la seguridad de los


activosdeinformacindelaorganizacin.

Categorizarlasamenazasidentificadas.

Establecerescalasmtricasparaelanlisiscuantitativodelasamenazas.

Clasificar las amenazas de acuerdo a resultados obtenidos en la escala


mtrica.

145

IDENTIFICAR
ACTIVOS
ORGANIZACIN.

DE

INFORMACIN

VULNERABLES

EN

LA

Identificar cuales amenazas afectan a cada uno de los activos de


informacin.

Establecerelniveldedaoquepuedegenerarcadaunadelasamenazas
enlosactivosdeinformacin.

ESTABLECER EL
INFORMACIN.

NIVEL

DE

PROTECCIN

DE

LOS

ACTIVOS

DE

Identificarelactivo.

Establecerfactoresderiesgoparacadaactivo.

Establecerlavulnerabilidadparacadaactivo.

Puntualizar en qu grado es efectiva la proteccin para cada activo de


informacin.

CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.

Identificarelniveldeimportanciadelactivoafectado.

Indicarcomoserealizalaproteccinparacadaactivodeinformacin.

Evaluarlasconsecuenciasenlaorganizacinporestosfactoresderiesgo.

146

CREAR ESTRATEGIAS DE CONTINGENCIA.


Identificarlosactivosdeinformacinvulnerables.

Plantear una estrategia alternativa para que el activo de informacin


afectadonointerfieraconelfuncionamientodelaorganizacin.

Ejecutarlaestrategiaparaelactivodeinformacinquelorequiera.

Realizar evaluaciones peridicas a las estrategias para verificar su


adecuacinaloscambiosenlosactivosdeinformacin.

ELIMINAR/DAR DE BAJA ACTIVOS DE INFORMACIN.


Identificartipodeactivoaeliminar/dardebaja.

Evaluarelimpactodelaeliminacin/bajadeesteactivodeinformacin.

Establecerunprotocolodeeliminacin/bajadecadaactivodeinformacin.

Garantizarquelabajadedichoactivosalvaguardelaconfidencialidaddela
informacindelaorganizacin.

147

METODOLOGA ANLISIS Y GESTIN DE RIESGOS DE SEGURIDAD DE


LA INFORMACIN

Tabla 13. Metodologa Anlisis y Gestin de Riesgos de Seguridad de la Informacin

OBJETIVO

Establecer la situacin
actual de la
organizacin.

Identificar activos de
informacin.

Identificar los factores


de riesgo.

ACTIVIDADES
Observar y realizar
seguimiento a
procedimientos de la
organizacin.
Desarrollar entrevistas y
encuestas a los
integrantes de la
organizacin.
Revisar la documentacin
que se posee.
Clasificar los de activos
de informacin que posee
la organizacin.
Asignar un valor de
importancia a estos
activos para establecer el
nivel de importancia de
cada uno de ellos.
Identificar factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a resultados
obtenidos en la escala
mtrica.

149

DESCRIPCIN
La situacin actual de la organizacin
permite establecer cmo se encuentra
esta en cuanto a: sus recursos de
software, estrategias de seguridad
utilizadas, las falencias en los procesos
realizados y la atencin de incidentes
de seguridad

Se clasifican los activos de informacin


segn el impacto que puede generar el
fallo de stos en la organizacin,
asignndole a cada uno de ellos, un
valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de
stos activos.

En la identificacin del riesgo se va a


ponderar la posibilidad de ocurrencia de
eventos adversos o que las amenazas
se vuelvan una realidad, identificando
dichas amenazas a las que se
encuentran expuestos los activos de
informacin, y estableciendo mtricas
para analizarlas en cuanto a su mayor o
menor capacidad de causar dao a
estos activos, lo que permite tener una
evidencia y un soporte objetivo acerca
de los riesgos a los que se encuentra
expuesta la organizacin.

OBJETIVO

Identificar activos de
informacin vulnerables
en la organizacin.

ACTIVIDADES
Identificar cuales
amenazas afecta a cada
uno de los activos de
informacin.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas en los activos
de informacin.

Identificar el activo.
Establecer factores de
riesgo para cada activo.
Establecer la
Establecer el nivel de
proteccin de los activos vulnerabilidad para cada
activo.
de informacin.
Puntualizar en qu grado
es efectiva la proteccin
para cada activo de
informacin.
Identificar el nivel de
importancia del activo
afectado.
Indicar como se realiza la
Calificar el impacto del
proteccin para cada
riesgo si se hiciera
activo informtico.
realidad.
Evaluar
las
consecuencias
en
la
organizacin por estos
factores de riesgo.

150

DESCRIPCIN
La identificacin de los activos de
informacin
vulnerables
en
la
organizacin determina el grado de
resistencia que tienen stos respecto a
sus amenazas, adems se establece el
potencial que tiene cada amenaza para
afectar dichos activos.

El resultado obtenido de este proceso


brinda informacin clara y suficiente
sobre la efectividad de las estrategias
de proteccin utilizadas por la
organizacin en cada uno de los activos
de informacin.

Con el anlisis de la informacin


obtenida en los procesos anteriores se
permite en este proceso evaluar las
posibles consecuencias de un fallo o
realizacin de un riesgo en los activos
de informacin

OBJETIVO

Crear estrategias de
contingencia.

Eliminar activos de
informacin.

ACTIVIDADES
Identificar los activos de
informacin vulnerables.
Plantear una estrategia
alternativa para que el
activo de informacin
afectado no interfiera con
el funcionamiento de la
organizacin.
Ejecutar la estrategia para
el activo de informacin
que lo requiera.
Realizar
evaluaciones
peridicas
a
las
estrategias para verificar
su adecuacin a los
cambios en los activos de
informacin.
Identificar tipo de activo a
eliminar/dar
de
baja.
(GBP-AGR002)
Evaluar el impacto de la
eliminacin/baja de este
activo de informacin.
Establecer un protocolo
de eliminacin/baja de
cada activo de
informacin.
Garantizar que la baja de
dicho activo salvaguarde
la confidencialidad de la
informacin de la
organizacin.

DESCRIPCIN

Este proceso conlleva a plantear


medidas alternas para garantizar un
funcionamiento
continuo
de
los
procesos, evitando que se vean
afectados de modo crucial los procesos
organizacionales establecidos.

Establecer medidas que garanticen una


efectiva eliminacin/baja de los activos
de
informacin,
implantando
metodologas eficientes para destruir o
darle exclusin de la organizacin a
dichos activos.

Fuente:ElaboracinPropia

151

MAPA DE PROCEDIMIENTOS

Figura 18. Mapa de procedimientos. Anlisis y Gestin del Riesgo.

FUENTE:Elaboracinpropia

152

ESPECIFICACIN DE PROCEDIMIENTOS

CDIGO

GBP-AGR001

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer la situacin actual de la organizacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Determinar cmo se encuentra la organizacin respecto a sus recursos de


software, estrategias de seguridad utilizadas, las falencias en los procesos
realizados y la atencin de incidentes de seguridad.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Observar y realizar seguimiento a procesos de la organizacin.

2.

Desarrollar entrevistas y encuestas a los integrantes de la organizacin.

3.

Revisar la documentacin que se posee.

DESCRIPCIN

La alta gerencia obtendr un estado actual de la organizacin en cuanto a los activos


informticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la
administracin de la seguridad de la informacin que tiene la organizacin y verificar como se
atienden los incidentes de seguridad.

<

OBSERVACIONES

153

CDIGO

GBP-AGR002

VERSIN

01

TIPO

Estratgico

NOMBRE

Identificar de activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Generar un inventario de los activos de informacin que posee la


organizacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Clasificar los de activos de informacin que posee la organizacin.

2.

Asignar un valor de importancia a estos activos para establecer el nivel de importancia


de cada uno de ellos.

DESCRIPCIN

Clasificar los activos de informacin segn el impacto que puede generar el fallo de stos en
la organizacin, asignndole a cada uno de ellos un valor en una escala cuantitativa dnde
pueda evidenciarse la importancia de stos activos para la organizacin.

<

OBSERVACIONES

154

CDIGO

GBP-AGR003

VERSIN

01

TIPO

Estratgico

NOMBRE

Identificar los factores de riesgo.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Identificar los factores de riesgo que afectan los activos de informacin y


analizar la capacidad de dao que pueden realizar estos riesgos en la
organizacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar factores internos y externos que amenazan la seguridad de los activos de


informacin de la organizacin.

2.

Categorizar las amenazas identificadas.

3.

Establecer escalas mtricas para el anlisis cuantitativo de las amenazas.

4.

Clasificar las amenazas de acuerdo a resultados obtenidos en la escala mtrica.

DESCRIPCIN

Con la ponderacin de la posibilidad de ocurrencia de las amenazas y la identificacin de


estas respecto a los activos de informacin, se establecen mtricas para analizarlas en
cuanto a su mayor o menor capacidad de dao a los activos de informacin, lo que permite
tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra
expuesta la organizacin.

<

OBSERVACIONES

155

CDIGO

GBP-AGR004

VERSIN

01

TIPO

Estratgico

NOMBRE

Definir los factores de riesgo para los activos informticos.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GBP-AGR003

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer y medir el dao que causan las amenazas en los activos de


informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar cuales amenazas afectan a cada uno de los activos de informacin. (GSIAGR003)

2.

Establecer el nivel de dao que puede generar cada una de las amenazas en los activos
de informacin.

DESCRIPCIN

La identificacin de los activos de informacin vulnerables en la organizacin determina el


grado de resistencia que tienen stos respecto a sus amenazas, adems se establece el
potencial que tiene cada amenaza para afectar dichos activos.

<

OBSERVACIONES

156

CDIGO

GBP-AGR005

VERSIN

01

TIPO

Estratgico

NOMBRE

Establecer el nivel de proteccin de los activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR002, GSI-AGR003, GSI-AGR004

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Obtener la efectividad de las estrategias de seguridad utilizadas.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar el activo. (GSI-AGR002)

2.

Establecer factores de riesgo para cada activo. (GSI-AGR003)

3.

Establecer la vulnerabilidad para cada activo. (GSI-AGR004)

4.

Evidenciar en qu grado es efectiva la proteccin para cada activo de informacin.

DESCRIPCIN

Este proceso brinda informacin clara y suficiente sobre la efectividad de las estrategias de
proteccin utilizadas por la organizacin en cada uno de los activos de informacin.

OBSERVACIONES

157

CDIGO

GBP-AGR006

VERSIN

01

TIPO

Estratgico

NOMBRE

Calificar el impacto del riesgo si se hiciera realidad.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR002, GSI-AGR005

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Evaluar las consecuencias de los riesgos en los activos de informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar el nivel de importancia del activo afectado. (GSI-AGR002)

2.

Indicar como se realiza la proteccin para cada activo informtico. (GSI-AGR005)

3.

Evaluar las consecuencias en la organizacin por estos factores de riesgo.

DESCRIPCIN

Con el anlisis de la informacin obtenida en los procesos anteriores se permite en este


proceso evaluar las posibles consecuencias de un fallo o realizacin de un riesgo en los
activos de informacin.

<

OBSERVACIONES

158

CDIGO

GBP-AGR007

VERSIN

01

TIPO

Estratgico

NOMBRE

Crear estrategias de contingencia

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GSI-AGR004

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Crear alternativas para la continuidad de los procesos organizacionales


planteando estrategias.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar los activos de informacin vulnerables. (GSI-AGR004)

2.

Plantear una estrategia alternativa para que el activo de informacin afectado no


interfiera con el funcionamiento de la organizacin.

3.

Ejecutar la estrategia para el activo de informacin que lo requiera.

4.

Realizar evaluaciones peridicas a las estrategias para verificar su adecuacin a los


cambios en los activos de informacin.

DESCRIPCIN

En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de


los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales
establecidos.

OBSERVACIONES

159

CDIGO

GBP-AGR008

VERSIN

01

TIPO

Estratgico

NOMBRE

Capacitar y Formar en Anlisis y Gestin del Riesgo.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

RESPONSABLE

Asignado por el responsable

FORMATOS DE REFERENCIA

OBJETIVO

Difundir al personal de la organizacin lo establecido en el Anlisis y Gestin


del Riesgo.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Convocar a Reunin a los Integrantes de la Organizacin.

2.

Comunicar lo establecido en el Anlisis y Gestin del Riesgo.

DESCRIPCIN

Comunica a los integrantes de la organizacin lo establecido en el Anlisis y Gestin del


Riesgo de la Seguridad de la Informacin

<

OBSERVACIONES

160

CDIGO

GBP-AGR009

VERSIN

01

TIPO

Estratgico

NOMBRE

Eliminar / Dar Baja a activos de informacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

Asignado por el responsable

GBP-AGR002

OBJETIVO

FORMATOS DE REFERENCIA

RESPONSABLE

Establecer medidas que garanticen una efectiva eliminacin de los activos de


informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

2.

Evaluar el impacto de la eliminacin/baja de este activo de informacin.

3.

Establecer un protocolo de eliminacin/baja de cada activo de informacin.

4.

Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la informacin


de la organizacin.

DESCRIPCIN

En este proceso se establecen medidas que garantizan una efectiva eliminacin/baja de los
activos de informacin, implantando metodologas eficientes para destruir o darle exclusin
de la organizacin a dichos activos.

OBSERVACIONES

161

GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA


INFORMACIN.

ALCANCE:

Estaguaaplicacomomodelodeatencinysolucinaincidentesdeseguridadde
la informacin dentro de la organizacin interesada en aplicar el Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin,buscando
que los integrantes de la organizacin comprendan las polticas y los
procedimientosestablecidos.

RESPONSABILIDAD:

Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizarelaseguramientodelosobjetivosfundamentalesdelaseguridaddela
informacin:Confidencialidad,Disponibilidad,Integridad,yencasodevulnerarse
algunodeestosobjetivos(opreverlaposiblevulnerabilidad),losresponsablesde
laatencindelincidenteactuarancomosesigue20:

20

,siguiendo

loslineamientosdelosprocedimientosadscritosalaGua.

162

METODOLOGA. GUA DE RESPUESTA A INCIDENTES DE SEGURIDAD


DE LA INFORMACIN

EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)

Tabla 14. Metodologa Gua de respuesta a Incidentes. Eventos de Seguridad.

OBJETIVO

Definir los factores de


riesgo [GBP-AGR004]

Calificar el impacto del


riesgo (en caso de que
ste se materialice)
[GBP-AGR006]

ACTIVIDADES
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
informacin de la
organizacin.
Categorizar las amenazas
identificadas.
Establecer escalas
mtricas para el anlisis
cuantitativo de las
amenazas.
Clasificar las amenazas
de acuerdo a los
resultados obtenidos en la
escala mtrica.
Establecer el nivel de
dao que puede generar
cada una de las
amenazas a los activos
de informacin.
Identificar el nivel de
importancia del activo de
informacin afectado
[GBP-AGR002]
Indicar como se realiza la
proteccin para cada
activo de informacin.
[GBP- AGR005]
Evaluar las
consecuencias para la
organizacin debido a los
factores de riesgo.

164

DESCRIPCIN

Identificar los activos de informacin


vulnerables
en
la
organizacin
tienen stos respecto a sus amenazas,
a dems se establece el potencial que
tiene cada amenaza para afectar dichos
activos.

Con el anlisis de la informacin


obtenida en los procesos anteriores, se
abre paso a evaluar las consecuencias
de
un
fallo
de
seguridad
o
materializacin de un riesgo en los
activos de informacin.

OBJETIVO

Determinar las tareas y


asignar roles y
responsabilidades
[GBP-PASI003]

Documentar evento de
seguridad

ACTIVIDADES

DESCRIPCIN

Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte
de la planeacin
estratgica de seguridad
y de la planeacin
estratgica
organizacional.
Determinar tiempos de
adelanto, avance,
entregas o posposicin de
cada tarea.
Asignar roles y
responsables directos
para cada tarea.

La alta gerencia debe generar las tareas


especificas
que
garanticen
el
cumplimiento de los objetivos del
manual de administracin de seguridad
de la informacin, y para cada una de
ellas, asignar un responsable directo y
un rol que especialice y diferencie cada
tarea, con el fin de garantizar la
idoneidad del personal asignado a la
solucin de una incidencia.

Registrar los resultados


del estudio de los
procedimientos previos.

Registrar los resultados de estudio de


cada procedimiento permite tener un
referente histrico de los eventos de
seguridad, adems de lograr un mtodo
de seguimiento y trazabilidad de los
mismos.

Fuente:ElaboracinPropia

165

GESTIN DE INCIDENTES (FASE DE ATENCIN DE INCIDENCIA)

Tabla 15. Metodologa Gua de Respuesta a Incidentes - Gestin de Incidentes

OBJETIVO

ACTIVIDADES
Identificar el incidente.

Clasificar el incidente.
Reportar a responsable
equipo de respuesta a
incidentes.
Establecer las acciones
correctivas que conlleven
al tratamiento y solucin
Gestionar la mitigacin y /
del incidente.
o solucin del fallo de
Verificar que las acciones
seguridad.
correctivas mitigan y / o
solucionan eficazmente el
incidente.
Documentar incidencia y
metodologa de solucin de
Evidenciar y
la misma.
retroalimentar
ocurrencias de fallos y
Retroalimentacin del
atencin de los mismos.
mtodo de respuesta al
incidente.
Establecer mtodos de
seguimiento, revisin y
Revisar y controlar los
procedimientos (previos, auditoria a los procesos de
respuesta a incidentes.
de intervencin y
tratamiento, y
Informar a la alta gerencia
explicativos) de respuesta los resultados de los
a incidentes en la
procesos de auditora
organizacin.
hechos a los procesos de
respuesta a incidentes
Diagnosticar ocurrencia
de un fallo de seguridad

DESCRIPCIN
Fase previa al tratamiento y solucin de la
incidencia que permite establecer y
parametrizar histricamente la ocurrencia
de un fallo de seguridad.

Fase de intervencin y tratamiento de


fallos de seguridad de la informacin que
permite normalizar la incidencia para dar
cumplimiento a los objetivos de seguridad
de la informacin y determina si las
acciones tomadas fueron eficaces.
Fase explicativa que permite seguimiento,
revisin, trazabilidad y control sobre los
fallos de seguridad ocurridos, y permite la
deteccin rpida de errores en los
resultados del proceso.

Fase de evaluacin que permite a la


direccin determinar que las actividades
de seguridad delegadas o implementadas
se estn ejecutando en la forma esperada

Fuente:ElaboracinPropia.

166

DISPOSICIN FINAL (FASE POST-INCIDENTE)

El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo


queincluyalostrminosaseguir:

Elaboracin de informes queden cuenta deltratamiento, la respuesta y la


disposicindecadaincidentedeseguridadocurrido.

Establecimiento de un archivo documental que permita agilizar la


implantacindeprocesosderespuestaaincidentesdeseguridad.

Comunicar a los integrantes de la organizacin las medidas preventivas,


correctivasyproactivasestablecidasaltrminodelosprocesosdeatencin
yrespuestaaincidentesdeseguridad.

Convocaralosintegrantesdelaorganizacinalaconcertacindepolticas,
procedimientos,capacitacinymanuales,quelaaltagerenciadefinacomo
pertinentes, en funcin del cumplimiento de los objetivos planteados, para
darrespuestaalosincidentesdeseguridad.

167

SEGUIMIENTO REVISIN Y AUDITORIA.

Tabla 16. Metodologa Gua de Respuesta a Incidentes

OBJETIVO

Seguimiento Revisin y Auditora.

ACTIVIDADES

Establecer
indicadores
comparables y medibles
que den seguimiento a la
aplicacin de los objetivos
Comunicar la
implementacin e
de la gua de respuesta a
implantacin de la gua
incidentes.
de respuesta a incidentes
Asegurar que se realiza
de seguridad de la
seguimiento a la aplicacin
informacin
de la gua, y que la misma
es trazable.
Garantizar la calidad y
mejora continua.

DESCRIPCIN

La alta gerencia debe establecer los


mtodos de revisin, seguimiento
y
cumplimiento de
los objetivos de la
gua de respuesta a incidentes, y
garantizar que los resultados de la misma
son medibles en referencia a las metas
establecidas.

DOCUMENTACIN Y RETROALIMENTACIN

Tabla 17. Metodologa Gua de Respuesta a Incidentes


Retroalimentacin.

OBJETIVO
Comunicar la
implementacin e
implantacin de la gua
de respuesta a incidentes
de seguridad de la
informacin

Documentacin y

ACTIVIDADES
Convocar a reunin a los
integrantes
de
la
organizacin.
Comunicar lo establecido
en el plan de accin y los
lineamientos directivos.

DESCRIPCIN
La alta gerencia debe comunicar

cumplimiento de

Fuente:ElaboracinPropia

168

esos objetivos.

MAPA DE PROCEDIMIENTOS

Figura 20. Mapa de Procedimientos. Gua de Respuesta a Incidentes de Seguridad de la


Informacin.

Fuente:ElaboracinPropia

169

ESTRATEGIAS DE CAPACITACIN Y COMUNICACIN

OBJETIVO

Implementarprogramasdeformacinytomadeconcienciaparacomunicaralos
integrantes de la organizacin la implementacin e implantacin del Manual de
ProcedimientosparalaAdministracindeSeguridaddelaInformacin.

DEL PLAN

El diseo de las Estrategias de Capacitacin y Comunicacin se define en una


herramienta documental independiente tanto al Plan de Accin y al Anlisis y
Gestin del Riesgo de la Seguridad d la informacin debido a las propuestas
establecidas por el panel de expertos donde se indicaba el establecimiento de
capacitacin ms dinmica donde no solo fuera capacitacin, sino tambin
generaruncompromisodeformacindeloscolaboradoresdelaorganizacin.

Las capacitaciones inicialmente se planteaban como un componente adicional


tanto al Plan de Accin de la Seguridad de la Informacin como al Anlisis y
Gestin del Riesgo de la Seguridad de la Informacin, pero con la propuesta
realizada por el panel de expertos de realizar la capacitacin ms rigurosa, se
plantea la creacin de esta herramienta documental, que tiene como objetivo
brindarunapoyointegralalacomunicacinydifusindelSistemadeGestinde
laSeguridaddelaInformacin.

Las estrategias de capacitacin tiene como propsito brindar al personal de la


organizacin los conocimientos y desarrollo de habilidades especficas para el
desempeo de sus actividades al interior de la misma, fortaleciendo su
productividad y calidad en las actividades desarrolladas. El plan de capacitacin
nosoloestdirigidoalosintegrantesnuevossinotambinalosexperimentados,
es responsabilidad de la organizacin garantizar el conocimiento y habilidades
necesariasparaelbuendesempeodelasactividadeslaborales.

170

La capacitacin est compuesta por un conjunto de estrategias orientadas a


integrar al colaborador tanto a la organizacin como a su puesto de trabajo,
aumentandosueficienciafrentealaorganizacinotrapartemuyimportanteque
locomponeesunconjuntodemtodos,tcnicasyrecursosparadarcumplimiento
aloslineamientosorganizacionalesrequeridos.

Lasestrategiasdecapacitacinserealizadeformacontinuaytransversalatodos
componentesdelSistemadeGestindelaSeguridaddelaInformacin.

PROCEDIMIENTOS DE GESTIN
Identificarlatemticaatratar.
Disponerrecursoshumanosyfsicos.
Verificar aptitudes y habilidades del personal que va a realizar la
capacitacinyformacin.
Establecerelgrupofocalalcualvadirigidalacapacitacinylaformacin.
Comunicar lo establecido en el Manual de Procedimientos para la
Administracin de Seguridad de la Informacin, y los lineamientos
directivos,satisfaciendolasnecesidadesdeformacin,tomadeconciencia
ycompetencia.
Garantizar la evaluacin del cumplimiento de los objetivos del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin,
paraverificarlaeficaciadelasaccionesemprendidasenelmismo.
Documentarlasactividadesdeformacin.

Es de vital importancia garantizar la comunicacin y capacitacin del Manual de


Procedimientos para la Administracin de Seguridad de la Informacin, debe
realizarse de forma continua transversalizando a todas las actividades que
componendichoproceso.

Se determina para el desarrollo del modelo 2 momentos de capacitacin: Plan


bsicogeneralyPlanavanzadodeCapacitacin.

El Primero consiste en brindar la informacin general y bsica necesaria para el


desarrollo de un SGSI, en este primer escenario se generar un anlisis y
diagnstico estructural de la organizacin, de los procesos y de los puestos de
trabajo en torno al tema, el segundo momento se realiza un diagnostico de

171

Personaldecadacolaborador,cadadiagnsticoconstituireldiagnosticogeneral
delaorganizacinypermitirelaborarelplandecapacitacinAvanzado.

Elplanbsicodesarrollarlassiguientestemticas:

Informacin de Generalidades sobre manejo de informacin, seguridad


informticayseguridaddelainformacin.
LegislacinVigente,conocimientoycumplimientodelamisma.
NormasdeSeguridadyCalidad.
Rolesenseguridaddeinformacin.
DefinicindeSistemadeGestindeSeguridaddelainformacin
Alcances.
Rolesyresponsabilidades.
Medidas.
Modelosaplicadosenotrasorganizaciones.

PlanavanzadodeCapacitacin:

Diagnostico DOFA de las prcticas utilizadas en la organizacin para la


Seguridaddelainformacin.
Diagnostico DOFA de las procesos mediados por cargos y funciones de
cadacolaboradordelaorganizacin
Diagnostico DOFA de las competencias de cada colaborador de la
organizacin, para desarrollar un modelo para el funcionamiento de un
SGSI.
ConstruccindeunPlandeCapacitacinadecuadoalosresultadosdelos
Diagnsticos.

Para eldesarrollo delmodelo de capacitacin, se utilizaran talleres deformacin


basadosenpedagogasocioconstructivista,enespaciospresencialesyvirtuales,
dondeseapliquenlosconocimientosdeformatericoprctica.

Los horarios establecidos para el plan de capacitacin, deben definirse por cada
organizacin,sinembargoseaconsejahacerlodeformasemanalyconespacios
denomsdecuatrohorasynomenosde2horasporjornada,conelfindetener
espaciosdetiempoadecuadosalametodologasocioconstructivista.Elplande
capacitacin se plantea de 90 horas, entregando como resultado el plan de
capacitacinavanzadoconlasnecesidadespropiasdelaorganizacin.

172

METODOLOGA DE LAS ESTRATEGIAS DE CAPACITACIN Y


COMUNICACIN PARA LA IMPLEMENTACIN DEL MODELO

Tabla 18. Metodologa de las Estrategias de Capacitacin.

OBJETIVO

ACTIVIDADES

Identificar temtica a tratar.


Disponer recursos
humanos y fsicos.
Verificar aptitudes y
habilidades del personal
que va a realizar la
capacitacin y formacin.
Establecer el grupo focal al
cual va dirigida la
capacitacin y la formacin
Comunicar lo establecido
en el Manual de
Procedimientos para la
Administracin de
Capacitar y comunicar los Seguridad de la
procedimientos para la
Informacin, y los
implementacin del
lineamientos directivos,
modelo.
satisfaciendo las
necesidades de formacin,
toma de conciencia y
competencia.
Garantizar la evaluacin
del cumplimiento de los
objetivos del Manual de
Procedimientos para la
Administracin de la
Seguridad de la
Informacin, para verificar
la eficacia de las acciones
emprendidas en el mismo.
Documentar las actividades
de formacin.

DESCRIPCIN

La alta gerencia debe comunicar a la


Procedimientos para la Administracin de
seguir sus lineamientos y determinar el
objetivos.

Fuente:ElaboracinPropia

173

MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIN

Figura 21. Mapa de procedimientos. Plan de Capacitacin.

Fuente:ElaboracinPropia

174

ESPECIFICACIN DEL PROCEDIMIENTO

Elprocedimientoqueespecificalaejecucindelasdistintasfasesquecomponen
lasestrategiasdecapacitacinycomunicacindelaGua de Buenas Prcticas de
Seguridad de la Informacinsecitacomosigue:

175

CDIGO

GBP-PCC001

VERSIN

01

TIPO

Apoyo

NOMBRE

Estrategias de Capacitacin y Comunicacin.

Alta Gerencia.

TIEMPO ESTIMADO/FRECUENCIA

RESPONSABLE

Asignado por el responsable

FORMATOS DE REFERENCIA

OBJETIVO

Implementar programas y toma de conciencia para comunicar a los


integrantes de la organizacin la implementacin del Manual de
Procedimientos para la Administracin de la Seguridad de la Informacin.

ESPECIFICACIN DEL PROCEDIMIENTO

ACTIVIDADES

1.

Identificar temtica a tratar.

2.

Disponer recursos humanos y fsicos.

3.

Verificar aptitudes y habilidades del personal que va a realizar la capacitacin y


formacin.

4.

Establecer el grupo focal al cual va dirigida la capacitacin y la formacin.

5.

Comunicar lo establecido en el Manual de Procedimientos para la Administracin de


Seguridad de la Informacin, y los lineamientos directivos, satisfaciendo las necesidades
de formacin, toma de conciencia y competencia.

6.

Garantizar la evaluacin del cumplimiento de los objetivos del Manual de Procedimientos


para la Administracin de la Seguridad de la Informacin, para verificar la eficacia de las
acciones emprendidas en el mismo.

7.

Documentar las actividades de formacin.

DESCRIPCIN

de la Guia de buenas
practicas
umplimiento de
esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos
realizados durante el la implementacin de la Guia.

176

También podría gustarte