Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia Apoyo SGSI PDF
Cargado por
Loo Saw Sean0 calificaciones0% encontró este documento útil (0 votos)
17 vistas37 páginasTítulo original
Guia_apoyo_SGSI.pdf
Derechos de autor
© © All Rights Reserved
Formatos disponibles
PDF, TXT o lea en línea desde Scribd
Compartir este documento
Compartir o incrustar documentos
¿Le pareció útil este documento?
¿Este contenido es inapropiado?
Denunciar este documentoCopyright:
© All Rights Reserved
Formatos disponibles
Descargue como PDF, TXT o lea en línea desde Scribd
0 calificaciones0% encontró este documento útil (0 votos)
17 vistas37 páginasGuia Apoyo SGSI PDF
Cargado por
Loo Saw SeanCopyright:
© All Rights Reserved
Formatos disponibles
Descargue como PDF, TXT o lea en línea desde Scribd
Está en la página 1de 37
Implantacin de un SGSI en la empresa
Implantacin de un SGSI en la empresa
Implantacin de un SGSI en la empresa
INDICE
CAPTULO 1 Conceptos bsicos sobre Seguridad de la Informacin....................................................................... 3
CAPTULO 2 La seguridad y su justificacin desde el punto de vista del negocio. .............................................. 6
CAPTULO 3 Marco legal y jurdico de la Seguridad. Normativas de Seguridad. .................................................. 8
CAPTULO 4 Estndares de Gestin de la Seguridad de la Informacin. .............................................................. 11
CAPTULO 5 Implantacin de un SGSI............................................................................................................................ 13
CAPTULO 6 Definicin de las Polticas, Organizacin, Alcance del Sistema de Gestin y Concienciacin.16
CAPTULO 7 Los activos de la Seguridad de la Informacin..................................................................................... 19
CAPTULO 8 Anlisis y Valoracin de los Riesgos. Metodologas............................................................................ 22
CAPTULO 9 Gestin y Tratamiento de los Riesgos. Seleccin de los Controles................................................. 25
CAPTULO 10 Seguimiento, Monitorizacin y Registro de las Operaciones del Sistema. ................................ 29
CAPTULO 11 Gestin de la Continuidad del Negocio............................................................................................... 32
CAPTULO 12 Proceso de Certificacin........................................................................................................................... 35
Implantacin de un SGSI en la empresa
CAPTULO 1 Conceptos bsicos sobre Seguridad de la
Informacin.
Hola. Mi nombre es Ral. Trabajo como Tcnico de Seguridad en INTECO, el Instituto Nacional de
Tecnologas de la Comunicacin.
En INTECO trabajamos para fomentar e impulsar la seguridad de la informacin y su implantacin en
las empresas y organizaciones. A diario, estamos amenazados por riesgos que ponen en peligro la
integridad de nuestra informacin y con ello la viabilidad de nuestros negocios. Riesgos que provienen
no slo desde el exterior de nuestras empresas, sino tambin desde el interior.
Para poder trabajar en un entorno como este de forma segura, las empresas pueden asegurar sus
datos e informacin de valor con la ayuda de un Sistema de Gestin de Seguridad de la Informacin.
A lo largo de los prximos minutos, voy a detallarte las ventajas de implantar este sistema en tu
empresa y cmo hacerlo.
Podramos definir un Sistema de Gestin de Seguridad de la Informacin como una herramienta de
gestin que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la
seguridad de la informacin en nuestra empresa.
Quiz oigas hablar de este sistema por sus siglas en espaol, SGSI, o por sus siglas en ingls, ISMS.
Antes de comenzar a ver las caractersticas de este tipo de sistemas, es importante diferenciar entre
seguridad informtica y seguridad de la informacin.
La primera, la seguridad informtica, se refiere a la proteccin de las infraestructuras de las
tecnologas de la informacin y comunicacin que soportan nuestro negocio.
Mientras que la seguridad de la informacin, se refiere a la proteccin de los activos de informacin
fundamentales para el xito de cualquier organizacin.
Entre los muchos ejemplos de informacin que podemos encontrar en nuestra empresa estn los
correos electrnicos, pginas web, imgenes, bases de datos, faxes, contratos, presentaciones,
documentos y un largo etctera.
Al identificar los activos de informacin tenemos que tener en cuenta que estos pueden proceder de
distintas fuentes de informacin dentro de la empresa y que pueden encontrarse en diferentes
Implantacin de un SGSI en la empresa
soportes, como papel o medios digitales. Adems, es necesario considerar el ciclo de vida de la
informacin, ya que lo que hoy puede ser crtico para nuestro negocio puede dejar de tener
importancia con el tiempo.
Como hemos visto con anterioridad, para garantizar la seguridad de toda esta informacin podemos
contar con la ayuda de un Sistema de Gestin de Seguridad de la Informacin.
Esta metodologa nos va a permitir, en primer lugar, analizar y ordenar la estructura de los sistemas
de informacin.
En segundo lugar, nos facilitar la definicin de procedimientos de trabajo para mantener su
seguridad.
Y por ltimo, nos ofrecer la posibilidad de disponer de controles que permitan medir la eficacia de
las medidas tomadas.
Estas acciones van a proteger a nuestra organizacin frente a amenazas y riesgos que puedan poner
en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios
para alcanzar los objetivos de negocio.
De esta manera conseguiremos mantener el riesgo para nuestra informacin por debajo del nivel
asumible por la propia organizacin.
La gestin de los riesgos a travs de un Sistema de Gestin de Seguridad de la Informacin nos va a
permitir preservar la confidencialidad, integridad y disponibilidad de la misma, en el interior de la
empresa, ante nuestros clientes y ante las distintas partes interesadas en nuestro negocio.
La confidencialidad implica el acceso a la informacin por parte nicamente de quienes estn
autorizados.
La integridad conlleva el mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso.
Y la disponibilidad entraa el acceso a la informacin y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados en el momento que lo requieran.
El acrnimo utilizado para hablar de estos parmetros bsicos de la seguridad de la informacin es
CID en espaol y CIA en ingls.
Implantacin de un SGSI en la empresa
Con el fin de proporcionar un marco de Gestin de la Seguridad de la Informacin utilizable por
cualquier tipo de organizacin se ha creado un conjunto de estndares bajo el nombre de ISO/IEC
27000.
Estas normas nos van a permitir disminuir de forma significativa el impacto de los riesgos sin
necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de
personal.
Ms adelante analizaremos con detalle estas normas.
Implantacin de un SGSI en la empresa
CAPTULO 2 La seguridad y su justificacin desde el punto
de vista del negocio.
La informacin es un valioso activo del que depende el buen funcionamiento de una organizacin.
Mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de
negocio.
Por esa razn, desde tiempos inmemorables las organizaciones han puesto los medios necesarios
para evitar el robo y manipulacin de sus datos confidenciales.
En la actualidad, el desarrollo de las nuevas tecnologas ha dado un giro radical a la forma de hacer
negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas
amenazas.
Desafortunadamente, es relativamente fcil tener acceso a las herramientas que permiten a personas
no autorizadas llegar hasta la informacin protegida, con poco esfuerzo y conocimientos, causando
graves perjuicios para la empresa.
La mayor parte de la informacin reside en equipos informticos, soportes de almacenamiento y
redes de datos, englobados dentro de lo que se conoce como sistemas de informacin.
Estos sistemas de informacin estn sujetos a riesgos y amenazas que pueden generarse desde
dentro de la propia organizacin o desde el exterior.
Existen riesgos fsicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la
disponibilidad de nuestra informacin y recursos, haciendo inviable la continuidad de nuestro negocio
si no estamos preparados para afrontarlos.
Por otra parte, se encuentran los riesgos lgicos relacionados con la propia tecnologa y, que como
hemos dicho, aumentan da a da. Hackers, robos de identidad, spam, virus, robos de informacin y
espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y
nuestra imagen en el mercado.
Para proteger a nuestras organizaciones de todas estas amenazas es necesario conocerlas y
afrontarlas de una manera adecuada. Para ello debemos establecer unos procedimientos adecuados e
implementar controles de seguridad basados en la evaluacin de los riesgos y en una medicin de su
eficacia.
Implantacin de un SGSI en la empresa
Un Sistema de Gestin de Seguridad de la Informacin, basado en la norma UNE-ISO/IEC 27001, es
una herramienta o metodologa sencilla y de bajo coste que cualquier PYME puede utilizar. La norma
le permite establecer polticas, procedimientos y controles con objeto de disminuir los riesgos de su
organizacin.
La implantacin y posterior certificacin de estos sistemas supone la implicacin de toda la empresa,
empezando por la direccin sin cuyo compromiso es imposible su puesta en marcha.
La direccin de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos del
negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Adems, es la nica que
puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el sistema.
Pero qu es lo que aporta a mi negocio la implantacin y posterior certificacin de un Sistema de
Gestin de Seguridad de la Informacin? Cules son los beneficios que voy a observar despus de
todo este proceso?
En primer lugar, obtenemos una reduccin de riesgos debido al establecimiento y seguimiento de
controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por
nuestra organizacin. De este modo, si se produce una incidencia, los daos se minimizan y la
continuidad del negocio est asegurada.
En segundo lugar, se produce un ahorro de costes derivado de una racionalizacin de los recursos. Se
eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar
riesgos.
En tercer lugar, la seguridad se considera un sistema y se convierte en una actividad de gestin. La
seguridad deja de ser un conjunto de actividades ms o menos organizadas y pasa a transformarse en
un ciclo de vida metdico y controlado, en el que participa toda la organizacin.
En cuarto lugar, la organizacin se asegura del cumplimiento de la legislacin vigente y se evitan
riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la
empresa de aspectos que probablemente no se haban tenido en cuenta anteriormente.
Por ltimo, pero no por ello menos importante, la certificacin del Sistema de Gestin de Seguridad
de la Informacin contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas
que lo han conseguido y hacindolas ms fiables e incrementando su prestigio.
Un certificado mejora la imagen y confianza de nuestra empresa entre clientes, proveedores y socios
que, poco a poco, exigen la certificacin para abrir y compartir sus sistemas de informacin con
cualquier PYME. La exigencia de este certificado es el modo de garantizar un equilibrio en las medidas
de seguridad entre las partes.
Implantacin de un SGSI en la empresa
CAPTULO 3 Marco legal y jurdico de la Seguridad.
Normativas de Seguridad.
El creciente uso de las nuevas tecnologas ha propiciado la creacin de un marco legal y jurdico que
protege a todas las partes interesadas en el uso de estas tecnologas y el intercambio y tratamiento de
la informacin a travs de ellas.
Cada da surgen nuevas formas de delito informtico que pueden afectar a la seguridad de la
informacin en nuestras empresas.
Por ello, cumplir con la legislacin vigente en Espaa es uno de los requisitos que debemos satisfacer
para implantar y certificar un Sistema de Gestin de Seguridad de la Informacin. Su cumplimento nos
proteger de amenazas externas, nos permitir respetar los derechos de nuestros clientes y
proveedores y evitar infracciones involuntarias con sus respectivos costes.
Veamos cul es la legislacin espaola relacionada con seguridad de la informacin, recordando el
amplio sentido del trmino informacin visto anteriormente.
Ley Orgnica 15/99 de Proteccin de Datos de Carcter Personal conocida por las siglas LOPD.
Esta Ley tiene por objeto proteger todos los datos de carcter personal, para que no sean utilizados de
forma inadecuada, ni tratados o cedidos a terceros sin consentimiento del titular.
Para ello, se establecen obligaciones para toda persona fsica o jurdica que posea ficheros con datos
personales.
Ley 34/2002 de Servicios de la Sociedad de la Informacin y de Comercio Electrnico cuyas siglas son
LSSI.
La finalidad de esta Ley es regular el funcionamiento de prestadores de servicios de la Sociedad de la
Informacin, empresas que realizan comercio electrnico, y aquellas que hacen publicidad por va
electrnica, como correo electrnico o SMS.
Ley 32/2003, General de telecomunicaciones.
El objeto de la Ley es la regulacin de las telecomunicaciones, que comprenden la explotacin de las
redes y la prestacin de los servicios de comunicaciones electrnicas.
Entre otros objetivos, esta Ley fomenta la competencia efectiva de los mercados de las
Implantacin de un SGSI en la empresa
telecomunicaciones, promueve el desarrollo del sector y defiende los intereses de los ciudadanos.
Ley 59/2003 de Firma Electrnica.
Esta Ley regula la firma electrnica, su eficacia jurdica y la prestacin de servicios de certificacin.
La firma electrnica es un conjunto de datos asociados que sirve para identificar a una persona en
transacciones electrnicas y permite conocer si el contenido del mensaje ha sido manipulado de
alguna manera.
Real Decreto Legislativo 1/1996 Ley de Propiedad Intelectual.
Segn esta Ley, la propiedad intelectual de una obra literaria, artstica o cientfica corresponde al
autor por el solo hecho de su creacin. El autor tiene el derecho exclusivo a la explotacin de la obra.
La Ley protege las creaciones originales expresadas en cualquier medio, incluidos programas de
ordenador o bases de datos.
Ley 17/2001 de Propiedad Industrial
Para la proteccin de los signos distintivos de las organizaciones se concedern los derechos de
propiedad industrial de marcas y nombres comerciales.
De acuerdo con esta Ley, el uso de un nombre comercial en redes telemticas, en nombres de
dominios, y en metadatos y palabras clave de pginas web, sin autorizacin previa por parte de su
titular, habilita a ste a prohibirle su utilizacin.
Ley 11/2007 de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos
Esta ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Pblicas por
medios electrnicos. Adems, regula los aspectos bsicos de la utilizacin de las tecnologas de la
informacin en la actividad administrativa, en las relaciones entre las Administraciones Pblicas, as
como en las relaciones de los ciudadanos con las mismas.
Algunos sectores, como el agrario poseen legislacin propia sobre Seguridad de la Informacin.
Otros, como la banca, disponen de una normativa internacional que contiene recomendaciones al
respecto.
La legislacin que acabamos de ver se ha desarrollado para proteger a todos los actores que
utilizamos las nuevas tecnologas ante el aumento de delitos informticos.
Implantacin de un SGSI en la empresa
En un sentido amplio, delito informtico es todo aquel que implique la utilizacin de cualquier medio
de tecnologa informtica.
Tanto en Europa como en Espaa, los principales delitos informticos que la legislacin recoge se
engloban en cuatro grupos.
El primer grupo hace referencia a los delitos contra la intimidad, en el que se produce un tratamiento
ilegal de los datos de carcter personal. Este es el caso de la venta de datos a terceros sin autorizacin
previa del dueo de esos datos.
El segundo grupo hace alusin a delitos relativos al contenido, es decir a la difusin de contenidos
ilegales en la Red. Por ejemplo, la difusin de pornografa infantil.
El tercer grupo se refiere a delitos econmicos, relacionados con el acceso autorizado a sistemas
informticos para llevar a cabo fraude, sabotaje o falsificacin. Un caso muy habitual es la
suplantacin de entidades bancarias.
Y el cuarto grupo hace mencin a los delitos contra la propiedad intelectual vinculados con la
proteccin de programas de ordenador, bases de datos y derechos de autor. Un ejemplo claro es la
piratera informtica.
Implantacin de un SGSI en la empresa
CAPTULO 4 Estndares de Gestin de la Seguridad de la
Informacin.
La informacin necesaria para desarrollar la actividad de nuestro negocio se puede ver afectada por
diferentes riesgos y amenazas.
Para poder estar preparados ante cualquier imprevisto y actuar con rapidez y eficacia, es necesario
implantar un Sistema de Gestin de Seguridad de la Informacin.
Gracias a este sistema podremos analizar los posibles riesgos, establecer las medidas de seguridad
necesarias y disponer de controles que nos permitan evaluar la eficacia de esas medidas.
De este modo, podremos anticiparnos a los posibles problemas y estar preparados en el caso de
cualquier contingencia.
Para llevar a cabo todo el proceso de una manera ms sencilla contamos con la familia de normas
internacionales ISO/IEC 27000.
Estas normas han sido elaboradas conjuntamente por ISO, que es la Organizacin Internacional de
Normalizacin, y por IEC, que es la Comisin Electrotcnica Internacional. Ambos estn formados por
los organismos de normalizacin ms representativos de cada pas.
ISO e IEC se encargan de elaborar normas internacionales que el mercado requiere y necesita. Estas
normas pueden hacer referencia a productos como electrodomsticos, calzado, alimentacin o
juguetes.
Tambin pueden hacer referencia a servicios como los prestados en residencias de la tercera edad, en
hoteles o en transportes pblicos de pasajeros.
En los ltimos aos ISO e IEC han trabajado mucho con normas relacionadas con las nuevas
tecnologas como la telefona mvil o la seguridad de la informacin.
Y por supuesto, han continuado elaborado normas de gestin como las conocidas ISO 9001 e ISO
14001.
Las normas son de carcter voluntario, nadie obliga o vigila su cumplimiento. Sin embargo, su uso por
millones de empresas facilita el entendimiento entre pases y organizaciones. Las normas tambin
contribuyen a mejorar la seguridad y la calidad de los productos y servicios que utilizamos todos los
das.
Implantacin de un SGSI en la empresa
Pero volvamos a las normas que ahora nos interesan, las normas ISO/IEC 27000 creadas para facilitar
la implantacin de Sistemas de Gestin de Seguridad de la Informacin. Veamos las ms importantes.
La primera norma, la ISO/IEC 27000, recoge los trminos y definiciones empleados en el resto de
normas de la serie. Con ello se evitan distintas interpretaciones sobre los conceptos que aparecen a lo
largo de las mismas.
Adems, incluye una visin general de la familia de normas en este rea, una introduccin a los
Sistemas de Gestin de Seguridad de la Informacin y una descripcin del ciclo de mejora continua.
La norma principal de la serie es la ISO/IEC 27001. Se puede aplicar a cualquier tipo de organizacin,
independientemente de su tamao y de su actividad.
La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener
y mejorar un Sistema de Gestin de la Seguridad de la Informacin.
Recoge los componentes del sistema, los documentos mnimos que deben formar parte de l y los
registros que permitirn evidenciar el buen funcionamiento del sistema. Asimismo, especifica los
requisitos para implantar controles y medidas de seguridad adaptados a las necesidades de cada
organizacin.
En Espaa, esta norma ha sido publicada como UNE-ISO/IEC 27001 y puede adquirirse a travs de la
pgina web de AENOR, el organismo espaol de normalizacin, en www.aenor.es. Si se prefiere la
versin en ingls se puede acceder a ella a travs de la pgina de ISO, www.iso.org.
Esta es la norma de esta serie con la que sern certificados los Sistemas de Gestin de Seguridad de la
Informacin de las empresas que lo deseen.
La norma ISO/IEC 27002 es una gua de buenas prcticas que recoge las recomendaciones sobre las
medidas a tomar para asegurar los sistemas de informacin de una organizacin. Para ello describe 11
dominios, es decir reas de actuacin, 39 objetivos de control o aspectos a asegurar dentro de cada
rea, y 133 controles o mecanismos para asegurar los distintos objetivos de control.
La familia de normas ISO/IEC 27000 contiene otras normas destacables. Como por ejemplo, la norma
sobre requisitos para la acreditacin de las entidades de auditora y certificacin, es decir, de aquellas
entidades que acudirn a tu empresa para certificar que el sistema est correctamente implantado.
Tambin incluye una gua de auditora y guas de implantacin de la norma en sectores especficos
como el de sanidad o telecomunicaciones.
En el futuro se continuarn desarrollando nuevas normas relacionadas con la seguridad de la
informacin que completen las necesidades de las empresas.
Implantacin de un SGSI en la empresa
CAPTULO 5 Implantacin de un SGSI.
La implantacin de un Sistema de Gestin de Seguridad de la Informacin es una decisin estratgica
que debe involucrar a toda la organizacin y que debe ser apoyada y dirigida desde la direccin.
Su diseo depender de los objetivos y necesidades de la empresa, as como de su estructura. Estos
elementos son los que van a definir el alcance de la implantacin del sistema, es decir, las reas que
van a verse involucradas en el cambio. En ocasiones, no es necesario un sistema que implique a toda
la organizacin, puede ser que sea slo necesario en un departamento, una sede en concreto o un
rea de negocio.
Para hacer ms sencillo el proceso de implantacin, es bueno contar con la ayuda de una empresa
especializada que nos asesore durante todo el proceso, especialmente durante el primer ao. INTECO
dispone de un catlogo que recoge un listado de empresas que pueden ayudarte en ello.
El tiempo de implantacin del sistema de gestin de seguridad de la informacin vara en funcin del
tamao de la empresa, el estado inicial de la seguridad de la informacin y los recursos destinados a
ello, pero podramos estimar que su duracin es de entre seis meses y un ao para evitar que quede
obsoleto nada ms acabarlo.
Antes de entrar en ms detalle sobre cmo debe realizarse la implantacin del sistema, hay algo muy
importante que hay que tener siempre presente: la solucin ms sencilla de implantar y mantener
suele ser la ms acertada.
La empresa debe contar con una estructura organizativa as como de recursos necesarios, entre otras
cosas, para llevar a cabo la implantacin del SGSI.
La metodologa que acabamos de mencionar para medir y evaluar los resultados, debe estar en
contina evolucin. Precisamente esa es la base de cualquier Sistema de Gestin de Seguridad de la
Informacin. Por ello, para su implantacin utilizaremos el modelo PDCA, un modelo dividido en
cuatro fases en el que finalizada la ltima y analizados sus resultados se vuelve a comenzar de nuevo
la primera.
Las siglas PDCA corresponden en ingls a Plan, Do, Check, Act y han sido traducidas como
Planificacin, Ejecucin, Seguimiento y Mejora.
La contina evaluacin de nuestro Sistema de Gestin de Seguridad de la Informacin debe estar
documentada, para lo que utilizaremos los cuatro tipos distintos de documentacin que
representamos en esta estructura piramidal.
Implantacin de un SGSI en la empresa
En su cspide se encuentran las Polticas que sientan las bases de la seguridad. Indican las lneas
generales para conseguir los objetivos de la organizacin sin entrar en detalles tcnicos. Toda la
organizacin debe conocer estas Polticas.
En un segundo nivel se sitan los Procedimientos que desarrollan los objetivos marcados por las
Polticas. En ellos aparecen detalles ms tcnicos y se concreta cmo conseguir los objetivos
expuestos en las Polticas. Los Procedimientos deben ser conocidos por aquellas personas que lo
requieran para el desarrollo de sus funciones.
En el tercer escaln aparecen las Instrucciones que constituyen el desarrollo de los Procedimientos.
En ellos se describen los comandos tcnicos que se deben realizar para la ejecucin de los
Procedimientos.
En el ltimo escaln, se hayan los Registros que evidencian la efectiva implantacin del sistema y el
cumplimiento de los requisitos. Entre estos Registros se incluyen indicadores y mtricas de seguridad
que permitan evaluar la consecuencia de los objetivos de seguridad establecidos.
La primera fase del Modelo PDCA para la implantacin del sistema es la fase de Planificacin.
Durante esta fase se realiza un estudio de la situacin de la organizacin desde el punto de vista de la
seguridad, para estimar las medidas que se van a implantar en funcin de las necesidades detectadas.
No toda la informacin de la que disponemos tiene el mismo valor o est sometida a los mismos
riesgos. Por ello, es importante realizar un Anlisis de Riesgos que valore los activos de informacin y
vulnerabilidades a las que estn expuestas. As mismo, es necesaria una Gestin de dichos riesgos
para reducirlos en la medida de lo posible.
Con el resultado obtenido en el Anlisis y la Gestin de Riesgos estableceremos unos controles
adecuados que nos permitan minimizar los riesgos.
En la fase de Ejecucin del Modelo PDCA se lleva a cabo la implantacin de los controles de seguridad
seleccionados en la fase anterior. Estos controles se refieren a los controles ms tcnicos, as como a
la documentacin necesaria.
Esta fase tambin requiere un tiempo de concienciacin y formacin para dar a conocer qu se est
haciendo y por qu, al personal de la empresa.
La tercera fase de nuestro Modelo PDCA es la fase de Seguimiento. En ella se evala la eficacia y el
xito de los controles implantados. Por ello, es muy importante contar con registros e indicadores que
provengan de estos controles.
Implantacin de un SGSI en la empresa
El Modelo PDCA se completa con la fase de Mejora durante la que se llevarn a cabo las labores de
mantenimiento del sistema. Si durante la fase anterior de Seguimiento se ha detectado algn punto
dbil, este es el momento de mejorarlo o corregirlo.
Para ello se cuenta con tres tipos de medidas: medidas correctoras, medidas preventivas y medidas
de mejora.
Al finalizar las cuatros fases, se toman los resultados de la ltima y se comienza nuevamente la
primera.
Si el objetivo de la implantacin de este sistema era la certificacin, el ciclo completo tendr una
duracin de un ao, coincidiendo con las realizaciones de las auditorias de certificacin que se
realizan cada ao.
Implantacin de un SGSI en la empresa
CAPTULO 6 Definicin de las Polticas, Organizacin,
Alcance del Sistema de Gestin y Concienciacin.
La implantacin de un Sistema de Gestin de Seguridad de la Informacin comienza con su correcto
diseo. Para ello deberemos definir cuatro aspectos fundamentales. Primero, el alcance del sistema.
Segundo, la Poltica de Seguridad a seguir. Tercero, la organizacin de la seguridad. Y cuarto, los
programas de concienciacin y formacin del personal.
El primer paso, consiste en definir el alcance del sistema. Este debe determinar las partes o procesos
de la organizacin que van a ser incluidos dentro del mismo. En este momento, la empresa debe
determinar cules son los procesos crticos para su organizacin decidiendo qu es lo que quiere
proteger y por dnde debe empezar.
Dentro del alcance deben quedar definidas las actividades de la organizacin, las ubicaciones fsicas
que van a verse involucradas, la tecnologa de la organizacin y las reas que quedarn excluidas en la
implantacin del sistema.
Es importante que durante esta fase, se estimen los recursos econmicos y de personal que se van a
dedicar a implantar y mantener el sistema. De nada sirve que la organizacin realice un esfuerzo
importante durante la implantacin si despus no es capaz de mantenerlo.
Tras la definicin del alcance, el siguiente paso es establecer la Poltica de Seguridad. Su principal
objetivo es recoger las directrices que debe seguir la seguridad de la informacin de acuerdo a las
necesidades de la organizacin y a la legislacin vigente. Adems, debe establecer las pautas de
actuacin en el caso de incidentes y definir las responsabilidades.
El documento debe delimitar qu se tiene que proteger, de quin y por qu. Debe explicar qu es lo
que est permitido y qu no; determinar los lmites del comportamiento aceptable y cul es la
respuesta si estos se sobrepasan; e identificar los riesgos a los que est sometida la organizacin.
Para que la Poltica de Seguridad sea un documento de utilidad en la organizacin y cumpla con lo
establecido en la norma UNE-ISO/IEC 27001 debe cumplir con los siguientes requisitos.
Debe de ser redactada de una manera accesible para todo el personal de la organizacin. Por
lo tanto debe ser corta, precisa y de fcil comprensin.
Debe ser aprobada por la direccin y publicitada por la misma.
Debe ser de dominio pblico dentro de la organizacin, por lo que debe estar disponible para
su consulta siempre que sea necesario.
Debe ser la referencia para la resolucin de conflictos y otras cuestiones relativas a la
Implantacin de un SGSI en la empresa
seguridad de la organizacin.
Debe definir responsabilidades teniendo en cuenta que stas van asociadas a la autoridad
dentro de la compaa. En funcin de las responsabilidades se decidir quin est autorizado a
acceder a qu tipo de informacin.
Debe indicar que lo que se protege en la organizacin incluye tanto al personal como a la
informacin, as como su reputacin y continuidad.
Debe ser personalizada totalmente para cada organizacin.
Por ltimo, debe sealar las normas y reglas que va a adoptar la organizacin y las medidas de
seguridad que sern necesarias.
En lo que ser refiere al contenido, la Poltica de Seguridad debera incluir, al menos, los siguientes
cinco apartados.
Uno. Definicin de la seguridad de la informacin y sus objetivos globales, el alcance de la seguridad y
su importancia como mecanismo de control que permite compartir la informacin.
Dos. Declaracin por parte de la Direccin apoyando los objetivos y principios de la seguridad de la
informacin.
Tres. Breve explicacin de las polticas
Cuatro. Definicin de responsabilidades generales y especficas, en las que se incluirn los roles pero
nunca a personas concretas dentro de la organizacin.
Cinco. Referencias a documentacin que pueda sustentar la poltica.
La Poltica de Seguridad debe ser un documento completamente actualizado, por lo que debe ser
revisado y modificado anualmente. Adems, existen otros tres casos en los que es imprescindible su
revisin y actualizacin. El primero, despus de grandes incidentes de seguridad. El segundo, despus
de una auditora del sistema sin xito. Y el tercero, frente a cambios que afectan a la estructura de la
organizacin.
La organizacin de la seguridad es el tercer aspecto a desarrollar durante el diseo del Sistema de
Gestin de Seguridad de la Informacin. En este momento, se realiza la revisin de los aspectos
organizativos de la entidad y la asignacin de nuevas responsabilidades.
Entre estas nuevas responsabilidades hay tres que tienen gran importancia.
El responsable de seguridad, que es la persona que se va a encargar de coordinar todas las
actuaciones en materia de seguridad dentro de la empresa.
Implantacin de un SGSI en la empresa
El Comit de Direccin que estar formado por los directivos de la empresa y que tendr las mximas
responsabilidades y aprobar las decisiones de alto nivel relativas al sistema.
Y por ltimo, el Comit de Gestin, que controlar y gestionar las acciones de la implantacin del
sistema colaborando muy estrechamente con el responsable de seguridad de la entidad. Este comit
tendr potestad para asumir decisiones de seguridad y estar formado por personal de los diferentes
departamentos involucrados en la implantacin del sistema.
Al plantear la nueva organizacin de la seguridad hay que tener en cuenta la relacin que se mantiene
con terceras partes que pueden acceder a la informacin en algn momento, identificando posibles
riesgos y tomando medidas al respecto. Por poner un ejemplo en el caso de los equipos de limpieza
en una oficina, que suelen tener acceso a todos los despachos, se les podra requerir la firma de
acuerdos de confidencialidad.
La ltima fase en el diseo del Sistema de Gestin de Seguridad de la Informacin consiste en la
concienciacin y formacin del personal con el fin de crear en la empresa una cultura de seguridad.
La concienciacin y la divulgacin consiguen que el personal conozca qu actuaciones se estn
llevando a cabo y por qu se estn realizando. Con ello se concede transparencia al proceso y se
involucra al personal.
Por su parte, la formacin logra que el personal desarrolle las nuevas actividades de acuerdo a la
normativa y a los trminos establecidos.
Implantacin de un SGSI en la empresa
CAPTULO 7 Los activos de la Seguridad de la Informacin.
Las organizaciones poseen informacin que deben proteger frente a riesgos y amenazas para asegurar
el correcto funcionamiento de su negocio. Este tipo de informacin imprescindible para las empresas
es lo que se ha denominado activo de Seguridad de la Informacin. Su proteccin es el objetivo de
todo Sistema de Gestin de Seguridad de la Informacin.
Los activos pueden dividirse en diferentes grupos segn su naturaleza. Si seguimos la metodologa de
Magerit para agrupar activos, la utilizada en la Administracin, estos son los tipos que encontramos.
En el primer tipo estn los servicios, es decir, los procesos de negocio de la organizacin que ofrece la
organizacin al exterior o que ofrece con carcter interno, como es el caso de la gestin de nminas.
En el segundo grupo se encuentran los datos e informacin que se manipula dentro de la
organizacin. Suelen ser el ncleo del sistema, mientras que el resto de activos suelen darle soporte
de almacenamiento, manipulacin, etctera.
El tercer tipo est formado por las aplicaciones de software.
En el cuarto grupo estn los equipos informticos.
El quinto grupo lo forma el personal. Este es el activo principal. Incluye personal interno,
subcontratado, de los clientes, etctera.
En el sexto lugar estn las redes de comunicaciones que dan soporte a la organizacin para el
movimiento de la informacin. Pueden ser redes propias o subcontratadas a terceros.
El grupo sptimo lo configuran los soportes de informacin. Los soportes fsicos que permiten el
almacenamiento de la informacin durante un largo perodo de tiempo.
En el octavo grupo est el equipamiento auxiliar que da soporte a los sistemas de informacin y que
son activos que no se han incluido en ninguno de los otros grupos. Por ejemplo, los equipos de
destruccin de documentacin o los equipos de climatizacin.
Implantacin de un SGSI en la empresa
Y el ltimo lugar se refiere a las instalaciones donde se alojan los sistemas de informacin, como
oficinas, edificios o vehculos.
Junto a estos activos, hay que tener en cuenta aquellos intangibles como la imagen y la reputacin de
una empresa.
Para proteger los activos de informacin es necesario conocerlos e identificar cules son dentro de la
organizacin. Para ello elaboraremos un inventario que los identifique y clasifique. Cada activo del
inventario debe incluir, al menos, su descripcin, localizacin y propietario.
El propietario del activo debe ser quien defina el grado de seguridad que requiere su activo.
El propietario no tiene, necesariamente, que ser quien va a gestionar el activo o ser su usuario. Por
ejemplo, una base de datos de clientes puede pertenecer al Director Comercial de una empresa, su
gestin puede estar encargada al rea de sistemas y sus usuarios pueden ser los comerciales.
Una vez identificados todos los activos hay que realizar un anlisis de las dependencias existentes
entre ellos. Para establecer esas dependencias se pueden hacer preguntas del tipo quin depende
de quin? o si hay un fallo en el activo X qu otros activos se van a ver perjudicados o involucrados?
El resultado de dicho anlisis ser un rbol de dependencias de activos en el que se podr ver la
relacin existente entre todos los activos de una organizacin desde los de ms alto nivel hasta llegar
a los de nivel ms bajo.
No todos los activos tienen la misma importancia para la organizacin, ni generan los mismos
problemas sin son atacados. Por ello es necesario realizar una valoracin de los activos en funcin de
la relevancia que tengan para el negocio y del impacto que una incidencia sobre el mismo pueda
causar a la entidad.
Podemos realizar una valoracin cuantitativa, en la que se estima el valor econmico del activo, o
cualitativa.
La valoracin cualitativa se establece de acuerdo a una escala, por ejemplo del 0 al 10 o con valores
del tipo: bajo, medio y alto. En este tipo de valoracin es muy importante que exista un criterio
homogneo de valoracin que permita comparar entre activos. El criterio que se suele utilizar est
basado en las caractersticas principales de la informacin: integridad, confidencialidad y
disponibilidad.
Implantacin de un SGSI en la empresa
Por ejemplo, si consideramos una base de datos de clientes como un activo de la organizacin, su
valoracin tiene que hacerse de acuerdo a estos tres parmetros principales. Para eso se debe
responder a preguntas como qu impacto tendra para el negocio que alguien tuviese acceso a la
base de datos de clientes y modificase los datos de los mismos?
Aunque existen multitud de formas de valoracin de los activos, la entrevista y la encuesta son los
ms utilizados. En ambos casos, se debe seleccionar un grupo significativo de personas entre el
personal de la empresa. Estas personas deben representar a todas las reas del alcance del Sistema
de Gestin de la Seguridad de la Informacin, as como tener roles diferentes.
Implantacin de un SGSI en la empresa
CAPTULO 8 Anlisis y Valoracin de los Riesgos.
Metodologas.
Antes de entrar de lleno en el anlisis y valoracin de los riesgos a los que deben hacer frente nuestros
negocios, es importante entender algunos conceptos bsicos tales como, riesgos, amenazas y
vulnerabilidades, que nos van a facilitar el llevar a cabo un anlisis y valoracin adecuados.
La primera definicin, como no puede ser de otra forma, se refiere a los riesgos. Se considera riesgo la
estimacin del grado de exposicin de un activo, a que una amenaza se materialice sobre l causando
daos a la organizacin. El riesgo indica lo que le podra pasar a los activos si no se protegen
adecuadamente.
Las amenazas son los eventos que pueden desencadenar un incidente, produciendo daos materiales
o inmateriales en los activos.
Las vulnerabilidades son las debilidades que tienen los activos o grupos de activos que pueden ser
aprovechadas por una amenaza.
El impacto es la consecuencia de la materializacin de una amenaza sobre un activo.
El riesgo intrnseco es la posibilidad de que se produzca un impacto determinado en un activo
o en un grupo de activos.
Las salvaguardas son las prcticas, procedimientos o mecanismos que reducen el riesgo. Estas
pueden actuar disminuyendo el impacto o la probabilidad.
Por ltimo, tenemos la definicin de riesgo residual que es el riesgo que queda tras la
aplicacin de salvaguardas. Por muy bien que protejamos nuestros activos, es imposible
eliminar el riesgo al 100% por lo que siempre quedar un riesgo residual en el sistema que la
organizacin deber asumir y vigilar.
Conocer todos estos trminos facilita la comprensin del tema que nos ocupa, el anlisis de riesgos.
Podramos decir que este proceso consiste en identificar los riesgos de seguridad en nuestra empresa,
determinar su magnitud e identificar las reas que requieren implantar salvaguardas.
Gracias al anlisis de riesgos conoceremos el impacto econmico de un fallo de seguridad y la
probabilidad realista de que ocurra ese fallo.
Implantacin de un SGSI en la empresa
El anlisis de riesgos tiene que cubrir las necesidades de seguridad de la organizacin teniendo
siempre en cuenta los recursos econmicos y humanos con los que sta cuenta. La inversin en
seguridad tiene que ser proporcional al riesgo.
Por ejemplo, imaginemos que una empresa tiene un servidor que contiene informacin definida como
de valor bajo. Para acceder al despacho en el que se encuentra el servidor hay que acceder a travs de
un lector de retina, posteriormente para acceder al servidor hay que utilizar un lector de huella digital.
Resulta evidente que las medidas adoptadas por la empresa son desproporcionadas teniendo en
cuenta el valor de la informacin que contiene.
El anlisis de riesgos aporta objetividad a los criterios en los que se apoya la seguridad ya que se
centra en proteger los activos ms crticos y permite a la organizacin gestionar los riesgos por s
misma. Adems, apoya la toma de decisiones basndose en los riesgos propios.
Para evitar la subjetividad durante la realizacin del anlisis es bueno contar con la colaboracin de
diversas reas de la organizacin y no nicamente con el rea propietaria del activo, ya que se evitar
en gran medida la subjetividad que pueda tener el responsable de dicho activo.
Los anlisis de riesgos deben utilizar unos criterios definidos claramente que se puedan reproducir en
ocasiones sucesivas. De esta manera se puede ir comparando el nivel de riesgo en una organizacin a
medida que se va mejorando el Sistema de Gestin de Seguridad de la Informacin.
El anlisis de riesgos se basa en el inventario de activos que hemos realizado con anterioridad. Si
nuestro inventario es muy extenso podemos decidir realizar el anlisis de riesgos slo de los activos
ms crticos.
A continuacin, se identificarn las amenazas que pueden afectar a estos activos. Se realiza una
valoracin en funcin del impacto que la amenaza puede causarle en el caso de que se materialice.
Seguidamente, analizaremos las vulnerabilidades de los activos identificados y se realizar una
valoracin de las mismas. Si un activo est expuesto a una amenaza pero no tiene una vulnerabilidad
que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad.
Una vez analizados los activos, las amenazas y las vulnerabilidades que pueden afectar a nuestros
activos, se debe realizar un anlisis de las salvaguardas o medidas de seguridad ya implantadas en la
Implantacin de un SGSI en la empresa
organizacin.
Con todos estos datos podremos realizar el estudio del riesgo y el impacto de todas estas variables
sobre los diferentes activos. Esto nos permitir obtener los resultados del anlisis de riesgos que
definen a qu nivel de riesgo est expuesta la organizacin y tomar medidas al respecto.
El proceso del Anlisis de Riesgos debe estar perfectamente documentado para poder justificar las
acciones que se van a desarrollar y conseguir el nivel de seguridad que la organizacin quiere alcanzar.
Existen multitud de metodologas que nos pueden facilitar la realizacin de un anlisis de riesgos.
Estas metodologas nos indican los pasos a seguir para su correcta ejecucin, ya que, como hemos
visto, suelen ser muy complejos y tienen multitud de variables.
Utilizar una herramienta para llevar a cabo el anlisis de riesgos facilita su elaboracin y permite
realizar las labores de manera ms sistemtica. Esto facilita que la informacin resultante sea
reutilizable y comparable con resultados de sucesivos anlisis.
Algunas de estas metodologas son: Magerit, la metodologa detallada en la norma ISO/IEC 27005,
OCTAVE, NIST SP 800 -30, etctera.
Implantacin de un SGSI en la empresa
CAPTULO 9 Gestin y Tratamiento de los Riesgos.
Seleccin de los Controles.
Tras haber determinado los riesgos existentes en nuestra organizacin debemos tomar las medidas
adecuadas para hacer frente a los mismos. La gestin de riesgos es el proceso por el cual se controlan,
minimizan o eliminan los riesgos que afecten a los activos de informacin de la organizacin.
Disponemos de varias opciones para afrontar estos riesgos:
En primer lugar, podemos eliminar el riesgo. Esto se consigue eliminando los activos a los que este
riesgo est asociado. Se trata de una eleccin generalmente costosa y drstica por lo que suelen
buscarse medidas alternativas.
La segunda opcin consiste en transferir el riesgo. Para ello se valorar la subcontratacin del servicio
externamente o la contratacin de un seguro que cubra los gastos en el caso de que ocurra una
incidencia.
Hay casos en los que el valor del activo y el tipo de riesgo asociado al mismo, no hacen viable la
subcontratacin, como puede ser el caso de un activo altamente confidencial.
Cuando se piense en la contratacin de un seguro, hay que asegurarse de que el valor del activo es
superior al del propio seguro.
La tercera alternativa para hacer frente a un riesgo es asumirlo. Ello implica que no se van a tomar
medidas de proteccin contra ese riesgo. La decisin ha de ser tomada y firmada por la direccin de la
empresa y slo es viable en el caso de que la organizacin controle el riesgo y vigile que no aumenta.
La ltima opcin es mitigar el riesgo. Para ello la empresa debe implantar una serie de medidas que
acten de salvaguarda para los activos. Todas las medidas implantadas han de ser documentadas y
gestionadas por la organizacin.
Una vez decididas las medidas que se aplicarn a los riesgos identificados, se realizar un nuevo
anlisis. El anlisis resultante expondr el Riesgo Residual de la organizacin. Es decir, el nivel de riesgo
aceptable por la organizacin bajo el cual estarn todos los riesgos de la organizacin.
Implantacin de un SGSI en la empresa
La norma ISO/IEC 27002 es una gua de buenas prcticas que ofrece una exhaustiva gua sobre los
controles a implantar en nuestra organizacin y que debemos seguir si queremos certificar el Sistema
de Gestin de Seguridad de la Informacin de nuestra organizacin con la norma UNE-ISO/IEC 27001.
La norma ISO/IEC 27002 contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Los dominios son reas funcionales de seguridad. Por ejemplo, el dominio nmero 2 se refiere a los
aspectos organizativos de la seguridad de la informacin.
Para cada uno de estos dominios se definen una serie de objetivos que reflejan lo que se intenta
conseguir a travs de la implantacin de cada uno de los dominios. En el dominio que hemos puesto
como ejemplo anteriormente, existen dos objetivos. El primero est relacionado con la organizacin
interna y dice cmo gestionar la seguridad dentro de la organizacin. El segundo est relacionado con
la organizacin de terceros e indica cmo gestionar la seguridad de la organizacin y dispositivos
manejados por terceros.
Los 133 controles correspondientes a los 39 objetivos son un conjunto de acciones, documentos,
procedimientos y medidas tcnicas a adoptar para el cumplimiento de los diversos objetivos.
Siguiendo con el caso anterior, del objetivo de la organizacin interna se desprenden varios controles
entre los que se encuentra la firma de acuerdos de confidencialidad.
Los controles son medidas de seguridad orientadas a mitigar los riesgos encontrados en el anlisis de
riesgos de manera que se encuentren por debajo del riesgo asumido por la organizacin.
Existen dos tipos de controles que se complementan: tcnicos y organizativos.
Entre los controles tcnicos se pueden encontrar, por ejemplo, la implantacin de un antivirus o un
cortafuegos. Estos controles tienen que quedar perfectamente documentados a travs de
procedimientos.
Los controles organizativos, por su parte, pueden quedar documentados a travs de procedimientos,
normativas o polticas de seguridad.
Los controles seleccionados por la organizacin sern recogidos en un documento llamado SOA, segn
las siglas en ingls de Statement of Applicability, y traducido como Declaracin de Aplicabilidad.
Implantacin de un SGSI en la empresa
El SOA recoge qu controles aplican en la organizacin y cules no.
Para aquellos controles que s aplican se deben incluir los objetivos del control, la descripcin, la razn
para su seleccin/aplicacin y la referencia al documento en el que se desarrolla su implantacin.
Para aquellos controles no seleccionados, porque se considera que no aplican, se debe indicar la razn
de su exclusin de manera detallada. Este punto es muy importante, ya que en la fase de certificacin
del sistema ser uno de los documentos a revisar por los auditores. El documento debe mostrar que
los controles no elegidos no se han escogido al azar o sin una razn de peso.
En el momento de seleccionar un control debemos tener en consideracin las siguientes cuestiones:
El coste del control frente al coste del impacto que supondra que el activo a proteger
sufriera un incidente y el valor de dicho activo.
La necesidad de disponibilidad del control.
Qu controles ya existen.
Qu supondra su implantacin y mantenimiento, tanto en recursos econmicos como en
humanos.
Tras decidir qu controles son vlidos para la organizacin se proceder a su implantacin. Esta fase es
una de las que requiere ms tiempo y recursos de toda la empresa.
Para la implantacin de los controles y las salvaguardas ms tcnicas se necesitar la colaboracin de
aquel personal que realiza estas labores tcnicas. Mientras que para los controles organizativos ser la
direccin quien tenga que tomar decisiones, adems de formar y concienciar a toda la entidad.
No es necesario el desarrollo de un procedimiento o documento por cada uno de los controles
escogidos, sino que es ms aconsejable agrupar diferentes controles para hacer ms utilizable el
sistema. Hemos de recordar que la solucin ms sencilla suele ser la ms eficaz ya que es ms fcil de
implantar y de mantener.
Los controles implantados debern ser revisados con regularidad para ver que su funcionamiento es el
esperado. Est verificacin tiene que ser realizada por el propietario del activo peridicamente en
funcin de la criticidad y el valor del mismo.
Implantacin de un SGSI en la empresa
A la vez, se han de establecer otro tipo de verificaciones por parte de la empresa a travs de auditoras
internas o externas.
Para verificar el correcto funcionamiento de un control implantado es muy importante haber
establecido previamente una serie de objetivos e indicadores que nos permitan la medicin de dicho
funcionamiento.
Implantacin de un SGSI en la empresa
CAPTULO 10 Seguimiento, Monitorizacin y Registro de
las Operaciones del Sistema.
El Sistema de Gestin de Seguridad de la Informacin debe ser revisado peridicamente para asegurar
que se cumplan los objetivos marcados por la organizacin.
Para realizar este seguimiento es necesario establecer una serie de indicadores que nos permitan
determinar el estado del sistema. El anlisis de indicadores requiere que cada uno de los controles
implantados est asociado a una serie de registros que recopilen la informacin necesaria para el
estudio del control.
Por ejemplo. Disponemos de un indicador cuyo objetivo es que el nmero de incidencias graves de
seguridad no sea superior a una al ao. Para poder medir el nmero de incidentes de este tipo, se crea
un registro en el que se recojan las incidencias en el sistema y su nivel de gravedad. La revisin de
estos registros permite observar si el sistema est funcionando tal y como se determin en los
objetivos.
El sistema contiene multitud de entradas y salidas que deben ser revisadas, alguna de ellas por la
direccin. En concreto la direccin de la organizacin debe revisar los siguientes documentos:
El informe de las auditoras internas que recoge el estado del sistema y de las incidencias
detectadas.
Los informes que el comit de gestin dirige al comit de direccin. Estos documentos son una
fuente muy valiosa para el seguimiento del proyecto, ya que reflejan el estado del sistema y los
puntos que requieren la supervisin de la direccin.
El informe sobre las acciones realizadas por parte de los diferentes actores involucrados en el
sistema.
El resumen sobre el estado de las incidencias reportadas y la solucin a las mismas.
La revisin de los objetivos propuestos en cada una de las fases as como el grado de
cumplimiento de los mismos.
Y el resumen sobre los cambios sufridos en la organizacin.
Tras la revisin del Sistema de Gestin de Seguridad de la Informacin por parte de la direccin, se
debern ejecutar una serie de acciones dentro de la organizacin:
Implantacin de un SGSI en la empresa
En primer lugar, hay que decidir si es necesario realizar mejoras dentro del sistema, cules se
van a llevar a cabo y su repercusin econmica y laboral dentro de la organizacin.
En segundo lugar, se tendr que actualizar la evaluacin y la gestin de riesgos. En el caso de
que se hayan observado cambios significativos en la organizacin, es necesario realizar un
nuevo Anlisis de Riesgos y un plan de tratamiento de los mismos.
Por ltimo, hay que realizar una actualizacin de los procedimientos y controles si estos han
dejado de ser tiles o estn obsoletos.
Adems de la revisin del sistema que realiza la direccin, es necesario llevar a cabo una revisin
anual denominada auditora interna. Esta auditora puede ser realizada por personal de la propia
entidad.
Durante las auditoras internas se realiza un listado de todos los controles a revisar y todos los
aspectos del sistema que necesitan ser analizados. Con este listado el auditor realizar una revisin del
sistema e indicar aquellos aspectos de mejora que se han detectado, as como la prioridad o
gravedad de cada uno de ellos.
El auditor del sistema no debe haber participado en la implantacin del mismo. Suele ser habitual que
dentro de una empresa, unos departamentos auditen a otros como medida para mantener la
objetividad y la independencia entre la implantacin y la auditora.
Debe realizarse una revisin completa del sistema una vez al ao. Para ello se pueden planificar varias
auditoras internas durante el ao e ir revisando el sistema por partes. De este modo, slo una parte
de la organizacin estar pendiente de la auditora, mientras que el resto puede continuar con su
trabajo diario sin ninguna alteracin.
Al finalizar la auditoria interna es necesario llevar a cabo dos tipos de acciones, unas para subsanar las
incidencias encontradas y otras para mejorar el sistema. Estas acciones se realizan dentro de la ltima
fase del modelo PDCA, vista con anterioridad, la Fase de Mejora.
Las acciones correctivas resuelven un problema observado durante las auditoras. Estas acciones
pueden ir desde la actualizacin de un documento hasta el cambio de una infraestructura de red o de
un responsable de un activo. Las acciones correctivas deben ser realizadas tan pronto como sean
detectadas las incidencias.
Implantacin de un SGSI en la empresa
Por su parte, las acciones preventivas no estn asociadas a ningn problema encontrado en la
auditora aunque pueden responder a algn comentario realizado por el auditor sobre una posible
mejora o alguna resolucin tomada por la direccin de la empresa para mejorar el sistema.
Las acciones preventivas se deben implantar poco a poco para conseguir que el sistema sea cada vez
ms robusto. El sistema debe ir mejorando en cada ciclo PDCA.
El Sistema de Gestin de Seguridad de la Informacin contiene gran cantidad de controles e
indicadores. Para facilitar la visin general de todos estos indicadores podemos utilizar un Cuadro de
Mandos. Esta herramienta, adems, ofrece una visin del estado de seguridad de la compaa y la
definicin de umbrales de alerta para los indicadores.
Implantacin de un SGSI en la empresa
CAPTULO 11 Gestin de la Continuidad del Negocio.
El negocio de una empresa depende de la informacin y los sistemas que la soportan. Por ello, hay
que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra informacin.
Cuando una organizacin implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es reducir
sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener presente que existen
situaciones que son imposibles de evitar, ya que no es posible proteger al 100% los activos de
informacin, por eso las empresas tienen que planificarse con el fin de evitar que las actividades de su
entidad queden interrumpidas.
Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en materia de
seguridad de la informacin.
Las fallas elctricas causan el 90% de los incendios. Los problemas ms comunes por los que se
produce este tipo de siniestros son: la utilizacin de materiales no adecuados, un clculo
errneo del sistema o contratar electricistas sin formacin tcnica.
El 43% de las empresas estadounidenses que sufren un desastre, sin contar con un Plan de
Continuidad del Negocio, no se recuperan. El 51% sobrevive pero tarda un promedio de dos
aos en reinsertarse en el mercado y solo el 6% mantiene su negocio a largo plazo.
El 30% de las copias de seguridad y el 50% de las restauraciones fallan, segn un informe de
Enterprise Strategy Group. Durante este estudio muchos departamentos de Tecnologa de la
Informacin reconocan no estar seguros de ser capaces de recuperar los datos crticos del
negocio y si podran hacerlo en un tiempo razonable.
Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del Negocio. Este
plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectan
de forma crtica.
No importa el tamao de la empresa o el coste de las medidas de seguridad implantadas, toda
organizacin necesita un Plan de Continuidad del Negocio, ya que tarde o temprano se encontrar con
una incidencia de seguridad.
En lneas generales podemos decir, que estos planes tienen como objetivo impedir que la actividad de
la empresa se interrumpa y, si no puede evitarse, que el tiempo de inactividad sea el mnimo posible.
Implantacin de un SGSI en la empresa
Pero adems, tienen que intentar lo siguiente:
Mantener el nivel de servicio en los lmites definidos por la compaa y que han sido asumidos
por la misma.
Establecer un periodo de recuperacin mnimo para garantizar la continuidad del negocio.
Algunas compaas pueden parar su actividad, debido a una incidencia, durante una semana
pero otras no pueden superar unas horas.
Recuperar la situacin inicial de los servicios y procesos. La recuperacin no tiene que ser
inmediata y toda al mismo tiempo, ya que puede que existan procesos ms crticos que
necesiten recuperarse antes.
Analizar el resultado de la aplicacin del plan y los motivos del fallo para optimizar las acciones
a futuro. Es decir, aprender de las incidencias para mejorar en la respuesta.
Cuando desarrollemos nuestro Plan de Continuidad del Negocio tenemos que tener en cuenta que
debe contener los siguientes apartados:
Establecimiento y definicin de las situaciones crticas. Para ello se han de identificar, entre los
riesgos analizados, aquellos que no podrn ser evitados a travs de las diversas medidas
implantadas.
Establecimiento de un Comit de Emergencia que ser el encargado de gestionar la situacin
de crisis ante una incidencia. Es el responsable de organizar al resto del personal y de que la
empresa pueda recuperarse de un incidente.
Definicin de las diversas situaciones posibles, elaborando procedimientos para cada una de
las incidencias que se podran dar en una organizacin. Estos procedimientos recogern:
En primer lugar, la situacin que provocar una incidencia determinada. Al producirse esta
situacin se deben comenzar las acciones para evitar que el dao vaya a ms y para
comenzar la recuperacin.
En segundo lugar, todas las acciones y las secuencias que deben llevarse a cabo ante un
incidente de seguridad. Las prisas y las situaciones de estrs, provocadas por este tipo de
incidencias, pueden hacer que no se lleven a cabo las acciones como se deberan. Por ello,
es importante tener por escrito todo el procedimiento detallado y ste, debe ser conocido
por las personas implicadas.
Y por ltimo, contener los registros que es necesario recoger durante la incidencia para su
posterior anlisis y realizacin de acciones de mejora.
El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser as, puede ser
Implantacin de un SGSI en la empresa
que en el momento de producirse el incidente el plan falle y no nos sirva para salir de la situacin sino
que la empeore.
As mismo, el plan debe ser conocido por todo el personal involucrado directa e indirectamente. El
grado de conocimiento del plan por parte de los diferentes actores depender de su involucracin
dentro del mismo.
Para desarrollar un Plan de Continuidad del Negocio es necesario seguir cuidadosamente las siguientes
fases:
Primera fase. Definicin del proyecto, donde es necesario establecer los objetivos, el alcance y
el peor de los escenarios.
Segunda fase. Anlisis de impacto en el negocio, conocido por sus siglas en ingls BIA (Business
Impact Analysis). Debemos realizar un anlisis de riesgos, evaluar el impacto del incidente
tanto econmico como de cualquier otro tipo, identificar los procesos y activos crticos, asignar
el tiempo objetivo de recuperacin y evaluar las coberturas de los seguros y contratos.
Tercera fase. Seleccin de estrategias. Aqu hay que identificar los recursos disponibles, evaluar
las salvaguardas y estimar si conviene ms aportar una solucin a nivel interno o a nivel
externo.
Con toda la informacin hay que valorar las ventajas y desventajas de cada una de las
estrategias posibles y escoger la ms conveniente para la organizacin.
Cuarta fase. Desarrollo de planes en los que tenemos que implementar diferentes
procedimientos para afrontar las diversas incidencias.
Quinta fase. Pruebas y mantenimiento del plan de continuidad.
Es imprescindible probar el plan para garantizar que cuando haya que usarlo todo funcione como
est previsto.
El plan debe ser probado peridicamente para identificar y corregir posibles deficiencias e incluir
actualizaciones del sistema. Estas pruebas deben incluir, al menos, la restauracin de las copias de
seguridad, la coordinacin del personal y departamentos involucrados, la verificacin de la
conectividad de los datos y del rendimiento de los sistemas alternativos, y la verificacin del
procedimiento para la notificacin de las incidencias y la vuelta a la situacin inicial de normalidad.
Implantacin de un SGSI en la empresa
CAPTULO 12 Proceso de Certificacin.
Al finalizar la implantacin del Sistema de Gestin de Seguridad de la Informacin tenemos la opcin
de certificarlo, es decir, obtener un documento a travs de un tercero de confianza que verifica su
correcta implantacin.
Con ello certificamos la gestin del sistema pero no las medidas implantadas o la seguridad de la
empresa. Lo que certifica es que la empresa gestiona adecuadamente la seguridad.
Las empresas certifican sus sistemas, entre otras razones, para mejorar su imagen, porque sus clientes
lo demanda o porque creen que es bueno para su gestin interna.
Para poder certificarlo, nuestro Sistema de Gestin de Seguridad de la informacin tiene que estar
basado en la norma UNE-ISO/IEC 27001. Adems, debe estar implantado y funcionando y tienen que
existir evidencias que lo demuestren. As mismo, tiene que contar con recursos econmicos y personal
de la empresa para atender a las demandas de la entidad de certificacin.
En el momento de contratar a una entidad de certificacin, debemos asegurarnos de que cuenta con
auditores cualificados para verificar la correcta implantacin del sistema segn la norma UNE-ISO/IEC
27001.
Adems, deberemos comprobar que posee la adecuada acreditacin que la reconoce como una
entidad competente para la realizacin de esa actividad. La entidad de certificacin debe estar
acreditada para la norma en la que se desea realizar la certificacin, asegurando as que cumple con
los requisitos para realizar correctamente su trabajo.
La entidad de acreditacin espaola es ENAC, aunque existen numerosas entidades de acreditacin en
todo el mundo. Las empresas certificadoras podran estar acreditadas por una entidad que no fuese la
espaola. En este caso sera necesario que la entidad de acreditacin validase las actividades tambin
en el territorio espaol, indicndolo especficamente en sus credenciales.
El proceso de certificacin puede variar ligeramente dependiendo de la entidad de certificacin que
lleve a cabo el proceso, sin embargo hay una serie de etapas comunes para todas ellas:
Comenzaremos gestionando la solicitud de certificacin: La empresa debe solicitar una oferta a
la entidad de certificacin en la que se especificarn una serie de datos sobre la organizacin y
Implantacin de un SGSI en la empresa
la implantacin del SGSI, tales como el alcance, el nmero de empleados y los centros de
trabajo dentro del alcance, etctera. Con ello se calcula el precio y el nmero de das de
duracin de la auditora as como el nmero de auditores que la llevarn a cabo.
A continuacin tiene lugar la auditora documental, que es la primera fase de la auditora: En
ella se revisa la documentacin generada durante la implantacin del sistema y que incluir, al
menos, la poltica de seguridad, el alcance de la certificacin, el anlisis de riesgos, la seleccin
de los controles de acuerdo con la declaracin de aplicabilidad (SOA) y la revisin de la
documentacin de los controles seleccionados por la entidad de certificacin.
La segunda fase de la auditora es la auditora in-situ: Tiene lugar en la empresa, a la que se
desplazan los auditores para verificar la documentacin revisada en la fase anterior as como
los registros del sistema. Durante esta fase los auditores confirman que la organizacin cumple
con sus polticas y procedimientos, comprueban que el sistema desarrollado est conforme con
las especificaciones de la norma y verifican que est logrando los objetivos que la organizacin
se ha marcado.
Despus de cada una de las fases de la auditora la entidad de certificacin emite un informe en el que
se indican los resultados de la misma. En estos informes pueden aparecer los siguientes resultados:
Uno. Todo correcto.
Dos. Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser
tenidas en cuenta en la siguiente fase de la auditora, bien para ser revisadas in-situ o bien para
ser mejoradas en el siguiente ciclo de mejora.
Tres. No conformidades menores. Estas son incidencias encontradas en la implantacin
subsanables mediante la presentacin de un Plan de Acciones Correctivas en el que se
identifica la incidencia y la manera de solucionarla.
Cuatro. No conformidades mayores que deben ser subsanadas por la empresa. Sin su
resolucin y, en la mayor parte de los casos, la realizacin de una auditora extraordinaria por
parte de la entidad de certificacin, no se obtendra el certificado ya que se trata de
incumplimientos graves de la norma
En caso de darse tras la auditora documental es necesario su resolucin antes de llevar a cabo
la auditora in-situ.
Una vez conseguido el certificado del sistema, ste tiene una validez de tres aos, aunque est sujeto
a revisiones anuales.
Durante el primer ao se realiza la auditora inicial. Posteriormente cada tres aos se realiza una
Implantacin de un SGSI en la empresa
auditora de renovacin. En los dos aos posteriores tanto a la auditora inicial como a las de
renovacin se realizarn auditoras de seguimiento.
También podría gustarte
- Tema 5 Ingind2Documento21 páginasTema 5 Ingind2Laura CeciliaAún no hay calificaciones
- Corba Java EJEMPLODocumento7 páginasCorba Java EJEMPLOMiguel Sánchez0% (1)
- Presentación ISO 27001Documento12 páginasPresentación ISO 27001Fabiola EspinozaAún no hay calificaciones
- PRESENTACION SgsiDocumento24 páginasPRESENTACION Sgsiwosh20Aún no hay calificaciones
- Resume NDocumento14 páginasResume NDiego Felipe Pulido SastoqueAún no hay calificaciones
- Escenarios Problemas Propuestos Fases 2, 3 y 4 PDFDocumento6 páginasEscenarios Problemas Propuestos Fases 2, 3 y 4 PDFcarlos andres ubaque mahechaAún no hay calificaciones
- Contenido S3 Clase 1-Resultante de FuerzasDocumento10 páginasContenido S3 Clase 1-Resultante de FuerzasJonaThan GuamanAún no hay calificaciones
- BDOODocumento50 páginasBDOOClaudiaAún no hay calificaciones
- Cursores en MySQLDocumento6 páginasCursores en MySQLSpinals JoAún no hay calificaciones
- Ejercicios de Repaso SQLDocumento4 páginasEjercicios de Repaso SQLChayi RojoAún no hay calificaciones
- 05 - Seguridad en La Red en GNU-LinuxDocumento64 páginas05 - Seguridad en La Red en GNU-LinuxAneudy Hernandez PeñaAún no hay calificaciones
- CorbaDocumento17 páginasCorbaAmagno CardenasAún no hay calificaciones
- Corba Vs Web Services - v2Documento19 páginasCorba Vs Web Services - v2Eduardo CastilloAún no hay calificaciones
- Iso 27002Documento22 páginasIso 27002Mario Edson Pimentel RomeroAún no hay calificaciones
- Caso de Estudio Iso 27001fDocumento2 páginasCaso de Estudio Iso 27001fFreddy Beltrán Orihuela CondoriAún no hay calificaciones
- 5.2 y 6.2 Politica y Objetivos de Seguridad de La InformaciónDocumento6 páginas5.2 y 6.2 Politica y Objetivos de Seguridad de La InformaciónlararubioAún no hay calificaciones
- MysqlDocumento21 páginasMysqlRobert ChasseAún no hay calificaciones
- Configurar MikrokitDocumento8 páginasConfigurar MikrokitFrancisco Castillo SanchezAún no hay calificaciones
- Iso 27001 SgsiDocumento54 páginasIso 27001 SgsiChristian PardoAún no hay calificaciones
- Anexo No 4 Manual SGSI Actualizado 2020Documento42 páginasAnexo No 4 Manual SGSI Actualizado 2020ALEJANDRO ACOSTA100% (1)
- Introduccion A Cobit 5Documento59 páginasIntroduccion A Cobit 5SunSysAún no hay calificaciones
- ISO 27001 y 27002 para La Gestion de Seguridad de La InformacionDocumento6 páginasISO 27001 y 27002 para La Gestion de Seguridad de La InformacionGabrielGonzalesAún no hay calificaciones
- Redes ConmutadasDocumento12 páginasRedes Conmutadast8303460Aún no hay calificaciones
- Estandares SGSIDocumento21 páginasEstandares SGSILUISAún no hay calificaciones
- Caso I - Caso de Seguridad de La Información y Gestión de RiesgosDocumento6 páginasCaso I - Caso de Seguridad de La Información y Gestión de RiesgosAroldo LemusAún no hay calificaciones
- Seguridad en Las Redes Sociales 3Documento59 páginasSeguridad en Las Redes Sociales 3Liliana HernándezAún no hay calificaciones
- Migracion A La Nube Descargable ESDocumento44 páginasMigracion A La Nube Descargable ESWilliam Ramirez MontoroAún no hay calificaciones
- Seguridad de Los Activos de La Información Iso 27000 PDFDocumento7 páginasSeguridad de Los Activos de La Información Iso 27000 PDFJosé Alfredo Jiménez GutiérrezAún no hay calificaciones
- 2.01 - Seguridad Fisica y LogicaDocumento122 páginas2.01 - Seguridad Fisica y LogicadepositoAún no hay calificaciones
- Base de Datos Libro 1 - STC (CorregidoCarmen) PDFDocumento248 páginasBase de Datos Libro 1 - STC (CorregidoCarmen) PDFManuel Ledezma100% (1)
- Migración A La CludDocumento33 páginasMigración A La CludSady Ysais Livia ClementeAún no hay calificaciones
- Revista PGI 8 2021Documento230 páginasRevista PGI 8 2021monicaAún no hay calificaciones
- Seguridad de La InformacionDocumento18 páginasSeguridad de La InformacionGuillermo Paz0% (1)
- Curso de Power BIDocumento3 páginasCurso de Power BIRoberto Alonso Medina FryAún no hay calificaciones
- SGSIDocumento12 páginasSGSILety Palco ValenciaAún no hay calificaciones
- MysqlDocumento17 páginasMysqlMarcos HerediaAún no hay calificaciones
- TALLER SISTEMA DE GESTION ISO 27001.docxGR01Documento2 páginasTALLER SISTEMA DE GESTION ISO 27001.docxGR01Jorge Luis Charry ArroyoAún no hay calificaciones
- Guia Completa para CISCO 3905Documento34 páginasGuia Completa para CISCO 3905Roger JeríAún no hay calificaciones
- Norma Iso 27001Documento20 páginasNorma Iso 27001MEBTIC96Aún no hay calificaciones
- Cobit5 Introduction SpanishDocumento44 páginasCobit5 Introduction Spanisherwin julian silva duarteAún no hay calificaciones
- 9 Francisco Javier Valencia - PDDocumento18 páginas9 Francisco Javier Valencia - PDRicardo GómezAún no hay calificaciones
- Peti Banco Ripley Del PeruDocumento158 páginasPeti Banco Ripley Del PerujorgeAún no hay calificaciones
- SQL Server Basico 04Documento22 páginasSQL Server Basico 04Jorge ArcadioAún no hay calificaciones
- Cissp - CH 01Documento61 páginasCissp - CH 01QuetzalcoatlAún no hay calificaciones
- Curso Power BI Completo 40 HorasDocumento7 páginasCurso Power BI Completo 40 HorasNatalia Castillo A.Aún no hay calificaciones
- Propuesta-SgsiDocumento17 páginasPropuesta-SgsiAlexander Solorzano VelezAún no hay calificaciones
- SESION13Documento6 páginasSESION13Leonardo SalirrosasAún no hay calificaciones
- Sistemas ExpertosDocumento12 páginasSistemas ExpertosbErnArd fELizAún no hay calificaciones
- Ensayo ARQUITECTURA DE COMPUTADORASDocumento4 páginasEnsayo ARQUITECTURA DE COMPUTADORASharuriosAún no hay calificaciones
- 1 - Modelamiento DimensionalDocumento63 páginas1 - Modelamiento DimensionaldavidAún no hay calificaciones
- Fundamentos SgsiDocumento77 páginasFundamentos SgsiGI CONSULTING SASAún no hay calificaciones
- ISO 17799 ResumenDocumento16 páginasISO 17799 ResumenpamelaAún no hay calificaciones
- Diseno de Una Infraestructura para El Monitoreo y Gestion de Trafico de Red de La Empresa Diamante - Esteban Mier y LeonDocumento200 páginasDiseno de Una Infraestructura para El Monitoreo y Gestion de Trafico de Red de La Empresa Diamante - Esteban Mier y LeonEsteban MyL100% (1)
- Gestion de Correspondencia Alfresco - RadarDocumento5 páginasGestion de Correspondencia Alfresco - Radarnikos.sierraAún no hay calificaciones
- Data MartDocumento10 páginasData MartFranzAún no hay calificaciones
- Integridad de Las Bases de DatosDocumento21 páginasIntegridad de Las Bases de DatosRaulBustamanteAún no hay calificaciones
- Inteligencia Artificial: Descubriendo el Potencial de un Futuro Inteligente: 01De EverandInteligencia Artificial: Descubriendo el Potencial de un Futuro Inteligente: 01Aún no hay calificaciones
- Implantacion de Un Sgsi en La Empresa Implantacion de Un Sgsi en La EmpresaDocumento37 páginasImplantacion de Un Sgsi en La Empresa Implantacion de Un Sgsi en La EmpresaDANILO ANDRES MARCELO QUINTANAAún no hay calificaciones
- 001 - Sistemas de Gestión de Seguridad de La InformaciónDocumento27 páginas001 - Sistemas de Gestión de Seguridad de La InformaciónPatricia Flores Aguilera100% (1)
- Principios Básicos de Un Sistema de Seguridad de La InformaciónDocumento8 páginasPrincipios Básicos de Un Sistema de Seguridad de La InformaciónValeria Chavarria CamposAún no hay calificaciones
- Diapositiva N°Documento2 páginasDiapositiva N°Ruth Danny Palomino RegañoAún no hay calificaciones
- Documento Orientador Tarea Módulo 5Documento1 páginaDocumento Orientador Tarea Módulo 5Mónica GaosAún no hay calificaciones
- Libretas Inti PakariDocumento23 páginasLibretas Inti PakariCristy LduAún no hay calificaciones
- Catálogo: - Producción PropiaDocumento64 páginasCatálogo: - Producción PropiaVerónica RosalesAún no hay calificaciones
- Biologia y Geologia 1BTODocumento34 páginasBiologia y Geologia 1BTOPaauuliitaaAún no hay calificaciones
- 8 Acta General AcordsDocumento4 páginas8 Acta General AcordsAdriAún no hay calificaciones
- Libro Pisocologia de Las Organizaciones y Del Trabajo II 2017 PDFDocumento648 páginasLibro Pisocologia de Las Organizaciones y Del Trabajo II 2017 PDFalejandraAún no hay calificaciones
- ABD - Practica 13-3Documento6 páginasABD - Practica 13-3ANIBAL GONZALEZ TOVARAún no hay calificaciones
- Ejercicios de Estadistica PDFDocumento7 páginasEjercicios de Estadistica PDFMarco Octavio Juarez OrtizAún no hay calificaciones
- Resolución Ministerial 0079 2023 MidagriDocumento3 páginasResolución Ministerial 0079 2023 MidagriMARIA AVALOSAún no hay calificaciones
- SILABUS EIApdfDocumento9 páginasSILABUS EIApdfAlvizuri ArtAún no hay calificaciones
- Programa Satelital Worldview 1 David Felipe Diaz BuitragoDocumento49 páginasPrograma Satelital Worldview 1 David Felipe Diaz BuitragoDAVID FELIPE DIAZ BUITRAGOAún no hay calificaciones
- Libro EmocionesDocumento17 páginasLibro EmocionesSilvia CejudoAún no hay calificaciones
- Huancavelica - Estudios PeligrosDocumento4 páginasHuancavelica - Estudios PeligrosA B&HAún no hay calificaciones
- Guia de Inspeccion RespuestasDocumento32 páginasGuia de Inspeccion RespuestasMaria Del Pilar CaicedoAún no hay calificaciones
- Uso de EppsDocumento37 páginasUso de EppsPedro MiguelAún no hay calificaciones
- Ansiedad en AdolescentesDocumento4 páginasAnsiedad en AdolescentesvirAún no hay calificaciones
- Palabici CatalogoDocumento7 páginasPalabici CatalogoRogelio AlcocerAún no hay calificaciones
- Observaciones Vehiculos Ultimo PlazoDocumento18 páginasObservaciones Vehiculos Ultimo PlazoMerelyn RamirezAún no hay calificaciones
- People MattersDocumento3 páginasPeople MatterscgciaAún no hay calificaciones
- Programa de Cursos - ICCAEDocumento4 páginasPrograma de Cursos - ICCAEEmerson GomezAún no hay calificaciones
- Trabajo Final - Métodos para El Desarrollo de Competencias Fuera Del TrabajoDocumento9 páginasTrabajo Final - Métodos para El Desarrollo de Competencias Fuera Del TrabajoAnaAún no hay calificaciones
- Taller - Formas de Expresar La Concentración de Soluciones - Quimica 1Documento2 páginasTaller - Formas de Expresar La Concentración de Soluciones - Quimica 1Alex AlexAún no hay calificaciones
- Estado Situacional Diciembre 2021Documento11 páginasEstado Situacional Diciembre 2021Centro de Altos Estudios y Desarrollo ProfesionalAún no hay calificaciones
- Guion - El Objeto de Estudio Del Materialismo Histórico IIDocumento9 páginasGuion - El Objeto de Estudio Del Materialismo Histórico IISebastían BelmonthAún no hay calificaciones
- 1nGuiandenAprendizajenGestinnnndenIncidentes 42602c27800c8eaDocumento8 páginas1nGuiandenAprendizajenGestinnnndenIncidentes 42602c27800c8eaCamila Marquez GutierrezAún no hay calificaciones
- Unidad 9Documento20 páginasUnidad 9YURI RAMAún no hay calificaciones
- T1 - P3 - Escobar Jacome - Maria Belen - T4Documento1 páginaT1 - P3 - Escobar Jacome - Maria Belen - T4Belencita EscobarAún no hay calificaciones
- Catálogo de Precios FS LabsDocumento28 páginasCatálogo de Precios FS Labslannyr_Aún no hay calificaciones
- Ficha de Integración de EquipoDocumento5 páginasFicha de Integración de EquipoLUIS RICARDO BARBOZAAún no hay calificaciones
