Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA
REGIÓN.
GERARDO AYALA GONZÁLEZ
JULIÁN ALBERTO GÓMEZ ISAZA
UNIVERSIDAD TECNOLÓGICA DE PEREIRA
FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE
SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y
COMPUTACIÓN
PEREIRA
2011
GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN EN
CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA
REGIÓN.
GERARDO AYALA GONZÁLEZ
JULIÁN ALBERTO GÓMEZ ISAZA
Monografía para optar al título de Ingeniero de Sistemas y Computación
Asesor:
Ingeniero JULIO CÉSAR CHAVARRO PORRAS
Docente Académico
UNIVERSIDAD TECNOLÓGICA DE PEREIRA
FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE
SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y
COMPUTACIÓN
PEREIRA
2011
Nota de aceptación
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
Presidente del Jurado
__________________________________
Jurado
__________________________________
Jurado
_________________________________
Jurado
A Luis y Elicenia que me enseñaron que la lucha es diaria y que no debe desistirse
en el logro de los propósitos trazados. Y a ti, Liliana, eterna compañera de viaje,
que me enseñaste que los sueños cambian en la manera
en que cambie nuestra forma de proyectarnos.
G.A.
A Alberto que me enseño a no darme por vencido, y a Berenice, que me enseño a
4
AGRADECIMIENTOS
MI primer agradecimiento es a Dios, pues me ha bendecido con una gran familia
que me ha enseñado a sortear cada obstáculo y a perseverar para la consecución
de mis sueños; en segundo lugar, agradezco a esos docentes que con sus
particularidades aportaron a mi proceso de formación, especialmente al Ingeniero
César Chavarro, quien fue nuestro apoyo y guía en el desarrollo de éste proyecto.
Agradezco también a Julián Gómez, compañero y hermano con el que compartí
grandes e inolvidables momentos de la formación profesional y, finalmente, pero
no menos importante, le agradezco a mi esposa Liliana que con su toque de
alegría, seriedad y decisiva disposición para hacer las cosas, me acompañó en
todo este proceso.
Adicionalmente quiero agradecer a J.J. Hincapié que con sus extrañas ocurrencias
logró hacerme aprender y disfrutar del proceso de investigación.
G.A.
Agradezco infinitamente a DIOS, porque realizó ante mis propios ojos señales y
prodigios grandes, y me ha permitido vivir hasta el día de hoy. A mi familia,
soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro,
maestro, amigo y guía, con él aprendí no solo cantidad si no calidad. A Gerardo
Ayala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje que
construimos juntos. A J.J Hincapié, porque compartió conmigo una forma diferente
de entender la investigación, y por último categorías
trasnochos, me enseñaron a ver el mundo de una manera diferente.
J.G
5
CONTENIDO
Pág.
1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA ......................... 13
1.1. DEFINICIÓN DEL PROBLEMA ................................ ................................ ........... 13
1.2. JUSTIFICACIÓN ................................ ................................ ................................ 14
1.3. OBJETIVOS ................................ ................................ ................................ ....... 16
1.3.1. OBJETIVO GENERAL ................................ ................................ ............................ 16
1.3.2. OBJETIVOS ESPECÍFICOS ................................ ................................ .................... 16
1.4. DELIMITACIÓN ................................ ................................ ................................ .. 17
1.5. MARCO REFERENCIAL................................ ................................ ..................... 17
1.5.1. ANTECEDENTES ................................ ................................ ................................ . 17
1.5.2. TENDENCIAS DETECTADAS ................................ ................................ .................. 21
1.6. MARCO CONCEPTUAL ................................ ................................ ..................... 24
1.6.1. SEGURIDAD INFORMÁTICA ................................ ................................ ................... 25
1.6.2. SEGURIDAD DE LA INFORMACIÓN ................................ ................................ ......... 29
1.7. MARCO TEÓRICO ................................ ................................ ............................. 35
1.7.1. ADMINISTRACIÓN DE LA SEGURIDAD ................................ ................................ .... 36
1.7.2. ANÁLISIS DE RIESGOS ................................ ................................ ......................... 37
1.7.3. POLÍTICAS DE SEGURIDAD ................................ ................................ ................... 38
1.8. DIRECCIONAMIENTO ................................ ................................ ....................... 39
1.9. DISEÑO METODOLÓGICO ................................ ................................ ................ 41
1.9.1. METODOLOGÍA ................................ ................................ ................................ ... 41
2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO ............................ 44
2.1. PLAN DE ANÁLISIS ................................ ................................ ............................ 44
2.2. SEGUNDA ITERACIÓN DEL MODELO ................................ .............................. 50
2.3. TERCERA ITERACIÓN DEL MODELO ................................ ............................... 52
3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES ........... 53
3.1. RESULTADOS OBTENIDOS ................................ ................................ .............. 53
3.2. CONCLUSIONES ................................ ................................ ............................... 53
3.3. RECOMENDACIONES ................................ ................................ ....................... 55
4. REFERENCIAS BIBLIOGRÁFICAS ................................ ................................ .......... 56
LISTA DE FIGURAS
Pág.
Figura 1. Firma digital: Envío de un mensaje seguro. ................................ ...................... 25
Figura 2. Seguridad de la Información. ................................ ................................ ............ 30
Figura 3. Sábana de Conceptos. ................................ ................................ ..................... 45
Figura 4. Manual de Respuesta a Incidentes de S.I ................................ ......................... 59
Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de S.I ................ 65
Figura 6. Plan de Acción de S.I ................................ ................................ ........................ 76
Figura 7. Mapa de procedimientos Plan de Acción de S.I ................................ ................ 83
Figura 8. Análisis y Gestión de Riesgos de S.I ................................ ................................ 89
Figura 9. Mapa de procedimientos. Análisis y Gestión de Riesgos de S.I ........................ 97
Figura 10. Estrategias de Capacitación y Comunicación ................................ ............... 111
Figura 11. Mapa de procedimientos. Plan de Capacitación. ................................ .......... 116
Figura 12. Guía de respuesta a Incidentes de S.I ................................ .......................... 119
Figura 13. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 125
Figura 14. Manual de procedimientos para la Administración de la S.I .......................... 127
Figura 15. Plan de Acción de S.I ................................ ................................ .................... 133
Figura 16. Mapa de procedimientos Plan de Acción de S.I ................................ ............ 136
Figura 17. Análisis y Gestión de Riesgos de S.I ................................ ............................ 148
Figura 18. Mapa de procedimientos. Análisis y Gestión del Riesgo. .............................. 152
Figura 19. Guía de Respuesta a Incidentes de S.I ................................ ......................... 163
Figura 20. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 169
Figura 21. Mapa de procedimientos. Plan de Capacitación ................................ ........... 174
7
LISTA DE TABLAS
Pág.
Tabla 1. Formato de procedimientos ................................ ................................ ................ 43
Tabla 3. Metodología: Manual de Respuesta a Incidentes de S.I ................................ ..... 63
Tabla 4. Metodología Plan de Acción de S.I ................................ ................................ .... 81
Tabla 5. Metodología Análisis y Restión de Riesgos de S.I ................................ ............. 94
Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de S.I ............................... 110
Tabla 7. Metodología Plan de Capacitación. ................................ ................................ .. 115
Tabla 8. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. ............ 120
Tabla 9. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes .............. 122
Tabla 10. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 124
Tabla 11. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación. 124
Tabla 12. Metodología Plan de Acción de S.I ................................ ................................ 134
Tabla 13. Metodología Análisis y Gestión de Riesgos de S.I ................................ ......... 149
Tabla 14. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. .......... 164
Tabla 15. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes ............ 166
Tabla 16. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 168
Tabla 17. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación.. 168
Tabla 18. Metodología de las Estrategias de Capacitación. ................................ ........... 173
8
LISTA DE ANEXOS
Pág.
ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN .................................................................................................................... 58
Objetivo ................................................................................................................... 58
Del manual .............................................................................................................. 60
Procedimientos de gestión ...................................................................................... 61
Metodología ............................................................................................................. 63
Mapa de procedimientos ......................................................................................... 65
Especificación de procedimientos ........................................................................... 66
ANEXO B: GRUPO FOCAL ................................................................................................ 73
ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN, ANÁLISIS Y
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN .................................. 75
Objetivo ................................................................................................................... 77
Procedimientos de gestión ...................................................................................... 77
Metodología plan de acción de seguridad de la información .................................. 81
Mapa de procedimientos ......................................................................................... 83
Especificación de procedimientos ........................................................................... 84
Análisis y gestión de riesgos de seguridad de la información................................. 88
Objetivo ................................................................................................................... 88
Aspecto legal ........................................................................................................... 88
Del manual .............................................................................................................. 90
Procedimientos de gestión ...................................................................................... 92
Metodología análisis y gestión de riesgos de seguridad de la información ............ 94
Mapa de procedimientos ......................................................................................... 97
Especificación de procedimientos. .......................................................................... 98
ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106
ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS DE
CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO .. 108
Eliminar / dar de baja activos de información ....................................................... 108
Estrategia de capacitación y comunicación .......................................................... 112
Objetivo ................................................................................................................. 112
Del plan ................................................................................................................. 112
Procedimientos de gestión .................................................................................... 113
Metodología plan de capacitación y comunicación para la implementación del
modelo ................................................................................................................... 115
Mapa de procedimientos. Plan de capacitación .................................................... 116
Especificación del procedimiento .......................................................................... 116
ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN. ................................................................................................................. 118
Alcance: ................................................................................................................. 118
Responsabilidad: ................................................................................................... 118
Metodología. Guía de respuesta a incidentes de seguridad de la información .... 120
Eventos de seguridad (fase pre-incidente) ........................................................... 120
Gestión de incidentes (fase de atención de incidencia) ........................................ 122
Disposición final (fase post-incidente) ................................................................... 123
Seguimiento revisión y auditoria. .......................................................................... 124
Documentación y retroalimentación ...................................................................... 124
Mapa de procedimientos ....................................................................................... 125
ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .................................. 126
Del modelo ............................................................................................................ 126
Plan de acción de seguridad de la información .................................................... 128
Objetivo ................................................................................................................. 128
Metodología plan de acción de seguridad de la información ................................ 134
Objetivo ................................................................................................................. 134
Mapa de procedimientos ....................................................................................... 136
Especificación de procedimientos ......................................................................... 137
Análisis y gestión de riesgos de seguridad de la información............................... 141
Objetivo ................................................................................................................. 141
Aspecto legal ......................................................................................................... 141
Procedimientos de gestión .................................................................................... 142
Metodología análisis y gestión de riesgos de seguridad de la información .......... 149
Mapa de procedimientos ....................................................................................... 152
Especificación de procedimientos ......................................................................... 153
Guía de respuesta a incidentes de seguridad de la información. ......................... 162
10
Alcance: ................................................................................................................. 162
Metodología. Guía de respuesta a incidentes de seguridad de la información .... 164
Eventos de seguridad (fase pre-incidente) ........................................................... 164
Gestión de incidentes (fase de atención de incidencia) ........................................ 166
Disposición final (fase post-incidente) ................................................................... 167
Seguimiento revisión y auditoria. .......................................................................... 168
Documentación y retroalimentación ...................................................................... 168
Mapa de procedimientos ....................................................................................... 169
Estrategias de capacitación y comunicación ........................................................ 170
Objetivo ................................................................................................................. 170
Del plan ................................................................................................................. 170
Procedimientos de gestión .................................................................................... 171
Metodología Estrategias de Capacitación y Comunicación .................................. 173
Mapa de procedimientos. Plan de capacitación .................................................... 174
Especificación del procedimiento .......................................................................... 175
11
GLOSARIO DE TÉRMINOS
ACTIVOS DE INFORMACIÓN: todos los componentes de información que tienen
valor para la organización, todo lo que es posible realizar, concluir, visualizar y
procesar de la información.
AMENAZA: acción o evento que puede ocasionar consecuencias adversas en los
datos.
ATAQUE: tipo y naturaleza de inestabilidad en la seguridad.
AUTENTICIDAD: se trata de proporcionar los medios para verificar que el origen
de los datos es el correcto, quien los y cuando fueron enviados y recibidos.
CABALLO DE TROYA: programa que se activa en un sistema informático y lo deja
expuesto a accesos mal intencionados.
CONFIDENCIALIDAD: propiedad de prevenir la divulgación de información a
sistemas o personas no autorizados
DISPONIBILIDAD: característica de la información de encontrarse SIEMPRE a
disposición del solicitante que debe acceder a ella, sea persona, proceso o
sistema.
HARDWARE: termino en ingles que hace referencia a cualquier componente físico
tecnológico, que interactúa de algún modo con un sistema computacional.
INCIDENTE: se define como un evento que sucede de manera inesperada y que
puede afectar la Confidencialidad, Integridad y Disponibilidad de la información y
además de esto los recursos tecnológicos.
INFORMACIÓN: conjunto de datos que toman sentido al integrarse con
características comunes.
INFORMÁTICA: la informática es la ciencia que tiene como objetivo estudiar el
tratamiento automático de la información a través de la computadora.
12
INTEGRIDAD: propiedad que busca mantener los datos libres de modificaciones
no autorizadas.
ISO: International Organization for Standardization, Entidad internacional
encargada de favorecer la estandarización en el mundo.
, por un medio físico (cable) o de manera inalámbrica donde se comparte
información, recursos y los servicios.
RIESGO: la probabilid
.
SEGURIDAD: puede afirmarse que este concepto que proviene del latín securitas
que hace referencia a la cualidad
peligro, daño o riesgo. Algo seguro es algo cierto, firme e indubitable. La
seguridad, por lo tanto, es una certeza.
SGSI: Sistema de Gestión de la Seguridad de la Información.
hace referencia a la posibilidad de ser herido o
recibir algún tipo de lesión, es una debilidad en los procedimientos de seguridad,
diseño, implementación o control interno que podría ser explotada (accidental o
intencionalmente) y que resulta en una brecha de seguridad o una violación de la
política de seguridad de sistemas.
RESUMEN
Este documento se centra en la aplicación de la norma ISO/IEC 27001 en atención
a los numerales 4.2.2 Implementación y Operación de un Sistema de Gestión de la
Seguridad de la Información (por sus siglas, SGSI), identificando las acciones de:
la gestión apropiada, prioridades y responsabilidades de la gerencia en la creación
de políticas que garanticen el cumplimiento de los objetivos del SGSI, además se
hace referencia a la creación de planes de acción para el tratamiento, análisis y
gestión de los riesgos implementando procedimientos que brindan una atención
oportuna a los incidentes de seguridad de la información, acompañados de
estrategias de capacitación y formación para los integrantes de la organización.
DESCRIPTORES
Gestión, implementación, incidente, Norma, ISO, operación, políticas,
procedimientos, riesgos, seguridad, SGSI.
ABSTRACT
This paper focuses on the implementation of ISO/IEC 27001, in response to
paragraphs 4.2.2 "Implementation and Operation of Information Security
Management System (ISMS)", identifying actions about: appropriate management,
resources, priorities and executive responsibilities in policy making, ensuring
compliance with the objectives of the ISMS. Also refers to the creation of action
plans for treatment, analysis and risk management, implement procedures that
provide a timely attention to incidents of information security, accompanied by
education and training for members of the organization.
KEY WORDS
Management, implementation, incident, Standard, ISO, operation, policies,
procedures, risks, security, ISMS.
1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA
Hoy en día no se puede concebir una organización aislada totalmente de la red,
siempre se están compartiendo datos en redes internas o a través de la gran red,
Internet, permitiéndoles a los usuarios disposición de información en todo lugar y
en todo momento. Los avances tecnológicos que vienen en constante evolución,
las telecomunicaciones que se han convertido en una herramienta muy importante
para las organizaciones y el crecimiento organizacional se han encargado de
propiciar vulnerabilidades para las mismas.
Las organizaciones dependen de los datos almacenados en sus sistemas de
información y es allí donde la seguridad de la información se convierte en un factor
necesario en los procesos que se desarrollan al interior y exterior de la misma. Es
muy importante considerar además, que en el desarrollo organizacional se
involucran factores como recursos humanos, procesos y tecnología; factores que
propician vulnerabilidades con respecto a la seguridad de la información. Puede
afirmarse que este fenómeno ofrece mayores retos en la micro, pequeña y
mediana empresa. Es en este sector donde existen menores recursos para invertir
en el campo informático, sin embargo, estas organizaciones han incursionado en
tecnologías web haciéndose vulnerables en este mismo campo.
La carencia de estrategias para una administración segura de la información, está
acompañada de la falta de conocimiento sobre los estándares internacionales y de
las normas que mediante su aplicación ayudan a prevenir pérdidas de información
y a evitar la existencia de procesos vulnerables.
El evidente ámbito de competitividad, y el avance tecnológico, en consonancia con
el precario desarrollo administrativo, organizacional y tecnológico de las empresas
regionales, demuestran la necesidad de brindar mecanismos que les permitan
mitigar su vulnerabilidad en cuanto a la administración de la información.
13
1.2. JUSTIFICACIÓN
Impedir hoy la ejecución de operaciones no autorizadas sobre un sistema
informático se asume de vital importancia, puesto que sus efectos conllevan a
daños sobre los datos, y comprometen la confidencialidad, la autenticidad e
integridad de la información organizacional.
La norma ISO/IEC 27001 ofrece un estándar de calidad en cuanto al tratamiento
14
los escenarios de protección de la información, y controlar los incidentes
para disminuir su efecto dentro de las organizaciones.
» Tipos de fallas de seguridad: Se evidencia que los virus, accesos no
autorizados a la web, caballos de Troya, software no autorizado y fuga de
información son las fallas más frecuentes en Colombia.
15
Por razones como las anteriormente mencionadas, se hace necesario elaborar
una guía de buenas prácticas de seguridad de la información en contextos de
micro, pequeñas y medianas empresas de la región, que propicie un óptimo
tratamiento seguro de la información utilizada en la organización y que sirva como
modelo de buenas prácticas de seguridad de la información, fundamentada en la
norma ISO 27001.
1.3. OBJETIVOS
1.3.1. Objetivo General
Elaborar una guía de buenas prácticas que permita la aplicación de un plan de
acción para el tratamiento de los riesgos e implementar controles para detectar y
dar respuesta oportuna a incidentes de seguridad de la información en contextos
de micro, pequeñas y medianas empresas de la región, según la norma ISO
27001.
» Elaborar una guía documental que establezca una metodología para la
construcción de un plan de acción para el tratamiento de riesgos de
seguridad de la información.
» Establecer los fundamentos para elaborar estrategias de formación y toma
de conciencia para el fortalecimiento de las competencias del personal de
cualquier empresa que asuma la aplicación de la guía.
» Suministrar una guía documental que plantee una metodología para
detectar y dar respuesta oportuna a los incidentes de seguridad de la
información.
16
1.4. DELIMITACIÓN
El proyecto que se plantea en el presente documento se enfoca a brindar una
herramienta metodológica que sirva como modelo para la aplicación de un plan de
acción para el tratamiento de los riesgos e implementar controles para detectar y
dar respuesta oportuna a incidentes de seguridad de la información en contextos
de micro, pequeñas y medianas empresas de la región, según la norma ISO
27001.
De igual forma, propiciar los fundamentos para elaborar estrategias de formación
y toma de conciencia, que desarrolle competencias para la aplicación de la
herramienta, también brindar una guía documental que plantee una metodología
que permitan detectar y dar respuesta oportuna a los incidentes de seguridad;
tomando como base la norma ISO 27001, haciendo referencia a modelar los
procesos de buenas prácticas de seguridad de la información en las micros,
pequeñas y medianas empresas de la región.
1.5. MARCO REFERENCIAL
1.5.1. Antecedentes
suficientes para protegerlo. Cada vez se modernizan más los medios para
suministrar, retroalimentar e intercambiar información, pero de forma paralela (e
inclusive mayor), se aumentan los medios para boicotear, plagiar o extraer
información de forma fortuita.
En este marco, el presente trabajo da cuenta de la dinámica de la seguridad e
inseguridad en la información, los medios de flujo, los procesos y procedimientos
que se han desarrollado para que esta información no solo sea ágil sino también
segura, a la vez que pretende modelar los procesos que fácilmente cualquier
17
organización pueda asumir para la protección de la información de una forma fácil
y a la medida de sus necesidades.
El avance en el manejo y procesos de seguridad de la información se puede
monitorear de múltiples formas, sin embargo para el presente desarrollo
investigativo, se ha adoptado el seguimiento al establecimiento paulatino tanto de
un marco legal nacional e internacional, como el desarrollo de normas técnicas de
certificación de calidad.
Las leyes de cada país son la respuesta a problemáticas o falencias frente a
aspectos puntuales, aunque en algunos países desarrollados, las normas se
anticipan, puesto que cuentan con entidades legislativas modernas que
monitorean los fenómenos mundiales para adelantarse a esas realidades que
podrán afectarlos tanto positiva como negativamente. En Colombia de forma
lamentable la legislación en la mayoría de las ocasiones actúa como paliativo o
solución emergente, en el caso específico a la legislación sobre seguridad
informática, se puede evidenciar que de manera tímida se ha generado
normatividad al respecto.
En Colombia los primeros vestigios de normatividad sobre la seguridad informática
no se establecieron en forma directa al tema informático, sino a los aspectos de
propiedad intelectual, la cual se refiere a las creaciones de la mente: invenciones,
obras literarias y artísticas, así como símbolos, nombres e imágenes utilizadas en
el comercio.
La propiedad intelectual se divide en dos categorías: a) la propiedad industrial, que
incluye las patentes de invenciones, las marcas, los diseños industriales y las
indicaciones geográficas y b) los derechos de autor.
En este aspecto se pueden establecer como parámetro inicial la Ley 23 de 1982 la
cual estipula el lineamiento para la protección de derechos de autor, sin embargo,
científicas y artísticas gozarán de protección para sus obras. También protege
ésta ley a los intérpretes o ejecutantes y los productores de fonogramas y a los
contempla de forma literal el tema informático.
18
El segundo punto de referencia jurídica al respecto es el Decreto 1360 de 1989,
desarrollos dentro de los aspectos cubiertos por la legislación vigente sobre
derechos de autor.
De igual forma se encuentran leyes y decretos que regulan los derechos de Autor,
algunas con determinaciones explicitas sobre la informática y otras con marco
jurídico sobre el tema de propiedad intelectual: Ley 44 de 1993, Decreto 460 de
1995, Decreto 162 de 1996, Ley 544 de 1999, Ley 565 de 2000, Ley 603 de 2000,
Ley 719 de 2001.
Otro elemento que se debe tener en cuenta y que constituye esta misma línea
normativa, es la legislación sobre propiedad industrial, allí se puede encontrar
normatividad Nacional e internacional, como la Decisión 486 de la C.A.N. y en la
legislación Colombiana el Decreto 2591 de 2000, y la Ley 178 de 1994.
Así mismo se han definido una serie de Normas, que dictaminan la calidad de la
seguridad informática, definiendo como norma, un modelo, un patrón, ejemplo o
19
» ISO 27000: Contiene términos y definiciones que se emplean en toda la
serie 27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido.
» ISO 27001: Es la norma principal de la serie y contiene los requisitos del
Sistema de Gestión de Seguridad de la Información. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI.
» ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas
que describe los objetivos de control y controles recomendables en cuanto
a Seguridad de la Información. No es certificable.
» ISO 27003: Consiste en una guía de implementación de SGSI e información
acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los
requerimientos de sus diferentes fases.
» ISO 27004: Especifica las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados.
» ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de
la Seguridad de la Información y sirve, por tanto, de apoyo a la ISO 27001 y
a la implantación de un SGSI.
» ISO 27006: Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de Sistemas de Gestión de Seguridad de la
Información.
» ISO 27007: Consiste en una guía de auditoría de un SGSI.
» ISO 27011: Consiste en una guía de gestión de seguridad de la información
específica para telecomunicaciones.
20
» ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones.
» ISO 27032: Consiste en una guía relativa a la ciberseguridad.
» ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de
redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante
Gateways, acceso remoto, aseguramiento de comunicaciones en redes
mediante VPNs y diseño e implementación de seguridad en redes.
» ISO 27034: Consiste en una guía de seguridad en aplicaciones.
» ISO 27799: Es un estándar para la seguridad de la información en el sector
salud.
El presente trabajo investigativo se encuentra enmarcado en la norma ISO 27001,
bajo los lineamientos de implementación y operación de un Sistema de Gestión de
Seguridad de la Información.
Respecto a esta temática es importante tener en cuenta los estudios que ha
realizado la Asociación Colombiana de Ingenieros de Sistemas, pues esta
institución se mantiene a la vanguardia en las temáticas que tiene que ver con el
manejo de la información y para este caso concreto, la seguridad que se debe
tener con ella; así entonces nos encontramos con la presentación de la Encuesta
Nacional Seguridad Informática en Colombia: Tendencias 2010 1 donde se
evidencian los siguientes resultados:
1
ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49. Artículo: Encuesta
nacional Seguridad informática en Colombia: Tendencias 2010. Extraído del sitio web
http://www.acis.org.co/index.php?id=1490 Septiembre de 2010.
21
Éste estudio longitudinal, realizado entre los años 2002 y 2009, tuvo en cuenta
diferentes categorías, como la demografía (empresas a las que iban dirigida la
encuesta), presupuestos (que se manejan en tales empresas que propendan al
mejoramiento de la seguridad de la información), fallas de seguridad, herramientas
y prácticas de seguridad, políticas de seguridad y, finalmente, el capital intelectual.
A continuación se expondrán las principales de algunos apartados.
a. Demografía. Identifica elementos como la zona geográfica, el sector y el
tamaño de la organización, responsabilidad y responsables de la seguridad, y por
último la ubicación de la responsabilidad en la organización. Entre los participantes
de éste estudio se encuentra gran participación del sector bancario, en donde la
Superintendencia Financiera de Colombia ha desarrollado pautas para asegurar la
información para los usuarios del sistema bancario, también del sector educativo y
gobierno donde se evidencia la necesidad de contar con una directriz en temas de
seguridad de la información. Otro aspecto importante a resaltar es que la
seguridad de la información se ha convertido en un elemento clave para la media
empresa, formalizando sus estrategias de negocio. Para la gran empresa se trata
de un tema de la gestión de la organización dado que las regulaciones internas y
tendencias internacionales establecen referentes que no pueden ser ignorados.
Finalmente, se evidencia que el cargo de Director del Departamento de
sistemas/Tecnología ha tenido un aumento significativo, se puede ver que la
seguridad de la información continua en aumento, pero se vuelve necesario
coordinar los procesos de negocio con las áreas de seguridad y de tecnología
para así realizar propuestas con fines no estrictamente tecnológicos para así no
limitar la participación de estos en las decisiones de negocio o estrategias de la
organización.
b. Presupuestos. Los resultados muestran la tendencia de la inversión en
seguridad concentrada en la zona perimetral, en las redes y sus componentes,
así como la protección de datos críticos de la organización, por otro lado hay una
predisposición a la no concientización y entrenamiento del usuario final. Con la
información expuesta se puede decir que se evidencia una inversión variable en
seguridad de la información, afirmando que en nuestro país no se ha logrado
generar una concientización en cuanto a la necesidad de tener políticas dirigidas a
22
la protección de la información; sin embargo, un aspecto positivo a resaltar es que
en el año 2009, se genera a las empresas la necesidad de destinar más recursos
a la seguridad de su información, esto de la mano de la cantidad de normativas y
regulaciones alrededor de la industria nacional, que motiva ésta inversión. Estas
inversiones están generalmente desarrolladas por el sector de la banca y las
empresas dedicadas a las telecomunicaciones, mostrando así que la seguridad de
la información no es un tema exclusivo de los informáticos, si no que requiere de
la formación de un equipo multidisciplinario que integre los diferentes niveles de la
organización y los diferentes tipos de organizaciones.
c. Herramientas y Prácticas de Seguridad. Se evidencia como
preocupante que poco más de la tercera parte de las empresas no prestan
atención a las prácticas de seguridad y que aún, teniendo a disposición alguna
herramienta que brinde cierto nivel de seguridad, no hacen controles adecuados
sobre ella y sus efectos ni una vez al año. Por otro lado, se encuentra que las
herramientas más usadas por las empresas en pro de la seguridad de la
información son antivirus, contraseñas, firewalls tanto de hardware como de
software, VPN/IPSec y Proxies en mayor porcentaje; y otros, en menor proporción
como lo son las firmas digitales, smart cards, biométricos, sistemas de prevención
de intrusos, monitoreo de bases de datos, entre otros.
d. Políticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de las
empresas tienen tales políticas en ejecución, mientras las restantes o bien están
desarrollando tales políticas o sencillamente no han invertido sus recursos en hacerlo;
esto debido a, principalmente, según el estudio, al poco entendimiento de la seguridad de
la información y a la inexistencia de una política de seguridad, lo que finalmente lleva a
cuestionar la concientización que realizan las empresas para lograr que sus miembros
entiendan y desarrollen comportamientos que propendan por la seguridad. Para finalizar
se hace importante resaltar que la Norma ISO 27001 es adoptada por cerca de la mitad
de las empresas como guía para la adopción de buenas prácticas en seguridad
informática.
e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a la
contratación o no de profesionales relacionados con el campo de ingeniería de sistemas y
computación para el manejo de la información y designar en ellos la responsabilidad de
salvaguardarla. Aquí se evidencia que cerca del 60% de las empresas tienen entre uno y
cinco personas para el manejo de este importante activo para la organización.
23
1.6. MARCO CONCEPTUAL
En el presente trabajo investigativo, es necesario generar un marco que permita
definir conceptos que son relevantes para el tema de seguridad de la información.
Como se percibirá a continuación se han definido 3 conceptos fundamentales a
saber: seguridad informática, seguridad de la información e inseguridad de la
información.
La necesidad de preservar y custodiar de manera efectiva y adecuada la
información al interior de una organización, y más aún, en la transmisión de la
misma, es un tema que se convierte en un requisito funcional dentro de las
políticas organizacionales; es un factor determinante para la credibilidad de la
organización frente a sus clientes y usuarios, y un paso de adelanto hacia la
excelencia en la calidad de sus procesos.
El riesgo en la información ha aumentado a medida que ésta ya no es controlada
en un solo lugar como lo era un sistema centralizado para las organizaciones;
ahora la información se distribuye de tal forma que se encuentra en varios lugares
como lo son sedes o sucursales, por ésta razón se desconoce qué información
puede ser almacenada en puestos específicos de trabajo, que muchas veces son
usados como equipos personales en las organizaciones.
Técnicamente es imposible lograr sistemas informáticos ciento por ciento seguros,
"El único sistema realmente seguro es aquel que esté desconectado de la línea
eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente
en una habitación revestida de plomo y protegido por guardias armados y aún así,
se puede dudar"2, pero buenas prácticas de seguridad evitan posibles daños y
problemas que pueden ocasionar las incidencias de seguridad de la información
en la organización.
Al hablar de seguridad en términos de informática deben tenerse en cuenta 2
conceptos que definen técnicamente su aplicación:
2
GÓMEZ VIEITES, Álvaro., Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor,
México, Primera Edición, 2007
24
1.6.1. Seguridad Informática
La seguridad informática es un recurso que no se valora realmente, debido a su
intangibilidad, las medidas de seguridad en la información no contribuyen a agilizar
los procesos en los equipos, por el contrario producen un efecto adverso a éste,
provocando una reducción en el rendimiento de éstos y las aplicaciones, ya que se
realizan procesos adicionales a los que normalmente se efectúan, por ejemplo en
el envío de datos por una red, no solo se deben procesar los datos para ser
enviados, sino que además de éste procedimiento se llevan a cabo otras acciones
como encriptación de éstos mensajes.
Para hacer más descriptiva esta problemática de re-procesos se explicará a
continuación el método de la firma digital. Ver figura 1.
Figura 1. Firma Digital: Envío de un mensaje Seguro.
Fuente: Elaboración Propia, basado en GÓMEZ VIEITES Álvaro, 2007, Enciclopedia de la
seguridad informática, Capitulo 14, Firma Electrónica.
25
Cuando se desea emitir un mensaje con un nivel alto de seguridad, la mejor forma
es utilizar la firma digital, método criptográfico que consiste en asociar la identidad
de una persona a un mensaje para garantizar que no va a ser alterado durante el
envío y además de esto asegurar la autenticidad del mismo, garantizando al
destinatario que el mensaje fue creado por quién dice ser su remitente.
Este método consiste en:
» Creación de la firma digital.
» Encriptación del mensaje y envío.
» Recepción del mensaje seguro.
» Des encriptación del mensaje y la firma digital.
» Verificación de la autenticidad del mensaje y de la firma digital.
Por otro lado, cuando no se aplican medidas de seguridad, el método consiste en:
» Creación del mensaje
» Envío del mensaje
» Recepción del mensaje.
Debido a la cantidad de procesos adicionales, muchas empresas no recurren a
estos métodos de seguridad en la información ya que son costosos en tiempo y
dinero, involucrando más software y hardware dentro de sus procesos
empresariales.
También se puede decir que la seguridad informática es una disciplina que
relaciona diversas técnicas, aplicaciones y dispositivos encargados de asegurar la
integridad y privacidad de la información de un sistema informático y sus usuarios.
Como lo cataloga la norma ISO 7498 l una serie de
mecanismos que minimizan la vulnerabilidad de bienes y recursos en una
organización
Las
medidas y controles que aseguren la confidencialidad, integridad y disponibilidad
26
de los activos incluyendo hardware, software, firmware y la información que es
procesada, almacenada y comunicada 3
Cualquier medida que
impida la ejecución de operaciones no autorizadas sobre un sistema o red
informática cuyos efectos puedan conllevar daños sobre la información,
comprometer su confidencialidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios autorizados al
sistema4
A continuación se hace referencia acerca de los objetivos que se deben cumplir
por la seguridad informática5:
3
INFOSEC Glorssary 2000, pág. 13.
4
GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo
editor, México, Primera Edición. Pág. 4.
5
GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo
editor, México, Primera Edición. Pág. 8.
27
Plano humano:
» Sensibilización y formación.
» Funciones, obligaciones y responsabilidades del personal.
» Control y supervisión de los empleados.
Plano técnico:
» Selección, instalación, configuración y actualización de soluciones hardware
y software.
» Criptografía.
» Estandarización de productos.
» Desarrollo seguro de aplicaciones.
Plano Organizacional:
» Políticas, normas y procedimientos.
» Planes de contingencia y respuesta a incidentes.
»
Plano Legislativo:
» Cumplimiento y adaptación a la legislación vigente.
La seguridad informática se enfoca en la protección de la infraestructura
computacional y todo lo relacionado a esta, (proteger los activos informáticos),
aplicándose sobre:
28
LOS USUARIOS: Establecer normas que minimicen los riesgos a la información o
infraestructura informática. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario,
planes de emergencia, protocolos, así minimizando el impacto en el desempeño
de los funcionarios y de la organización en general.
La seguridad informática para una organización se debe concebir como un
proceso y no como un producto que se puede comprar o instalar, se trata de un
proceso continuo, donde se involucran la estimación de riesgos, prevención y
atención a los incidentes de la seguridad de la información, además de esto una
firme retroalimentación de las actividades realizadas, para así garantizar un
efectivo tratamiento a los incidentes en los que la seguridad informática de la
organización esté comprometida.
La norma ISO/IEC 17799 define seguri La
preservación de su confidencialidad, su integridad y su disponibilidad . Ver Figura
2.
29
Figura 2. Seguridad de la Información.
Fuente: Norma ISO/IEC 17799
Dependiendo del tipo de información manejada y los procesos realizados por una
organización, la seguridad de la información podrá conceder más importancia a
garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de
información6.
Por lo tal razón es muy importante identificar la necesidad de la organización para
así garantizar los pilares de la seguridad de la información y enfatizar en la
necesidad adecuada para dicha institución.
El término "seguridad de la información", Significa la protección de la información y
de los sistemas de información del acceso, uso, divulgación, alteración,
modificación o destrucción no autorizada con la finalidad de proporcionar
Integridad, Confidencialidad y Disponibilidad7, involucrando la implementación de
6
GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo
editor, México, Primera Edición. Pág. 5
7
Cornell University Law School, Extraído del sitio web
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html, Octubre de
2010.
30
estrategias que cubran los procesos en donde la información es el activo
primordial para la organización.
Estas estrategias deben tener como punto de partida el establecimiento de
políticas, controles de seguridad, tecnologías y procedimientos para detectar
amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho
activo, es decir, que ayuden a proteger y salvaguardar tanto información como los
sistemas que la almacenan y la administran.
Para ello se establece un SGSI (Sistema de Gestión de la Seguridad de la
Información): que es aquella p comprende
la política, la estructura organizativa, los procedimientos, los procesos y los
recursos necesarios para implantar la gestión de la seguridad de la información en
una organización 8.
Es importante mencionar que la seguridad es un proceso de mejora continua, por
tal razón las políticas y controles que se establecen para la resguardo de la
información deben revisarse y adecuarse para los nuevos riesgos que aparezcan,
para así establecer las acciones que permitan reducirlos y si es posible en el mejor
de los casos eliminarlos.
Si dentro de la dinámica del negocio de una organización, la información de sus
8
GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo
editor, México, Primera Edición, Pág. 18.
31
transferencia de información en las organizaciones, contrarrestar los ataques de
seguridad y proporcionar la confidencialidad, la integridad y sobre todo la
disponibilidad de los servicios.
Desde el punto de vista de los servicios de seguridad, se definen 3 factores
importantes frente a la seguridad de la información, los cuales fueron tomados de
GÓMEZ VIEITES Álvaro, Enciclopedia de la seguridad informática, Alfaomega
Editores, 2007.
» NO REPUDIO: Proporciona protección contra la interrupción, por parte de
alguna de las entidades implicadas en la comunicación, de haber
participado en toda o parte de la comunicación.
» NO REPUDIO DE ORIGEN: El emisor no puede negar que envió porque el
destinatario tiene pruebas del envío, el receptor recibe una prueba
infalsificable del origen del envío, lo cual evita que el emisor, de negar tal
envío, tenga éxito ante el juicio de terceros.
» NO REPUDIO DE DESTINO: El receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción. Este servicio
proporciona al emisor la prueba de que el destinatario legítimo de un envío,
realmente lo recibió, evitando que el receptor lo niegue posteriormente.
En definitiva, el no repudio evita que el emisor o el receptor niegue la transmisión
del mensaje.
Una condición que posee la información es la portabilidad (envío, recepción y
traslado de la misma), entonces, desde el punto de vista de protocolo de
seguridad en comunicaciones se definen 3 aspectos:
» PROTOCOLO: Código de procedimientos o reglas estandarizadas para
controlar el flujo y la compatibilidad en el envío y recepción de información.
» CRIPTOGRAFÍA (cifrado de datos): Método por el cual se transposiciona u
oculta un mensaje hasta que llega a su destino.
32
» AUTENTICACIÓN: Técnica de validación de identificación que comprueba
que el envío, recepción o modificación de información no la hace un
impostor.
Identificar las vulnerabilidades dentro de la infraestructura tecnológica
organizacional es también un componente vital dentro de la seguridad de la
información, desde el punto de la vulnerabilidad de la información, se definen:
» AMENAZA: Acción o evento que puede ocasionar consecuencias adversas
en los datos.
» ATAQUE: Tipo y naturaleza de inestabilidad en la seguridad.
Otros 2 aspectos que deben tenerse muy en cuenta al definir la seguridad de la
información son sus particularidades y sus cualidades:
La administración de la información está basada en la tecnología; ésta puede ser
Y/O tener los siguientes atributos:
» Confidencial: Información centralizada y de alto valor.
» Divulgada: Mal utilizada, robada, borrada o saboteada.
Estas particularidades afectan la disponibilidad y la ponen en riesgo.
Cualidades de la información:
» Critica: Indispensable para la operación de la organización.
» Valiosa: Considerada como activo para la organización.
» Sensitiva: Debe ser conocida por las personas autorizadas.
33
» Riesgo: Todo tipo de vulnerabilidades y amenazas que pueden ocurrir sin
previo aviso.
» Seguridad: Forma de proteger la información frente a riesgos.
Pilares de la seguridad de la información9:
» CONFIDENCIALIDAD DE LA INFORMACIÓN Y DE LOS DATOS:
Propiedad de prevenir la divulgación de información a sistemas o personas
no autorizados.
» INTEGRIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Propiedad que
busca mantener los datos libres de modificaciones no autorizadas.
» DISPONIBILIDAD DE LA INFORMACIÓN Y DE LOS DATOS:
Característica de la información de encontrarse SIEMPRE a disposición del
solicitante que debe acceder a ella, sea persona, proceso o sistema.
(Prevención del ataque de denegación del servicio).
Por otro lado, dentro del tema de seguridad de la información se debe también
conceptualizar su complemento, la inseguridad de la información:
Solo se concibe la inseguridad de la información desde el punto de vista de
seguridad de la información, como ente adjunto: si bien la seguridad de la
información puede significarse como todos los mecanismos en pro de
salvaguardar la integridad, la confidencialidad y la disponibilidad de la información,
la inseguridad de la información no tiene una concepción antagónica sino
la manera estratégica en como
9
ISO/IEC 17799:2005
34
las organizaciones establecen un escenario futuro de los riesgos sobre la
10
Es necesario entonces reconocer, que sólo mirando las posibilidades de falla y
vulnerabilidad, es posible mejorar la práctica misma de la administración de
riesgos y la definición de mecanismos de seguridad y control.
Buscar formas detalladas para la gestión de los riesgos en los que cae la
información, y suministrar herramientas eficientes que permitan detectar y dar
respuesta oportuna a los incidentes de seguridad de la información a través de la
implementación de una guía de seguimiento y revisión de los procesos del
sistema, es un punto neurálgico del presente proyecto, cuya solución se
dictaminará durante su ejecución, ofreciendo mecanismos que permitan
paralelamente tener presente los escenarios de inseguridad de la información
posibles y a su vez los medios de seguridad aplicables en el ámbito.
Desde una óptica teórica propiamente dicha (sin tener en cuenta la normatividad y
los estándares mencionados en los capítulos anteriores), se ha escrito muy poco
sobre la seguridad de la información y su papel desempeñado dentro de la
organización; por eso, en éste marco se pretende mostrar los aportes que han
enriquecido los estándares de prácticas de seguridad de la información, y desde la
perspectiva de los autores, esbozar un posible direccionamiento de la norma ISO
27001, desde el punto de vista de la aplicación de la guía de buenas prácticas de
seguridad de la información -propuesto y desarrollado - en el proyecto.
10
CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la inseguridad
informática, extraído del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de
2010.
35
Las buenas prácticas de administración indican que el establecimiento claro de la
misión de una organización es indispensable para que todos los funcionarios
ubiquen sus propios esfuerzos y los direccionen en bien de la misma. [Glueck, W.
Business Policy and Strategic Management -Hill, 1984],
además permite elaborar políticas operativas que facilitan el cumplimiento de la
misión de la organización, que pueden entenderse como reglas que hay que
seguir obligatoriamente.
Es usual que la alta gerencia cometa errores en cuanto a la seguridad de la
información de sus organizaciones, como por ejemplo suponer que los problemas
desaparecen si se ignoran, no entender cuánto dinero vale su información y que
tanto depende la organización de ella, no lidiar con los aspectos operacionales de
la seguridad, no entender la relación que existe entre la seguridad y los problemas
de funcionamiento y marcha de la organización, entre otros. Si la administración
empresarial propone una misión para direccionar estratégicamente la
se
solucione las falencias, ubicando la seguridad informática al mismo nivel que
otras actividades sustantivas de la organización, elaborando un plan de seguridad
informática clara, promulgando políticas que se derivan de dicha misión y
determinando que mecanismos se requieren para implementar esas políticas 11.
11
La Seguridad de la Información
Limusa Noriega Editores, 2007. Pág. 215.
36
1.7.2. Análisis de Riesgos
Un paso intermedio entre la administración de la seguridad, -que desemboca en la
generación del plan estratégico de seguridad (misión de seguridad)- , y las
políticas de seguridad, es el análisis de riesgos de la información dentro de la
organización; es aquí donde "se analiza una metodología práctica para el
desarrollo de planes de contingencia de los sistemas de información, que
comprende: la identificación de riesgos, calificación del impacto del mismo si se
hiciera realidad, evaluación del impacto en los procesos críticos y la creación de
estrategias de contingencias"12.
Las buenas prácticas de Inseguridad de la información juegan un papel importante
en este punto, puesto que no se puede proteger la información, si no se sabe
contra qué hay que protegerla. Es necesario entonces, identificar cualquier
aspecto que ponga en riesgo los pilares de la seguridad de la información, así
como definir e implantar la defensa necesaria para mitigar y/o eliminar sus
posibles consecuencias.
Salvaguardar la confidencialidad, la integridad, la autenticidad y la disponibilidad
de la información es la característica que en el fondo define el modelo que se
quiere diseñar en el presente proyecto. Aunque estas características soportan
No todas deben estar vigentes
simultáneamente, ni tienen todas la misma importancia en todas las
circunstancias 13 . Existen casos de aplicación en que en ocasiones es más
importante la confidencialidad (acciones militares por ejemplo) que la
disponibilidad, otros casos en que la información debe ser auténtica (inversiones),
etc. Debe determinarse en qué casos, cuáles de las propiedades son necesarias o
importantes.
12
NIMA RAMOS Jonathan D,
de información empresarial y de negocios
13
La Seguridad de la Información
Limusa Noriega Editores, 2007. Pág. 26.
37
La seguridad de la información, como disciplina, trata precisamente de establecer
metodologías para determinar cuáles de las 4 características son deseables en
alguna circunstancia y de encontrar la forma de lograr que se apliquen 14.
En el proceso de análisis de riesgos de la información se pueden diferenciar dos
módulos: a) La Evaluación del riesgo, orientado a determinar los sistemas de
información y sus componentes, que pueden ser afectados directa o
indirectamente por agentes externos, y b) La Gestión del riesgo, que implica la
identificación, selección, aprobación y administración de las defensas para
eliminar, o reducir a niveles aceptables, los riesgos evaluados. En conclusión, su
papel es reducir la posibilidad de que una amenaza ocurra, si ocurre, limitar su
impacto, eliminar la vulnerabilidad existente y retroalimentar para futuras
eventualidades.
Posterior al establecimiento de la misión de seguridad, se requiere redactar las
políticas en las que se basará el cumplimiento de la misión. La importancia de la
no se tiene un marco de
referencia general de seguridad, puesto que permiten definir los procedimientos y
herramientas necesarias del sistema de seguridad 15.
Los beneficios del establecimiento de las políticas de seguridad de la información
ayudan a tomar decisiones sobre otros tipos de política empresarial (propiedad
intelectual, destrucción de información, etc.), que al final de cuentas redunda en
una estructura de calidad de servicio, seguridad en el servicio y dispone un
ambiente propicio para suministrar una guía, ya que si ocurre un incidente, las
políticas constituyen un marco referencial sobre quién hace qué acciones que
minimicen el impacto de los mismos.
14
Ibídem, Pág. 27
15
DALTABUIT GODAS Enrique, VÁZQUEZ José de Jesús, La Seguridad de la Información. Pág.
221, Limusa Noriega Editores, 2007.
38
1.8. DIRECCIONAMIENTO
La fortaleza de la norma ISO/IEC 27001 en materia de gestión de seguridad de la
información, a día de hoy nadie la pone en duda, de hecho desde su publicación,
esta norma ha empezado a ser parte fundamental, al menos en teoría, del
funcionamiento administrativo de las organizaciones.
Sin embargo, esta norma esta todavía lejana de alcanzar el grado de implantación
funcional a nivel mundial, que si han alcanzado otros estándares de gestión, como
por ejemplo el estándar que establece los requisitos de un sistema de gestión de
la calidad: ISO 9001.
Es tal la superioridad de la ISO 9001 frente a las ISO/IEC 27001, comparadas en
nivel de implantación que la norma ISO 9001 se sale del ámbito administrativo de
"certificación" y se plantea en un plano de requerimiento funcional de cualquier
empresa en el mundo. Así, si no se está certificado en ISO 9001, se está fuera del
mercado mundial.
Analizando la evolución de esa norma (ISO 9001), es posible inferir una evolución
similar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o de
cumplimiento obligatorio, se empiezan a ver signos significativos de su
implantación en la organización como se describe:
En Perú, la ISO/IEC 27002:2005 (Guía de buenas prácticas. No certificable) es de
uso obligatorio en todas las instituciones públicas desde el año 2005, fijando así
un estándar para las operaciones de la Administración16.
En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos
sectores, es el caso de los operadores de información, que de conformidad con el
Decreto 1931 de 2006, se hallan sujetos al cumplimiento del estándar.
16
Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú, Extraído del sitio web
http://www.ongei.gob.pe/ a los 5 días del mes de octubre de 2010.
39
De ser continuo este avance, la seguridad de la información se convierte en una
necesidad, cuyos procesos deben ser certificados no sólo para mejorar dicha
seguridad, sino también para ampliar sus resultados y, por supuesto como se
había anotado antes, para figurar de manera competitiva en un mercado que
conoce la importancia de la seguridad de los activos de información.
Como lo dice Manuel Díaz San Pedro en su artículo ISO 27001 17 : ¿Hacia un
cumplimiento obligatorio? "Desde luego, un punto de apoyo muy sólido hacia esa
evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group,
con el título "Improving Business Results and Mitigating Financial Risk". Según los
datos que recoge el informe, las organizaciones con mayor grado de desarrollo en
Gobierno, Gestión de Riesgos, y Cumplimiento en Tecnologías de la Información
(GRC IT), superan la media de ingresos en un 17% frente a las organizaciones
que no lo implantan, que se traduce en un 13,8% más de beneficios para la
organización
Sin duda, con estos antecedentes, ISO 27001 seguirá avanzando en importancia y
posición de manera similar al estándar de calidad ISO 9001 en cuanto a grado de
institución y exigencia, tanto para la empresa privada como para la pública y la
sociedad en general.
17
DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento obligatorio?, extraído del
sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-
obligatorio.htm Noviembre de 2010
40
1.9. DISEÑO METODOLÓGICO
Este diseño fue validado y aprobado por el grupo consultor especializado en la
temática de Seguridad Informática. Estos lo evaluaron en ocasiones diferentes
realizando ajustes a la herramienta que el modelo plantea dando
retroalimentaciones y proporcionando un valor agregado en cada socialización y
retroalimentar realizada durante la investigación.
1.9.1. Metodología
INDAGACIÓN INICIAL
Se pretende conocer los diferentes modelos existentes para la implementación del
SGSI desarrollados por diferentes autores y en diferentes países con el fin de
ampliar la información y perspectivas del sistema.
ELABORACIÓN DE CATEGORÍAS
Con la información obtenida en la indagación inicial se definirán puntos
divergencia y convergencia, de allí se establecerán los componentes más
importantes de la guía para lograr el establecimiento de las categorías principales
que conformarán la misma.
CONSTRUCCIÓN DE DIAGNOSTICO INICIAL
Con los elementos anteriores se elaborará un documento que esboza los aspectos
preliminares de la guía de buenas prácticas de seguridad de la información.
PRESENTACIÓN DE RESULTADOS
Grupos focales con personal especializado
La información obtenida y procesada se presentará a un grupo de expertos,
conformado por especialistas en el tema para retroalimentar los hallazgos y
obtener nueva información relevante para la construcción de la guía.
41
RETROALIMENTACIÓN DEL MODELO
Con los resultados obtenidos se construye un modelo, constituido según el
Instituto Andaluz de Tecnología por procedimientos estratégicos y de apoyo18, los
cuales son retroalimentados para posteriores verificaciones, y seguirán el
siguiente formato Ver Tabla 1:
18
Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología, ISBN 84-923464-7-
7, Pág. 22.
42
Tabla 1. Formato de Procedimientos
NOMBRE
RESPONSABLE
TIEMPO ESTIMADO/FRECUENCIA
FORMATOS DE REFERENCIA
OBJETIVO
ACTIVIDADES
1.
2.
3.
4.
5.
DESCRIPCIÓN
<
OBSERVACIONES
Fuente: Elaboración propia.
43
2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO
El presente trabajo se desarrolló en 5 fases o momentos:
I. INDAGACIÓN INICIAL: Se pretende conocer los diferentes modelos
existentes para la implementación de buenas prácticas de seguridad de la
información desarrolladas por diferentes autores y en diferentes países con
el fin de ampliar la información y perspectivas de la guía. Para ello se
realizó una exhaustiva indagación de trabajos, escritos, normas, y se pudo
establecer que no existe una amplia documentación en la temática, sin
embargo este proyecto es resultado de la indagación teórica, conceptual y
normativa del tema.
II. ELABORACIÓN DE CATEGORÍAS: Con la información obtenida en los
antecedentes y las tendencias se definieron puntos de divergencia y
convergencia, de allí se establecieron los componentes más importantes
del sistema para lograr el establecimiento de las categorías principales que
conformarán la guía. Ver figura 3
44
En los tres conceptos iníciales que se habían determinado como ejes estructurales
de la presente investigación: seguridad informática, seguridad de la información e
inseguridad de la información, se hallan inmersos elementos constitutivos y en
diversos contextos tanto normativos, legales y tecnológicos, sin embargo desde el
punto de encuentro de los autores del presente trabajo se establecen elementos
integrantes conceptuales como:
DE LA PREOCUPACIÓN DEL AGUJERO EN LA CAPA DE OZONO A LOS
Si se pudiera definir la administración como todos los procesos que conlleven a
planificar, organizar, dirigir y controlar ciertos recursos con el ánimo de obtener
beneficios, debería poderse adherir a esa definición, el establecimiento de los
roles que pondrían en marcha dichos procesos. El quién, el qué y el cómo, se
vuelven pilares fundamentales del engranaje que mueve el sistema que busca el
beneficio mencionado.
Formas, maneras, y métodos de administración existen muchos, pero si a estos
diversos métodos asignamos u
información puede tomarse entonces como la forma en que se tratan los datos que
proporcionan la facilidad de tomar decisiones de algún tipo y que generan
conocimiento para planear, organizar y dirigir procesos. Si a esta planeación de
puede descubrirse que esta información es susceptible a variables diversas del
entorno, que inciden en ella, y la transforman en una potencial base estratégica de
adelanto y crecimiento empresarial, o en un apabullante muro de perdida y
quiebras. Y como sucede esto?. Es sencillo: dependiendo de la intención que
Es necesario entonces plantear barreras que permitan verificar en cierta medida
46
Esta necesidad de implantación de barreras, de métodos y estrategias, de
direccionamientos y verificaciones se llama Administración de seguridad de la
información, y es un ítem que toca profundamente los objetivos de este proyecto.
Imaginemos que todo lo planteado en los párrafos anteriores, se asimila a lo que
sucede en la capa de ozono que se encuentra en la estratosfera,
aproximadamente de 15 a 50 Km sobre la superficie del planeta. El ozono es un
compuesto que actúa como un potente filtro solar, evitando el paso de una parte
de la radiación ultravioleta (UV) a la superficie de la tierra. La radiación UV puede
producir daño en los seres vivos, dependiendo de su intensidad y tiempo de
exposición; estos daños pueden abarcar desde irritación a la piel, conjuntivitis y
deterioro en el sistema de defensas, hasta llegar a afectar el crecimiento de las
plantas, con las posteriores consecuencias que esto ocasiona para el normal
desarrollo de la vida en la tierra.
En este caso el conocimiento organizacional de la empresa, y todo su
direccionamiento estratégico estaría representado por la vida en la tierra y la
gerencia sería la capa de ozono, que garantiza la seguridad de la información, así
mismo los aspectos financieros, la imagen corporativa y la calidez percibida por
los clientes serían los valores susceptibles (información) a posibles daños severos
que surgen a raíz de una sobre exposición a los factores de riesgo,
desencadenando el anormal desarrollo de las actividades del negocio. Por ello la
administración de la seguridad es un potente filtro, que evita el paso de materiales
nocivos y su implementación en el negocio es imprescindible y de vital importancia
para el mismo.
Sin embargo siguiendo el mismo ejemplo, el hueco en la capa de ozono, construye
47
DE LAS ARMAS ATÓMICAS A LAS ARMAS EN ÁTOMOS
A través de la historia la concepción de seguridad ha ido evolucionando; al inicio la
seguridad estaba dirigida a proteger la propia vida y garantizar el bienestar de
esta, para ello, se construyeron armaduras, escudos y otros artefactos que
protegían el cuerpo y la vida de los individuos; con la evolución de las sociedades
y el surgimiento de la explotación mercantil la seguridad se traslada a proteger los
bienes, productos y recursos por cualquier medio. Sin embargo, a través de toda
la evolución social siempre se ha tenido información con acceso restringido para
todos los miembros de la sociedad, información que se ha guardado sigilosamente
en secreto y que es de vital importancia para el desarrollo de las actividades
administrativas, este último apunte es el que da origen a una serie de instituciones
estatales que se dedican a la recolección y a salvaguardar la información
importante; actualmente estas conductas seguras con respecto a la información se
han trasladado a otro tipo de organizaciones en busca de proteger los elementos
de competencia que poseen.
Ahora bien, todo este proceso ha requerido un aprendizaje catastrófico para
muchas empresas y organizaciones, pues lo que se hace en la actualidad está
basado en los errores del pasado, es de esta forma que hoy en día se cuenta con
una gran variedad de herramientas para mantener la información segura y con
esta a la organización. Sin embargo, tener a disposición tales herramientas no
garantiza la protección absoluta de la información y la organización, pues es
necesario recordar que tales herramientas son manipuladas por personas y que
estas pueden cometer errores, por lo que la concienciación de las personas que
componen la organización respecto a prácticas catalogadas como seguras debe
considerarse como un pilar en el establecimiento de un SGSI
Teniendo un modelo de seguridad a seguir como algo primordial para la
organización pueden evitarse pérdidas excesivas de dinero, además de esto los
daños a la información pueden llegar a ser devastadores para la organización,
tomando medidas preventivas se pueden garantizar escenarios controlados para
conservar la integridad, disponibilidad y confidencialidad de la información de la
organización.
48
III. CONSTRUCCIÓN INICIAL DEL MODELO: Como se había planteado en el
anteproyecto, con los elementos obtenidos en la fases anteriores se elaboró
un informe (Ver Anexo A) que detalla los hallazgos encontrados referentes
a la Seguridad de la Información, de igual forma se plantea el modelo Inicial
llamado Manual de respuesta a incidentes, donde se hace referencia a la
gestión apropiada de la seguridad de la información priorizando las
iniciativas más importantes para cumplir con los objetivos y metas respecto
a esta en la organización, con el fin de establecer una guía de manejo
sobre los proyectos de seguridad.
IV. PRESENTACIÓN DEL MODELO A GRUPO FOCAL: Para esta fase de
desarrollo se planteó la valoración del modelo por parte de un grupo de
conocedores (Ver Anexo B), la información obtenida y que soporta la
construcción del Manual de Respuesta a Incidentes, se socializó con este
grupo, con el fin de retroalimentar los hallazgos y obtener nueva
información relevante para la construcción de la herramienta.
El modelo planteado se presentó a un grupo de cuatro ingenieros conocedores de
la temática, y la síntesis de sus sugerencias son las siguientes:
» Enfocar el trabajo realizado del modelo inicial del plan de acción hacia la
legislación vigente y a las buenas prácticas establecidas en ISO 27001 e
ISM3 con el ánimo de normalizar el modelo.
» Encausar el direccionamiento de la Seguridad de la información con la
planeación estratégica empresarial.
» Crear Estrategias, métodos, diferenciar roles y responsabilidades con el fin
de hacer partícipe a toda la organización para la implantación del modelo
dirigido por alta gerencia.
» Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el
análisis del riesgo.
49
» Incluir un plan de capacitación y divulgación de dichas políticas de
seguridad.
V. RETROALIMENTACIÓN DEL MODELO: El modelo obtenido (Ver Anexo C)
al integrar las sugerencias planteadas por el grupo focal da como resultado
variaciones en el modelo inicial respecto a:
» El Manual de Respuesta a Incidentes se transforma en un Plan de acción
de Seguridad de la Información.
» Se crea un anexo documental respecto al Análisis y Gestión de Riesgos de
Seguridad de la Información.
» Se establecen estrategias de difusión y comunicación del modelo.
NOTA: Puesto que las fases del plan de análisis están diseñadas de una manera
incremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como se
sigue:
El modelo planteado del Plan de Acción y Análisis y Gestión de Riesgos de la
Seguridad de la Información son puestos a consideración nuevamente al mismo
grupo focal, quienes retroalimentaron dichos planteamientos.
50
RETROALIMENTACIÓN DEL MODELO
Las sugerencias planteadas por el grupo focal son adicionadas al Plan de Acción y
al Análisis y Gestión del Riesgo de Seguridad de la información (ver Anexo D), los
cambios planteados son los siguientes:
» Se sugiere una adecuada disposición final de los activos de información,
tener un método seguro con el cual realizar la eliminación de dichos activos
de la organización.
» Se plantea un plan de capacitación riguroso y dinámico, aprovechando todo
el proceso de Análisis y Gestión del Riesgo para generar los temas de
capacitación en donde se encuentran falencias, además de esto se logre un
compromiso de formación por los participantes. Es muy importante brindar
una difusión en cuanto a Plan de Acción y Análisis y Gestión del Riesgo
generando un compromiso con los objetivos y metas de dichos
lineamientos.
El modelo anterior es presentado al grupo focal, y se detectaron falencias en
cuanto a la disposición final de los activos de información, teniendo en cuenta que
este es un factor de riesgo importante, la forma en cómo se realiza el tratamiento
de eliminación o baja de los activos de información desde el momento en que
considera necesario prescindir de ellos.
Otro cambio que surgió de los datos obtenidos de los expertos fue generar
estrategias de capacitación más dinámicas creando un compromiso con los
miembros de la organización.
El procedimiento se encuentra descrito en ESTRATEGIAS DE CAPACITACIÓN Y
COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO presentado en el
Anexo E, el cual está diseñado para implementar programas de formación y toma
de conciencia por parte de los integrantes de la organización. Estas estrategias de
capacitación optimizan y mejoran la difusión de los procedimientos que se
encontraban inmersos tanto en el Plan de Acción como en Análisis y Gestión del
51
Riesgo, para así lograr una capacitación integral y más rigurosa dirigida a todo el
modelo.
Tras presentar el modelo obtenido al grupo focal, surge la necesidad de
complementar la guía con un ítem que ayude a gestionar los incidentes de
seguridad presentados al interior de un organización, y por ello se plantea la
revisión de la Norma ISO/IEC 27005:2009 Gestión del Riesgo de la Seguridad de
la Información, para que sirva de apoyo la creación de una guía de respuesta a
incidentes de seguridad de la información.
52
3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES
Un modelo validado de buenas prácticas de seguridad de la información.
Un diagnóstico general a través de la construcción de tendencias de prácticas de
seguridad de la información en Colombia, CAN y Estados Unidos.
Un proceso investigativo sistematizado para la construcción de un manual de
procedimientos para la administración de la seguridad de la información,
propuesto como Guía de Buenas Practicas de Seguridad de la Información en
Contextos de Micros, Pequeñas y Medianas Empresas de la Región.
3.2. CONCLUSIONES
Aunque el tema ha cobrado vigencia en los últimos años, no se accede fácilmente
a información sobre el tema de seguridad informática aplicada en modelo.
Para que el modelo sea aplicado, se debe generar un espacio de formación a todo
el personal que tenga interacción y acceso a la información. En los espacios
empresariales, se hace un gran esfuerzo para que todos los empleados tengan las
competencias que permitan acceder a los sistemas de información, sin embargo
pocas son las actividades y procesos que se desarrollan para que lo hagan de una
forma segura.
No obstante la abundante gama normativa y Legal, éstas per se no garantizan
seguridad total de la información.
53
Aun los profesionales en temas informáticos, suelen no diferenciar entre
conceptos de seguridad informática y seguridad de la información, lo cual puede
generar o sesgos en cuanto esfuerzos o direccionamiento de los esquemas
preventivos. Olvidando la visión holística que permitiría minimizar riesgos.
El reducido abismo entre modelar y aplicar, esquemas de seguridad informática y
de información, también está mediado por la profundidad del mismo. Por lo cual
organizaciones que han realizado inmensas inversiones para el desarrollo de
modelos súper avanzados y con todas las medidas planificadas para evitar
ataques, se han olvidado de las realidades de sus recursos para aplicarlos, casi
experimentando mega procesos para ser aplicados por débiles equipos de trabajo.
De esta manera se puede concluir que los procesos deben ser adecuados a las
realidades de cada organización, por ello el presente proceso investigativo no
genera un modelo rígido y e inamovible, sino antes bien entrega una herramienta
para tener en cuenta en el momento que se vaya a generar un modelo aplicado y
hecho al medida de cada organización.
Debe reafirmarse al empresario local que la adquisición tecnológica no implica
seguridad de la información, si no que esto requiere de buenas prácticas
estandarizadas de la administración de los activos de información.
Una gestión adecuada de los activos información trae como resultado la
implementación de un SGSI.
La seguridad informática para una organización se debe entender como un
proceso y no como un producto que se puede comprar o instalar, esto se trata de
un proceso continuo, en el que se incluyen actividades como la valoración de
riesgos, prevención, detección y respuesta ante incidentes de seguridad.
La implementación de medidas de seguridad en lugar de agilizar los procesos,
ayudan al detrimento del rendimiento de los mismos (ej: envío de un mensaje
encriptado).
54
3.3. RECOMENDACIONES
Se recomienda a nuevos investigadores dar a conocer el concepto de seguridad
de la información en las empresas de la región para así asegurar la adecuada
gestión de los activos de información teniendo en cuenta que estos abarcan todo
lo relacionado en salvaguardar los pilares de la seguridad de la información.
Generar en todos los integrantes de la organización un gran compromiso con la
seguridad de la información y de lo significativo que son estas prácticas para la
continuidad de los objetivos organizacionales.
La legislación se debe unir con los interesados en informática y así generar
nuevas leyes que rijan este ámbito, sin obstaculizar el libre funcionamiento de la
informática especialmente con la internet, puesto que hay muchos intereses en
este mundo tan amplio y pueden dirigirse por caminos no correctos y así limitar la
fluidez del conocimiento.
A partir del modelo planteado en este proyecto investigativo, debe surgir un nuevo
proyecto, que plantee la ejecución del modelo al interior de una organización.
55
4. REFERENCIAS BIBLIOGRÁFICAS
[1] ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49.
Artículo: Encuesta nacional Seguridad informática en Colombia: Tendencias 2010.
Extraído del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de
2010.
[2] [4] [5] [6] [8] GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad
Informática, Alfa omega Grupo editor, México, Primera Edición.
[3] INFOSEC Glorssary 2000.
[7] Cornell University Law School, Extraído del sitio web
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-
.html a los 4 días de Octubre de 2010.
[9] ISO/IEC 17799:2005
[10] CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la
inseguridad informática, extraído del sitio web
http://www.acis.org.co/index.php?id=457 el 15 septiembre de 2010.
[11] [13] [14] [15]
oriega Editores, 2007.
[12]
Universidad de Piura, Perú, 2009
[16] Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú,
Extraído del sitio web http://www.ongei.gob.pe/ a los 5 días del mes de octubre de
2010.
56
[17] DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento
obligatorio?, extraído del sitio web http://www.gestiopolis.com/administracion-
estrategia/iso-27001-cumplimiento-obligatorio.htm el 8 de noviembre de 2010.
[18] Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología,
ISBN 84-923464-7-7
[19] ISO/IEC 27001:2005
57
ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
La necesidad de implantar estrategias que permitan que la información se
mantenga segura, y que además cumpla con las cualidades de disponibilidad,
integridad y confidencialidad, podría definirse de cierta manera como
administración de seguridad de la información.
Todos los procesos que conlleven a planificar, organizar, dirigir y controlar ciertos
recursos, con el ánimo de obtener beneficios de la información que posee una
organización, conllevan a que a dicha información se le atribuyan niveles altos de
calidad, que permiten tomar decisiones estratégicas que direccionan la
organización, y que además garantizan que la seguridad de la información y más
aun, que las decisiones basadas en dicha información no se verán vulneradas por
factores externos que atenten contra confidencialidad, la disponibilidad y la
integridad de la información.
Con el propósito de establecer un nivel óptimo de seguridad de la información, se
establece un Manual de Respuesta a Incidentes de Seguridad de la Información,
que sirve como guía de implementación dentro de la organización que desee
alinearse con las buenas prácticas establecidas en la ISO 27001.
OBJETIVO
Priorizar las iniciativas más importantes para cumplir con los objetivos y metas
respecto a la seguridad de la información en la organización, con el fin de
establecer una guía de manejo sobre los proyectos de seguridad.
58
DEL MANUAL
Se proporcionan los siguientes procedimientos para la elaboración del Manual de
Respuesta a Incidentes de Seguridad de la Información:
Identificar y conocer las posibles vulnerabilidades de seguridad de la información
al interior de la organización, constituye el paso inicial para el establecimiento de
políticas y estrategias que la direccionen, en vía de salvaguardar la integridad,
disponibilidad y confidencialidad de información de la organización. Realizar un
diagnóstico empresarial determina el punto de partida que prepara la unificación
de los criterios y objetivos empresariales en aras de implementar unas buenas
prácticas de seguridad de la información.
Tras definir los objetivos a alcanzar, e identificar los factores que vulneran la
seguridad de la información de la organización, deben establecerse las líneas
estratégicas de seguridad, que garanticen la creación de un plan de acción frente
a los factores de riesgo a los que se encuentra expuesta la información. Es
importante proporcionar una clara identificación de los objetivos para que el
lineamiento sea marcado sin ambigüedades en el ejercicio de las buenas prácticas
de seguridad.
Concierne a la alta gerencia establecer y garantizar los recursos necesarios, tanto
humanos, técnicos y tecnológicos que aúnen los esfuerzos de los integrantes de la
organización con el fin de cumplir los objetivos establecidos, teniendo una
identificación completa de cada tipo de riesgo probable, asociándolo a cada
departamento implicado, proporcionando soluciones contundentes mediante la
especialización del talento humano, garantizando la idoneidad del personal y la
acertada solución o mitigación del incidente, estableciendo programas de
cumplimiento de prácticas de seguridad mediante guías procedimentales, que
garanticen que los integrantes de la organización conozcan el manual de
respuesta a los incidentes y el respectivo tratamiento de los riesgos, y la posterior
ejecución óptima de cada uno de los procedimientos del manual.
Garantizar que los factores de riesgo sigan un patrón controlable, medible y
parametrizable que permitan una mejora continua, a demás que, los incidentes no
identificados como factores de riesgo sean parametrizados y documentados,
60
proporciona un punto de partida de retroalimentación del manual de respuesta, por
ello, establecer niveles de tolerancia a fallos, garantiza la trazabilidad del riesgo,
puesto que consecuentemente hace un tratamiento del riesgo asumido, y en caso
de la ocurrencia de un riesgo no previsto, formaliza su documentación y posterior
tratamiento.
Por último, si se trazan métodos de seguimiento, revisión y auditoria, no solo se
garantiza la utilización del manual, sino también, una mejora continua como
consecuencia de la retroalimentación de los procesos definidos en el manual de
respuesta a incidentes, influyendo positivamente en la mejora de la calidad de la
seguridad de la información.
PROCEDIMIENTOS DE GESTIÓN
Establecer Diagnóstico Empresarial:
» Encuestar a los miembros de la organización respecto al conocimiento de
políticas de seguridad de la información.
» Verificar que la información obtenida es real.
» Proponer líneas estratégicas de seguridad.
Establecer Líneas Estratégicas de Seguridad.
» Definir los objetivos de seguridad de la información.
» Identificar los factores de riesgo de seguridad de la información.
» Establecer un plan de respuesta a cada factor de riesgo identificado.
Establecer Recursos Necesarios.
» Identificar el tipo de riesgo y asociarlo a cada departamento implicado.
61
» Asignar roles y responsabilidades.
» Garantizar idoneidad de los encargados de las líneas estratégicas de
seguridad.
Establecer Programas de Cumplimiento de Prácticas de Seguridad.
» Establecer una guía de solución de incidentes.
» Garantizar que los integrantes de la organización conozcan el manual de
respuesta a incidentes.
» Garantizar seguimiento y revisión del manual de respuesta a incidentes.
Ejecutar Programas de Cumplimiento de Prácticas de Seguridad.
» Garantizar que el personal cumple con las medidas establecidas en el
manual de respuesta a incidentes.
Establecer Niveles de Tolerancia a Fallos.
» Establecer niveles aceptables de factores de riesgo.
» Garantizar que los factores de riesgo no controlados sean seguidos y
parametrizados.
Revisar, Evaluar y Auditar el Manual de Respuesta a Incidentes.
» Garantizar métodos de revisión, seguimiento y auditoria.
» Garantizar mejora continua.
62
METODOLOGÍA
Tabla 3. Metodología: Manual de Respuesta a Incidentes de Seguridad de la Información
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Encuestar a los miembros Determinar un punto de partida
de la organización respecto que prepare el establecimiento
al conocimiento de políticas de los objetivos de seguridad
de seguridad de la de la organización.
Establecer diagnóstico
información.
empresarial.
Verificar que la información
obtenida es real.
Proponer líneas estratégicas
de seguridad.
Definir los objetivos de Proporcionar una identificación
seguridad de la información. clara de los objetivos de
Identificar los factores de seguridad a seguir y establecer
Establecer líneas
riesgo de seguridad de la los lineamientos de
estratégicas de
información. cumplimiento de dichos
seguridad.
Establecer un plan de objetivos.
respuesta a cada factor de
riesgo identificado.
Identificar el tipo de riesgo y Gestiona los recursos que
asociarlo a cada preparan a la organización para
departamento implicado. la atención y el tratamiento de
Establecer recursos Asignar roles y un incidente
necesarios. responsabilidades.
Garantizar idoneidad de los
encargados de las líneas
estratégicas de seguridad.
Establecer una guía de Proporcionar una guía que
solución de incidentes. permita el tratamiento de los
Garantizar que los incidentes según los riesgos
integrantes de la identificados y la tipificación de
Establecer programas de
organización conozcan el
cumplimiento de los mismos.
manual de respuesta a
prácticas de seguridad.
incidentes.
Garantizar seguimiento y
revisión del manual de
respuesta a incidentes.
Garantizar que el personal Verificar que el cumplimiento de
Ejecutar programas de
cumple con las medidas los procedimientos establecidos
cumplimiento de
establecidas en el manual por la gerencia como guía de
prácticas de seguridad.
de respuesta a incidentes. respuesta a incidentes.
63
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Establecer niveles Garantiza que los factores de
aceptables de factores de riesgo sigan un patrón
riesgo. controlable, medible y
parametrizable que permitan
una mejora continua, a demás
Establecer niveles de
Garantizar que los factores que, los incidentes no
tolerancia a fallos.
de riesgo no controlados identificados como factores de
sean seguidos y riesgo sean parametrizados,
parametrizados documentados y proporcionen
un punto de partida de
retroalimentación del manual.
Garantizar métodos de La alta gerencia debe
revisión, seguimiento y garantizar que el manual de
auditoria. respuesta se sigue según sus
Revisar, evaluar y auditar
el manual de respuesta a lineamientos, a demás de
incidentes.
Garantizar mejora continua. garantizar su seguimiento,
trazabilidad y la aplicación
correcta según los objetivos.
Fuente: Elaboración Propia
64
MAPA DE PROCEDIMIENTOS
Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de Seguridad de la
Información.
Fuente: Elaboración Propia.
65
ESPECIFICACIÓN DE PROCEDIMIENTOS
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
<
OBSERVACIONES
66
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
Proporcionar una identificación clara de los objetivos de seguridad a seguir y establecer los
lineamientos de cumplimiento de dichos objetivos.
<
OBSERVACIONES
67
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
<
OBSERVACIONES
68
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
Proporcionar una guía que permita el tratamiento de los incidentes según los riesgos
identificados y la tipificación de los mismos.
<
OBSERVACIONES
69
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
<
OBSERVACIONES
70
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
Garantiza que los factores de riesgo sigan un patrón controlable, medible y parametrizable
que permitan una mejora continua, además que, los incidentes no identificados como factores
de riesgo sean parametrizados, documentados y proporcionen un punto de partida de
retroalimentación del manual.
<
OBSERVACIONES
71
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
La alta gerencia debe garantizar que el manual de respuesta se sigue según sus
lineamientos, además de garantizar su seguimiento, trazabilidad y la aplicación correcta
según los objetivos.
<
OBSERVACIONES
72
ANEXO B: GRUPO FOCAL
[ GRUPO FOCAL ACTA 001 ]
FECHA: Febrero 25 de 2011
HORA DE INICIO: 08:00 horas
HORA DE FIN: 20:00 horas
OBJETIVO: Socializar y retroalimentar el modelo planteado.
ACTIVIDADES
1. Presentar el modelo del manual de Respuesta a Incidentes de Seguridad de la Información.
>> Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el análisis del
riesgo.
73
ACTA: En reunión con este grupo el día 25 de Febrero de 2011 se puso a
consideración el Manual de Respuesta a Incidentes de Seguridad de la
Información planteado por los autores con el fin de optimizar, cualificar y aterrizar
la propuesta presentada. En dicha reunión se hizo lectura y análisis de la
propuesta por parte de los expertos y a partir de allí, los mismos hicieron sus
aportes, comentarios y sugerencias al modelo presentado.
Edison Barahona: Propone que la investigación debe orientarse a procesos y
procedimientos no a un documento informal como el que se tiene (modelo previo)
debe basarse en normatividad y legislación vigente, así como también en buenas
prácticas de seguridad de la información para que la investigación no quede como
rueda suelta a la estructura del sistema de gestión de seguridad de la información;
así mismo sugiere ser má
Oscar J. Arroyave de la Pava: Asegura que en la práctica los SGSI no se
implementan debido a que no están adheridos a la planeación estratégica de la
empresa y la responsabilidad recaía sobre el departamento/ área de sistemas y TI,
el documento final debe sugerir que quien quiera implantar el modelo debe hacerlo
parte de los objetivos estratégicos empresariales y lograr en el mayor ámbito
posible y la transversalidad del modelo a todas las aéreas.
Jorge Iván Ríos P: Sugiere ser consecuentes entre el documento presentado y el
objetivo general de la investigación; si el objetivo es presentar herramientas
metodológicas, procedimentales y documentales el documento debe ser una
herramienta que contenga procesos, procedimientos, objetivos de cada uno y un
método de comunicación para la empresa que desee implantar el modelo.
Juan Roa Salinas: Sugiere diferenciar notoriamente el campo de acción de cada
uno de los procesos. Sugiere los nombres de: plan de acción de seguridad de la
información, análisis y gestión del riesgo y planes de capacitación.
74
ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN,
ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
El modelo que surge a continuación es consecuencia de las sugerencias
realizadas por el grupo focal; se expuso a este grupo el modelo anterior Manual de
Respuesta a Incidentes de Seguridad de la Información (ver Anexo A) para así
generar una retroalimentación de dicho modelo. El resultado de esta reunión se
describe a continuación:
La estructura del modelo inicial Manual de Respuesta a Incidentes de Seguridad
de la Información evolucionó al modelo de un Plan de Acción de Seguridad de la
Información, el cual, fue enriquecido, con un enfoque más acorde a la legislación
vigente y a las buenas prácticas establecidas en la norma ISO/IEC 27001 e ISM3
con el ánimo de normalizarlo e incluir las acciones referentes a la implementación
y operación de un SGSI.
El objetivo general del Manual de Respuesta a Incidentes de Seguridad de la
Información, aunque tiene un acercamiento leve a la organización, dista en gran
medida de la normatividad y legislación actual, y de la aplicación sobre la
El diagnóstico empresarial fue evolucionado hacia el establecimiento de objetivos
claros, concisos y medibles con el fin de instaurar una planeación estratégica de
seguridad y encausar así la planeación estratégica empresarial con la
implantación de estas prácticas seguras al interior de la organización.
El establecimiento de las líneas estratégicas y la gestión de los recursos del
modelo inicial se transformaron en el cuerpo del Plan de acción de la Seguridad de
la Información actual, mediante la instauración de estrategias, tareas, roles y
responsabilidades que hacen partícipes a los integrantes de la organización,
cumpliendo así con la transversalidad que tiene la seguridad de la información a
todas las áreas de la organización.
Además de esto es sugerido por el grupo focal la separación del procedimiento
Establecer Niveles de Tolerancia a Fallos, el cual se encuentra inmerso en Manual
de Respuesta a Incidentes de Seguridad de la Información, para así crear un
anexo documental enfocado al Análisis y Gestión del Riesgo. A continuación se
presentan las herramientas documentales que surgieron para este modelo:
75
OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividad de la administración de seguridad de la información de la organización.
La efectividad de la administración de la seguridad de la información de la
organización se encuentra entre los lineamientos de un Plan de Acción de la
Seguridad de la Información y de los objetivos estratégicos organizacionales,
teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la
seguridad de la información nos brinda la premisas necesarias para encausar la
seguridad de la información con los objetivos estratégicos empresariales y
segundo lugar que da una pauta para actuar y dar respuesta referente al análisis
de riesgos.
PROCEDIMIENTOS DE GESTIÓN
El Plan de Acción de la Seguridad de la Información está constituido por:
Objetivos, estrategias, tareas, seguimiento y revisión y auditorias.
Como primera parte se van a establecer objetivos claros, concisos y medibles con
la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad
de la Información. Para establecer esos objetivos se va a realizar un diagnóstico
preliminar del estado actual de la organización con referencia a la seguridad de
sus activos de información, con la finalidad de conocer la situación actual y
proyectar la situación ideal de la organización.
Posteriormente se ha determinar la situación deseada que la empresa intenta
lograr y establecer las metas de seguridad a donde se van a dirigir las acciones,
esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere
llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la
autenticidad de la información de la organización. Después de esto, se van a
establecer estándares de medida que permitan definir en forma detallada lo que el
objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos
tienen que tener indicadores de calidad para poder ser medibles y verificar si estos
se están cumpliendo y en qué porcentaje se está logrando, de manera que permita
modificarlos si es necesario.
77
Como segunda parte se van a establecer las estrategias que reflejen el camino a
seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles
sentido, dirección y continuidad mediante el encause de los lineamientos
estratégicos administrativos de la organización y los lineamientos estratégicos de
seguridad de la información; este proceso debe contar con el apoyo de la alta
gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos
de seguridad y los objetivos organizacionales estén direccionados hacia la misma
línea de acción.
Como tercera medida se han establecer las tareas donde se describan los pasos
exactos para el cumplimiento de las estrategias; éste apartado está compuesto por
las siguientes actividades: primero, determinar cuáles son las dependencias de la
organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y
las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas;
tercero, Objetivizar cada tarea y verificar que hace parte de la planeación
estratégica de seguridad y de la planeación estratégica organizacional, realizando
tareas posibles de cumplir y que están dentro de los lineamientos de la
planeación estratégica de seguridad y de la planeación estratégica organizacional.
Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan
tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de
ellas debe tener un inicio y un final teniendo un control para así evitar perder el
recurso tiempo, por último en este ítem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quien la hace, por que la hace, los tiempos y resultados de dicha tarea.
Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y
evaluación de cumplimiento, está constituido por la elaboración de un plan de
evaluación de resultados y establecimiento de referencias (tanto cualitativas como
cuantitativas), a través de indicadores comparables y medibles, para dar
seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos
para la Administración de la Seguridad de la Información, el plan de evaluación de
resultados entregado por el seguimiento y la revisión y estos resultados deben
estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje
de cubrimiento de objetivos es que se está cumpliendo las metas del plan de
acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la
aplicación del modelo, garantizando que en cualquier momento se puede acceder
a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe
78
evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo,
cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver
las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora
continua; la primera hace referencia a la realización estricta de los procedimientos
documentados y, la segunda hace referencia a la verificación y reajuste de los
procedimientos con el fin de mantener la documentación de los mismos
actualizada.
Es importante tener claro que la capacitación debe ser un proceso continuo y
transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA
LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar
programas de formación y toma de conciencia por parte de los integrantes de la
organización.
A continuación se lista las actividades de cada uno de los procedimientos de
gestión que componen el Plan de Acción de la Seguridad de la Información:
ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES
» Realizar un diagnostico preliminar del estado actual de la organización en
referencia a las seguridad de sus activos de información.
» Determinar la situación deseada que la empresa intenta lograr, y establecer
las metas de seguridad a donde se dirigen las acciones.
» Establecer indicadores de medida que permitan definir en forma detallada lo
que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los
estándares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumpliéndose, y si es necesario
modificarlos o no.
79
ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR
PARA LOGRAR DICHOS OBJETIVOS.
» Dar sentido, dirección y continuidad a los objetivos mediante el encause de
los lineamientos estratégicos administrativos y los lineamientos estratégicos
de seguridad de la información.
» Establecimiento de las líneas de acción para el cumplimiento de los
requerimientos funcionales del modelo.
DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA
EL CUMPLIMIENTO DE LAS ESTRATEGIAS.
» Determinar las dependencias, alcance y delimitaciones de cada tarea.
» Objetivizar cada tarea y verificar que hace parte de la planeación
estratégica de seguridad y de la planeación estratégica organizacional.
» Determinar tiempos de adelanto, avance, entregas o posposición de cada
tarea.
» Asignar roles y responsables directos en cada tarea.
80
» Asegurar el seguimiento y la trazabilidad de la aplicación del modelo.
» Garantizar la calidad y la mejora continua.
METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN
Tabla 4. Metodología Plan de Acción de Seguridad de la Información
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Realizar un diagnóstico
preliminar del estado actual
de la organización en
referencia a las seguridad
de sus activos de
información.
Determinar la situación
La alta gerencia establece los objetivos
deseada que la empresa
de una manera clara, concisa y medible,
Establecer los objetivos intenta lograr, y establecer
que de las directrices de la creación del
del plan de acción. las metas de seguridad a
plan de acción de seguridad de la
donde se dirigen las
información.
acciones.
Establecer indicadores de
medida que permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qué tiempo y si
es posible, a que costo
Encausar los lineamientos
estratégicos La alta gerencia debe garantizar que los
administrativos y los objetivos estratégicos organizacionales y
lineamientos estratégicos los objetivos estratégicos de seguridad
Establecer las estrategias de seguridad. de la información tienen las mismas
del plan de acción. Establecer las líneas de directivas, con el fin de cumplir
acción para el efectivamente con los requerimientos
cumplimiento de los funcionales del sistema de gestión de
requerimientos funcionales seguridad de la información
del modelo.
81
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeación estratégica específicas que garanticen el
Determinar las tareas y de seguridad y de la cumplimiento de las estrategias del plan
asignar roles y planeación estratégica de acción de seguridad de la
responsabilidades. organizacional. información, y para cada una de ellas,
Determinar tiempos de asignar un responsable directo y un rol
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposición de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicación de los objetivos métodos de revisión, seguimiento y
del plan de acción. evaluación de cumplimiento de los
Establecer los métodos
Asegurar que se realiza objetivos del plan de acción, y garantizar
de auditoría
seguimiento a la aplicación que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable. establecidas.
Garantizar la calidad y
mejora continua.
Fuente: Elaboración Propia
82
MAPA DE PROCEDIMIENTOS
Figura 7. Mapa de procedimientos Plan de Acción de Seguridad de la Información
Fuente: Elaboración Propia
83
ESPECIFICACIÓN DE PROCEDIMIENTOS
FORMATOS DE REFERENCIA
OBJETIVO Determinar las metas que se deben cumplir en el plan de acción de seguridad
de la información.
ACTIVIDADES
2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.
DESCRIPCIÓN
La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las
directrices de la creación del plan de acción de seguridad de la información.
<
OBSERVACIONES
Los estándares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.
84
FORMATOS DE REFERENCIA
OBJETIVO Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.
ACTIVIDADES
DESCRIPCIÓN
La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los
objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de
seguridad de la información.
<
OBSERVACIONES
85
FORMATOS DE REFERENCIA
OBJETIVO Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de acción.
ACTIVIDADES
DESCRIPCIÓN
La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las
estrategias del plan de acción de seguridad de la información, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.
<
OBSERVACIONES
86
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
<
OBSERVACIONES
87
ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
OBJETIVO
Identificar cualquier riesgo significativo en los activos de información,
estableciendo el impacto potencial de estos en la organización con la finalidad de
eliminarlos o atenuarlos, limitando sus consecuencias y minimizando las pérdidas;
esto con el propósito de poseer la información suficiente que apoye la toma de
decisiones gerenciales respecto a los controles más apropiados para la seguridad
de la información y a los funcionarios de cada proceso atender sus incidentes de
seguridad de la mejor forma posible, además de esto permitir el cumplimiento de
los objetivos estratégicos de la organización acatando las políticas de la gestión
del riesgo.
ASPECTO LEGAL
88
DEL MANUAL
El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de información y por ende la continuidad de la
organización, creando estrategias de análisis, identificación de falencias,
fortalezas y recursos de información que se poseen en la organización, además de
esto evidenciar como se atienden las incidencias de seguridad; garantizando una
buena toma de decisiones respecto a los controles más apropiados para la gestión
de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos
estratégicos de la organización tiene como resultado el encause de las labores al
propósito o fin organizacional.
Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el
decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a
la administración de riesgos, donde se considera como parte integral del
fortalecimiento de los sistemas de control interno en las entidades, y se reconoce
el análisis del riesgo como un proceso permanente e interactivo entre la
administración y las oficinas de control interno.
Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad
de la Información se desarrollan de la siguiente forma:
En primer lugar se debe establecer la situación actual de la organización en
cuanto a seguridad de la información, efectuándose mediante la observación, el
seguimiento y la revisión de los procesos, estos resultados se obtienen a través
entrevistas y encuestas a los integrantes de la organización, además de esto
realizar una revisión de la documentación que se posee.
Posteriormente se han de determinar cuáles son los activos de información
que se poseen para ser identificados, cada uno de estos activos encontrados se
clasifican según el impacto que puede llegar a sufrir la organización si dicho activo
llega a fallar, se les asigna un valor que representa cuán importante es para la
organización.
Como siguiente medida se identifican los factores de riesgo para cada uno de
los activos de información, realizando la identificación de los factores internos y
90
externos a los cuales se encuentran expuestos dichos activos, luego de esto
categorizar las amenazas identificadas o la posibilidad que ocurra un evento
adverso, para así establecer métricas que permitan analizarlas y clasificarlas en
cuanto al daño que pueden llegar a causar a los activos de información que posee
la organización.
A continuación se han de Identificar los de activos de información vulnerables
en la organización, teniendo como vulnerabilidad el grado de resistencia que
tienen los activos de información para sus respectivas amenazas, se establece el
potencial que tienen estas para causar efectos adversos en los activos de
información.
Es importante tener en cuenta que no todos los activos de información poseen la
misma calidad de información, por lo que es necesario establecer un análisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.
El siguiente paso es Establecer el nivel de protección de los activos de
información, que brinda como resultado la información precisa acerca de las
estrategias de protección utilizadas para garantizar el adecuado funcionamiento
del activo de información.
Con el análisis de la información obtenida en estos procesos se continúa con un
paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la
Información que es la Calificación del impacto del riesgo si este se hiciera
realidad, aquí se evalúan las consecuencias de un fallo en la seguridad de la
información o que un riesgo se haga efectivo en los activos de información.
Con la clasificación del impacto del riesgo se busca establecer en primer lugar
cuales son los activos más susceptibles de daño, por lo que es importante tener
claridad de cómo se realiza la protección de cada uno de ellos; además es
necesario evaluar el impacto para la organización si tales riesgos se hacen
efectivos.
No pueden faltar las estrategias de contingencia que puedan suplir el
funcionamiento de los procesos de la organización, planteando medidas alternas
91
que permitan la continuidad de los procesos organizacionales sin afectar en gran
medida los procesos establecidos.
El establecimiento de alternativas funcionales, aunque no garanticen la
continuidad absoluta de los procesos organizacionales, garantizará que el
proceso afectado no se detenga y no afecte de manera crucial el buen
funcionamiento de la organización.
Una vez que se han identificado los riesgos en los activos de información y en las
prácticas de seguridad que se implementan en la organización, se puede
determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
información y el impacto que puede tener en la organización, así entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
de la mejor forma posible, de esta manera se puede garantizar una buena Gestión
del tratamiento del riesgo de la Seguridad de la Información.
PROCEDIMIENTOS DE GESTIÓN
ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN
» Observar y realizar seguimiento a procesos de la organización.
» Desarrollar entrevistas y encuestas a los integrantes de la organización.
» Revisar la documentación que se posee.
IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.
» Clasificar los de activos de información que posee la organización.
» Asignar un valor de importancia a estos activos para establecer el nivel de
importancia de cada uno de ellos.
IDENTIFICAR LOS FACTORES DE RIESGO.
» Identificar factores internos y externos que amenazan la seguridad de los
activos de información de la organización.
92
» Categorizar las amenazas identificadas.
» Establecer escalas métricas para el análisis cuantitativo de las amenazas.
» Clasificar las amenazas de acuerdo a resultados obtenidos en la escala
métrica.
IDENTIFICAR ACTIVOS DE INFORMACIÓN VULNERABLES EN LA
ORGANIZACIÓN.
» Identificar cuales amenazas afectan a cada uno de los activos de
información.
» Establecer el nivel de daño que puede generar cada una de las amenazas
en los activos de información.
ESTABLECER EL NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE
INFORMACIÓN.
» Identificar el activo.
» Establecer factores de riesgo para cada activo.
» Establecer la vulnerabilidad para cada activo.
» Puntualizar en qué grado es efectiva la protección para cada activo de
información.
CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.
» Identificar el nivel de importancia del activo afectado.
» Indicar como se realiza la protección para cada activo de información.
» Evaluarlas consecuencias en la organización por estos factores de riesgo.
93
CREAR ESTRATEGIAS DE CONTINGENCIA.
» Identificar los activos de información vulnerables.
» Plantear una estrategia alternativa para que el activo de información
afectado no interfiera con el funcionamiento de la organización.
» Ejecutar la estrategia para el activo de información que lo requiera.
» Realizar evaluaciones periódicas a las estrategias para verificar su
adecuación a los cambios en los activos de información.
Tabla 5. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Observar y realizar
seguimiento a
La situación actual de la organización
procedimientos de la
permite establecer cómo se encuentra
Establecer la situación organización.
esta en cuanto a: sus recursos de
actual de la Desarrollar entrevistas y
software, estrategias de seguridad
encuestas a los
organización. utilizadas, las falencias en los procesos
integrantes de la
realizados y la atención de incidentes
organización.
de seguridad
Revisar la documentación
que se posee.
Clasificar los de activos
Se clasifican los activos de información
de información que posee
según el impacto que puede generar el
la organización.
fallo de éstos en la organización,
Identificar activos de Asignar un valor de
asignándole a cada uno de ellos, un
información. importancia a estos
valor en una escala cuantitativa dónde
activos para establecer el
pueda evidenciarse la importancia de
nivel de importancia de
éstos activos.
cada uno de ellos.
94
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar factores
internos y externos que
En la identificación del riesgo se va a
amenazan la seguridad
ponderar la posibilidad de ocurrencia de
de los activos de
eventos adversos o que las amenazas
información de la
se vuelvan una realidad, identificando
organización.
dichas amenazas a las que se
Categorizar las amenazas
encuentran expuestos los activos de
Identificar los factores identificadas
información, y estableciendo métricas
de riesgo. Establecer escalas
para analizarlas en cuanto a su mayor o
métricas para el análisis
menor capacidad de causar daño a
cuantitativo de las
estos activos, lo que permite tener una
amenazas.
evidencia y un soporte objetivo acerca
Clasificar las amenazas
de los riesgos a los que se encuentra
de acuerdo a resultados
expuesta la organización.
obtenidos en la escala
métrica.
Identificar cuales
amenazas afecta a cada La identificación de los activos de
uno de los activos de información vulnerables en la
Identificar activos de información. organización determina el grado de
información vulnerables Establecer el nivel de resistencia que tienen éstos respecto a
en la organización. daño que puede generar sus amenazas, además se establece el
cada una de las potencial que tiene cada amenaza para
amenazas en los activos afectar dichos activos.
de información.
Identificar el activo.
Establecer factores de
riesgo para cada activo. El resultado obtenido de este proceso
Establecer la brinda información clara y suficiente
Establecer el nivel de
sobre la efectividad de las estrategias
protección de los activos vulnerabilidad para cada
activo. de protección utilizadas por la
de información.
Puntualizar en qué grado organización en cada uno de los activos
es efectiva la protección de información.
para cada activo de
información.
95
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar el nivel de
importancia del activo
afectado. Con el análisis de la información
Indicar como se realiza la obtenida en los procesos anteriores se
Calificar el impacto del
protección para cada permite en este proceso evaluar las
riesgo si se hiciera
activo informático. posibles consecuencias de un fallo o
realidad.
Evaluar las realización de un riesgo en los activos
consecuencias en la de información
organización por estos
factores de riesgo.
Identificar los activos de
información vulnerables.
Plantear una estrategia
alternativa para que el
activo de información
afectado no interfiera con
Este proceso conlleva a plantear
el funcionamiento de la
medidas alternas para garantizar un
organización.
Crear estrategias de funcionamiento continuo de los
Ejecutar la estrategia para
contingencia. procesos, evitando que se vean
el activo de información
afectados de modo crucial los procesos
que lo requiera.
organizacionales establecidos.
Realizar evaluaciones
periódicas a las
estrategias para verificar
su adecuación a los
cambios en los activos de
información.
Fuente: Elaboración Propia
96
MAPA DE PROCEDIMIENTOS
Figura 9. Mapa de Procedimientos. Análisis y Gestión de Riesgos de SI
Fuente: Elaboración Propia
97
ESPECIFICACIÓN DE PROCEDIMIENTOS.
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
98
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
Clasificar los activos de información según el impacto que puede generar el fallo de éstos en
la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde
pueda evidenciarse la importancia de éstos activos para la organización.
<
OBSERVACIONES
99
FORMATOS DE REFERENCIA
OBJETIVO Identificar los factores de riesgo que afectan los activos de información y
analizar la capacidad de daño que pueden realizar estos riesgos en la
organización.
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
100
OBJETIVO Establecer y medir el daño que causan las amenazas en los activos de
información.
ACTIVIDADES
1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSI-
AGR003)
2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos
de información.
DESCRIPCIÓN
OBSERVACIONES
101
ACTIVIDADES
DESCRIPCIÓN
Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de
protección utilizadas por la organización en cada uno de los activos de información.
OBSERVACIONES
102
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
103
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
104
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
105
ANEXO D: GRUPO FOCAL FASE II
[ GRUPO FOCAL ACTA 002 ]
FECHA: Abril 5 de 2011
HORA DE INICIO: 08:00 horas
HORA DE FIN: 10:00 horas
OBJETIVO: Socializar y retroalimentar el modelo planteado.
ACTIVIDADES
1. Exponer los modelos realizados y recopilar información del grupo de expertos en
seguridad de la información para retroalimentar los modelos que se han planteado.
RESULTADOS OBTENIDOS
>> Para el modelo de Análisis y Gestión del Riesgo se hace necesario involucrar un Plan
de capacitación y difusión para garantizar que es conocido por todos los interesados de
la organización.
>>También se hace necesario crear un proceso que indique la correcta eliminación de los
activos de información.
PARTICIPANTES
_____________________________ ___________________________
Julián Alberto Gómez Isaza Gerardo Ayala González
Estudiantes del programa Ingeniería de Sistemas y Computación
Universidad Tecnológica de Pereira
2010
106
ACTA: En reunión con los expertos el día 5 de Abril de 2011 se puso a
consideración de los mismos el modelo de implementación y operación de un
SGSI planteado por los autores con el fin de optimizar, cualificar y aterrizar la
propuesta presentada. En dicha reunión se hizo lectura y análisis de la propuesta
por parte de los expertos y a partir de allí, los mismos hicieron sus aportes,
comentarios y sugerencias al modelo presentado.
Oscar J. Arroyave de la Pava: Sugiere una adecuada disposición final de los
activos de información, tener un método seguro con el cual realizar la eliminación
de dichos activos de la organización.
Jorge Iván Ríos P: Plantea un plan de capacitación riguroso y dinámico,
aprovechando todo el proceso de Análisis y Gestión del Riesgo para generar los
temas de capacitación en donde se encuentran falencias, además de esto se logre
un compromiso de formación por los participantes, es muy importante brindar una
difusión del Análisis y Gestión del Riesgo generando un compromiso con los
objetivos y metas de dicho lineamiento.
107
ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS
DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL
MODELO
Las modificaciones realizadas tras integrar las sugerencias propuestas por los
expertos son las siguiente:
Se crea un procedimiento que rija la eliminación y baja de activos de información:
ELIMINAR / DAR DE BAJA ACTIVOS DE INFORMACIÓN
» Identificar tipo de activo a eliminar/dar de baja.
» Evaluar el impacto de la eliminación/baja de este activo de información.
» Establecer un protocolo de eliminación/baja de cada activo de información.
» Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la
información de la organización.
Se plantea para este procedimiento la realización de una serie de actividades: La
primera de ellas involucra la identificación del tipo de activo de información a
eliminar o dar de baja; entendiendo la eliminación de éste como su destrucción
total y dar de baja como el almacenamiento o retiro del funcionamiento en la
organización; después de esto se va a evaluar el impacto de la eliminación o baja
de tal activo para la organización, analizando los pros y los contras de esta
actividad y no olvidando establecer un protocolo de eliminación o baja para él;
cada uno de ellos va a ser tratado con su propio método; para finalizar se debe
garantizar que la eliminación o baja de dicho activo salvaguarde la
confidencialidad de la información de la organización.
108
El procedimiento se especifica como se sigue:
OBJETIVO Establecer medidas que garanticen una efectiva eliminación de los activos de
información.
ACTIVIDADES
DESCRIPCIÓN
En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los
activos de información, implantando metodologías eficientes para destruir o darle exclusión
de la organización a dichos activos.
OBSERVACIONES
109
Se le adiciona el siguiente componente a la metodología planteada para el Análisis
y Gestión del Riesgo de la Seguridad de la Información:
Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de SI
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar tipo de activo a
eliminar/dar de baja. (GBP-
AGR002)
Evaluar el impacto de la
eliminación/baja de este
Establecer medidas que garanticen una
activo de información.
efectiva eliminación/baja de los activos de
Eliminar activos de Establecer un protocolo de
información, implantando metodologías
información. eliminación/baja de cada
eficientes para destruir o darle exclusión
activo de información.
de la organización a dichos activos.
Garantizar que la baja de
dicho activo salvaguarde la
confidencialidad de la
información de la
organización.
Fuente: Elaboración Propia
110
ESTRATEGIA DE CAPACITACIÓN Y COMUNICACIÓN
OBJETIVO
Implementar programas de formación y toma de conciencia para comunicar a los
integrantes de la organización la implementación e implantación del Manual de
Procedimientos para la Administración de Seguridad de la Información.
DEL PLAN
El diseño del Plan de Capacitación y Comunicación se define en una herramienta
documental independiente tanto al Plan de Acción y al Análisis y Gestión del
Riesgo de la Seguridad d la información debido a las propuestas establecidas por
el panel de expertos donde se indicaba el establecimiento de capacitación más
dinámica donde no solo fuera capacitación, sino también generar un compromiso
de formación de los colaboradores de la organización.
Las capacitaciones inicialmente se planteaban como un componente adicional
tanto al Plan de Acción de la Seguridad de la Información como al Análisis y
Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta
realizada por el panel de expertos de realizar la capacitación más rigurosa, se
plantea la creación de esta herramienta documental, que tiene como objetivo
brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de
la Seguridad de la Información.
El plan de capacitación tiene como propósito brindar al personal de la organización
los conocimientos y desarrollo de habilidades específicas para el desempeño de
sus actividades al interior de la misma, fortaleciendo su productividad y calidad en
las actividades desarrolladas. El plan de capacitación no solo está dirigido a los
integrantes nuevos sino también a los experimentados, es responsabilidad de la
organización garantizar el conocimiento y habilidades necesarias para el buen
desempeño de las actividades laborales.
La capacitación está compuesta por un conjunto de estrategias orientadas a
integrar al colaborador tanto a la organización como a su puesto de trabajo,
112
aumentando su eficiencia frente a la organización; otra parte muy importante que
lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento
a los lineamientos organizacionales requeridos.
El plan de capacitación se realiza de forma continua y transversal a todos
componentes del Sistema de Gestión de la Seguridad de la Información.
PROCEDIMIENTOS DE GESTIÓN
» Identificar la temática a tratar.
» Disponer recursos humanos y físicos.
» Verificar aptitudes y habilidades del personal que va a realizar la
capacitación y formación.
» Establecer el grupo focal al cual va dirigida la capacitación y la formación.
» Comunicar lo establecido en el Manual de Procedimientos para la
Administración de Seguridad de la Información, y los lineamientos
directivos, satisfaciendo las necesidades de formación, toma de conciencia
y competencia.
» Garantizar la evaluación del cumplimiento de los objetivos del Manual de
Procedimientos para la Administración de la Seguridad de la Información,
para verificar la eficacia de las acciones emprendidas en el mismo.
» Documentar las actividades de formación.
Es de vital importancia garantizar la comunicación y capacitación del Manual de
Procedimientos para la Administración de Seguridad de la Información, debe
realizarse de forma continua transversalizando a todas las actividades que
componen dicho proceso.
Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan
básico general y Plan avanzado de Capacitación.
El Primero consiste en brindar la información general y básica necesaria para el
desarrollo de un SGSI, en este primer escenario se generará un análisis y
diagnóstico estructural de la organización, de los procesos y de los puestos de
trabajo en torno al tema, el segundo momento se realiza un diagnostico de
Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general
de la organización y permitirá elaborar el plan de capacitación Avanzado.
113
El plan básico desarrollará las siguientes temáticas:
» Información de Generalidades sobre manejo de información, seguridad
informática y seguridad de la información.
» Legislación Vigente, conocimiento y cumplimiento de la misma.
» Normas de Seguridad y Calidad.
» Roles en seguridad de información.
» Definición de Sistema de Gestión de Seguridad de la información
» Alcances.
» Roles y responsabilidades.
» Medidas.
» Modelos aplicados en otras organizaciones.
Plan avanzado de Capacitación:
» Diagnostico DOFA de las prácticas utilizadas en la organización para la
Seguridad de la información.
» Diagnostico DOFA de las procesos mediados por cargos y funciones de
cada colaborador de la organización
» Diagnostico DOFA de las competencias de cada colaborador de la
organización, para desarrollar un modelo para el funcionamiento de un
SGSI.
» Construcción de un Plan de Capacitación adecuado a los resultados de los
Diagnósticos.
Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación
basados en pedagogía socio constructivista, en espacios presenciales y virtuales,
donde se apliquen los conocimientos de forma teórico práctica.
Los horarios establecidos para el plan de capacitación, deben definirse por cada
organización, sin embargo se aconseja hacerlo de forma semanal y con espacios
de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener
espacios de tiempo adecuados a la metodología socio constructivista. El plan de
capacitación se plantea de 90 horas, entregando como resultado el plan de
capacitación avanzado con las necesidades propias de la organización.
114
METODOLOGÍA PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA
IMPLEMENTACIÓN DEL MODELO
Tabla 7. Metodología Plan de Capacitación.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar temática a tratar.
Disponer recursos
humanos y físicos.
Verificar aptitudes y
habilidades del personal
que va a realizar la
capacitación y formación.
Establecer el grupo focal al
cual va dirigida la
capacitación y la formación
Comunicar lo establecido
en el Manual de
Procedimientos para la La alta gerencia debe comunicar a la
Administración de
Capacitar y comunicar los Seguridad de la Procedimientos para la Administración de
procedimientos para la Información, y los
implementación del lineamientos directivos, seguir sus lineamientos y determinar el
modelo. satisfaciendo las
necesidades de formación, objetivos.
toma de conciencia y
competencia.
Garantizar la evaluación
del cumplimiento de los
objetivos del Manual de
Procedimientos para la
Administración de la
Seguridad de la
Información, para verificar
la eficacia de las acciones
emprendidas en el mismo.
Documentar las actividades
de formación.
Fuente: Elaboración Propia
115
MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN
Figura 11. Mapa de procedimientos. Plan de Capacitación.
Fuente: Elaboración Propia
El procedimiento que especifica la ejecución de las distintas fases que componen
las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de
Seguridad de la Información se cita como sigue:
116
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
117
ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN.
ALCANCE:
Esta guía aplica como modelo de atención y solución a incidentes de seguridad de
la información dentro de la organización interesada en aplicar el Manual de
Procedimientos para la Administración de Seguridad de la Información, buscando
que los integrantes de la organización comprendan las políticas y los
procedimientos establecidos.
RESPONSABILIDAD:
Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la
información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse
alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de
la atención del incidente actuaran como se sigue 19:
19
, siguiendo
los lineamientos de los procedimientos adscritos a la Guía.
118
METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD
DE LA INFORMACIÓN
EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)
Tabla 8. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
información de la
organización.
Categorizar las amenazas
identificadas. Identificar los activos de información
Establecer escalas vulnerables en la organización
Definir los factores de métricas para el análisis
cuantitativo de las tienen éstos respecto a sus amenazas,
riesgo [GBP-AGR004]
amenazas. a demás se establece el potencial que
Clasificar las amenazas tiene cada amenaza para afectar dichos
de acuerdo a los activos.
resultados obtenidos en la
escala métrica.
Establecer el nivel de
daño que puede generar
cada una de las
amenazas a los activos
de información.
Identificar el nivel de
importancia del activo de
información afectado
[GBP-AGR002] Con el análisis de la información
Calificar el impacto del Indicar como se realiza la obtenida en los procesos anteriores, se
riesgo (en caso de que protección para cada abre paso a evaluar las consecuencias
éste se materialice) activo de información. de un fallo de seguridad o
[GBP-AGR006] [GBP- AGR005] materialización de un riesgo en los
Evaluar las activos de información.
consecuencias para la
organización debido a los
factores de riesgo.
120
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y La alta gerencia debe generar las tareas
verificar que hace parte especificas que garanticen el
de la planeación cumplimiento de los objetivos del
Determinar las tareas y estratégica de seguridad manual de administración de seguridad
asignar roles y y de la planeación de la información, y para cada una de
responsabilidades estratégica ellas, asignar un responsable directo y
[GBP-PASI003] organizacional. un rol que especialice y diferencie cada
Determinar tiempos de tarea, con el fin de garantizar la
adelanto, avance, idoneidad del personal asignado a la
entregas o posposición de solución de una incidencia.
cada tarea.
Asignar roles y
responsables directos
para cada tarea.
Registrar los resultados de estudio de
cada procedimiento permite tener un
Registrar los resultados
Documentar evento de referente histórico de los eventos de
del estudio de los
seguridad seguridad, además de lograr un método
procedimientos previos.
de seguimiento y trazabilidad de los
mismos.
Fuente: Elaboración Propia
121
GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA)
Tabla 9. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar el incidente.
Fase previa al tratamiento y solución de la
Diagnosticar ocurrencia Clasificar el incidente. incidencia que permite establecer y
de un fallo de seguridad Reportar a responsable parametrizar históricamente la ocurrencia
equipo de respuesta a de un fallo de seguridad.
incidentes.
Establecer las acciones
correctivas que conlleven Fase de intervención y tratamiento de
al tratamiento y solución fallos de seguridad de la información que
Gestionar la mitigación y /
del incidente. permite normalizar la incidencia para dar
o solución del fallo de
Verificar que las acciones cumplimiento a los objetivos de seguridad
seguridad.
correctivas mitigan y / o de la información y determina si las
solucionan eficazmente el acciones tomadas fueron eficaces.
incidente.
Documentar incidencia y
Fase explicativa que permite seguimiento,
Evidenciar y metodología de solución de
revisión, trazabilidad y control sobre los
retroalimentar la misma.
fallos de seguridad ocurridos, y permite la
ocurrencias de fallos y Retroalimentación del
detección rápida de errores en los
atención de los mismos. método de respuesta al
resultados del proceso.
incidente.
Establecer métodos de
Revisar y controlar los seguimiento, revisión y
procedimientos (previos, auditoria a los procesos de
Fase de evaluación que permite a la
de intervención y respuesta a incidentes.
dirección determinar que las actividades
tratamiento, y Informar a la alta gerencia
de seguridad delegadas o implementadas
explicativos) de respuesta los resultados de los
se están ejecutando en la forma esperada
a incidentes en la procesos de auditoría
organización. hechos a los procesos de
respuesta a incidentes
Fuente: Elaboración Propia.
122
DISPOSICIÓN FINAL (FASE POST-INCIDENTE)
El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo
que incluya los términos a seguir:
» Elaboración de informes que den cuenta del tratamiento, la respuesta y la
disposición de cada incidente de seguridad ocurrido.
» Establecimiento de un archivo documental que permita agilizar la
implantación de procesos de respuesta a incidentes de seguridad.
» Comunicar a los integrantes de la organización las medidas preventivas,
correctivas y proactivas establecidas al término de los procesos de atención
y respuesta a incidentes de seguridad.
» Convocar a los integrantes de la organización a la concertación de políticas,
procedimientos, capacitación y manuales, que la alta gerencia defina como
pertinentes, en función del cumplimiento de los objetivos planteados, para
dar respuesta a los incidentes de seguridad.
123
SEGUIMIENTO REVISIÓN Y AUDITORIA.
Tabla 10. Metodología Guía de Respuesta a Incidentes Seguimiento Revisión y Auditoría.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Establecer indicadores
comparables y medibles
que den seguimiento a la
La alta gerencia debe establecer los
Comunicar la aplicación de los objetivos
métodos de revisión, seguimiento y
implementación e de la guía de respuesta a cumplimiento de los objetivos de la
implantación de la guía incidentes. guía de respuesta a incidentes, y
de respuesta a incidentes
Asegurar que se realiza garantizar que los resultados de la misma
de seguridad de la
seguimiento a la aplicación son medibles en referencia a las metas
información
de la guía, y que la misma establecidas.
es trazable.
Garantizar la calidad y
mejora continua.
DOCUMENTACIÓN Y RETROALIMENTACIÓN
Tabla 11. Metodología Guía de Respuesta a Incidentes Documentación y
Retroalimentación.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Comunicar la Convocar a reunión a los
La alta gerencia debe comunicar a
implementación e integrantes de la
la organización e
implantación de la guía organización.
de respuesta a incidentes Comunicar lo establecido
de seguridad de la en el plan de acción y los
cumplimiento de esos objetivos.
información lineamientos directivos.
Fuente: Elaboración Propia
124
MAPA DE PROCEDIMIENTOS
Figura 13. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la
Información.
Fuente: Elaboración Propia
125
ANEXO G
MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA
ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
El resultado obtenido al final de la investigación es el MANUAL DE
PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN el cual se propone como Guía de Buenas Prácticas de Seguridad
de la Información en Contextos de Micros, Pequeñas y Medianas Empresas de la
Región.
Este modelo surge del proceso investigativo realizado en el proyecto, resultando
en una herramienta metodológica documental y procedimental que sirve como
modelo para el tratamiento seguro de la información utilizada en la organización y
a su vez presenta un modelo de buenas prácticas de seguridad de la información,
fundamentadas en la norma ISO 27001.
Este manual está constituido por:
DEL MODELO
» Plan de Acción y el Análisis y Gestión del Riesgo de la seguridad de la
Información, estos dos procesos se formulan con el fin de brindar un
modelo metodológico para el tratamiento del riesgo, indicándole a la
organización la gestión apropiada, los recursos, responsabilidades y
prioridades para garantizar una adecuada Gestión de la Seguridad de la
Información.
» Guía de Respuesta a Incidentes de Seguridad de la Información, esta guía
aplica como modelo de atención y solución a incidentes de seguridad de la
información dentro de la organización interesada en aplicar el Manual de
Procedimientos para la Administración de Seguridad de la Información,
buscando que los integrantes de la organización comprendan las políticas y
los procedimientos establecidos.
126
» Estrategias de Capacitación y Comunicación para la Implementación del
Modelo, el cual tiene como propósito brindar al personal de la organización
los conocimientos y habilidades específicas para el desempeño de sus
actividades al interior de la misma, fortaleciendo su productividad y calidad
en las actividades desarrolladas. El plan de capacitación no solo está
dirigido a los integrantes nuevos sino también a los experimentados, es
responsabilidad de la organización garantizar el conocimiento y habilidades
necesarias para el buen desempeño de las actividades laborales.
Figura 14. Manual de Procedimientos para la Administración de la Seguridad de la
Información.
MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN
DE LA SEGURIDAD DE LA INFORMACIÓN
Guía de Respuesta a
Plan de Acción de Análisis y Gestión del riesgo
Seguridad de la Información de Seguridad de la Incidentes de Seguridad de
Información la Información
ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL
MODELO.
Fuente: Elaboración Propia.
127
PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN
OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividad de la administración de seguridad de la información de la organización.
La efectividad de la administración de la seguridad de la información de la
organización se encuentra entre los lineamientos de un Plan de Acción de la
Seguridad de la Información y de los objetivos estratégicos organizacionales,
teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la
seguridad de la información nos brinda la premisas necesarias para encausar la
seguridad de la información con los objetivos estratégicos empresariales y
segundo lugar que da una pauta para actuar y dar respuesta referente al análisis
de riesgos.
PROCEDIMIENTOS DE GESTIÓN
El Plan de Acción de la Seguridad de la Información está constituido por:
Objetivos, estrategias, tareas, seguimiento y revisión y auditorias.
Como primera parte se van a establecer objetivos claros, concisos y medibles con
la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad
de la Información. Para establecer esos objetivos se va a realizar un diagnóstico
preliminar del estado actual de la organización con referencia a la seguridad de
sus activos de información, con la finalidad de conocer la situación actual y
proyectar la situación ideal de la organización.
Posteriormente se ha determinar la situación deseada que la empresa intenta
lograr y establecer las metas de seguridad a donde se van a dirigir las acciones,
esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere
llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la
autenticidad de la información de la organización. Después de esto, se van a
establecer estándares de medida que permitan definir en forma detallada lo que el
objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos
tienen que tener indicadores de calidad para poder ser medibles y verificar si estos
128
se están cumpliendo y en qué porcentaje se está logrando, de manera que permita
modificarlos si es necesario.
Como segunda parte se van a establecer las estrategias que reflejen el camino a
seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles
sentido, dirección y continuidad mediante el encause de los lineamientos
estratégicos administrativos de la organización y los lineamientos estratégicos de
seguridad de la información; este proceso debe contar con el apoyo de la alta
gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos
de seguridad y los objetivos organizacionales estén direccionados hacia la misma
línea de acción.
Como tercera medida se han establecer las tareas donde se describan los pasos
exactos para el cumplimiento de las estrategias; éste apartado está compuesto por
las siguientes actividades: primero, determinar cuáles son las dependencias de la
organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y
las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas;
tercero, Objetivizar cada tarea y verificar que hace parte de la planeación
estratégica de seguridad y de la planeación estratégica organizacional, realizando
tareas posibles de cumplir y que están dentro de los lineamientos de la
planeación estratégica de seguridad y de la planeación estratégica organizacional.
Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan
tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de
ellas debe tener un inicio y un final teniendo un control para así evitar perder el
recurso tiempo, por último en este ítem se van a asignar roles y responsables
directos en cada tarea, con la finalidad de especializar cada una de ellas, saber
quien la hace, por que la hace, los tiempos y resultados de dicha tarea.
Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y
evaluación de cumplimiento, está constituido por la elaboración de un plan de
evaluación de resultados y establecimiento de referencias (tanto cualitativas como
cuantitativas), a través de indicadores comparables y medibles, para dar
seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos
para la Administración de la Seguridad de la Información, el plan de evaluación de
resultados entregado por el seguimiento y la revisión y estos resultados deben
estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje
de cubrimiento de objetivos es que se está cumpliendo las metas del plan de
129
acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la
aplicación del modelo, garantizando que en cualquier momento se puede acceder
a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe
evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo,
cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver
las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora
continua; la primera hace referencia a la realización estricta de los procedimientos
documentados y, la segunda hace referencia a la verificación y reajuste de los
procedimientos con el fin de mantener la documentación de los mismos
actualizada.
Es importante tener claro que la capacitación debe ser un proceso continuo y
transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA
LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar
programas de formación y toma de conciencia por parte de los integrantes de la
organización.
A continuación se lista las actividades de cada uno de los procedimientos de
gestión que componen el Plan de Acción de la Seguridad de la Información:
ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES
» Realizar un diagnostico preliminar del estado actual de la organización en
referencia a las seguridad de sus activos de información.
» Determinar la situación deseada que la empresa intenta lograr, y establecer
las metas de seguridad a donde se dirigen las acciones.
» Establecer indicadores de medida que permitan definir en forma detallada lo
que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los
estándares constituyen las medidas de control para determinar si los
objetivos se han cumplido o vienen cumpliéndose, y si es necesario
modificarlos o no.
130
ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR
PARA LOGRAR DICHOS OBJETIVOS.
» Dar sentido, dirección y continuidad a los objetivos mediante el encause de
los lineamientos estratégicos administrativos y los lineamientos estratégicos
de seguridad de la información.
» Establecimiento de las líneas de acción para el cumplimiento de los
requerimientos funcionales del modelo.
DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA
EL CUMPLIMIENTO DE LAS ESTRATEGIAS.
» Determinar las dependencias, alcance y delimitaciones de cada tarea.
» Objetivizar cada tarea y verificar que hace parte de la planeación
estratégica de seguridad y de la planeación estratégica organizacional.
» Determinar tiempos de adelanto, avance, entregas o posposición de cada
tarea.
» Asignar roles y responsables directos en cada tarea.
131
ESTABLECER MÉTODOS DE REVISIÓN, SEGUIMIENTO Y EVALUACIÓN DE
CUMPLIMIENTO.
» Elaborar un plan de evaluación de resultados y establecimiento de
referencias (tanto cualitativas como cuantitativas), a través de indicadores
comparables y medibles, para dar seguimiento a la aplicación de los
objetivos y metas del Plan de Acción.
» Asegurar el seguimiento y la trazabilidad de la aplicación del modelo.
» Garantizar la calidad y la mejora continua.
132
METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN
OBJETIVO
Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la
efectividad de la administración de seguridad de la información de la organización.
Tabla 12. Metodología Plan de Acción de Seguridad de la Información
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Realizar un diagnostico
preliminar del estado actual
de la organización en
referencia a las seguridad
de sus activos de
información.
Determinar la situación
La alta gerencia establece los objetivos
deseada que la empresa
de una manera clara, concisa y medible,
Establecer los objetivos intenta lograr, y establecer
que del las directrices de la creación del
del plan de acción. las metas de seguridad a
plan de acción de seguridad de la
donde se dirigen las
información.
acciones.
Establecer indicadores de
medida que permitan
definir en forma detallada
lo que el objetivo desea
lograr, en qué tiempo y si
es posible, a que costo
Encausar los lineamientos
estratégicos La alta gerencia debe garantizar que los
administrativos y los objetivos estratégicos organizacionales y
lineamientos estratégicos los objetivos estratégicos de seguridad
Establecer las estrategias de seguridad. de la información tienen las mismas
del plan de acción. Establecer las líneas de directivas, con el fin de cumplir
acción para el efectivamente con los requerimientos
cumplimiento de los funcionales del sistema de gestión de
requerimientos funcionales seguridad de la información
del modelo.
134
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y
verificar que hace parte de La alta gerencia debe generar las tareas
la planeación estratégica específicas que garanticen el
Determinar las tareas y de seguridad y de la cumplimiento de las estrategias del plan
asignar roles y planeación estratégica de acción de seguridad de la
responsabilidades. organizacional. información, y para cada una de ellas,
Determinar tiempos de asignar un responsable directo y un rol
adelanto, avance, entregas que especialice y diferencie cada tarea
o posposición de cada
tarea.
Asignar roles y
responsables directos para
cada tarea.
Establecer indicadores
comparables y medibles
que den seguimiento a la La alta gerencia debe establecer los
aplicación de los objetivos métodos de revisión, seguimiento y
del plan de acción. evaluación de cumplimiento de los
Establecer los métodos
Asegurar que se realiza objetivos del plan de acción, y garantizar
de auditoría
seguimiento a la aplicación que los resultados del mismo son
del modelo, y que el mismo medibles en referencia a las metas
es trazable. establecidas.
Garantizar la calidad y
mejora continua.
Fuente: Elaboración Propia
135
MAPA DE PROCEDIMIENTOS
Figura 16. Mapa de procedimientos Plan de Acción de Seguridad de la Información
Fuente: Elaboración Propia
136
ESPECIFICACIÓN DE PROCEDIMIENTOS
FORMATOS DE REFERENCIA
OBJETIVO Determinar las metas que se deben cumplir en el plan de acción de seguridad
de la información.
ACTIVIDADES
2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de
seguridad a donde se dirigen las acciones.
DESCRIPCIÓN
La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las
directrices de la creación del plan de acción de seguridad de la información.
<
OBSERVACIONES
Los estándares constituyen las medidas de control para determinar si los objetivos se han
cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.
137
FORMATOS DE REFERENCIA
OBJETIVO Determinar las estrategias que reflejen el camino a seguir para lograr los
objetivos.
ACTIVIDADES
DESCRIPCIÓN
La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los
objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin
de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de
seguridad de la información.
<
OBSERVACIONES
138
FORMATOS DE REFERENCIA
OBJETIVO Determinar las tareas que describan los pasos exactos para el cumplimiento
de las estrategias del plan de acción.
ACTIVIDADES
DESCRIPCIÓN
La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las
estrategias del plan de acción de seguridad de la información, y para cada una de ellas,
asignar un responsable directo y un rol que especialice y diferencie cada tarea.
<
OBSERVACIONES
139
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
<
OBSERVACIONES
140
ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
OBJETIVO
interno en las entidades públicas las autoridades correspondientes establecerán y
aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y
análisis del riesgo debe ser un proceso permanente e interactivo entre la
administración y las oficinas de control interno o quien haga sus veces, evaluando
los aspecto tanto internos como externos que pueden llegar a representar
amenaza para la consecución de los objetivos organizacionales, con miras a
establecer acciones efectivas, representadas en actividades de control, acordadas
entre los responsables de las áreas o procesos y las oficinas de control interno e
El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se
encuentran expuestos los activos de información y por ende la continuidad de la
organización, creando estrategias de análisis, identificación de falencias,
fortalezas y recursos de información que se poseen en la organización, además de
esto evidenciar como se atienden las incidencias de seguridad; garantizando una
buena toma de decisiones respecto a los controles más apropiados para la gestión
de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos
141
estratégicos de la organización tiene como resultado el encause de las labores al
propósito o fin organizacional.
PROCEDIMIENTOS DE GESTIÓN
Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el
Decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a
la administración de riesgos, donde se considera como parte integral del
fortalecimiento de los sistemas de control interno en las entidades,
y se reconoce el análisis del riesgo como un proceso permanente e interactivo
entre la administración y las oficinas de control interno.
Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad
de la Información se desarrollan de la siguiente forma:
En primer lugar se debe establecer la situación actual de la organización en
cuanto a seguridad de la información, efectuándose mediante la observación, el
seguimiento y la revisión de los procesos, estos resultados se obtienen a través
entrevistas y encuestas a los integrantes de la organización, además de esto
realizar una revisión de la documentación que se posee.
Posteriormente se han de determinar cuáles son los activos de información que se
poseen para ser identificados, cada uno de estos activos encontrados se
clasifican según el impacto que puede llegar a sufrir la organización si dicho activo
llega a fallar, se les asigna un valor que representa cuán importante es para la
organización.
Como siguiente medida se identifican los factores de riesgo para cada uno de los
activos de información, realizando la identificación de los factores internos y
externos a los cuales se encuentran expuestos dichos activos, luego de esto
categorizar las amenazas identificadas o la posibilidad que ocurra un evento
adverso, para así establecer métricas que permitan analizarlas y clasificarlas en
cuanto al daño que pueden llegar a causar a los activos de información que posee
la organización.
142
A continuación se han de Identificar los de activos de información vulnerables en
la organización, teniendo como vulnerabilidad el grado de resistencia que tienen
los activos de información para sus respectivas amenazas, se establece el
potencial que tienen estas para causar efectos adversos en los activos de
información.
Es importante tener en cuenta que no todos los activos de información poseen la
misma calidad de información, por lo que es necesario establecer un análisis de
las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los
afecta.
El siguiente paso es Establecer el nivel de protección de los activos de
información, que brinda como resultado la información precisa acerca de las
estrategias de protección utilizadas para garantizar el adecuado funcionamiento
del activo de información.
Con el análisis de la información obtenida en estos procesos se continúa con un
paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la
Información que es la Calificación del impacto del riesgo si este se hiciera realidad,
aquí se evalúan las consecuencias de un fallo en la seguridad de la información o
que un riesgo se haga efectivo en los activos de información.
Con la clasificación del impacto del riesgo se busca establecer en primer lugar
cuales son los activos más susceptibles de daño, por lo que es importante tener
claridad de cómo se realiza la protección de cada uno de ellos; además es
necesario evaluar el impacto para la organización si tales riesgos se hacen
efectivos.
No pueden faltar las estrategias de contingencia que puedan suplir el
funcionamiento de los procesos de la organización, planteando medidas alternas
que permitan la continuidad de los procesos organizacionales sin afectar en gran
medida los procesos establecidos.
El establecimiento de alternativas funcionales, aunque no garanticen la
continuidad absoluta de los procesos organizacionales, garantizará que el
proceso afectado no se detenga y no afecte de manera crucial el buen
funcionamiento de la organización.
143
Una vez que se han identificado los riesgos en los activos de información y en las
prácticas de seguridad que se implementan en la organización, se puede
determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en
cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de
información y el impacto que puede tener en la organización, así entonces se
puede establecer controles apropiados para atender los incidentes de seguridad
de la mejor forma posible, de esta manera se puede garantizar una buena Gestión
del tratamiento del riesgo de la Seguridad de la Información.
Como última medida la eliminación de los activos de información, para este
procedimiento se van a realizar una serie de actividades, la primera de ellas
involucra la identificación del tipo de activo de información a eliminar o dar de baja;
entendiendo la eliminación de éste como su destrucción total y dar de baja como
el almacenamiento o retiro del funcionamiento en la organización; después de esto
se va a evaluar el impacto de la eliminación o baja de tal activo para la
organización, analizando los pros y los contras de esta actividad y no olvidando
establecer un protocolo de eliminación o baja para él; cada uno de ellos va a ser
tratado con su propio método; para finalizar se debe garantizar que la eliminación
o baja de dicho activo salvaguarde la confidencialidad de la información de la
organización.
Es importante tener claro que la capacitación debe ser un proceso continuo y
transversal a todas las etapas, los lineamientos a seguir en este proceso se
encuentran descritas en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA
LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar
programas de formación y toma de conciencia por parte de los integrantes de la
organización.
A continuación se listan las actividades de cada uno de los procedimientos de
gestión que componen el Análisis y Gestión del Riesgo de la Seguridad de la
información:
144
ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN
» Observar y realizar seguimiento a procesos de la organización.
» Desarrollar entrevistas y encuestas a los integrantes de la organización.
» Revisar la documentación que se posee.
IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.
» Clasificar los de activos de información que posee la organización.
» Asignar un valor de importancia a estos activos para establecer el nivel de
importancia de cada uno de ellos.
IDENTIFICAR LOS FACTORES DE RIESGO.
» Identificar factores internos y externos que amenazan la seguridad de los
activos de información de la organización.
» Categorizar las amenazas identificadas.
» Establecer escalas métricas para el análisis cuantitativo de las amenazas.
» Clasificar las amenazas de acuerdo a resultados obtenidos en la escala
métrica.
145
IDENTIFICAR ACTIVOS DE INFORMACIÓN VULNERABLES EN LA
ORGANIZACIÓN.
» Identificar cuales amenazas afectan a cada uno de los activos de
información.
» Establecer el nivel de daño que puede generar cada una de las amenazas
en los activos de información.
ESTABLECER EL NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE
INFORMACIÓN.
» Identificar el activo.
» Establecer factores de riesgo para cada activo.
» Establecer la vulnerabilidad para cada activo.
» Puntualizar en qué grado es efectiva la protección para cada activo de
información.
CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.
» Identificar el nivel de importancia del activo afectado.
» Indicar como se realiza la protección para cada activo de información.
» Evaluarlas consecuencias en la organización por estos factores de riesgo.
146
CREAR ESTRATEGIAS DE CONTINGENCIA.
» Identificar los activos de información vulnerables.
» Plantear una estrategia alternativa para que el activo de información
afectado no interfiera con el funcionamiento de la organización.
» Ejecutar la estrategia para el activo de información que lo requiera.
» Realizar evaluaciones periódicas a las estrategias para verificar su
adecuación a los cambios en los activos de información.
ELIMINAR/DAR DE BAJA ACTIVOS DE INFORMACIÓN.
» Identificar tipo de activo a eliminar/dar de baja.
» Evaluar el impacto de la eliminación/baja de este activo de información.
» Establecer un protocolo de eliminación/baja de cada activo de información.
» Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la
información de la organización.
147
METODOLOGÍA ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE
LA INFORMACIÓN
Tabla 13. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Observar y realizar
seguimiento a
La situación actual de la organización
procedimientos de la
permite establecer cómo se encuentra
Establecer la situación organización.
esta en cuanto a: sus recursos de
actual de la Desarrollar entrevistas y
software, estrategias de seguridad
encuestas a los
organización. utilizadas, las falencias en los procesos
integrantes de la
realizados y la atención de incidentes
organización.
de seguridad
Revisar la documentación
que se posee.
Clasificar los de activos
Se clasifican los activos de información
de información que posee
según el impacto que puede generar el
la organización.
fallo de éstos en la organización,
Identificar activos de Asignar un valor de
asignándole a cada uno de ellos, un
información. importancia a estos
valor en una escala cuantitativa dónde
activos para establecer el
pueda evidenciarse la importancia de
nivel de importancia de
éstos activos.
cada uno de ellos.
Identificar factores
internos y externos que
En la identificación del riesgo se va a
amenazan la seguridad
ponderar la posibilidad de ocurrencia de
de los activos de
eventos adversos o que las amenazas
información de la
se vuelvan una realidad, identificando
organización.
dichas amenazas a las que se
Categorizar las amenazas
encuentran expuestos los activos de
Identificar los factores identificadas
información, y estableciendo métricas
de riesgo. Establecer escalas
para analizarlas en cuanto a su mayor o
métricas para el análisis
menor capacidad de causar daño a
cuantitativo de las
estos activos, lo que permite tener una
amenazas.
evidencia y un soporte objetivo acerca
Clasificar las amenazas
de los riesgos a los que se encuentra
de acuerdo a resultados
expuesta la organización.
obtenidos en la escala
métrica.
149
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar cuales
amenazas afecta a cada La identificación de los activos de
uno de los activos de información vulnerables en la
Identificar activos de información. organización determina el grado de
información vulnerables Establecer el nivel de resistencia que tienen éstos respecto a
en la organización. daño que puede generar sus amenazas, además se establece el
cada una de las potencial que tiene cada amenaza para
amenazas en los activos afectar dichos activos.
de información.
Identificar el activo.
Establecer factores de
riesgo para cada activo. El resultado obtenido de este proceso
Establecer la brinda información clara y suficiente
Establecer el nivel de
sobre la efectividad de las estrategias
protección de los activos vulnerabilidad para cada
activo. de protección utilizadas por la
de información.
Puntualizar en qué grado organización en cada uno de los activos
es efectiva la protección de información.
para cada activo de
información.
Identificar el nivel de
importancia del activo
afectado. Con el análisis de la información
Indicar como se realiza la obtenida en los procesos anteriores se
Calificar el impacto del
protección para cada permite en este proceso evaluar las
riesgo si se hiciera
activo informático. posibles consecuencias de un fallo o
realidad.
Evaluar las realización de un riesgo en los activos
consecuencias en la de información
organización por estos
factores de riesgo.
150
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar los activos de
información vulnerables.
Plantear una estrategia
alternativa para que el
activo de información
afectado no interfiera con
Este proceso conlleva a plantear
el funcionamiento de la
medidas alternas para garantizar un
organización.
Crear estrategias de funcionamiento continuo de los
Ejecutar la estrategia para
contingencia. procesos, evitando que se vean
el activo de información
afectados de modo crucial los procesos
que lo requiera.
organizacionales establecidos.
Realizar evaluaciones
periódicas a las
estrategias para verificar
su adecuación a los
cambios en los activos de
información.
Identificar tipo de activo a
eliminar/dar de baja.
(GBP-AGR002)
Evaluar el impacto de la
eliminación/baja de este
Establecer medidas que garanticen una
activo de información.
efectiva eliminación/baja de los activos
Establecer un protocolo
Eliminar activos de de información, implantando
de eliminación/baja de
información. metodologías eficientes para destruir o
cada activo de
darle exclusión de la organización a
información.
dichos activos.
Garantizar que la baja de
dicho activo salvaguarde
la confidencialidad de la
información de la
organización.
Fuente: Elaboración Propia
151
MAPA DE PROCEDIMIENTOS
FUENTE: Elaboración propia
152
ESPECIFICACIÓN DE PROCEDIMIENTOS
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
153
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
Clasificar los activos de información según el impacto que puede generar el fallo de éstos en
la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde
pueda evidenciarse la importancia de éstos activos para la organización.
<
OBSERVACIONES
154
FORMATOS DE REFERENCIA
OBJETIVO Identificar los factores de riesgo que afectan los activos de información y
analizar la capacidad de daño que pueden realizar estos riesgos en la
organización.
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
155
OBJETIVO Establecer y medir el daño que causan las amenazas en los activos de
información.
ACTIVIDADES
1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSI-
AGR003)
2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos
de información.
DESCRIPCIÓN
OBSERVACIONES
156
ACTIVIDADES
DESCRIPCIÓN
Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de
protección utilizadas por la organización en cada uno de los activos de información.
OBSERVACIONES
157
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
158
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
159
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
OBSERVACIONES
160
OBJETIVO Establecer medidas que garanticen una efectiva eliminación de los activos de
información.
ACTIVIDADES
DESCRIPCIÓN
En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los
activos de información, implantando metodologías eficientes para destruir o darle exclusión
de la organización a dichos activos.
OBSERVACIONES
161
GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN.
ALCANCE:
Esta guía aplica como modelo de atención y solución a incidentes de seguridad de
la información dentro de la organización interesada en aplicar el Manual de
Procedimientos para la Administración de Seguridad de la Información, buscando
que los integrantes de la organización comprendan las políticas y los
procedimientos establecidos.
RESPONSABILIDAD:
Una vez la alta gerencia establezca los roles y responsables implicados, debe
garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la
información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse
alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de
la atención del incidente actuaran como se sigue 20:
20
, siguiendo
los lineamientos de los procedimientos adscritos a la Guía.
162
METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD
DE LA INFORMACIÓN
EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)
Tabla 14. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar los factores
internos y externos que
amenazan la seguridad
de los activos de
información de la
organización.
Categorizar las amenazas
identificadas. Identificar los activos de información
Establecer escalas vulnerables en la organización
Definir los factores de métricas para el análisis
cuantitativo de las tienen éstos respecto a sus amenazas,
riesgo [GBP-AGR004]
amenazas. a demás se establece el potencial que
Clasificar las amenazas tiene cada amenaza para afectar dichos
de acuerdo a los activos.
resultados obtenidos en la
escala métrica.
Establecer el nivel de
daño que puede generar
cada una de las
amenazas a los activos
de información.
Identificar el nivel de
importancia del activo de
información afectado
[GBP-AGR002] Con el análisis de la información
Calificar el impacto del Indicar como se realiza la obtenida en los procesos anteriores, se
riesgo (en caso de que protección para cada abre paso a evaluar las consecuencias
éste se materialice) activo de información. de un fallo de seguridad o
[GBP-AGR006] [GBP- AGR005] materialización de un riesgo en los
Evaluar las activos de información.
consecuencias para la
organización debido a los
factores de riesgo.
164
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Determinar las
dependencias, alcance y
delimitaciones de cada
tarea.
Objetivizar cada tarea y La alta gerencia debe generar las tareas
verificar que hace parte especificas que garanticen el
de la planeación cumplimiento de los objetivos del
Determinar las tareas y estratégica de seguridad manual de administración de seguridad
asignar roles y y de la planeación de la información, y para cada una de
responsabilidades estratégica ellas, asignar un responsable directo y
[GBP-PASI003] organizacional. un rol que especialice y diferencie cada
Determinar tiempos de tarea, con el fin de garantizar la
adelanto, avance, idoneidad del personal asignado a la
entregas o posposición de solución de una incidencia.
cada tarea.
Asignar roles y
responsables directos
para cada tarea.
Registrar los resultados de estudio de
cada procedimiento permite tener un
Registrar los resultados
Documentar evento de referente histórico de los eventos de
del estudio de los
seguridad seguridad, además de lograr un método
procedimientos previos.
de seguimiento y trazabilidad de los
mismos.
Fuente: Elaboración Propia
165
GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA)
Tabla 15. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar el incidente.
Fase previa al tratamiento y solución de la
Diagnosticar ocurrencia Clasificar el incidente. incidencia que permite establecer y
de un fallo de seguridad Reportar a responsable parametrizar históricamente la ocurrencia
equipo de respuesta a de un fallo de seguridad.
incidentes.
Establecer las acciones
correctivas que conlleven Fase de intervención y tratamiento de
al tratamiento y solución fallos de seguridad de la información que
Gestionar la mitigación y /
del incidente. permite normalizar la incidencia para dar
o solución del fallo de
Verificar que las acciones cumplimiento a los objetivos de seguridad
seguridad.
correctivas mitigan y / o de la información y determina si las
solucionan eficazmente el acciones tomadas fueron eficaces.
incidente.
Documentar incidencia y
Fase explicativa que permite seguimiento,
Evidenciar y metodología de solución de
revisión, trazabilidad y control sobre los
retroalimentar la misma.
fallos de seguridad ocurridos, y permite la
ocurrencias de fallos y Retroalimentación del
detección rápida de errores en los
atención de los mismos. método de respuesta al
resultados del proceso.
incidente.
Establecer métodos de
Revisar y controlar los seguimiento, revisión y
procedimientos (previos, auditoria a los procesos de
Fase de evaluación que permite a la
de intervención y respuesta a incidentes.
dirección determinar que las actividades
tratamiento, y Informar a la alta gerencia
de seguridad delegadas o implementadas
explicativos) de respuesta los resultados de los
se están ejecutando en la forma esperada
a incidentes en la procesos de auditoría
organización. hechos a los procesos de
respuesta a incidentes
Fuente: Elaboración Propia.
166
DISPOSICIÓN FINAL (FASE POST-INCIDENTE)
El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo
que incluya los términos a seguir:
» Elaboración de informes que den cuenta del tratamiento, la respuesta y la
disposición de cada incidente de seguridad ocurrido.
» Establecimiento de un archivo documental que permita agilizar la
implantación de procesos de respuesta a incidentes de seguridad.
» Comunicar a los integrantes de la organización las medidas preventivas,
correctivas y proactivas establecidas al término de los procesos de atención
y respuesta a incidentes de seguridad.
» Convocar a los integrantes de la organización a la concertación de políticas,
procedimientos, capacitación y manuales, que la alta gerencia defina como
pertinentes, en función del cumplimiento de los objetivos planteados, para
dar respuesta a los incidentes de seguridad.
167
SEGUIMIENTO REVISIÓN Y AUDITORIA.
Tabla 16. Metodología Guía de Respuesta a Incidentes Seguimiento Revisión y Auditoría.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Establecer indicadores
comparables y medibles
que den seguimiento a la
La alta gerencia debe establecer los
Comunicar la aplicación de los objetivos
métodos de revisión, seguimiento y
implementación e de la guía de respuesta a cumplimiento de los objetivos de la
implantación de la guía incidentes. guía de respuesta a incidentes, y
de respuesta a incidentes
Asegurar que se realiza garantizar que los resultados de la misma
de seguridad de la
seguimiento a la aplicación son medibles en referencia a las metas
información
de la guía, y que la misma establecidas.
es trazable.
Garantizar la calidad y
mejora continua.
DOCUMENTACIÓN Y RETROALIMENTACIÓN
Tabla 17. Metodología Guía de Respuesta a Incidentes Documentación y
Retroalimentación.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Comunicar la Convocar a reunión a los
La alta gerencia debe comunicar
implementación e integrantes de la
implantación de la guía organización.
de respuesta a incidentes Comunicar lo establecido
de seguridad de la en el plan de acción y los
cumplimiento de esos objetivos.
información lineamientos directivos.
Fuente: Elaboración Propia
168
MAPA DE PROCEDIMIENTOS
Figura 20. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la
Información.
Fuente: Elaboración Propia
169
ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN
OBJETIVO
Implementar programas de formación y toma de conciencia para comunicar a los
integrantes de la organización la implementación e implantación del Manual de
Procedimientos para la Administración de Seguridad de la Información.
DEL PLAN
El diseño de las Estrategias de Capacitación y Comunicación se define en una
herramienta documental independiente tanto al Plan de Acción y al Análisis y
Gestión del Riesgo de la Seguridad d la información debido a las propuestas
establecidas por el panel de expertos donde se indicaba el establecimiento de
capacitación más dinámica donde no solo fuera capacitación, sino también
generar un compromiso de formación de los colaboradores de la organización.
Las capacitaciones inicialmente se planteaban como un componente adicional
tanto al Plan de Acción de la Seguridad de la Información como al Análisis y
Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta
realizada por el panel de expertos de realizar la capacitación más rigurosa, se
plantea la creación de esta herramienta documental, que tiene como objetivo
brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de
la Seguridad de la Información.
Las estrategias de capacitación tiene como propósito brindar al personal de la
organización los conocimientos y desarrollo de habilidades específicas para el
desempeño de sus actividades al interior de la misma, fortaleciendo su
productividad y calidad en las actividades desarrolladas. El plan de capacitación
no solo está dirigido a los integrantes nuevos sino también a los experimentados,
es responsabilidad de la organización garantizar el conocimiento y habilidades
necesarias para el buen desempeño de las actividades laborales.
170
La capacitación está compuesta por un conjunto de estrategias orientadas a
integrar al colaborador tanto a la organización como a su puesto de trabajo,
aumentando su eficiencia frente a la organización; otra parte muy importante que
lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento
a los lineamientos organizacionales requeridos.
Las estrategias de capacitación se realiza de forma continua y transversal a todos
componentes del Sistema de Gestión de la Seguridad de la Información.
PROCEDIMIENTOS DE GESTIÓN
» Identificar la temática a tratar.
» Disponer recursos humanos y físicos.
» Verificar aptitudes y habilidades del personal que va a realizar la
capacitación y formación.
» Establecer el grupo focal al cual va dirigida la capacitación y la formación.
» Comunicar lo establecido en el Manual de Procedimientos para la
Administración de Seguridad de la Información, y los lineamientos
directivos, satisfaciendo las necesidades de formación, toma de conciencia
y competencia.
» Garantizar la evaluación del cumplimiento de los objetivos del Manual de
Procedimientos para la Administración de la Seguridad de la Información,
para verificar la eficacia de las acciones emprendidas en el mismo.
» Documentar las actividades de formación.
Es de vital importancia garantizar la comunicación y capacitación del Manual de
Procedimientos para la Administración de Seguridad de la Información, debe
realizarse de forma continua transversalizando a todas las actividades que
componen dicho proceso.
Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan
básico general y Plan avanzado de Capacitación.
El Primero consiste en brindar la información general y básica necesaria para el
desarrollo de un SGSI, en este primer escenario se generará un análisis y
diagnóstico estructural de la organización, de los procesos y de los puestos de
trabajo en torno al tema, el segundo momento se realiza un diagnostico de
171
Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general
de la organización y permitirá elaborar el plan de capacitación Avanzado.
El plan básico desarrollará las siguientes temáticas:
» Información de Generalidades sobre manejo de información, seguridad
informática y seguridad de la información.
» Legislación Vigente, conocimiento y cumplimiento de la misma.
» Normas de Seguridad y Calidad.
» Roles en seguridad de información.
» Definición de Sistema de Gestión de Seguridad de la información
» Alcances.
» Roles y responsabilidades.
» Medidas.
» Modelos aplicados en otras organizaciones.
Plan avanzado de Capacitación:
» Diagnostico DOFA de las prácticas utilizadas en la organización para la
Seguridad de la información.
» Diagnostico DOFA de las procesos mediados por cargos y funciones de
cada colaborador de la organización
» Diagnostico DOFA de las competencias de cada colaborador de la
organización, para desarrollar un modelo para el funcionamiento de un
SGSI.
» Construcción de un Plan de Capacitación adecuado a los resultados de los
Diagnósticos.
Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación
basados en pedagogía socio constructivista, en espacios presenciales y virtuales,
donde se apliquen los conocimientos de forma teórico práctica.
Los horarios establecidos para el plan de capacitación, deben definirse por cada
organización, sin embargo se aconseja hacerlo de forma semanal y con espacios
de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener
espacios de tiempo adecuados a la metodología socio constructivista. El plan de
capacitación se plantea de 90 horas, entregando como resultado el plan de
capacitación avanzado con las necesidades propias de la organización.
172
METODOLOGÍA DE LAS ESTRATEGIAS DE CAPACITACIÓN Y
COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO
Tabla 18. Metodología de las Estrategias de Capacitación.
OBJETIVO ACTIVIDADES DESCRIPCIÓN
Identificar temática a tratar.
Disponer recursos
humanos y físicos.
Verificar aptitudes y
habilidades del personal
que va a realizar la
capacitación y formación.
Establecer el grupo focal al
cual va dirigida la
capacitación y la formación
Comunicar lo establecido
en el Manual de
Procedimientos para la La alta gerencia debe comunicar a la
Administración de
Capacitar y comunicar los Seguridad de la
Procedimientos para la Administración de
procedimientos para la Información, y los
implementación del lineamientos directivos, seguir sus lineamientos y determinar el
modelo. satisfaciendo las
necesidades de formación, objetivos.
toma de conciencia y
competencia.
Garantizar la evaluación
del cumplimiento de los
objetivos del Manual de
Procedimientos para la
Administración de la
Seguridad de la
Información, para verificar
la eficacia de las acciones
emprendidas en el mismo.
Documentar las actividades
de formación.
Fuente: Elaboración Propia
173
MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN
Figura 21. Mapa de procedimientos. Plan de Capacitación.
Fuente: Elaboración Propia
174
ESPECIFICACIÓN DEL PROCEDIMIENTO
El procedimiento que especifica la ejecución de las distintas fases que componen
las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de
Seguridad de la Información se cita como sigue:
175
FORMATOS DE REFERENCIA
ACTIVIDADES
DESCRIPCIÓN
de la Guia de buenas
practicas umplimiento de
esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos
realizados durante el la implementación de la Guia.
176