Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestiones de Seguridad de La Informacion PDF
Gestiones de Seguridad de La Informacion PDF
Para cada una de las gestiones se presenta su definición, la La seguridad de la información es definida por la
relación con cada una de las etapas del ciclo de mejora norma ISO/IEC 27001:2005 como: “La
continua PHVA (Planear, Hacer, Verificar, Actuar) y la Preservación de la confidencialidad, la integridad y
relaciones y dependencias que existen entre cada una de estas la disponibilidad de la información; además puede
gestiones. involucrar otras propiedades tales como:
autenticidad, trazabilidad, no repudio y
fiabilidad”[6], de otra forma, y en un sentido
I. INTRODUCCIÓN práctico, como elemento de valor al negocio, puede
Los esfuerzos realizados por las organizaciones para definirse como: “La protección de la información
afrontar la problemática de la seguridad de la contra una serie de amenazas para reducir el daño al
información, con relación a los riesgos que conlleva negocio y maximizar las oportunidades y utilidades
la pérdida de su confidencialidad, integridad o del mismo”. Esta última definición nos sugiere con
disponibilidad, ha llevado a que las mismas más fuerza que la seguridad de la información es un
aumenten cada año sus inversiones para minimizar tema estratégico y de negocio que debe ser atendido
en alguna proporción el nivel de su exposición al desde la alta dirección.
riesgo o el estado objetivo o subjetivo de
inseguridad que perciban. Estas inversiones se En este sentido gestionar es coordinar y dirigir una
traducen en proyectos que van desde una serie de actividades, con uno recursos disponibles,
para conseguir determinados objetivos, lo cual
1
implica amplias y fuertes interacciones
SGSI: Sistema de Gestión de Seguridad de la Información. NTC ISO/IEC
27001:2005.
2
SI: Seguridad de la Información
2
fundamentalmente entre el entorno, las estructuras, En esta gestión se requiere identificar, valorar y
los procesos y los productos que se deseen obtener3. clasificar los activos de información más
importantes del negocio. Un activo de información
Teniendo en cuenta lo anterior, debemos reconocer en el contexto de un SGSI y con base en la norma
que la gestión de la seguridad de la información ISO/IEC 27001:2005 es: “algo a lo que una
requiere de una estrategia alineada con el negocio y organización directamente le asigna un valor y por
sus objetivos, requiere de unos recursos y de un lo tanto la organización debe proteger” [6].
conjunto de actividades dirigidas y coordinadas por
una organización de la seguridad que se extienda a Para las organizaciones esta definición de activo de
través de toda la organización, desde la alta información puede resultar muy amplia, por lo cual
dirección hasta los usuarios finales. es necesario establecer unos criterios qué permitan
identificar lo que es un activo de información y
En el desarrollo de este artículo se presenta cual es definir las distintas formas en las cuales se pueden
ese conjunto de actividades principales que deben reconocer estos en la organización.
llevarse a cabo dentro de una gestión de seguridad
de la información, en la cual existe un marco Se debe considerar como un activo de información
general que es el ciclo de mejora continua PHVA, principalmente a cualquier conjunto de datos4
bajo el cual se orquestan varias gestiones que creado o utilizado por un proceso de la
alineadas completan y soportan los objetivos de organización., así como el hardware y el software
seguridad de la información que normalmente se utilizado para su procesamiento o almacenamiento,
buscan satisfacer en las organizaciones. los servicios utilizados para su transmisión o
recepción y las herramientas y/o utilidades para el
desarrollo y soporte de sistemas de información. En
PLANIFICAR
Establecer el SGSI
casos particulares, se puede considerar como un
activo de información a personas que manejen
datos, transacciones, o un conocimiento especifico
HACER ACTUAR
Partes Implementar y
Ciclo de Desarrollo
Mantenimiento y Mantener y mejorar Partes
muy importante para la organización (Por ejemplo:
Interesadas Operar el SGSI el SGSI
Mejora Interesadas
secretos industriales, manejo de claves importantes,
know how)
VERIFICAR
Requisitos y
Expectativas de
Hacer Seguimiento
y revisar el SGSI Gestión de la
Seguridad de la
Bajo esta gestión se persigue dar cumplimiento a
Seguridad de la
Información
Información
tres puntos principales:
En este sentido es importante ir más allá de tener 1) Inventario de Activos: Todos los activos deben
unos requisitos normativos y de conformidad con estar claramente identificados y se debe elaborar y
un estándar internacional y presentar los elementos mantener un inventario de todos los activos de
prácticos que permitan que las organizaciones información importantes de la organización.[6]
comprendan y dimensionen los esfuerzos que hay
que llevar a cabo para gestionar la seguridad de la Este inventario debe tener la valoración de cada
información de manera sistemática. activo, indicando bajo una escala definida por la
organización, por ejemplo, si es de alto, medio, o
bajo valor. Adicionalmente es importante que se
II. GESTIONES DE SEGURIDAD DE LA indique cuales son las propiedades más importantes
INFORMACIÓN de proteger para cada activo en términos de su
A. Gestión de Activos de Información CID5, valorando cada propiedad. Se debe indicar
Definición
4
Dato: Unidad mínima que compone cualquier información, por lo
cual la información finalmente debe considerarse un conjunto
organizado de datos que tiene sentido y valor para la organización.
3 5
Adaptado de [4] CID: Confidencialidad, Integridad y Disponibilidad.
3
Usuario: Cualquier persona que genere, obtenga, Los niveles de acceso permitidos.
transforme, conserve o utilice información de la Los métodos de distribución y/o
organización en papel o en medio digital, transmisión.
físicamente o a través de las redes de datos y los
sistemas de información de la organización. Son las Condiciones de almacenamiento.
personas u otros sistemas que utilizan la Condiciones de entrega de terceros.
información para propósitos propios de su labor, y
Destrucción.
que tendrán el derecho manifiesto de su uso dentro
del inventario de información. Para cada usuario se En este punto, el tema de manejo y tratamiento se
debería definir los derechos y niveles de acceso al establece con base en mejores prácticas de
activo de información (lectura, escritura, borrado, seguridad, que pueden ser aplicadas para cada nivel
entre otros.). de clasificación de manera general para todos los
activos de dicho nivel. Si se requiere un nivel de
tratamiento y manejo particular para un activo de
6
El término “Propietario” identifica a un individuo o a una entidad que
tiene responsabilidad aprobada de la dirección por el control de la producción, información, esto deberá responder y justificarse a
el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El través de la identificación de un riesgo específico
término “Propietario” no implica que la persona tenga realmente los derechos
de propiedad de los activos.[6] sobre dicho activo, en la Gestión de Riesgos.
4
deberán entonces incluir estos elementos dentro de deben estar alineados con los planes de
las cuatro actividades anteriormente planteadas. continuidad del negocio.
Ciertos incidentes de seguridad deben estar
Principales Actividades en el Ciclo de Mejora formalmente tipificados, de tal forma que
Continua PHVA cuando se presenten sean el elemento
disparador de la declaración formal de la
Planear: ejecución de un plan de continuidad de
Preparación para la gestión de incidentes. negocio.
Definición de los procedimientos de
Detección y análisis, Contención, D. Gestión del Cumplimiento
Erradicación y Recuperación.
Clasificación de los incidentes y su grado de
Esta gestión permite identificar y administrar los
severidad.
riesgos de carácter jurídico que puede afrontar la
Definición de los elementos indicadores de
organización, con respecto a incidentes presentados
un incidente.
sobre sus activos de información, que se puede
Hacer:
generar sobre diferentes componentes como son:
Detectar y analizar incidentes.
comercio electrónico, protección de datos, habeas
Contener, Erradicar y Recuperarse de un
data, los incidentes informáticos y su connotación
incidente
en términos de responsabilidad penal y civil,
Comunicar y escalar los incidentes.
contratación informática y telemática, contratación
Documentar los incidentes de seguridad.
laboral, contratación con terceros, derecho a la
Verificar:
intimidad, la legislación propia del sector o
Pruebas y auditorías a los procedimientos de
industria, entre otros.
atención de incidentes.
Lo que se busca es que se identifiquen los posibles
Actuar:
riesgos que no han sido atendidos en las áreas
Definir acciones preventivas y correctivas
legales antes mencionadas y para lo cual la empresa
con base en los incidentes ocurridos.
se podría encontrar vulnerable y a través de esta
gestión atenderlos.
Algunas Relaciones y/o Dependencias
Esta gestión aunque es muy parecida a la gestión de
Un incidente de SI debe ser analizado
riesgos de seguridad de la información, en algunas
adicionalmente para determinar su
ocasiones puede no tener la misma naturaleza ni
connotación de responsabilidad penal y
atenderse a través de los mismos métodos para la
civil, para que de esta forma la disminución
identificación y evaluación de los riesgos. En
de los nuevos riesgos identificados y las
algunos casos por que la identificación y evaluación
actuaciones requeridas se administren en la
no se realiza por cada activo de información sino se
gestión del cumplimiento.
determina un nivel de exposición al riesgo general
Los incidentes de seguridad deben
de la organización, dado que son temas
comunicarse para que la organización
transversales a la organización, y en otras ocasiones
aprenda de los mismos y no vuelvan a
por que es difícil de cuantificar el impacto sobre
ocurrir. En este sentido debe incluirse el
todos los recursos del negocio y no aplicarían las
manejo de lecciones aprendidas en las
escalas determinadas de impacto sino que se
comunicaciones y capacitaciones realizadas
manejarían elemento más generales.
en la gestión del cambio y cultura en SI.
Un incidente de seguridad puede dar lugar a
Con esta gestión se aborda la seguridad de la
la identificación de nuevos riesgos de
información desde el ámbito jurídico, y por ende el
seguridad de la información.
tratamiento se realiza a través de controles jurídicos
Los procedimientos de contención,
con base en la ley del país, o los que apliquen a
erradicación y recuperación ante incidentes
nivel internacional, o en un caso específico al
9
negocio por parte de un ente regulador o de control, Esta gestión desarrolla y administra una capacidad
y los reglamentos internos disciplinarios y de para responder ante incidentes destructivos y
trabajo. perjudiciales relacionados con la seguridad de la
información que impidan continuar con las
Principales Actividades en el Ciclo de Mejora funciones y operaciones críticas del negocio,
Continua PHVA además debe tender por la recuperación de estos
escenarios tan rápida y eficazmente como se
Planear: requiera. Esta gestión debe permitir reducir el riesgo
Estudiar las áreas legales que apliquen y que comercial y operacional de la organización.
puedan generar riesgos a la organización y
determinar como se abordaría su Esta gestión tiene como actividades principales las
identificación, evaluación y tratamiento. siguientes:
Hacer: Realizar un análisis de impacto al negocio
Identificar y evaluar los riesgos de (BIA).
cumplimiento y definir su tratamiento. Identificar y priorizar los recursos que
Implementar los controles jurídicos soportan la actividad de los procesos de la
indicados en el tratamiento. organización.
Verificar: Elegir las estrategias apropiadas de
Revisar los controles jurídicos establecidos recuperación.
para determinar si siguen siendo suficientes Elaborar planes de recuperación (DRP).
de acuerdo a cambios que se susciten en el Desarrollar planes de continuidad para la
negocio o el entorno jurídico nacional e funciones críticas del negocio (BCP).
internacional. Capacitar al personal en la ejecución y
Actuar: mantenimiento de los planes.
Realizar las acciones de cambio o mejora a Revisar y mantener los planes por cambio en
los controles jurídicos establecidos. el negocio o en la infraestructura.
Almacenar de manera segura los planes y
Algunas Relaciones y/o Dependencias contar con medios alternos de
comunicación.
La gestión de riesgos de SI puede ser Probar y auditar los planes.
utilizada como una entrada para la gestión
de cumplimiento, en cuanto a identificar Dentro de esta gestión se tiene que tener en cuenta
ciertos activos de información que presenten que los objetivos principales son: Mantener las
riesgos que puedan generar un impacto funciones críticas del negocio en los niveles
importante sobre las áreas legales. aceptables que generen las menores pérdidas
La clasificación de los incidentes permite posibles, recuperarse rápida y eficazmente,
identificar las actuaciones que a nivel legal minimizar el impacto generado por la pérdida de la
se tendrían que llevar a cabo al momento de continuidad, responder en forma sistemática,
presentarse un incidente de SI, aprender y ajustar los planes para reducir la
principalmente en la etapa post incidente. probabilidad de que el incidente vuelva a ocurrir,
Los controles jurídicos a implementar para resolver posibles problemas legales y operativos
el tratamiento de riesgos de incumplimiento que se puedan suscitar y que no hayan sido
generan cambios o proyectos a los cuales se previstos en el BIA.
les tiene que hacer seguimiento en la gestión
de la estrategia de SI. De los elementos mínimos a tener en cuenta en las
estrategias de recuperación y continuidad están:
E. Gestión de la Continuidad del Negocio
Las máximas ventanas de interrupción.
10
para las actividades de gestión del cambio y La gestión del cambio debe comunicar de la
la comunicación que debe llegar a cada mejor manera a la organización la estrategia
grupo, si es posible, con base en los niveles de SI y el panorama de riesgos de SI y sus
de resistencia al cambio observados impactos a la organización y principalmente
históricamente y utilizando a los líderes y sobre el recurso humano.
stakeholders que puedan influenciar de Los planes de capacitación definidos en esta
manera positiva el desarrollo de las gestión deben estar alineados con los planes
actividades planteadas.[3] y proyectos de tratamiento de riesgos para
Definir las herramientas y medios a través que las personas estén preparadas para hacer
de los cuales se desplegará la estrategia de uso de nuevas tecnologías, procedimientos o
gestión de cambio. tener nuevas actuaciones con respecto a la
Comunicar la estrategia de SI y las mejores SI.
prácticas y hábitos de comportamiento que La gestión del cambio y cultura en seguridad
son importantes para poder obtener un nivel debe ser una de las primeras en realizarse en
adecuado de protección de los activos de el SGSI, y debe ser lo suficientemente
información. exitosa para que todas las demás gestiones
Definir los planes de capacitación se soporten en la buena actuación y
requeridos para generar las competencias compromiso del recurso humano, con
necesarias en el personal, para que lleven a respecto a las actividades que hay que
cabo las actividades de seguridad de la desplegar a través de toda la organización.
información que sean desplegadas hacia sus
procesos y que se interiorice la importancia G. Gestión de la Estrategia de SI
de la SI.
Realizar una medición periódica de la Para poder controlar y dirigir todas estas gestiones
efectividad de los planes desarrollados y de se hace necesario que la organización despliegue las
los niveles de aprendizaje y comportamiento mismas desde el más alto nivel de la organización, a
de las personas, para en caso de falencias través de:
establecer cambios y mejoras en la
estrategia. Declaraciones Formales de Intención y
Compromiso: Estas se materializan a través de
Principales Actividades en el Ciclo de Mejora políticas organizacionales que la alta dirección
Continua PHVA presenta a la organización (Por ejemplo: Política de
SI, Política del SGSI o de la Información). Estas
Planear: declaraciones podría estas conformada por una
Establecer una estrategia de gestión de general y una para cada gestión de seguridad. Todos
cambio y formación de cultura de SI.. los demás niveles de documentación relacionados
Hacer: con la SI a través de la organización, (Normas,
Desarrollar los planes y programas de Procedimientos, guías, etc) deben estar alineados y
gestión de cambio y sensibilización en SI. deben apoyar estas declaraciones de alto nivel, para
Desarrollar los planes de capacitación. que las mismas sean operativas y coherentes a
Verificar: través de las diferentes gestiones de seguridad.
Revisar y medir periódicamente la De esta declaración y compromiso también hace
efectividad de los planes implementados. parte el alcance que la alta dirección se compromete
Actuar: a tener dentro de la gestión, la cual puede hacerse
Realizar las acciones de cambio o mejora a solo para los procesos más importantes y para los
los planes de gestión de cambio y activos del negocio de mayor valor inicialmente,
capacitación. teniendo una visión de implementación incremental
a través del tiempo en donde dicho alcance puede
Algunas Relaciones y/o Dependencias
12
Ejecutar las acciones preventivas y [2] Glosario Institucional, Policía Nacional de Colombia,
correctivas generadas en las diferentes www.policia.gov.co/inicio/portal/portal.nsf/paginas/Glosa
rioInstitucional.
gestiones de seguridad.. [3] Jones. John. 10 Principles of Change Management, tools
and techniques to help companies transform quickly,
Es importante que no se pierda de vista que una 2004, pp. 1-4.
gestión puede haber realizado el cierre del ciclo [4] Marecos. Edgardo, Conceptos Claves Acerca de la Salud,
PHVA una o más veces, mientras que una gestión Revista de Postgrado de la Cátedra VIa Medicina, 2001,
pp. 17-19.
“más joven” apenas esté en la mitad de su primer [5] ISACA, Manual de Preparación del Examen CISM, 2005,
ciclo (gestión planeada y en implementación), lo pp. 53-82, 186-225.
cual nos ayuda a entender precisamente el concepto [6] NTC-ISO/IEC 27001:2005, ICONTEC, 2006.
de mejora continua, en el sentido en que las
diferentes gestiones van madurando y Autor
completándose a través del tiempo, hasta que el
SGSI es más “fácil” de operar y mantener. Fabián Alberto Cárdenas Varela
III. CONCLUSIONES
REFERENCIAS
[1] Calder. Alan, Nueve Claves para el Éxito, una visión de la
implementación de la norma NTC-ISO/IEC 27001,
ICONTEC, 2006, pp. 13-38.