Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE LA INFORMACIÓN
Medidas y actividades que procuran proteger los activos de información, entendiéndose éstos como los
conocimientos o datos que tienen valor para una organización
CIBERSEGURIDAD
Conjunto de medidas de “Protección de activos de información, a través del tratamiento de amenazas que
ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información
que se encuentran interconectados”
NORMAS ISO
27001 – 2013 – SEGURIDAD DE LA INFORMACION
27005 – 2011 GESTION DE RIESGOS
27002 – 2013 CODIGO DE PRACTICA PARA LA GESTION DE LA SEGURIDAD DE
LA INFORMACION 14 dominios, 35 objetivos de control y 114 controles
https://tienda.icontec.org/producto/e-book-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-sistemas-de-gestion-de-la-seguridad-de-
la-informacion-requisitos/?v=42983b05e2f2
LEY 1581 – 2012 PROTECCION DE DATOS PERSONALES
DIRECCION
Son aquellos datos
personales que las NO ES NECESARIA TELEFONO
DATO PERSONAL normas y la SENTENCIAS
LA AUTORIZACION
PUBLICO Constitución han JUDICIALES
determinado DEL TITULAR
expresamente como
EJECUTORIADAS
públicos ESTADO CIVIL
DATO PERSONAL
No tienen una
naturaleza íntima, DATO FINANCIERO
AUTORIZACION
DATO PERSONAL reservada, ni pública Y CREDITICIO
EXPRESA DEL
SEMI PRIVADO y cuyo conocimiento Ley 1266 de
o divulgación puede TITULAR
Habeas Data
interesar no solo a su
titular, sino a un grupo
de personas o a la
sociedad en general
Es un dato personal
que por su naturaleza AUTORIZACION
DATO PERSONAL NIVEL DE
íntima o reservada EXPRESA DEL
PRIVADO solo interesa a su ESCOLARIDAD
TITULAR
titular.
DATO PERSONAL
Objetivos
Proveer a las organizaciones con los elementos de un Sistema de
Seguridad de la Información efectivo que logre la mejor práctica en la
seguridad de la información mientras es viable de forma económica.
Requisitos
• Especifica de manera formal (mediante requisitos) el sistema de
gestión necesario para llevar la seguridad de información a un estado de
control de gestión explícito.
• En su anexo A enumera los objetivos de control y los controles que
desarrolla la ISO 27002.
GUIAS MINTIC MODELO SPI
GUIAS MINTIC
MSPI
http://www.mintic.gov.co/gestionti/615/w3-article-5482.html
D
I
A
G
N
O
S
T
I
C
O
P H
V A
MSPI - Metas, Resultados e Instrumentos de la Fase
Etapas previas a la implementación - DIAGNOSTICO
DIAGNOSTICO
ESTADO ACTUAL DE LA
ENTIDAD
IDENTIFICAR EL NIVEL DE
MADUREZ
LEVANTAMIENTO DE
INFORMACIÓN
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación
Determinar el estado actual de
la gestión de seguridad y Diligenciamiento de la Herramienta de diagnóstico
privacidad de la información al herramienta.
interior de la Entidad.
Identificar vulnerabilidades
Documento con los hallazgos
técnicas y administrativas que Herramienta de diagnóstico
encontrados en las pruebas de
sirvan como insumo para la fase
vulnerabilidad.
de planificación.
ESTRUCTURA DE LA NORMA - 1 A 10
PLANIFICACIÓN HACER VERIFICAR ACTUAR
MSPI - PLANIFICACIÓN
PLANIFICACIÓN
MSPI - FASES
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
Documento con la política de
seguridad de la información,
POLITICA DE SEGURIDAD DE LA Guía No 2 – Política General
debidamente aprobado por la
INFORMACION MSPI
alta Dirección y socializada al
interior de la Entidad.
Procedimientos, debidamente
PROCEDIMIENTOS DE documentados, socializados y Guía No 3 - Procedimientos de
SEGURIDAD DE LA aprobados por el comité que Seguridad y Privacidad de la
INFORMACIÓN. integre los sistemas de gestión Información.
institucional.
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
Documento con la
metodología para
identificación, clasificación y
valoración de activos de
información, validado por el
comité de seguridad de la
información o quien haga sus
Guía No 5 - Gestión De
veces y revisado y aprobado
INVENTARIO DE ACTIVOS DE Activos
por la alta dirección.
INFORMACIÓN. Guía No 20 - Transición Ipv4 a
Matriz con la identificación,
Ipv6
valoración y clasificación de
activos de información.
Documento con la
caracterización de activos de
información, que contengan
datos personales
Inventario de activos de IPv6
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
INTEGRACIÓN DEL MSPI CON EL Integración del MSPI, con el
Guía No 6 - Gestión Documental
SISTEMA DE GESTIÓN sistema de gestión documental
DOCUMENTAL de la entidad.
Documento con la
metodología de gestión de
riesgos.
Documento con el análisis y
evaluación de riesgos. Guía No 7 - Gestión de
IDENTIFICACIÓN,
Documento con el plan de Riesgos
VALORACIÓN Y TRATAMIENTO
tratamiento de riesgos. Guía No 8 - Controles de
DE RIESGO.
Documento con la declaración Seguridad
de aplicabilidad.
Documentos revisados y
aprobados por la alta
Dirección.
Guía No 14 - Plan de
Documento con el plan de
comunicación, sensibilización y
PLAN DE COMUNICACIONES. comunicación, sensibilización y
capacitación
capacitación para la entidad.
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
IMPLEMENTACION
CONTROL Y PLANEACION
OPERACIONAL
PLAN DE TRATAMIENTO DE
RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN
DEFINICION DE INDICADORES
DE GESTION
Metas, Resultados e Instrumentos de la Fase de
Implementación
IMPLEMENTACIÓN DEL PLAN Informe de la ejecución del plan Documento con la declaración
DE TRATAMIENTO DE RIESGOS de tratamiento de riesgos de aplicabilidad.
aprobado por el dueño de cada Documento con el plan de
proceso. tratamiento de riesgos.
Metas, Resultados e Instrumentos de la Fase de
Implementación
EVALUACION DE DESEMPEÑO
MONITOREO, MEDICIÓN,
ANALISIS Y EVALUACIÓN.
AUDITORIA INTERNA
MEJORAMIENTO CONTINUO
ACCIONES CORRECTIVAS
MEJORA CONTINUA
Metas, Resultados e Instrumentos de la Fase de
Mejora Continua
MANEJO DE
APLICACIONES
ACTIVOS - ACTIVOS
SEGURAS
RIESGOS
DOCUMENTACION PROCESOS -
CONTROLES
PROCEDIMIEN
AUDITABLE TOS DE ACCESO
COPIAS DE
RESPALDO Y SU CONTINUIDAD DRP - BCP
MANEJO
ACTIVOS DE INFORMACION
IMPACTO
PERSONAS ECONOMICO INFRAESTRUCTURA
U
OPERATIVO
HARDWARE
IMPACTO DATOS
Y
SOFTWARE LEGAL
DE QUE PROTEGEMOS LOS ACTIVOS DE
INFORMACION
DEBEMOS ASEGURAR
CONFIDENCIALIDAD - INTEGRIDAD Y DISPONIBILIDAD
ACTIVOS DE INFORMACION
CONFIDENCIALIDAD DISPONIBILIDAD
INTEGRIDAD
Propiedad mediante la cual la Propiedad mediante la cual la
información no se hace Propiedad de protección de la información es accesible y
disponible o revelada a exactitud y completitud de la utilizable por nuestra entidad o
personas, entidades o procesos información por solicitud de una entidad
no autorizados autorizada
ISO 27001 – 2013 / MSPI
IDENTIFICAR ACTIVOS DE
INFORMACION - INVENTARIO
VALORACION DE LOS
ACTIVOS
ANALISIS DE RIESGOS
PROBABILIDAD
IMPACTO
RIESGO INHERENTE
VALORAR CONTROLES
EXISTENTES
RIESGO RESIDUAL
TRATAMIENTO DE RIESGOS
IMPLEMENTAR CONTROLES
ISO 27001 - 2013
INVENTARIO DE ACTIVOS DE INFORMACION
IDENTIFICAR - INGRESO - RETIRO – MODIFICACION
ACTIVO DE INFORMACION
OFICIAL DE SEGURIDAD
- Alta. Activos de información en los cuales la clasificación de la información en dos o todas las
propiedades (confidencialidad, integridad, y disponibilidad) es alta.
- Media. Activos de información en los cuales la clasificación de la información es alta en una de sus
propiedades (confidencialidad, integridad, y disponibilidad) o al menos una de ellas es de nivel medio.
- Baja. Activos de información en los cuales la clasificación de la información en todos sus niveles es baja.
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
D
I
A
G
N
O
S
T
I
C
O
P H
V A
FACTORES DE RIESGO
VULNERABILIDAD AMENAZA
Mantenimiento Incumplimiento en el
insuficiente/instalación fallida de los mantenimiento del sistema de
medios de almacenamiento. información
RIESGO RIESGO ES LA
Equipos en alto riesgo de fallas por PROBABILIDAD DE QUE
falta de mantenimiento – falla en UNA AMENAZA
EXPLOTE UNA
los equipos por falta de reemplazo
VULNERABILIDAD
o actualización
Probable
Posible
Improbable
Raro
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION
Probabilidad de ocurrencia EstImacion del Impacto
Este riesgo se ha materializado?
1 No se ha presentado en
los últimos 5 años. Valoracion y clasificacion
2 Al menos de una vez en OPERATIVO Valoracion y clasificacion del
Amenaza Vulnerabilidad RIESGO los últimos 5 años. IMAGEN LEGAL del Riesgo
1 Grupo de funcionarios 1 Multas
1 Ajustes a una actividad completa Impacto
3 Al menos de una vez en 2 Cambios en los procedimientos = Riesgo Inherente
los últimos 2 años. 2 Todos los funcionarios 2 Demandas
3 Cambios en la interaccion de los
4 Al menos de una vez en 3 Usuarios ciudad 3 Investigacion disciplinaria
procesos
el último año. 4 Usuarios region 4 Investigacion fiscal
4 Intermitencia en el servicio
5 Más de una vez al año. 5 Usuarios país 5 Intervencion sancion
5 Paro total del proceso
mantenimiento
Falla en los equipos por
Ausencia de esquemas
Destrucción de equipos falta de reemplazo o 2 IMPROBABLE
de reemplazo periódico
1 Ausencia de un eficiente
actualizacion.
Por falta de control de
cambios se podria
Error en el uso control de cambios en la presentar fallas en la 4 PROBABLE
Procesamiento ilegal de
datos por habilitacion de
Habilitación de servicios
Procesamiento ilegal de datos servicios innecesarios (guias 2 IMPROBABLE
innecesarios
de hardening o guias de
aseguramiento).
Ausencia de planes de
Ausencia de planes de
Falla del equipo continuidad en caso de falla 5 CASI SEGURO
continuidad
del equipo
Autenticacion no
Ausencia de identificacion y
autorizada por falsificacion
Falsificacion de derechos autentificacion del emisor y 2 IMPROBABLE
de derechos. Permisos
el receptor
usuario contraseña etc.
29 5 5 5 5 CATASTROFICO 145 0
3
2
SE SUMAN LOS DIEZ 3
VALORES DE DAMOS UN VALOR ENTRE 1 Y 5 A
PROBABILIDAD DE ESTIMACION DE IMPACTO A :
4
OCURRENCIA Y SE IMAGEN – LEGAL - OPERATIVO.
MULTIPLICAMOS EL VALOR DE
DIVIDEN EN 10 LO CUAL SE SUMAN ESTOS TRES VALORES Y
TOTAL PROBABILIDAD (3) * TOTAL
NOS DA EL VALOR DE SE DIVIDEN EN TRES LO CUAL NOS
IMPACTO (5) = 3*5=15
TOTAL PROBABILIDAD DA COMO RESULTADO
RIESGO INHERENTE
PARA EL EJEMPLO = 3 TOTAL IMPACTO
PARA EL EJEMPLO = 15 EXTREMO
PARA EL EJEMPLO 5+5+5=15
DIVIDIDO EN 3 = 5
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION
Con los datos anteriores ya podemos valorar y clasificar el Riesgo Inherente, para esto tomamos el valor que nos
dio en TOTAL PROBABILIDAD y los multiplicamos por el valor que nos dio en TOTAL IMPACTO. En el caso del
ejemplo 3*5 = 15 y nos ubicamos en el mapa de calor. Para el ejemplo nos da 15 = EXTREMA
100
Disminuir # de casillas en
Nueva probabilidad Nuevo impacto Nueva valoracion Y CLASIFICACION DEL Riesgo
Disminuir # de casillas en impacto en el mapa de calor probabilidad en el mapa de calor
VALORACION CONTROLES EXISTENTES despues de valorar los despues de valorar los controles una vez valorados los controles
despues de valorar los controles existente despues de valorar los controles
controles existentes existentes = RIESGO RESIDUAL
existentes
53 1 1 2 4 8 ALTO
NUEVA VALORACION DEL RIESGO DESPUES DE
VALORAR LOS CONTROLES EXISTENTES
Ya con la valoración de los controles existentes que para este ejemplo dio 53, revisamos la siguiente tabla
y dependiendo del valor que nos de como resultado y si el control Afecta la probabilidad o el impacto se
desplazará automáticamente en la matriz de calificación (mapa de calor), de acuerdo al rango.
Para el ejemplo nos da 53 por lo tanto disminuiremos un cuadrante en PROBABILIDAD y un cuadrante
en IMPACTO . Recordemos que el riesgo inherente fue el resultado de Probabilidad 3 Impacto 5 = 15
Ahora la matriz de forma automática nos disminuirá 1 cuadrante en cada uno Probabilidad 2 Impacto 4 = 8
EL RIESGO RESIDUAL NOS HABIA DADO 15 EXTREMO POR LO QUE AHORA DISMINUIREMOS
UNA CASILLA EN IMPACTO Y UNA CASILLA EN PROBABILIDAD
La valoración del control nos dio 53 por lo tanto disminuimos un cuadrante en probabilidad y uno en impacto
En el mapa de calor. Quedando Probabilidad = 2 e Impacto = 4 y nos ubicamos de nuevo en el cuadro de calor
En donde el resultado es 8 PROBABILIDAD X IMPACTO = 8 ALTA (RIESGO RESIDUAL)
25 EXTREMA
Probabilidad Valor Evaluación
20 EXTREMA
16 EXTREMA
Casi Seguro 5 5 10 15 20 25
15 EXTREMA
Probable 4 4 8 12 16 20 12 ALTA
Posible 3 3 6 9 12 15 10 ALTA
Improbable 2 2 4 6 8 10 9 ALTA
Raro 1 1 2 3 4 5 8 ALTA
Valor 1 2 3 4 5 6 MODERADA
Impacto Insignificante Menor Moderado Mayor Catastrófica 5 MODERADA
4 MODERADA
3 BAJA
2 BAJA
1 BAJA
DESPUES DE VALORAR LOS CONTROLES EXISTENTES Y DE LLEVARLOS A LA TABLA DE RANGO DE
CALIFICACION DE LOS CONTROLES EL FORMATO NOS PRESENTA DE FORMA AUTOMATICA LA NUEVA
PROBABILIDAD Y EL NUEVO IMPACTO
Disminuir # de casillas en
Nueva probabilidad Nuevo impacto Nueva valoracion Y CLASIFICACION DEL Riesgo
Disminuir # de casillas en impacto en el mapa de calor probabilidad en el mapa de calor
VALORACION CONTROLES EXISTENTES despues de valorar los despues de valorar los controles una vez valorados los controles
despues de valorar los controles existente despues de valorar los controles
controles existentes existentes = RIESGO RESIDUAL
existentes
53 1 1 2 4 8 ALTO
RIESGO
RESIDUAL
RIESGO
(INHERENTE)
RIESGO
RESIDUAL
CONTROL
TRATAMIENTO DEL RIESGO RESIDUAL MEJORAS Y
SEGUIMIENTO
Para el tratamiento o mejora debemos especificar que controles implementar o mejorar basándonos En la Norma de Seguridad
de la Información ISO 27001-2013.
Para su seguimiento, se debe registrar quien será el responsable de implementar el control, Como o con que herramientas y la fecha en la
que debe estar implementado.
El responsable de su implementación debe valorar costo beneficio de implementación de un control Ya que de este análisis puede resultar
mejor compartir, transferir o evitar el Riesgo.
• Contar un SGSI otorga a la organización una garantía frente a clientes y socios estratégicos ya
que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la
información que es depositada en la misma.
• Permite a las organizaciones continuar operando con normalidad en caso de producirse
problemas importantes.
• Se puede hacer una integración conjunta con otros Sistemas de Gestión Normalizados tales
como ISO 9001, ISO 14001, OHSAS 18001 ,entre otras.
• Hace que la organización esté cumpliendo con la legislación vigente en materia de información
personal y propiedad intelectual.
• La seguridad en la información que ofrece implantar un SGCI de acuerdo a ISO 27001 favorece
una reducción de los costes y un mejor funcionamiento de los procesos.
• Se convierte en un elemento favorable para la empresa frente a la competencia, pues el contar con
un SGSI le hace aumentar su imagen a nivel internacional.
LA SECRETARIA DE LAS TIC APOYA TODOS LOS PROCESOS
DE LA GOBERNACION DE CUNDINAMARCA Y SUS MUNICIPIOS
GARANTIZANDO
CONFIDENCIALIDAD – INTEGRIDAD Y DISPONIBILIDAD
DE LA INFORMACION