Unidad 2 / Escenario 3

Lectura fundamental

El núcleo de un Sistema de Gestión

de Seguridad de la Información
(SGSI)

Contenido
1 Procesos y actividades dentro de un SGSI

2 Gestión de activos de información

3 Trascendencia de la gestión de riesgos

4 Gestión de incidentes

Palabras clave: gestión de seguridad, sistema de gestión de seguridad de la información, gestión de incidentes,
gestión de riesgos, activo de información.
1. Procesos y actividades dentro de un SGSI
Los sistemas de gestión de seguridad de la información (SGSI) son mecanismos basados en la
coordinación de procesos y actividades para la implementación, acción, evaluación y mejora continua
de diversos factores, tales como la gestión de activos, gestión de riesgos, entre otros que se abordan
a continuación. Vale la pena mencionar que cada uno de estos procesos es importante para lograr una
adecuada gestión de la seguridad.

Un factor fundamental dentro de toda gestión realizada dentro del SGSI es contar con puntos de
medición a través de los cuales sea posible identificar si los objetivos establecidos se están logrando o,
en caso contrario, los mismos puntos brinden herramientas de juicio para establecer planes que traten
esa situación y así llegar a una mejora continua.

2. Gestión de activos de información

Existen diversas definiciones para el concepto de activos de información, algunas se muestran en la
siguiente tabla:

Tabla 1. El concepto de activos de información según ISO 27000 e ISACA

Fuente Definición

En relación con la seguridad de la información, se refiere a

cualquier información o sistema relacionado con el tratamiento
de la misma que tenga valor para la organización, pueden ser
ISO 27000
procesos de negocio, datos, aplicaciones, equipos informáticos,
personal, soportes de información, redes, equipamiento auxiliar
o instalaciones. (ISO, 2005, glosario).

Un recurso o bien económico, propiedad de una empresa,

con el cual se obtienen beneficios. Los activos de las empresas
ISACA
varían de acuerdo con la naturaleza de la actividad desarrollada.
(Morrobert, 2011).

Fuente: elaboración propia a partir de ISO (2005) y Morrobert, (2011)

POLITÉCNICO GRANCOLOMBIANO 2
Comprendido, entonces, los activos de información como un recurso de valor para la organización, el
proceso de gestión de estos incluye su identificación, clasificación, valoración y seguimiento.

Durante el proceso de identificación se recomienda tener en cuenta las siguientes propiedades del
activo de información:

• ¿Cuál es la función del activo?

• ¿De quién es el activo (dueño)?

• ¿Alguien es responsable de la custodia o protección del activo?

• ¿En qué actividades o procesos interviene?

• ¿Dónde se encuentra el activo?

Una vez identificada esta información, para efectos de organización se puede emplear una
clasificación inicial que determina el tipo de activo de información sobre el cual se está trabajando. La
metodología MAGERIT propone un modelo de clasificación simple para los activos que se opone a la
presentada por el NIST.

Personas
Servicios
Organización
Datos e información
Sistemas
Aplicaciones de sofware
Sofware
Equipos informáticos
Bases de datos
Personal
Redes

Servicios Redes de comunicaciones

Datos Soportes de información

Dispositivos de cómputo Equipamento auxiliar

Circuitos Instalaciones
Sitio web

Figura 1. MAGERIT vs. NIST

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 3
Sin embargo, es potestad del responsable de la gestión establecer una clasificación de acuerdo con las
necesidades del negocio. Lo realmente importante en este punto es comprender que la clasificación
permite la agrupación de activos y, en la medida que se establezcan planes de tratamientos
posteriores a la definición del nivel de riesgos, también que estos planes estén orientados a grupos de
activos dependiendo de su tipo, para así lograr una mayor cobertura y protección de la información.

Otro factor a tener en cuenta es la valoración de los activos y esto va de la mano con identificar
qué tan crítico es el activo para el negocio en términos de valor, confidencialidad, integridad y
disponibilidad, o con cuantos procesos interactúa y qué tan importante es para estos. La razón de ser
de esta valoración es identificar activos críticos para el negocio y priorizar el tratamiento de riesgos
sobre estos dado su impacto. Adicionalmente, esta información puede ser una entrada para los
trabajos asociados con continuidad de negocio.

El inventario de activos de información y su respectiva clasificación y valoración deben ser

comunicados a los dueños de procesos y contar con su conformidad, ya que estos serán los
responsables de gestionar de forma segura sus activos, de acuerdo con los requerimientos de
tratamiento seguro que se establezcan dentro del SGSI.

En cuanto a las actividades relacionadas con la gestión de los activos de información, se debe agregar
que estas deben ser realizadas de manera periódica, pues siendo las organizaciones sistemas
cambiantes a través del tiempo, tanto en sus procesos y actividades como sus tecnologías, personas y
otros factores, este factor afecta el inventario de activos de información y, por ende, también puede
afectar el inventario y tratamiento propuesto para riesgos.

Conocer Clasificar y Determinar

Determinar su
procesos y valorar su criticidad de la
información
actividades información información

Figura 2. Procedimiento genérico de gestión de activos de información

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 4
3. Trascendencia de la gestión de riesgos
La gestión de riesgos de seguridad de la información es la actividad central del sistema de gestión,
especialmente desde que la norma ISO/IEC 27001, en su versión 2013, aumentó la importancia de
esta gestión sobre la de activos de información. Así mismo, otras guías y documentos contemplan la
gestión de riesgos como la piedra angular sobre la que se edifica la seguridad de la información, gracias
a su identificación de factores que generan peligro o impacto y su posterior monitoreo o tratamiento
para lograr un control sobre estos.

Dentro del proceso de gestión, la primera actividad a realizar es la definición de una metodología
para la valoración y tratamiento de los riesgos, esto con el fin de contar con un marco que establezca
factores a evaluar, escalas de medición y mecanismos para realizar la revisión de controles y planes de
tratamiento propuestos. Para este particular existen diversas metodologías, a continuación se listan
las más relevantes:

• ISO 31000 (marco de gestión y administración de riesgos en general)

• ISO 27005 (gestión de riesgos tecnológicos y de seguridad de la información)

• MAGERIT (metodología de gestión de riesgos para la administración pública española)

• OCTAVE (metodología de gestión de riesgos)

• NIST 800-30 (metodología de gestión de riesgos de seguridad de la información)

• CRAMM

• MEHARI

La responsabilidad de quien se encuentra diseñando y estructurando el sistema de gestión radica

en realizar una adaptación de una metodología existente o crear una nueva teniendo en cuenta
la naturaleza de la organización, sus factores socioeconómicos, culturales y las necesidades que
permitan una adecuada medición de cara al negocio. Implementar una metodología como las antes
mencionadas, sin la personalización, puede implicar que los resultados del ejercicio de análisis y
evaluación de riesgos plantee resultados inoperantes o alejados de la realidad de la organización.

Ya definida la metodología o marco de trabajo para la gestión de riesgos, se identifican las amenazas,
vulnerabilidades y riesgos que pesan sobre los activos de información y sobre los procesos de la
organización. Depende de la metodología y las métricas seleccionadas si se identificarán otros
factores para medición de exposición de riesgo.

POLITÉCNICO GRANCOLOMBIANO 5
Cabe agregar que en la actualidad existen propuestas metodológicas que van un poco más allá y
mencionan elementos como la intencionalidad o interés de un agente externo o interno a la hora de
materializar un riesgo, así como el nivel de exposición. Sin embargo, son valores que le agregan un
nivel de complejidad a las metodologías cuando se es nuevo en la gestión, y por ello se recomienda
evaluar estos factores solo cuando se cuente con un nivel de madurez y estabilidad.

Una vez se encuentre definida la medición de los riesgos identificados, es necesario presentarla
a la dirección o responsables de la toma de decisiones, empleando un criterio de posición frente
al riesgo o apetito de riesgo, el cual puede variar dependiendo de la organización, en la medida en
la que las propuestas modernas de administración del riesgo ven no solo factores adversos, sino
también oportunidades. Con este umbral de riesgo determinado se procede a la creación de planes
de tratamiento y gestión a estos riesgos, los cuales pueden apoyarse en componentes tales como los
controles expuestos en la norma ISO/IEC 27002 y otras guías de seguridad.

Independientemente de la metodología que se emplee, la teoría general de riesgos menciona cuatro

opciones de tratamiento que deben ser tenidos en cuenta para la definición de controles:

• Tratar el riesgo: definir mecanismos para controlar el riesgo en su probabilidad o impacto.

• Aceptar el riesgo: se acepta el riesgo, no se generan controles, solo se monitorea su estado.

• Entregar la gestión del riesgo: tercerizar o entregar a un tercero el tratamiento o gestión del
riesgo, lo que no implica que el dueño o responsable del riesgo cambie. La entrega a este tercero
busca que quien queda como responsable del tratamiento cuente con recursos o experiencia
para gestionarlo.

• Eliminar la fuente del riesgo: de ser posible, se busca eliminar la fuente del riesgo para
que este desaparezca, como, por ejemplo, con un sistema legado, cuando se autoriza su
eliminación o apagado.

El desarrollo de planes de tratamiento requiere dos factores decisivos, el primero es la aceptación

de la responsabilidad del riesgo por parte del dueño del activo de información o activos sobre los que
se hayan identificado los riesgos, independientemente de que el tratamiento lo ejecute el custodio
de la información u otro rol. El segundo factor hace referencia a la asignación de recursos para el
tratamiento de los riesgos, haciendo la aclaración de que recursos no solo hace referencia a dinero
sino a personal (recurso humano) y su dedicación (tiempo).

POLITÉCNICO GRANCOLOMBIANO 6
Uno de los mayores errores al generar planes de tratamiento de riesgos resulta ser la amplitud de
los mismos, pues en muchos casos los planes buscan abarcar muchos aspectos, lo que hace que
los planes tomen tiempo y los resultados tarden en ser visibles y medibles. Este error también
está asociado a los costos de los planes, teniendo en cuenta la premisa de la gestión de riesgos
que establece que un control nunca debe superar el valor del mismo activo o grupo de activos que
plantea proteger.

El proceso de gestión estará al tanto de las fases e hitos establecidos para cada uno de los planes, de
que se desarrolle correctamente la gestión planteada, así como de determinar que los responsables de
la gestión realicen la implementación de los controles, generen efectividad y se pueda llegar a niveles
aceptables de riesgo una vez sea calculado el riesgo residual, el cual consiste en el valor del riesgo puro
menos el valor de exposición que se logra con la aplicación de los controles.

Así como los activos pueden cambiar, los riesgos también y transformarse en nuevos riesgos, aumentar
en exposición o incluso desaparecer, como es el caso cuando ya no existen los activos de información o
son excluidos del inventario. Así que parte de la labor de mantenimiento en gestión de riesgos es estar al
tanto de cambios en procesos y actividades para detectar estas situaciones y que los dueños de los
riesgos generen una correcta gestión que se vea reflejada en el panorama de riesgos del SGSI. La
siguiente ilustración aborda, en términos generales, el ciclo en torno a la gestión de riesgos.

Identificar riesgo

Identificar amenazas
Medir efectividad (causas) y vulnerabilidades
del tratamiento (debilidades)

Desarrollar planes Determinar valoración

de tratamiento del riesgo

Figura 3. Ciclo de vida de la gestión de riesgos

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 7
4. Gestión de incidentes
La gestión de incidentes hace referencia al conjunto de actividades a desarrollar para la identificación,
clasificación, tratamiento y gestión del conocimiento en torno a incidentes de seguridad de la
información que puedan poner en riesgo la confidencialidad, integridad, disponibilidad o cualquier otro
objetivo de seguridad establecido en una organización.

Es importante indicar que el concepto de incidente que se maneja en seguridad de la información

varía del expuesto a nivel de tecnología y se ha hecho popular a través de la Librería de Infraestructura
de Tecnologías de Información (ITIL, por sus siglas en inglés). En seguridad de la información un
incidente se refiere a un evento o serie de eventos de seguridad no deseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones de la organización y amenazar la
seguridad de la información.

Para el establecimiento del proceso de gestión de incidentes de seguridad y de los planes de respuesta
a incidentes, es posible emplear diversas guías o buenas prácticas en cuanto a la gestión. Para
presentar un ejemplo de procedimientos para gestión de incidentes se toma como marco de
referencia el estándar NIST Special Publication 800-61 denominado Computer Security Incident
Handling Guide.

3. Contramedida,
1. Preparación erradicación y
recuperación

Actualización de procedimientos Generación

o base de conocimiento de reportes

2. Detección 4. Análisis
y análisis pos-incidente

Figura 4. Fases de la gestión de incidentes según Cichonski

Fuente: Cichonski (2012)

POLITÉCNICO GRANCOLOMBIANO 8
Las fases propuestas para gestionar su funcionamiento contemplan las siguientes actividades:

Preparación: actividades preparatorias para enfrentar incidentes de seguridad de la información para

escenarios de mayor impacto o alta frecuencia de ocurrencia.

Detección y análisis: identificar y clasificar el tipo de incidente, para analizar la situación y seleccionar
las acciones correctivas que se deben aplicar para contrarrestar el efecto del incidente.

Contramedida, erradicación y recuperación: aplicación de procedimientos de contención, acciones

correctivas y eliminación de la fuente de amenaza del incidente. Una vez finalizado el incidente, se
realiza la recuperación de los servicios afectados a un estado seguro y productivo.

Análisis post-incidente: realización del análisis para identificar qué procedimientos fallaron en la
respuesta al incidente, revisión de variantes o situaciones inusuales presentadas a lo largo del incidente
y organización de información, registros y pruebas para generar el reporte correspondiente.

Generación de reportes: redacción y entrega del reporte del incidente acontecido a la dirección y los
responsables de servicios y activos afectados.

Actualización de procedimientos o base de conocimiento: en caso de ser requerido, se debe realizar

actualización de los procedimientos documentados de tratamiento de incidentes, actualizando por
nuevas actividades o procedimientos a aplicar.

Otra propuesta para tratamiento de incidentes fue desarrollada por la Agencia Europea de Seguridad
de las Redes y de la Información (ENISA), en la cual se presenta la gestión de incidentes como una
sala de emergencia con todas las etapas de triaje. Se cuentan con otras propuestas metodológicas de
organizaciones como ISO, con ISO 27035, LACNIC, entre otras.

Así, al final, independientemente de cuál metodología se emplee para la gestión de activos de

información, gestión de riesgos e incluso gestión de incidentes, será la interacción de estas
actividades, en un marco de mejoramiento continuo, lo que permitirá que el núcleo o corazón de un
SGSI se mueva y permita articular la seguridad de la información dentro de una organización.

POLITÉCNICO GRANCOLOMBIANO 9
Referencias
Cichonski, P. Millar, T., Grance, T., & Scarfone, K. (2012). NIST SP 800-61 - Computer Security
Incident Handling Guide. Recuperado de http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.
SP.800-61r2.pdf.

ISO 27000.es, (2005). Glosario. Recuperado de http://www.iso27000.es/glosario.html.

Norma Internacional ISO/IEC 27001 (2013). Information technology - Security techniques -

Information security management systems - Requirements.

Morrobert, E. E. (2011). Protección de Activos de Información (Basado en Riesgo)[Mensaje de un blog].

Auditoría de sistemas. Recuperado de https://www.isaca.org/Blogs/282270/archive/2011/04/27/
Protecci%C3%B3ndeActivosdeInformaci%C3%B3n.aspx.

POLITÉCNICO GRANCOLOMBIANO 10
 INFORMACIÓN TÉCNICA

Módulo: Gestión de la Seguridad

Unidad 2: Operación de un sistema de gestión de
seguridad de la información
Escenario 3: Implementación de un SGSI

Autor: Jeffrey Steve Borbón Sanabria

Asesor Pedagógico: Juan Felipe Marciales Mejía

Diseñador Gráfico: Henderson Jhoan Colmenares López
Asistente: Laura Andrea Delgado Forero

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 11