Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura fundamental
Contenido
1 Procesos y actividades dentro de un SGSI
4 Gestión de incidentes
Palabras clave: gestión de seguridad, sistema de gestión de seguridad de la información, gestión de incidentes,
gestión de riesgos, activo de información.
1. Procesos y actividades dentro de un SGSI
Los sistemas de gestión de seguridad de la información (SGSI) son mecanismos basados en la
coordinación de procesos y actividades para la implementación, acción, evaluación y mejora continua
de diversos factores, tales como la gestión de activos, gestión de riesgos, entre otros que se abordan
a continuación. Vale la pena mencionar que cada uno de estos procesos es importante para lograr una
adecuada gestión de la seguridad.
Un factor fundamental dentro de toda gestión realizada dentro del SGSI es contar con puntos de
medición a través de los cuales sea posible identificar si los objetivos establecidos se están logrando o,
en caso contrario, los mismos puntos brinden herramientas de juicio para establecer planes que traten
esa situación y así llegar a una mejora continua.
Fuente Definición
POLITÉCNICO GRANCOLOMBIANO 2
Comprendido, entonces, los activos de información como un recurso de valor para la organización, el
proceso de gestión de estos incluye su identificación, clasificación, valoración y seguimiento.
Durante el proceso de identificación se recomienda tener en cuenta las siguientes propiedades del
activo de información:
Una vez identificada esta información, para efectos de organización se puede emplear una
clasificación inicial que determina el tipo de activo de información sobre el cual se está trabajando. La
metodología MAGERIT propone un modelo de clasificación simple para los activos que se opone a la
presentada por el NIST.
Personas
Servicios
Organización
Datos e información
Sistemas
Aplicaciones de sofware
Sofware
Equipos informáticos
Bases de datos
Personal
Redes
Circuitos Instalaciones
Sitio web
POLITÉCNICO GRANCOLOMBIANO 3
Sin embargo, es potestad del responsable de la gestión establecer una clasificación de acuerdo con las
necesidades del negocio. Lo realmente importante en este punto es comprender que la clasificación
permite la agrupación de activos y, en la medida que se establezcan planes de tratamientos
posteriores a la definición del nivel de riesgos, también que estos planes estén orientados a grupos de
activos dependiendo de su tipo, para así lograr una mayor cobertura y protección de la información.
Otro factor a tener en cuenta es la valoración de los activos y esto va de la mano con identificar
qué tan crítico es el activo para el negocio en términos de valor, confidencialidad, integridad y
disponibilidad, o con cuantos procesos interactúa y qué tan importante es para estos. La razón de ser
de esta valoración es identificar activos críticos para el negocio y priorizar el tratamiento de riesgos
sobre estos dado su impacto. Adicionalmente, esta información puede ser una entrada para los
trabajos asociados con continuidad de negocio.
En cuanto a las actividades relacionadas con la gestión de los activos de información, se debe agregar
que estas deben ser realizadas de manera periódica, pues siendo las organizaciones sistemas
cambiantes a través del tiempo, tanto en sus procesos y actividades como sus tecnologías, personas y
otros factores, este factor afecta el inventario de activos de información y, por ende, también puede
afectar el inventario y tratamiento propuesto para riesgos.
POLITÉCNICO GRANCOLOMBIANO 4
3. Trascendencia de la gestión de riesgos
La gestión de riesgos de seguridad de la información es la actividad central del sistema de gestión,
especialmente desde que la norma ISO/IEC 27001, en su versión 2013, aumentó la importancia de
esta gestión sobre la de activos de información. Así mismo, otras guías y documentos contemplan la
gestión de riesgos como la piedra angular sobre la que se edifica la seguridad de la información, gracias
a su identificación de factores que generan peligro o impacto y su posterior monitoreo o tratamiento
para lograr un control sobre estos.
Dentro del proceso de gestión, la primera actividad a realizar es la definición de una metodología
para la valoración y tratamiento de los riesgos, esto con el fin de contar con un marco que establezca
factores a evaluar, escalas de medición y mecanismos para realizar la revisión de controles y planes de
tratamiento propuestos. Para este particular existen diversas metodologías, a continuación se listan
las más relevantes:
• CRAMM
• MEHARI
Ya definida la metodología o marco de trabajo para la gestión de riesgos, se identifican las amenazas,
vulnerabilidades y riesgos que pesan sobre los activos de información y sobre los procesos de la
organización. Depende de la metodología y las métricas seleccionadas si se identificarán otros
factores para medición de exposición de riesgo.
POLITÉCNICO GRANCOLOMBIANO 5
Cabe agregar que en la actualidad existen propuestas metodológicas que van un poco más allá y
mencionan elementos como la intencionalidad o interés de un agente externo o interno a la hora de
materializar un riesgo, así como el nivel de exposición. Sin embargo, son valores que le agregan un
nivel de complejidad a las metodologías cuando se es nuevo en la gestión, y por ello se recomienda
evaluar estos factores solo cuando se cuente con un nivel de madurez y estabilidad.
Una vez se encuentre definida la medición de los riesgos identificados, es necesario presentarla
a la dirección o responsables de la toma de decisiones, empleando un criterio de posición frente
al riesgo o apetito de riesgo, el cual puede variar dependiendo de la organización, en la medida en
la que las propuestas modernas de administración del riesgo ven no solo factores adversos, sino
también oportunidades. Con este umbral de riesgo determinado se procede a la creación de planes
de tratamiento y gestión a estos riesgos, los cuales pueden apoyarse en componentes tales como los
controles expuestos en la norma ISO/IEC 27002 y otras guías de seguridad.
• Entregar la gestión del riesgo: tercerizar o entregar a un tercero el tratamiento o gestión del
riesgo, lo que no implica que el dueño o responsable del riesgo cambie. La entrega a este tercero
busca que quien queda como responsable del tratamiento cuente con recursos o experiencia
para gestionarlo.
• Eliminar la fuente del riesgo: de ser posible, se busca eliminar la fuente del riesgo para
que este desaparezca, como, por ejemplo, con un sistema legado, cuando se autoriza su
eliminación o apagado.
POLITÉCNICO GRANCOLOMBIANO 6
Uno de los mayores errores al generar planes de tratamiento de riesgos resulta ser la amplitud de
los mismos, pues en muchos casos los planes buscan abarcar muchos aspectos, lo que hace que
los planes tomen tiempo y los resultados tarden en ser visibles y medibles. Este error también
está asociado a los costos de los planes, teniendo en cuenta la premisa de la gestión de riesgos
que establece que un control nunca debe superar el valor del mismo activo o grupo de activos que
plantea proteger.
El proceso de gestión estará al tanto de las fases e hitos establecidos para cada uno de los planes, de
que se desarrolle correctamente la gestión planteada, así como de determinar que los responsables de
la gestión realicen la implementación de los controles, generen efectividad y se pueda llegar a niveles
aceptables de riesgo una vez sea calculado el riesgo residual, el cual consiste en el valor del riesgo puro
menos el valor de exposición que se logra con la aplicación de los controles.
Así como los activos pueden cambiar, los riesgos también y transformarse en nuevos riesgos, aumentar
en exposición o incluso desaparecer, como es el caso cuando ya no existen los activos de información o
son excluidos del inventario. Así que parte de la labor de mantenimiento en gestión de riesgos es estar al
tanto de cambios en procesos y actividades para detectar estas situaciones y que los dueños de los
riesgos generen una correcta gestión que se vea reflejada en el panorama de riesgos del SGSI. La
siguiente ilustración aborda, en términos generales, el ciclo en torno a la gestión de riesgos.
Identificar riesgo
Identificar amenazas
Medir efectividad (causas) y vulnerabilidades
del tratamiento (debilidades)
POLITÉCNICO GRANCOLOMBIANO 7
4. Gestión de incidentes
La gestión de incidentes hace referencia al conjunto de actividades a desarrollar para la identificación,
clasificación, tratamiento y gestión del conocimiento en torno a incidentes de seguridad de la
información que puedan poner en riesgo la confidencialidad, integridad, disponibilidad o cualquier otro
objetivo de seguridad establecido en una organización.
Para el establecimiento del proceso de gestión de incidentes de seguridad y de los planes de respuesta
a incidentes, es posible emplear diversas guías o buenas prácticas en cuanto a la gestión. Para
presentar un ejemplo de procedimientos para gestión de incidentes se toma como marco de
referencia el estándar NIST Special Publication 800-61 denominado Computer Security Incident
Handling Guide.
3. Contramedida,
1. Preparación erradicación y
recuperación
2. Detección 4. Análisis
y análisis pos-incidente
POLITÉCNICO GRANCOLOMBIANO 8
Las fases propuestas para gestionar su funcionamiento contemplan las siguientes actividades:
Detección y análisis: identificar y clasificar el tipo de incidente, para analizar la situación y seleccionar
las acciones correctivas que se deben aplicar para contrarrestar el efecto del incidente.
Análisis post-incidente: realización del análisis para identificar qué procedimientos fallaron en la
respuesta al incidente, revisión de variantes o situaciones inusuales presentadas a lo largo del incidente
y organización de información, registros y pruebas para generar el reporte correspondiente.
Generación de reportes: redacción y entrega del reporte del incidente acontecido a la dirección y los
responsables de servicios y activos afectados.
Otra propuesta para tratamiento de incidentes fue desarrollada por la Agencia Europea de Seguridad
de las Redes y de la Información (ENISA), en la cual se presenta la gestión de incidentes como una
sala de emergencia con todas las etapas de triaje. Se cuentan con otras propuestas metodológicas de
organizaciones como ISO, con ISO 27035, LACNIC, entre otras.
POLITÉCNICO GRANCOLOMBIANO 9
Referencias
Cichonski, P. Millar, T., Grance, T., & Scarfone, K. (2012). NIST SP 800-61 - Computer Security
Incident Handling Guide. Recuperado de http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.
SP.800-61r2.pdf.
POLITÉCNICO GRANCOLOMBIANO 10
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 11