2011 PEREIRA COMPUTACIÓN SISTEMAS Y COMPUTACIÓN, …

GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA

REGIÓN.

GERARDO AYALA GONZÁLEZ JULIÁN ALBERTO GÓMEZ ISAZA

UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE

SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

PEREIRA 2011

GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA

REGIÓN.

GERARDO AYALA GONZÁLEZ JULIÁN ALBERTO GÓMEZ ISAZA

Monografía para optar al título de Ingeniero de Sistemas y Computación

Asesor: Ingeniero JULIO CÉSAR CHAVARRO PORRAS

Docente Académico

UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE

SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

PEREIRA 2011

Nota de aceptación

__________________________________

__________________________________

__________________________________

__________________________________

__________________________________ Presidente del Jurado

__________________________________ Jurado

__________________________________ Jurado

_________________________________ Jurado

4

A Luis y Elicenia que me enseñaron que la lucha es diaria y que no debe desistirse

en el logro de los propósitos trazados. Y a ti, Liliana, eterna compañera de viaje, que me enseñaste que los sueños cambian en la manera

en que cambie nuestra forma de proyectarnos. G.A.

A Alberto que me enseño a no darme por vencido, y a Berenice, que me enseño a

Sin su amor, apoyo, ternura y paciencia

este logro no hubiera sido posible. J.G.

5

AGRADECIMIENTOS

MI primer agradecimiento es a Dios, pues me ha bendecido con una gran familia que me ha enseñado a sortear cada obstáculo y a perseverar para la consecución de mis sueños; en segundo lugar, agradezco a esos docentes que con sus particularidades aportaron a mi proceso de formación, especialmente al Ingeniero César Chavarro, quien fue nuestro apoyo y guía en el desarrollo de éste proyecto. Agradezco también a Julián Gómez, compañero y hermano con el que compartí grandes e inolvidables momentos de la formación profesional y, finalmente, pero no menos importante, le agradezco a mi esposa Liliana que con su toque de alegría, seriedad y decisiva disposición para hacer las cosas, me acompañó en todo este proceso. Adicionalmente quiero agradecer a J.J. Hincapié que con sus extrañas ocurrencias logró hacerme aprender y disfrutar del proceso de investigación.

G.A. Agradezco infinitamente a DIOS, porque realizó ante mis propios ojos señales y prodigios grandes, y me ha permitido vivir hasta el día de hoy. A mi familia, soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro, maestro, amigo y guía, con él aprendí no solo cantidad si no calidad. A Gerardo Ayala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje que construimos juntos. A J.J Hincapié, porque compartió conmigo una forma diferente de entender la investigación, y por último categoríastrasnochos, me enseñaron a ver el mundo de una manera diferente.

J.G

CONTENIDO

Pág.

1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA ......................... 13 1.1. DEFINICIÓN DEL PROBLEMA ................................ ................................ ........... 13 1.2. JUSTIFICACIÓN ................................ ................................ ................................ 14 1.3. OBJETIVOS ................................ ................................ ................................ ....... 16 1.3.1. OBJETIVO GENERAL ................................ ................................ ............................ 16 1.3.2. OBJETIVOS ESPECÍFICOS ................................ ................................ .................... 16 1.4. DELIMITACIÓN ................................ ................................ ................................ .. 17 1.5. MARCO REFERENCIAL................................ ................................ ..................... 17 1.5.1. ANTECEDENTES ................................ ................................ ................................ . 17 1.5.2. TENDENCIAS DETECTADAS ................................ ................................ .................. 21 1.6. MARCO CONCEPTUAL ................................ ................................ ..................... 24 1.6.1. SEGURIDAD INFORMÁTICA ................................ ................................ ................... 25 1.6.2. SEGURIDAD DE LA INFORMACIÓN ................................ ................................ ......... 29 1.7. MARCO TEÓRICO ................................ ................................ ............................. 35 1.7.1. ADMINISTRACIÓN DE LA SEGURIDAD ................................ ................................ .... 36 1.7.2. ANÁLISIS DE RIESGOS ................................ ................................ ......................... 37 1.7.3. POLÍTICAS DE SEGURIDAD ................................ ................................ ................... 38 1.8. DIRECCIONAMIENTO ................................ ................................ ....................... 39 1.9. DISEÑO METODOLÓGICO ................................ ................................ ................ 41 1.9.1. METODOLOGÍA ................................ ................................ ................................ ... 41

2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO ............................ 44 2.1. PLAN DE ANÁLISIS ................................ ................................ ............................ 44 2.2. SEGUNDA ITERACIÓN DEL MODELO ................................ .............................. 50 2.3. TERCERA ITERACIÓN DEL MODELO ................................ ............................... 52

3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES ........... 53 3.1. RESULTADOS OBTENIDOS ................................ ................................ .............. 53 3.2. CONCLUSIONES ................................ ................................ ............................... 53 3.3. RECOMENDACIONES ................................ ................................ ....................... 55

4. REFERENCIAS BIBLIOGRÁFICAS ................................ ................................ .......... 56

7

LISTA DE FIGURAS

Pág.

Figura 1. Firma digital: Envío de un mensaje seguro. ................................ ...................... 25

Figura 2. Seguridad de la Información. ................................ ................................ ............ 30

Figura 3. Sábana de Conceptos. ................................ ................................ ..................... 45

Figura 4. Manual de Respuesta a Incidentes de S.I ................................ ......................... 59

Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de S.I ................ 65

Figura 6. Plan de Acción de S.I ................................ ................................ ........................ 76

Figura 7. Mapa de procedimientos Plan de Acción de S.I ................................ ................ 83

Figura 8. Análisis y Gestión de Riesgos de S.I ................................ ................................ 89

Figura 9. Mapa de procedimientos. Análisis y Gestión de Riesgos de S.I ........................ 97

Figura 10. Estrategias de Capacitación y Comunicación ................................ ............... 111

Figura 11. Mapa de procedimientos. Plan de Capacitación. ................................ .......... 116

Figura 12. Guía de respuesta a Incidentes de S.I ................................ .......................... 119

Figura 13. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 125

Figura 14. Manual de procedimientos para la Administración de la S.I .......................... 127

Figura 15. Plan de Acción de S.I ................................ ................................ .................... 133

Figura 16. Mapa de procedimientos Plan de Acción de S.I ................................ ............ 136

Figura 17. Análisis y Gestión de Riesgos de S.I ................................ ............................ 148

Figura 18. Mapa de procedimientos. Análisis y Gestión del Riesgo. .............................. 152

Figura 19. Guía de Respuesta a Incidentes de S.I ................................ ......................... 163

Figura 20. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 169

Figura 21. Mapa de procedimientos. Plan de Capacitación ................................ ........... 174

8

LISTA DE TABLAS

Pág.

Tabla 1. Formato de procedimientos ................................ ................................ ................ 43

Tabla 3. Metodología: Manual de Respuesta a Incidentes de S.I ................................ ..... 63

Tabla 4. Metodología Plan de Acción de S.I ................................ ................................ .... 81

Tabla 5. Metodología Análisis y Restión de Riesgos de S.I ................................ ............. 94

Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de S.I ............................... 110

Tabla 7. Metodología Plan de Capacitación. ................................ ................................ .. 115

Tabla 8. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. ............ 120

Tabla 9. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes .............. 122

Tabla 10. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 124

Tabla 11. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación. 124

Tabla 12. Metodología Plan de Acción de S.I ................................ ................................ 134

Tabla 13. Metodología Análisis y Gestión de Riesgos de S.I ................................ ......... 149

Tabla 14. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. .......... 164

Tabla 15. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes ............ 166

Tabla 16. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 168

Tabla 17. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación.. 168

Tabla 18. Metodología de las Estrategias de Capacitación. ................................ ........... 173

LISTA DE ANEXOS

Pág. ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN .................................................................................................................... 58

Objetivo ................................................................................................................... 58

Del manual .............................................................................................................. 60

Procedimientos de gestión ...................................................................................... 61

Metodología ............................................................................................................. 63

Mapa de procedimientos ......................................................................................... 65

Especificación de procedimientos ........................................................................... 66

ANEXO B: GRUPO FOCAL ................................................................................................ 73

ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN .................................. 75

Objetivo ................................................................................................................... 77


Metodología plan de acción de seguridad de la información .................................. 81


Especificación de procedimientos ........................................................................... 84

Análisis y gestión de riesgos de seguridad de la información................................. 88

Objetivo ................................................................................................................... 88

Aspecto legal ........................................................................................................... 88

Del manual .............................................................................................................. 90


Metodología análisis y gestión de riesgos de seguridad de la información ............ 94


Especificación de procedimientos. .......................................................................... 98

ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106

ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO .. 108

Eliminar / dar de baja activos de información ....................................................... 108

Estrategia de capacitación y comunicación .......................................................... 112

Objetivo ................................................................................................................. 112

10

Del plan ................................................................................................................. 112

Procedimientos de gestión .................................................................................... 113

Metodología plan de capacitación y comunicación para la implementación del modelo ................................................................................................................... 115

Mapa de procedimientos. Plan de capacitación .................................................... 116

Especificación del procedimiento .......................................................................... 116

ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. ................................................................................................................. 118

Alcance: ................................................................................................................. 118

Responsabilidad: ................................................................................................... 118

Metodología. Guía de respuesta a incidentes de seguridad de la información .... 120

Eventos de seguridad (fase pre-incidente) ........................................................... 120

Gestión de incidentes (fase de atención de incidencia) ........................................ 122

Disposición final (fase post-incidente) ................................................................... 123

Seguimiento revisión y auditoria. .......................................................................... 124

Documentación y retroalimentación ...................................................................... 124

Mapa de procedimientos ....................................................................................... 125

ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .................................. 126

Del modelo ............................................................................................................ 126

Plan de acción de seguridad de la información .................................................... 128

Objetivo ................................................................................................................. 128

Metodología plan de acción de seguridad de la información ................................ 134

Objetivo ................................................................................................................. 134


Especificación de procedimientos ......................................................................... 137

Análisis y gestión de riesgos de seguridad de la información............................... 141

Objetivo ................................................................................................................. 141

Aspecto legal ......................................................................................................... 141


Metodología análisis y gestión de riesgos de seguridad de la información .......... 149


Especificación de procedimientos ......................................................................... 153

Guía de respuesta a incidentes de seguridad de la información. ......................... 162

11

Alcance: ................................................................................................................. 162

Metodología. Guía de respuesta a incidentes de seguridad de la información .... 164

Eventos de seguridad (fase pre-incidente) ........................................................... 164

Gestión de incidentes (fase de atención de incidencia) ........................................ 166

Disposición final (fase post-incidente) ................................................................... 167

Seguimiento revisión y auditoria. .......................................................................... 168

Documentación y retroalimentación ...................................................................... 168


Estrategias de capacitación y comunicación ........................................................ 170

Objetivo ................................................................................................................. 170

Del plan ................................................................................................................. 170


Metodología Estrategias de Capacitación y Comunicación .................................. 173

Mapa de procedimientos. Plan de capacitación .................................................... 174

Especificación del procedimiento .......................................................................... 175

12

GLOSARIO DE TÉRMINOS ACTIVOS DE INFORMACIÓN: todos los componentes de información que tienen valor para la organización, todo lo que es posible realizar, concluir, visualizar y procesar de la información. AMENAZA: acción o evento que puede ocasionar consecuencias adversas en los datos. ATAQUE: tipo y naturaleza de inestabilidad en la seguridad. AUTENTICIDAD: se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quien los y cuando fueron enviados y recibidos. CABALLO DE TROYA: programa que se activa en un sistema informático y lo deja expuesto a accesos mal intencionados. CONFIDENCIALIDAD: propiedad de prevenir la divulgación de información a sistemas o personas no autorizados DISPONIBILIDAD: característica de la información de encontrarse SIEMPRE a disposición del solicitante que debe acceder a ella, sea persona, proceso o sistema. HARDWARE: termino en ingles que hace referencia a cualquier componente físico tecnológico, que interactúa de algún modo con un sistema computacional. INCIDENTE: se define como un evento que sucede de manera inesperada y que puede afectar la Confidencialidad, Integridad y Disponibilidad de la información y además de esto los recursos tecnológicos. INFORMACIÓN: conjunto de datos que toman sentido al integrarse con características comunes. INFORMÁTICA: la informática es la ciencia que tiene como objetivo estudiar el tratamiento automático de la información a través de la computadora.

INTEGRIDAD: propiedad que busca mantener los datos libres de modificaciones no autorizadas. ISO: International Organization for Standardization, Entidad internacional encargada de favorecer la estandarización en el mundo.

engloba a todo tipo de programa o código de computador cuya función es dañar un sistema o causar un mal funcionamiento. Este grupo podemos encontrar términos como: Virus, Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rootkits, Bootkits y Rogues. POLÍTICAS: actividad orientada en forma ideológica a la toma de decisiones de un grupo para alcanzar ciertos objetivos. Acción elegida como guía en el proceso de toma de decisiones al poner en practica o ejecutar las estrategias, programas y proyectos específicos del nivel institucional.

, por un medio físico (cable) o de manera inalámbrica donde se comparte información, recursos y los servicios. RIESGO: la probabilid

. SEGURIDAD: puede afirmarse que este concepto que proviene del latín securitas que hace referencia a la cualidad peligro, daño o riesgo. Algo seguro es algo cierto, firme e indubitable. La seguridad, por lo tanto, es una certeza. SGSI: Sistema de Gestión de la Seguridad de la Información.

hace referencia a la posibilidad de ser herido o recibir algún tipo de lesión, es una debilidad en los procedimientos de seguridad, diseño, implementación o control interno que podría ser explotada (accidental o intencionalmente) y que resulta en una brecha de seguridad o una violación de la política de seguridad de sistemas.

RESUMEN Este documento se centra en la aplicación de la norma ISO/IEC 27001 en atención a los numerales 4.2.2 Implementación y Operación de un Sistema de Gestión de la Seguridad de la Información (por sus siglas, SGSI), identificando las acciones de: la gestión apropiada, prioridades y responsabilidades de la gerencia en la creación de políticas que garanticen el cumplimiento de los objetivos del SGSI, además se hace referencia a la creación de planes de acción para el tratamiento, análisis y gestión de los riesgos implementando procedimientos que brindan una atención oportuna a los incidentes de seguridad de la información, acompañados de estrategias de capacitación y formación para los integrantes de la organización.

DESCRIPTORES Gestión, implementación, incidente, Norma, ISO, operación, políticas, procedimientos, riesgos, seguridad, SGSI.

ABSTRACT This paper focuses on the implementation of ISO/IEC 27001, in response to paragraphs 4.2.2 "Implementation and Operation of Information Security Management System (ISMS)", identifying actions about: appropriate management, resources, priorities and executive responsibilities in policy making, ensuring compliance with the objectives of the ISMS. Also refers to the creation of action plans for treatment, analysis and risk management, implement procedures that provide a timely attention to incidents of information security, accompanied by education and training for members of the organization.

KEY WORDS Management, implementation, incident, Standard, ISO, operation, policies, procedures, risks, security, ISMS.

13

1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA

1.1. DEFINICIÓN DEL PROBLEMA

Hoy en día no se puede concebir una organización aislada totalmente de la red, siempre se están compartiendo datos en redes internas o a través de la gran red, Internet, permitiéndoles a los usuarios disposición de información en todo lugar y en todo momento. Los avances tecnológicos que vienen en constante evolución, las telecomunicaciones que se han convertido en una herramienta muy importante para las organizaciones y el crecimiento organizacional se han encargado de propiciar vulnerabilidades para las mismas. Las organizaciones dependen de los datos almacenados en sus sistemas de información y es allí donde la seguridad de la información se convierte en un factor necesario en los procesos que se desarrollan al interior y exterior de la misma. Es muy importante considerar además, que en el desarrollo organizacional se involucran factores como recursos humanos, procesos y tecnología; factores que propician vulnerabilidades con respecto a la seguridad de la información. Puede afirmarse que este fenómeno ofrece mayores retos en la micro, pequeña y mediana empresa. Es en este sector donde existen menores recursos para invertir en el campo informático, sin embargo, estas organizaciones han incursionado en tecnologías web haciéndose vulnerables en este mismo campo. La carencia de estrategias para una administración segura de la información, está acompañada de la falta de conocimiento sobre los estándares internacionales y de las normas que mediante su aplicación ayudan a prevenir pérdidas de información y a evitar la existencia de procesos vulnerables. El evidente ámbito de competitividad, y el avance tecnológico, en consonancia con el precario desarrollo administrativo, organizacional y tecnológico de las empresas regionales, demuestran la necesidad de brindar mecanismos que les permitan mitigar su vulnerabilidad en cuanto a la administración de la información.

14

1.2. JUSTIFICACIÓN

Impedir hoy la ejecución de operaciones no autorizadas sobre un sistema informático se asume de vital importancia, puesto que sus efectos conllevan a daños sobre los datos, y comprometen la confidencialidad, la autenticidad e integridad de la información organizacional. La norma ISO/IEC 27001 ofrece un estándar de calidad en cuanto al tratamiento

Seguridad de la (Numeral 4.2.2: "implementación y operación de un sistema de gestión de seguridad de la información"), que establece los lineamientos que la organización debe seguir en cuanto al cumplimiento de normas que garantizan la seguridad de su información, las acciones oportunas cuando se presentan incidentes, además, brindar al personal indicado un plan para el tratamiento de los riesgos y dar solución a los posibles incidentes entre otros; con estos, se plantea la necesidad de poseer una guía en las organizaciones que permita atender el tratamiento de los riesgos. Al respecto, en la Revista Sistemas N° 115 se hace la presentación de la Encuesta Nacional Seguridad Informática en Colombia: Tendencias 2010 (pág. 26-49) donde plantea las fallas que se tienen en cuanto a la seguridad de la información. Entre ellas identifica:

» La conciencia en seguridad de la información y el uso de buenas prácticas: Mostrando que aún existe cerca de una tercera parte de las empresas objetivo que no son conscientes de la necesidad de proteger la información que manejan.

» Intrusiones o incidentes de seguridad identificados en el año: Se muestra como estos incidentes se han tratado y se han logrado monitorear hasta un 70%, buscando una reacción más oportuna frente a un panorama que no tiene fin. El aumento en incidentes de tipo financiero y el malware en términos generales se han propagado de gran forma, esto invita a fortalecer

15

los escenarios de protección de la información, y controlar los incidentes para disminuir su efecto dentro de las organizaciones.

» Tipos de fallas de seguridad: Se evidencia que los virus, accesos no autorizados a la web, caballos de Troya, software no autorizado y fuga de información son las fallas más frecuentes en Colombia.

» Identificación de las fallas de seguridad informática: Aquí se puede evidenciar que las mejores herramientas para la identificación de posibles fallas de seguridad son los registros de auditoría, sistemas de archivos y registros de firewalls, también los sistemas de detección de intrusos y notificaciones por parte de empleados o algún colaborador.

Por otro lado, según "Network Attacks: Analysis of Department of Justice Prosecutions" [1999 - 2006], estudio realizado por Trusted Strategies y Phoenix Technologies, Ltd., se evidencia que:

Solo el 33% de las web tienen sw adecuado de detección de intrusiones. Solo el 51% de los sitios web cifran las transacciones de internet que deben ser seguras.

Solo el 27% de las organizaciones invierten más del 1% del presupuesto en seguridad de la información.

El 43% de los ataques es realizados por allegados a la organización: » 22% Empleados antiguos » 14% Empleados actuales » 7% Proveedores o clientes.

El costo medio de recuperación a un incidente es de 1.5 Millones de Dólares.

Ahora bien, si en países industrializados con historial en control de la información al interior de sus organizaciones y donde se puede suponer que existe una cultura mayor en seguridad de la información se tienen estos resultados, en Colombia se convierte en un reto la aplicación de buenas prácticas que garanticen una adecuada administración de la seguridad de la información.

16

Por razones como las anteriormente mencionadas, se hace necesario elaborar una guía de buenas prácticas de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, que propicie un óptimo tratamiento seguro de la información utilizada en la organización y que sirva como modelo de buenas prácticas de seguridad de la información, fundamentada en la norma ISO 27001.

1.3. OBJETIVOS

1.3.1. Objetivo General Elaborar una guía de buenas prácticas que permita la aplicación de un plan de acción para el tratamiento de los riesgos e implementar controles para detectar y dar respuesta oportuna a incidentes de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, según la norma ISO 27001.

1.3.2. Objetivos Específicos

» Elaborar una guía documental que establezca una metodología para la construcción de un plan de acción para el tratamiento de riesgos de seguridad de la información.

» Establecer los fundamentos para elaborar estrategias de formación y toma de conciencia para el fortalecimiento de las competencias del personal de cualquier empresa que asuma la aplicación de la guía.

» Suministrar una guía documental que plantee una metodología para detectar y dar respuesta oportuna a los incidentes de seguridad de la información.

17

1.4. DELIMITACIÓN

El proyecto que se plantea en el presente documento se enfoca a brindar una herramienta metodológica que sirva como modelo para la aplicación de un plan de acción para el tratamiento de los riesgos e implementar controles para detectar y dar respuesta oportuna a incidentes de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, según la norma ISO 27001. De igual forma, propiciar los fundamentos para elaborar estrategias de formación y toma de conciencia, que desarrolle competencias para la aplicación de la herramienta, también brindar una guía documental que plantee una metodología que permitan detectar y dar respuesta oportuna a los incidentes de seguridad; tomando como base la norma ISO 27001, haciendo referencia a modelar los procesos de buenas prácticas de seguridad de la información en las micros, pequeñas y medianas empresas de la región. 1.5. MARCO REFERENCIAL 1.5.1. Antecedentes

suficientes para protegerlo. Cada vez se modernizan más los medios para suministrar, retroalimentar e intercambiar información, pero de forma paralela (e inclusive mayor), se aumentan los medios para boicotear, plagiar o extraer información de forma fortuita. En este marco, el presente trabajo da cuenta de la dinámica de la seguridad e inseguridad en la información, los medios de flujo, los procesos y procedimientos que se han desarrollado para que esta información no solo sea ágil sino también segura, a la vez que pretende modelar los procesos que fácilmente cualquier

18

organización pueda asumir para la protección de la información de una forma fácil y a la medida de sus necesidades. El avance en el manejo y procesos de seguridad de la información se puede monitorear de múltiples formas, sin embargo para el presente desarrollo investigativo, se ha adoptado el seguimiento al establecimiento paulatino tanto de un marco legal nacional e internacional, como el desarrollo de normas técnicas de certificación de calidad. Las leyes de cada país son la respuesta a problemáticas o falencias frente a aspectos puntuales, aunque en algunos países desarrollados, las normas se anticipan, puesto que cuentan con entidades legislativas modernas que monitorean los fenómenos mundiales para adelantarse a esas realidades que podrán afectarlos tanto positiva como negativamente. En Colombia de forma lamentable la legislación en la mayoría de las ocasiones actúa como paliativo o solución emergente, en el caso específico a la legislación sobre seguridad informática, se puede evidenciar que de manera tímida se ha generado normatividad al respecto. En Colombia los primeros vestigios de normatividad sobre la seguridad informática no se establecieron en forma directa al tema informático, sino a los aspectos de propiedad intelectual, la cual se refiere a las creaciones de la mente: invenciones, obras literarias y artísticas, así como símbolos, nombres e imágenes utilizadas en el comercio. La propiedad intelectual se divide en dos categorías: a) la propiedad industrial, que incluye las patentes de invenciones, las marcas, los diseños industriales y las indicaciones geográficas y b) los derechos de autor. En este aspecto se pueden establecer como parámetro inicial la Ley 23 de 1982 la cual estipula el lineamiento para la protección de derechos de autor, sin embargo,

científicas y artísticas gozarán de protección para sus obras. También protege ésta ley a los intérpretes o ejecutantes y los productores de fonogramas y a los

contempla de forma literal el tema informático.

19

El segundo punto de referencia jurídica al respecto es el Decreto 1360 de 1989,

desarrollos dentro de los aspectos cubiertos por la legislación vigente sobre derechos de autor. De igual forma se encuentran leyes y decretos que regulan los derechos de Autor, algunas con determinaciones explicitas sobre la informática y otras con marco jurídico sobre el tema de propiedad intelectual: Ley 44 de 1993, Decreto 460 de 1995, Decreto 162 de 1996, Ley 544 de 1999, Ley 565 de 2000, Ley 603 de 2000, Ley 719 de 2001. Otro elemento que se debe tener en cuenta y que constituye esta misma línea normativa, es la legislación sobre propiedad industrial, allí se puede encontrar normatividad Nacional e internacional, como la Decisión 486 de la C.A.N. y en la legislación Colombiana el Decreto 2591 de 2000, y la Ley 178 de 1994. Así mismo se han definido una serie de Normas, que dictaminan la calidad de la seguridad informática, definiendo como norma, un modelo, un patrón, ejemplo o

cas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional. En el mercado existen diferentes tipos de normas, sin embargo en el ámbito local se ha adoptado el sistema de las normas ISO (International Organization for Standardization) que es la entidad internacional encargada de favorecer la estandarización en el mundo. Estas normas han ido evolucionando paulatinamente, y de allí han surgido una variada y numerosa gama normativa, la cual se conoce como la familia ISO. Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, que abarcan distintos aspectos relacionados con la calidad:

20

» ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido.

» ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

» ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable.

» ISO 27003: Consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los requerimientos de sus diferentes fases.

» ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

» ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

» ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información.

» ISO 27007: Consiste en una guía de auditoría de un SGSI.

» ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones.

21

» ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

» ISO 27032: Consiste en una guía relativa a la ciberseguridad.

» ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante Gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.

» ISO 27034: Consiste en una guía de seguridad en aplicaciones.

» ISO 27799: Es un estándar para la seguridad de la información en el sector salud.

El presente trabajo investigativo se encuentra enmarcado en la norma ISO 27001, bajo los lineamientos de implementación y operación de un Sistema de Gestión de Seguridad de la Información.

1.5.2. Tendencias Detectadas

Respecto a esta temática es importante tener en cuenta los estudios que ha realizado la Asociación Colombiana de Ingenieros de Sistemas, pues esta institución se mantiene a la vanguardia en las temáticas que tiene que ver con el manejo de la información y para este caso concreto, la seguridad que se debe tener con ella; así entonces nos encontramos con la presentación de la Encuesta Nacional Seguridad Informática en Colombia: Tendencias 2010 1 donde se evidencian los siguientes resultados: 1 ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49. Artículo: Encuesta nacional Seguridad informática en Colombia: Tendencias 2010. Extraído del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de 2010.

22

Éste estudio longitudinal, realizado entre los años 2002 y 2009, tuvo en cuenta diferentes categorías, como la demografía (empresas a las que iban dirigida la encuesta), presupuestos (que se manejan en tales empresas que propendan al mejoramiento de la seguridad de la información), fallas de seguridad, herramientas y prácticas de seguridad, políticas de seguridad y, finalmente, el capital intelectual. A continuación se expondrán las principales de algunos apartados. a. Demografía. Identifica elementos como la zona geográfica, el sector y el tamaño de la organización, responsabilidad y responsables de la seguridad, y por último la ubicación de la responsabilidad en la organización. Entre los participantes de éste estudio se encuentra gran participación del sector bancario, en donde la Superintendencia Financiera de Colombia ha desarrollado pautas para asegurar la información para los usuarios del sistema bancario, también del sector educativo y gobierno donde se evidencia la necesidad de contar con una directriz en temas de seguridad de la información. Otro aspecto importante a resaltar es que la seguridad de la información se ha convertido en un elemento clave para la media empresa, formalizando sus estrategias de negocio. Para la gran empresa se trata de un tema de la gestión de la organización dado que las regulaciones internas y tendencias internacionales establecen referentes que no pueden ser ignorados. Finalmente, se evidencia que el cargo de Director del Departamento de sistemas/Tecnología ha tenido un aumento significativo, se puede ver que la seguridad de la información continua en aumento, pero se vuelve necesario coordinar los procesos de negocio con las áreas de seguridad y de tecnología para así realizar propuestas con fines no estrictamente tecnológicos para así no limitar la participación de estos en las decisiones de negocio o estrategias de la organización. b. Presupuestos. Los resultados muestran la tendencia de la inversión en seguridad concentrada en la zona perimetral, en las redes y sus componentes, así como la protección de datos críticos de la organización, por otro lado hay una predisposición a la no concientización y entrenamiento del usuario final. Con la información expuesta se puede decir que se evidencia una inversión variable en seguridad de la información, afirmando que en nuestro país no se ha logrado generar una concientización en cuanto a la necesidad de tener políticas dirigidas a

23

la protección de la información; sin embargo, un aspecto positivo a resaltar es que en el año 2009, se genera a las empresas la necesidad de destinar más recursos a la seguridad de su información, esto de la mano de la cantidad de normativas y regulaciones alrededor de la industria nacional, que motiva ésta inversión. Estas inversiones están generalmente desarrolladas por el sector de la banca y las empresas dedicadas a las telecomunicaciones, mostrando así que la seguridad de la información no es un tema exclusivo de los informáticos, si no que requiere de la formación de un equipo multidisciplinario que integre los diferentes niveles de la organización y los diferentes tipos de organizaciones. c. Herramientas y Prácticas de Seguridad. Se evidencia como preocupante que poco más de la tercera parte de las empresas no prestan atención a las prácticas de seguridad y que aún, teniendo a disposición alguna herramienta que brinde cierto nivel de seguridad, no hacen controles adecuados sobre ella y sus efectos ni una vez al año. Por otro lado, se encuentra que las herramientas más usadas por las empresas en pro de la seguridad de la información son antivirus, contraseñas, firewalls tanto de hardware como de software, VPN/IPSec y Proxies en mayor porcentaje; y otros, en menor proporción como lo son las firmas digitales, smart cards, biométricos, sistemas de prevención de intrusos, monitoreo de bases de datos, entre otros. d. Políticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de las empresas tienen tales políticas en ejecución, mientras las restantes o bien están desarrollando tales políticas o sencillamente no han invertido sus recursos en hacerlo; esto debido a, principalmente, según el estudio, al poco entendimiento de la seguridad de la información y a la inexistencia de una política de seguridad, lo que finalmente lleva a cuestionar la concientización que realizan las empresas para lograr que sus miembros entiendan y desarrollen comportamientos que propendan por la seguridad. Para finalizar se hace importante resaltar que la Norma ISO 27001 es adoptada por cerca de la mitad de las empresas como guía para la adopción de buenas prácticas en seguridad informática. e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a la contratación o no de profesionales relacionados con el campo de ingeniería de sistemas y computación para el manejo de la información y designar en ellos la responsabilidad de salvaguardarla. Aquí se evidencia que cerca del 60% de las empresas tienen entre uno y cinco personas para el manejo de este importante activo para la organización.

24

1.6. MARCO CONCEPTUAL

En el presente trabajo investigativo, es necesario generar un marco que permita definir conceptos que son relevantes para el tema de seguridad de la información. Como se percibirá a continuación se han definido 3 conceptos fundamentales a saber: seguridad informática, seguridad de la información e inseguridad de la información. La necesidad de preservar y custodiar de manera efectiva y adecuada la información al interior de una organización, y más aún, en la transmisión de la misma, es un tema que se convierte en un requisito funcional dentro de las políticas organizacionales; es un factor determinante para la credibilidad de la organización frente a sus clientes y usuarios, y un paso de adelanto hacia la excelencia en la calidad de sus procesos. El riesgo en la información ha aumentado a medida que ésta ya no es controlada en un solo lugar como lo era un sistema centralizado para las organizaciones; ahora la información se distribuye de tal forma que se encuentra en varios lugares como lo son sedes o sucursales, por ésta razón se desconoce qué información puede ser almacenada en puestos específicos de trabajo, que muchas veces son usados como equipos personales en las organizaciones. Técnicamente es imposible lograr sistemas informáticos ciento por ciento seguros, "El único sistema realmente seguro es aquel que esté desconectado de la línea eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente en una habitación revestida de plomo y protegido por guardias armados y aún así, se puede dudar"2, pero buenas prácticas de seguridad evitan posibles daños y problemas que pueden ocasionar las incidencias de seguridad de la información en la organización. Al hablar de seguridad en términos de informática deben tenerse en cuenta 2 conceptos que definen técnicamente su aplicación:

2 GÓMEZ VIEITES, Álvaro., Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición, 2007

25

1.6.1. Seguridad Informática

La seguridad informática es un recurso que no se valora realmente, debido a su intangibilidad, las medidas de seguridad en la información no contribuyen a agilizar los procesos en los equipos, por el contrario producen un efecto adverso a éste, provocando una reducción en el rendimiento de éstos y las aplicaciones, ya que se realizan procesos adicionales a los que normalmente se efectúan, por ejemplo en el envío de datos por una red, no solo se deben procesar los datos para ser enviados, sino que además de éste procedimiento se llevan a cabo otras acciones como encriptación de éstos mensajes. Para hacer más descriptiva esta problemática de re-procesos se explicará a continuación el método de la firma digital. Ver figura 1. Figura 1. Firma Digital: Envío de un mensaje Seguro.

Fuente: Elaboración Propia, basado en GÓMEZ VIEITES Álvaro, 2007, Enciclopedia de la

seguridad informática, Capitulo 14, Firma Electrónica.

26

Cuando se desea emitir un mensaje con un nivel alto de seguridad, la mejor forma es utilizar la firma digital, método criptográfico que consiste en asociar la identidad de una persona a un mensaje para garantizar que no va a ser alterado durante el envío y además de esto asegurar la autenticidad del mismo, garantizando al destinatario que el mensaje fue creado por quién dice ser su remitente. Este método consiste en:

» Creación de la firma digital. » Encriptación del mensaje y envío. » Recepción del mensaje seguro. » Des encriptación del mensaje y la firma digital. » Verificación de la autenticidad del mensaje y de la firma digital.

Por otro lado, cuando no se aplican medidas de seguridad, el método consiste en:

» Creación del mensaje » Envío del mensaje » Recepción del mensaje.

Debido a la cantidad de procesos adicionales, muchas empresas no recurren a estos métodos de seguridad en la información ya que son costosos en tiempo y dinero, involucrando más software y hardware dentro de sus procesos empresariales. También se puede decir que la seguridad informática es una disciplina que relaciona diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Como lo cataloga la norma ISO 7498 l una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización

Las medidas y controles que aseguren la confidencialidad, integridad y disponibilidad

27

de los activos incluyendo hardware, software, firmware y la información que es procesada, almacenada y comunicada 3

Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema4 A continuación se hace referencia acerca de los objetivos que se deben cumplir por la seguridad informática5: Objetivos de la seguridad informática:

» Minimizar y gestionar los riesgos, y detectar los posibles problemas y amenazas a la seguridad.

» Garantizar la adecuada utilización de los recursos y de aplicaciones del sistema.

» Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

» Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos.

Para lograr estos objetivos se deben contemplar 4 planos de atención:

3INFOSEC Glorssary 2000, pág. 13. 4GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 4. 5GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 8.

28

Plano humano:

» Sensibilización y formación. » Funciones, obligaciones y responsabilidades del personal. » Control y supervisión de los empleados.

Plano técnico:

» Selección, instalación, configuración y actualización de soluciones hardware y software.

» Criptografía. » Estandarización de productos. » Desarrollo seguro de aplicaciones.

Plano Organizacional:

» Políticas, normas y procedimientos. » Planes de contingencia y respuesta a incidentes. »

Plano Legislativo:

» Cumplimiento y adaptación a la legislación vigente. La seguridad informática se enfoca en la protección de la infraestructura computacional y todo lo relacionado a esta, (proteger los activos informáticos), aplicándose sobre: LA INFORMACIÓN: Establecer criterios por los administradores, para evitar que usuarios externos y no autorizados puedan acceder a ella sin autorización. Evitar que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres. LA INFRAESTRUCTURA COMPUTACIONAL: Velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

29

LOS USUARIOS: Establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos, así minimizando el impacto en el desempeño de los funcionarios y de la organización en general. La seguridad informática para una organización se debe concebir como un proceso y no como un producto que se puede comprar o instalar, se trata de un proceso continuo, donde se involucran la estimación de riesgos, prevención y atención a los incidentes de la seguridad de la información, además de esto una firme retroalimentación de las actividades realizadas, para así garantizar un efectivo tratamiento a los incidentes en los que la seguridad informática de la organización esté comprometida.

1.6.2. Seguridad de la Información

La norma ISO/IEC 17799 define seguri La preservación de su confidencialidad, su integridad y su disponibilidad . Ver Figura 2.

30

Figura 2. Seguridad de la Información.

Fuente: Norma ISO/IEC 17799

Dependiendo del tipo de información manejada y los procesos realizados por una organización, la seguridad de la información podrá conceder más importancia a garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de información6. Por lo tal razón es muy importante identificar la necesidad de la organización para así garantizar los pilares de la seguridad de la información y enfatizar en la necesidad adecuada para dicha institución. El término "seguridad de la información", Significa la protección de la información y de los sistemas de información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizada con la finalidad de proporcionar Integridad, Confidencialidad y Disponibilidad7, involucrando la implementación de

6 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 5

7 Cornell University Law School, Extraído del sitio web http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html, Octubre de 2010.

31

estrategias que cubran los procesos en donde la información es el activo primordial para la organización. Estas estrategias deben tener como punto de partida el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y la administran. Para ello se establece un SGSI (Sistema de Gestión de la Seguridad de la Información): que es aquella p comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en una organización 8. Es importante mencionar que la seguridad es un proceso de mejora continua, por tal razón las políticas y controles que se establecen para la resguardo de la información deben revisarse y adecuarse para los nuevos riesgos que aparezcan, para así establecer las acciones que permitan reducirlos y si es posible en el mejor de los casos eliminarlos. Si dentro de la dinámica del negocio de una organización, la información de sus

e credibilidad, y pierde negocios que pueden desembocar en la desaparición de la misma. Así pues, proteger la información es un requisito funcional del negocio de una organización. Existen varios mecanismos para cumplir niveles de servicio frente a los pilares de la seguridad de la información, que se implementan mediante infraestructura tecnológica (servidores de correo, de bases de datos, web, uso de clúster de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN, Storage Area Network), enlaces redundantes, etc.). Estos mecanismos son llamados Servicios de Seguridad, cuyo objetivo es mejorar la seguridad de los sistemas de procesamiento de datos y la

8 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición, Pág. 18.

32

transferencia de información en las organizaciones, contrarrestar los ataques de seguridad y proporcionar la confidencialidad, la integridad y sobre todo la disponibilidad de los servicios. Desde el punto de vista de los servicios de seguridad, se definen 3 factores importantes frente a la seguridad de la información, los cuales fueron tomados de GÓMEZ VIEITES Álvaro, Enciclopedia de la seguridad informática, Alfaomega Editores, 2007.

» NO REPUDIO: Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación.

» NO REPUDIO DE ORIGEN: El emisor no puede negar que envió porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros.

» NO REPUDIO DE DESTINO: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente.

En definitiva, el no repudio evita que el emisor o el receptor niegue la transmisión del mensaje. Una condición que posee la información es la portabilidad (envío, recepción y traslado de la misma), entonces, desde el punto de vista de protocolo de seguridad en comunicaciones se definen 3 aspectos:

» PROTOCOLO: Código de procedimientos o reglas estandarizadas para controlar el flujo y la compatibilidad en el envío y recepción de información.

» CRIPTOGRAFÍA (cifrado de datos): Método por el cual se transposiciona u oculta un mensaje hasta que llega a su destino.

33

» AUTENTICACIÓN: Técnica de validación de identificación que comprueba que el envío, recepción o modificación de información no la hace un impostor.

Identificar las vulnerabilidades dentro de la infraestructura tecnológica organizacional es también un componente vital dentro de la seguridad de la información, desde el punto de la vulnerabilidad de la información, se definen:

» AMENAZA: Acción o evento que puede ocasionar consecuencias adversas en los datos.

» ATAQUE: Tipo y naturaleza de inestabilidad en la seguridad. Otros 2 aspectos que deben tenerse muy en cuenta al definir la seguridad de la información son sus particularidades y sus cualidades: La administración de la información está basada en la tecnología; ésta puede ser Y/O tener los siguientes atributos:

» Confidencial: Información centralizada y de alto valor.

» Divulgada: Mal utilizada, robada, borrada o saboteada. Estas particularidades afectan la disponibilidad y la ponen en riesgo. Cualidades de la información:

» Critica: Indispensable para la operación de la organización.

» Valiosa: Considerada como activo para la organización.

» Sensitiva: Debe ser conocida por las personas autorizadas.

34

» Riesgo: Todo tipo de vulnerabilidades y amenazas que pueden ocurrir sin previo aviso.

» Seguridad: Forma de proteger la información frente a riesgos. Pilares de la seguridad de la información9:

» CONFIDENCIALIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Propiedad de prevenir la divulgación de información a sistemas o personas no autorizados.

» INTEGRIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Propiedad que busca mantener los datos libres de modificaciones no autorizadas.

» DISPONIBILIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Característica de la información de encontrarse SIEMPRE a disposición del solicitante que debe acceder a ella, sea persona, proceso o sistema. (Prevención del ataque de denegación del servicio).

Por otro lado, dentro del tema de seguridad de la información se debe también conceptualizar su complemento, la inseguridad de la información: Solo se concibe la inseguridad de la información desde el punto de vista de seguridad de la información, como ente adjunto: si bien la seguridad de la información puede significarse como todos los mecanismos en pro de salvaguardar la integridad, la confidencialidad y la disponibilidad de la información, la inseguridad de la información no tiene una concepción antagónica sino

la manera estratégica en como

9ISO/IEC 17799:2005

35

las organizaciones establecen un escenario futuro de los riesgos sobre la 10

Es necesario entonces reconocer, que sólo mirando las posibilidades de falla y vulnerabilidad, es posible mejorar la práctica misma de la administración de riesgos y la definición de mecanismos de seguridad y control. Buscar formas detalladas para la gestión de los riesgos en los que cae la información, y suministrar herramientas eficientes que permitan detectar y dar respuesta oportuna a los incidentes de seguridad de la información a través de la implementación de una guía de seguimiento y revisión de los procesos del sistema, es un punto neurálgico del presente proyecto, cuya solución se dictaminará durante su ejecución, ofreciendo mecanismos que permitan paralelamente tener presente los escenarios de inseguridad de la información posibles y a su vez los medios de seguridad aplicables en el ámbito.

1.7. MARCO TEÓRICO

Desde una óptica teórica propiamente dicha (sin tener en cuenta la normatividad y los estándares mencionados en los capítulos anteriores), se ha escrito muy poco sobre la seguridad de la información y su papel desempeñado dentro de la organización; por eso, en éste marco se pretende mostrar los aportes que han enriquecido los estándares de prácticas de seguridad de la información, y desde la perspectiva de los autores, esbozar un posible direccionamiento de la norma ISO 27001, desde el punto de vista de la aplicación de la guía de buenas prácticas de seguridad de la información -propuesto y desarrollado - en el proyecto. 10CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la inseguridad

informática, extraído del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de

2010.

36

1.7.1. Administración de la Seguridad

Las buenas prácticas de administración indican que el establecimiento claro de la misión de una organización es indispensable para que todos los funcionarios ubiquen sus propios esfuerzos y los direccionen en bien de la misma. [Glueck, W. Business Policy and Strategic Management -Hill, 1984], además permite elaborar políticas operativas que facilitan el cumplimiento de la misión de la organización, que pueden entenderse como reglas que hay que seguir obligatoriamente. Es usual que la alta gerencia cometa errores en cuanto a la seguridad de la información de sus organizaciones, como por ejemplo suponer que los problemas desaparecen si se ignoran, no entender cuánto dinero vale su información y que tanto depende la organización de ella, no lidiar con los aspectos operacionales de la seguridad, no entender la relación que existe entre la seguridad y los problemas de funcionamiento y marcha de la organización, entre otros. Si la administración empresarial propone una misión para direccionar estratégicamente la

sesolucione las falencias, ubicando la seguridad informática al mismo nivel que

otras actividades sustantivas de la organización, elaborando un plan de seguridad informática clara, promulgando políticas que se derivan de dicha misión y determinando que mecanismos se requieren para implementar esas políticas 11.

11 La Seguridad de la InformaciónLimusa Noriega Editores, 2007. Pág. 215.

37

1.7.2. Análisis de Riesgos

Un paso intermedio entre la administración de la seguridad, -que desemboca en la generación del plan estratégico de seguridad (misión de seguridad)- , y las políticas de seguridad, es el análisis de riesgos de la información dentro de la organización; es aquí donde "se analiza una metodología práctica para el desarrollo de planes de contingencia de los sistemas de información, que comprende: la identificación de riesgos, calificación del impacto del mismo si se hiciera realidad, evaluación del impacto en los procesos críticos y la creación de estrategias de contingencias"12. Las buenas prácticas de Inseguridad de la información juegan un papel importante en este punto, puesto que no se puede proteger la información, si no se sabe contra qué hay que protegerla. Es necesario entonces, identificar cualquier aspecto que ponga en riesgo los pilares de la seguridad de la información, así como definir e implantar la defensa necesaria para mitigar y/o eliminar sus posibles consecuencias. Salvaguardar la confidencialidad, la integridad, la autenticidad y la disponibilidad de la información es la característica que en el fondo define el modelo que se quiere diseñar en el presente proyecto. Aunque estas características soportan

No todas deben estar vigentes simultáneamente, ni tienen todas la misma importancia en todas las circunstancias 13 . Existen casos de aplicación en que en ocasiones es más importante la confidencialidad (acciones militares por ejemplo) que la disponibilidad, otros casos en que la información debe ser auténtica (inversiones), etc. Debe determinarse en qué casos, cuáles de las propiedades son necesarias o importantes.

12NIMA RAMOS Jonathan D, de información empresarial y de negocios 13 La Seguridad de la InformaciónLimusa Noriega Editores, 2007. Pág. 26.

38

La seguridad de la información, como disciplina, trata precisamente de establecer metodologías para determinar cuáles de las 4 características son deseables en alguna circunstancia y de encontrar la forma de lograr que se apliquen 14. En el proceso de análisis de riesgos de la información se pueden diferenciar dos módulos: a) La Evaluación del riesgo, orientado a determinar los sistemas de información y sus componentes, que pueden ser afectados directa o indirectamente por agentes externos, y b) La Gestión del riesgo, que implica la identificación, selección, aprobación y administración de las defensas para eliminar, o reducir a niveles aceptables, los riesgos evaluados. En conclusión, su papel es reducir la posibilidad de que una amenaza ocurra, si ocurre, limitar su impacto, eliminar la vulnerabilidad existente y retroalimentar para futuras eventualidades.

1.7.3. Políticas de Seguridad

Posterior al establecimiento de la misión de seguridad, se requiere redactar las políticas en las que se basará el cumplimiento de la misión. La importancia de la

no se tiene un marco de referencia general de seguridad, puesto que permiten definir los procedimientos y herramientas necesarias del sistema de seguridad 15. Los beneficios del establecimiento de las políticas de seguridad de la información ayudan a tomar decisiones sobre otros tipos de política empresarial (propiedad intelectual, destrucción de información, etc.), que al final de cuentas redunda en una estructura de calidad de servicio, seguridad en el servicio y dispone un ambiente propicio para suministrar una guía, ya que si ocurre un incidente, las políticas constituyen un marco referencial sobre quién hace qué acciones que minimicen el impacto de los mismos.

14Ibídem, Pág. 27

15DALTABUIT GODAS Enrique, VÁZQUEZ José de Jesús, La Seguridad de la Información. Pág.

221, Limusa Noriega Editores, 2007.

39

1.8. DIRECCIONAMIENTO

La fortaleza de la norma ISO/IEC 27001 en materia de gestión de seguridad de la información, a día de hoy nadie la pone en duda, de hecho desde su publicación, esta norma ha empezado a ser parte fundamental, al menos en teoría, del funcionamiento administrativo de las organizaciones. Sin embargo, esta norma esta todavía lejana de alcanzar el grado de implantación funcional a nivel mundial, que si han alcanzado otros estándares de gestión, como por ejemplo el estándar que establece los requisitos de un sistema de gestión de la calidad: ISO 9001. Es tal la superioridad de la ISO 9001 frente a las ISO/IEC 27001, comparadas en nivel de implantación que la norma ISO 9001 se sale del ámbito administrativo de "certificación" y se plantea en un plano de requerimiento funcional de cualquier empresa en el mundo. Así, si no se está certificado en ISO 9001, se está fuera del mercado mundial. Analizando la evolución de esa norma (ISO 9001), es posible inferir una evolución similar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o de cumplimiento obligatorio, se empiezan a ver signos significativos de su implantación en la organización como se describe: En Perú, la ISO/IEC 27002:2005 (Guía de buenas prácticas. No certificable) es de uso obligatorio en todas las instituciones públicas desde el año 2005, fijando así un estándar para las operaciones de la Administración16. En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores, es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006, se hallan sujetos al cumplimiento del estándar.

16Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú, Extraído del sitio web

http://www.ongei.gob.pe/ a los 5 días del mes de octubre de 2010.

40

De ser continuo este avance, la seguridad de la información se convierte en una necesidad, cuyos procesos deben ser certificados no sólo para mejorar dicha seguridad, sino también para ampliar sus resultados y, por supuesto como se había anotado antes, para figurar de manera competitiva en un mercado que conoce la importancia de la seguridad de los activos de información. Como lo dice Manuel Díaz San Pedro en su artículo ISO 2700117 : ¿Hacia un cumplimiento obligatorio? "Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título "Improving Business Results and Mitigating Financial Risk". Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en Gobierno, Gestión de Riesgos, y Cumplimiento en Tecnologías de la Información (GRC IT), superan la media de ingresos en un 17% frente a las organizaciones que no lo implantan, que se traduce en un 13,8% más de beneficios para la organización Sin duda, con estos antecedentes, ISO 27001 seguirá avanzando en importancia y posición de manera similar al estándar de calidad ISO 9001 en cuanto a grado de institución y exigencia, tanto para la empresa privada como para la pública y la sociedad en general.

17 DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento obligatorio?, extraído del

sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-

obligatorio.htm Noviembre de 2010

41

1.9. DISEÑO METODOLÓGICO Este diseño fue validado y aprobado por el grupo consultor especializado en la temática de Seguridad Informática. Estos lo evaluaron en ocasiones diferentes realizando ajustes a la herramienta que el modelo plantea dando retroalimentaciones y proporcionando un valor agregado en cada socialización y retroalimentar realizada durante la investigación. 1.9.1. Metodología INDAGACIÓN INICIAL Se pretende conocer los diferentes modelos existentes para la implementación del SGSI desarrollados por diferentes autores y en diferentes países con el fin de ampliar la información y perspectivas del sistema. ELABORACIÓN DE CATEGORÍAS Con la información obtenida en la indagación inicial se definirán puntos divergencia y convergencia, de allí se establecerán los componentes más importantes de la guía para lograr el establecimiento de las categorías principales que conformarán la misma. CONSTRUCCIÓN DE DIAGNOSTICO INICIAL Con los elementos anteriores se elaborará un documento que esboza los aspectos preliminares de la guía de buenas prácticas de seguridad de la información. PRESENTACIÓN DE RESULTADOS Grupos focales con personal especializado La información obtenida y procesada se presentará a un grupo de expertos, conformado por especialistas en el tema para retroalimentar los hallazgos y obtener nueva información relevante para la construcción de la guía.

42

RETROALIMENTACIÓN DEL MODELO Con los resultados obtenidos se construye un modelo, constituido según el Instituto Andaluz de Tecnología por procedimientos estratégicos y de apoyo18, los cuales son retroalimentados para posteriores verificaciones, y seguirán el siguiente formato Ver Tabla 1:

18 Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología, ISBN 84-923464-7-

7, Pág. 22.

43

Tabla 1. Formato de Procedimientos

CÓDIGO VERSIÓN TIPO

NOMBRE

RESPONSABLE

TIEMPO ESTIMADO/FRECUENCIA

FORMATOS DE REFERENCIA

OBJETIVO

ESPECIFICACIÓN DEL PROCEDIMIENTO

ACTIVIDADES

1.

2.

3.

4.

5.

DESCRIPCIÓN

<

OBSERVACIONES

Fuente: Elaboración propia.

44

2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO

2.1. PLAN DE ANÁLISIS

El presente trabajo se desarrolló en 5 fases o momentos: I. INDAGACIÓN INICIAL: Se pretende conocer los diferentes modelos

existentes para la implementación de buenas prácticas de seguridad de la información desarrolladas por diferentes autores y en diferentes países con el fin de ampliar la información y perspectivas de la guía. Para ello se realizó una exhaustiva indagación de trabajos, escritos, normas, y se pudo establecer que no existe una amplia documentación en la temática, sin embargo este proyecto es resultado de la indagación teórica, conceptual y normativa del tema.

II. ELABORACIÓN DE CATEGORÍAS: Con la información obtenida en los antecedentes y las tendencias se definieron puntos de divergencia y convergencia, de allí se establecieron los componentes más importantes del sistema para lograr el establecimiento de las categorías principales que conformarán la guía. Ver figura 3

46

En los tres conceptos iníciales que se habían determinado como ejes estructurales de la presente investigación: seguridad informática, seguridad de la información e inseguridad de la información, se hallan inmersos elementos constitutivos y en diversos contextos tanto normativos, legales y tecnológicos, sin embargo desde el punto de encuentro de los autores del presente trabajo se establecen elementos integrantes conceptuales como:

DE LA PREOCUPACIÓN DEL AGUJERO EN LA CAPA DE OZONO A LOS

Si se pudiera definir la administración como todos los procesos que conlleven a planificar, organizar, dirigir y controlar ciertos recursos con el ánimo de obtener beneficios, debería poderse adherir a esa definición, el establecimiento de los roles que pondrían en marcha dichos procesos. El quién, el qué y el cómo, se vuelven pilares fundamentales del engranaje que mueve el sistema que busca el beneficio mencionado. Formas, maneras, y métodos de administración existen muchos, pero si a estos diversos métodos asignamos u

información puede tomarse entonces como la forma en que se tratan los datos que proporcionan la facilidad de tomar decisiones de algún tipo y que generan conocimiento para planear, organizar y dirigir procesos. Si a esta planeación de

puede descubrirse que esta información es susceptible a variables diversas del entorno, que inciden en ella, y la transforman en una potencial base estratégica de adelanto y crecimiento empresarial, o en un apabullante muro de perdida y quiebras. Y como sucede esto?. Es sencillo: dependiendo de la intención que

Es necesario entonces plantear barreras que permitan verificar en cierta medida

direccionamiento trae, y decidir si esa variable incide positiva o negativamente sobre la información.

47

Esta necesidad de implantación de barreras, de métodos y estrategias, de direccionamientos y verificaciones se llama Administración de seguridad de la información, y es un ítem que toca profundamente los objetivos de este proyecto. Imaginemos que todo lo planteado en los párrafos anteriores, se asimila a lo que sucede en la capa de ozono que se encuentra en la estratosfera, aproximadamente de 15 a 50 Km sobre la superficie del planeta. El ozono es un compuesto que actúa como un potente filtro solar, evitando el paso de una parte de la radiación ultravioleta (UV) a la superficie de la tierra. La radiación UV puede producir daño en los seres vivos, dependiendo de su intensidad y tiempo de exposición; estos daños pueden abarcar desde irritación a la piel, conjuntivitis y deterioro en el sistema de defensas, hasta llegar a afectar el crecimiento de las plantas, con las posteriores consecuencias que esto ocasiona para el normal desarrollo de la vida en la tierra. En este caso el conocimiento organizacional de la empresa, y todo su direccionamiento estratégico estaría representado por la vida en la tierra y la gerencia sería la capa de ozono, que garantiza la seguridad de la información, así mismo los aspectos financieros, la imagen corporativa y la calidez percibida por los clientes serían los valores susceptibles (información) a posibles daños severos que surgen a raíz de una sobre exposición a los factores de riesgo, desencadenando el anormal desarrollo de las actividades del negocio. Por ello la administración de la seguridad es un potente filtro, que evita el paso de materiales nocivos y su implementación en el negocio es imprescindible y de vital importancia para el mismo. Sin embargo siguiendo el mismo ejemplo, el hueco en la capa de ozono, construye

establecer mecanismos que posibiliten la prevención y reacción frente a los diferentes acontecimientos. Los sistemas de protección más usados, han tomado como base la familia de normas ISO 27000 de la cual se realizó una síntesis en el ítem 5.1 ANTECEDENTES.

48

DE LAS ARMAS ATÓMICAS A LAS ARMAS EN ÁTOMOS A través de la historia la concepción de seguridad ha ido evolucionando; al inicio la seguridad estaba dirigida a proteger la propia vida y garantizar el bienestar de esta, para ello, se construyeron armaduras, escudos y otros artefactos que protegían el cuerpo y la vida de los individuos; con la evolución de las sociedades y el surgimiento de la explotación mercantil la seguridad se traslada a proteger los bienes, productos y recursos por cualquier medio. Sin embargo, a través de toda la evolución social siempre se ha tenido información con acceso restringido para todos los miembros de la sociedad, información que se ha guardado sigilosamente en secreto y que es de vital importancia para el desarrollo de las actividades administrativas, este último apunte es el que da origen a una serie de instituciones estatales que se dedican a la recolección y a salvaguardar la información importante; actualmente estas conductas seguras con respecto a la información se han trasladado a otro tipo de organizaciones en busca de proteger los elementos de competencia que poseen. Ahora bien, todo este proceso ha requerido un aprendizaje catastrófico para muchas empresas y organizaciones, pues lo que se hace en la actualidad está basado en los errores del pasado, es de esta forma que hoy en día se cuenta con una gran variedad de herramientas para mantener la información segura y con esta a la organización. Sin embargo, tener a disposición tales herramientas no garantiza la protección absoluta de la información y la organización, pues es necesario recordar que tales herramientas son manipuladas por personas y que estas pueden cometer errores, por lo que la concienciación de las personas que componen la organización respecto a prácticas catalogadas como seguras debe considerarse como un pilar en el establecimiento de un SGSI Teniendo un modelo de seguridad a seguir como algo primordial para la organización pueden evitarse pérdidas excesivas de dinero, además de esto los daños a la información pueden llegar a ser devastadores para la organización, tomando medidas preventivas se pueden garantizar escenarios controlados para conservar la integridad, disponibilidad y confidencialidad de la información de la organización.

49

III. CONSTRUCCIÓN INICIAL DEL MODELO: Como se había planteado en el anteproyecto, con los elementos obtenidos en la fases anteriores se elaboró un informe (Ver Anexo A) que detalla los hallazgos encontrados referentes a la Seguridad de la Información, de igual forma se plantea el modelo Inicial llamado Manual de respuesta a incidentes, donde se hace referencia a la gestión apropiada de la seguridad de la información priorizando las iniciativas más importantes para cumplir con los objetivos y metas respecto a esta en la organización, con el fin de establecer una guía de manejo sobre los proyectos de seguridad.

IV. PRESENTACIÓN DEL MODELO A GRUPO FOCAL: Para esta fase de desarrollo se planteó la valoración del modelo por parte de un grupo de conocedores (Ver Anexo B), la información obtenida y que soporta la construcción del Manual de Respuesta a Incidentes, se socializó con este grupo, con el fin de retroalimentar los hallazgos y obtener nueva información relevante para la construcción de la herramienta.

El modelo planteado se presentó a un grupo de cuatro ingenieros conocedores de la temática, y la síntesis de sus sugerencias son las siguientes:

» Enfocar el trabajo realizado del modelo inicial del plan de acción hacia la legislación vigente y a las buenas prácticas establecidas en ISO 27001 e ISM3 con el ánimo de normalizar el modelo.

» Encausar el direccionamiento de la Seguridad de la información con la planeación estratégica empresarial.

» Crear Estrategias, métodos, diferenciar roles y responsabilidades con el fin de hacer partícipe a toda la organización para la implantación del modelo dirigido por alta gerencia.

» Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el análisis del riesgo.

50

» Incluir un plan de capacitación y divulgación de dichas políticas de seguridad.

V. RETROALIMENTACIÓN DEL MODELO: El modelo obtenido (Ver Anexo C) al integrar las sugerencias planteadas por el grupo focal da como resultado variaciones en el modelo inicial respecto a:

» El Manual de Respuesta a Incidentes se transforma en un Plan de acción de Seguridad de la Información.

» Se crea un anexo documental respecto al Análisis y Gestión de Riesgos de Seguridad de la Información.

» Se establecen estrategias de difusión y comunicación del modelo. NOTA: Puesto que las fases del plan de análisis están diseñadas de una manera incremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como se sigue:

2.2. SEGUNDA ITERACIÓN DEL MODELO

El modelo planteado del Plan de Acción y Análisis y Gestión de Riesgos de la Seguridad de la Información son puestos a consideración nuevamente al mismo grupo focal, quienes retroalimentaron dichos planteamientos.

51

RETROALIMENTACIÓN DEL MODELO Las sugerencias planteadas por el grupo focal son adicionadas al Plan de Acción y al Análisis y Gestión del Riesgo de Seguridad de la información (ver Anexo D), los cambios planteados son los siguientes:

» Se sugiere una adecuada disposición final de los activos de información, tener un método seguro con el cual realizar la eliminación de dichos activos de la organización.

» Se plantea un plan de capacitación riguroso y dinámico, aprovechando todo el proceso de Análisis y Gestión del Riesgo para generar los temas de capacitación en donde se encuentran falencias, además de esto se logre un compromiso de formación por los participantes. Es muy importante brindar una difusión en cuanto a Plan de Acción y Análisis y Gestión del Riesgo generando un compromiso con los objetivos y metas de dichos lineamientos.

CONSTRUCCIÓN DEL MODELO El modelo anterior es presentado al grupo focal, y se detectaron falencias en cuanto a la disposición final de los activos de información, teniendo en cuenta que este es un factor de riesgo importante, la forma en cómo se realiza el tratamiento de eliminación o baja de los activos de información desde el momento en que considera necesario prescindir de ellos. Otro cambio que surgió de los datos obtenidos de los expertos fue generar estrategias de capacitación más dinámicas creando un compromiso con los miembros de la organización. El procedimiento se encuentra descrito en ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO presentado en el Anexo E, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. Estas estrategias de capacitación optimizan y mejoran la difusión de los procedimientos que se encontraban inmersos tanto en el Plan de Acción como en Análisis y Gestión del

52

Riesgo, para así lograr una capacitación integral y más rigurosa dirigida a todo el modelo.

2.3. TERCERA ITERACIÓN DEL MODELO

Tras presentar el modelo obtenido al grupo focal, surge la necesidad de complementar la guía con un ítem que ayude a gestionar los incidentes de seguridad presentados al interior de un organización, y por ello se plantea la revisión de la Norma ISO/IEC 27005:2009 Gestión del Riesgo de la Seguridad de la Información, para que sirva de apoyo la creación de una guía de respuesta a incidentes de seguridad de la información. RETROALIMENTACIÓN DEL MODELO Tras la valoración de las sugerencias planteadas por el experto en la tercera revisión del modelo, se alude a una revisión documental de las normas ISO/IEC 27001:2006 e ISO/IEC 27005:2009 y en consecuencia a esto se encontraron falencias en el modelo planteado, que son subsanadas con la creación de un nuevo modelo, donde se plantea el siguiente cambio (ver Anexo F):

» Creación de la Guía de Respuesta a Incidentes de Seguridad de la Información.

53

3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES

3.1. RESULTADOS OBTENIDOS

Un modelo validado de buenas prácticas de seguridad de la información. Un diagnóstico general a través de la construcción de tendencias de prácticas de seguridad de la información en Colombia, CAN y Estados Unidos. Un proceso investigativo sistematizado para la construcción de un manual de procedimientos para la administración de la seguridad de la información, propuesto como Guía de Buenas Practicas de Seguridad de la Información en Contextos de Micros, Pequeñas y Medianas Empresas de la Región.

3.2. CONCLUSIONES

Aunque el tema ha cobrado vigencia en los últimos años, no se accede fácilmente a información sobre el tema de seguridad informática aplicada en modelo. Para que el modelo sea aplicado, se debe generar un espacio de formación a todo el personal que tenga interacción y acceso a la información. En los espacios empresariales, se hace un gran esfuerzo para que todos los empleados tengan las competencias que permitan acceder a los sistemas de información, sin embargo pocas son las actividades y procesos que se desarrollan para que lo hagan de una forma segura. No obstante la abundante gama normativa y Legal, éstas per se no garantizan seguridad total de la información.

54

Aun los profesionales en temas informáticos, suelen no diferenciar entre conceptos de seguridad informática y seguridad de la información, lo cual puede generar o sesgos en cuanto esfuerzos o direccionamiento de los esquemas preventivos. Olvidando la visión holística que permitiría minimizar riesgos. El reducido abismo entre modelar y aplicar, esquemas de seguridad informática y de información, también está mediado por la profundidad del mismo. Por lo cual organizaciones que han realizado inmensas inversiones para el desarrollo de modelos súper avanzados y con todas las medidas planificadas para evitar ataques, se han olvidado de las realidades de sus recursos para aplicarlos, casi experimentando mega procesos para ser aplicados por débiles equipos de trabajo. De esta manera se puede concluir que los procesos deben ser adecuados a las realidades de cada organización, por ello el presente proceso investigativo no genera un modelo rígido y e inamovible, sino antes bien entrega una herramienta para tener en cuenta en el momento que se vaya a generar un modelo aplicado y hecho al medida de cada organización. Debe reafirmarse al empresario local que la adquisición tecnológica no implica seguridad de la información, si no que esto requiere de buenas prácticas estandarizadas de la administración de los activos de información. Una gestión adecuada de los activos información trae como resultado la implementación de un SGSI. La seguridad informática para una organización se debe entender como un proceso y no como un producto que se puede comprar o instalar, esto se trata de un proceso continuo, en el que se incluyen actividades como la valoración de riesgos, prevención, detección y respuesta ante incidentes de seguridad. La implementación de medidas de seguridad en lugar de agilizar los procesos, ayudan al detrimento del rendimiento de los mismos (ej: envío de un mensaje encriptado).

55

3.3. RECOMENDACIONES

Se recomienda a nuevos investigadores dar a conocer el concepto de seguridad de la información en las empresas de la región para así asegurar la adecuada gestión de los activos de información teniendo en cuenta que estos abarcan todo lo relacionado en salvaguardar los pilares de la seguridad de la información. Generar en todos los integrantes de la organización un gran compromiso con la seguridad de la información y de lo significativo que son estas prácticas para la continuidad de los objetivos organizacionales. La legislación se debe unir con los interesados en informática y así generar nuevas leyes que rijan este ámbito, sin obstaculizar el libre funcionamiento de la informática especialmente con la internet, puesto que hay muchos intereses en este mundo tan amplio y pueden dirigirse por caminos no correctos y así limitar la fluidez del conocimiento. A partir del modelo planteado en este proyecto investigativo, debe surgir un nuevo proyecto, que plantee la ejecución del modelo al interior de una organización.

56

4. REFERENCIAS BIBLIOGRÁFICAS

[1] ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49. Artículo: Encuesta nacional Seguridad informática en Colombia: Tendencias 2010. Extraído del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de 2010. [2] [4] [5] [6] [8] GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. [3] INFOSEC Glorssary 2000. [7] Cornell University Law School, Extraído del sitio web http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html a los 4 días de Octubre de 2010. [9] ISO/IEC 17799:2005 [10] CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la inseguridad informática, extraído del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de 2010. [11] [13] [14] [15]

oriega Editores, 2007. [12]

Universidad de Piura, Perú, 2009 [16] Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú, Extraído del sitio web http://www.ongei.gob.pe/ a los 5 días del mes de octubre de 2010.

57

[17] DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento obligatorio?, extraído del sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimiento-obligatorio.htm el 8 de noviembre de 2010. [18] Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología, ISBN 84-923464-7-7 [19] ISO/IEC 27001:2005

58

ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

La necesidad de implantar estrategias que permitan que la información se mantenga segura, y que además cumpla con las cualidades de disponibilidad, integridad y confidencialidad, podría definirse de cierta manera como administración de seguridad de la información. Todos los procesos que conlleven a planificar, organizar, dirigir y controlar ciertos recursos, con el ánimo de obtener beneficios de la información que posee una organización, conllevan a que a dicha información se le atribuyan niveles altos de calidad, que permiten tomar decisiones estratégicas que direccionan la organización, y que además garantizan que la seguridad de la información y más aun, que las decisiones basadas en dicha información no se verán vulneradas por factores externos que atenten contra confidencialidad, la disponibilidad y la integridad de la información. Con el propósito de establecer un nivel óptimo de seguridad de la información, se establece un Manual de Respuesta a Incidentes de Seguridad de la Información, que sirve como guía de implementación dentro de la organización que desee alinearse con las buenas prácticas establecidas en la ISO 27001. OBJETIVO

Priorizar las iniciativas más importantes para cumplir con los objetivos y metas respecto a la seguridad de la información en la organización, con el fin de establecer una guía de manejo sobre los proyectos de seguridad.

60

DEL MANUAL

Se proporcionan los siguientes procedimientos para la elaboración del Manual de Respuesta a Incidentes de Seguridad de la Información: Identificar y conocer las posibles vulnerabilidades de seguridad de la información al interior de la organización, constituye el paso inicial para el establecimiento de políticas y estrategias que la direccionen, en vía de salvaguardar la integridad, disponibilidad y confidencialidad de información de la organización. Realizar un diagnóstico empresarial determina el punto de partida que prepara la unificación de los criterios y objetivos empresariales en aras de implementar unas buenas prácticas de seguridad de la información. Tras definir los objetivos a alcanzar, e identificar los factores que vulneran la seguridad de la información de la organización, deben establecerse las líneas estratégicas de seguridad, que garanticen la creación de un plan de acción frente a los factores de riesgo a los que se encuentra expuesta la información. Es importante proporcionar una clara identificación de los objetivos para que el lineamiento sea marcado sin ambigüedades en el ejercicio de las buenas prácticas de seguridad. Concierne a la alta gerencia establecer y garantizar los recursos necesarios, tanto humanos, técnicos y tecnológicos que aúnen los esfuerzos de los integrantes de la organización con el fin de cumplir los objetivos establecidos, teniendo una identificación completa de cada tipo de riesgo probable, asociándolo a cada departamento implicado, proporcionando soluciones contundentes mediante la especialización del talento humano, garantizando la idoneidad del personal y la acertada solución o mitigación del incidente, estableciendo programas de cumplimiento de prácticas de seguridad mediante guías procedimentales, que garanticen que los integrantes de la organización conozcan el manual de respuesta a los incidentes y el respectivo tratamiento de los riesgos, y la posterior ejecución óptima de cada uno de los procedimientos del manual. Garantizar que los factores de riesgo sigan un patrón controlable, medible y parametrizable que permitan una mejora continua, a demás que, los incidentes no identificados como factores de riesgo sean parametrizados y documentados,

61

proporciona un punto de partida de retroalimentación del manual de respuesta, por ello, establecer niveles de tolerancia a fallos, garantiza la trazabilidad del riesgo, puesto que consecuentemente hace un tratamiento del riesgo asumido, y en caso de la ocurrencia de un riesgo no previsto, formaliza su documentación y posterior tratamiento. Por último, si se trazan métodos de seguimiento, revisión y auditoria, no solo se garantiza la utilización del manual, sino también, una mejora continua como consecuencia de la retroalimentación de los procesos definidos en el manual de respuesta a incidentes, influyendo positivamente en la mejora de la calidad de la seguridad de la información. PROCEDIMIENTOS DE GESTIÓN

Establecer Diagnóstico Empresarial:

» Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la información.

» Verificar que la información obtenida es real.

» Proponer líneas estratégicas de seguridad. Establecer Líneas Estratégicas de Seguridad.

» Definir los objetivos de seguridad de la información.

» Identificar los factores de riesgo de seguridad de la información.

» Establecer un plan de respuesta a cada factor de riesgo identificado. Establecer Recursos Necesarios.

» Identificar el tipo de riesgo y asociarlo a cada departamento implicado.

62

» Asignar roles y responsabilidades.

» Garantizar idoneidad de los encargados de las líneas estratégicas de

seguridad. Establecer Programas de Cumplimiento de Prácticas de Seguridad.

» Establecer una guía de solución de incidentes.

» Garantizar que los integrantes de la organización conozcan el manual de respuesta a incidentes.

» Garantizar seguimiento y revisión del manual de respuesta a incidentes.

Ejecutar Programas de Cumplimiento de Prácticas de Seguridad.

» Garantizar que el personal cumple con las medidas establecidas en el manual de respuesta a incidentes.

Establecer Niveles de Tolerancia a Fallos.

» Establecer niveles aceptables de factores de riesgo. » Garantizar que los factores de riesgo no controlados sean seguidos y

parametrizados. Revisar, Evaluar y Auditar el Manual de Respuesta a Incidentes.

» Garantizar métodos de revisión, seguimiento y auditoria. » Garantizar mejora continua.

63

METODOLOGÍA

Tabla 3. Metodología: Manual de Respuesta a Incidentes de Seguridad de la Información

OBJETIVO ACTIVIDADES DESCRIPCIÓN

Establecer diagnóstico empresarial.

Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la información.

Determinar un punto de partida que prepare el establecimiento de los objetivos de seguridad de la organización.

Verificar que la información obtenida es real. Proponer líneas estratégicas de seguridad.

Establecer líneas estratégicas de seguridad.

Definir los objetivos de seguridad de la información.

Proporcionar una identificación clara de los objetivos de seguridad a seguir y establecer los lineamientos de cumplimiento de dichos objetivos.

Identificar los factores de riesgo de seguridad de la información. Establecer un plan de respuesta a cada factor de riesgo identificado.

Establecer recursos necesarios.

Identificar el tipo de riesgo y asociarlo a cada departamento implicado.

Gestiona los recursos que preparan a la organización para la atención y el tratamiento de un incidente Asignar roles y

responsabilidades. Garantizar idoneidad de los encargados de las líneas estratégicas de seguridad.

Establecer programas de cumplimiento de prácticas de seguridad.

Establecer una guía de solución de incidentes.

Proporcionar una guía que permita el tratamiento de los incidentes según los riesgos identificados y la tipificación de los mismos.

Garantizar que los integrantes de la organización conozcan el manual de respuesta a incidentes. Garantizar seguimiento y revisión del manual de respuesta a incidentes.

Ejecutar programas de cumplimiento de prácticas de seguridad.

Garantizar que el personal cumple con las medidas establecidas en el manual de respuesta a incidentes.

Verificar que el cumplimiento de los procedimientos establecidos por la gerencia como guía de respuesta a incidentes.

64


Establecer niveles de tolerancia a fallos.

Establecer niveles aceptables de factores de riesgo.

Garantiza que los factores de riesgo sigan un patrón controlable, medible y parametrizable que permitan una mejora continua, a demás que, los incidentes no identificados como factores de riesgo sean parametrizados, documentados y proporcionen un punto de partida de retroalimentación del manual.

Garantizar que los factores de riesgo no controlados sean seguidos y parametrizados

Revisar, evaluar y auditar el manual de respuesta a incidentes.

Garantizar métodos de revisión, seguimiento y auditoria.

La alta gerencia debe garantizar que el manual de respuesta se sigue según sus lineamientos, a demás de garantizar su seguimiento, trazabilidad y la aplicación correcta según los objetivos.

Garantizar mejora continua.

Fuente: Elaboración Propia

65

MAPA DE PROCEDIMIENTOS

Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de Seguridad de la Información.

Fuente: Elaboración Propia.

66

ESPECIFICACIÓN DE PROCEDIMIENTOS

CÓDIGO GBP-MRI001 VERSIÓN 01 TIPO Estratégico

NOMBRE Establecer diagnóstico empresarial.

RESPONSABLE Alta Gerencia

TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable


OBJETIVO Conocer el estado actual de la organización en cuanto a la Gestión de la Seguridad de la Información, para establecer un punto de partida.


ACTIVIDADES

1. Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la información.

2. Verificar que la información obtenida es real.

3. Proponer líneas estratégicas de seguridad.

DESCRIPCIÓN

Determinar un punto de partida que prepare el establecimiento de los objetivos de seguridad de la organización.

<

OBSERVACIONES

67


NOMBRE Establecer líneas estratégicas de seguridad.

RESPONSABLE Alta Gerencia



OBJETIVO Establecer el direccionamiento que va a tener el modelo.


ACTIVIDADES

1. Definir los objetivos de seguridad de la información.

2. Identificar los factores de riesgo de seguridad de la información.

3. Establecer un plan de respuesta a cada factor de riesgo identificado..

DESCRIPCIÓN

Proporcionar una identificación clara de los objetivos de seguridad a seguir y establecer los lineamientos de cumplimiento de dichos objetivos.

<

OBSERVACIONES

68


NOMBRE Establecer recursos necesarios.

RESPONSABLES Alta Gerencia Departamento Implicado



OBJETIVO Brindar estrategias para la asignación de recursos para dar cumplimiento a los objetivos establecidos.


ACTIVIDADES

1. Identificar el tipo de riesgo y asociarlo a cada departamento implicado.

2. Asignar roles y responsabilidades.

3. Garantizar idoneidad de los encargados de las líneas estratégicas de seguridad.

DESCRIPCIÓN

Preparar al departamento para gestionar los recursos que permitan la atención y el tratamiento de un incidente.

<

OBSERVACIONES

69


NOMBRE Establecer programas de cumplimiento de prácticas de seguridad.

RESPONSABLE Alta Gerencia.



OBJETIVO Garantizar que los integrantes de la organización conozcan el manual de respuesta a los incidentes y el respectivo tratamiento de los riesgos.


ACTIVIDADES

1. Establecer una guía de solución de incidentes.

2. Garantizar que los integrantes de la organización conozcan el manual de respuesta a incidentes.

3. Garantizar seguimiento y revisión del manual de respuesta a incidentes.

DESCRIPCIÓN

Proporcionar una guía que permita el tratamiento de los incidentes según los riesgos identificados y la tipificación de los mismos.

<

OBSERVACIONES

70


NOMBRE Ejecutar programas de cumplimiento de prácticas de seguridad.




OBJETIVO Garantizar una Óptima ejecución de los procedimientos del Manual.


ACTIVIDADES

1. Garantizar que el personal cumple con las medidas establecidas en el manual de respuesta a incidentes.

DESCRIPCIÓN

Verificar el cumplimiento de los procedimientos establecidos por la gerencia como guía de respuesta a incidentes.

<

OBSERVACIONES

71


NOMBRE Establecer niveles de tolerancia a fallos.




OBJETIVO Garantizar una observación a los factores de riesgo para atenuarlos.


ACTIVIDADES

1. Establecer niveles aceptables de factores de riesgo.

2. Garantizar que los factores de riesgo no controlados sean seguidos y parametrizados.

DESCRIPCIÓN

Garantiza que los factores de riesgo sigan un patrón controlable, medible y parametrizable que permitan una mejora continua, además que, los incidentes no identificados como factores de riesgo sean parametrizados, documentados y proporcionen un punto de partida de retroalimentación del manual.

<

OBSERVACIONES

72


NOMBRE Revisar, evaluar y auditar el Manual de Respuesta a Incidentes.




OBJETIVO Garantizar el uso correcto del Manual de Respuesta a Incidentes de Seguridad de la Información.


ACTIVIDADES

1. Garantizar métodos de revisión, seguimiento y auditoria.

2. Garantizar mejora continua

DESCRIPCIÓN

La alta gerencia debe garantizar que el manual de respuesta se sigue según sus lineamientos, además de garantizar su seguimiento, trazabilidad y la aplicación correcta según los objetivos.

<

OBSERVACIONES

73

ANEXO B: GRUPO FOCAL

[ GRUPO FOCAL ACTA 001 ]

FECHA: Febrero 25 de 2011 HORA DE INICIO: 08:00 horas

HORA DE FIN: 20:00 horas OBJETIVO: Socializar y retroalimentar el modelo planteado.

ACTIVIDADES 1. Presentar el modelo del manual de Respuesta a Incidentes de Seguridad de la Información.

2. Recopilar información del grupo de expertos en seguridad de la información para retroalimentar el modelo que se tiene planteado.

RESULTADOS OBTENIDOS >> Enfocar el trabajo realizado del modelo inicial del plan de acción hacia la legislación vigente y a las buenas prácticas establecidas en ISO 27001 e ISM3 con el ánimo de normalizar el modelo. >> Encausar el direccionamiento de la Seguridad de la información con la planeación estratégica empresarial. >> Crear Estrategias, métodos, diferenciar roles y responsabilidades con el fin de hacer partícipe a toda la organización para la implantación del modelo dirigido por alta gerencia. >> Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el análisis del riesgo. >> Incluir un plan de capacitación y divulgación de dichas políticas de seguridad.

PARTICIPANTES Ingeniero Oscar Arroyave de la Pava Ingeniero de Sistemas Ingeniero Jorge Iván Ríos P MSC en Ingeniería del Conocimiento. Ingeniero Juan Roa Salinas - Jefe proyectos Seguridad de la información en Transbank, Chile Edison Ricardo Barahona Morales, Ingeniero en Sistemas. Consultor Dataware House. Atlantic Security Bank, Panamá City.

_____________________________ ___________________________ Julián Alberto Gómez Isaza Gerardo Ayala González

Estudiantes del programa Ingeniería de Sistemas y Computación Universidad Tecnológica de Pereira

2010

74

ACTA: En reunión con este grupo el día 25 de Febrero de 2011 se puso a consideración el Manual de Respuesta a Incidentes de Seguridad de la Información planteado por los autores con el fin de optimizar, cualificar y aterrizar la propuesta presentada. En dicha reunión se hizo lectura y análisis de la propuesta por parte de los expertos y a partir de allí, los mismos hicieron sus aportes, comentarios y sugerencias al modelo presentado. Edison Barahona: Propone que la investigación debe orientarse a procesos y procedimientos no a un documento informal como el que se tiene (modelo previo) debe basarse en normatividad y legislación vigente, así como también en buenas prácticas de seguridad de la información para que la investigación no quede como rueda suelta a la estructura del sistema de gestión de seguridad de la información; así mismo sugiere ser má Oscar J. Arroyave de la Pava: Asegura que en la práctica los SGSI no se implementan debido a que no están adheridos a la planeación estratégica de la empresa y la responsabilidad recaía sobre el departamento/ área de sistemas y TI, el documento final debe sugerir que quien quiera implantar el modelo debe hacerlo parte de los objetivos estratégicos empresariales y lograr en el mayor ámbito posible y la transversalidad del modelo a todas las aéreas. Jorge Iván Ríos P: Sugiere ser consecuentes entre el documento presentado y el objetivo general de la investigación; si el objetivo es presentar herramientas metodológicas, procedimentales y documentales el documento debe ser una herramienta que contenga procesos, procedimientos, objetivos de cada uno y un método de comunicación para la empresa que desee implantar el modelo. Juan Roa Salinas: Sugiere diferenciar notoriamente el campo de acción de cada uno de los procesos. Sugiere los nombres de: plan de acción de seguridad de la información, análisis y gestión del riesgo y planes de capacitación.

75

ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

El modelo que surge a continuación es consecuencia de las sugerencias realizadas por el grupo focal; se expuso a este grupo el modelo anterior Manual de Respuesta a Incidentes de Seguridad de la Información (ver Anexo A) para así generar una retroalimentación de dicho modelo. El resultado de esta reunión se describe a continuación: La estructura del modelo inicial Manual de Respuesta a Incidentes de Seguridad de la Información evolucionó al modelo de un Plan de Acción de Seguridad de la Información, el cual, fue enriquecido, con un enfoque más acorde a la legislación vigente y a las buenas prácticas establecidas en la norma ISO/IEC 27001 e ISM3 con el ánimo de normalizarlo e incluir las acciones referentes a la implementación y operación de un SGSI. El objetivo general del Manual de Respuesta a Incidentes de Seguridad de la Información, aunque tiene un acercamiento leve a la organización, dista en gran medida de la normatividad y legislación actual, y de la aplicación sobre la

El diagnóstico empresarial fue evolucionado hacia el establecimiento de objetivos claros, concisos y medibles con el fin de instaurar una planeación estratégica de seguridad y encausar así la planeación estratégica empresarial con la implantación de estas prácticas seguras al interior de la organización. El establecimiento de las líneas estratégicas y la gestión de los recursos del modelo inicial se transformaron en el cuerpo del Plan de acción de la Seguridad de la Información actual, mediante la instauración de estrategias, tareas, roles y responsabilidades que hacen partícipes a los integrantes de la organización, cumpliendo así con la transversalidad que tiene la seguridad de la información a todas las áreas de la organización. Además de esto es sugerido por el grupo focal la separación del procedimiento Establecer Niveles de Tolerancia a Fallos, el cual se encuentra inmerso en Manual de Respuesta a Incidentes de Seguridad de la Información, para así crear un anexo documental enfocado al Análisis y Gestión del Riesgo. A continuación se presentan las herramientas documentales que surgieron para este modelo:

77

OBJETIVO

Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. La efectividad de la administración de la seguridad de la información de la organización se encuentra entre los lineamientos de un Plan de Acción de la Seguridad de la Información y de los objetivos estratégicos organizacionales, teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la seguridad de la información nos brinda la premisas necesarias para encausar la seguridad de la información con los objetivos estratégicos empresariales y segundo lugar que da una pauta para actuar y dar respuesta referente al análisis de riesgos. PROCEDIMIENTOS DE GESTIÓN

El Plan de Acción de la Seguridad de la Información está constituido por: Objetivos, estrategias, tareas, seguimiento y revisión y auditorias. Como primera parte se van a establecer objetivos claros, concisos y medibles con la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad de la Información. Para establecer esos objetivos se va a realizar un diagnóstico preliminar del estado actual de la organización con referencia a la seguridad de sus activos de información, con la finalidad de conocer la situación actual y proyectar la situación ideal de la organización. Posteriormente se ha determinar la situación deseada que la empresa intenta lograr y establecer las metas de seguridad a donde se van a dirigir las acciones, esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la autenticidad de la información de la organización. Después de esto, se van a establecer estándares de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos tienen que tener indicadores de calidad para poder ser medibles y verificar si estos se están cumpliendo y en qué porcentaje se está logrando, de manera que permita modificarlos si es necesario.

78

Como segunda parte se van a establecer las estrategias que reflejen el camino a seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles sentido, dirección y continuidad mediante el encause de los lineamientos estratégicos administrativos de la organización y los lineamientos estratégicos de seguridad de la información; este proceso debe contar con el apoyo de la alta gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos de seguridad y los objetivos organizacionales estén direccionados hacia la misma línea de acción. Como tercera medida se han establecer las tareas donde se describan los pasos exactos para el cumplimiento de las estrategias; éste apartado está compuesto por las siguientes actividades: primero, determinar cuáles son las dependencias de la organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas; tercero, Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional, realizando tareas posibles de cumplir y que están dentro de los lineamientos de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de ellas debe tener un inicio y un final teniendo un control para así evitar perder el recurso tiempo, por último en este ítem se van a asignar roles y responsables directos en cada tarea, con la finalidad de especializar cada una de ellas, saber quien la hace, por que la hace, los tiempos y resultados de dicha tarea. Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y evaluación de cumplimiento, está constituido por la elaboración de un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos para la Administración de la Seguridad de la Información, el plan de evaluación de resultados entregado por el seguimiento y la revisión y estos resultados deben estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje de cubrimiento de objetivos es que se está cumpliendo las metas del plan de acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la aplicación del modelo, garantizando que en cualquier momento se puede acceder a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe

79

evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo, cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora continua; la primera hace referencia a la realización estricta de los procedimientos documentados y, la segunda hace referencia a la verificación y reajuste de los procedimientos con el fin de mantener la documentación de los mismos actualizada. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se lista las actividades de cada uno de los procedimientos de gestión que componen el Plan de Acción de la Seguridad de la Información: ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES

» Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información.

» Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones.

» Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.

80

ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR PARA LOGRAR DICHOS OBJETIVOS.

» Dar sentido, dirección y continuidad a los objetivos mediante el encause de los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad de la información.

» Establecimiento de las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA EL CUMPLIMIENTO DE LAS ESTRATEGIAS.

» Determinar las dependencias, alcance y delimitaciones de cada tarea.

» Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional.

» Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea.

» Asignar roles y responsables directos en cada tarea. ESTABLECER MÉTODOS DE REVISIÓN, SEGUIMIENTO Y EVALUACIÓN DE CUMPLIMIENTO.

» Elaborar un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Plan de Acción.

81

» Asegurar el seguimiento y la trazabilidad de la aplicación del modelo.

» Garantizar la calidad y la mejora continua. METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN

Tabla 4. Metodología Plan de Acción de Seguridad de la Información


Establecer los objetivos del plan de acción.

Realizar un diagnóstico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información.

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las directrices de la creación del plan de acción de seguridad de la información.

Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo

Establecer las estrategias del plan de acción.

Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad.

La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información

Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

82


Determinar las tareas y asignar roles y responsabilidades.

Determinar las dependencias, alcance y delimitaciones de cada tarea.

La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea

Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. Asignar roles y responsables directos para cada tarea.

Establecer los métodos de auditoría

Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción.

La alta gerencia debe establecer los métodos de revisión, seguimiento y evaluación de cumplimiento de los objetivos del plan de acción, y garantizar que los resultados del mismo son medibles en referencia a las metas establecidas.

Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable. Garantizar la calidad y mejora continua.


83


Figura 7. Mapa de procedimientos Plan de Acción de Seguridad de la Información


84


CÓDIGO GBP-PASI001 VERSIÓN 01 TIPO Estratégico

NOMBRE Establecer los objetivos del plan de acción




OBJETIVO Determinar las metas que se deben cumplir en el plan de acción de seguridad de la información.


ACTIVIDADES

1. Realizar un diagnóstico preliminar del estado actual de la organización en referencia a la seguridad de sus activos de información.

2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones.

3. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo

DESCRIPCIÓN

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las directrices de la creación del plan de acción de seguridad de la información.

<

OBSERVACIONES

Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.

85


NOMBRE Establecer las estrategias del plan de acción.




OBJETIVO Determinar las estrategias que reflejen el camino a seguir para lograr los objetivos.


ACTIVIDADES

1. Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad.

2. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

DESCRIPCIÓN

La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información.

<

OBSERVACIONES

86


NOMBRE Determinar las tareas y asignar roles y responsabilidades




OBJETIVO Determinar las tareas que describan los pasos exactos para el cumplimiento de las estrategias del plan de acción.


ACTIVIDADES

1. Determinar las dependencias, alcance y delimitaciones de cada tarea.

2. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional.

3. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea.

4. Asignar roles y responsables directos para cada tarea.

DESCRIPCIÓN

La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea.

<

OBSERVACIONES

87


NOMBRE Establecer los métodos de auditoría.




OBJETIVO Establecer los métodos de revisión, seguimiento, y evaluación de cumplimiento de los objetivos del pan de acción.


ACTIVIDADES

1. Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción.

2. Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable.

3. Garantizar la calidad y mejora continua.

DESCRIPCIÓN


<

OBSERVACIONES

88

ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Identificar cualquier riesgo significativo en los activos de información, estableciendo el impacto potencial de estos en la organización con la finalidad de eliminarlos o atenuarlos, limitando sus consecuencias y minimizando las pérdidas; esto con el propósito de poseer la información suficiente que apoye la toma de decisiones gerenciales respecto a los controles más apropiados para la seguridad de la información y a los funcionarios de cada proceso atender sus incidentes de seguridad de la mejor forma posible, además de esto permitir el cumplimiento de los objetivos estratégicos de la organización acatando las políticas de la gestión del riesgo. ASPECTO LEGAL

DECRETO Nº 1537 / 26 DE JULIO DE 2001. ARTICULO 4. ADMINISTRACIÓN DE RIESGOS. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los aspecto tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e integradas de manera inherente a los procedimientos.

90

DEL MANUAL

El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se encuentran expuestos los activos de información y por ende la continuidad de la organización, creando estrategias de análisis, identificación de falencias, fortalezas y recursos de información que se poseen en la organización, además de esto evidenciar como se atienden las incidencias de seguridad; garantizando una buena toma de decisiones respecto a los controles más apropiados para la gestión de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos estratégicos de la organización tiene como resultado el encause de las labores al propósito o fin organizacional. Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a la administración de riesgos, donde se considera como parte integral del fortalecimiento de los sistemas de control interno en las entidades, y se reconoce el análisis del riesgo como un proceso permanente e interactivo entre la administración y las oficinas de control interno. Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad de la Información se desarrollan de la siguiente forma: En primer lugar se debe establecer la situación actual de la organización en cuanto a seguridad de la información, efectuándose mediante la observación, el seguimiento y la revisión de los procesos, estos resultados se obtienen a través entrevistas y encuestas a los integrantes de la organización, además de esto realizar una revisión de la documentación que se posee. Posteriormente se han de determinar cuáles son los activos de información que se poseen para ser identificados, cada uno de estos activos encontrados se clasifican según el impacto que puede llegar a sufrir la organización si dicho activo llega a fallar, se les asigna un valor que representa cuán importante es para la organización. Como siguiente medida se identifican los factores de riesgo para cada uno de los activos de información, realizando la identificación de los factores internos y

91

externos a los cuales se encuentran expuestos dichos activos, luego de esto categorizar las amenazas identificadas o la posibilidad que ocurra un evento adverso, para así establecer métricas que permitan analizarlas y clasificarlas en cuanto al daño que pueden llegar a causar a los activos de información que posee la organización. A continuación se han de Identificar los de activos de información vulnerables en la organización, teniendo como vulnerabilidad el grado de resistencia que tienen los activos de información para sus respectivas amenazas, se establece el potencial que tienen estas para causar efectos adversos en los activos de información. Es importante tener en cuenta que no todos los activos de información poseen la misma calidad de información, por lo que es necesario establecer un análisis de las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los afecta. El siguiente paso es Establecer el nivel de protección de los activos de información, que brinda como resultado la información precisa acerca de las estrategias de protección utilizadas para garantizar el adecuado funcionamiento del activo de información. Con el análisis de la información obtenida en estos procesos se continúa con un paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la Información que es la Calificación del impacto del riesgo si este se hiciera realidad, aquí se evalúan las consecuencias de un fallo en la seguridad de la información o que un riesgo se haga efectivo en los activos de información. Con la clasificación del impacto del riesgo se busca establecer en primer lugar cuales son los activos más susceptibles de daño, por lo que es importante tener claridad de cómo se realiza la protección de cada uno de ellos; además es necesario evaluar el impacto para la organización si tales riesgos se hacen efectivos. No pueden faltar las estrategias de contingencia que puedan suplir el funcionamiento de los procesos de la organización, planteando medidas alternas

92

que permitan la continuidad de los procesos organizacionales sin afectar en gran medida los procesos establecidos. El establecimiento de alternativas funcionales, aunque no garanticen la continuidad absoluta de los procesos organizacionales, garantizará que el proceso afectado no se detenga y no afecte de manera crucial el buen funcionamiento de la organización. Una vez que se han identificado los riesgos en los activos de información y en las prácticas de seguridad que se implementan en la organización, se puede determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de información y el impacto que puede tener en la organización, así entonces se puede establecer controles apropiados para atender los incidentes de seguridad de la mejor forma posible, de esta manera se puede garantizar una buena Gestión del tratamiento del riesgo de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN

ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

» Observar y realizar seguimiento a procesos de la organización. » Desarrollar entrevistas y encuestas a los integrantes de la organización. » Revisar la documentación que se posee.

IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.

» Clasificar los de activos de información que posee la organización. » Asignar un valor de importancia a estos activos para establecer el nivel de

importancia de cada uno de ellos. IDENTIFICAR LOS FACTORES DE RIESGO.

» Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

93

» Categorizar las amenazas identificadas. » Establecer escalas métricas para el análisis cuantitativo de las amenazas. » Clasificar las amenazas de acuerdo a resultados obtenidos en la escala

métrica. IDENTIFICAR ACTIVOS DE INFORMACIÓN VULNERABLES EN LA ORGANIZACIÓN.

» Identificar cuales amenazas afectan a cada uno de los activos de información.

» Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información.

ESTABLECER EL NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN.

» Identificar el activo. » Establecer factores de riesgo para cada activo. » Establecer la vulnerabilidad para cada activo. » Puntualizar en qué grado es efectiva la protección para cada activo de

información. CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.

» Identificar el nivel de importancia del activo afectado. » Indicar como se realiza la protección para cada activo de información. » Evaluarlas consecuencias en la organización por estos factores de riesgo.

94

CREAR ESTRATEGIAS DE CONTINGENCIA.

» Identificar los activos de información vulnerables. » Plantear una estrategia alternativa para que el activo de información

afectado no interfiera con el funcionamiento de la organización. » Ejecutar la estrategia para el activo de información que lo requiera. » Realizar evaluaciones periódicas a las estrategias para verificar su

adecuación a los cambios en los activos de información. METODOLOGÍA ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Tabla 5. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información


Establecer la situación actual de la organización.

Observar y realizar seguimiento a procedimientos de la organización.

La situación actual de la organización permite establecer cómo se encuentra esta en cuanto a: sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad

Desarrollar entrevistas y encuestas a los integrantes de la organización. Revisar la documentación que se posee.

Identificar activos de información.

Clasificar los de activos de información que posee la organización.

Se clasifican los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos, un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos.

Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos.

95


Identificar los factores de riesgo.

Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

En la identificación del riesgo se va a ponderar la posibilidad de ocurrencia de eventos adversos o que las amenazas se vuelvan una realidad, identificando dichas amenazas a las que se encuentran expuestos los activos de información, y estableciendo métricas para analizarlas en cuanto a su mayor o menor capacidad de causar daño a estos activos, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización.

Categorizar las amenazas identificadas Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica.

Identificar activos de información vulnerables en la organización.

Identificar cuales amenazas afecta a cada uno de los activos de información.

La identificación de los activos de información vulnerables en la organización determina el grado de resistencia que tienen éstos respecto a sus amenazas, además se establece el potencial que tiene cada amenaza para afectar dichos activos.

Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información.

Establecer el nivel de protección de los activos de información.

Identificar el activo.

El resultado obtenido de este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información.

Establecer factores de riesgo para cada activo. Establecer la vulnerabilidad para cada activo. Puntualizar en qué grado es efectiva la protección para cada activo de información.

96


Calificar el impacto del riesgo si se hiciera realidad.

Identificar el nivel de importancia del activo afectado. Con el análisis de la información

obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información

Indicar como se realiza la protección para cada activo informático. Evaluar las consecuencias en la organización por estos factores de riesgo.

Crear estrategias de contingencia.

Identificar los activos de información vulnerables.

Este proceso conlleva a plantear medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos.

Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. Ejecutar la estrategia para el activo de información que lo requiera. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información.


97


Figura 9. Mapa de Procedimientos. Análisis y Gestión de Riesgos de SI


98

ESPECIFICACIÓN DE PROCEDIMIENTOS.

CÓDIGO GBP-AGR001 VERSIÓN 01 TIPO Estratégico

NOMBRE Establecer la situación actual de la organización.




OBJETIVO Determinar cómo se encuentra la organización respecto a sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad.


ACTIVIDADES

1. Observar y realizar seguimiento a procesos de la organización.

2. Desarrollar entrevistas y encuestas a los integrantes de la organización.

3. Revisar la documentación que se posee.

DESCRIPCIÓN

La alta gerencia obtendrá un estado actual de la organización en cuanto a los activos informáticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la administración de la seguridad de la información que tiene la organización y verificar como se atienden los incidentes de seguridad.

<

OBSERVACIONES

99


NOMBRE Identificar de activos de información.




OBJETIVO Generar un inventario de los activos de información que posee la organización.


ACTIVIDADES

1. Clasificar los de activos de información que posee la organización.

2. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos.

DESCRIPCIÓN

Clasificar los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos para la organización.

<

OBSERVACIONES

100


NOMBRE Identificar los factores de riesgo.




OBJETIVO Identificar los factores de riesgo que afectan los activos de información y analizar la capacidad de daño que pueden realizar estos riesgos en la organización.


ACTIVIDADES

1. Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

2. Categorizar las amenazas identificadas.

3. Establecer escalas métricas para el análisis cuantitativo de las amenazas.

4. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica.

DESCRIPCIÓN

Con la ponderación de la posibilidad de ocurrencia de las amenazas y la identificación de estas respecto a los activos de información, se establecen métricas para analizarlas en cuanto a su mayor o menor capacidad de daño a los activos de información, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización.

<

OBSERVACIONES

101


NOMBRE Definir los factores de riesgo para los activos informáticos.



FORMATOS DE REFERENCIA GBP-AGR003

OBJETIVO Establecer y medir el daño que causan las amenazas en los activos de información.


ACTIVIDADES

1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSI-AGR003)

2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información.

DESCRIPCIÓN


<

OBSERVACIONES

102


NOMBRE Establecer el nivel de protección de los activos de información.



FORMATOS DE REFERENCIA GSI-AGR002, GSI-AGR003, GSI-AGR004

OBJETIVO Obtener la efectividad de las estrategias de seguridad utilizadas.


ACTIVIDADES

1. Identificar el activo. (GSI-AGR002)

2. Establecer factores de riesgo para cada activo. (GSI-AGR003)

3. Establecer la vulnerabilidad para cada activo. (GSI-AGR004)

4. Evidenciar en qué grado es efectiva la protección para cada activo de información.

DESCRIPCIÓN

Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información.

OBSERVACIONES

103


NOMBRE Calificar el impacto del riesgo si se hiciera realidad.



FORMATOS DE REFERENCIA GSI-AGR002, GSI-AGR005

OBJETIVO Evaluar las consecuencias de los riesgos en los activos de información.


ACTIVIDADES

1. Identificar el nivel de importancia del activo afectado. (GSI-AGR002)

2. Indicar como se realiza la protección para cada activo informático. (GSI-AGR005)

3. Evaluar las consecuencias en la organización por estos factores de riesgo.

DESCRIPCIÓN

Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información.

<

OBSERVACIONES

104


NOMBRE Crear estrategias de contingencia



FORMATOS DE REFERENCIA GSI-AGR004

OBJETIVO Crear alternativas para la continuidad de los procesos organizacionales planteando estrategias.


ACTIVIDADES

1. Identificar los activos de información vulnerables. (GSI-AGR004)

2. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización.

3. Ejecutar la estrategia para el activo de información que lo requiera.

4. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información.

DESCRIPCIÓN

En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos.

OBSERVACIONES

105


NOMBRE Capacitar y Formar en Análisis y Gestión del Riesgo.




OBJETIVO Difundir al personal de la organización lo establecido en el Análisis y Gestión del Riesgo.


ACTIVIDADES

1. Convocar a Reunión a los Integrantes de la Organización.

2. Comunicar lo establecido en el Análisis y Gestión del Riesgo.

DESCRIPCIÓN

Comunica a los integrantes de la organización lo establecido en el Análisis y Gestión del Riesgo de la Seguridad de la Información

<

OBSERVACIONES

106

ANEXO D: GRUPO FOCAL FASE II

[ GRUPO FOCAL ACTA 002 ]

FECHA: Abril 5 de 2011 HORA DE INICIO: 08:00 horas

HORA DE FIN: 10:00 horas OBJETIVO: Socializar y retroalimentar el modelo planteado.

ACTIVIDADES

1. Exponer los modelos realizados y recopilar información del grupo de expertos en seguridad de la información para retroalimentar los modelos que se han planteado.

RESULTADOS OBTENIDOS

>> Para el modelo de Análisis y Gestión del Riesgo se hace necesario involucrar un Plan de capacitación y difusión para garantizar que es conocido por todos los interesados de la organización. >> También se hace necesario crear un proceso que indique la correcta eliminación de los activos de información.

PARTICIPANTES Ingeniero Oscar Arroyave de la Pava Ingeniero de Sistemas Ingeniero Jorge Iván Ríos P MSC en Ingeniería del Conocimiento.

_____________________________ ___________________________ Julián Alberto Gómez Isaza Gerardo Ayala González

Estudiantes del programa Ingeniería de Sistemas y Computación Universidad Tecnológica de Pereira

2010

107

ACTA: En reunión con los expertos el día 5 de Abril de 2011 se puso a consideración de los mismos el modelo de implementación y operación de un SGSI planteado por los autores con el fin de optimizar, cualificar y aterrizar la propuesta presentada. En dicha reunión se hizo lectura y análisis de la propuesta por parte de los expertos y a partir de allí, los mismos hicieron sus aportes, comentarios y sugerencias al modelo presentado. Oscar J. Arroyave de la Pava: Sugiere una adecuada disposición final de los activos de información, tener un método seguro con el cual realizar la eliminación de dichos activos de la organización. Jorge Iván Ríos P: Plantea un plan de capacitación riguroso y dinámico, aprovechando todo el proceso de Análisis y Gestión del Riesgo para generar los temas de capacitación en donde se encuentran falencias, además de esto se logre un compromiso de formación por los participantes, es muy importante brindar una difusión del Análisis y Gestión del Riesgo generando un compromiso con los objetivos y metas de dicho lineamiento.

108

ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL

MODELO

Las modificaciones realizadas tras integrar las sugerencias propuestas por los expertos son las siguiente: Se crea un procedimiento que rija la eliminación y baja de activos de información: ELIMINAR / DAR DE BAJA ACTIVOS DE INFORMACIÓN

» Identificar tipo de activo a eliminar/dar de baja.

» Evaluar el impacto de la eliminación/baja de este activo de información.

» Establecer un protocolo de eliminación/baja de cada activo de información.

» Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.

Se plantea para este procedimiento la realización de una serie de actividades: La primera de ellas involucra la identificación del tipo de activo de información a eliminar o dar de baja; entendiendo la eliminación de éste como su destrucción total y dar de baja como el almacenamiento o retiro del funcionamiento en la organización; después de esto se va a evaluar el impacto de la eliminación o baja de tal activo para la organización, analizando los pros y los contras de esta actividad y no olvidando establecer un protocolo de eliminación o baja para él; cada uno de ellos va a ser tratado con su propio método; para finalizar se debe garantizar que la eliminación o baja de dicho activo salvaguarde la confidencialidad de la información de la organización.

109

El procedimiento se especifica como se sigue:


NOMBRE Eliminar / Dar Baja a activos de información.




OBJETIVO Establecer medidas que garanticen una efectiva eliminación de los activos de información.


ACTIVIDADES

1. Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

2. Evaluar el impacto de la eliminación/baja de este activo de información.

3. Establecer un protocolo de eliminación/baja de cada activo de información.

4. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.

DESCRIPCIÓN

En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos.

OBSERVACIONES

110

Se le adiciona el siguiente componente a la metodología planteada para el Análisis y Gestión del Riesgo de la Seguridad de la Información: Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de SI


Eliminar activos de información.

Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

Establecer medidas que garanticen una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos.

Evaluar el impacto de la eliminación/baja de este activo de información. Establecer un protocolo de eliminación/baja de cada activo de información. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.


112

ESTRATEGIA DE CAPACITACIÓN Y COMUNICACIÓN OBJETIVO

Implementar programas de formación y toma de conciencia para comunicar a los integrantes de la organización la implementación e implantación del Manual de Procedimientos para la Administración de Seguridad de la Información. DEL PLAN

El diseño del Plan de Capacitación y Comunicación se define en una herramienta documental independiente tanto al Plan de Acción y al Análisis y Gestión del Riesgo de la Seguridad d la información debido a las propuestas establecidas por el panel de expertos donde se indicaba el establecimiento de capacitación más dinámica donde no solo fuera capacitación, sino también generar un compromiso de formación de los colaboradores de la organización. Las capacitaciones inicialmente se planteaban como un componente adicional tanto al Plan de Acción de la Seguridad de la Información como al Análisis y Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta realizada por el panel de expertos de realizar la capacitación más rigurosa, se plantea la creación de esta herramienta documental, que tiene como objetivo brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de la Seguridad de la Información. El plan de capacitación tiene como propósito brindar al personal de la organización los conocimientos y desarrollo de habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales. La capacitación está compuesta por un conjunto de estrategias orientadas a integrar al colaborador tanto a la organización como a su puesto de trabajo,

113

aumentando su eficiencia frente a la organización; otra parte muy importante que lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento a los lineamientos organizacionales requeridos. El plan de capacitación se realiza de forma continua y transversal a todos componentes del Sistema de Gestión de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN

» Identificar la temática a tratar. » Disponer recursos humanos y físicos. » Verificar aptitudes y habilidades del personal que va a realizar la

capacitación y formación. » Establecer el grupo focal al cual va dirigida la capacitación y la formación. » Comunicar lo establecido en el Manual de Procedimientos para la

Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia.

» Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo.

» Documentar las actividades de formación. Es de vital importancia garantizar la comunicación y capacitación del Manual de Procedimientos para la Administración de Seguridad de la Información, debe realizarse de forma continua transversalizando a todas las actividades que componen dicho proceso. Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan básico general y Plan avanzado de Capacitación. El Primero consiste en brindar la información general y básica necesaria para el desarrollo de un SGSI, en este primer escenario se generará un análisis y diagnóstico estructural de la organización, de los procesos y de los puestos de trabajo en torno al tema, el segundo momento se realiza un diagnostico de Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general de la organización y permitirá elaborar el plan de capacitación Avanzado.

114

El plan básico desarrollará las siguientes temáticas:

» Información de Generalidades sobre manejo de información, seguridad informática y seguridad de la información.

» Legislación Vigente, conocimiento y cumplimiento de la misma. » Normas de Seguridad y Calidad. » Roles en seguridad de información. » Definición de Sistema de Gestión de Seguridad de la información » Alcances. » Roles y responsabilidades. » Medidas. » Modelos aplicados en otras organizaciones.

Plan avanzado de Capacitación:

» Diagnostico DOFA de las prácticas utilizadas en la organización para la Seguridad de la información.

» Diagnostico DOFA de las procesos mediados por cargos y funciones de cada colaborador de la organización

» Diagnostico DOFA de las competencias de cada colaborador de la organización, para desarrollar un modelo para el funcionamiento de un SGSI.

» Construcción de un Plan de Capacitación adecuado a los resultados de los Diagnósticos.

Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación basados en pedagogía socio constructivista, en espacios presenciales y virtuales, donde se apliquen los conocimientos de forma teórico práctica. Los horarios establecidos para el plan de capacitación, deben definirse por cada organización, sin embargo se aconseja hacerlo de forma semanal y con espacios de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener espacios de tiempo adecuados a la metodología socio constructivista. El plan de capacitación se plantea de 90 horas, entregando como resultado el plan de capacitación avanzado con las necesidades propias de la organización.

115

METODOLOGÍA PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO

Tabla 7. Metodología Plan de Capacitación.


Capacitar y comunicar los procedimientos para la implementación del modelo.

Identificar temática a tratar.

La alta gerencia debe comunicar a la

Procedimientos para la Administración de

seguir sus lineamientos y determinar el

objetivos.

Disponer recursos humanos y físicos. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. Establecer el grupo focal al cual va dirigida la capacitación y la formación Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. Documentar las actividades de formación.


116

MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN

Figura 11. Mapa de procedimientos. Plan de Capacitación.



El procedimiento que especifica la ejecución de las distintas fases que componen las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de Seguridad de la Información se cita como sigue:

117

CÓDIGO GBP-PCC001 VERSIÓN 01 TIPO Apoyo

NOMBRE Plan de Capacitación y Comunicación.




OBJETIVO Implementar programas y toma de conciencia para comunicar a los integrantes de la organización la implementación del Manual de Procedimientos para la Administración de la Seguridad de la Información.


ACTIVIDADES

1. Identificar temática a tratar.

2. Disponer recursos humanos y físicos.

3. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación.

4. Establecer el grupo focal al cual va dirigida la capacitación y la formación.

5. Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia.

6. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo.

7. Documentar las actividades de formación.

DESCRIPCIÓN

La alta gerencia debe comunicar a la organización e de la Guia de buenas practicas esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos realizados durante el la implementación de la Guia.

118

ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.

ALCANCE:

Esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos. RESPONSABILIDAD:

Una vez la alta gerencia establezca los roles y responsables implicados, debe garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de la atención del incidente actuaran como se sigue 19:

19 , siguiendo

los lineamientos de los procedimientos adscritos a la Guía.

120

METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)

Tabla 8. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad.


Definir los factores de riesgo [GBP-AGR004]

Identificar los factores internos y externos que amenazan la seguridad de los activos de información de la organización.

Identificar los activos de información vulnerables en la organización

tienen éstos respecto a sus amenazas, a demás se establece el potencial que tiene cada amenaza para afectar dichos activos.

Categorizar las amenazas identificadas. Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a los resultados obtenidos en la escala métrica. Establecer el nivel de daño que puede generar cada una de las amenazas a los activos de información.

Calificar el impacto del riesgo (en caso de que éste se materialice) [GBP-AGR006]

Identificar el nivel de importancia del activo de información afectado [GBP-AGR002] Con el análisis de la información

obtenida en los procesos anteriores, se abre paso a evaluar las consecuencias de un fallo de seguridad o materialización de un riesgo en los activos de información.

Indicar como se realiza la protección para cada activo de información. [GBP- AGR005] Evaluar las consecuencias para la organización debido a los factores de riesgo.

121


Determinar las tareas y asignar roles y responsabilidades [GBP-PASI003]


La alta gerencia debe generar las tareas especificas que garanticen el cumplimiento de los objetivos del manual de administración de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea, con el fin de garantizar la idoneidad del personal asignado a la solución de una incidencia.


Documentar evento de seguridad

Registrar los resultados del estudio de los procedimientos previos.

Registrar los resultados de estudio de cada procedimiento permite tener un referente histórico de los eventos de seguridad, además de lograr un método de seguimiento y trazabilidad de los mismos.


122

GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA)

Tabla 9. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes


Diagnosticar ocurrencia de un fallo de seguridad

Identificar el incidente. Fase previa al tratamiento y solución de la incidencia que permite establecer y parametrizar históricamente la ocurrencia de un fallo de seguridad.

Clasificar el incidente. Reportar a responsable equipo de respuesta a incidentes.

Gestionar la mitigación y / o solución del fallo de seguridad.

Establecer las acciones correctivas que conlleven al tratamiento y solución del incidente.

Fase de intervención y tratamiento de fallos de seguridad de la información que permite normalizar la incidencia para dar cumplimiento a los objetivos de seguridad de la información y determina si las acciones tomadas fueron eficaces.

Verificar que las acciones correctivas mitigan y / o solucionan eficazmente el incidente.

Evidenciar y retroalimentar ocurrencias de fallos y atención de los mismos.

Documentar incidencia y metodología de solución de la misma.

Fase explicativa que permite seguimiento, revisión, trazabilidad y control sobre los fallos de seguridad ocurridos, y permite la detección rápida de errores en los resultados del proceso.

Retroalimentación del método de respuesta al incidente.

Revisar y controlar los procedimientos (previos, de intervención y tratamiento, y explicativos) de respuesta a incidentes en la organización.

Establecer métodos de seguimiento, revisión y auditoria a los procesos de respuesta a incidentes. Fase de evaluación que permite a la

dirección determinar que las actividades de seguridad delegadas o implementadas se están ejecutando en la forma esperada

Informar a la alta gerencia los resultados de los procesos de auditoría hechos a los procesos de respuesta a incidentes


123

DISPOSICIÓN FINAL (FASE POST-INCIDENTE)

El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo que incluya los términos a seguir:

» Elaboración de informes que den cuenta del tratamiento, la respuesta y la disposición de cada incidente de seguridad ocurrido.

» Establecimiento de un archivo documental que permita agilizar la

implantación de procesos de respuesta a incidentes de seguridad.

» Comunicar a los integrantes de la organización las medidas preventivas, correctivas y proactivas establecidas al término de los procesos de atención y respuesta a incidentes de seguridad.

» Convocar a los integrantes de la organización a la concertación de políticas,

procedimientos, capacitación y manuales, que la alta gerencia defina como pertinentes, en función del cumplimiento de los objetivos planteados, para dar respuesta a los incidentes de seguridad.

124

SEGUIMIENTO REVISIÓN Y AUDITORIA.

Tabla 10. Metodología Guía de Respuesta a Incidentes Seguimiento Revisión y Auditoría.


Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información

Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos de la guía de respuesta a incidentes.

La alta gerencia debe establecer los métodos de revisión, seguimiento y cumplimiento de los objetivos de la guía de respuesta a incidentes, y garantizar que los resultados de la misma son medibles en referencia a las metas establecidas.

Asegurar que se realiza seguimiento a la aplicación de la guía, y que la misma es trazable. Garantizar la calidad y mejora continua.

DOCUMENTACIÓN Y RETROALIMENTACIÓN

Tabla 11. Metodología Guía de Respuesta a Incidentes Documentación y Retroalimentación.

OBJETIVO ACTIVIDADES DESCRIPCIÓN Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información

Convocar a reunión a los integrantes de la organización.

La alta gerencia debe comunicar a la organización e

cumplimiento de esos objetivos.

Comunicar lo establecido en el plan de acción y los lineamientos directivos.


125


Figura 13. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la Información.


126

ANEXO G MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA

ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

El resultado obtenido al final de la investigación es el MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN el cual se propone como Guía de Buenas Prácticas de Seguridad de la Información en Contextos de Micros, Pequeñas y Medianas Empresas de la Región. Este modelo surge del proceso investigativo realizado en el proyecto, resultando en una herramienta metodológica documental y procedimental que sirve como modelo para el tratamiento seguro de la información utilizada en la organización y a su vez presenta un modelo de buenas prácticas de seguridad de la información, fundamentadas en la norma ISO 27001. Este manual está constituido por: DEL MODELO

» Plan de Acción y el Análisis y Gestión del Riesgo de la seguridad de la Información, estos dos procesos se formulan con el fin de brindar un modelo metodológico para el tratamiento del riesgo, indicándole a la organización la gestión apropiada, los recursos, responsabilidades y prioridades para garantizar una adecuada Gestión de la Seguridad de la Información.

» Guía de Respuesta a Incidentes de Seguridad de la Información, esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos.

127

MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Plan de Acción de Seguridad de la Información

Análisis y Gestión del riesgo de Seguridad de la

Información

Guía de Respuesta a Incidentes de Seguridad de

la Información

» Estrategias de Capacitación y Comunicación para la Implementación del Modelo, el cual tiene como propósito brindar al personal de la organización los conocimientos y habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales.

Figura 14. Manual de Procedimientos para la Administración de la Seguridad de la Información.


ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO.

128

PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. La efectividad de la administración de la seguridad de la información de la organización se encuentra entre los lineamientos de un Plan de Acción de la Seguridad de la Información y de los objetivos estratégicos organizacionales, teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la seguridad de la información nos brinda la premisas necesarias para encausar la seguridad de la información con los objetivos estratégicos empresariales y segundo lugar que da una pauta para actuar y dar respuesta referente al análisis de riesgos. PROCEDIMIENTOS DE GESTIÓN El Plan de Acción de la Seguridad de la Información está constituido por: Objetivos, estrategias, tareas, seguimiento y revisión y auditorias. Como primera parte se van a establecer objetivos claros, concisos y medibles con la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad de la Información. Para establecer esos objetivos se va a realizar un diagnóstico preliminar del estado actual de la organización con referencia a la seguridad de sus activos de información, con la finalidad de conocer la situación actual y proyectar la situación ideal de la organización. Posteriormente se ha determinar la situación deseada que la empresa intenta lograr y establecer las metas de seguridad a donde se van a dirigir las acciones, esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la autenticidad de la información de la organización. Después de esto, se van a establecer estándares de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos tienen que tener indicadores de calidad para poder ser medibles y verificar si estos

129

se están cumpliendo y en qué porcentaje se está logrando, de manera que permita modificarlos si es necesario. Como segunda parte se van a establecer las estrategias que reflejen el camino a seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles sentido, dirección y continuidad mediante el encause de los lineamientos estratégicos administrativos de la organización y los lineamientos estratégicos de seguridad de la información; este proceso debe contar con el apoyo de la alta gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos de seguridad y los objetivos organizacionales estén direccionados hacia la misma línea de acción. Como tercera medida se han establecer las tareas donde se describan los pasos exactos para el cumplimiento de las estrategias; éste apartado está compuesto por las siguientes actividades: primero, determinar cuáles son las dependencias de la organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas; tercero, Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional, realizando tareas posibles de cumplir y que están dentro de los lineamientos de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de ellas debe tener un inicio y un final teniendo un control para así evitar perder el recurso tiempo, por último en este ítem se van a asignar roles y responsables directos en cada tarea, con la finalidad de especializar cada una de ellas, saber quien la hace, por que la hace, los tiempos y resultados de dicha tarea. Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y evaluación de cumplimiento, está constituido por la elaboración de un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos para la Administración de la Seguridad de la Información, el plan de evaluación de resultados entregado por el seguimiento y la revisión y estos resultados deben estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje de cubrimiento de objetivos es que se está cumpliendo las metas del plan de

130

acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la aplicación del modelo, garantizando que en cualquier momento se puede acceder a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo, cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora continua; la primera hace referencia a la realización estricta de los procedimientos documentados y, la segunda hace referencia a la verificación y reajuste de los procedimientos con el fin de mantener la documentación de los mismos actualizada. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se lista las actividades de cada uno de los procedimientos de gestión que componen el Plan de Acción de la Seguridad de la Información: ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES

» Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información.

» Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones.

» Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.

131

ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR PARA LOGRAR DICHOS OBJETIVOS.

» Dar sentido, dirección y continuidad a los objetivos mediante el encause de los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad de la información.

» Establecimiento de las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA EL CUMPLIMIENTO DE LAS ESTRATEGIAS.

» Determinar las dependencias, alcance y delimitaciones de cada tarea.

» Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional.

» Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea.

» Asignar roles y responsables directos en cada tarea.

132

ESTABLECER MÉTODOS DE REVISIÓN, SEGUIMIENTO Y EVALUACIÓN DE CUMPLIMIENTO.

» Elaborar un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Plan de Acción.

» Asegurar el seguimiento y la trazabilidad de la aplicación del modelo.

» Garantizar la calidad y la mejora continua.

134

METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. Tabla 12. Metodología Plan de Acción de Seguridad de la Información


Establecer los objetivos del plan de acción.

Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información.

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las directrices de la creación del plan de acción de seguridad de la información.

Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo

Establecer las estrategias del plan de acción.

Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad.

La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información

Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

135


Determinar las tareas y asignar roles y responsabilidades.


La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea


Establecer los métodos de auditoría

Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción.


Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable. Garantizar la calidad y mejora continua.


136


Figura 16. Mapa de procedimientos Plan de Acción de Seguridad de la Información


137



NOMBRE Establecer los objetivos del plan de acción




OBJETIVO Determinar las metas que se deben cumplir en el plan de acción de seguridad de la información.


ACTIVIDADES

1. Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información.

2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones.

3. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo

DESCRIPCIÓN

La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las directrices de la creación del plan de acción de seguridad de la información.

<

OBSERVACIONES

Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no.

138


NOMBRE Establecer las estrategias del plan de acción.




OBJETIVO Determinar las estrategias que reflejen el camino a seguir para lograr los objetivos.


ACTIVIDADES

1. Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad.

2. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo.

DESCRIPCIÓN

La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información.

<

OBSERVACIONES

139


NOMBRE Determinar las tareas y asignar roles y responsabilidades




OBJETIVO Determinar las tareas que describan los pasos exactos para el cumplimiento de las estrategias del plan de acción.


ACTIVIDADES

1. Determinar las dependencias, alcance y delimitaciones de cada tarea.

2. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional.

3. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea.

4. Asignar roles y responsables directos para cada tarea.

DESCRIPCIÓN

La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea.

<

OBSERVACIONES

140


NOMBRE Establecer los métodos de auditoría.




OBJETIVO Establecer los métodos de revisión, seguimiento, y evaluación de cumplimiento de los objetivos del pan de acción.


ACTIVIDADES

1. Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción.

2. Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable.

3. Garantizar la calidad y mejora continua.

DESCRIPCIÓN


<

OBSERVACIONES

141

ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Identificar cualquier riesgo significativo en los activos de información, estableciendo el impacto potencial de estos en la organización con la finalidad de eliminarlos o atenuarlos, limitando sus consecuencias y minimizando las pérdidas; esto con el propósito de poseer la información suficiente que apoye la toma de decisiones gerenciales respecto a los controles más apropiados para la seguridad de la información y a los funcionarios de cada proceso atender sus incidentes de seguridad de la mejor forma posible, además de esto permitir el cumplimiento de los objetivos estratégicos de la organización acatando las políticas de la gestión del riesgo. ASPECTO LEGAL

DECRETO Nº 1537 / 26 DE JULIO DE 2001. ARTICULO 4. ADMINISTRACIÓN

interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los aspecto tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e

El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se encuentran expuestos los activos de información y por ende la continuidad de la organización, creando estrategias de análisis, identificación de falencias, fortalezas y recursos de información que se poseen en la organización, además de esto evidenciar como se atienden las incidencias de seguridad; garantizando una buena toma de decisiones respecto a los controles más apropiados para la gestión de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos

142

estratégicos de la organización tiene como resultado el encause de las labores al propósito o fin organizacional. PROCEDIMIENTOS DE GESTIÓN

Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el Decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a la administración de riesgos, donde se considera como parte integral del fortalecimiento de los sistemas de control interno en las entidades, y se reconoce el análisis del riesgo como un proceso permanente e interactivo entre la administración y las oficinas de control interno. Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad de la Información se desarrollan de la siguiente forma: En primer lugar se debe establecer la situación actual de la organización en cuanto a seguridad de la información, efectuándose mediante la observación, el seguimiento y la revisión de los procesos, estos resultados se obtienen a través entrevistas y encuestas a los integrantes de la organización, además de esto realizar una revisión de la documentación que se posee. Posteriormente se han de determinar cuáles son los activos de información que se poseen para ser identificados, cada uno de estos activos encontrados se clasifican según el impacto que puede llegar a sufrir la organización si dicho activo llega a fallar, se les asigna un valor que representa cuán importante es para la organización. Como siguiente medida se identifican los factores de riesgo para cada uno de los activos de información, realizando la identificación de los factores internos y externos a los cuales se encuentran expuestos dichos activos, luego de esto categorizar las amenazas identificadas o la posibilidad que ocurra un evento adverso, para así establecer métricas que permitan analizarlas y clasificarlas en cuanto al daño que pueden llegar a causar a los activos de información que posee la organización.

143

A continuación se han de Identificar los de activos de información vulnerables en la organización, teniendo como vulnerabilidad el grado de resistencia que tienen los activos de información para sus respectivas amenazas, se establece el potencial que tienen estas para causar efectos adversos en los activos de información. Es importante tener en cuenta que no todos los activos de información poseen la misma calidad de información, por lo que es necesario establecer un análisis de las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los afecta. El siguiente paso es Establecer el nivel de protección de los activos de información, que brinda como resultado la información precisa acerca de las estrategias de protección utilizadas para garantizar el adecuado funcionamiento del activo de información. Con el análisis de la información obtenida en estos procesos se continúa con un paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la Información que es la Calificación del impacto del riesgo si este se hiciera realidad, aquí se evalúan las consecuencias de un fallo en la seguridad de la información o que un riesgo se haga efectivo en los activos de información. Con la clasificación del impacto del riesgo se busca establecer en primer lugar cuales son los activos más susceptibles de daño, por lo que es importante tener claridad de cómo se realiza la protección de cada uno de ellos; además es necesario evaluar el impacto para la organización si tales riesgos se hacen efectivos. No pueden faltar las estrategias de contingencia que puedan suplir el funcionamiento de los procesos de la organización, planteando medidas alternas que permitan la continuidad de los procesos organizacionales sin afectar en gran medida los procesos establecidos. El establecimiento de alternativas funcionales, aunque no garanticen la continuidad absoluta de los procesos organizacionales, garantizará que el proceso afectado no se detenga y no afecte de manera crucial el buen funcionamiento de la organización.

144

Una vez que se han identificado los riesgos en los activos de información y en las prácticas de seguridad que se implementan en la organización, se puede determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de información y el impacto que puede tener en la organización, así entonces se puede establecer controles apropiados para atender los incidentes de seguridad de la mejor forma posible, de esta manera se puede garantizar una buena Gestión del tratamiento del riesgo de la Seguridad de la Información. Como última medida la eliminación de los activos de información, para este procedimiento se van a realizar una serie de actividades, la primera de ellas involucra la identificación del tipo de activo de información a eliminar o dar de baja; entendiendo la eliminación de éste como su destrucción total y dar de baja como el almacenamiento o retiro del funcionamiento en la organización; después de esto se va a evaluar el impacto de la eliminación o baja de tal activo para la organización, analizando los pros y los contras de esta actividad y no olvidando establecer un protocolo de eliminación o baja para él; cada uno de ellos va a ser tratado con su propio método; para finalizar se debe garantizar que la eliminación o baja de dicho activo salvaguarde la confidencialidad de la información de la organización. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritas en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se listan las actividades de cada uno de los procedimientos de gestión que componen el Análisis y Gestión del Riesgo de la Seguridad de la información:

145

ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN

» Observar y realizar seguimiento a procesos de la organización.

» Desarrollar entrevistas y encuestas a los integrantes de la organización.

» Revisar la documentación que se posee. IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.

» Clasificar los de activos de información que posee la organización.

» Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos.

IDENTIFICAR LOS FACTORES DE RIESGO.

» Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

» Categorizar las amenazas identificadas.

» Establecer escalas métricas para el análisis cuantitativo de las amenazas.

» Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica.

146

IDENTIFICAR ACTIVOS DE INFORMACIÓN VULNERABLES EN LA ORGANIZACIÓN.

» Identificar cuales amenazas afectan a cada uno de los activos de información.

» Establecer el nivel de daño que puede generar cada una de las amenazas

en los activos de información. ESTABLECER EL NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN.

» Identificar el activo.

» Establecer factores de riesgo para cada activo.

» Establecer la vulnerabilidad para cada activo.

» Puntualizar en qué grado es efectiva la protección para cada activo de información.

CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD.

» Identificar el nivel de importancia del activo afectado.

» Indicar como se realiza la protección para cada activo de información.

» Evaluarlas consecuencias en la organización por estos factores de riesgo.

147

CREAR ESTRATEGIAS DE CONTINGENCIA.

» Identificar los activos de información vulnerables.

» Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización.

» Ejecutar la estrategia para el activo de información que lo requiera.

» Realizar evaluaciones periódicas a las estrategias para verificar su

adecuación a los cambios en los activos de información. ELIMINAR/DAR DE BAJA ACTIVOS DE INFORMACIÓN.

» Identificar tipo de activo a eliminar/dar de baja.

» Evaluar el impacto de la eliminación/baja de este activo de información.

» Establecer un protocolo de eliminación/baja de cada activo de información.

» Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.

149

METODOLOGÍA ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Tabla 13. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información


Establecer la situación actual de la organización.

Observar y realizar seguimiento a procedimientos de la organización.

La situación actual de la organización permite establecer cómo se encuentra esta en cuanto a: sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad

Desarrollar entrevistas y encuestas a los integrantes de la organización. Revisar la documentación que se posee.

Identificar activos de información.

Clasificar los de activos de información que posee la organización.

Se clasifican los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos, un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos.

Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos.

Identificar los factores de riesgo.

Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

En la identificación del riesgo se va a ponderar la posibilidad de ocurrencia de eventos adversos o que las amenazas se vuelvan una realidad, identificando dichas amenazas a las que se encuentran expuestos los activos de información, y estableciendo métricas para analizarlas en cuanto a su mayor o menor capacidad de causar daño a estos activos, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización.

Categorizar las amenazas identificadas Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica.

150


Identificar activos de información vulnerables en la organización.

Identificar cuales amenazas afecta a cada uno de los activos de información.


Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información.

Establecer el nivel de protección de los activos de información.

Identificar el activo.

El resultado obtenido de este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información.

Establecer factores de riesgo para cada activo. Establecer la vulnerabilidad para cada activo. Puntualizar en qué grado es efectiva la protección para cada activo de información.

Calificar el impacto del riesgo si se hiciera realidad.

Identificar el nivel de importancia del activo afectado. Con el análisis de la información

obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información

Indicar como se realiza la protección para cada activo informático. Evaluar las consecuencias en la organización por estos factores de riesgo.

151


Crear estrategias de contingencia.

Identificar los activos de información vulnerables.

Este proceso conlleva a plantear medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos.

Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. Ejecutar la estrategia para el activo de información que lo requiera. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información.

Eliminar activos de información.

Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

Establecer medidas que garanticen una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos.

Evaluar el impacto de la eliminación/baja de este activo de información. Establecer un protocolo de eliminación/baja de cada activo de información. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.


152


Figura 18. Mapa de procedimientos. Análisis y Gestión del Riesgo.

FUENTE: Elaboración propia

153



NOMBRE Establecer la situación actual de la organización.




OBJETIVO Determinar cómo se encuentra la organización respecto a sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad.


ACTIVIDADES

1. Observar y realizar seguimiento a procesos de la organización.

2. Desarrollar entrevistas y encuestas a los integrantes de la organización.

3. Revisar la documentación que se posee.

DESCRIPCIÓN

La alta gerencia obtendrá un estado actual de la organización en cuanto a los activos informáticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la administración de la seguridad de la información que tiene la organización y verificar como se atienden los incidentes de seguridad.

<

OBSERVACIONES

154


NOMBRE Identificar de activos de información.




OBJETIVO Generar un inventario de los activos de información que posee la organización.


ACTIVIDADES

1. Clasificar los de activos de información que posee la organización.

2. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos.

DESCRIPCIÓN

Clasificar los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos para la organización.

<

OBSERVACIONES

155


NOMBRE Identificar los factores de riesgo.




OBJETIVO Identificar los factores de riesgo que afectan los activos de información y analizar la capacidad de daño que pueden realizar estos riesgos en la organización.


ACTIVIDADES

1. Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización.

2. Categorizar las amenazas identificadas.

3. Establecer escalas métricas para el análisis cuantitativo de las amenazas.

4. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica.

DESCRIPCIÓN

Con la ponderación de la posibilidad de ocurrencia de las amenazas y la identificación de estas respecto a los activos de información, se establecen métricas para analizarlas en cuanto a su mayor o menor capacidad de daño a los activos de información, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización.

<

OBSERVACIONES

156


NOMBRE Definir los factores de riesgo para los activos informáticos.




OBJETIVO Establecer y medir el daño que causan las amenazas en los activos de información.


ACTIVIDADES

1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSI-AGR003)

2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información.

DESCRIPCIÓN


<

OBSERVACIONES

157


NOMBRE Establecer el nivel de protección de los activos de información.



FORMATOS DE REFERENCIA GSI-AGR002, GSI-AGR003, GSI-AGR004

OBJETIVO Obtener la efectividad de las estrategias de seguridad utilizadas.


ACTIVIDADES

1. Identificar el activo. (GSI-AGR002)

2. Establecer factores de riesgo para cada activo. (GSI-AGR003)

3. Establecer la vulnerabilidad para cada activo. (GSI-AGR004)

4. Evidenciar en qué grado es efectiva la protección para cada activo de información.

DESCRIPCIÓN

Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información.

OBSERVACIONES

158


NOMBRE Calificar el impacto del riesgo si se hiciera realidad.



FORMATOS DE REFERENCIA GSI-AGR002, GSI-AGR005

OBJETIVO Evaluar las consecuencias de los riesgos en los activos de información.


ACTIVIDADES

1. Identificar el nivel de importancia del activo afectado. (GSI-AGR002)

2. Indicar como se realiza la protección para cada activo informático. (GSI-AGR005)

3. Evaluar las consecuencias en la organización por estos factores de riesgo.

DESCRIPCIÓN

Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información.

<

OBSERVACIONES

159


NOMBRE Crear estrategias de contingencia



FORMATOS DE REFERENCIA GSI-AGR004

OBJETIVO Crear alternativas para la continuidad de los procesos organizacionales planteando estrategias.


ACTIVIDADES

1. Identificar los activos de información vulnerables. (GSI-AGR004)

2. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización.

3. Ejecutar la estrategia para el activo de información que lo requiera.

4. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información.

DESCRIPCIÓN

En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos.

OBSERVACIONES

160


NOMBRE Capacitar y Formar en Análisis y Gestión del Riesgo.




OBJETIVO Difundir al personal de la organización lo establecido en el Análisis y Gestión del Riesgo.


ACTIVIDADES

1. Convocar a Reunión a los Integrantes de la Organización.

2. Comunicar lo establecido en el Análisis y Gestión del Riesgo.

DESCRIPCIÓN

Comunica a los integrantes de la organización lo establecido en el Análisis y Gestión del Riesgo de la Seguridad de la Información

<

OBSERVACIONES

161


NOMBRE Eliminar / Dar Baja a activos de información.




OBJETIVO Establecer medidas que garanticen una efectiva eliminación de los activos de información.


ACTIVIDADES

1. Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002)

2. Evaluar el impacto de la eliminación/baja de este activo de información.

3. Establecer un protocolo de eliminación/baja de cada activo de información.

4. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización.

DESCRIPCIÓN

En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos.

OBSERVACIONES

162

GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.

ALCANCE:

Esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos. RESPONSABILIDAD: Una vez la alta gerencia establezca los roles y responsables implicados, debe garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de la atención del incidente actuaran como se sigue 20:

20 , siguiendo

los lineamientos de los procedimientos adscritos a la Guía.

164

METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE)

Tabla 14. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad.


Definir los factores de riesgo [GBP-AGR004]

Identificar los factores internos y externos que amenazan la seguridad de los activos de información de la organización.

Identificar los activos de información vulnerables en la organización

tienen éstos respecto a sus amenazas, a demás se establece el potencial que tiene cada amenaza para afectar dichos activos.

Categorizar las amenazas identificadas. Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a los resultados obtenidos en la escala métrica. Establecer el nivel de daño que puede generar cada una de las amenazas a los activos de información.

Calificar el impacto del riesgo (en caso de que éste se materialice) [GBP-AGR006]

Identificar el nivel de importancia del activo de información afectado [GBP-AGR002] Con el análisis de la información

obtenida en los procesos anteriores, se abre paso a evaluar las consecuencias de un fallo de seguridad o materialización de un riesgo en los activos de información.

Indicar como se realiza la protección para cada activo de información. [GBP- AGR005] Evaluar las consecuencias para la organización debido a los factores de riesgo.

165


Determinar las tareas y asignar roles y responsabilidades [GBP-PASI003]


La alta gerencia debe generar las tareas especificas que garanticen el cumplimiento de los objetivos del manual de administración de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea, con el fin de garantizar la idoneidad del personal asignado a la solución de una incidencia.


Documentar evento de seguridad

Registrar los resultados del estudio de los procedimientos previos.

Registrar los resultados de estudio de cada procedimiento permite tener un referente histórico de los eventos de seguridad, además de lograr un método de seguimiento y trazabilidad de los mismos.


166

GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA)

Tabla 15. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes


Diagnosticar ocurrencia de un fallo de seguridad

Identificar el incidente. Fase previa al tratamiento y solución de la incidencia que permite establecer y parametrizar históricamente la ocurrencia de un fallo de seguridad.

Clasificar el incidente. Reportar a responsable equipo de respuesta a incidentes.

Gestionar la mitigación y / o solución del fallo de seguridad.

Establecer las acciones correctivas que conlleven al tratamiento y solución del incidente.

Fase de intervención y tratamiento de fallos de seguridad de la información que permite normalizar la incidencia para dar cumplimiento a los objetivos de seguridad de la información y determina si las acciones tomadas fueron eficaces.

Verificar que las acciones correctivas mitigan y / o solucionan eficazmente el incidente.

Evidenciar y retroalimentar ocurrencias de fallos y atención de los mismos.

Documentar incidencia y metodología de solución de la misma.

Fase explicativa que permite seguimiento, revisión, trazabilidad y control sobre los fallos de seguridad ocurridos, y permite la detección rápida de errores en los resultados del proceso.

Retroalimentación del método de respuesta al incidente.

Revisar y controlar los procedimientos (previos, de intervención y tratamiento, y explicativos) de respuesta a incidentes en la organización.

Establecer métodos de seguimiento, revisión y auditoria a los procesos de respuesta a incidentes. Fase de evaluación que permite a la

dirección determinar que las actividades de seguridad delegadas o implementadas se están ejecutando en la forma esperada

Informar a la alta gerencia los resultados de los procesos de auditoría hechos a los procesos de respuesta a incidentes


167

DISPOSICIÓN FINAL (FASE POST-INCIDENTE)

El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo que incluya los términos a seguir:

» Elaboración de informes que den cuenta del tratamiento, la respuesta y la disposición de cada incidente de seguridad ocurrido.

» Establecimiento de un archivo documental que permita agilizar la

implantación de procesos de respuesta a incidentes de seguridad.

» Comunicar a los integrantes de la organización las medidas preventivas, correctivas y proactivas establecidas al término de los procesos de atención y respuesta a incidentes de seguridad.

» Convocar a los integrantes de la organización a la concertación de políticas,

procedimientos, capacitación y manuales, que la alta gerencia defina como pertinentes, en función del cumplimiento de los objetivos planteados, para dar respuesta a los incidentes de seguridad.

168

SEGUIMIENTO REVISIÓN Y AUDITORIA.

Tabla 16. Metodología Guía de Respuesta a Incidentes Seguimiento Revisión y Auditoría.


Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información

Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos de la guía de respuesta a incidentes.

La alta gerencia debe establecer los métodos de revisión, seguimiento y cumplimiento de los objetivos de la guía de respuesta a incidentes, y garantizar que los resultados de la misma son medibles en referencia a las metas establecidas.

Asegurar que se realiza seguimiento a la aplicación de la guía, y que la misma es trazable. Garantizar la calidad y mejora continua.

DOCUMENTACIÓN Y RETROALIMENTACIÓN

Tabla 17. Metodología Guía de Respuesta a Incidentes Documentación y Retroalimentación.

OBJETIVO ACTIVIDADES DESCRIPCIÓN Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información

Convocar a reunión a los integrantes de la organización.

La alta gerencia debe comunicar

cumplimiento de esos objetivos.

Comunicar lo establecido en el plan de acción y los lineamientos directivos.


169


Figura 20. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la Información.


170

ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN

OBJETIVO

Implementar programas de formación y toma de conciencia para comunicar a los integrantes de la organización la implementación e implantación del Manual de Procedimientos para la Administración de Seguridad de la Información. DEL PLAN

El diseño de las Estrategias de Capacitación y Comunicación se define en una herramienta documental independiente tanto al Plan de Acción y al Análisis y Gestión del Riesgo de la Seguridad d la información debido a las propuestas establecidas por el panel de expertos donde se indicaba el establecimiento de capacitación más dinámica donde no solo fuera capacitación, sino también generar un compromiso de formación de los colaboradores de la organización. Las capacitaciones inicialmente se planteaban como un componente adicional tanto al Plan de Acción de la Seguridad de la Información como al Análisis y Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta realizada por el panel de expertos de realizar la capacitación más rigurosa, se plantea la creación de esta herramienta documental, que tiene como objetivo brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de la Seguridad de la Información. Las estrategias de capacitación tiene como propósito brindar al personal de la organización los conocimientos y desarrollo de habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales.

171

La capacitación está compuesta por un conjunto de estrategias orientadas a integrar al colaborador tanto a la organización como a su puesto de trabajo, aumentando su eficiencia frente a la organización; otra parte muy importante que lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento a los lineamientos organizacionales requeridos. Las estrategias de capacitación se realiza de forma continua y transversal a todos componentes del Sistema de Gestión de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN

» Identificar la temática a tratar. » Disponer recursos humanos y físicos. » Verificar aptitudes y habilidades del personal que va a realizar la

capacitación y formación. » Establecer el grupo focal al cual va dirigida la capacitación y la formación. » Comunicar lo establecido en el Manual de Procedimientos para la

Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia.

» Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo.

» Documentar las actividades de formación. Es de vital importancia garantizar la comunicación y capacitación del Manual de Procedimientos para la Administración de Seguridad de la Información, debe realizarse de forma continua transversalizando a todas las actividades que componen dicho proceso. Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan básico general y Plan avanzado de Capacitación. El Primero consiste en brindar la información general y básica necesaria para el desarrollo de un SGSI, en este primer escenario se generará un análisis y diagnóstico estructural de la organización, de los procesos y de los puestos de trabajo en torno al tema, el segundo momento se realiza un diagnostico de

172

Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general de la organización y permitirá elaborar el plan de capacitación Avanzado. El plan básico desarrollará las siguientes temáticas:

» Información de Generalidades sobre manejo de información, seguridad informática y seguridad de la información.

» Legislación Vigente, conocimiento y cumplimiento de la misma. » Normas de Seguridad y Calidad. » Roles en seguridad de información. » Definición de Sistema de Gestión de Seguridad de la información » Alcances. » Roles y responsabilidades. » Medidas. » Modelos aplicados en otras organizaciones.

Plan avanzado de Capacitación:

» Diagnostico DOFA de las prácticas utilizadas en la organización para la Seguridad de la información.

» Diagnostico DOFA de las procesos mediados por cargos y funciones de cada colaborador de la organización

» Diagnostico DOFA de las competencias de cada colaborador de la organización, para desarrollar un modelo para el funcionamiento de un SGSI.

» Construcción de un Plan de Capacitación adecuado a los resultados de los Diagnósticos.

Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación basados en pedagogía socio constructivista, en espacios presenciales y virtuales, donde se apliquen los conocimientos de forma teórico práctica. Los horarios establecidos para el plan de capacitación, deben definirse por cada organización, sin embargo se aconseja hacerlo de forma semanal y con espacios de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener espacios de tiempo adecuados a la metodología socio constructivista. El plan de capacitación se plantea de 90 horas, entregando como resultado el plan de capacitación avanzado con las necesidades propias de la organización.

173

METODOLOGÍA DE LAS ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO

Tabla 18. Metodología de las Estrategias de Capacitación.


Capacitar y comunicar los procedimientos para la implementación del modelo.

Identificar temática a tratar.

La alta gerencia debe comunicar a la

Procedimientos para la Administración de

seguir sus lineamientos y determinar el

objetivos.

Disponer recursos humanos y físicos. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. Establecer el grupo focal al cual va dirigida la capacitación y la formación Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. Documentar las actividades de formación.


174

MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN

Figura 21. Mapa de procedimientos. Plan de Capacitación.


175


El procedimiento que especifica la ejecución de las distintas fases que componen las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de Seguridad de la Información se cita como sigue:

176

CÓDIGO GBP-PCC001 VERSIÓN 01 TIPO Apoyo

NOMBRE Estrategias de Capacitación y Comunicación.




OBJETIVO Implementar programas y toma de conciencia para comunicar a los integrantes de la organización la implementación del Manual de Procedimientos para la Administración de la Seguridad de la Información.


ACTIVIDADES

1. Identificar temática a tratar.

2. Disponer recursos humanos y físicos.

3. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación.

4. Establecer el grupo focal al cual va dirigida la capacitación y la formación.

5. Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia.

6. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo.

7. Documentar las actividades de formación.

DESCRIPCIÓN

de la Guia de buenas practicas umplimiento de esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos realizados durante el la implementación de la Guia.

Documents

2011 PEREIRA COMPUTACIÓN SISTEMAS Y COMPUTACIÓN, …