GESTIN

DE SEGURIDAD

Principios de la Seguridad de la Informacin

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIN

CONTENIDO

INTRODUCCIN
ASEGURAMIENTO DE PROCESOS ORGANIZACIONALES
HERRAMIENTAS Y MARCOS DE TRABAJO
ESTNDARES Y CERTIFICACIN
CONTINUIDAD DE NEGOCIO Y RESILIENCIA
BIBLIOGRAFA.

[ POLITCNICO GRANCOLOMBIANO]

1. INTRODUCCIN

Ilustracin 1. Fases del ciclo de vida de la seguridad de la informacin o ciberseguridad - Tomado de
InfosecInstitute

La Seguridad de la Informacin como se ha comentado a lo largo de las unidades del presente
mdulo, no es una actividad aislada o que trabaja en un espacio alterno a las actividades del
negocio, es por ello que resulta vital la integracin de la misma con procesos y actividades, esto
permitir permeabilizar a la empresa en cuanto a la seguridad y hacer que los alcances de todo
el trabajo sean mayores.

2. METODOLOGA

El marco metodolgico a seguir establece el desarrollo de lecturas en temas conceptuales y
estructurales, asociado a material multimedia y actividades individuales y grupales como
mecanismo de aplicacin de conceptos y teora.

[ GESTIN DE LA SEGURIDAD]

4. MAPA CONCEPTUAL

5. OBJETIVO GENERAL

Estructurar mecanismos de integracin de la seguridad de la informacin con procesos, marcos
de trabajo y estndares dentro de las organizaciones.

5.1. COMPETENCIAS

Identificar los mecanismos de integracin de los procesos que hacen parte del SGSI.
Determinar los requerimientos para presentar un SGSI a una revisin o certificacin del
mismo.
Analizar cmo se realiza la mejora continua de un SGSI.
Conocer la influencia de la continuidad del negocio en la seguridad de la informacin.
Identificar los componentes de los planes de continuidad de negocio.
6. DESARROLLO TEMTICO

6.1 Componente Motivacional.

La Gestin de la Seguridad de la Informacin es un tema trascendental en la rama dedicada a la
administracin y gerencia de seguridad ya que es uno de los primeros y ms fuertes esfuerzos a
realizar en una organizacin para implementar seguridad de la informacin. Este punto de
partida acompaado de conocimientos parte del gran mundo de la seguridad formarn

[ POLITCNICO GRANCOLOMBIANO]

habilidades y competencias que permitirn al estudiante formar un perfil idneo para

desarrollar roles de oficial de seguridad, responsable de seguridad de la informacin y otros
relacionados.

6.2 Recomendaciones Acadmicas.

Para lograr una ampliacin de los procesos de Gestin de la Seguridad de la Informacin,
sistemas de gestin de seguridad de la informacin y temas relacionados, se recomienda la
revisin de cada uno de los materiales de lectura, as como la bsqueda de las presentaciones y
papers de propuestas de implementacin de SGSI y temas relacionados empleando recursos
web de bsqueda y servicios de bibliotecas en lnea. Adicionalmente la revisin de metodologas
de gestin de activos como MAGERIT y NIST as como las de riesgos e incidentes pueden ser
provechosas para ampliar los conocimientos de estos temas.

6.3 DESARROLLO DE CADA UNA DE LAS UNIDADES TEMTICAS

ASEGURAMIENTO DE PROCESOS ORGANIZACIONALES
El SGSI y la Gestin de la Seguridad no se limitan a crear una documentacin de un proceso
asociado a estas labores o a operar la seguridad aislada del negocio, por el contrario, es
necesario hacerlo parte de las actividades y proceso del negocio.

Ilustracin 2. La adicin de la seguridad a los procesos de la organizacin consiste en adicionar valor y no

obstculos en el hacer de las personas - Tomado de T Systems Mxico

Basado en lo anterior, una de las actividades a desarrollar en torno al SGSI durante su
implementacin es hacer parte del da a da de los procesos y actividades de la organizacin y
de su documentacin los factores asociados a seguridad, tales como control de acceso,
clasificacin de la informacin, establecimiento de controles complementarios orientados a
continuidad de negocio, integrar aspectos legales, entre otros.

[ GESTIN DE LA SEGURIDAD]

A continuacin veamos unos ejemplos de estas ideas:

- Un proceso de gestin de recurso humano o talento humano debe incluir dentro de sus
actividades la revisin de antecedentes del personal que se presenta a procesos de
contratacin con el fin de evaluar posibles situaciones que puedan llegar a afectar, tales
como sabotaje, fraude, hurto, entre otros. Todo esto debe dejarse definido dentro de la
documentacin del cmo se hace y ocurre el proceso.

- La responsabilidad de asignacin de accesos a nivel fsico sea por el uso de mecanismos
como tarjetas de proximidad o biomtricos, debe realizar revisiones peridicas de
quienes requieren y quienes ya no requieren acceso a las instalaciones de la
organizacin o espacios especiales. Esto debe retroalimentarse de informacin
suministrada por los mismos responsables de los procesos que asignaron o autorizaron
una asignacin de acceso o por el rea de recurso humano cuando alguien sale de la
organizacin o cambia de rea o cargo.

As pues, dentro de las tareas ms complejas de la Gestin de la Seguridad ms all de lograr
adicionar unos textos o crear unas nuevas actividades para las personas, es cambiar la cultura
en torno al aqu se hace de X forma por un Ahora tenemos prcticas seguras y que as sea
apropiada la seguridad por los procesos como se indic al inicio de este apartado, en el da a
da.

HERRAMIENTAS Y MARCOS DE TRABAJO

Recordando la tabla acerca de marcos de trabajo y estndares de la unidad anterior se
identificaban mltiples componentes que deben ser orquestados para lograr hacer de la
seguridad de la informacin un grupo. Para plantear un ejemplo de este particular imaginemos
el siguiente escenario:

Una organizacin se encuentra implementando un sistema de Gestin de Seguridad de la
Informacin a cargo de un rea que reporta directamente a la direccin, en el proceso de
implementacin y al llegar a los procesos se identifica que para TI se encuentra en una fase
reciente de implementacin un gobierno corporativo basado en COBIT y un componente de
gestin de servicio basado en ITIL, por su parte, el rea de auditora se encuentra en proceso de
inicio de un macro proyecto de implementacin de SoX dentro de la empresa dado que se busca
lograr los requerimiento legales mnimos para establecer negocios con entidades de Estados
Unidos.

Una situacin como la recin mencionada no es un imposible, en muchas organizaciones que se
llevan procesos de implementacin de mejores prcticas y estndares, lograr una interaccin
puede ser complejo debido a que se trabaja por diferentes enfoques a pesar de que se trata de
temas complementarios entre si. Ahora bien, esto mismo puede darse al identificar que la

[ POLITCNICO GRANCOLOMBIANO]

empresa ya cuenta con sistemas de gestin de calidad y tal vez salud ocupacional o ambiental,
tambin es necesario realizar un contacto del SGSI con estos sistemas.

Basado en la coyuntura propuesta es donde aparece la necesidad de que el sistema de gestin
cuente con herramientas tecnolgicas a travs de las cuales pueda interactuar con el resto del
negocio para por ejemplo intercambiar informacin de riesgos de seguridad y continuidad o
sobre fraudes o incidentes. Es por ello que resulta conveniente contar con la informacin de
todo esto ordenada y con la facilidad de acceso a ella de los responsables de activos, riesgos,
entre otros y que les sea de conocimiento cmo deben aportar al SGSI con su apoyo y trabajo.

En el mercado existen mltiples herramientas que permiten captar la informacin antes citada y
permitir la interaccin con otros procesos o actividades e incluso sistemas de informacin, sin
embargo, recordar que la implementacin de una herramienta no es una situacin que implique
que la seguridad se va a gestionar sola, por el contrario, el compromiso de carga de
actualizacin de activos, medicin de controles y otros puede estar delegndose a travs del
negocio y no obtener los resultados esperados. Ante esta situacin es una recomendacin
analizar que tanto provecho puede aportar el uso de herramientas especializadas para gestin
documental y operativa del SGSI y cmo debe ser operada para que sea usado a travs del
negocio y no de forma aislada.

Para algunos llevar inventarios de riesgos en una hoja de clculo puede ser suficiente, ante esto
slo se puede indicar que depende de la organizacin y cmo se quiera manejar la informacin
de acuerdo con lo establecido en la poltica de seguridad, de control de acceso o de uso
aceptable de activos de informacin e iniciar dando ejemplo al resto del negocio en cuanto a
cmo se participa con la seguridad y que beneficios aporta a los procesos.

CONTINUIDAD DE NEGOCIO Y RESILIENCIA

La continuidad de negocio aborda procesos y procedimientos que una organizacin pone en
prctica para asegurar las funciones esenciales que deben continuar durante y luego de un
desastre. La continuidad de negocio previene la interrupcin de servicios conocidos como de
misin crtica.

La resiliencia, de acuerdo a la definicin del Business ContinuityInstitute (BCI) hace referencia a
la capacidad de una organizacin para resistir y reponerse ante incidentes que puedan afectar la
continuidad de sus procesos. Este trmino que proviene de la fsica es el fin comn de la
continuidad de negocio y la seguridad de la informacin.

Por su parte, la gestin de la continuidad de negocio hace referencia a un proceso que identifica
las amenazas potenciales a una organizacin y los impactos a las operaciones del negocio que
esas amenazas, podran causar si se llegaran a materializar.

[ GESTIN DE LA SEGURIDAD]

Los planes de continuidad de negocio: son conjuntos de documentos de procedimento e

informacin desarrollada, compilada y mantenida a disposicin para utilizarlo durante un
incidente para capacitar a la organizacin para continuar con la entrega de sus productos y
servicios crticos a un nivel aceptable predefinido.

Como aspectos claves de la continuidad de negocio, se tienen:

1. Identificar los productos y servicios claves de la organizacin.
2. Identificar las actividades y recursos requeridos para entregar dichos productos y
servicios.
3. Evaluar las amenazas de estas actividades y sus dependencias.
4. Colocar medidas en marcha para reanudar estas actividades despus de un incidente.
5. Buscar que esas medidas puedan ser efectivas en todas las circunstancias.

Ilustracin 3. Proceso de gestin de la continuidad de negocio - Tomado de Grant Thornton Per

Para alcanzar los aspectos antes mencionados es necesario desarrollar unas fases o grupo de
actividades que se ilustran a continuacin:

Identificacin y Anlisis de Riesgos, a travs de la cual se determinan amenazas y riesgos
para definir reas responsables de la mitigacin.

[ POLITCNICO GRANCOLOMBIANO]

Anlisis de impacto al negocio (BIA), a travs del cual se determinan los costos de no ser
capaces de continuar las operaciones de la mano con la identificacin de los procesos y
reas crticas del negocio. Son parte del vocabulario de Continuidad de negocio
asociados al anlisis BIA:

Ilustracin 4. Ciclo de vida de incidentes de continuidad Tomado de PWC Colombia

RTO
Tiempo objetivo fijado para la reanudacin de la entrega del producto, servicio o
actividad despus de un incidente.
MPTI
Perodo Mximo Tolerable de Interrupcin - es el tiempo en el que viabilidad de una
organizacin sufrira daos irreparables, si la entrega de un producto o servicio no se
puede reanudar.
MBCO
Mnimo nivel de servicio aceptado en la organizacin para lograr los objetivos de
negocio durante una interrupcin.
RPO
El objetivo fijado para el estado y la disponibilidad de los datos (electrnicos y en
papel) al inicio de un proceso de recuperacin.
Estrategias de recuperacin, a travs de las cuales se definen planes y estrategias en
compaa del negocio con el fin de determinar tratamientos a posibles
materializaciones de los riesgos identificados. Dentro de estas estrategias se tienen en
cuenta los peores escenarios a los que se puede enfrentar la organizacin y para los
cuales se debe establecer planes.

[ GESTIN DE LA SEGURIDAD]

El desarrollo del plan de continuidad de negocio consiste en la generacin de la

documentacin de los planes y estrategias para mantener y restablecer funciones
crticas del negocio as como sus procesos. En esta fase es necesario incluir los
procedimientos a ejecutar de acuerdo a las prioridades establecidas en el anlisis BIA.
Entrenamiento es vital en la medida que se preparen a los empleados para conocer
sus planes de continuidad as como sus roles y responsabilidades dentro del plan. Esto
es, crear una conciencia en continuidad del negocio.
Los ejercicios y pruebas a los planes permiten validar la efectividad de estos, as
como revisar posibles errores.
Finalmente el mantenimiento, a travs del cual se hace la revisin peridica de
riesgos, se realizan revisiones y auditoras y de acuerdo a resultados, se actualiza el
plan.

Como marco Gua para la implementacin de continuidad de negocio se emplea
ISO 22301, como Estndar para establecer los procesos, principios y terminologas de un
sistema de gestin de continuidad de negocio (SGCN).
Este estndar se fundamenta en la identificacin de riesgos, establecimiento de planes de
respuesta y recuperacin. Como todo estndar ISO emplea el ciclo PHVA para gestin de la
mejora continua.

Dentro de un sistema de gestin de continuidad de negocio deben incluirse los siguiente
componentes como requisitos fundamentales:
- Poltica o documento ejecutivo de continuidad de negocio.
- Definicin de las partes interesadas y sus expectativas del sistema de Gestin.
- Definicin de responsabilidades para las personas dentro del sistema de Gestin, as
como sus competencias y requerimientos de formacin y educacin.
- Definicin de procesos de Gestin para la continuidad de negocio.
- Procedimientos y documentacin especfica relacionada a actividades del sistema de
Gestin.
- Anlisis de Riesgos, anlisis BIA y definicin de estrategias de continuidad.
- Asignacin de recursos en trminos de tiempo, recurso humano y dinero para la
operacin del sistema de gestin y tratamiento de riesgos identificados.
- Revisin peridica de los resultados y progreso del sistema de Gestin por parte de la
direccin.

Es importante aclarar que la continuidad de negocio debe interactuar dentro de las
organizaciones con otros dos importantes grupos. El primero de ellos hace referencia a la
Gestin de emergencias, visto como la primera respuesta ante un incidente o desastre y
buscando preservar vidas. El segundo grupo es la Gestin de crisis, generalmente liderada por la
direccin en conjunto con reas responsables de comunicacin. La adecuada interaccin entre
estas permite enfrentar una situacin de desastre y proteger vidas como primera medida,
posteriormente manejar los medios y comunicaciones hacia el exterior para gestionar el posible

10

[ POLITCNICO GRANCOLOMBIANO]

riesgo reputacional o de imagen y finalmente la continuidad para continuar adelante con las
operaciones y procesos vitales del negocio.

Como recomendacin para desarrollo de competencias individuales en temas asociados con la
continuidad de negocio, se puede revisar la Gua de Buenas Prcticas anualmente actualizado
por el DRI, Instituto de Recuperacin de Desastres.

Una idea final en cuanto a continuidad, recordando que lo que busca no es recuperar todo el
negocio y contar con contingencias para todo, sino por el contrario, contar con planes y
estrategias que permitan mantener la operacin de la organizacin activa en sus procesos ms
crticos y vitales, sin los cuales, corre el riesgo de sufrir daos irreparables la organizacin.

ESTNDARES Y CERTIFICACIN

Ilustracin 5. Imagen de logo empleado por algunas compaas que han sido certificadas en el estndar ISO 27001 -
Tomado de Secure IT Espaa.

En la unidad anterior se realiz una revisin de marcos de trabajo y estndares a travs de los
cuales es posible realizar la construccin de sistemas o programas que gestionen la Seguridad
de la Informacin en las organizaciones. Una prctica popularizada en los ltimos aos es contar
con certificados que prueben que se cuenta con sistemas de gestin totalmente formados y
operativos.

El proceso para llegar a la certificacin de un sistema de Gestin de Seguridad de la Informacin
de una organizacin de acuerdo con el estndar ISO 27001 establece un conjunto de actividades
y pasos ordenados que se indican a continuacin:
- Identificar las partes interesadas internas y externas del SGSI, as como sus necesidades
ya que son estas una entrada al SGSI para la determinacin del alcance del mismo.

[ GESTIN DE LA SEGURIDAD]

11

-
-
-

-
-

Determinar unos objetivos de porqu se implementa Seguridad de la Informacin dentro

de la organizacin, estos objetivos deben estar alineados con los objetivos de la
organizacin.
La poltica de Seguridad de la Informacin debe haber sido aprobada por la direccin.
Establecer un alcance que sea acorde con los objetivos de la organizacin en cuanto a
qu se busca proteger y el porqu de esa seleccin de procesos o actividades, teniendo
en cuenta que cubrir toda una organizacin es costoso y no es necesariamente efectivo
en trminos de retorno de inversin para el negocio?.
Aprobacin por parte de la direccin de la documentacin que soporta al sistema de
gestin en virtud de sus procesos y procedimientos, lineamientos o polticas de segundo
nivel (normalmente asociados a los objetivos de control de la norma y otras buenas
prcticas que se deseen implementar).
Definicin de la estructura de la Seguridad de la Informacin dentro de la organizacin,
teniendo en cuenta la importancia de contar con un grupo o conjunto de personas que
representen las diferentes reas o procesos de la organizacin y que sean quienes
determinan la idoneidad de todos los requerimientos que establecer el SGSI al negocio
y siendo el primer filtro ante el negocio para que lo solicitado no signifique un obstculo
para operaciones y actividades de la empresa afectando disponibilidad o integridad en la
ejecucin de labores empresariales.
Se debe contar con evidencia de funcionamiento del Sistema de Gestin de por lo menos
tres meses, aunque se recomienda que sean seis meses de operacin.
Se debe haber realizado un ciclo completo de PHVA dentro del sistema de gestin, es
decir, se debe haber planeado el sistema de gestin, posteriormente se debe haber
realizado la implementacin del mismo con la ejecucin de planes de tratamiento a
riesgos, educacin de personal, gestin de incidentes, entre otras actividades. Luego del
hacer debe haberse realizado auditoras internas a travs de las cuales se logra
evidenciar efectividad del sistema, as como se establecen oportunidades de mejora y se
identifican hallazgos que conduzcan a desviaciones en el proceso y se consideren no
conformidades de acuerdo con lo establecido por la organizacin. Finalmente, el actuar
aparece cuando una vez recibidos los resultados de las auditoras y revisiones, se
procede a realizar planes de tratamiento involucrando acciones preventivas 1 y
correctivas, se informan resultados a la direccin con el fin de revisar los objetivos del
SGSI, validar si la poltica debe cambiar y que recursos pueden requerir estos planes de
tratamiento.

1 A partir de la versin 2013 de ISO 27001, desaparece el concepto de acciones preventivas
dado que se considera que estas son realizadas en el proceso de identificacin de riesgos y
tratamiento de los mismos.

12

[ POLITCNICO GRANCOLOMBIANO]

Ilustracin 6. Ciclo PHVA y sus actividades para un SGSI - Fuente ISO 27001. Espaa.

Desarrollo de documentacin establecida como requerida por la Norma (para la versin

2013), en general se habla de:
o Declaracin de aplicabilidad (SoA State of Agreement).
o Metodologa de gestin de activos de informacin (identificacin, valoracin,
clasificacin y tratamiento).
o Inventario de activos de informacin.
o Metodologa de Gestin de Riesgos de Seguridad de la Informacin
(identificacin, valoracin, mtodos de tratamiento y medicin).
o Plan de tratamiento de riesgos identificados.
o Uso aceptable de activos de informacin.
o Poltica de control de acceso.
o Procedimientos operativos de Gestin de TI.
o Poltica de seguridad para proveedores.
o Procedimiento de gestin de incidentes.
o Procedimientos de continuidad de negocio.
o Requerimientos legales, regulatorios y normativos.

Registros de ejecucin de las siguientes actividades:

o Entrenamiento, formacin y experiencia del personal dentro del SGSI.

[ GESTIN DE LA SEGURIDAD]

13

o
o
o
o
o
o
-

14

Resultados de monitoreo y medicin.

Programa de auditora interna.
Resultados de auditora interna.
Resultados de la revisin de la direccin.
Resultados de acciones correctivas.
Registros de actividades de usuarios, excepciones y eventos de seguridad.

Algunas organizaciones con el fin de lograr un mejor resultado en la Auditora de

Certificacin (mejor conocida como auditora de segunda parte), desarrollar una
preauditora, en el mayor de los casos con la misma entidad certificadora que se
realizar la auditora de certificacin. Es importante aclarar que esta actividad no genera
certeza de que se logre la certificacin, sin embargo puede brindar observaciones y
acciones correctivas que pueden fortalecer el SGSI antes de la auditora final.
La auditora de certificacin es una actividad que consta de dos partes, la primera hace
referencia a la revisin documental, a travs de la cual, el grupo de auditores realiza un
anlisis de la documentacin que se mencion anteriormente con el fin de identificar
posibles pistas de auditora que puedan ser evaluadas en la segunda parte,
adicionalmente, en esta parte el grupo de auditores puede determinar si no hay
evidencia suficiente para continuar la auditora, un ejemplo de esto puede ser que no se
suministran todos los documentos y registros requeridos o estos no se encuentran
oficializados. La segunda parte consiste en la revisin con los responsables de procesos y
actividades de la conformidad de los establecido como compromiso de la organizacin,
de acuerdo con la declaracin de aplicabilidad y los documentos definidos, tambin para
realizar inspecciones de espacios de trabajo, sedes y obtener evidencia de posibles
hallazgos que determinen que no se realizan las actividades como se defini o de
requerimientos de la norma que no se estn cumpliendo. De la auditora se obtiene al
finalizar un informe en el cual el grupo de auditores determinar si dar la
recomendacin a la entidad certificadora para generar la certificacin para la
organizacin, as como si es necesario cumplir algunos requerimientos adicionales previo
a esta recomendacin o si finalmente, no se dar la recomendacin en caso que el SGSI
no est completo o cuente con fallos mayores que deban ser tratados y auditados
posteriormente.
En caso de que se obtenga la recomendacin por parte del grupo de auditores, la
entidad certificadora emite la certificacin de conformidad con la norma ISO 27001
indicando el alcance de la misma.

[ POLITCNICO GRANCOLOMBIANO]

Ilustracin 7. Ejemplo de certificado generado por la entidad certificadora Bureau Veritas a la empresa Polar
Technologies, S.L. - Tomado de Polar Technologies S.L

Una vez certificado, deben continuarse la operacin del sistema de gestin y someterlo a
nuevas auditoras de forma anual as:
o Auditora de seguimiento (ao 1 y 2).
o Auditora de recertificacin o renovacin (ao 3).
Si una organizacin por decisin de la direccin desea no continuar con las
certificaciones obtenidas, debe informar a la entidad certificadora su intencin y seguir
el proceso que esta designe. Tambin tener en cuenta que de no desarrollarse las
auditoras de seguimiento de forma anual, se puede perder la certificacin y no ser
ratificada al tercer ao.

Todo este proceso hasta la certificacin del sistema, puede tomar aproximadamente un ao
teniendo en cuenta la maduracin requerida, as como el nivel de avance de los planes de
tratamiento, sobre los cuales es necesario aclarar que deben estar finalizados al momento de
realizar la auditora, sino que lo que deben evidenciar es gestin, seguimiento y de ser
necesario, controles compensatorios para tratamiento del riesgo, en caso de que este sea
significativo y se encuentre entre los que por su clasificacin deba ser tratado.

Como reflexin final, un SGSI certificado no es sinnimo de una organizacin segura, esta
certificacin indica que la organizacin desarrolla unas actividades y procesos de una forma
determinada y de acuerdo con unas auditoras internas y externas, es correcta la ejecucin y
consecuente con la Norma que se usa como marco gua. El valor que pueda generar un sistema

[ GESTIN DE LA SEGURIDAD]

15

de gestin a una organizacin se mide en cmo la gestin de incidentes y riesgos es manejada,

su apoyo a los proceso al negocio y como la seguridad deja de ser un obstculo y se convierte en
un aliado estratgico desde lo estratgico hasta lo operativo en la organizacin.

7. GLOSARIO

Entidad Certificadora: organizacin privada cuya labor consiste en evaluar conformidad y
certificar el cumplimiento de un estndar o Norma, la cual puede ser de producto, sistema de
Gestin e incluso servicio.

16

[ POLITCNICO GRANCOLOMBIANO]

[ GESTIN DE LA SEGURIDAD]

17