Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DE SEGURIDAD
CONTENIDO
INTRODUCCIN
ASEGURAMIENTO
DE
PROCESOS
ORGANIZACIONALES
HERRAMIENTAS
Y
MARCOS
DE
TRABAJO
ESTNDARES
Y
CERTIFICACIN
CONTINUIDAD
DE
NEGOCIO
Y
RESILIENCIA
BIBLIOGRAFA.
[ POLITCNICO GRANCOLOMBIANO]
1. INTRODUCCIN
Ilustracin
1.
Fases
del
ciclo
de
vida
de
la
seguridad
de
la
informacin
o
ciberseguridad
-
Tomado
de
InfosecInstitute
La
Seguridad
de
la
Informacin
como
se
ha
comentado
a
lo
largo
de
las
unidades
del
presente
mdulo,
no
es
una
actividad
aislada
o
que
trabaja
en
un
espacio
alterno
a
las
actividades
del
negocio,
es
por
ello
que
resulta
vital
la
integracin
de
la
misma
con
procesos
y
actividades,
esto
permitir
permeabilizar
a
la
empresa
en
cuanto
a
la
seguridad
y
hacer
que
los
alcances
de
todo
el
trabajo
sean
mayores.
2. METODOLOGA
El
marco
metodolgico
a
seguir
establece
el
desarrollo
de
lecturas
en
temas
conceptuales
y
estructurales,
asociado
a
material
multimedia
y
actividades
individuales
y
grupales
como
mecanismo
de
aplicacin
de
conceptos
y
teora.
[ GESTIN DE LA SEGURIDAD]
4. MAPA
CONCEPTUAL
5. OBJETIVO
GENERAL
Estructurar
mecanismos
de
integracin
de
la
seguridad
de
la
informacin
con
procesos,
marcos
de
trabajo
y
estndares
dentro
de
las
organizaciones.
5.1. COMPETENCIAS
Identificar
los
mecanismos
de
integracin
de
los
procesos
que
hacen
parte
del
SGSI.
Determinar
los
requerimientos
para
presentar
un
SGSI
a
una
revisin
o
certificacin
del
mismo.
Analizar
cmo
se
realiza
la
mejora
continua
de
un
SGSI.
Conocer
la
influencia
de
la
continuidad
del
negocio
en
la
seguridad
de
la
informacin.
Identificar
los
componentes
de
los
planes
de
continuidad
de
negocio.
6. DESARROLLO
TEMTICO
6.1
Componente
Motivacional.
La
Gestin
de
la
Seguridad
de
la
Informacin
es
un
tema
trascendental
en
la
rama
dedicada
a
la
administracin
y
gerencia
de
seguridad
ya
que
es
uno
de
los
primeros
y
ms
fuertes
esfuerzos
a
realizar
en
una
organizacin
para
implementar
seguridad
de
la
informacin.
Este
punto
de
partida
acompaado
de
conocimientos
parte
del
gran
mundo
de
la
seguridad
formarn
[ POLITCNICO GRANCOLOMBIANO]
Basado
en
lo
anterior,
una
de
las
actividades
a
desarrollar
en
torno
al
SGSI
durante
su
implementacin
es
hacer
parte
del
da
a
da
de
los
procesos
y
actividades
de
la
organizacin
y
de
su
documentacin
los
factores
asociados
a
seguridad,
tales
como
control
de
acceso,
clasificacin
de
la
informacin,
establecimiento
de
controles
complementarios
orientados
a
continuidad
de
negocio,
integrar
aspectos
legales,
entre
otros.
[ GESTIN DE LA SEGURIDAD]
[ POLITCNICO GRANCOLOMBIANO]
empresa
ya
cuenta
con
sistemas
de
gestin
de
calidad
y
tal
vez
salud
ocupacional
o
ambiental,
tambin
es
necesario
realizar
un
contacto
del
SGSI
con
estos
sistemas.
Basado
en
la
coyuntura
propuesta
es
donde
aparece
la
necesidad
de
que
el
sistema
de
gestin
cuente
con
herramientas
tecnolgicas
a
travs
de
las
cuales
pueda
interactuar
con
el
resto
del
negocio
para
por
ejemplo
intercambiar
informacin
de
riesgos
de
seguridad
y
continuidad
o
sobre
fraudes
o
incidentes.
Es
por
ello
que
resulta
conveniente
contar
con
la
informacin
de
todo
esto
ordenada
y
con
la
facilidad
de
acceso
a
ella
de
los
responsables
de
activos,
riesgos,
entre
otros
y
que
les
sea
de
conocimiento
cmo
deben
aportar
al
SGSI
con
su
apoyo
y
trabajo.
En
el
mercado
existen
mltiples
herramientas
que
permiten
captar
la
informacin
antes
citada
y
permitir
la
interaccin
con
otros
procesos
o
actividades
e
incluso
sistemas
de
informacin,
sin
embargo,
recordar
que
la
implementacin
de
una
herramienta
no
es
una
situacin
que
implique
que
la
seguridad
se
va
a
gestionar
sola,
por
el
contrario,
el
compromiso
de
carga
de
actualizacin
de
activos,
medicin
de
controles
y
otros
puede
estar
delegndose
a
travs
del
negocio
y
no
obtener
los
resultados
esperados.
Ante
esta
situacin
es
una
recomendacin
analizar
que
tanto
provecho
puede
aportar
el
uso
de
herramientas
especializadas
para
gestin
documental
y
operativa
del
SGSI
y
cmo
debe
ser
operada
para
que
sea
usado
a
travs
del
negocio
y
no
de
forma
aislada.
Para
algunos
llevar
inventarios
de
riesgos
en
una
hoja
de
clculo
puede
ser
suficiente,
ante
esto
slo
se
puede
indicar
que
depende
de
la
organizacin
y
cmo
se
quiera
manejar
la
informacin
de
acuerdo
con
lo
establecido
en
la
poltica
de
seguridad,
de
control
de
acceso
o
de
uso
aceptable
de
activos
de
informacin
e
iniciar
dando
ejemplo
al
resto
del
negocio
en
cuanto
a
cmo
se
participa
con
la
seguridad
y
que
beneficios
aporta
a
los
procesos.
CONTINUIDAD
DE
NEGOCIO
Y
RESILIENCIA
La
continuidad
de
negocio
aborda
procesos
y
procedimientos
que
una
organizacin
pone
en
prctica
para
asegurar
las
funciones
esenciales
que
deben
continuar
durante
y
luego
de
un
desastre.
La
continuidad
de
negocio
previene
la
interrupcin
de
servicios
conocidos
como
de
misin
crtica.
La
resiliencia,
de
acuerdo
a
la
definicin
del
Business
ContinuityInstitute
(BCI)
hace
referencia
a
la
capacidad
de
una
organizacin
para
resistir
y
reponerse
ante
incidentes
que
puedan
afectar
la
continuidad
de
sus
procesos.
Este
trmino
que
proviene
de
la
fsica
es
el
fin
comn
de
la
continuidad
de
negocio
y
la
seguridad
de
la
informacin.
Por
su
parte,
la
gestin
de
la
continuidad
de
negocio
hace
referencia
a
un
proceso
que
identifica
las
amenazas
potenciales
a
una
organizacin
y
los
impactos
a
las
operaciones
del
negocio
que
esas
amenazas,
podran
causar
si
se
llegaran
a
materializar.
[ GESTIN DE LA SEGURIDAD]
Para
alcanzar
los
aspectos
antes
mencionados
es
necesario
desarrollar
unas
fases
o
grupo
de
actividades
que
se
ilustran
a
continuacin:
Identificacin
y
Anlisis
de
Riesgos,
a
travs
de
la
cual
se
determinan
amenazas
y
riesgos
para
definir
reas
responsables
de
la
mitigacin.
[ POLITCNICO GRANCOLOMBIANO]
Anlisis
de
impacto
al
negocio
(BIA),
a
travs
del
cual
se
determinan
los
costos
de
no
ser
capaces
de
continuar
las
operaciones
de
la
mano
con
la
identificacin
de
los
procesos
y
reas
crticas
del
negocio.
Son
parte
del
vocabulario
de
Continuidad
de
negocio
asociados
al
anlisis
BIA:
RTO
Tiempo
objetivo
fijado
para
la
reanudacin
de
la
entrega
del
producto,
servicio
o
actividad
despus
de
un
incidente.
MPTI
Perodo
Mximo
Tolerable
de
Interrupcin
-
es
el
tiempo
en
el
que
viabilidad
de
una
organizacin
sufrira
daos
irreparables,
si
la
entrega
de
un
producto
o
servicio
no
se
puede
reanudar.
MBCO
Mnimo
nivel
de
servicio
aceptado
en
la
organizacin
para
lograr
los
objetivos
de
negocio
durante
una
interrupcin.
RPO
El
objetivo
fijado
para
el
estado
y
la
disponibilidad
de
los
datos
(electrnicos
y
en
papel)
al
inicio
de
un
proceso
de
recuperacin.
Estrategias
de
recuperacin,
a
travs
de
las
cuales
se
definen
planes
y
estrategias
en
compaa
del
negocio
con
el
fin
de
determinar
tratamientos
a
posibles
materializaciones
de
los
riesgos
identificados.
Dentro
de
estas
estrategias
se
tienen
en
cuenta
los
peores
escenarios
a
los
que
se
puede
enfrentar
la
organizacin
y
para
los
cuales
se
debe
establecer
planes.
[ GESTIN DE LA SEGURIDAD]
Como
marco
Gua
para
la
implementacin
de
continuidad
de
negocio
se
emplea
ISO
22301,
como
Estndar
para
establecer
los
procesos,
principios
y
terminologas
de
un
sistema
de
gestin
de
continuidad
de
negocio
(SGCN).
Este
estndar
se
fundamenta
en
la
identificacin
de
riesgos,
establecimiento
de
planes
de
respuesta
y
recuperacin.
Como
todo
estndar
ISO
emplea
el
ciclo
PHVA
para
gestin
de
la
mejora
continua.
Dentro
de
un
sistema
de
gestin
de
continuidad
de
negocio
deben
incluirse
los
siguiente
componentes
como
requisitos
fundamentales:
- Poltica
o
documento
ejecutivo
de
continuidad
de
negocio.
- Definicin
de
las
partes
interesadas
y
sus
expectativas
del
sistema
de
Gestin.
- Definicin
de
responsabilidades
para
las
personas
dentro
del
sistema
de
Gestin,
as
como
sus
competencias
y
requerimientos
de
formacin
y
educacin.
- Definicin
de
procesos
de
Gestin
para
la
continuidad
de
negocio.
- Procedimientos
y
documentacin
especfica
relacionada
a
actividades
del
sistema
de
Gestin.
- Anlisis
de
Riesgos,
anlisis
BIA
y
definicin
de
estrategias
de
continuidad.
- Asignacin
de
recursos
en
trminos
de
tiempo,
recurso
humano
y
dinero
para
la
operacin
del
sistema
de
gestin
y
tratamiento
de
riesgos
identificados.
- Revisin
peridica
de
los
resultados
y
progreso
del
sistema
de
Gestin
por
parte
de
la
direccin.
Es
importante
aclarar
que
la
continuidad
de
negocio
debe
interactuar
dentro
de
las
organizaciones
con
otros
dos
importantes
grupos.
El
primero
de
ellos
hace
referencia
a
la
Gestin
de
emergencias,
visto
como
la
primera
respuesta
ante
un
incidente
o
desastre
y
buscando
preservar
vidas.
El
segundo
grupo
es
la
Gestin
de
crisis,
generalmente
liderada
por
la
direccin
en
conjunto
con
reas
responsables
de
comunicacin.
La
adecuada
interaccin
entre
estas
permite
enfrentar
una
situacin
de
desastre
y
proteger
vidas
como
primera
medida,
posteriormente
manejar
los
medios
y
comunicaciones
hacia
el
exterior
para
gestionar
el
posible
10
[ POLITCNICO GRANCOLOMBIANO]
riesgo
reputacional
o
de
imagen
y
finalmente
la
continuidad
para
continuar
adelante
con
las
operaciones
y
procesos
vitales
del
negocio.
Como
recomendacin
para
desarrollo
de
competencias
individuales
en
temas
asociados
con
la
continuidad
de
negocio,
se
puede
revisar
la
Gua
de
Buenas
Prcticas
anualmente
actualizado
por
el
DRI,
Instituto
de
Recuperacin
de
Desastres.
Una
idea
final
en
cuanto
a
continuidad,
recordando
que
lo
que
busca
no
es
recuperar
todo
el
negocio
y
contar
con
contingencias
para
todo,
sino
por
el
contrario,
contar
con
planes
y
estrategias
que
permitan
mantener
la
operacin
de
la
organizacin
activa
en
sus
procesos
ms
crticos
y
vitales,
sin
los
cuales,
corre
el
riesgo
de
sufrir
daos
irreparables
la
organizacin.
ESTNDARES
Y
CERTIFICACIN
Ilustracin
5.
Imagen
de
logo
empleado
por
algunas
compaas
que
han
sido
certificadas
en
el
estndar
ISO
27001
-
Tomado
de
Secure
IT
Espaa.
En
la
unidad
anterior
se
realiz
una
revisin
de
marcos
de
trabajo
y
estndares
a
travs
de
los
cuales
es
posible
realizar
la
construccin
de
sistemas
o
programas
que
gestionen
la
Seguridad
de
la
Informacin
en
las
organizaciones.
Una
prctica
popularizada
en
los
ltimos
aos
es
contar
con
certificados
que
prueben
que
se
cuenta
con
sistemas
de
gestin
totalmente
formados
y
operativos.
El
proceso
para
llegar
a
la
certificacin
de
un
sistema
de
Gestin
de
Seguridad
de
la
Informacin
de
una
organizacin
de
acuerdo
con
el
estndar
ISO
27001
establece
un
conjunto
de
actividades
y
pasos
ordenados
que
se
indican
a
continuacin:
- Identificar
las
partes
interesadas
internas
y
externas
del
SGSI,
as
como
sus
necesidades
ya
que
son
estas
una
entrada
al
SGSI
para
la
determinacin
del
alcance
del
mismo.
[ GESTIN DE LA SEGURIDAD]
11
-
-
-
-
-
1
A
partir
de
la
versin
2013
de
ISO
27001,
desaparece
el
concepto
de
acciones
preventivas
dado
que
se
considera
que
estas
son
realizadas
en
el
proceso
de
identificacin
de
riesgos
y
tratamiento
de
los
mismos.
12
[ POLITCNICO GRANCOLOMBIANO]
Ilustracin 6. Ciclo PHVA y sus actividades para un SGSI - Fuente ISO 27001. Espaa.
[ GESTIN DE LA SEGURIDAD]
13
o
o
o
o
o
o
-
14
[ POLITCNICO GRANCOLOMBIANO]
Ilustracin
7.
Ejemplo
de
certificado
generado
por
la
entidad
certificadora
Bureau
Veritas
a
la
empresa
Polar
Technologies,
S.L.
-
Tomado
de
Polar
Technologies
S.L
Una
vez
certificado,
deben
continuarse
la
operacin
del
sistema
de
gestin
y
someterlo
a
nuevas
auditoras
de
forma
anual
as:
o Auditora
de
seguimiento
(ao
1
y
2).
o Auditora
de
recertificacin
o
renovacin
(ao
3).
Si
una
organizacin
por
decisin
de
la
direccin
desea
no
continuar
con
las
certificaciones
obtenidas,
debe
informar
a
la
entidad
certificadora
su
intencin
y
seguir
el
proceso
que
esta
designe.
Tambin
tener
en
cuenta
que
de
no
desarrollarse
las
auditoras
de
seguimiento
de
forma
anual,
se
puede
perder
la
certificacin
y
no
ser
ratificada
al
tercer
ao.
Todo
este
proceso
hasta
la
certificacin
del
sistema,
puede
tomar
aproximadamente
un
ao
teniendo
en
cuenta
la
maduracin
requerida,
as
como
el
nivel
de
avance
de
los
planes
de
tratamiento,
sobre
los
cuales
es
necesario
aclarar
que
deben
estar
finalizados
al
momento
de
realizar
la
auditora,
sino
que
lo
que
deben
evidenciar
es
gestin,
seguimiento
y
de
ser
necesario,
controles
compensatorios
para
tratamiento
del
riesgo,
en
caso
de
que
este
sea
significativo
y
se
encuentre
entre
los
que
por
su
clasificacin
deba
ser
tratado.
Como
reflexin
final,
un
SGSI
certificado
no
es
sinnimo
de
una
organizacin
segura,
esta
certificacin
indica
que
la
organizacin
desarrolla
unas
actividades
y
procesos
de
una
forma
determinada
y
de
acuerdo
con
unas
auditoras
internas
y
externas,
es
correcta
la
ejecucin
y
consecuente
con
la
Norma
que
se
usa
como
marco
gua.
El
valor
que
pueda
generar
un
sistema
[ GESTIN DE LA SEGURIDAD]
15
16
[ POLITCNICO GRANCOLOMBIANO]
[ GESTIN DE LA SEGURIDAD]
17