Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDIENCIA..................................................................................................................4
INTRODUCCION..........................................................................................................5
1. MARCO DE REFERENCIA SISTEMA DE GESTIN EN SEGURIDAD DE LA
INFORMACIN SGSI.................................................................................................6
2. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIN DE LA SEGURIDAD
DE LA INFORMACIN SGSI -....................................................................................10
3.
ESTRUCTURA INSTITUCIONAL............................................................................12
3.1 Introduccin.......................................................................................................12
3.2 Nuestro Propsito...............................................................................................12
3.3 Objetivo.............................................................................................................12
3.4 Alcance..............................................................................................................12
3.5 Nuestra Misin....................................................................................................12
3.6 Nuestra Visin....................................................................................................12
3.7 Mapa de Procesos..............................................................................................12
5.1
Objetivos.......................................................................................................19
5.2
Metodologa Aplicada.....................................................................................19
AUDIENCIA
La Coordinacin de Tecnologas de la Informacin y de Comunicaciones del
Servicio Geolgico Colombiano SGC -, entidades pblicas de Orden Nacional y
Territorial, que contribuirn con sus comentarios y observaciones a este
documento con la finalidad de plantear nuevas prcticas y recomendaciones para
Implementar un Sistema de Gestin de Seguridad de la Informacin para el
Servicio Geolgico Colombiano para adoptar el Modelo de Seguridad y Privacidad
de la informacin.
INTRODUCCION
Desde hace ya algunos aos la informacin se considera uno de los activos ms
valiosos de una compaa (los costes derivados de prdida de seguridad no son
slo costes econmicos directos, sino que afectan a la imagen de la Entidad), por
lo que, cada vez ms, la seguridad de la informacin forma parte de los objetivos
de las organizaciones y, sin embargo, y a pesar de esa concienciacin
generalizada, muchas compaas no se enfrentan a este aspecto con la
profundidad con la que debiera tratarse.
La continua evolucin, crecimiento y sofisticacin de la tecnologa, al igual que los
ataques cibernticos en las organizaciones, ponen de manifiesto la necesidad de
adoptar las medidas y controles que permitan proteger a la Entidad ante las
amenazas a los activos informticos. Por esta razn se requiere efectuar un Plan
para la Implementacin de un Sistema de Seguridad Informtica que permita
salvaguardar los recursos informticos misionales de la Entidad, mediante un
proceso sistemtico, documentado y conocido por toda la Entidad.
La implementacin de modelo obedece a un enfoque de cambio, el cual implantar
un Sistema de Gestin de Seguridad de la Informacin SGSI- altera el estado
actual de una organizacin y por tanto, de manera natural, desarrolla rechazo al
cambio.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propsito de un Sistema de
Gestin de la Seguridad de la Informacin SGSI- es la de garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados
y minimizados por la Entidad de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas.
Es requisito fundamental la participacin activa de la Alta Gerencia. La decisin
de implantar un Sistema de Gestin de Seguridad de la Informacin SGSI- se
debe tomar de manera democrtica, es necesario escuchar las distintas ideas y
enfoques, pero una vez se decide su implantacin, alguien en la Entidad, debe
asumir la responsabilidad por la implantacin y no permitir disipar el proceso. Este
papel protagnico de la alta gerencia es lo que Adizes llama Implantacin
dictatorial.
La alta gerencia es la responsable del proyecto de implementacin. Se debe
asignar un Gerente (Nivel Tctico) responsable de la gestin del proyecto y sus
actividades, quien estar controlando el avance de las fases del ciclo
metodolgico y el consumo de recursos. Se requiere asesora externa con la
finalidad de para lograr una transferencia tecnolgica que permita que el
Instituto genera la capacidad interna, para poder en forma
independiente gestionar su modelo.
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En el 2005 incluy en ella la
primera de la serie (ISO 27001), las dems son:
Pgina 9 de 38
Pgina 10 de 38
Registros.
Aquel documento que proporciona evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
Pgina 11 de 38
Pgina 12 de 38
3. ESTRUCTURA INSTITUCIONAL
3.1 Introduccin
Para dar cumplimiento a sus objetivos estratgicos, est organizado por los
procesos necesarios para promover en la administracin pblica el
aprovechamiento de las TIC, a fin de desarrollar conjuntamente con las
instituciones, y de manera gradual, servicios electrnicos dirigidos a la ciudadana,
las empresas y el Estado.
3.2 Nuestro Propsito
Brindar lineamientos claros y coherentes para optimizar y mejorar la oportunidad
de los productos y servicios de informacin geocientfica y la gestin de
informacin desarrollada por la entidad.
3.3 Objetivo
Establecer las condiciones de planeacin, adquisicin, recibo, generacin,
administracin, depuracin, archivo, conservacin, uso y difusin de la informacin
geocientfica del Servicio Geolgico Colombiano (SGC), para ofrecer mayor
calidad y oportunidad de los datos, productos y servicios de informacin
geocientfica.
3.4 Alcance
Este conjunto de polticas inicia desde la planeacin, generacin o recopilacin de
la informacin geocientfica hasta su publicacin y aplica a los datos y productos
de informacin geocientfica en las diferentes etapas del proceso de gestin de
informacin (planeacin, adquisicin, recibo, generacin, administracin,
depuracin, archivo, conservacin, uso y difusin).
3.5 Nuestra Misin
Contribuir al desarrollo econmico y social del pas, a travs de la investigacin en
geociencias bsicas y aplicadas del subsuelo, el potencial de sus recursos, la
evaluacin y monitoreo de amenazas de origen geolgico, la gestin integral del
conocimiento geocientfico, la investigacin y el control nuclear y radiactivo,
atendiendo las prioridades de las polticas del Gobierno Nacional.
3.6 Nuestra Visin
Consolidar para su centenario en el ao 2016, al Servicio Geolgico Colombiano
como la autoridad geocientfica del territorio nacional y entidad lder en la
investigacin de aplicaciones nucleares y radiactivas.
3.7 Mapa de Procesos
Con el propsito de establecer, documentar, implementar y mantener el Sistema
de Gestin Institucional, se determinaron los procesos a su interior, que le
permiten al Servicio Geolgico Colombiano, cumplir con las funciones que tiene
asignadas. Como producto de esta actividad se defini el Modelo de Operacin de
la Entidad, el cual se muestra a continuacin:
Pgina 13 de 38
Pgina 14 de 38
Pgina 16 de 38
Pgina 19 de 38
Metodologa Aplicada
Etapa Estratgica
Esta etapa est dirigida a resolver la pregunta cul o cules procesos son los
candidatos para implantar el modelo? Esta etapa consiste en identificar los
factores crticos del xito del Instituto y por otro lado, identificar los factores
crticos, segn Alexander, 2001, los factores crticos de xito son aquellas
caractersticas organizacionales de quin depende el xito o fracaso de una
empresa.
Los factores crticos del xito y los procesos crticos del Instituto, se ponen en una
matriz como la de la tabla 1 titulada Matriz para el despliegue de un SGSI. El
propsito de la matriz es
procesos
que mayor impacto tienen en los factores crticos de xito, los procesos con mayor
impacto son los candidatos para la implementacin del modelo.
Para el caso del Instituto, los procesos se toman del mapa de procesos
desplegado por el aplicativo ISOLUCIN, en el cual se ilustran todos los procesos
del Instituto, los factores crticos de xito los deben definir la alta gerencia y el
gerente del proyecto apoyados en sus asesores, por ahora y a manera de ejemplo
se definen los procesos de negocio como los misionales y los factores crticos
unos genricos para una organizacin.
PROCESOS DE NEGOCIO
Pgina 22 de 38
Etapa Tctica:
Nuevos productos
o servicios
Funcionario
competentes
Satisfaccin del
cliente
Nuevas
oportunidades de
Pgina 23 de 38
Bajos costos de
operacin
Total
Procesos
Misionales
Investigacin en
geociencias
bsicas
Investigacin y
evaluacin de
recursos
minerales
Investigacin,
evaluacin y
monitoreo
amenazas
geolgicas
Investigacin y
evaluacin de
recursos
hidrocarburferos
Investigacin y
caracterizacin de
materiales
geolgicos
Investigacin y
aplicacin de
tecnologas
nucleares
Gestin del
conocimiento
geocientfico
Control de
instalaciones y
desechos
radiactivos
negocio
*
Pgina 24 de 38
Pgina 25 de 38
control de los riesgos que pudiesen alterar el normal desempeo de los procesos
esenciales del negocio.
Fase 3- Desarrollo de estrategias de un PCN
Aqu se evalan los requerimientos y se identifican las opciones para la
recuperacin de procesos crticos y sus recursos, en el escenario en que fuesen
interrumpidos por un desastre.
El entregable es un informe en donde se pormenoriza la identificacin de opciones
viables para la recuperacin de recursos y servicios, dada la posibilidad de que
fuesen impactados por una interrupcin del negocio. Por cada escenario de
amenazas se elaboran estrategias que contemplen los escenarios e amenazas
identificados.
Fase 4 Desarrollo del Plan de Reanudacin de Operaciones
Esta fase, desarrolla un plan para mantener la continuidad del desempeo del
negocio, basado en las fases previas, especficamente en la gestin del riesgo y
en el BIA, as como en los aspectos planteados en el desarrollo de la estrategia de
un PCN.
El entregable es un informe que contiene procedimientos y lineamientos concretos
para la recuperacin y el restablecimiento de los recursos daados, y los procesos
cuyo desempeo se ha interrumpido.
Fase 5 Ensayo del PCN
En esta fase se efecta el ensayo del plan, con miras a poder determinar su grado
de precisin y actualizacin.
El entregable son simplemente los registros que deben llenarse para demostrar a
terceros que se realizan los ensayos, as como las acciones correctivas que el
Instituto debe emprender para hacer el ajuste al Plan de Reanudacin de
Operaciones.
Fase 6 Mantenimiento del PCN
Se mantienen el PCN en un estado de preparacin constante para que en caso de
un desastre se pueda ejecutar minimizando las posibilidades de errores. El
entregable de esta fase son los registros y los procedimientos que aseguran que el
PCN est listo para ejecutarse, si se presenta una eventualidad.
La vida del ciclo del PCN comienza con el BIA, seguido de modo secuencial por la
denominada Gestin de Riesgo, en desarrollo de la estrategia del PCN, el
desarrollo del plan de reanudacin de operaciones y el ensayo del PCN. Los
resultados de cada fase son insumos de la siguiente. El mantenimiento del PCN
es una actividad constante que monitorea a personas, recursos y cambios
tecnolgicos.
Pgina 27 de 38
Pgina 28 de 38
Pgina 31 de 38
GLOSARIO DE TRMINOS
ADMINISTRACIN DE INFORMACIN
Accin y efecto de ordenar, disponer, organizar, suministrar y controlar la
informacin.
ADQUISICIN DE INFORMACIN
Accin de conseguir datos mediante levantamientos en campo o en laboratorio o
procesamiento de otra informacin.
ALMACENAMIENTO DE DATOS
Accin de guardar informacin en medios digitales, fsicos o en infraestructuras
tecnolgicas de archivo.
ARCHIVO DE INFORMACIN
Accin y efecto de guardar documentos o informacin con el propsito de ser
conservados para futura consulta o referencia.
REAS ESTRATGICAS MINERAS (AEM)
reas mineras especiales delimitadas con el fin de que las mismas sean
otorgadas en contrato de concesin especial a travs de un proceso de seleccin
objetiva, en el cual la autoridad minera establecer en los trminos de referencia,
las contraprestaciones econmicas mnimas distintas de las regalas, que los
interesados deben ofrecer.
ARQUITECTURA EMPRESARIAL
Es una metodologa que, basada en una visin integral de las organizaciones,
permite alinear procesos, datos, aplicaciones e infraestructura tecnolgica con los
objetivos estratgicos del negocio o con la razn de ser de las entidades.
BANCO DE INFORMACIN MINERA
Organizacin institucional, que soportada en herramientas tecnolgicas, est
encargada de administrar la informacin tcnica de exploracin y produccin de
minerales del pas.
BANCO DE INFORMACIN PETROLERA BIPOrganizacin institucional donde se cataloga, almacena, preserva y administra la
informacin tcnica y geolgica de la exploracin y produccin de hidrocarburos
del pas. Est compuesto por 3 repositorios, el EPIS (magntico), la Cintoteca
donde se almacenan en fsico las cintas, informes y registros y la Litoteca que es
el repositorio de las muestras de roca.
CALIDAD
Conjunto de caractersticas de un producto o servicio que se relacionan con su
habilidad de satisfacer necesidades establecidas o implcitas. Incluye entre otros,
la siguiente:
- Calidad de los datos: Grado sobre el cual los datos satisfacen necesidades
establecidas o supuestas. Esto incluye informacin sobre la procedencia,
completitud, actualidad, consistencia lgica, precisin y rigurosidad cientfica.
- Calidad de los productos: Grado sobre el cual los productos de informacin
satisfacen las especificaciones de los mismos.
COMPILACIN DE INFORMACIN
Acopio organizado de informacin existente sobre un tema en zonas geogrficas
especficas.
CONJUNTO DE DATOS
Coleccin de datos de temas relacionados, los cuales pueden ser representados
por medio de consolidados o espacialmente, en formatos digitales o anlogos.
CONSERVACIN DE INFORMACIN
Accin y efecto de mantener la informacin o cuidar de su permanencia en medios
apropiados.
CONTROL DE CALIDAD
Evaluacin del cumplimiento de las especificaciones de un producto.
CUSTODIO DE INFORMACIN
Unidad organizacional o persona que observando las caractersticas establecidas
por los propietarios y las necesidades de uso, define los medios y mecanismos
para mantener la disponibilidad de la informacin y la trazabilidad de los accesos
requeridos.
DATO
Hecho verificable sobre la realidad; puede ser una medida, una ecuacin que
pueda ser verificada.
DATO OFICIAL
Es aquel que forma parte de un producto que ha surtido el procedimiento de
oficializacin.
DATO ABIERTO
Son aquellos datos primarios o sin procesar, que se encuentran en formatos
estndar e interoperables que facilitan su acceso y reutilizacin, los cuales estn
bajo la custodia del SGC y que una vez forman parte de un producto que ha
surtido el procedimiento de oficializacin son puestos a disposicin de cualquier
ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos.
DEPURACIN DE INFORMACIN
Accin y efecto de identificar y corregir errores de aquella informacin que no
cumple unos criterios mnimos de integridad, calidad y pertinencia.
DESCRIPTOR
Trmino o smbolo vlido y formalizado que se emplea para representar
inequvocamente los conceptos de un documento o de una bsqueda.
Descubrimiento de la informacin: Accin y efecto de hallar o encontrar
informacin que era desconocida.
DIFUSIN DE INFORMACIN
Proceso por el cual se transmite al usuario la informacin que necesita o se le
brinda la posibilidad de obtenerla.
DISPONIBILIDAD
Propiedad por la cual un dato, producto o servicio de informacin est lista para
ser utilizada.
DOCUMENTO
Escrito en que constan datos fidedignos o susceptibles de ser empleados como
tales para probar algo. Pueden ser Informes, informacin grfica (mapas
geolgicos, cuadrngulos, planchas, columnas), fotografas areas, libros,
publicaciones peridicas y seriadas, publicaciones especiales, revistas, boletines,
folletos, tesis de grado, discos compactos, DVDs, cintas, videos, muestras, entre
otros.
DOCUMENTO EN CONSTRUCCIN
Informacin preliminar y no definitiva, que no ha surtido el procedimiento de
oficializacin y que por ende no tiene el carcter de informacin pblica.
EISA - EXTENDED INDUSTRY STANDARD ARCHITECTURE
Arquitectura de Seguridad de Informacin en la Empresa, la cual es parte de la
arquitectura de la empresa que se centra en la seguridad de la informacin a lo
largo de la empresa
EPIS
Componente del Banco de Informacin Petrolera de Colombia, que est
encargado de administrar la informacin tcnica de exploracin y produccin de
hidrocarburos del pas, siendo la nica fuente oficial.
ESPECIFICACIN DE PRODUCTO DE DATOS
Descripcin detallada de las caractersticas o condiciones mnimas que debe
cumplir un conjunto de datos permitiendo la interoperabilidad con otros y
maximizando su calidad.
INTEGRIDAD
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. Mantener con exactitud la informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no autorizados.
LEVANTAMIENTO DE INFORMACIN
Accin mediante la cual se adquiere nuevos datos sobre un territorio especfico.
Puede incluir el uso de instrumentos, observaciones directas, muestreos o
sensores remotos.
LICENCIAS DE USO
Autorizacin otorgada por el SGC de tipo no exclusivo y no transferible para usar,
reproducir y adaptar los datos para los propsitos del usuario bajo unas
condiciones especficas.
LICENCIADO
Usuario a quin se le concede el permiso de uso de la informacin.
MAPA
Representacin abstracta de las caractersticas geogrficas, fsicas y qumicas de
una porcin de la superficie de la Tierra desplegada grficamente en una
superficie plana. Despliegan signos, smbolos y relaciones espaciales entre las
caractersticas geogrficas.
METADATO
Conjunto organizado de descriptores, con una terminologa comn, que permite
identificar datos existentes. Es el dato sobre el dato.
METROLOGA
Ciencia de las mediciones y sus aplicaciones.
MUESTRA
Porcin representativa de material natural tomado de un sitio geogrfico
especfico, con el propsito de estimar sus propiedades o su composicin
mediante ensayos de laboratorio. Para el caso del SGC pueden ser rocas y
esquirlas, minerales, ncleos de perforacin, ripios, secciones pulidas y secciones
delgadas, sedimentos finos, concentrados, suelos, aguas y gases, entre otros.
NORMA TCNICA
Documento establecido por consenso y aprobado por el organismo nacional de
normalizacin, que suministra reglas, directrices o caractersticas para las
actividades o sus resultados, en un contexto dado.
PERFIL DE METADATO
Subconjunto de elementos que describe la aplicacin de la norma NTC 4611,
versin 2 o ISO 19115 o aquella que la modifique o sustituya, para una comunidad
especfica de usuarios.
PLANEACIN DE LA INFORMACIN
Proceso mediante el cual se define un conjunto de actividades que permite realizar
las labores de adquisicin, procesamiento y gestin de la informacin de manera
organizada y pertinente a las necesidades institucionales.
PROCEDIMIENTO DE OFICIALIZACIN
Conjunto de actividades de acompaamiento, control, verificacin y validacin
tcnica y de estndares que garantizan la completitud, idoneidad e integridad de
los productos de informacin y de datos, geocientficos institucionales.
PROCESAMIENTO DE DATOS
Accin de transformar o proveer mayor valor a conjuntos de datos mediante la
aplicacin sistemtica de una serie de operaciones sobre los mismos, para
explotar la informacin que representan.
PRODUCTO DE DATOS
Arreglo organizado y documentado de datos.
PRODUCTO DE INFORMACIN
Conjunto o serie de conjunto de datos, objeto escrito o audiovisual, que satisfacen
una especificacin.
PROCESO DE GESTIN DE INFORMACIN GEOCIENTFICA:
Conjunto de actividades organizadas para manejar la informacin geocientfica,
incluyendo la planeacin, la adquisicin, el recibo, la generacin, la administracin,
la depuracin, el archivo, la conservacin, el uso y la difusin.
PROPIETARIO DE LA INFORMACIN
Persona o personas que crean la informacin y establecen las condiciones de uso
y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto
de los flujos de informacin del proceso en el que participan.
RIGUROSIDAD CIENTFICA
Conjunto de acciones que garantizan que la generacin de datos y la calidad de
los mismos estn soportados por el cumplimiento del mtodo cientfico,
permitiendo as que los datos sean confiables y representen con un alto grado de
veracidad lo que se midi o describi.
SEGURIDAD DE LA INFORMACIN
Conjunto de medidas preventivas y reactivas de las organizaciones y de los
sistemas tecnolgicos que permiten resguardar y proteger la informacin
buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
SISTEMA DE INFORMACIN GEOGRFICA (SIG)
Integracin organizada de hardware, software y datos geogrficos diseada para
capturar, almacenar, operar, analizar y desplegar en todas sus formas la
informacin geogrficamente referenciada.