SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

EVALUACIÓN DE PROCESOS INFORMÁTICOS

SEMANA 8
Clasificación de los datos, funciones y
roles en la seguridad

Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar,
publicar, emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier
forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de
Artes y Ciencias de la Comunicación S.A. La infracciónIACC-2020
de dichos derechos puede constituir un delito contra la propiedad intelectual.
1
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.

APRENDIZAJE ESPERADO
El estudiante será capaz de:

• Utilizar la metodología del análisis de

riesgo para definir la estructura de la
seguridad informática de un caso dado.

IACC-2020
2
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

APRENDIZAJE ESPERADO..................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................................... 4
1. CLASIFICACIÓN DE LA INFORMACIÓN ......................................................................................... 5
1.1. POLÍTICAS, ROLES Y ACTORES .............................................................................................. 5
2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD INFORMÁTICA ............................................... 6
2.1. CATEGORIZACIÓN DE ACTIVOS ............................................................................................ 6
2.2. CATEGORÍA DE CLASIFICACIÓN DE LA INFORMACIÓN ........................................................ 6
3. METODOLOGÍA DE ANÁLISIS DE RIESGO................................................................................... 11
3.1. MÉTODO DE ANÁLISIS DE ESCENARIOS ............................................................................. 11
COMENTARIO FINAL.......................................................................................................................... 14
REFERENCIAS ..................................................................................................................................... 15

IACC-2020
3
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
INTRODUCCIÓN
El manejo de información para cualquier
organización es fundamental, esto
considerando tanto la información física así
como la información automatizada o
electrónica.
Por otro lado es importante clasificar la
información y considerar las políticas de
clasificación y manejo de activos dentro de la
empresa.
Por esto, es importante poder identificar las
amenazas, las vulnerabilidades asociadas,
calcular la probabilidad de ocurrencia de
IACC-2020
esas amenazas, determinar el impacto en
caso de su materialización y por último la
obtención de el riesgo al que se está
expuesto con el manejo de la información
dentro de la organización.
Por esto, el análisis de riesgos es el primer
punto de la gestión de la seguridad de la
información de una organización, y es
necesario para realizar la gestión de los
riesgos, es decir, tomar la decisión de
eliminarlos, ignorarlos, transferirlos o
mitigarlos y controlarlos, es decir realizar la
gestión de riesgos.
4
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1. CLASIFICACIÓN DE LA INFORMACIÓN
Toda la información que las unidades administrativas de una organización generen, obtengan,
adquieran, transformen o conserven por cualquier título, corresponde a la organización y la
reserva de la misma se justifica estrictamente por excepción, por lo que en caso de clasificarse
como reservada o confidencial requerirá fundarse y estará sujeta a un término para su
desclasificación, designándose al responsable de su custodia o propietario de la información.

1.1. POLÍTICAS, ROLES Y ACTORES

• Responsables de procesos. Corresponde a los jefes de división y/o departamento o

unidades, la responsabilidad de la implementación de la política en sus dependencias
respectivas que establezca la empresa para clasificar la información.
• Consejo de calidad, riesgos y seguridad de la información. Corresponde verificar el
cumplimiento de la presente política, indicando su incumplimiento a los responsables de
procesos o activos, cuando corresponda. En muchas organizaciones esto le corresponde a
la unidad de comunicación corporativa o departamento de prensa.
• Propietario de la información. Corresponde al propietario de la información, la
responsabilidad de custodiar y proteger de acuerdo con las política vigentes, los activos
asignados a su persona.

IACC-2020
5
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD INFORMÁTICA

La estructura de un área de Seguridad Informática dentro de una organización, cualquier que esta
sea, dependerá en gran medida de las dimensiones de dicha organización y de la relevancia que se
le dé a nivel estratégico.

2.1. CATEGORIZACIÓN DE ACTIVOS

Todos los activos deberán estar claramente identificados. Se deberá elaborar y mantener un
inventario de los activos más importantes, que deberá incluir al menos:

• Tipo de activo.
• Formato.
• Ubicación.
• Responsable del activo.

Se debe tener en cuenta que la propiedad y la clasificación de la información, debe ser acordada y
documentada para cada uno de los activos inventariados. Esto será basándose en:

• Importancia del activo.

• Valor para el negocio.
• Clasificación de seguridad.
• Niveles de protección de acuerdo a la importancia.

Todos los datos e información deben tener un propietario, el cual deberá clasificarlos en los
niveles definidos en la sección “Clasificación de los activos”. Será responsabilidad del encargado de
seguridad de la información, en conjunto con los dueños de procesos, la generación y mantención
del inventario de activos de información. En el caso de los activos de información no inventariados
o de aquellos documentos de carácter transitorio o no oficial (borradores, proyectos, etc.) y que
no posean un responsable explícito, será responsabilidad del creador de la información la
aplicación de los niveles de seguridad requeridos en el manejo y transmisión de la información
generada.

2.2. CATEGORÍA DE CLASIFICACIÓN DE LA INFORMACIÓN

• Información pública. Es una información a la que cualquier persona tiene acceso y no se le

puede negar el derecho por transparencia de informar al respecto.
• Información que no es pública. Es la información reservada y secreta que cuenta con
políticas de privacidad o restricción.

IACC-2020
6
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

En caso de existir un activo de información que está clasificado como reservado o secreto,
deberá tener una etiqueta apropiada de clasificación.

A continuación, se presenta una forma en que se deberán categorizar y tipificar los activos de
acuerdo con el tipo de información. Este criterio es solo información de base, pudiendo existir
otros criterios de evaluación, como el caso de restricciones legales respecto a la divulgación de
la información, importancia del activo para un proceso en particular u otros. Estos criterios
deberán ser descritos en el inventario de activos en caso de ser considerados.

Nivel de DESCRIPCIÓN (criterio de Restricción de acceso

clasificación clasificación)
Secreto Aquellos documentos que la ley La información está disponible
establece como secretos no solamente para un grupo específico de
pueden ser divulgados. empleados, que ejercen funciones
definidas.
Información altamente sensible, La información está disponible
Reservado de uso exclusivamente interno. Su solamente para un grupo específico de
divulgación podría implicar un empleados y de terceros autorizados.
impacto no deseado la violación
de normativa vigente.

El acceso no autorizado a la La información está disponible para

Uso interno información podría ocasionar todos los empleados y terceros
daños y/o inconvenientes seleccionados. Esta información puede
menores a la organización. ser entregada al público sujeto a la
normativa vigente, previa consulta al
Propietario del Activo.

Pública Hacer pública la información no Pueden ser entregadas utilizando un

puede dañar a la organización de canal definido para esto.
ninguna forma

IACC-2020
7
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

La información debe ser tratada de acuerdo con su clasificación, para

lineamientos sobre las medidas de seguridad a aplicar en la generación,
transmisión, recepción, procesamiento y almacenamiento de activos de
información.

La norma ISO 27001:

La gestión de la seguridad de la información con la norma ISO 27001 para algunas organizaciones
es muy importante a la hora de realizar la clasificación de la información. Es una de las principales
tareas que se realizan en dicho ámbito desde que se tiene constancia de ello.

Para clasificar la información según la norma ISO 27001, existen diferentes criterios en los que
basarnos. El criterio más utilizado por las empresas es el basado en el carácter confidencial de la
información.

Para una correcta gestión de la información podemos usar un proceso que consta de cuatro pasos
y que nos ayudará a proteger este activo.

Proceso para clasificar la información según ISO 27001:

Para realizar una buena gestión de la información en donde ella debe ser clasificada es necesario
que se lleve a cabo el siguiente proceso. Cada empresa, en su política de clasificación de la
información, describe cómo llevar a cabo cada una de las etapas de este proceso de cuatro pasos:

• Paso 1. Incluir la información en el inventario de activos. Según esta etapa, es necesario

conocer a la perfección qué tipo de información disponemos, así como quién es el
responsable de la misma. La información clasificada podemos tenerla en distintos formatos y
medios, como, por ejemplo:

a. Los documentos de carácter electrónico.

b. Bases de datos.

c. Documentos en formato papel.

IACC-2020
8
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

d. Correos electrónicos.

e. Medios de almacenamiento.

f. Información verbal.

• Paso 2. Proceder a la clasificación de la anterior información. La norma ISO 27001 no

establece cuáles son los niveles de clasificación concretos, sino que cada empresa, en base a
sus criterios particulares y las generalidades de las características de su industria, tiene que
definir sus criterios de clasificación concretos. Una empresa establece más niveles de
clasificación a medida que la misma sea de mayor tamaño y presente una mayor
complejidad. Las empresas de tamaño medio pueden establecer estos niveles para clasificar
la información según el carácter confidencial de la misma:

a. Confidencial: cuando el nivel de confidencialidad de la información se incremente.

b. Restringido: para niveles medios de confidencialidad.

c. Uso interno: información con un nivel bajo de confidencialidad.

d. Público: cuando todas las personas pueden ver la información.

El propietario del activo es la persona encargada de proceder a realizar la clasificación de la

información, por lo que se realizará según los resultados obtenidos tras la evaluación del riesgo. Es
posible que la misma empresa tenga dos sistemas de clasificación de la información diferentes, en
función de si trabaja para el gobierno o no, lo hace para cualquier empresa que se encuentre en el
sector privado.

• Paso 3. Asignar una etiqueta a la información, una vez haya sido clasificada. Realizada la
anterior clasificación de la información, se tiene que etiquetar de forma adecuada. Es
necesario que se defina una serie de pautas a seguir para cada tipo de activo de información.
Esto, igualmente es cuestión de cada empresa, la cual se hace responsable de definir sus
propias reglas, dado que la norma ISO 27001 no es prescriptiva en este sentido. Una empresa
puede establecer las siguientes reglas para indicar el carácter confidencial en cada uno de los
documentos en papel que posee: indicar en la esquina superior del lado derecho del
documento concreto el nivel de confidencialidad atribuido al mismo y que aparezca en el
frente de la portada y en la carpeta donde se archive tal documento.

• Paso 4. Hacer un manejo y tratamiento seguro de tal información clasificada. Cada empresa
tiene que definir una serie de reglas que guíen sobre cómo proteger cada tipo de información
según el nivel de confidencialidad de cada una. Es necesario presentar un ejemplo de
posibles reglas para proteger la información, según su nivel de confidencialidad y siendo el
medio en el que se presente, podríamos establecer la siguiente regla: los documentos en

IACC-2020
9
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

formato papel, que se encuentran categorizados como de carácter “restringido” deben ser
guardados en un gabinete. Es necesario que se transfiera dentro o fuera de la empresa pero
siempre que se encuentren en sobres cerrados. En caso de mandarse fuera, el documento
tiene que enviarse con un servicio de devolución.

Este proceso de clasificar la información según la norma ISO 27001 puede parecer complejo,
pero realmente es muy comprensible. A esto le sumamos la gran libertad que confiere la
norma ISO 27001 para que cada empresa adapte sus reglas según sus particularidades:

o Prepara y presenta informes escritos y orales y otra información técnica de manera

pertinente, concisa y precisa para su distribución a la gerencia.
o Consulta y asesora a los administradores, la facultad y el personal sobre diversos
problemas operacionales relacionados con los sistemas de información y sobre las
operaciones comerciales generales según sea necesario.
o Hace un seguimiento de los hallazgos de auditoría para garantizar que la
administración haya tomado medidas correctivas.
o Coordina e interactúa con auditores externos, administradores, profesores, personal y
funcionarios encargados de hacer cumplir la ley según corresponda; incluso puede ser
requerido testificar en la corte.
o Ayuda y capacita a otros miembros del personal de auditoría en el uso de técnicas de
auditoría computarizadas, y en el desarrollo de métodos para la revisión y análisis de
sistemas de información computarizados.
o Mantiene la vigencia del conocimiento con respecto a la tecnología, el equipo y/o los
sistemas de última generación.
o Lleva a cabo auditorías operacionales, de cumplimiento, financieras e investigativas,
según corresponda.

¿Porqué es tan relavante para un auditor clasificar la

información?

IACC-2020
10
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

3. METODOLOGÍA DE ANÁLISIS DE RIESGO

Los métodos de análisis de riesgos son técnicas que se emplean para evaluar los riesgos de un
proyecto o un proceso. Estos métodos ayudan a tomar decisiones que permiten implementar
medidas de prevención para evitar peligros potenciales o reducir su impacto.

Es cierto que no existe una única metodología de riesgos. La forma ideal de realizar la gestión es
seleccionar y combinar las mejores técnicas según el tipo de negocio o de proyecto. Por eso, a la
hora de escoger, hay que tener en cuenta que algunas de estas herramientas son más idóneas
para evaluar las causas de un problema, mientras que otras son más adecuadas para valorar las
consecuencias.

Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO
9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y
tomar decisiones sobre cómo gestionarlos o eliminarlos.

El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas
potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la
ejecución de un proceso específico. Así será posible jerarquizar el riesgo y realizar alguna acción al
respecto.

Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el

análisis de los mismos, es decir, se estudian la posibilidad y las
consecuencias de cada factor de riesgo con el fin de establecer el nivel de
riesgo de nuestro proyecto. El análisis de los riesgos determinará cuáles
son los factores de riesgo que potencialmente tendrían un mayor efecto
sobre nuestro proyecto.

3.1. MÉTODO DE ANÁLISIS DE ESCENARIOS

La construcción de escenarios permite exponer un conjunto de alternativas respecto del futuro de

la aglomeración, poniendo a discusión de la sociedad las consecuencias de tomar o no
determinadas decisiones. Se trata de un ejercicio prospectivo que busca prefigurar una imagen de

IACC-2020
11
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

lo que puede suceder, partiendo del análisis de las condiciones que presenta la realidad y sus
tendencias y del reconocimiento de las posibilidades que tiene una política pública para incidir
sobre el comportamiento de estas tendencias. Se parte, asimismo, asumiendo los límites de las
posibilidades de intervención, no sólo por las restricciones que impone nuestro contexto
tecnológico o económico-financiero, sino también por las dificultades para unificar el proceso de
toma de decisión y para lograr que la realidad se encamine en la dirección que se considere
conveniente.

Análisis de Selección Definición Simulación

riesgo de variable de de
crítica escenarios escenarios

Imagen 1. Etapas del método de análisis de escenarios.

Fuente: Elaboración propia.

• PRIMERA ETAPA. Análisis de riesgo.

a) Elaborar el plan de empresa del proyecto empresarial.
b) Identificar las variables de riesgo del proyecto empresarial.
c) Construir el modelo de riesgos:
o Definir la tendencia y el rango de variación de las variables de riesgo.
o Seleccionar las variables de salida sobre las que se va a medir el riesgo del
proyecto.
o Construir las relaciones matemáticas entre las variables de riesgo y las
variables outputs.
o Realizar una simulación mediante un motor informático.
o Analizar el perfil de riesgo del proyecto empresarial

• SEGUNDA ETAPA. Selección variable crítica.

a) Analizar las variables identificadas como críticas para nuestro modelo de riesgo en el
tornado.

IACC-2020
12
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

b) Identificar las variables críticas sobre las que se puede actuar y reducir en nivel de
riesgo.

• TERCERA ETAPA. Definición de escenarios.

a) Asignar un valor optimista y otro pesimista a la variable seleccionada, mediante los
cuales se realicen hipótesis sobre el comportamiento de dicha variable.

• CUARTA ETAPA. Simulación con nuevos escenarios.

a) Realizar nuevamente la simulación del modelo de riesgo con nuevos valores
(escenarios optimista y pesimista).
b) Obtener los resultados referentes a los escenarios definidos.
c) Comparar los perfiles de riesgo.
o Es una herramienta muy poderosa para comparar el riesgo soportado ante
variaciones en la variable de riesgo.
o Estimula la creatividad del emprendedor en busca de estrategias alternativas que
mejoren el perfil de riesgo.

Con esta metodología se puede implementar un procedimiento que evalúe las distintas
situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los
siguientes niveles:
• Evaluación de los activos informáticos sujetos a riesgos.
• Evaluación de los servicios de seguridad o controles existentes.
• Evaluación de amenazas o causas de riesgos.
• Determinación y valoración del daño causado.
• Estimación del nivel de riesgo y determinación de controles.

IACC-2020
13
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

COMENTARIO FINAL
No existe una manera objetiva de determinar si una clasificación de la información es buena o
mala, una taxonomía puede ser muy útil para una organización, pero totalmente ineficiente para
otra. Por eso, es muy importante reflexionar acerca de qué tipo de información que se maneja y se
debe clasificar, cómo está estructurada nuestra organización y la relación que existe entre esta
estructura organizativa y la tipología de documentos y/o procesos con los que trabajamos día a
día.

Finalmente, y aunque no lo parezca, el hecho de que la información esté bien clasificada aportará
un mayor nivel de seguridad por dos motivos: en primer lugar, porque nos ayudará a evitar fugas
de información. El riesgo que se corre en una plataforma de colaboración es que la información
confidencial aparezca en un área pública de nuestra plataforma.

Una buena definición del perfil de usuario nos puede servir para conceder permisos en nuestra
estructura de sitios en función de la pertenencia a un departamento, a una sede o a un grupo de
trabajo del usuario.

IACC-2020
14
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

REFERENCIAS
Borrell, G. (2016). El control de versiones Copyright © 2006 Guillem Borrell Nogueras.

Gómez, R. (2005). Tipos de licencia de software. Recuperado de:

http://www.informatica.us.es/~ramon/articulos/LicenciasSoftware.pdf

Hernández, E. (1993). Auditoría informática (Un enfoque metodológico y práctico). México:

Continental.

Pinilla, J. (1997). Auditoría informática: Un enfoque operacional. Bogotá, Colombia: Ecoe

Ediciones.

San Román, E. (2011). Evolución y tendencias de las herramientas de monitoreo de redes.

Recuperado de: http://www.magazcitum.com.mx/?p=1157#.WcmHB5rhA2w.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2020). Clasificación de los datos, funciones y roles en la seguridad. Evaluación

de Procesos Informáticos. Semana 8.

IACC-2020
15
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

IACC-2020
16