Professional Documents
Culture Documents
Para cada una de las gestiones se presenta su definicin, la La seguridad de la informacin es definida por la
relacin con cada una de las etapas del ciclo de mejora norma ISO/IEC 27001:2005 como: La
continua PHVA (Planear, Hacer, Verificar, Actuar) y la Preservacin de la confidencialidad, la integridad y
relaciones y dependencias que existen entre cada una de estas la disponibilidad de la informacin; adems puede
gestiones. involucrar otras propiedades tales como:
autenticidad, trazabilidad, no repudio y
fiabilidad[6], de otra forma, y en un sentido
I. INTRODUCCIN prctico, como elemento de valor al negocio, puede
Los esfuerzos realizados por las organizaciones para definirse como: La proteccin de la informacin
afrontar la problemtica de la seguridad de la contra una serie de amenazas para reducir el dao al
informacin, con relacin a los riesgos que conlleva negocio y maximizar las oportunidades y utilidades
la prdida de su confidencialidad, integridad o del mismo. Esta ltima definicin nos sugiere con
disponibilidad, ha llevado a que las mismas ms fuerza que la seguridad de la informacin es un
aumenten cada ao sus inversiones para minimizar tema estratgico y de negocio que debe ser atendido
en alguna proporcin el nivel de su exposicin al desde la alta direccin.
riesgo o el estado objetivo o subjetivo de
inseguridad que perciban. Estas inversiones se En este sentido gestionar es coordinar y dirigir una
traducen en proyectos que van desde una serie de actividades, con uno recursos disponibles,
para conseguir determinados objetivos, lo cual
1
implica amplias y fuertes interacciones
SGSI: Sistema de Gestin de Seguridad de la Informacin. NTC ISO/IEC
27001:2005.
2
SI: Seguridad de la Informacin
2
fundamentalmente entre el entorno, las estructuras, En esta gestin se requiere identificar, valorar y
los procesos y los productos que se deseen obtener3. clasificar los activos de informacin ms
importantes del negocio. Un activo de informacin
Teniendo en cuenta lo anterior, debemos reconocer en el contexto de un SGSI y con base en la norma
que la gestin de la seguridad de la informacin ISO/IEC 27001:2005 es: algo a lo que una
requiere de una estrategia alineada con el negocio y organizacin directamente le asigna un valor y por
sus objetivos, requiere de unos recursos y de un lo tanto la organizacin debe proteger [6].
conjunto de actividades dirigidas y coordinadas por
una organizacin de la seguridad que se extienda a Para las organizaciones esta definicin de activo de
travs de toda la organizacin, desde la alta informacin puede resultar muy amplia, por lo cual
direccin hasta los usuarios finales. es necesario establecer unos criterios qu permitan
identificar lo que es un activo de informacin y
En el desarrollo de este artculo se presenta cual es definir las distintas formas en las cuales se pueden
ese conjunto de actividades principales que deben reconocer estos en la organizacin.
llevarse a cabo dentro de una gestin de seguridad
de la informacin, en la cual existe un marco Se debe considerar como un activo de informacin
general que es el ciclo de mejora continua PHVA, principalmente a cualquier conjunto de datos4
bajo el cual se orquestan varias gestiones que creado o utilizado por un proceso de la
alineadas completan y soportan los objetivos de organizacin., as como el hardware y el software
seguridad de la informacin que normalmente se utilizado para su procesamiento o almacenamiento,
buscan satisfacer en las organizaciones. los servicios utilizados para su transmisin o
recepcin y las herramientas y/o utilidades para el
desarrollo y soporte de sistemas de informacin. En
PLANIFICAR
Establecer el SGSI
casos particulares, se puede considerar como un
activo de informacin a personas que manejen
datos, transacciones, o un conocimiento especifico
HACER ACTUAR
Partes Implementar y
Ciclo de Desarrollo
Mantenimiento y Mantener y mejorar Partes
muy importante para la organizacin (Por ejemplo:
Interesadas Operar el SGSI el SGSI
Mejora Interesadas
secretos industriales, manejo de claves importantes,
know how)
VERIFICAR
Requisitos y
Expectativas de
Hacer Seguimiento
y revisar el SGSI Gestin de la
Seguridad de la
Bajo esta gestin se persigue dar cumplimiento a
Seguridad de la
Informacin
Informacin
tres puntos principales:
En este sentido es importante ir ms all de tener 1) Inventario de Activos: Todos los activos deben
unos requisitos normativos y de conformidad con estar claramente identificados y se debe elaborar y
un estndar internacional y presentar los elementos mantener un inventario de todos los activos de
prcticos que permitan que las organizaciones informacin importantes de la organizacin.[6]
comprendan y dimensionen los esfuerzos que hay
que llevar a cabo para gestionar la seguridad de la Este inventario debe tener la valoracin de cada
informacin de manera sistemtica. activo, indicando bajo una escala definida por la
organizacin, por ejemplo, si es de alto, medio, o
bajo valor. Adicionalmente es importante que se
II. GESTIONES DE SEGURIDAD DE LA indique cuales son las propiedades ms importantes
INFORMACIN de proteger para cada activo en trminos de su
A. Gestin de Activos de Informacin CID5, valorando cada propiedad. Se debe indicar
Definicin
4
Dato: Unidad mnima que compone cualquier informacin, por lo
cual la informacin finalmente debe considerarse un conjunto
organizado de datos que tiene sentido y valor para la organizacin.
3 5
Adaptado de [4] CID: Confidencialidad, Integridad y Disponibilidad.
3
Usuario: Cualquier persona que genere, obtenga, Los niveles de acceso permitidos.
transforme, conserve o utilice informacin de la Los mtodos de distribucin y/o
organizacin en papel o en medio digital, transmisin.
fsicamente o a travs de las redes de datos y los
sistemas de informacin de la organizacin. Son las Condiciones de almacenamiento.
personas u otros sistemas que utilizan la Condiciones de entrega de terceros.
informacin para propsitos propios de su labor, y
Destruccin.
que tendrn el derecho manifiesto de su uso dentro
del inventario de informacin. Para cada usuario se En este punto, el tema de manejo y tratamiento se
debera definir los derechos y niveles de acceso al establece con base en mejores prcticas de
activo de informacin (lectura, escritura, borrado, seguridad, que pueden ser aplicadas para cada nivel
entre otros.). de clasificacin de manera general para todos los
activos de dicho nivel. Si se requiere un nivel de
tratamiento y manejo particular para un activo de
6
El trmino Propietario identifica a un individuo o a una entidad que
tiene responsabilidad aprobada de la direccin por el control de la produccin, informacin, esto deber responder y justificarse a
el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El travs de la identificacin de un riesgo especfico
trmino Propietario no implica que la persona tenga realmente los derechos
de propiedad de los activos.[6] sobre dicho activo, en la Gestin de Riesgos.
4
debern entonces incluir estos elementos dentro de deben estar alineados con los planes de
las cuatro actividades anteriormente planteadas. continuidad del negocio.
Ciertos incidentes de seguridad deben estar
Principales Actividades en el Ciclo de Mejora formalmente tipificados, de tal forma que
Continua PHVA cuando se presenten sean el elemento
disparador de la declaracin formal de la
Planear: ejecucin de un plan de continuidad de
Preparacin para la gestin de incidentes. negocio.
Definicin de los procedimientos de
Deteccin y anlisis, Contencin, D. Gestin del Cumplimiento
Erradicacin y Recuperacin.
Clasificacin de los incidentes y su grado de
Esta gestin permite identificar y administrar los
severidad.
riesgos de carcter jurdico que puede afrontar la
Definicin de los elementos indicadores de
organizacin, con respecto a incidentes presentados
un incidente.
sobre sus activos de informacin, que se puede
Hacer:
generar sobre diferentes componentes como son:
Detectar y analizar incidentes.
comercio electrnico, proteccin de datos, habeas
Contener, Erradicar y Recuperarse de un
data, los incidentes informticos y su connotacin
incidente
en trminos de responsabilidad penal y civil,
Comunicar y escalar los incidentes.
contratacin informtica y telemtica, contratacin
Documentar los incidentes de seguridad.
laboral, contratacin con terceros, derecho a la
Verificar:
intimidad, la legislacin propia del sector o
Pruebas y auditoras a los procedimientos de
industria, entre otros.
atencin de incidentes.
Lo que se busca es que se identifiquen los posibles
Actuar:
riesgos que no han sido atendidos en las reas
Definir acciones preventivas y correctivas
legales antes mencionadas y para lo cual la empresa
con base en los incidentes ocurridos.
se podra encontrar vulnerable y a travs de esta
gestin atenderlos.
Algunas Relaciones y/o Dependencias
Esta gestin aunque es muy parecida a la gestin de
Un incidente de SI debe ser analizado
riesgos de seguridad de la informacin, en algunas
adicionalmente para determinar su
ocasiones puede no tener la misma naturaleza ni
connotacin de responsabilidad penal y
atenderse a travs de los mismos mtodos para la
civil, para que de esta forma la disminucin
identificacin y evaluacin de los riesgos. En
de los nuevos riesgos identificados y las
algunos casos por que la identificacin y evaluacin
actuaciones requeridas se administren en la
no se realiza por cada activo de informacin sino se
gestin del cumplimiento.
determina un nivel de exposicin al riesgo general
Los incidentes de seguridad deben
de la organizacin, dado que son temas
comunicarse para que la organizacin
transversales a la organizacin, y en otras ocasiones
aprenda de los mismos y no vuelvan a
por que es difcil de cuantificar el impacto sobre
ocurrir. En este sentido debe incluirse el
todos los recursos del negocio y no aplicaran las
manejo de lecciones aprendidas en las
escalas determinadas de impacto sino que se
comunicaciones y capacitaciones realizadas
manejaran elemento ms generales.
en la gestin del cambio y cultura en SI.
Un incidente de seguridad puede dar lugar a
Con esta gestin se aborda la seguridad de la
la identificacin de nuevos riesgos de
informacin desde el mbito jurdico, y por ende el
seguridad de la informacin.
tratamiento se realiza a travs de controles jurdicos
Los procedimientos de contencin,
con base en la ley del pas, o los que apliquen a
erradicacin y recuperacin ante incidentes
nivel internacional, o en un caso especfico al
9
negocio por parte de un ente regulador o de control, Esta gestin desarrolla y administra una capacidad
y los reglamentos internos disciplinarios y de para responder ante incidentes destructivos y
trabajo. perjudiciales relacionados con la seguridad de la
informacin que impidan continuar con las
Principales Actividades en el Ciclo de Mejora funciones y operaciones crticas del negocio,
Continua PHVA adems debe tender por la recuperacin de estos
escenarios tan rpida y eficazmente como se
Planear: requiera. Esta gestin debe permitir reducir el riesgo
Estudiar las reas legales que apliquen y que comercial y operacional de la organizacin.
puedan generar riesgos a la organizacin y
determinar como se abordara su Esta gestin tiene como actividades principales las
identificacin, evaluacin y tratamiento. siguientes:
Hacer: Realizar un anlisis de impacto al negocio
Identificar y evaluar los riesgos de (BIA).
cumplimiento y definir su tratamiento. Identificar y priorizar los recursos que
Implementar los controles jurdicos soportan la actividad de los procesos de la
indicados en el tratamiento. organizacin.
Verificar: Elegir las estrategias apropiadas de
Revisar los controles jurdicos establecidos recuperacin.
para determinar si siguen siendo suficientes Elaborar planes de recuperacin (DRP).
de acuerdo a cambios que se susciten en el Desarrollar planes de continuidad para la
negocio o el entorno jurdico nacional e funciones crticas del negocio (BCP).
internacional. Capacitar al personal en la ejecucin y
Actuar: mantenimiento de los planes.
Realizar las acciones de cambio o mejora a Revisar y mantener los planes por cambio en
los controles jurdicos establecidos. el negocio o en la infraestructura.
Almacenar de manera segura los planes y
Algunas Relaciones y/o Dependencias contar con medios alternos de
comunicacin.
La gestin de riesgos de SI puede ser Probar y auditar los planes.
utilizada como una entrada para la gestin
de cumplimiento, en cuanto a identificar Dentro de esta gestin se tiene que tener en cuenta
ciertos activos de informacin que presenten que los objetivos principales son: Mantener las
riesgos que puedan generar un impacto funciones crticas del negocio en los niveles
importante sobre las reas legales. aceptables que generen las menores prdidas
La clasificacin de los incidentes permite posibles, recuperarse rpida y eficazmente,
identificar las actuaciones que a nivel legal minimizar el impacto generado por la prdida de la
se tendran que llevar a cabo al momento de continuidad, responder en forma sistemtica,
presentarse un incidente de SI, aprender y ajustar los planes para reducir la
principalmente en la etapa post incidente. probabilidad de que el incidente vuelva a ocurrir,
Los controles jurdicos a implementar para resolver posibles problemas legales y operativos
el tratamiento de riesgos de incumplimiento que se puedan suscitar y que no hayan sido
generan cambios o proyectos a los cuales se previstos en el BIA.
les tiene que hacer seguimiento en la gestin
de la estrategia de SI. De los elementos mnimos a tener en cuenta en las
estrategias de recuperacin y continuidad estn:
E. Gestin de la Continuidad del Negocio
Las mximas ventanas de interrupcin.
10
para las actividades de gestin del cambio y La gestin del cambio debe comunicar de la
la comunicacin que debe llegar a cada mejor manera a la organizacin la estrategia
grupo, si es posible, con base en los niveles de SI y el panorama de riesgos de SI y sus
de resistencia al cambio observados impactos a la organizacin y principalmente
histricamente y utilizando a los lderes y sobre el recurso humano.
stakeholders que puedan influenciar de Los planes de capacitacin definidos en esta
manera positiva el desarrollo de las gestin deben estar alineados con los planes
actividades planteadas.[3] y proyectos de tratamiento de riesgos para
Definir las herramientas y medios a travs que las personas estn preparadas para hacer
de los cuales se desplegar la estrategia de uso de nuevas tecnologas, procedimientos o
gestin de cambio. tener nuevas actuaciones con respecto a la
Comunicar la estrategia de SI y las mejores SI.
prcticas y hbitos de comportamiento que La gestin del cambio y cultura en seguridad
son importantes para poder obtener un nivel debe ser una de las primeras en realizarse en
adecuado de proteccin de los activos de el SGSI, y debe ser lo suficientemente
informacin. exitosa para que todas las dems gestiones
Definir los planes de capacitacin se soporten en la buena actuacin y
requeridos para generar las competencias compromiso del recurso humano, con
necesarias en el personal, para que lleven a respecto a las actividades que hay que
cabo las actividades de seguridad de la desplegar a travs de toda la organizacin.
informacin que sean desplegadas hacia sus
procesos y que se interiorice la importancia G. Gestin de la Estrategia de SI
de la SI.
Realizar una medicin peridica de la Para poder controlar y dirigir todas estas gestiones
efectividad de los planes desarrollados y de se hace necesario que la organizacin despliegue las
los niveles de aprendizaje y comportamiento mismas desde el ms alto nivel de la organizacin, a
de las personas, para en caso de falencias travs de:
establecer cambios y mejoras en la
estrategia. Declaraciones Formales de Intencin y
Compromiso: Estas se materializan a travs de
Principales Actividades en el Ciclo de Mejora polticas organizacionales que la alta direccin
Continua PHVA presenta a la organizacin (Por ejemplo: Poltica de
SI, Poltica del SGSI o de la Informacin). Estas
Planear: declaraciones podra estas conformada por una
Establecer una estrategia de gestin de general y una para cada gestin de seguridad. Todos
cambio y formacin de cultura de SI.. los dems niveles de documentacin relacionados
Hacer: con la SI a travs de la organizacin, (Normas,
Desarrollar los planes y programas de Procedimientos, guas, etc) deben estar alineados y
gestin de cambio y sensibilizacin en SI. deben apoyar estas declaraciones de alto nivel, para
Desarrollar los planes de capacitacin. que las mismas sean operativas y coherentes a
Verificar: travs de las diferentes gestiones de seguridad.
Revisar y medir peridicamente la De esta declaracin y compromiso tambin hace
efectividad de los planes implementados. parte el alcance que la alta direccin se compromete
Actuar: a tener dentro de la gestin, la cual puede hacerse
Realizar las acciones de cambio o mejora a solo para los procesos ms importantes y para los
los planes de gestin de cambio y activos del negocio de mayor valor inicialmente,
capacitacin. teniendo una visin de implementacin incremental
a travs del tiempo en donde dicho alcance puede
Algunas Relaciones y/o Dependencias
12
Ejecutar las acciones preventivas y [2] Glosario Institucional, Polica Nacional de Colombia,
correctivas generadas en las diferentes www.policia.gov.co/inicio/portal/portal.nsf/paginas/Glosa
rioInstitucional.
gestiones de seguridad.. [3] Jones. John. 10 Principles of Change Management, tools
and techniques to help companies transform quickly,
Es importante que no se pierda de vista que una 2004, pp. 1-4.
gestin puede haber realizado el cierre del ciclo [4] Marecos. Edgardo, Conceptos Claves Acerca de la Salud,
PHVA una o ms veces, mientras que una gestin Revista de Postgrado de la Ctedra VIa Medicina, 2001,
pp. 17-19.
ms joven apenas est en la mitad de su primer [5] ISACA, Manual de Preparacin del Examen CISM, 2005,
ciclo (gestin planeada y en implementacin), lo pp. 53-82, 186-225.
cual nos ayuda a entender precisamente el concepto [6] NTC-ISO/IEC 27001:2005, ICONTEC, 2006.
de mejora continua, en el sentido en que las
diferentes gestiones van madurando y Autor
completndose a travs del tiempo, hasta que el
SGSI es ms fcil de operar y mantener. Fabin Alberto Crdenas Varela
III. CONCLUSIONES
REFERENCIAS
[1] Calder. Alan, Nueve Claves para el xito, una visin de la
implementacin de la norma NTC-ISO/IEC 27001,
ICONTEC, 2006, pp. 13-38.