DIAGNSTICO DE SEGURIDAD DE LA

INFORMACIN PARA IMPLANTACIN

DE UN SGSI ALINEADO CON ISO/IEC
27001 PARA MIPYMES
Francisco Nicols Solarte
Mirian del Carmen Benavides
UNAD
Juan Carlos Castillo Eraso
UDENAR

PROBLEMAS SEGURIDAD DE
LA INFORMACIN
Mnima cultura en el tema
de seguridad de informacin

Falta de responsables de la
seguridad de la Informacin
Polticas y normas en
seguridad de la informacin
Falta
de
inventario
informticos

control
de
de
activos

Capacidad
limitada para
proteger la informacin

Seguridad
de la
Informacin

Seguridad
Informtica

SEGURIDAD DE LA INFORMACIN
ESTNDAR ISO/IEC 27001

DOMINIOS DE SEGURIDAD EN LA
ORGANIZACIN

METODOLOGA: IMPLANTACIN DE UN SGSI

1.
2.

3.
4.
5.
6.

7.

8.
9.
10.

11.

Identificar los objetivos del negocio

Obtener el patrocinio de la alta direccin

Establecer el alcance (algunos procesos del negocio)

Diagnstico/Anlisis de brecha (Gap Analysis)
Asignar recursos y capacitar al equipo
Anlisis y evaluacin de riesgos de activos de
informacin
Gestionar el riesgo y elaborar un plan de tratamiento
de riesgos
Establecer la normativa para controlar el riesgo
Monitorear la implantacin del SGSI
Prepararse para la auditoria de certificacin
Llevar a cabo auditoras internas peridicas.

METODOLOGA CICLO PHVA

xito

METODOLOGA GESTIN DE
RIESGOS
ESTNDAR MAGERIT

Vulnerabilidad

Amenazas

Riesgos

Confidencialidad: Qu pasa si la informacin cae en

manos de personas no autorizadas?
Integridad: Qu pasa si la informacin se corrompe o se
altera accidentalmente o intencionalmente?
Disponibilidad: Qu pasa si la informacin no est
accesible por cierto tiempo?

ANLISIS DE RESULTADOS
TEMAS DE SEGURIDAD

EMPRESA 1
A5 POLITICA DE SEGURIDAD
A6 ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN

59,14

A7 GESTION DE ACTIVOS

60,46

65,45

66,14

60,92

64,44

A8 SEGURIDAD DE LOS RECURSOS HUMANOS

A9 SEGURIDAD FISICA Y DEL ENTORNO
A10 GESTION DE COMUNICACIN Y OPERACIONES
A11 CONTROL DE ACCESO

60,44

62,04
62,95

61,36

63,85

A12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS DE INFORMACIN
A13 GESTIN DE LOS INCIDENTES DE LA SEGURIDAD
DE LA INFORMACIN
A14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO
A15 CUMPLIMIENTO

ANLISIS DE RESULTADOS
EMPRESA 2
51,4

65,31

52,57

61,67

51,25
58,56

EMPRESA 3
57,99
64,81
58,96

49,3

63,3

60,1

60,31

55,34

54,67

54,2

53,56

EMPRESA 4
34,67
38,12

59,35

50,11
41,23

27,47

42,32

29,57
38,29

41,34
43,31

39,27

56,81
52,96

50,1

52,3

DISCUSIN DE RESULTADOS
ESCALA DE MADUREZ
VALOR
DESCRIPCIN
CUALITATIVO
Inexistente Falta de un proceso reconocible. La Organizacin no ha reconocido que
hay un problema a tratar. No se aplican controles.
Inicial
Se evidencia de que la Organizacin ha reconocido que existe un problema y
que hay que tratarlo. Sin embargo, no hay procesos estandarizados. La
implementacin de un control depende de cada individuo y es muchas veces
es reactiva.
Repetible
Los procesos y los controles siguen un patrn regular. Los procesos se
han desarrollado hasta el punto en que diferentes procedimientos son
seguidos por diferentes personas. Pero no estn formalizados, ni hay
comunicacin formal sobre los procedimientos desarrollados. Hay un alto
grado de confianza en los conocimientos de cada persona.
Definido

Gestionado

Optimizado

Los procesos y los controles se documentan y se comunican. No se

han establecido mecanismos de monitoreo, para una deteccin de
desviaciones efectiva.
Los controles se monitorean y se miden. Es posible monitorear y medir el
cumplimiento de los procedimientos y tomar medidas de accin donde
los procesos no estn funcionando eficientemente.
Las buenas prcticas se siguen y automatizan. Los procesos han sido
redefinidos hasta el nivel de mejores prcticas, basndose en los
resultados de una mejora continua.

DISCUSIN DE RESULTADOS
ESCALA DE MADUREZ
Resultados frente a la norma ISO/IEC 27001 e ISO/IEC
27002 el SGSI de las organizaciones se encuentra en un
nivel de madurez Repetible: Se han adelantado
actividades para la implementacin de controles y buenas
prcticas que en su mayora siguen un patrn regular,
pero que no en todos los casos se han formalizado y por
ende su ejecucin depende de cada persona.
El resultado muestra que es imperativo formalizar los
procedimientos
que
lo
requieren,
definir
los
procedimientos faltantes, implementar los controles
tecnolgicos necesarios, establecer mtricas y otros
mecanismos que permitan llevar a cabo actividades de
gestin enfocadas a la mejora de la seguridad de la
informacin.

CONCLUSIONES

Del diagnstico de brecha se puede concluir que las

organizaciones estn muy alejadas de la norma y no
existe una cultura de seguridad de la informacin.
De los resultados se puede concluir que los
empleados no son conscientes de los objetivos del
establecimiento de mecanismos de control en la
seguridad de la informacin y no estn capacitados
para asumir esta responsabilidad.

De las entrevistas se concluye que la implementacin

de los controles de seguridad se han dejado a los
encargados del rea informtica y de TI sin el apoyo
de la direccin o gerencias de las organizaciones.

BIBLIOGRAFA

COMPENDIO, SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN (SGSI) - ICONTEC, BOGOTA D.C: Instituto
Colombiano de Normas Tcnicas y Certificacin ICONTEC,
2006. 257 p.
NUEVE CLAVES PARA EL XITO - Alan Calder, BOGOTA D.C:
Instituto Colombiano de Normas Tcnicas y Certificacin
ICONTEC, 2006. 127 p.
Anlisis
ISO
27001
[Web
en
lnea].
<>
http://www.desarrolloweb.com/articulos/2435.php [Consulta
27-4-2009]
ICONTEC
Colombia.
[Web
en
lnea].
http://www.icontec.org.co/Home.asp?CodIdioma=ESP
[Consulta 23-9-2010]

<>

Implementacin de un sistema de gestin de seguridad.

[Web en lnea]. <>
http://www.mailxmail.com/curso-implantacion-sistemagestion-seguridad/delimitar-entorno-alcance-sgsi
[Consulta
23-5-2010]

GRACIAS
PREGUNTAS