Professional Documents
Culture Documents
DIRECTORA PROYECTO
NOTA DE ACEPTACIN:
______________________________
______________________________
______________________________
______________________________
______________________________
______________________________
______________________________
Firma del Presidente del Jurado
______________________________
Firma del Jurado
______________________________
Firma del Jurado
AGRADECIMIENTOS
A Dios, por la oportunidad de alcanzar esta meta gratificante tanto personal como
familiarmente.
CONTENIDO
pg.
I.
INTRODUCCIN ............................................................................................ 10
7.1.2.
9. CONCLUSIONES ........................................................................................... 53
10.
RECOMENDACIONES ............................................................................... 54
BIBLIOGRAFA ..................................................................................................... 56
ANEXO A .............................................................................................................. 58
ANEXO B .............................................................................................................. 75
ANEXO C ............................................................................................................ 102
ndice de Figuras
Figura 1: Relacin entre sofisticacin y conocimiento del atacante ...................... 12
Figura 2: Evolucin del cibercrimen. ..................................................................... 14
Figura 3: Orgenes de los ataques. ....................................................................... 15
Figura 4: Mdulos del proyecto Sistema de gestin de seguridad soportado en TIC
para realizar un aporte a la competitividad de las empresas de la regin. ............ 17
Figura 5: Anlisis paso a paso ISO/IEC 27001. .................................................... 18
Figura 6: Nmero de empresas certificadas actualmente ISO/IEC 27001 en
Colombia. .............................................................................................................. 24
Figura 7: Historia de ISO 27001 e ISO 17799. ...................................................... 27
Figura 8. Resultados de la pregunta No. 1 de la encuesta a expertos. ................. 45
Figura 9. Resultados de la pregunta No. 2 de la encuesta a expertos. ................. 45
Figura 10. Resultados de la pregunta No. 3 de la encuesta a expertos. ............... 46
Figura 11. Resultados de la pregunta No. 4 de la encuesta a expertos. ............... 47
Figura 12. Resultados de la pregunta No. 5 de la encuesta a expertos. ............... 48
Figura 13. Resultados de la pregunta No. 6 de la encuesta a expertos. ............... 49
Figura 14. Resultados de la pregunta No. 7 de la encuesta. ................................. 49
Figura 15. Resultados de la pregunta No 8 de la encuesta. .................................. 50
Figura 16: Proceso Gestin del Riesgo ISO/IEC 27005. ....................................... 65
ndice de Cuadros
Cuadro 1: Relacin de pases certificados en ISO/IEC 27001. ............................. 25
Cuadro 2: Requisitos de Seguridad Prueba Piloto. ............................................... 87
Cuadro 3: Identificacin y valoracin de activos, amenazas y vulnerabilidades
sobre el procedimiento PR03.PE01. ..................................................................... 89
Cuadro 4: Estimacin de riesgos sobre el procedimiento PR03.PE01. ................. 91
Cuadro 5: Orden de Importancia de los activos y peso del sistema PR03.PE01. . 93
Cuadro 6: Anlisis de tratamiento de riesgos en PR03.PE01 ............................... 96
I. INTRODUCCIN
En la bsqueda de la competitividad empresarial, es indispensable para cualquier
compaa garantizar que sus procesos de gestin de la informacin sean lo
suficientemente efectivos, confiables y organizados, de tal manera que se pueda
prestar un servicio o entregar un producto con calidad. Para esto las compaas
deben valerse de las metodologas y modelos aprobados internacionalmente que
promueven una gestin de la informacin con seguridad, hacindose
indispensable implementar los procesos y procedimientos necesarios para
alcanzar este objetivo.
10
11
As las cosas, los riesgos a los que se expone hoy da una organizacin son
nuevos y ms complejos, inclusive se puede dar el caso de sabotear el
funcionamiento de un estado atacando sus diferentes frentes y fuentes de
informacin. Un claro ejemplo de esto se dio para la primera vuelta de las
elecciones presidenciales en Colombia efectuadas el 30 de mayo de 2010; el
entonces ministro de defensa Gabriel Silva Lujn denunci un plan de piratas
informticos para sabotear el conteo de votos as como para atacar la estructura
informtica del pas. En el mundo ciberntico no hay fronteras y los intereses
terroristas no tienen fronteras, desafortunadamente cuando se trata de atacar al
pas tambin en su estructura informtica, dijo Silva en declaraciones a
periodistas. Hemos detectado que hay esfuerzos de 'hackers' de otros pases y
en otras jurisdicciones que estn buscando afectar no solo la Registradura y el
da de las elecciones, sino penetrar y afectar la seguridad informtica del pas 2,
precis.
1Allen
Julia H. Information Security as an Institutional Priority [En lnea] <http://www.cert.org/archive/pdf/infosec-ip.pdf>, [Consultado 14 de Diciembre de 2013]
2 Revista Amrica Econmica, Poltica y Sociedad [En lnea] <http://www.americaeconomia.com/politicasociedad/politica/colombia-advierte-sobre-riesgo-de-ataque-informatico-durante-elecciones> [Consultado 14
de Diciembre de 2013]
12
Ciberseguridad:
Colombia
ante
un
ataque.
2012.
[En
lnea].
<www.gerente.com/detarticulo.php?CodArticl=385> [Consultado junio de 2013]
4
Informe
anual
de
fraude
Online
y
Cibercrimen
2012,
[En
lnea]
<http://www.s21sec.com/descargas/informe_anual_fraude_2009.pdf> [Consultado 14 de Diciembre de 2013]
13
El estudio realizado por esta compaa muestra que no hay cambios sustanciales
en las amenazas a la seguridad de la informacin, pero s hay aumento del ritmo
de ocurrencia de los incidentes de seguridad usando las mismas herramientas.
Llama la atencin la innovacin en los delitos por internet donde las bandas
organizadas buscan sacar el mayor provecho econmico a sus acciones y
concluye que se convierte en un riesgo mayor a empresas que no son objetivos de
estos ataques pero s las utilizan apoderndose de sus equipos de cmputo para
lograr sus objetivos. Estas empresas vctimas pueden estar ubicadas incluso a
nivel mundial y en pases lejanos al de origen del ataque. Tambin resalta el
ataque a las personas con el fin de deshabilitar los controles de seguridad para el
acceso a la red de la compaa, esto es ms fcil que atacar los sistemas de
seguridad. Por ltimo destaca el descubrimiento de nuevas vulnerabilidades a las
aplicaciones, protocolos de comunicaciones, sistemas operativos, equipos de
cmputo y controles que hace prever nuevos ataques. En otra lnea de problemas
se hicieron pblicos algunos mtodos para descifrar comunicaciones GSM.
Informe anual de fraude Online y Cibercrimen 2012, [En lnea]<www.s21sec.com> [Consultado 14 de Diciembre
de 2013]
14
15
lnea]
<https://www-
Villa Snchez, Paula A. Definicin de procesos de auditora interna del sistema de gestin de seguridad de la
informacin soportado en TIC. Pereira (Rda). Universidad Tecnolgica de Pereira, 2011.
17
18
3. JUSTIFICACIN
Cualquier empresa, sin importar su naturaleza, nmero de empleados, ubicacin
geogrfica, etc. realiza actividades similares como procesar informacin,
clasificarla como confidencial y por lo tanto protegerla; se expone a riesgos de
seguridad y riesgos fsicos y hacen alguna gestin al respecto. Se parte de la
premisa de que la informacin es tal vez el activo ms valioso de una
organizacin. La informacin puede ser almacenada en diferentes formas como
fsica, digital e incluso se considera el conocimiento como parte de sta.
La informacin puede ser transmitida de diferentes formas incluyendo
verbalmente. De una forma espontnea y descuidada podemos exponer este
activo con las actividades diarias, contratos, cotizaciones, acuerdos de niveles de
servicio, llamadas telefnicas, correo electrnico, reuniones con particulares,
tratamiento de temas internos en reas pblicas, manejo de impresiones y papel
reciclable, copia de correos electrnicos a personas no relacionadas con el tema
aunque haga parte de la compaa entre muchas otras. Estas situaciones se
presentan sirvindose tambin de la tecnologa, computadores, servidores,
aplicaciones, internet, etc.
Las organizaciones poseen informacin que se debe proteger ante todo riesgo y
amenaz; esto es un activo. Una amenaza es un evento o incidente de seguridad
que aprovecha una debilidad o vulnerabilidad y que afecta los activos. Exponer un
activo a que una amenaza se materialice conlleva a riesgos que podran afectar el
buen desempeo de la organizacin. En un proceso de gestin y tratamiento de
riesgos se establecen controles, procedimientos o mecanismos que disminuyen el
impacto o la probabilidad de ocurrencia del incidente, se determina el impacto y se
identifican reas o procesos que deben implementar controles 9 . Las
organizaciones deben ser conscientes que es imposible eliminar completamente el
riesgo y que siempre quedar algo residual.
El anlisis de riesgo debe cubrir todos los requerimientos de seguridad de la
organizacin y las expectativas de las partes interesadas, es decir, en la
elaboracin del mapa de riesgos deben participar los representantes de cada rea
9INTECO
19
10
20
Lo anterior indica que se debe realizar un inventario que identifique y clasifique los
activos de informacin como tambin los riesgos asociados a estos, obteniendo
as su descripcin, ubicacin y dueo. Cada rea de la organizacin es quien
conoce muy bien sus activos por lo tanto deben ser quienes definan el nivel de
seguridad requerido para este. El enfoque de procesos toma entradas y produce
resultados como salidas, esto quiere decir que los activos tambin se relacionan
entre s estableciendo dependencias. La idea es dibujar un rbol de dependencias
que permita encontrar los procesos afectados por la materializacin del riesgo en
uno o varios de ellos. Este inventario facilitar la valoracin de los activos con ms
importancia en el negocio y del impacto que un ataque sobre ste ocasione a la
organizacin.
La implementacin de un SGSI basado en la familia de normas ISO/IEC 27000
permite a la organizacin el ordenamiento de sus procesos y por lo tanto se logra
identificar ms fcilmente cules son las actividades crticas y que pueden generar
mayor impacto en caso de materializacin de un riesgo.
Se supone un xito del SGSI cuando se involucra toda la organizacin liderada por
la alta direccin debido a que es la que conoce la naturaleza del negocio, las
tendencias en el mercado, fortalezas y debilidades y a su recurso humano,
adems es quien tiene el poder de inyectar cambios culturales y directrices
necesarias para el buen funcionamiento del sistema, por lo tanto debe ser
involucrado todo el organigrama operacional. Tambin contribuyen al xito, la
conciencia de todo el personal por la seguridad de la informacin, que haya lideres
frente al tema y que las responsabilidades no sean compartidas o globales,
involucrar a los agentes externos y fortalecer valores sociales.
Los beneficios que una organizacin espera al implantar un SGSI son minimizar
los riesgos hasta un nivel asumible, uso racional de los recursos, ahorros en
inversiones por recuperacin de desastres, cumplimiento de leyes que la protegen
a s misma como a sus clientes y proveedores y contar con un ciclo de vida
Planear-Hacer-Verificar-Actuar para el manejo de la seguridad. Tambin se
obtiene una diferenciacin en el mercado logrando mayor competitividad y
finalmente el cumplimiento de objetivos.
Este proyecto permitir ahorrar parte de los costos sobre consultoras para
implementar un SGSI en la organizacin dado que se busca modelar procesos
para gestionar el riesgo y los controles necesarios basados en los requisitos
establecidos por la familia de normas tcnicas ISO/IEC 27000.
21
22
4. OBJETIVOS
4.1 OBJETIVO GENERAL
Modelar los procesos para gestionar el riesgo y seleccionar controles en la
implementacin del sistema de gestin de seguridad de la informacin en
las organizaciones.
23
5. MARCO REFERENCIAL
5.1 MARCO DE ANTECEDENTES
Segn la Organizacin Internacional de Estandarizacin ISO, en Colombia hay
82 compaas certificadas en ISO/IEC 27001.
Figura 6: Nmero de empresas certificadas actualmente ISO/IEC 27001 en Colombia.12
12International
24
Total
7084
1931
1923
1710
566
82
82
40
24
Japn
India
Reino Unido
China
USA
Colombia
Brasil
Argentina
Chile
25
15
26
16
27
28
21
29
24
30
Riesgo residual: nivel restante de riesgo despus del tratamiento del riesgo.
31
32
28
33
6. DISEO METODOLGICO
6.1 HIPTESIS
Ser posible definir guas de procesos para el tratamiento de los riesgos,
establecimiento de objetivos de control y controles que permitan medir su eficacia,
segn los requisitos definidos en la norma ISO 27001, y que puedan ser utilizadas
por cualquier organizacin?
6.3 METODOLOGA
Inicialmente, se realizar un completo estudio y anlisis del grupo de normas
ISO/IEC 27000.
Para modelar procesos se utilizarn herramientas informticas como Bizzagi, la
cual es un software para administrar procesos de negocios.
Por otro lado, se complementar y ajustar informacin a los procesos mediante la
implementacin de un escenario piloto en una organizacin de la regin buscando
as aplicarlo en condiciones reales del mercado.
Para tratar la gestin del riesgo se aplicar la metodologa ISO/IEC 27005 y para
seleccionar e implementar los controles buscando garantizar la reduccin de estos
hasta un nivel aceptable se aplicar la ISO/IEC 27002, teniendo en cuenta que es
posible incorporar directrices adicionales propias relacionndolas a los numerales
de la norma de tal forma que sean validados por las entidades certificadoras.
34
6.4 POBLACIN
El proyecto est dirigido inicialmente a una empresa de la regin mediante una
prueba piloto donde se busca validar que la implementacin de las guas
propuestas en este proyecto permitan implantar el SGSI en la organizacin. De
igual manera est enfocado en general al sector empresarial de la regin sin
importar su actividad econmica y que mediante la simulacin pueda anticipar y
mejorar sus procesos encaminndose desde un principio hacia una consultora y/o
auditora.
De igual forma, la investigacin es de inters para la poblacin universitaria de
pregrado y posgrado, para quienes deseen estudiar el grupo de normas y para
quienes desarrollen proyectos relacionados.
35
7. PROCESO DE DISEO Y
CONSTRUCCIN DE LA GUA
A continuacin se describe el proceso mediante el cual se dise y construy la
gua propuesta para gestionar el riesgo.
37
Por otro lado, se detect que amenazas de otras categoras cobran mucha
importancia y pueden materializar riesgos como inundaciones, cortes energticos,
incendios, indisponibilidad de comunicaciones, etc. Debido a lo anterior, la gua
hace un nfasis en la valoracin del riesgo, especialmente en la metodologa de
identificacin de activos haciendo un amplio y detallado anlisis en su clasificacin
e identificando sus responsables para obtener una valoracin cuantitativa y
cualitativa adecuada. Esta valoracin es aprobada en segunda instancia por el
dueo del proceso y el grupo SGSI Gestin del riesgo y avalada finalmente por la
alta direccin.
Junto con el anlisis de estadsticas histricas sobre eventos o incidentes de
seguridad ocurridos sobre los activos de informacin, la gua facilita la
identificacin y valoracin de amenazas y vulnerabilidades dando fuentes para
ubicarlas y actualizarlas y por lo tanto permitiendo valorar los escenarios
incidentes dada su combinacin.
Se realiz un completo estudio y anlisis del grupo de normas ISO/IEC 27000 y se
busc un marco genrico, metdico y detallado que permita el cumplimiento de
requisitos y recomendaciones. De ISO/IEC 27000 se toma el marco terico del
SGSI y la descripcin del ciclo PHVA y se alinean los conceptos a los trminos y
definiciones que incorpora. Cada actividad de la gua aporta al cumplimiento de los
requisitos definidos en ISO/IEC 27001 para establecer, implementar, operar y
monitorear el SGSI incluyendo documentos y registros mnimos que debe
contener para evidenciar el grado de funcionamiento del sistema.
38
40
41
42
43
8. ANLISIS DE APLICABILIDAD DE LA
GUA
8.1 EVALUACIN DE EXPERTOS
Las preguntas de la encuesta dispuesta para la evaluacin de los expertos fueron
diseadas de tal forma que evidenciaran el grado de cumplimiento de las fases de
la gua para gestionar el riesgo, que a la vez reflejan el de los objetivos del
proyecto por estar alineados entre s. Al final se solicit evaluar en forma general
si la aplicacin de la gua permitira gestionar el riesgo de forma exitosa en una
organizacin de la zona, requiriendo adems la justificacin de la respuesta del
experto. Tambin a su juicio, se pidi cuantificar el grado de apoyo que ofrece la
gua para implantar un SGSI.
Los expertos fueron seleccionados de acuerdo a su relacin con el tema desde la
academia y/o desde su experiencia laboral, buscando que su anlisis sobre la gua
fuera consistente con la realidad de la regin.
Se muestran a continuacin los resultados obtenidos:
44
45
El 55% de los expertos indican que se cubren los requisitos entre un nivel alto y
muy alto. Se incluye este aspecto bajo las recomendaciones dadas en el captulo
9 dado que se esperaba un mejor resultado considerando que hay aspectos de
valor agregado frente a las metodologas tpicas como la organizacin de la
seguridad, definicin de requisitos de seguridad, asignacin de presupuesto,
anlisis de estadsticas histricas, identificacin de controles existentes, filtros de
resultados a cargo del comit SGSI y un mtodo amplio y suficiente para estimar
el riesgo que permite realizar un anlisis completo de la organizacin basado en
sistemas (procesos o reas de la compaa), priorizando fcilmente las acciones a
seguir entre ellos y a su vez priorizar dentro de cada uno los activos a proteger.
46
47
48
El 78% de los expertos consideran un alto grado de cumplimiento para este caso.
El diseo de la fase de monitoreo y revisin del riesgo consider insumo desde las
otras fases en todo momento para cumplir satisfactoria y oportunamente acciones
preventivas y correctivas ante cualquier variable que dispare esta accin.
49
50
52
9. CONCLUSIONES
La gua desarrollada no se limita a gestionar el riesgo, tiene un alcance mayor ya
que trata el proceso bajo el esquema de un SGSI ofreciendo a sus usuarios un
valor agregado importante.
El proceso de gestin requiere de una dedicacin permanente y continua, exige
compromiso de la alta direccin y recursos destinados a garantizar su planeacin,
implementacin, actualizacin, monitoreo y revisin.
El mtodo utilizado en la fase valoracin del riesgo analiza los procesos de la
organizacin como sistemas individuales permitiendo priorizarlos entre s,
midiendo el impacto acumulativo de todos los escenarios sobre un mismo activo.
La fase tratamiento de riesgos de la gua racionaliza recursos e inversiones,
buscando que la organizacin maximice el uso de los controles existentes y se
consideren en primer lugar formas sencillas pero efectivas para enfrentarlos.
La metodologa incorpora acciones de mejora continua, comunica el riesgo en
todas las instancias del proceso, rene insumos oportunos para su monitoreo y
revisin, como tambin divulga los planes y sensibiliza la organizacin hacia una
cultura de seguridad de la informacin.
La evaluacin de especialistas a este proyecto pronostic un alto grado de xito
en su aplicacin general para gestionar el riesgo en una empresa de la regin y
como apoyo para implantar un SGSI, un alto grado de cumplimiento frente a las
normas ISO/IEC 27000. Dichas normas son globales, no detalladas y por ello
algunos aspectos analizados por los evaluadores ante esta propuesta se agrupan
por igual porcentaje entre bueno y muy bueno, razn por la cual se plantearon
recomendaciones a los temas anlisis, evaluacin de riesgos y medicin de
eficacia de controles. Posiblemente la estructuracin de la gua y su explicacin
detallada como documentos separados no facilit la comprensin de criterios al
momento de evaluarla.
La prueba piloto aplicada a una empresa de la regin, demostr aplicabilidad de la
gua para gestionar el riesgo, ofreci resultados satisfactorios demostrando que
aunque una organizacin tenga un SGSI en construccin, es posible mejorarlo,
ajustarlo y/o generar nuevos procedimientos al respecto.
53
10. RECOMENDACIONES
Es necesario para el usuario que durante la prctica cuente con el documento
completo de la gua, su anexo sobre la descripcin detallada de actividades en
cada fase y las normas ISO/IEC 27000, ya que el volumen de informacin a
administrar puede llegar a ser considerable en alguna instancia del proceso y
maniobrar con un solo soporte puede inducir a confusin en los conceptos y
desviar el curso de la metodologa planteada. Puede facilitar esta labor compilar
la gua y su anexo detallado como un solo documento.
Para futuras versiones del proyecto:
Una actualizacin de la metodologa por lo menos cada dos (2) aos para
ordenarlo conforme a las actualizaciones de las normas ISO/IEC 27000 y/o
diferentes metodologas normalizadas, como tambin requisitos de las
empresas de la regin.
54
55
BIBLIOGRAFA
ALLEN, Julia H. Information Security as an Institutional Priority. Disponible en:
<http://www.cert.org/archive/pdf/info-sec-ip.pdf>
Ciberseguridad:
Colombia
ante
un
ataque.
<www.gerente.com/detarticulo.php?CodArticl=385>
Disponible
en:
Cumbre Mundial sobre la Sociedad de la Informacin. Documento: WSIS05/TUNIS/DOC/6 (Rev. 1)-S. Disponible en:
<http://www.itu.int/wsis/docs2/tunis/off/6rev1-es.html>
en:
56
57
ANEXO A
GUA PROPUESTA PARA LA GESTIN DEL
RIESGO
El estndar ISO/IEC 27001 define un Sistema de Gestin de Seguridad de la
Informacin (SGSI) basado en procesos bajo el modelo Planear-Hacer-VerificarActuar (PHVA) el cual se utiliza para operar y mantener el sistema. En cada fase
se establecen las actividades a realizar con el fin de conformar el sistema dentro
de una operacin eficiente.
Cualquier organizacin busca como uno de sus objetivos principales, mantener su
negocio en continua operacin. Asegurar la informacin vital se hace necesario e
indispensable. Una herramienta de gestin que permite esta labor es implementar
un SGSI ya que disminuye los riesgos a los que se someten los activos de
informacin.
Una de las actividades claves es conocer los procesos corporativos e identificar
los activos de informacin, sus caractersticas y las dependencias que permiten
obtener un producto o servicio propio del negocio, tambin se debe conocer sus
amenazas y enfrentarlas adecuadamente. As es ms fcil organizar los sistemas
de informacin, establecer polticas y/o procedimientos y definir controles que
mediante la medicin peridica de su eficacia disminuirn los eventos de
seguridad. Cundo existen controles para minimizar o evitar la ocurrencia de un
riesgo y este se materializa, se denomina evento. Se llama incidente cuando las
consecuencias del riesgo se sufren y no han sido previstas.
Es importante para la alta direccin de la organizacin y para quienes deben
documentar y ejecutar los procesos de implementacin del SGSI o solamente para
realizar la fase de gestin del riesgo, iniciar con la fase planear definiendo un
estado preliminar que indique qu tan preparada se encuentra la organizacin
para afrontar la implantacin del nuevo sistema y ayudar as a identificar los
recursos que se requieren para comenzar con el proceso. Para esto se debe
realizar un completo levantamiento de informacin que cubra cada uno de los
temas exigidos por la norma ISO/IEC 27001 y que adems cada punto sea
medible tanto cualitativa como cuantitativamente, para que de esta manera se
pueda definir cules son los procesos que exigen mayor atencin de acuerdo a su
58
A continuacin se hace una descripcin de cmo se alinea la gua con cada norma
del grupo.
ISO/IEC 27000:2009 presenta un resumen de la familia de estndares, ofrece una
introduccin a un SGSI, describe el ciclo Planear-Hacer-Verificar-Actuar (PHVA) y
29
60
61
62
Monitoreo y revisin del riesgo: Hace parte de la fase verificar del ciclo
PHVA del SGSI. Considerando que los riesgos son cambiantes, esta
actividad permite una alineacin continua entre el proceso de gestin del
63
A continuacin se hace una descripcin de cmo se alinea la gua con cada fase
del ciclo PHVA.
La gua plantea procesos de mejora continua involucrando interacciones hasta
lograr reduccin de los riesgos en niveles aceptables por la organizacin. Inicia
con la planeacin, donde se plantea un conocimiento detallado de la organizacin
y sus requisitos de seguridad de la informacin como punto importante de partida
para realizar los siguientes procesos:
64
65
b. Ejecutar accin.
1. Definir procesos que harn parte de la Gestin del Riesgo.
2. Definir requisitos de seguridad.
3. Asignar presupuesto, estimacin de alto nivel de los recursos econmicos y
reservarlos con el fin de implantar y mantener el proceso de Gestin del Riesgo.
4. Valorar los Riesgos.
Analizar los riesgos. En esta fase se encuentran, enumeran y se
caracterizan los riesgos a los que se considera que est expuesta la
organizacin.
Identificar activos de informacin.
Realizar anlisis de estadsticas histricas sobre incidentes o eventos de
seguridad.
Identificar
los
riesgos:
Identificar
consecuencias y controles existentes.
amenazas,
vulnerabilidades,
66
c. Documentar resultados.
Los resultados finales y las debidas actualizaciones son consolidados en un nico
documento tipo carpeta, separados e identificados bajo un ndice por la fase o
numeral de la gua permitiendo trazabilidad a la gestin y facilitando consultar la
informacin requerida.
67
b. Ejecutar Accin.
1.
68
69
4.
Alimentar la fase de comunicacin del riesgo midiendo el alcance y
restricciones al pblico destino.
5. Alimentar el plan de comunicacin y sensibilizacin organizacional midiendo el
alcance y restricciones al pblico destino.
70
c. Documentar resultados.
Los resultados finales y las debidas actualizaciones son consolidados en un nico
documento tipo carpeta, separados e identificados bajo un ndice por la fase o
numeral de la gua permitiendo trazabilidad a la gestin y facilitando consultar la
informacin requerida.
b. Ejecutar accin.
1. Analizar si el plan de tratamiento del riesgo fue satisfactorio y es aceptado.
Basado en los resultados de las fases identificacin, estimacin y evaluacin del
riesgo para el periodo bajo prueba o movido por un evento o incidente se
seguridad, la alta direccin y el grupo SGSI debe analizar, documentar y aprobar:
Cules riesgos tratados se han reducido a niveles aceptables y cumplen las
expectativas de seguridad de las partes interesadas continuando as con las
siguientes fases del proceso.
Sobre los riesgos tratados pero que se mantienen en niveles intolerables,
decidiendo si se debe redefinir solamente la fase de tratamiento o realizar
varias iteraciones del ciclo hasta obtener resultados satisfactorio.
Si se aceptan ciertos riesgos sin tratamiento o tratados pero por encima de
niveles aceptables para la organizacin (por beneficios indirectos o costos
de tratamiento demasiado altos) continuando as con las siguientes fases
del proceso.
71
2.
Alimentar la fase de comunicacin del riesgo midiendo el alcance y
restricciones al pblico destino.
3. Alimentar el plan de comunicacin y sensibilizacin organizacional midiendo el
alcance y restricciones al pblico destino.
c. Documentar resultados.
Los resultados finales y las debidas actualizaciones son consolidados en un nico
documento tipo carpeta, separados e identificados bajo un ndice por la fase o
numeral de la gua permitiendo trazabilidad a la gestin y facilitando consultar la
informacin requerida.
b. Ejecutar accin.
1. Comunicar el riesgo.
A travs de un comit principal realizado por integrantes del grupo SGSI y
con frecuencia mensual, generar un plan de comunicaciones que se aplique
en cada instancia del flujo de gestin del riesgo de tal forma que permita al
equipo de trabajo comprensin continua de las actividades, adems de
revisar avances, resultados, alinear y aclarar planes y decisiones entre el
grupo SGSI, la alta direccin y los dueos de los procesos. Documentar y
registrar actas de reunin.
A travs de un comit secundario realizado entre los dueos de los
procesos y sus equipos de trabajo, donde se mide el alcance y las
72
3.
Alimentar la fase de comunicacin del riesgo midiendo el alcance y
restricciones al pblico destino.
4. Alimentar el plan de comunicacin y sensibilizacin organizacional midiendo el
alcance y restricciones al pblico destino.
73
c. Documentar resultados.
Los resultados finales y las debidas actualizaciones son consolidados en un nico
documento tipo carpeta, separados e identificados bajo un ndice por la fase o
numeral de la gua permitiendo trazabilidad a la gestin y facilitando consultar la
informacin requerida.
74
ANEXO B
PRUEBA PILOTO
GUA BASADA EN EL GRUPO DE NORMAS INTERNACIONALES ISO/IEC
27000 PARA GESTIONAR EL RIESGO Y SELECCIONAR CONTROLES EN
LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE
LA INFORMACIN.
Como parte del alcance del proyecto denominado MODELAMIENTO DE
PROCESOS BASADOS EN EL GRUPO DE NORMAS INTERNACIONALES
ISO/IEC 27000 PARA GESTIONAR EL RIESGO Y SELECCIONAR CONTROLES
EN LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN del cual resulta la GUA BASADA EN EL GRUPO DE NORMAS
INTERNACIONALES ISO/IEC 27000 PARA GESTIONAR EL RIESGO Y
SELECCIONAR CONTROLES EN LA IMPLEMENTACIN DEL SISTEMA DE
GESTIN DE SEGURIDAD DE LA INFORMACIN, se presenta a continuacin la
descripcin de la prueba piloto que se realiz para validar la aplicabilidad y
funcionalidad de la mencionada gua en una empresa de la regin.
Para la aplicacin de esta prueba piloto se estableci contacto con una Institucin
de orden nacional que hace presencia en la regin y se obtuvieron las
aprobaciones requeridas por parte de la Directora Regional para acceder a una
parte de la informacin que se maneja en un rea administrativa con el fin de
utilizarla como insumo para la aplicacin de la Gua de Gestin del Riesgo
propuesta y con ello validar su utilidad en la implementacin de un Sistema de
Gestin de Seguridad de la Informacin.
La entidad cuenta con 33 Sedes Regionales y 206 Centros de atencin a lo largo
de todo el pas en los cuales se atienden las solicitudes y se prestan los servicios
a la poblacin objetivo.
El funcionamiento general de la institucin est enmarcado dentro del Mapa
Procesos y procedimientos de la entidad. Dado que la Regional Risaralda se
encuentra ya certificada en el Sistema de Gestin de Calidad bajo la norma ISO
9001, se pueden encontrar procedimientos oficiales que establecen las actividades
que se deben llevar a cabo para el cumplimiento de una tarea especfica, que para
75
76
Aprobar/Negar la solicitud.
77
78
79
Con insumos provistos por los CA, registrar directamente en el SIM algunos
servicios a cargo de la regional.
81
Requisito:
Sumatoria
Mxima
Posible
Porcentaje
Avance
Planear-Planear
188
300
62,7%
Planear-Hacer
16
40
40,0%
Planear-Verificar
17
32
53,1%
Planear-Actuar
16
56,3%
Sub Fase
82
Para determinar el porcentaje de avance del primer aspecto tocado por ISO/IEC
27001 llamado SGSI y que corresponde a la fase Planear del ciclo PHVA, basta
con multiplicar el avance de cada una de las cuatro sub fases por el 25% y sumar
los resultados, obteniendo as que dicho porcentaje de avance de esta fase es el
53%.
Teniendo en cuenta que la anterior calificacin corresponde a uno de los cinco
aspectos que componen la norma ISO/IEC 27001, el porcentaje de avance
respecto a la implementacin de todo el SGSI es: 53% * 20% = 10,6%. Se debe
recordar que el alcance de la gua es la fase Planear y no aborda las otras cuatro,
sin embargo la entidad s ha realizado gestin sobre ellas y por lo tanto el estado
de implementacin del SGSI ser mayor solo que no se reflejar en la gua por lo
antes aclarado.
83
84
El Comit de Direccin fue delegado por la Directora Regional quien tiene las
facultades de aprobar el apoyo a la aplicacin de esta prueba piloto en la
entidad a nivel regional, dejando a cargo de este rol a la Coordinadora del
grupo Planeacin y Sistemas como responsable de tomar las decisiones de
alto nivel frente a la seguridad de la informacin ya que los procedimientos y
rea de aplicacin seleccionados son competencia de este grupo.
85
2.
ACCIN
86
2.2 Definir requisitos de Seguridad. En reunin sostenida por el Comit de Gestin se definen los siguientes
aspectos a tener en cuenta para proteger los activos de informacin del rea Planeacin Financiera segn los
procedimientos seleccionados, todos relacionados al proceso de Gestin Tecnolgica dentro del marco
corporativo y como rea interesada el Grupo de Planeacin y Sistemas Regional Risaralda. De esta forma se
cumple la fase comunicar el riesgo.
Cuadro 2: Requisitos de Seguridad Prueba Piloto.
REQUISITO DE SEGURIDAD
Integridad y disponibilidad de la informacin.
Calidad de la informacin registrada por los CA.
Autenticidad y control de acceso en la
informacin enviada por los CA.
Autenticidad y control de acceso al aplicativo
SIM.
Cumplir niveles de servicio para entrega de
reportes de seguimiento a los CA.
Calidad en anlisis y propuestas de mejora en
busca de cumplimiento de las metas
propuestas.
Cumplir niveles de servicio en programacin y
ejecucin de metas sociales y financieras de la
vigencia actual y prxima.
No afectar los indicadores de gestin de la
regional.
LEY ASOCIADA
CONSECUENCIAS
Misin,
Visin,
Objetivos
Institucionales,
Poltica
de
seguridad.
Misin,
Visin,
Objetivos
Institucionales.
Objetivos Institucionales, Poltica de
seguridad.
Objetivos Institucionales, Poltica de
seguridad.
Misin,
Visin,
Objetivos
Institucionales.
Misin,
Visin,
Institucionales.
Misin,
Visin,
Institucionales.
Objetivos Institucionales.
87
Identificacin de activos.
88
EQUIPO DE
COMPUTO
CODIGO ESCENARIO
66_PlaF-003
Fallas tcnicas
66_PlaF-004
Fallas tcnicas
66_PlaF-005
66_PlaF-006
RECURSO HUMANO
66_PlaF-001
66_PlaF-002
REPORTES Y
REGISTROS DE
INFORMACION
Compromiso de la
informacin
Compromiso de la
informacin
Acciones no
autorizadas
Compromiso de las
funciones
66_PlaF-007
Compromiso de la
informacin
66_PlaF-008
Fallas tcnicas
66_PlaF-009
Fallas tcnicas
66_PlaF-010
Acciones no
autorizadas
66_PlaF-011
66_PlaF-012
66_PlaF-013
66_PlaF-014
66_PlaF-015
66_PlaF-016
66_PlaF-017
b.
DOMINIO AMENAZA
Compromiso de la
informacin
Compromiso de la
informacin
Perdida de servicios
esenciales
Perdida de servicios
esenciales
Perdida de servicios
esenciales
Perdida de servicios
esenciales
Perdida de servicios
esenciales
AMENAZA
Falla en equipo de
computo
Falla en equipo de
computo
DOMINIO
VULNERABILIDAD
Tcnico
Falta de mantenimiento
Tcnico
Robo, vandalismo
Personal
Robo, vandalismo
Lugar
Ingreso intencional de
datos falsos o corruptos
Error involuntario en
registro de datos
Perdida de informacin
Errores de procesamiento
en aplicacin SIM
Errores de procesamiento
en aplicacin SIM
VULNERABILIDAD
Personal
Empleado insatisfecho
Personal
Aplicacin inadecuada de
procedimientos
Personal
Software
Software
Acceso no autorizado
Personal
Virus
Software
Virus
Personal
No se aplica PR15-MPA6
Falla de servicios de
telecomunicaciones
Falla de servicios de
telecomunicaciones
Falla plataforma telefona
IP
Falla plataforma telefona
IP
Falla plataforma telefona
IP
Red
Red
Red
Red
Red
89
c.
d.
90
AMENAZA
VULNERABILIDAD
EQUIPO DE COMPUTO
Acceso no autorizado
Errores de procesamiento en
aplicacin SIM
RECURSO HUMANO
REPORTES Y REGISTROS
DE INFORMACION
Falla de servicios de
telecomunicaciones
RECURSO HUMANO
91
92
ACTIVO
RECURSO HUMANO
EQUIPO DE COMPUTO
REPORTES Y REGISTROS DE INFORMACIN
Requisito
2.
Accin
Por otro lado, diez (10) salvaguardas de orden tcnico apuntan hacia los
dominios: 9. Seguridad Fsica y del Entorno (Objetivos: 9.1 reas Seguras,
9.2 Seguridad de los Equipos), 10. Gestin de Comunicaciones y
Operaciones (Objetivo: 10.10 Monitoreo) y 11. Control de Acceso (Objetivo:
11.6 control de acceso a las aplicaciones y a la informacin).
94
Se identifica que los dominios presentes son comunes para todos los activos
y que varios controles protegen ms de un activo sin redundancia. Por
ejemplo, el PR15 MPA6 cubre tres (3) dominios, cinco (5) objetivos de control
y diez (10) controles de la norma y en todos los casos es aplicable.
95
RETENER
RETENERTRANSFERIR
TRANSFERIR
CODIGO ESCENARIO
JUSTIFICACION TRATAMIENTO
CONTROL ASOCIADO
66_PlaF-005
66_PlaF-007
66_PlaF-010
66_PlaF-012
66_PlaF-001
66_PlaF-003
66_PlaF-004
66_PlaF-006
66_PlaF-008
Procedimientos de desarrollo de
Software
66_PlaF-009
66_PlaF-011
66_PlaF-013
66_PlaF-014
66_PlaF-002
96
TRANSFERIR
CODIGO ESCENARIO
CONTROL ASOCIADO
JUSTIFICACION TRATAMIENTO
66_PlaF-015
66_PlaF-016
66_PlaF-017
Requisito
El comit de gestin valid que la fase Planeacin del Tratamiento del Riesgo est
cumplida satisfactoriamente y ha sido documentada. Esto a pesar de no incluir la
97
2.
Accin.
2.1 Validacin para que el plan de tratamiento del riesgo sea satisfactorio y
aceptado.
En anlisis del comit SGSI, se establece que este componente de la gua no
puede ser valorado debido a que incorpora la ejecucin de actividades que s se
han proyectado a lo largo de la prueba piloto pero no sern realizadas debido a
razones propias de la organizacin ya expuestas. Otro factor es que los requisitos
de esta etapa no se cumplieron completamente y por lo tanto harn falta insumos
importantes para medir resultados sobre el tratamiento del riesgo. Finalmente el
alcance de la prueba piloto en esta instancia se ubica en la fase Planear-Hacer, no
en el Hacer.
Por lo anterior no es posible determinar:
Requisito
El comit SGSI determina que no hay informacin suficiente para cumplir esta
etapa de la gua ya que la fase tratamiento del riesgo ha sido cumplida hasta su
98
fase Planear-Hacer, aplicando el mismo soporte dado en la etapa III. Sin embargo,
el comit nuevamente considera que la metodologa es adecuada para cumplir el
objetivo de la fase en otro escenario de prueba piloto.
2.
Accin
99
3.
Resultados
101
ANEXO C
MODELAMIENTO DE PROCESOS EN BIZAGI
BUSSINESS PROCESS MANAGEMENT - BPM: La Administracin de Procesos
de Negocio es una metodologa corporativa cuyo objetivo es mejorar el
desempeo (Eficiencia y Eficacia) de la Organizacin a travs de la gestin de los
procesos de negocio que se deben disear, modelar, organizar, documentar y
optimizar de forma continua.
Un proceso de negocio representa una serie discreta de actividades o tareas que
pueden incluir personas, aplicativos, eventos de negocio y organizaciones. Las
ventajas del modelado BPM es el entendimiento, visibilidad y control de los
procesos de negocio de una organizacin. Para soportar esta estrategia es
necesario contar con un conjunto de herramientas que den el soporte necesario
para cumplir con el ciclo de vida de BPM, estas herramientas normalmente siguen
una notacin comn denominada BPMN (Business Process Modeling Notation).30
30
102
32
103
Diagrama general del proceso de Gestin del Riesgo Norma ISO/IEC 27005.
104
105
106
107
108
109
110
111
112
113
2.3.
114
115
116
117
118
119
120
121
122
123
CONTENIDO
pg.
I.
INTRODUCCIN .............................................................................................. 4
NDICE DE FIGURAS
Figura 1: Proceso Gestin del Riesgo ISO/IEC 27005. ......................................... 65
Figura 2: Fases de la norma ISO/IEC 27001 y subcaptulos de la fase Planear ... 30
Figura 3: Modelo de gestin propuesto para trabajar el SGSI .............................. 33
Figura 4: Identificacin y valoracin de activos proceso de Produccin caso de
estudio. .................................................................................................................. 50
Figura 5: Identificacin y valoracin de amenazas proceso Produccin caso de
estudio. .................................................................................................................. 56
Figura 6: Vulnerabilidades identificadas para el caso de estudio, proceso
Produccin. ........................................................................................................... 62
Figura 7: Clculo de la Probabilidad de escenarios incidentes caso de estudio. .. 73
Figura 8: Estimacin del impacto clasificado por activo para el caso de estudio. . 75
Figura 9: Importancia de los activos sistema Produccin caso de estudio. ........... 78
Figura 10: Definicin del Tiempo Objetivo de Recuperacin. ................................ 81
Figura 11: Definicin del Punto Objetivo de Recuperacin (RPO) ........................ 82
Figura 12: Planes que componen un PCN. ........................................................... 83
Figura 13: Actividades Generales a seguir en un PCN despus de un incidente.. 83
Figura 14: Opciones para tratar el riesgo segn ISO/IEC 27005. ......................... 88
Figura 15: Procedimiento inicial para definir la opcin de tratamiento del riesgo. . 99
NDICE DE CUADROS
Cuadro 1: Formato para diagnstico basado en la norma ISO/IEC 27001. .......... 22
Cuadro 2: Ejemplo requisitos de seguridad para los procesos bajo gestin del
riesgo y PCN. ........................................................................................................ 39
Cuadro 3: Amenazas Comunes segn ISO/IEC 27005. ........................................ 52
Cuadro 4: Fuentes de amenazas humana segn ISO/IEC 27005......................... 53
Cuadro 5: Ejemplos de vulnerabilidades segn ISO/IEC 27005 ........................... 57
Cuadro 6: Clasificacin genrica de consecuencias. ............................................ 67
Cuadro 7: Criterio para asignar probabilidad del escenario incidente. .................. 71
Cuadro 8: Criterio para determinar la Probabilidad de ocurrencia y criticidad del
Riesgo sobre el Activo. ......................................................................................... 74
Cuadro 9: Probabilidad de ocurrencia y criticidad del Riesgo sobre el Activo caso
de estudio. ............................................................................................................. 74
Cuadro 10: Resumen Dominios, Objetivos de control y Controles ISO/IEC 2700290
I.
INTRODUCCIN
Los incidentes y eventos de seguridad son aquellas amenazas que explotan una
vulnerabilidad de un activo de informacin materializndose en un riesgo. Por lo
tanto gestionar el riesgo a travs de un SGSI es un proceso cuyo objetivo es
mantenerlos en un nivel aceptable para la organizacin amparando as la
confidencialidad, integridad y disponibilidad de los activos de informacin ante
clientes, proveedores, para s mismo y cualquier parte interesada en el negocio; el
resultado final es asegurar los objetivos de rentabilidad del oficio.
Los controles implementados reducirn los riesgos al nivel aceptable, si se
producen daos sern de bajo impacto y la continuidad del negocio se asegura.
Se deriva de esto un ahorro en los costos que implica prever y racionalizar
recursos eliminando inversiones innecesarias o mal diseadas generando
ineficiencia, incumplimiento del marco legal y contractual. Finalmente la Seguridad
pasa de ser una serie de actividades organizadas a tener un ciclo de gestin.
Para que el ciclo de gestin funcione adecuadamente, requiere el compromiso y
liderazgo de la alta gerencia de la organizacin debido a su conocimiento y
experiencia en el negocio y por su capacidad para implantar nuevos
procedimientos en los procesos.
En las compaas donde se est trabajando para implementar un Sistema Integral
de Gestin o que ya se haya implantado por lo menos otro sistema de calidad, se
deben ajustar procesos y/o procedimientos ya definidos en su marco operativo,
logrando trabajar en paralelo las tareas que involucren todos los sistemas, para
evitar reproceso y manteniendo la coherencia entre las actividades de cada
sistema.
2. ESTRUCTURA DE LA GUA
La gua establece el cumplimiento de actividades enfocadas en cuatro etapas para
gestionar el riesgo:
-
A continuacin se hace una descripcin de cmo se alinea la gua con cada norma
del grupo.
ISO/IEC 27000:2009 presenta un resumen de la familia de estndares, ofrece una
introduccin a un SGSI, describe el ciclo Planear-Hacer-Verificar-Actuar (P-H-VA) y presenta trminos y definiciones usadas en las normas para precisar trminos
y evitar confusiones. La gua basa en ella, su fundamento terico y conceptos.
33
Monitoreo y revisin del riesgo: Hace parte de la fase verificar del ciclo P-HV-A del SGSI. Considerando que los riesgos son cambiantes, esta actividad
permite una alineacin continua entre el proceso de gestin del riesgo y los
cambios que afectan la Organizacin y su entorno. Conforma la calidad y
mejora continua del proceso.
9
A continuacin se hace una descripcin de cmo se alinea la gua con cada fase
del ciclo P-H-V-A.
La gua plantea procesos de mejora continua involucrando interacciones hasta
lograr reduccin de los riesgos en niveles aceptables por la organizacin. Inicia
con la planeacin, donde se plantea un conocimiento detallado de la organizacin
y sus requisitos de seguridad de la informacin como punto importante de partida
para realizar los siguientes procesos:
10
11
3. ETAPA I: IDENTIFICACIN Y
EVALUACIN PARA EL TRATAMIENTO
DE LOS RIESGOS.
3.1 Reunir requisitos para esta actividad.
Validar que las fases anlisis y diagnstico SGSI y Organizacin de la Seguridad
estn cumplidas y documentadas.
amenazas,
vulnerabilidades,
12
5.2.5. Alimentar la fase de comunicacin del riesgo midiendo el alcance y restricciones al pblico
destino.
5.2.6. Alimentar el plan de comunicacin y sensibilizacin organizacional midiendo el alcance y
restricciones al pblico destino.
13
14
Definir si se debe realizar otra iteracin del flujo gestin del riesgo debido a
revisin peridica del proceso cada seis meses o por un evento o incidente
de seguridad no tratado satisfactoriamente.
15
16
4.2.4. Alimentar la fase de comunicacin del riesgo midiendo el alcance y restricciones al pblico
destino.
4.2.5. Alimentar el plan de comunicacin y sensibilizacin organizacional midiendo el alcance y
restricciones al pblico destino.
17
18
6.2.3. Alimentar la fase de comunicacin del riesgo midiendo el alcance y restricciones al pblico
destino.
19
20
ANEXO A
DESCRIPCIN DETALLADA DE LAS ACTIVIDADES DE
CADA ETAPA DE LA GESTIN DEL RIESGO
A.1
A.1.1 Requisito
Compromiso de la alta Direccin para realizar el diagnstico. Considerando que la
Organizacin puede no tener en marcha ningn sistema de gestin, que est en
proceso de implementacin o por el contrario ya est en funcionamiento alguno,
corresponde a la alta Direccin liderar esta fase en conjunto con el administrador
del sistema implementado o a quien delegue segn sea el caso. Mediante acta de
reunin, la Direccin aprueba el inicio de las actividades correspondientes a esta
fase y asigna los responsables de ejecucin, seguimiento y anlisis.
A.1.2 Accin
A.1.2.1
Toma de datos.
21
NUMERAL
CICLO
PROCESO
ESTADO
ACTUAL
4.2.1
ESTABLECIMIENTO
GESTIN SGSI
4.2.1.a
4.2.1.a
Estn
definidas
caractersticas del negocio?
4.2.1.a
4.2.1.a
VARIABLE
las
22
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
4.2.1.a
4.2.1.a
4.2.1.a
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
4.2.1.a
4.2.1.a
4.2.1.b
POLTICA DE SEGURIDAD
4.2.1.b
ESTADO
ACTUAL
4.2.1.b
Existe
declaracin
de
Direccin para el apoyo
objetivos
y
principios
seguridad?
la
de
de
4.2.1.b
4.2.1.b
Existe
una
definicin
de
responsabilidades generales y
especificas en cada rol?
4.2.1.b
4.2.1.b
4.2.1.b
Se han seleccionado
medidas
de
seguridad
implementar?
4.2.1.b
las
a
4.2.1.b
4.2.1.b
Se ha publicado y aprobado la
poltica de seguridad por parte de
la Direccin?
23
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
4.2.1.b
4.2.1.b
4.2.1.a
ORGANIZACIN
SEGURIDAD
4.2.1.a
Se
ha
seleccionado
responsable de la seguridad?
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
4.2.1.a
Se ha nombrado al Comit de
Direccin?
4.2.1.a
Se ha nombrado al Comit de
Gestin?
4.2.1.a
4.2.1.a
4.2.1.a
SENSIBILIZACIN
Y
FORMACIN DEL PERSONAL
4.2.1.a
4.2.1.a
Se ha capacitado al personal
encargado de la SGSI para
enfrentar
sus
nuevas
actividades?
4.2.1.a
Existe
Documento
sensibilizacin y formacin del
personal?
4.2.1.d
IDENTIFICACIN DE ACTIVOS
4.2.1.d
Se
ha
metodologa
activos?
4.2.1.d
4.2.1.d
Estn incluidos
intangibles
Organizacional)?
4.2.1.d
Se ha determinado el ciclo de
vida til de los activos?
4.2.1.d
DE
LA
al
ESTADO
ACTUAL
definido
alguna
para
identificar
los
activos
(Imagen
24
de
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
4.2.1.d
4.2.1.d
VALORACIN DE ACTIVOS
4.2.1.d
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
4.2.1.d
4.2.1.d
4.2.1.d
IDENTIFICACIN DE RIESGOS
4.2.1.d
4.2.1.d
4.2.1.d
4.2.1.d
4.2.1.d
4.2.1.d
4.2.1.e
Se
ha
determinado
la
probabilidad de ocurrencia de un
riesgo?
4.2.1.d
4.2.1.d
4.2.1.d
Hay
Participacin
de
las
diversas reas de la compaa?
4.2.1.d
4.2.1.c
4.2.1.c
Se
ha
metodologa
riesgos?
4.2.1.c
ESTADO
ACTUAL
definido
para
los
alguna
valorar
25
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
4.2.1.c
4.2.1.f
4.2.1.f
4.2.1.f
Se ha determinado el riesgo
residual
para
cada
riesgo
identificado y valorado?
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
4.2.1.c,e
4.2.1.f
4.2.1.f
4.2.1.h
4.2.1.f
10
4.2.1.g
SELECCIN DE OBJETIVOS
DE CONTROL Y CONTROLES
10
4.2.1.g
Existe Anlisis
existentes?
10
4.2.1.g
10
4.2.1.g
10
4.2.1.g
10
4.2.1.g
10
4.2.1.g
ESTADO
ACTUAL
Existe
Documento
de
Aprobacin Direccin Gestin de
Riesgos?
Existe
Documento
de
Aprobacin Direccin Riesgos
residuales?
de
controles
Se hacen Inversiones en
controles
proporcionales
al
impacto del riesgo?
Existen
Controles
documentados
en
procedimientos?
10
4.2.1.g
10
4.2.1.j
11
4.2.1.i
AUTORIZACIN
IMPLEMENTAR
SGSI
PARA
OPERAR
26
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
11
4.2.1.i
Existe
Documento
de
aprobacin por direccin para
implementar y operar el SGSI?
12
4.2.1
GESTIN DE LA CONTINUIDAD
DEL NEGOCIO (PCN)
12
4.2.1
12
4.2.1
12
4.2.1
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
12
4.2.1
ESTADO
ACTUAL
12
4.2.1
Existen
procedimientos
(relacionados a cada situacin)
establecidos para aplicar en las
crisis
(indica
acciones
y
sugerencias)?
12
4.2.1
12
4.2.1
Existen
registros
que
documentan la reaccin ante la
crisis y su respectivo anlisis?
12
4.2.1
13
4.2.2
IMPLEMENTACIN
OPERACIN SGSI
13
4.2.2.a,b
PLAN DE TRATAMIENTO DE
RIESGOS
13
4.2.2.a,b
13
4.2.2.h
13
4.2.2.a,b
13
4.2.2.c
IMPLANTACIN
CONTROLES
DE
27
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
Se
han
definido
los
responsables de los controles
tcnicos?
Se
han
definido
los
responsables de los controles
administrativos?
13
4.2.2.c
13
4.2.2.c
13
4.2.2.d
13
4.2.2.d
13
4.2.2.h
13
4.2.2.e
Se ha hecho sensibilizacin y
divulgacin?
FASE
SGSI
NUMERAL
CICLO
PROCESO
VARIABLE
13
4.2.2.c
14
4.2.3
SEGUIMIENTO
SGSI
14
4.2.3
PROCEDIMIENTOS
SEGUIMIENTO Y REVISIN
14
4.2.3.a,c
14
4.2.3.b,e
Se
realizan
auditoras
internas/externas al sistema?
14
4.2.3.b,e
14
4.2.3.a
14
4.2.3.a
14
4.2.3.d
14
4.2.3.b,e
14
4.2.3.a,b,
c,d,e
ESTADO
ACTUAL
REVISIN
28
PONDERA
CIN
ESTADO
FINAL
OBSERVACIONES
15
4.2.4
MANTENIMIENTO Y MEJORA
SGSI
15
4.2.4.a,b
Se
ejecutan
acciones
correctivas, preventivas, mejora?
15
4.2.4.a,b
Se hace la actualizacin de
riesgos y controles?
15
4.2.4.d
15
4.2.4.c
A.1.2.2
29
30
A.1.2.3
31
Sera normal que en la regin las compaas que estn trabajando para la
implementacin y certificacin de la norma ISO27001, tengan ya implementada o
en marcha su certificacin del Sistema de Gestin de Calidad ISO9001 (SGC).
Es necesario administrar el SGSI bajo un modelo de gestin como el propuesto en
la figura 10 el cual se basa en las recomendaciones de la norma ISO27000, se
busca complementar el alcance del SGC para que aplique al SGSI mediante
ajustes a los procedimientos que permiten cumplir los requisitos establecidos en la
norma ISO9001 y conformar as un sistema de gestin integral para no repetir
esfuerzos ni sobrecargar de actividades los procesos. El modelo est basado en el
ciclo P-H-V-A como pilar de la gestin de actividades aplicable a cada componente
y de igual manera esta soportado en todo momento por la alta direccin
encargada de la toma de decisiones de alto nivel.
El modelo se fundamenta en las polticas de la organizacin que ofrece las
directrices generales para la planificacin del sistema y cumplimiento de objetivos
redactados en una forma general sin detalles tcnicos. El comit SGSI
conformado por la Direccin, Comit de Gestin y Responsable de la Seguridad
puede ser complemento del SGC donde ya exista personal que conozca la
compaa y que tenga el perfil para la toma de decisiones; este comit se basa en
las polticas de la organizacin para que a partir de ellas se genere un manual de
seguridad que ser el documento oficial para la descripcin de procesos y
procedimientos, est encargado de guiar el proceso de certificacin en todas sus
etapas, autorizados y acompaados por la Direccin para la toma de decisiones.
Los procesos son la integracin de las diferentes actividades de la organizacin
que permiten obtener un resultado sea un producto o un servicio y segn el
alcance del sistema se seleccionan aquellos involucrados para aplicar el modelo.
Posterior aparecen los procedimientos correspondientes a cada rea de la
compaa los cuales detallan las actividades que permiten el desarrollo y
cumplimiento de los objetivos. Por ltimo la gestin del riesgo son las actividades
coordinadas para dirigir y controlar una organizacin con respecto a la valoracin,
tratamiento, aceptacin y comunicacin del riesgo.34
34
32
A.2
ORGANIZACIN
SEGURIDAD
DE
LA
Esta fase hace parte de la actividad Establecer el Contexto del flujo gestin del
riesgo mostrado en la figura 1 y abarca todos los temas de las cuatro fases de la
gua.
33
A.2.1 Requisito
Anlisis y Diagnstico SGSI.
A.2.2 Accin
Estas acciones acatan adems de lo recomendado en ISO/IEC 27005, la gestin
de recursos definido en ISO/IEC 27001 captulo 5: Responsabilidad de la
Direccin.
A.2.2.1
Mediante una reunin con los designados, la Direccin declara la adopcin del
SGSI, especficamente el proceso para la Gestin del Riesgo. Analiza los
aspectos organizativos de la Compaa y se conforma el grupo encargado de la
organizacin de la seguridad asignando responsabilidades as:
Responsable de la Seguridad: Encargado de coordinar la forma de actuar ante
incidentes de seguridad.
Comit de Gestin: Su funcin es controlar y gestionar las acciones a
implementar en el sistema, integrado por personal de diferentes reas que
hacen parte de los procesos bajo gestin.
Comit de Direccin: Conformados por la Direccin y responsables de tomar
las decisiones de alto nivel frente a la seguridad de la informacin.
A.2.2.2
34
A.2.2.4
Sensibilizacin y divulgacin.
A.2.3 Resultados
A.2.3.1
Acta de reunin, firmada por la Direccin y el grupo de organizacin
de la seguridad, donde se evidencia la declaracin para adoptar el proceso de
Gestin del Riesgo y el y PCN si fue considerado. Se deja evidencia de la
creacin
de dicho grupo definiendo claramente responsables y sus
responsabilidades.
A.2.3.2
Acuerdos de confidencialidad firmados con personal de
mantenimiento y servicios generales que tiene acceso a las reas de trabajo del
grupo Organizacin de la Seguridad.
35
A.2.3.3
Plan de comunicacin, sensibilizacin y divulgacin sobre la actividad
desarrollada.
A.3 CONTEXTO
Es la primera actividad dentro del proceso de gestin del riesgo ISO/IEC 27005 y
corresponde al alcance y lmites del mismo y abarca todos los temas de las cuatro
fases de la gua. Alineado tambin con ISO/IEC 27001 4.2.1, esta fase de la gua
determina que el propsito del proceso gestin del riesgo es soportar un sistema
SGSI, proteger el plan estratgico de la organizacin, ofrecer conformidad legal,
de forma opcional generar un PCN y responder ante incidentes o eventos de
seguridad. Mediante estas actividades se definirn los criterios del alcance y lmite
en este proceso y la organizacin del mismo, garantizando que todos los activos
de informacin importantes de la compaa sean tomados en cuenta, sin embargo
los mismos lmites pueden ser causa de riesgos por lo cual deben ser
considerados. La gua plantea que dentro del contexto se establecen los criterios
que definen todas las actividades del proceso de gestin del riesgo ISO/IEC 27005
y simultneamente se realiza la primera iteracin del ciclo aplicando dichos
criterios asignando responsables, responsabilidades y exigiendo la documentacin
necesaria.
A.3.1 Requisito
A.3.2 Accin
A.3.2.1
A.3.2.2
fase. Es necesario evidenciar que los lderes de grupo o jefes inmediatos hagan lo
propio con su equipo de trabajo para que los planes tengan continuidad. De igual
forma se permite recibir de las partes interesadas todas las observaciones y
recomendaciones al respecto y bajo anlisis del grupo SGSI se determinar si
aplican los ajustes a la fase tratamiento del riesgo buscando cubrir las
necesidades pertinentes de seguridad de la informacin. Es til realizar comits
particulares con los grupos que hacen parte de esta fase. Posteriormente todas las
actividades aqu descritas como las decisiones finales deben quedar
documentadas en actas de reunin.
Por ltimo, el grupo SGSI midiendo el alcance y restricciones, resume informacin
bsica segn criterios y decisiones tomadas en esta fase, se apoya en el rea de
comunicaciones para alimentar el plan de comunicacin y sensibilizacin dirigido a
toda la organizacin y definido en el apartado A.3.2.10.
38
Cuadro 8: Ejemplo requisitos de seguridad para los procesos bajo gestin del riesgo y PCN.
PROCESO
REQUISITO DE SEGURIDAD
REA
INTERESADA
MARCO
LEY ASOCIADA
PCN
Competitividad.
Direccin
Corporativo
SI
Sostenibilidad.
Direccin
Corporativo
SI
Capacitacin
Gestin
Humana
Corporativo
SI
Comercial
Confidencialidad,
Integridad
y
Disponibilidad de la base de datos de
clientes.
Comercial
Corporativo
Poltica de seguridad
SI
Programa
Estratgico
39
CONSECUENCIAS
Resultados negativos en el
negocio.
Sobrecostos operativos CAPEXOPEX.
Sobredimensionamiento
infraestructura.
Desercin de clientes, prdida
de mercado.
Portafolio
de
productos
insuficiente al cliente.
Resultados negativos en el
negocio.
Sobrecostos operativos CAPEXOPEX.
Sobredimensionamiento
infraestructura.
Desercin de clientes, prdida
de mercado.
Portafolio
de
productos
insuficiente al cliente.
Resultados negativos en el
negocio.
Afectacin en Calidad de
servicio.
Prdida de experticia en diseo
e implantacin de soluciones.
Prdida de mercado.
Resultados negativos en el
negocio.
Espionaje industrial.
Comercial
Proteccin
familiar.
intimidad
personal
Copias
de xito en proceso de copias de
seguridad
y seguridad y restauracin requerido
restauracin.
ante un incidente.
Comercial
Legal
Constitucin Poltica
Colombiana, Articulo 15
NO
Informtica
Corporativo
Poltica de seguridad
SI
Proteccin de la infraestructura
informtica debido a incendios.
Informtica
Corporativo
Poltica de seguridad
SI
Bienes e
Inmuebles
Corporativo
Poltica de seguridad
SI
Produccin
Contractual
Contrato de prestacin de
servicios No xxx
NO
Informtico.
Diseo
y
Construccin
Contratacin
ingeniera
Corporativo
Poltica de seguridad
SI
Cumplimiento de la confidencialidad
para el listado de precios relacionado
con el suministro de elementos de
aseo proveedor A.
Jurdica
Contractual
Contrato de suministro de
bienes No xxx
NO
Financiera
Corporativo
40
Poltica de seguridad
NO
Prdida de mercado.
Demandas.
Sobrecostos.
Afectacin imagen comercial.
Prdida ingresos.
Resultados negativos en
negocio.
Interrumpir produccin.
Resultados negativos en
negocio.
Interrumpir produccin.
Resultados negativos en
negocio.
Interrumpir produccin.
Demandas.
Costos.
Afectacin imagen comercial.
Prdida ingresos.
Resultados negativos en
negocio.
Espionaje industrial.
Prdida de mercado.
Demandas.
Costos.
Afectacin imagen comercial.
Prdida ingresos.
Resultados negativos en
negocio.
Demandas.
Robo.
el
el
el
el
el
y lmite de los activos a proteger. En ella se estipulan los riesgos a los que
est expuesta la organizacin y las medidas de seguridad que se deben
tomar. Es nica para cada tipo de compaa y debe incluir: la definicin de la
seguridad de la informacin y sus objetivos, el alcance de la seguridad de la
informacin y la importancia como mecanismo de control que permite la
administracin de la informacin, la declaracin por parte de la Direccin
apoyando los objetivos y principios de la seguridad de la informacin, breve
explicacin de las polticas, definicin de responsabilidades generales y
especificas en cada rol, no est orientada a personas. Referencia a registros
documentales que sustenten la poltica. Su revisin y actualizacin es
peridica y obligatoria cuando ocurre un incidente o evento de seguridad, ante
una auditoria con hallazgos o frente a cambios organizacionales profundos.
f. Comunicacin hacia el entorno: es la interfaz formal de la organizacin hacia
sus clientes, proveedores y plano legal, por lo tanto los requisitos de seguridad
deben ser consecuentes con lo ofrecido en dichos aspectos, esto incluye la
comunicacin mediante publicidad, comunicados internos y/o externos, apoyo
a proyectos sociales, convenios con entidades pblicas o privadas, contratos,
etc.
g. Valores de la organizacin: son los principios o cdigo de conducta que se
aplican en el negocio y se promocionan como diferenciador de la competencia.
Hace referencia a los acuerdos de niveles de servicio ofrecidos o pactados
mediante acuerdos o contratos. Ejemplo: nivel de calidad
de un
producto/servicio, cumplimiento de especificaciones, etc.
h. Restricciones que afectan la organizacin: El anlisis abarca primero las de
orden interno en las cuales se pueden tomar acciones inmediatas,
posteriormente aquellas externas cuyo cumplimiento seguramente es
obligatorio. Las restricciones sobre los recursos y/o presupuesto de la
organizacin al igual que las de orden operativo, tcnico o relacionadas con
situaciones crticas como aspectos legales o contractuales que afecten el
negocio son las ms importantes a considerar. ISO/IEC 27005 considera
adems las de orden poltico relacionadas con el gobierno o alguna institucin,
de carcter territoriales, situacin socio econmica del pas, relacionadas con
el programa estratgico, estructurales de la compaa, organizaciones,
funcionales, recurso humano laboral, tiempos para implementacin por
disponibilidad de recursos, tecnolgicos (capacidad o limitaciones de redes,
hardware, software, licencias), por mtodo, procedimientos o procesos ya
42
A.3.2.3
Asignar presupuesto.
A.3.2.4
Valoracin de Riesgos.
Esta accin hace parte de las actividades Establecer el Contexto, Anlisis del
Riesgo y Evaluacin del Riesgo en el proceso Gestin del Riesgo ISO/IEC 27005
mostrado en la figura 1. Para los procesos seleccionados, con un enfoque de alto
43
nivel, como primera iteracin del proceso gestin del riesgo y basado en los
requisitos de seguridad de la informacin sustentados por el marco legal, misin,
visin, plan estratgico y poltica de seguridad corporativa, el grupo SGSI y los
dueos de los proceso realizan el anlisis y evaluacin de riesgos a los que se
considera est expuesta la organizacin. Para tal fin se pueden realizar los
siguientes pasos:
A.3.2.4.1
Identificacin de activos de informacin. Se debe considerar que un
activo es ms que software y hardware. La primera tarea que corresponde al
dueo de cada proceso seleccionado, apoyado en su grupo de trabajo, consiste
en identificar los activos que son clave para el desarrollo de los objetivos del rea,
esta tarea debe realizarse en un nivel adecuado de detalle la cual se mejora en
cada iteracin del proceso gestin riesgo. Esta gua utiliza la recomendacin
ISO/IEC 27005 para agrupar activos pero es posible usar otras como Magerit.
ISO/IEC 27005 los clasifica as:
a. Activos Primarios. Se clasifican segn:
Actividades y procesos del negocio: son procesos clave para cumplir la
misin, visin de la compaa, que tienen informacin confidencial o poseen
propiedad intelectual.
Informacin: datos vitales para la ejecucin de los procesos, informacin
personal sensible a proteccin de intimidad o privacidad, datos estratgicos
para cumplir las metas o aquellos cuyo procesamiento y/o almacenamiento
implican un alto costo en recurso humano, tcnico y financiero.
44
46
47
Enseguida para cada activo, se clasifican por criticidad en dos aspectos. Primero
en funcin de las consecuencias adversas hacia el proceso en caso de que el
activo sufra un incidente o evento de seguridad; en este aspecto los criterios de
seleccin se basan en la reduccin hasta la base comn del impacto segn
aspectos a valorar y ordenados por prioridad:
-
Segundo, basado en las dependencias con otros activos lo cual implica una
identificacin detallada y documentar tales relaciones. Esto lo hace ms crtico
para la compaa. Por ejemplo, el hardware y software depende de la
infraestructura comn como energa y aire acondicionado. Considere una base de
datos de clientes del rea comercial como un activo de este tipo.
El dueo del proceso y el responsable de cada activo, este ltimo como persona
idnea para gestionar todo lo relacionado con el componente, mediante una
escala definida asignan su valor de importancia segn los criterios definidos en los
requisitos de seguridad, el impacto y dependencias analizado en el prrafo
anterior. La escala a utilizar es de tipo cuantitativa, en un rango de 1 a 5 donde 1
es el valor ms bajo y 5 el ms alto. De forma opcional, tambin es importante
realizar una valoracin por medio de una escala cualitativa que relacione el
elemento con un valor en relacin a las consecuencias (moneda, indicador, etc.).
Para hacerlo se requiere el apoyo de otras reas como financiera, comercial,
contratos, etc. que suministren datos precisos especialmente con cifras.
Es posible que un activo que no tiene dependencia alguna con otro, haga parte de
varios procesos en una organizacin y por lo tanto tenga diferentes valores. En
este caso, al activo se le debe asignar el mximo valor de todos y adems
unificarse para todo el proceso. Para valorar un activo dependiente se aplica la
siguiente regla:
- Si el valor del activo dependiente (ej. hardware, software) valor del activo
considerado Su valor permanece igual.
48
- Si el valor del activo dependiente (ej. hardware, software) > valor del activo
considerado Su valor se asigna proporcionalmente segn el valor de los
otros activos y el grado de dependencias.
Por ltimo, la actividad completa debe ser revisada en conjunto con el grupo SGSI
para evitar subjetividad y documentar la justificacin de seleccin y criterios de
valoracin. Se identificaran aquellos de mayor criticidad para incluirlos en el PCN.
El grupo SGSI se asegura de sensibilizar, comunicar y formalizar las decisiones
tomadas y los resultados obtenidos a las personas o grupos involucrados en esta
fase. Es necesario evidenciar que los lderes de grupo o jefes inmediatos hagan lo
propio con su equipo de trabajo para que los planes tengan continuidad. De igual
forma se permite recibir de las partes interesadas todas las observaciones y
recomendaciones al respecto y bajo anlisis del grupo SGSI se determinar si
aplican los ajustes a la fase tratamiento del riesgo buscando cubrir las
necesidades pertinentes de seguridad de la informacin. Es til realizar comits
particulares con los grupos que hacen parte de esta fase. Posteriormente todas las
actividades aqu descritas como las decisiones finales deben quedar
documentadas en actas de reunin.
Por ltimo, el grupo SGSI midiendo el alcance y restricciones, resume informacin
bsica segn criterios y decisiones tomadas en esta fase, se apoya en el rea de
comunicaciones para alimentar el plan de comunicacin y sensibilizacin dirigido a
toda la organizacin y definido en el apartado A.3.2.10.
Considere un caso de estudio donde una organizacin tiene diferentes procesos
seleccionados para gestionar el riesgo, entre ellos el proceso Produccin en el
cual se han identificado y valorado 14 activos, 18 amenazas y 30 vulnerabilidades
que conforman 102 escenarios incidentes. Durante el desarrollo de la gua, se ir
mostrando cmo se obtuvo cada una de estas cifras. Se obtiene tal cantidad de
escenarios incidente debido a que las amenazas y vulnerabilidades se pueden
repetir en ms de un activo de informacin, as mismo un solo activo puede estar
afectado por diferentes amenazas y vulnerabilidades, finalmente cada
combinacin individual activo-amenaza-vulnerabilidad es un escenario incidente.
Otro sistema, por ejemplo el sistema Financiero tendr los datos correspondientes
a su propio anlisis de tal forma que la gestin completa para la organizacin ser
la inclusin de todos los sistemas. Para la consolidacin de informes es til el uso
49
A.3.2.4.2
Anlisis de estadsticas histricas sobre incidentes o eventos de
seguridad. Esta accin hace parte de las actividades Establecer el Contexto y
Anlisis del Riesgo en el proceso Gestin del Riesgo ISO/IEC 27005 mostrado en
la figura 1. Con el fin de detectar los riesgos que histricamente ha sufrido la
organizacin, los dueos de los procesos y los responsables de los activos
realizan un estudio sobre los incidentes o eventos ocurridos y/o documentados por
las compaa durante los ltimos cinco aos, as como las consecuencias
sobrellevadas. De igual manera de acuerdo a la informacin obtenida se
50
A.3.2.4.3
Identificacin del riesgo: Esta accin hace parte de las actividades
Establecer el Contexto y Anlisis del Riesgo en el proceso Gestin del Riesgo
ISO/IEC 27005 mostrado en la figura 1. En esta fase se encuentran, enumeran y
se caracterizan los riesgos a los que se considera est expuesta la organizacin y
el propsito es determinar consecuencias o impacto de una prdida potencial,
adems de comprender dnde y por qu se origina tal impacto. Dando continuidad
al cruce de informacin entre los procesos, requisitos de seguridad, inventario de
activos y referencia sobre incidentes histricos, los dueos de los procesos y los
responsables de los activos mediante un enfoque de alto nivel relaciona los
posibles riesgos que encuentran hacia estos cumpliendo los siguientes pasos:
51
Dao fsico
Eventos naturales
Perturbacin debida a la
radiacin
Compromiso de la informacin
AMENAZA INDIVIDUAL
Fuego
Dao por agua
Contaminacin
Accidente importante
Destruccin del equipo
Polvo, corrosin, congelamiento
Fenmenos climticos
Fenmenos ssmicos
Fenmenos volcnicos
Fenmenos meteorolgicos
Inundacin
Falla en el sistema de suministro de agua o aire
acondicionado
Perdida de suministro de agua
Falla en el equipo de telecomunicaciones
Radiacin electromagntica
Radiacin trmica
Impulsos electromagnticos
Interceptacin
de
seales
de
interferencia
comprometedoras
Espionaje remoto
Escucha encubierta
Hurto de medios o documentos
Hurto de equipo
Recuperacin de medios reciclados o desechados
Divulgacin
Datos provenientes de fuentes no confiables
35
52
Fallas tcnicas
Acciones no autorizadas
MOTIVACIN
Reto
Ego
Pirata
informtico,
Rebelin
intruso ilegal
Estatus
Dinero
Destruccin de la informacin
Divulgacin
ilegal
de
Criminal
de
la informacin
computacin
Ganancia
monetaria
Alteracin no autorizada de
los datos
Chantaje
Destruccin
Explotacin
Terrorismo
Venganza
Ganancia
poltica
Cubrimiento de los medios de
comunicacin
53
ACCIONES AMENAZANTES
Piratera
Ingeniera social
Intrusin, accesos forzados al
sistema
Acceso no autorizado al sistema
Crimen por computador
Acto fraudulento (repeticin,
personificacin, interceptacin)
Soborno de la informacin
Suplantacin de identidad
Intrusin al sistema
Bomba/terrorismo
Guerra de la informacin
Ataques contra el sistema
(negacin del servicio)
Penetracin del sistema
Manipulacin del sistema
Espionaje
industrial
(Inteligencia, empresas, Ventaja
competitiva
gobiernos, extranjeros, Espionaje econmico
otros intereses
Ventaja de defensa
Ventaja poltica
Explotacin econmica
Hurto de informacin
Intrusin en la privacidad
personal
Ingeniera social
Penetracin del sistema
Acceso no autorizado al sistema
(acceso a informacin clasificada,
de propiedad)
Asalto a un empleado
Chantaje
Observar informacin reservada
Uso inadecuado del computador
Fraude y hurto
Soborno de informacin
Ingreso de datos falsos o
corruptos
Interceptacin
Cdigo malicioso (virus, troyano,
spam)
Venta de informacin personal
Errores en el sistema (bugs)
Intrusin al sistema
Sabotaje del sistema
Acceso no autorizado al sistema
54
55
56
Software
EJEMPLOS DE VULNERABILIDADES
EJEMPLOS DE AMENAZAS
Incumplimiento
en
el
Mantenimiento
insuficiente.
mantenimiento del sistema de
Instalacin fallida de medios de almacenamiento.
informacin.
Destruccin de equipos o
Ausencia de esquemas de reemplazo peridico.
medios.
Polvo,
corrosin,
Susceptibilidad a la humedad, polvo y suciedad.
congelamiento.
Sensibilidad a la radiacin electromagntica.
Radiacin electromagntica.
Ausencia de un eficiente control de cambios en la
Error en el uso.
configuracin.
Prdida del suministro de
Susceptibilidad a las variaciones de voltaje.
energa.
Susceptibilidad a las variaciones de temperatura.
Fenmenos meteorolgicos.
Hurto
de
medios
o
Almacenamiento sin proteccin.
documentos.
Hurto
de
medios
o
Falta de cuidado en la disposicin final.
documentos.
Hurto
de
medios
o
Copia no controlada.
documentos.
Ausencia o insuficiencia de pruebas de software.
Abuso de los derechos.
Defectos bien conocidos en el software.
Abuso de los derechos.
Ausencia de "terminacin de la sesin" cuando se
Abuso de los derechos.
abandona la estacin de trabajo.
Disposicin o reutilizacin de los medios de
Abuso de los derechos.
almacenamiento sin borrado adecuado.
Ausencia de pistas de auditora.
Abuso de los derechos.
Asignacin errada de los derechos de acceso.
Error en el uso.
57
Error en el uso.
Fechas incorrectas.
Ausencia de mecanismos de identificacin
autentificacin de usuario.
Tablas de contraseas sin proteccin.
Error en el uso.
y
Falsificacin de derechos.
Falsificacin de derechos.
Falsificacin de derechos.
Red
Escucha encubierta.
Falla de los equipos
telecomunicaciones.
Falla de los equipos
telecomunicaciones.
Negacin de acciones.
Escucha encubierta.
de
de
Personal
Lugar
Error en el uso.
Error en el uso.
58
de
equipos
Inundacin.
Prdida del
energa.
suministro
de
Incumplimiento
en
el
mantenimiento del sistema de
informacin.
Incumplimiento
en
el
Ausencia de acuerdos de nivel de servicio, o
mantenimiento del sistema de
insuficiencia en los mismos.
informacin.
Incumplimiento
en
el
Ausencia de procedimiento de control de cambios.
mantenimiento del sistema de
informacin.
Ausencia de procedimiento formal para el control de la
Corrupcin de datos.
documentacin del SGSI.
Ausencia de procedimiento formal para la supervisin
Corrupcin de datos.
del registro del SGSI.
Ausencia de procedimiento formal para la autorizacin Datos provenientes de fuentes
de la informacin disponible al pblico.
no confiables.
Ausencia de asignacin adecuada de responsabilidades
Negacin de acciones.
en la seguridad de la informacin.
Ausencia de planes de continuidad.
Falla del equipo.
Ausencia de polticas sobre el uso del correo
Error en el uso.
electrnico.
Ausencia de procedimientos para la introduccin del
Error en el uso.
software en los sistemas operativos.
Ausencia de registros en las bitcoras (logs) de
Error en el uso.
administrador y operario.
Ausencia de procedimientos para el manejo de
Error en el uso.
informacin clasificada.
Ausencia de responsabilidades en la seguridad de la
Error en el uso.
informacin en la descripcin de los cargos.
Ausencia o insuficiencia en las disposiciones (con
respecto a la seguridad de la informacin) en los Procesamiento ilegal de datos.
contratos con los empleados.
Ausencia de procesos disciplinarios definidos en el caso
Hurto de equipo.
de incidentes de seguridad de la informacin.
Respuesta inadecuada de mantenimiento del servicio.
59
Hurto de equipo.
Hurto de equipo.
Hurto
de
documentos.
Hurto
de
documentos.
Hurto
de
documentos.
medios
medios
medios
software
falso
36
60
Tener presente que hay un cambio constante en las vulnerabilidades por lo cual se
considera una revisin peridica segn criterio visto ms adelante: frecuencia de
monitoreo y revisin del contexto, alcance y lmite del proceso gestin del riesgo.
Cada propietario de los activos inventariados basado en la metodologa descrita,
su criterio, experiencia y en el histrico de incidentes identifica para cada activo las
vulnerabilidades encontradas y realiza la valoracin en una escala Alta, Media,
Baja, en trminos de los efectos negativos producidos al proceso si una amenaza
explota la debilidad del activo. Luego debe ser revisado en conjunto con el grupo
SGSI y los dueos de los procesos para evitar subjetividad y donde se documenta
la justificacin de seleccin.
El grupo SGSI se asegura de sensibilizar, comunicar y formalizar las decisiones
tomadas y los resultados obtenidos a las personas o grupos involucrados en esta
fase. Es necesario evidenciar que los lderes de grupo o jefes inmediatos hagan lo
propio con su equipo de trabajo para que los planes tengan continuidad. De igual
forma se permite recibir de las partes interesadas todas las observaciones y
recomendaciones al respecto y bajo anlisis del grupo SGSI se determinar si
aplican los ajustes a la fase tratamiento del riesgo buscando cubrir las
necesidades pertinentes de seguridad de la informacin. Es til realizar comits
particulares con los grupos que hacen parte de esta fase. Posteriormente todas las
actividades aqu descritas como las decisiones finales deben quedar
documentadas en actas de reunin.
Por ltimo, el grupo SGSI midiendo el alcance y restricciones, resume informacin
bsica segn criterios y decisiones tomadas en esta fase, se apoya en el rea de
comunicaciones para alimentar el plan de comunicacin y sensibilizacin dirigido a
toda la organizacin y definido en el apartado A.3.2.10.
En la figura 6 se muestran las vulnerabilidades identificadas para el caso de
estudio planteado relacionadas con las amenazas y activos.
61
62
63
64
65
66
IMPACTO PARTICULAR
VALORACIN
ACTIVO
ACTIVO
AMENAZA
Abuso de
derechos
los
VALORACIN
ESCENARIO
VULNERABILIDAD
Falta de proceso
registro y retiro
usuarios
de
de Critico (5)
de
de
Crtico (5)
Fuego
Mantenimiento
insuficiente
Crtico (5)
Espionaje
industrial
Trabajo no supervisado de
Critico (5)
personal externo o aseo
Ingeniera social
Ausencia
de
procedimientos
para
Muy Alto(4)
manejo
informacin
confidencial
Medio (3)
Medio (3)
Recuperacin de
Ausencia de procedimiento
medios
para el control de cambios Medio (3)
reciclados
o
y de la documentacin.
desechados
Muy Alto(4)
Interrupcin de servicios.
Prdida de liderazgo tecnolgico
Prdida del negocio en
y de mercado.
Formula
trminos tcnicos y
Prdida
de
clientes
o producto
financieros
proveedores.
de
Prdida de oportunidad.
Alteracin de planes, Prdida de ventaja competitiva.
cronogramas
Prdida de liderazgo tecnolgico
y de mercado
Afectacin de marca,
Prdida de reputacin.
imagen y reputacin
Lder
proyecto
Software
contable
Afectacin a terceros.
Incumplimientos
Ataque a la vida privada de Proveedor
legales, reglamentarios
usuarios.
servicios
y/o contractuales
Procesos judiciales y castigos.
Impacto en seguridad Intoxicacin del personal
ambiental, salud y Afectacin de fuentes hdricas,
seguridad del personal fauna y flora.
de
de
Planta
de
procesamiento
Muy Alto(4)
aguas
residuales
67
Contaminacin
ampliamente
Medio (3)
Ausencia de reporte de
Muy Alto(4)
fallas
37
68
A.3.2.4.4.
Estimacin del Riesgo: Esta accin hace parte de las actividades
Establecer el Contexto y Anlisis del Riesgo en el proceso Gestin del Riesgo
ISO/IEC 27005 mostrado en la figura 1. Esta actividad consiste en asignar valores
a la probabilidad de ocurrencia y a las consecuencias de un riesgo para estimar su
valor en los posibles escenarios de incidentes. Lo anterior indica que la primera
accin a realizar es identificar tales escenarios como combinacin de las
amenazas que explotan una o ms vulnerabilidades de uno o ms activos y
asignar una probabilidad de ocurrencia basado en el criterio de la experiencia
propia, estadsticas de la organizacin y segn valoracin de criticidad de las
variables llevada a cabo en la fase identificacin del riesgo. La metodologa
planteada en la gua busca la mejor relacin entre variables y considera
escenarios amplios al incluir diversas situaciones, por ello se plantea el uso del
mtodo conocido como Determinacin del valor para la probabilidad y las
consecuencias posibles de los riesgos38 que se fundamenta principalmente en
la importancia de los activos haciendo nfasis en las consecuencias de los
escenarios incidentes, adems permite realizar un anlisis completo de la
organizacin basado en sistemas (procesos o reas de la compaa) priorizando
fcilmente las acciones a seguir entre ellos y a su vez priorizar dentro de cada uno
los activos a proteger.
38
70
BAJA
MEDIA
ALTA
Nivel de Vulnerabilidad
Pi escenario
72
Ahora el paso final y concluyente del mtodo en la fase Estimacin del Riesgo,
con el fin de mantener la relacin entre todos los escenarios y establecer el
impacto, es definir una nueva variable llamada Probabilidad de ocurrencia y
criticidad del Riesgo sobre el Activo la cual relaciona la valoracin de la
probabilidad de ocurrencia del escenario incidente con el valor del activo particular.
Se determina su escala como baja para valores entre 1 y 3, media para valores
73
entre 4 y 6 y alta para valores entre 7 y 9, el criterio a utilizar para esta nueva
valoracin se muestra a continuacin:
Cuadro 14: Criterio para determinar la Probabilidad de ocurrencia y criticidad del
Riesgo sobre el Activo.
Valor Pi escenario
1
2
3
4
5
1
1
2
3
4
5
2
2
3
4
5
6
4
4
5
6
7
8
5
5
6
7
8
9
Valor Pi escenario
1
2
3
4
5
1
1
2
3
4
5
2
2
3
4
5
6
74
5
5 (1)
6
7(2)
8 (2)
9 (24)
Figura 24: Estimacin del impacto clasificado por activo para el caso de estudio.
A.3.2.4.5.
Evaluacin del Riesgo. Esta accin hace parte de las actividades Establecer el
Contexto y Valoracin del Riesgo en el proceso Gestin del Riesgo ISO/IEC 27005 mostrado en la
figura 1. La Evaluacin del Riesgo es el proceso de comparar el riesgo estimado contra criterios de
clasificacin dados para determinar su importancia.39 De acuerdo a esto la primera labor es para
los dueos de los procesos quienes basados en su conocimiento y experiencia determinan dichos
niveles con la debida justificacin. Se usar la escala bajo, medio y alto. Se pueden apoyar en otras
reas como jurdica, comercial y financiera etc. para sustentarlo, relacionando el impacto hacia la
organizacin de forma cualitativa y/o cuantitativa mediante un indicador funcional o monetario.
76
declararlos como riesgos altos, sin embargo se debe asociar un umbral para esta
decisin lo que finalmente determinar esta valoracin. Podra ser que el riesgo es
alto si no se logra la meta fijada para la utilidad anual de la compaa al
materializarse el robo del cdigo fuente para este desarrollo y/o ceder un 30% del
mercado al perder competitividad. En otro escenario, el riesgo de afectacin por
eventos naturales sobre el edificio y saln de datos es medio dada su probabilidad
de ocurrencia, pero si la afectacin fue parcial, el umbral definido podr arrojar un
riesgo bajo. Estas relaciones se pueden documentar con los requisitos de
seguridad mostrados en el cuadro 2 del apartado A.3.2.2 y la fase estimacin del
riesgo en A.3.2.4.4.
La segunda tarea para el grupo SGSI es aplicar un filtro a la valoracin de riesgos
entregada por los dueos de los procesos para evitar subjetividad y reclasificarla si
es necesario de acuerdo a los criterios definidos.
La siguiente actividad para el grupo SGSI es priorizar los riesgos sobre los
sistemas de la organizacin (es decir los procesos seleccionados como
Produccin, Financiero, etc.) y para los activos de cada sistema. Se puede
entonces ver la organizacin como una suma de sistemas, algo as como la
ecuacin Organizacin = Sistema 1 + Sistema 2 + + Sistema n.
Para ello se debe continuar aplicando el mtodo Determinacin del valor para la
probabilidad y las consecuencias posibles de los riesgos usado en la fase
Estimacin del Riesgo, dando un valor de importancia a cada activo dentro del
sistema al que pertenece (esta es una valoracin diferente a la particular e
individual llevada a cabo en la etapa identificacin del riesgo y est orientada a
definir las prioridades para el posterior tratamiento de los riesgos) y asignando un
valor de jerarqua al sistema n como la suma de importancia de los activos.
La razn de ser para estas acciones tiene que ver con que cada activo es afectado
por varios escenarios incidentes y la nueva valoracin debe sumar tales efectos
acumulados, es decir, a mayor valor ms prioridad. Esta tcnica se debe aplicar a
cada sistema seleccionado por la organizacin. En el caso de estudio planteado
solo existe Produccin.
El clculo se obtiene al sumar para cada activo de informacin dentro del Sistema
n la variable Probabilidad de ocurrencia y criticidad del Riesgo sobre el
Activo (ver A.3.2.4.4. Estimacin del Riesgo). Por ejemplo en el caso de estudio
para el sistema Produccin segn la figura 8, el activo Proceso de
77
78
A.3.2.4.6.
Plan de Continuidad del Negocio. Esta fase no hace parte del alcance de la norma
ISO/IEC 27001 y la presente gua incluye su tratamiento de manera opcional, por lo cual slo se
limita a dar lineamientos generales, sin embargo es muy importante considerar este plan dado que
los riesgos no se pueden evitar completamente porque no es posible proteger los activos ante
todas las amenazas, de hecho se pueden presentar amenazas nuevas de forma espontnea que no
estarn consideradas inmediatamente en la gestin del riesgo. El objetivo general del PCN es
definir, implementar y probar el conjunto de procedimientos y estrategias que permitan asegurar
la reanudacin oportuna y ordenada de los procesos crticos de la organizacin buscando
maximizar el servicio con el mnimo de recursos, de manera que se logre la supervivencia de la
organizacin ante la ocurrencia de un desastre.40 Si se considera la materializacin de un riesgo de
impacto crtico para una organizacin que no est preparada, podra afectarla hasta interrumpir
sus operaciones, estos son algunos ejemplos41:
40
79
80
42
81
43
82
44
45
83
A.3.2.5.
La siguiente fase de la gua aborda el tratamiento de los riesgos sobre los activos
para lo cual se deben implantar medidas para controlar o reducir el impacto sobre
ellos cuyo resultado ser el riesgo residual que deber ser analizado por la
organizacin para aceptarlo o no segn sus necesidades.
La fase tratamiento del riesgo es vital para la certificacin del SGSI. La norma
ISO/IEC 27001 en la fase planear captulo 4.2.1 Establecimiento y Gestin del
SGSI aborda en su literal c la obligacin de desarrollar criterios para identificar
niveles de riesgo aceptable, en el literal e determinar el riesgo aceptable o la
necesidad de su tratamiento, en el literal f identificar y evaluar las opciones para el
tratamiento de los riesgos, en el literal g seleccionar los objetivos de control y los
controles para el tratamiento de los riesgos, literal h obtener la aprobacin de la
direccin sobre los riesgos residuales propuestos y en el literal j elaborar una
declaracin de aplicabilidad aprobada por la alta direccin que incluya los
objetivos de control y los controles implementados actualmente, los nuevos a
implantar y la exclusin de cualquiera de ellos con la debida justificacin para su
exclusin.
Para escoger la forma de tratar del riesgo, ISO/IEC 27005 define cuatro
alternativas no excluyentes entre s, es decir es posible combinar las acciones
para maximizar sus efectos. Ver figura 14:
Reducir el riesgo: Se logra mediante la seleccin y aplicacin de controles
con el fin de corregir, eliminar o minimizar un riesgo para proteger un activo.
86
87
88
89
OBJETIVO DE CONTROL
DE 5.1 Poltica
Informacin
de
Seguridad
CONTROL
de
DE
8.1.2 Seleccin.
8.1.3 Trminos y Condiciones Laborales.
90
Operacionales
Aceptacin
10.4
Proteccin
Contra
Maliciosos y Mviles.
10.
GESTIN
COMUNICACIONES
OPERACIONES
DE
Y 10.5 Respaldo.
91
10.10 Monitoreo.
11.
CONTROL
ACCESO
DE
11.5 Control
Operativo.
de
Acceso
al
11.6 Control de Acceso a las Aplicaciones 11.6.1 Restriccin del Acceso a la Informacin.
y a la Informacin.
11.6.2 Aislamiento de Sistemas Sensibles.
11.7
Computacin
Mvil
92
Remoto.
correcto
en
de
los
Archivos
de
DE
Como primera medida en esta fase de la gua, el grupo SGSI toma el resultado
obtenido en la evaluacin del riesgo, iniciando con los activos priorizados y
clasificados con riesgos altos (contiene aquellos incluidos en el PCN) y
sucesivamente en orden de criticidad. Segn los requisitos de seguridad afectados
y las vulnerabilidades asociadas hace un recorrido de los objetivos de control de la
norma buscando la pertinencia de cumplimiento y aplicacin de cada uno. El orden
a seguir es el mostrado a continuacin (esto requiere tener la norma ISO/IEC
27002 a la mano para entender claramente lo que busca cumplir un objetivo
particular):
Dominios que permiten conformar el grupo y directrices de trabajo en SGSI:
5. POLTICA DE SEGURIDAD, 6. ORGANIZACIN DE LA SEGURIDAD
DE LA INFORMACIN.
Dominios que permitan detectar y reportar eventos o incidentes de
seguridad para tomar acciones y recuperar la organizacin rpidamente
ante fallos graves: 13. GESTIN DE LOS INCIDENTES DE LA
SEGURIDAD DE LA INFORMACIN, 14. GESTIN DE LA CONTINUIDAD
DEL NEGOCIO.
Dominios ms sensibles para el negocio: 8. SEGURIDAD DE LOS
RECURSOS
HUMANOS,
11.
CONTROL
DE
ACCESO,
15.
CUMPLIMIENTO.
Dominios de correcto funcionamiento y seguridad en la prestacin del
servicio de los sistemas de informacin: 10. GESTIN DE
COMUNICACIONES
Y
OPERACIONES,
12.
ADQUISICIN,
DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN.
Dominios sobre proteccin y responsabilidad sobre los activos: 7. GESTIN
DE ACTIVOS, 9. SEGURIDAD FSICA Y DEL ENTORNO
Objetivos relacionados a directrices propias para cubrir necesidades
particulares que no estn incluidos en la norma, estos debern clasificarse
en un dominio afn de la norma para facilitar la trazabilidad.
Si queda algn objetivo sin seleccionar, es obligatorio justificar y documentar las
razones. El resultado completo de esta actividad deber justificarse y
94
46
95
96
Ahora el grupo SGSI llevar a cabo un anlisis del presupuesto requerido para la
implantacin de los controles (existentes o planificados) sin ningn tipo de reserva
o limite, fijando un periodo anual. Esto requiere realizar cotizaciones con
proveedores por bienes y servicios nuevos o por la actualizacin de aquellos
existentes que incluya la capacitacin del personal y el mantenimiento peridico
requerido. Se deber asignar un responsable como dueo del control, se resalta la
necesidad de seleccionar el personal idneo con la experiencia tcnica y con las
competencias necesarias, especialmente sus antecedentes laborales o judiciales.
La decisin debe apoyarse en las recomendaciones de Gestin Humana y/o de los
jefes directos del personal seleccionado; esto podr resultar en la necesidad de
contratar nuevo personal y por lo tanto afectar el presupuesto. Finalmente se
97
expondr ante la alta Direccin para conocer la disponibilidad con que cuenta la
organizacin y se garantizar la reserva en el periodo, as se ajusta frente a lo
estimado en el establecimiento del contexto. Si la asignacin reduce la cantidad y
calidad de los controles, es necesario definir si esto genera nuevos riesgos o
modifica los actuales, en caso positivo es seguro que la decisin Tratamiento
satisfactorio? en el flujo de gestin del riesgo lleve a una redefinicin del
contexto, valoracin y el mismo tratamiento del riesgo. Esta actividad queda
documentada en acta de reunin y se considera como la seleccin definitiva de
los controles.
El cruce de objetivos y controles seleccionados mostrar un panorama completo,
permitir visualizar en qu dominios estn presentes los activos, si varios activos
tienen en comn un dominio y si un control protege ms de un activo, esto facilita
la toma de decisiones al respecto y por ello se ha solicitado documentar la
actividad en una extensin de campos del cuadro 10 manteniendo relacin con los
activos y por lo tanto de los riesgos asociados. El grupo SGSI queda encargado de
consolidar esta informacin, la cual ser la Declaracin de Aplicabilidad. En el
anlisis se considerarn todos los objetivos y controles, no se pude obviar
ninguno. En este documento quedarn registrados los objetivos de control,
controles nuevos, controles existentes, controles particulares y la inclusin o
exclusin de cualquiera de ellos con la debida justificacin, adems deber ser
aprobada por la alta direccin y documentada mediante acta de reunin.
La Declaracin de Aplicabilidad resume los resultados que determinan si se
pueden asumir o no los riesgos, como tambin, la disponibilidad y profundidad de
la organizacin para enfrentarlos. A partir de ella y aplicando el procedimiento de
la figura 15, el grupo SGSI para un periodo de anlisis de resultados definido de 6
meses, planea o proyecta la opcin de tratamiento para cada activo en orden de
criticidad en funcin de los escenarios incidentes y el impacto al negocio segn la
fase evaluacin del riesgo, planeando as el riesgo residual proyectado. Esta
actividad debe documentarse en acta de reunin donde se evidencie la aprobacin
de la alta direccin sobre las decisiones tomadas. Se resalta que si antes de
finalizar el periodo bajo tratamiento ocurre un incidente con alto impacto para la
organizacin debe revisarse y si es necesario redefinir las fases Contexto,
Valoracin y Tratamiento del Riesgo en el Proceso Gestin del Riesgo ISO/IEC
27005 mostrado en la figura 1.
Este procedimiento indica que la primera opcin a analizar es Retener el Riesgo,
si el resultado de esta accin satisface los criterios para aceptarlo se iniciar un
98
El grupo SGSI valida y si es necesario redefine el diseo del registro planteado por
el dueo del control, adems recopila y analiza los resultados parciales y/o finales
de los indicadores de rendimiento de todos los controles. En cada caso la alta
direccin aprueba el riesgo residual real obtenido o si no cumple las expectativas
de la organizacin, autoriza revisar o redefinir las fases de gestin del riesgo que
sean necesarias.
El grupo SGSI se asegura de sensibilizar, comunicar y formalizar las decisiones
tomadas y los resultados obtenidos a las personas o grupos involucrados en esta
fase. Es necesario evidenciar que los lderes de grupo o jefes inmediatos hagan lo
propio con su equipo de trabajo para que los planes tengan continuidad. De igual
forma se permite recibir de las partes interesadas todas las observaciones y
recomendaciones al respecto y bajo anlisis del grupo SGSI se determinar si
aplican los ajustes a la fase tratamiento del riesgo buscando cubrir las
necesidades pertinentes de seguridad de la informacin. Es til realizar comits
particulares con los grupos que hacen parte de esta fase. Posteriormente todas las
actividades aqu descritas como las decisiones finales deben quedar
documentadas en actas de reunin.
Por ltimo, el grupo SGSI midiendo el alcance y restricciones, resume informacin
bsica segn criterios y decisiones tomadas en esta fase, se apoya en el rea de
comunicaciones para alimentar el plan de comunicacin y sensibilizacin dirigido a
toda la organizacin y definido en el apartado A.3.2.10.
En la fase evaluacin del riesgo se han establecido criterios para definir el riesgo
aceptable y en la fase tratamiento del riesgo de forma sistemtica se ha planteado
los planes para enfrentarlos, se ha seleccionado los objetivos de control y
controles, se ha incluido la aprobacin por parte de la alta direccin sobre los
riesgos residuales resultantes luego del tratamiento o de la redefinicin de fases
102
103
104
A.3.2.9.
Es la ltima pero no la menos importante fase del proceso de gestin del riesgo
ISO/IEC 27005. En ella convergen el tratamiento y aceptacin del riesgo y su
resultado puede redefinir o ajustar las dems fases del proceso. Ver figura 1.
Durante la definicin de criterios como punto de partida y desarrollo del flujo de
gestin del riesgo, la gua oportunamente en cada actividad y no al final del
proceso produce insumos y motiva acciones para esta fase canalizando sus
resultados en el grupo SGSI. Desde el comienzo se ha considerado un
presupuesto inicial que concretado con la organizacin en la fase tratamiento del
riesgo puede llevar a ajustes o redefiniciones de una o ms actividades del flujo, lo
mismo puede suceder al solicitar una revisin del proceso completo de forma
obligatoria cada seis meses o cuando ocurren situaciones importantes como:
Un incidente o evento de seguridad.
105
modificado
tendr
otras
responsabilidades
107
anlisis
de
resultados
los
cambios
ajustes
aplican los ajustes a la fase tratamiento del riesgo buscando cubrir las
necesidades pertinentes de seguridad de la informacin. Es til realizar comits
particulares con los grupos que hacen parte de esta fase. Posteriormente todas las
actividades aqu descritas como las decisiones finales deben quedar
documentadas en actas de reunin.
Por ltimo, el grupo SGSI midiendo el alcance y restricciones, resume informacin
bsica segn criterios y decisiones tomadas en esta fase, se apoya en el rea de
comunicaciones para alimentar el plan de comunicacin y sensibilizacin dirigido a
toda la organizacin y definido en el apartado A.3.2.10.
A.3.2.10.
A.3.3 Resultados
A.3.3.1.
Acta de reunin del grupo SGSI donde se documentan los procesos
seleccionados para gestionarles el riesgo, producto del primer fuljo de la gestin o
de una actualizacin del sistema. Se identifica la relacin entre ellos y en cada
caso se detalla el flujo de actividades. Si la organizacin lo ha considerado se
109
A.3.3.2.
Acta de reunin, evidencia sobre los requisitos de seguridad
consolidados para los procesos seleccionados en la gestin del riesgo producto
del primer fuljo de la gestin o de una actualizacin del sistema, considerando el
marco legal, misin, visin, objetivos corporativos, planes estratgicos, poltica de
seguridad y comunicacin hacia el entorno corporativo. Si aplica, se identifican
cules necesidades de las partes interesadas harn parte del PCN.
A.3.3.3.
Presupuesto requerido para el proceso de Gestin del Riesgo. Acta
de reunin entre el grupo SGSI y la alta direccin donde se planean y reservan los
recursos econmicos iniciales con el fin de implantar el proceso de Gestin del
Riesgo. En esta carpeta tambin reposarn los ajustes presupuestales aprobados
segn las necesidades de la organizacin durante las iteraciones del flujo para
mantener el proceso.
A.3.3.4.
Relacionando los procesos y requisitos de seguridad seleccionados y
manteniendo la correspondencia con las variables que en adelante aparecen, un
registro aprobado por el grupo SGSI en el cual se documenta de manera formal el
resultado final o una actualizacin de la valoracin de riesgos comprendida por el
anlisis y evaluacin de riesgos. As, este documento debe incluir:
i)
Inventario de activos. Clasificados por las categoras segn ISO/IEC 27005
y a la prioridad asignada, valorados de acuerdo a la escala definida relacionando
el impacto hacia la organizacin, se identifican aquellos que harn parte del
PCN. Se identifica el dueo del activo y se asigna como su responsable en
adelante.
ii)
Consolidado de incidentes o eventos de seguridad durante los ltimos 5
aos. Se identifican los controles existentes que intervinieron en la contencin de
los riesgos determinando su eficiencia y se calculan las consecuencias
sobrellevadas por la organizacin. Se documentan los planes de tratamiento
implementados.
iii)
110
iv) Estimacin del riesgo. Una lista de activos de informacin y riesgos con
valor asignado segn el mtodo definido en la gua el cual est basado en la
identificacin de los escenarios incidentes, la probabilidad de ocurrencia y la
importancia de los activos. Se identifican amenazas y vulnerabilidades comunes
a estos.
v)
Evaluacin del riesgo. Una lista riesgos clasificados y valorados segn la
escala definida relacionando el criterio de asignacin de forma cuantitativa o
cualitativa segn un valor monetario o indicador organizacional. De igual forma
una lista de procesos priorizados en la compaa para gestin del riesgo y una
111
A.3.3.6.
Tratamiento del riesgo. Plan de tratamiento de riesgos aprobado por
la alta direccin. La carpeta mediante las actas de reunin exigidas debe
evidenciar las decisiones tomadas para aplicar el plan a los riesgos identificados,
valorados y priorizados segn la metodologa planteada en la gua. Debe contener
la declaracin de aplicabilidad dando trazabilidad a la seleccin de objetivos de
control y controles segn las restricciones detectadas, identificar el riesgo residual
proyectado para el periodo de anlisis y ante un evento o incidente de seguridad
no tratado adecuadamente, identificar a los responsables de los controles y
consolidar los entregables como indicadores y reportes que este rol debe pasar al
grupo SGSI para anlisis en la fase monitoreo del riesgo. Tambin se documentan
todos los ajustes realizados al proceso movidos por los comits para desarrollar la
comunicacin del riesgo y los insumos para el plan de comunicacin y
sensibilizacin corporativo.
A.3.3.7.
Tratamiento satisfactorio del riesgo. Acta de reunin aprobada por el
grupo SGSI y la alta direccin evidenciando las decisiones referentes a la
aceptacin del riesgo y las siguientes acciones a tomar, asumiendo las
responsabilidades que todo lo anterior implica. Este documento debe indicar los
riesgos que se han reducido a niveles aceptables y admitidos por la organizacin,
se listan aquellos riesgos tratados cuyo nivel es intolerable y no se aceptan,
tambin se incluyen aquellos riesgos tratados o no que la compaa admite por
112
A.3.3.8
Comunicacin del riesgo. Con los reportes obtenidos en cada
actividad del proceso gestin del riesgo, las actas de comit realizadas entre la
alta direccin, el grupo SGSI y los dueos de los procesos donde se evidencie
seguimiento, cumplimiento, aclaracin y alineacin de conceptos conforme a las
decisiones tomadas frente al proceso, revisin de avances y resultados de cada
fase y ajustes dados por rectificaciones o mejoras sugeridas por las partes
interesadas.
A.3.3.9
Monitoreo y revisin del riesgo. Con la informacin consolidada por el
grupo SGSI durante las fases valoracin y tratamiento de riesgos, registros con
evidencias por el seguimiento y ajustes al proceso de gestin del riesgo. Tales
arreglos pueden ser al presupuesto requerido por el sistema, revisiones o
redefiniciones de algunas actividades o del proceso completo motivadas por
incidentes o eventos de seguridad, cambios en mapas de procesos, cambios en el
organigrama de la compaa o simplemente por el fin de la vigencia del periodo en
anlisis, como tambin por una valoracin o tratamiento de riesgos no satisfactoria
y debido a los resultados de la fase comunicacin del riesgo.
A.3.3.10.
Plan de comunicacin, sensibilizacin y divulgacin sobre las
actividad desarrolladas.
113
Bibliografa
ETB S.A. E.S.P. (2010). Plan de Comunicacin y Divulgacin VPDRS. Bogot.
ICONTEC. (2006). Norma Tcnica Colombiana NTC-ISO/IEC 27001 - Tecnologa
de la Informacin. Tcnicas de seguridad. Sistemas de Gestin de la
Seguridad de la Informacin (SGSI). Requisitos. Bogot: ICONTEC.
ICONTEC. (2009). NTC-ISO/IEC 27005 Norma Tcnica Colombiana. Tecnologa
de la Informacin. Tcnicas de Seguridad. Gestin del Riesgo en la
Seguridad de la Informacin. Bogot: ICONTEC.
INTECO S.A. (25 de Mayo de 2013). SGSI en una organizacin. Obtenido de
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. (2009). ISO/IEC
27000 - Information technology Security techniques Information
security management systems Overview and vocabulary. Suiza.
114