Académique Documents
Professionnel Documents
Culture Documents
DE SEGURIDAD
Principios de la Seguridad de la Información
2
[ POLITÉCNICO GRANCOLOMBIANO]
INTRODUCCIÓN
La
Gestión
de
la
Seguridad
de
la
Información
se
puede
comprender
como
la
adición
de
elementos
de
administración
a
temas
técnicos,
normativos,
de
cumplimiento,
legal
y
todo
lo
que
tiene
relación
con
la
seguridad,
en
otras
palabras,
la
gestión
consiste
en
orquestar
todos
y
cada
uno
de
los
elementos
de
la
seguridad
para
que
no
funcionen
de
forma
aislada
sino
que
por
el
contrario,
se
alinien
de
acuerdo
a
los
objetivos
de
la
organización,
brinden
valor
y
logren
los
objetivos
establecidos
para
la
seguridad
frente
al
negocio.
Durante
esta
unidad
se
abordarán
las
bases
y
conceptos
fundamentales
de
la
Gestión
de
la
seguridad
y
algunas
recomendaciones
de
cómo
abordar
este
tema
que
puede
ser
complejo
de
acuerdo
con
el
tipo
de
entorno
y
organización
en
que
se
desarrolle.
METODOLOGÍA
El
marco
metodológico
a
seguir
establece
el
desarrollo
de
lecturas
en
temas
conceptuales
y
estructurales,
asociado
a
material
multimedia
y
actividades
individuales
y
grupales
como
mecanismo
de
aplicación
de
conceptos
y
teoría.
[ GESTIÓN DE SEGURIDAD] 3
MAPA
CONCEPTUAL
OBJETIVO
GENERAL
Comprender
la
estructura
y
razon
de
ser
de
los
sistemas
de
Gestión
de
Seguridad
de
la
Información
así
como
su
interacción
con
las
organizaciones,
gestión
de
proyectos
y
factores
críticos
de
éxito.
COMPETENCIAS
-‐ Comprende
los
elementos
que
conforman
un
sistema
de
Gestión
de
Seguridad
de
la
Información
-‐ Identifica¿cómo
estructurar
proyectos
de
Gestión
de
Seguridad
de
la
información
-‐ Generahabilidades
de
análisis
en
Seguridad
de
la
Información
permitiendo
identificar
situaciones
que
pueden
afectar
la
seguridad
de
la
información
y
sus
procesos
de
implementación
y
gestión.
4
[ POLITÉCNICO GRANCOLOMBIANO]
DESARROLLO
TEMÁTICO
COMPONENTE
MOTIVACIONAL
La
comprensión
de
los
sistemas
de
Gestión
de
Seguridad
de
la
Información
desde
su
estructura,
construcción
de
proyectos,
así
como
sus
factores
de
éxito
son
bases
fundamentales
para
gestionar
de
forma
adecuada
la
seguridad
de
la
información
de
una
organización
obteniendo
resultados
positivos
y
optimizando
los
recursos
disponibles.
RECOMENDACIONES
ACADÉMICAS
A
nivel
de
seguridad
de
la
información
existen
múltiples
recursos
disponibles
tales
como
los
propuestos
por
INTECO
(España),
ESET
(Argentina),
así
como
cursos
virtuales
ofrecidos
bajo
el
esquema
de
COURSERA
o
EDX
que
abordan
temas
de
seguridad
y
pueden
proveer
otras
perspectivas
frente
a
Seguridad
de
la
Información.
Por
supuesto,
no
olvidar
la
amplia
bibliografía
moderna
accesible
a
través
de
la
Google,
Libros
y
bibliotecas.
Finalmente,
siempre
estará
el
recurso
de
conferencias,
eventos
y
congresos
ya
sea
asistiendo
o
accediendo
a
papers
y
memorias
de
los
mismos.
DESARROLLO
DE
CADA
UNA
DE
LAS
UNIDADES
TEMÁTICAS
Principios
y
motivaciones
Por
Gestión
se
hace
referencia
a
la
“coordinación
y
organización
de
actividades
de
un
negocio
con
el
fin
de
lograr
unos
objetivos
definidos”1.
De
acuerdo
a
las
teorías
expuestas
por
Peter
Drucker,
la
tarea
principal
de
la
Gestión
consiste
en
el
mercadeo
y
la
innovación.
La
Gestión
de
la
Seguridad
de
la
Información
no
se
encuentra
ajena
a
la
anterior
definición,
ya
que
dentro
de
sus
funciones,
tal
como
se
mencionó
en
la
introducción,
se
encuentra
la
organización
de
las
actividades,
recursos,
responsabilidades
referente
a
seguridad
de
la
información,
es
decir
involucrando
factores
relacionados
a
tecnología,
personas
y
seguridad
física,
así
como
el
marco
normativo
establecido
por
medio
de
políticas,
lineamientos,
requerimientos
y
1
Definición
tomada
del
diccionario
de
negocios
http://www.businessdictionary.com
[ GESTIÓN DE SEGURIDAD] 5
2.All
in
One
CISSP
Exam
Guide.
6
[ POLITÉCNICO GRANCOLOMBIANO]
Ilustración
1.
Componentes
de
la
Gestión
de
Seguridad
de
la
Información
[ GESTIÓN DE SEGURIDAD] 7
circular
052
de
2007,
022
de
2010
y
042
de
2012.
4 Traducción
de
la
definición
presente
en
la
Norma
BS
–
ISO
22301
relacionada
con
Seguridad de las Sociedades y continuidad de Negocio. Reino Unido: SGSI.
8
[ POLITÉCNICO GRANCOLOMBIANO]
En
el
año
1995
con
la
publicación
del
estándar
británico
BS
7799
se
emplea
por
primera
vez
el
concepto
de
sistema
de
Gestión
de
Seguridad
de
la
Información,
teniendo
presente
que
en
ese
momento
este
documento
no
era
un
estándar
sino
por
el
contrario,
era
una
guía
de
buenas
prácticas
para
implementación
de
seguridad.
Sin
embargo,
sólo
hasta
la
publicación
del
estándar
ISO
27001
en
el
año
2005
(proveniente
del
estándar
BS
17999)
se
adicionó
la
estructura
basada
en
el
ciclo
Deming
o
PHVA
(Planear,
Hacer,
Verificar
y
Actuar).
Gracias
a
esta
inclusión
se
habla
en
que
la
Gestión
de
la
Seguridad
de
la
Información
basada
en
dicha
norma
busca
el
mejoramiento
continuo,
este
ciclo
será
revisado
más
adelante
en
el
presente
documento.
Cabe
realizar
la
aclaración
que
un
sistema
de
Gestión
de
Seguridad
de
la
Información
no
se
encuentra
directamente
relacionado
con
el
estándar
ISO
27001
u
otros
documentos
o
normas
de
la
familia
27000,
ya
que
existen
otras
metodologías,
como
lo
es
O-‐ISM3
que
desde
un
enfoque
de
mejora
continua
aborda
la
Gestión
de
la
Seguridad
como
sistema
siguiendo
las
recomendaciones
de
otros
estándares
o
guías
de
buenas
prácticas
como
COBIT
e
ITIL.
• Estructura
y
componentes
Al
tomar
como
guía
de
construcción
o
implementación
de
un
SGSI
al
estándar
ISO
27001,
se
deben
tener
en
cuenta
dos
componentes
fundamentales:
• Estructura
general
y
documental
del
SGSI
• Gestión
de
la
Seguridad
basada
en
objetivos
de
control.
El
primer
componente
se
encuentra
conformado
por
aquella
documentación
relacionada
con
el
marco
de
acción
sobre
el
cual
se
estructura
el
sistema
de
Gestión,
esto
hace
referencia
a:
• Política
de
seguridad
de
la
información:
entendido
como
el
documento
global
ejecutivo
que
establece
las
obligaciones
a
tener
en
cuenta
en
cuanto
a
seguridad
de
la
información
(en
virtud
de
la
triada
CID)
dentro
de
una
organización.
• Objetivos
del
sistema:
entendido
como
el
documento
que
define
la
razón
de
ser
del
sistema
de
Gestión
de
Seguridad
de
la
Información
y
a
que
necesidades
busca
responder,
estos
objetivos
deben
ser
acordes
a
los
[ GESTIÓN DE SEGURIDAD] 9
objetivos
de
la
organización,
así
como
buscar
cumplir
las
necesidades
de
las
partes
interesadas
mencionadas
anteriormente.
• Alcance:
entendido
como
el
documento
que
engloba
cuales
procesos
o
actividades
serán
contempladas
dentro
del
SGSI
y
sobre
las
que
se
realizará
Gestión
de
activos,
riesgos,
tratamiento,
entre
otras
actividades.
• Políticas
de
segundo
nivel:
hace
referencia
a
las
Normas
derivadas
de
la
política
de
seguridad
y
buscan
abordar
aspectos
específicos
de
la
seguridad
tales
como:
Seguridad
física,
control
de
acceso,
gestión
de
operaciones
y
comunicaciones,
entre
otros.
Estas
políticas
indican
el
¿qué
se
debe
hacer?
más
no
el
¿cómo
se
debe
hacer?,
para
esto
se
encuentran
los
planes
de
tratamiento
u
otros
documentos
complementarios.
• Procesos,
procedimientos,
instructivos,
guías:estos
documentos
tienen
por
finalidad
el
establecimiento
de
¿cómo
deben
ser
implementados
y
operados
los
requerimientos
establecidos
por
la
política
general
y
las
políticas
de
segundo
nivel?En
esta
documentación
se
puede
llegar
a
desarrollar
temas
técnicos
y/o
administrativos
para
ejecución
de
las
actividades
de
la
organización
aplicando
seguridad
de
la
información,
un
ejemplo
de
esto
pueden
ser
los
requerimientos
en
la
contratación
de
personal
frente
a
seguridad
de
la
información,
aplicando
controles
como
revisión
de
antecedentes,
estudios,
etc.,
haciendo
una
adición
a
actividades
existentes
y
así
integrando
la
seguridad
a
las
actividades
del
día
a
día
de
la
organización.
Por
otra
parte,
los
componentes
relacionados
con
la
Gestión
de
la
Seguridad
establecen
los
requerimientos
operativos
y
de
mantenimiento
de
un
sistema
de
Gestión
de
Seguridad
de
la
Información,
es
decir,
aquellas
actividades
que
son
parte
constante
del
hacer
del
sistema,
a
continuación
algunos
ejemplos:
• Gestión
de
activos
de
información
• Clasificación
de
activos
de
información
• Identificación
y
gestión
de
riesgos
de
seguridad
de
la
información
• Planes
de
tratamiento
de
riesgos
• Gestión
de
Incidentes
• Entre
otros.
10
[ POLITÉCNICO GRANCOLOMBIANO]
[ GESTIÓN DE SEGURIDAD] 11
existente?
¿A
Nivel
de
mercado
o
sector
existe
regulación
sobre
seguridad
de
la
información?
¿Está
incumpliendo
alguna
Legislación
frente
a
seguridad
la
organización?
¿Quiénes
pueden
versen
beneficiados
o
Identificar
partes
interesadas.
afectados
a
la
implementación
de
Seguridad?
¿Puede
mejorar
la
confianza
en
la
organización
la
implementación
de
Seguridad
de
la
Información?
¿Inversionistas
y/o
socios
han
exigido
la
implementación
de
Seguridad
de
la
Información
en
la
organización?
¿Qué
debe
protegerse
a
nivel
de
Seguridad
Establecer
objetivos
del
Sistema
de
la
Información
en
la
organización?
de
Gestión.
¿Cómo
puede
aportar
la
Seguridad
de
la
Información
al
alcance
de
los
objetivos
de
la
organización?
¿Qué
actividades
o
procesos
requieren
o
Establecer
alcance
del
Sistema
de
solicitan
la
implementación
de
Seguridad
de
Gestión.
la
Información?
¿Quiénes
son
los
dueños,
productores
o
creadores
de
la
Información
en
la
Organización?
¿Quiénes
son
responsables
de
custodiar
la
Información
de
la
Organización?
¿Quiénes
son
los
usuarios
de
la
Información
en
la
Organización?
¿Quiénes
son
afectados
por
un
evento
o
situación
negativa
debido
a
falta
de
Seguridad
de
la
Información?
¿Existen
trabajos
previos
en
Seguridad
de
la
Determinar
Metodologías
y
Información
en
la
organización?
Marcos
de
trabajo
a
emplear.
¿Existe
una
metodología
para
Gestión
de
Seguridad
en
la
organización?
12
[ POLITÉCNICO GRANCOLOMBIANO]
[ GESTIÓN DE SEGURIDAD] 13
Este
proceso
de
cuatro
pasos
para
mejora
continua
establece
a
grandes
rasgos
las
siguientes
actividades:En
el
primer
paso(Planificar),
se
desarrolla
un
plan
para
realizar
la
mejora,
en
el
segundo
paso
se
analizan
los
efectos
del
plan,
de
preferencia
a
pequeña
escala.
En
el
tercer
paso
(Verificar),
se
analizan
los
efectos
del
plan.
En
el
último
paso
(Actuar),
se
estudian
los
resultados
para
determinar
¿qué
se
ha
aprendidoy
¿qué
se
puede
predecir?.
Ilustración
2.
Gráfica
de
los
pasos
del
ciclo
PHVA
14
[ POLITÉCNICO GRANCOLOMBIANO]
Basado
en
la
anterior
explicación,
se
puede
establecer
un
listado
de
actividades
a
tener
en
cuenta
o
como
guía
para
realizar
en
cada
una
de
las
etapas
o
fases
del
ciclo
PHVA:
Etapa
Actividades
Planear.
• Definir
la
política
de
seguridad
del
SGSI
• Definir
el
alcance
del
SGSI
• Definir
los
objetivos
del
SGSI
• Definir
el
nivel
de
aceptación
del
riesgo
de
seguridad
• Definir
la
estructura
documental
del
SGSI
• Definir
la
metodología
para
la
identificación,
valoración,
clasificación
y
tratamiento
de
los
activos
de
información
• Identificar,
valorar
y
clasificar
los
activos
de
información
de
los
procesos
dentro
del
alcance
• Definir
la
metodología
para
la
identificación
y
valoración
del
riesgo
de
seguridad
• Identificar
y
valorar
el
riesgos
sobre
los
activos
de
información
de
procesos
dentro
del
alcance
• Determinar
el
tratamiento
para
aquellos
riesgos
en
franjas
de
tratamiento
• Definir
el
proceso
de
gestión
de
incidentes
• Definir
el
plan
de
capacitación
y
sensibilización
en
temas
de
seguridad
de
la
información.
• Definir
el
marco
para
la
medición
de
la
efectividad
del
SGSI
y
sus
controles
• Definición
del
procedimiento
de
acciones
correctivas
• Definición
del
procedimiento
de
auditoría.
Hacer
• Gestionar
el
marco
legal,
regulatorio
y
normativo
del
SGSI
• Gestionar
incidentes
de
Seguridad
de
la
información
• Gestionar
Activos
de
Información
• Gestionar
el
Riesgo
sobre
los
Activos
de
Información
• Gestionar
el
Comportamiento
y
la
Cultura
de
Seguridad
[ GESTIÓN DE SEGURIDAD] 15
de
la
Información
• Gestionar
la
Eficacia
del
Sistema
de
Gestionar
de
Seguridad
de
la
Información
• Gestionar
la
Documentación
del
SGSI.
Verificar
• Realizar
verificación
de
cumplimiento
e
implementación
sobre
los
aspectos
de:
• Marco
general
de
cumplimiento
del
marco
de
trabajo
establecido
• Gestión
del
marco
normativo
del
SGSI
• Gestión
de
Incidentes
de
Seguridad
de
la
información
• Gestión
de
Activos
de
Información
• Gestión
del
Riesgo
sobre
los
Activos
de
Información
• Gestión
del
Comportamiento
y
la
Cultura
de
Seguridad
de
la
Información
• Gestión
de
la
Eficacia
del
Sistema
de
Gestión
de
Seguridad
de
la
Información
• Gestión
de
la
Documentación
del
SGSI.
Actuar
• Ejecución
y
verificación
de
cumplimiento
de
plan
de
acción
de
cierre
de
acciones
correctivas
y
preventivas
derivadas
del
SGSI
• Revisión
de
resultados
de
incidentes
de
seguridad
y
definición
de
planes
de
acción.
En
la
fase
de
verificar
se
encuentran
disponibles
varios
mecanismos,
sin
embargo
el
más
realizado
consiste
en
auditorías,
estas
pueden
ser
realizadas
por
fuentes
internas
o
externas
a
la
organización
y
que
tienen
por
objetivo
identificar
la
Gestión
de
la
Seguridad
de
la
Información.
Al
revisar
en
la
unidad
dos
con
mayor
detalle
las
actividades
de
un
SGSI
se
obtendrá
explicación
de
cada
una
de
las
actividades
antes
mencionadas.
16
[ POLITÉCNICO GRANCOLOMBIANO]
[ GESTIÓN DE SEGURIDAD] 17
4.
Definición
de
estructura
y
2
6
documentación
necesaria
del
SGSI.
5.
Implementación
de
controles
y
5
24
requerimientos
de
seguridad.
6.
Auditorías
internas
para
3
3
seguimiento
de
planes
de
trabajo.
7.
implementación
de
planes
de
3
6
mejora
continua
en
seguridad.
Esta
sencilla
propuesta
es
una
aproximación
a
lo
que
debe
incluir
un
plan
de
trabajo
en
seguridad
y
que
debe
ser
presentado
a
la
dirección
para
contar
con
su
compromiso
y
apoyo
Factores
de
éxito
de
la
Gestión
de
la
Seguridad
de
la
Información
Finalmente
en
asociación
con
los
conceptos
de
proyectos
establecidos
para
la
implementación
de
controles
de
seguridad
y
su
ordenamiento
bajo
el
esquema
de
Gestión
de
Seguridad
de
la
Información
es
necesario
identificar
que
factores
pueden
permitir
un
desarrollo
satisfactorio
de
las
actividades
y
situaciones
establecidas
dentro
del
marco
de
proyecto.
Los
factores
que
afectan
el
éxito
en
este
tipo
de
proyectos
suelen
estar
relacionados
a
ausencia
de
recursos
económicos
o
recurso
humano
para
la
implementación
de
controles,
indisponibilidad
de
agendas
y
espacios
para
desarrollo
de
actividades
de
entendimiento
de
procesos
o
definición
de
requerimientos
de
seguridad.
Otro
ejemplo
es
la
continuidad
del
recurso
humano
a
lo
largo
del
proyecto,
ya
que
pueden
presentarse
situaciones
que
generen
pausas
en
la
ejecución
de
los
proyectos
y
esto
afecte
el
libre
desarrollo
de
los
mismos.
Sin
lugar
a
duda,
el
mayor
factor
de
éxito
en
la
Gestión
consiste
en
lograr
el
apoyo
y
compromiso
de
la
dirección5
con
el
trabajo
en
curso,
labor
que
resulta
compleja,
5
Se
recomienda
el
artículo
denominado
“Sin
la
gerencia
no
hay
paraíso”
en
que
se
abordan
18
[ POLITÉCNICO GRANCOLOMBIANO]
[ GESTIÓN DE SEGURIDAD] 19