GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA
Anuncio
GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA REGIÓN. GERARDO AYALA GONZÁLEZ JULIÁN ALBERTO GÓMEZ ISAZA UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2011 GUÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CONTEXTOS DE MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS DE LA REGIÓN. GERARDO AYALA GONZÁLEZ JULIÁN ALBERTO GÓMEZ ISAZA Monografía para optar al título de Ingeniero de Sistemas y Computación Asesor: Ingeniero JULIO CÉSAR CHAVARRO PORRAS Docente Académico UNIVERSIDAD TECNOLÓGICA DE PEREIRA FACULTAD DE INGENIERÍAS ELÉCTRICA, ELECTRÓNICA, FÍSICA Y DE SISTEMAS Y COMPUTACIÓN, PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2011 Nota de aceptación __________________________________ __________________________________ __________________________________ __________________________________ __________________________________ Presidente del Jurado __________________________________ Jurado __________________________________ Jurado _________________________________ Jurado A Luis y Elicenia que me enseñaron que la lucha es diaria y que no debe desistirse en el logro de los propósitos trazados. Y a ti, Liliana, eterna compañera de viaje, que me enseñaste que los sueños cambian en la manera en que cambie nuestra forma de proyectarnos. G.A. A Alberto que me enseño a no darme por vencido, y a Berenice, que me enseño a Sin su amor, apoyo, ternura y paciencia este logro no hubiera sido posible. J.G. 4 AGRADECIMIENTOS MI primer agradecimiento es a Dios, pues me ha bendecido con una gran familia que me ha enseñado a sortear cada obstáculo y a perseverar para la consecución de mis sueños; en segundo lugar, agradezco a esos docentes que con sus particularidades aportaron a mi proceso de formación, especialmente al Ingeniero César Chavarro, quien fue nuestro apoyo y guía en el desarrollo de éste proyecto. Agradezco también a Julián Gómez, compañero y hermano con el que compartí grandes e inolvidables momentos de la formación profesional y, finalmente, pero no menos importante, le agradezco a mi esposa Liliana que con su toque de alegría, seriedad y decisiva disposición para hacer las cosas, me acompañó en todo este proceso. Adicionalmente quiero agradecer a J.J. Hincapié que con sus extrañas ocurrencias logró hacerme aprender y disfrutar del proceso de investigación. G.A. Agradezco infinitamente a DIOS, porque realizó ante mis propios ojos señales y prodigios grandes, y me ha permitido vivir hasta el día de hoy. A mi familia, soporte, descanso y amor vivido en mi existencia. A Julio Cesar Chavarro, maestro, amigo y guía, con él aprendí no solo cantidad si no calidad. A Gerardo Ayala, amigo y hermano en arduas tareas, en la vida y en el aprendizaje que construimos juntos. A J.J Hincapié, porque compartió conmigo una forma diferente de entender la investigación, y por último categorías trasnochos, me enseñaron a ver el mundo de una manera diferente. J.G 5 CONTENIDO Pág. 1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA ......................... 13 1.1. DEFINICIÓN DEL PROBLEMA ................................ ................................ ........... 13 1.2. JUSTIFICACIÓN ................................ ................................ ................................ 14 1.3. OBJETIVOS ................................ ................................ ................................ ....... 16 1.3.1. OBJETIVO GENERAL ................................ ................................ ............................ 16 1.3.2. OBJETIVOS ESPECÍFICOS ................................ ................................ .................... 16 1.4. DELIMITACIÓN ................................ ................................ ................................ .. 17 1.5. MARCO REFERENCIAL................................ ................................ ..................... 17 1.5.1. ANTECEDENTES ................................ ................................ ................................ . 17 1.5.2. TENDENCIAS DETECTADAS ................................ ................................ .................. 21 1.6. MARCO CONCEPTUAL ................................ ................................ ..................... 24 1.6.1. SEGURIDAD INFORMÁTICA ................................ ................................ ................... 25 1.6.2. SEGURIDAD DE LA INFORMACIÓN ................................ ................................ ......... 29 1.7. MARCO TEÓRICO ................................ ................................ ............................. 35 1.7.1. ADMINISTRACIÓN DE LA SEGURIDAD ................................ ................................ .... 36 1.7.2. ANÁLISIS DE RIESGOS ................................ ................................ ......................... 37 1.7.3. POLÍTICAS DE SEGURIDAD ................................ ................................ ................... 38 1.8. DIRECCIONAMIENTO ................................ ................................ ....................... 39 1.9. DISEÑO METODOLÓGICO ................................ ................................ ................ 41 1.9.1. METODOLOGÍA ................................ ................................ ................................ ... 41 2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO ............................ 44 2.1. PLAN DE ANÁLISIS ................................ ................................ ............................ 44 2.2. SEGUNDA ITERACIÓN DEL MODELO ................................ .............................. 50 2.3. TERCERA ITERACIÓN DEL MODELO ................................ ............................... 52 3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES ........... 53 3.1. RESULTADOS OBTENIDOS ................................ ................................ .............. 53 3.2. CONCLUSIONES ................................ ................................ ............................... 53 3.3. RECOMENDACIONES ................................ ................................ ....................... 55 4. REFERENCIAS BIBLIOGRÁFICAS ................................ ................................ .......... 56 LISTA DE FIGURAS Pág. Figura 1. Firma digital: Envío de un mensaje seguro. ................................ ...................... 25 Figura 2. Seguridad de la Información. ................................ ................................ ............ 30 Figura 3. Sábana de Conceptos. ................................ ................................ ..................... 45 Figura 4. Manual de Respuesta a Incidentes de S.I ................................ ......................... 59 Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de S.I ................ 65 Figura 6. Plan de Acción de S.I ................................ ................................ ........................ 76 Figura 7. Mapa de procedimientos Plan de Acción de S.I ................................ ................ 83 Figura 8. Análisis y Gestión de Riesgos de S.I ................................ ................................ 89 Figura 9. Mapa de procedimientos. Análisis y Gestión de Riesgos de S.I ........................ 97 Figura 10. Estrategias de Capacitación y Comunicación ................................ ............... 111 Figura 11. Mapa de procedimientos. Plan de Capacitación. ................................ .......... 116 Figura 12. Guía de respuesta a Incidentes de S.I ................................ .......................... 119 Figura 13. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 125 Figura 14. Manual de procedimientos para la Administración de la S.I .......................... 127 Figura 15. Plan de Acción de S.I ................................ ................................ .................... 133 Figura 16. Mapa de procedimientos Plan de Acción de S.I ................................ ............ 136 Figura 17. Análisis y Gestión de Riesgos de S.I ................................ ............................ 148 Figura 18. Mapa de procedimientos. Análisis y Gestión del Riesgo. .............................. 152 Figura 19. Guía de Respuesta a Incidentes de S.I ................................ ......................... 163 Figura 20. Mapa de procedimientos. Guía de Respuesta a Incidentes de S.I ................ 169 Figura 21. Mapa de procedimientos. Plan de Capacitación ................................ ........... 174 7 LISTA DE TABLAS Pág. Tabla 1. Formato de procedimientos ................................ ................................ ................ 43 Tabla 3. Metodología: Manual de Respuesta a Incidentes de S.I ................................ ..... 63 Tabla 4. Metodología Plan de Acción de S.I ................................ ................................ .... 81 Tabla 5. Metodología Análisis y Restión de Riesgos de S.I ................................ ............. 94 Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de S.I ............................... 110 Tabla 7. Metodología Plan de Capacitación. ................................ ................................ .. 115 Tabla 8. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. ............ 120 Tabla 9. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes .............. 122 Tabla 10. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 124 Tabla 11. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación. 124 Tabla 12. Metodología Plan de Acción de S.I ................................ ................................ 134 Tabla 13. Metodología Análisis y Gestión de Riesgos de S.I ................................ ......... 149 Tabla 14. Metodología Guía de Respuesta a Incidentes. Eventos de Seguridad. .......... 164 Tabla 15. Metodología Guía de Respuesta a Incidentes. Gestión de Incidentes ............ 166 Tabla 16. Metodología Guía de Respuesta a Incidentes. Seguimiento Revisión y Auditoría 168 Tabla 17. Metodología Guía de Respuesta a Incidentes. Documentación y Retroalimentación.. 168 Tabla 18. Metodología de las Estrategias de Capacitación. ................................ ........... 173 8 LISTA DE ANEXOS Pág. ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN .................................................................................................................... 58 Objetivo ................................................................................................................... 58 Del manual .............................................................................................................. 60 Procedimientos de gestión ...................................................................................... 61 Metodología ............................................................................................................. 63 Mapa de procedimientos ......................................................................................... 65 Especificación de procedimientos ........................................................................... 66 ANEXO B: GRUPO FOCAL ................................................................................................ 73 ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN .................................. 75 Objetivo ................................................................................................................... 77 Procedimientos de gestión ...................................................................................... 77 Metodología plan de acción de seguridad de la información .................................. 81 Mapa de procedimientos ......................................................................................... 83 Especificación de procedimientos ........................................................................... 84 Análisis y gestión de riesgos de seguridad de la información................................. 88 Objetivo ................................................................................................................... 88 Aspecto legal ........................................................................................................... 88 Del manual .............................................................................................................. 90 Procedimientos de gestión ...................................................................................... 92 Metodología análisis y gestión de riesgos de seguridad de la información ............ 94 Mapa de procedimientos ......................................................................................... 97 Especificación de procedimientos. .......................................................................... 98 ANEXO D: GRUPO FOCAL FASE II ................................................................................ 106 ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO .. 108 Eliminar / dar de baja activos de información ....................................................... 108 Estrategia de capacitación y comunicación .......................................................... 112 Objetivo ................................................................................................................. 112 Del plan ................................................................................................................. 112 Procedimientos de gestión .................................................................................... 113 Metodología plan de capacitación y comunicación para la implementación del modelo ................................................................................................................... 115 Mapa de procedimientos. Plan de capacitación .................................................... 116 Especificación del procedimiento .......................................................................... 116 ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. ................................................................................................................. 118 Alcance: ................................................................................................................. 118 Responsabilidad: ................................................................................................... 118 Metodología. Guía de respuesta a incidentes de seguridad de la información .... 120 Eventos de seguridad (fase pre-incidente) ........................................................... 120 Gestión de incidentes (fase de atención de incidencia) ........................................ 122 Disposición final (fase post-incidente) ................................................................... 123 Seguimiento revisión y auditoria. .......................................................................... 124 Documentación y retroalimentación ...................................................................... 124 Mapa de procedimientos ....................................................................................... 125 ANEXO G: MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .................................. 126 Del modelo ............................................................................................................ 126 Plan de acción de seguridad de la información .................................................... 128 Objetivo ................................................................................................................. 128 Metodología plan de acción de seguridad de la información ................................ 134 Objetivo ................................................................................................................. 134 Mapa de procedimientos ....................................................................................... 136 Especificación de procedimientos ......................................................................... 137 Análisis y gestión de riesgos de seguridad de la información............................... 141 Objetivo ................................................................................................................. 141 Aspecto legal ......................................................................................................... 141 Procedimientos de gestión .................................................................................... 142 Metodología análisis y gestión de riesgos de seguridad de la información .......... 149 Mapa de procedimientos ....................................................................................... 152 Especificación de procedimientos ......................................................................... 153 Guía de respuesta a incidentes de seguridad de la información. ......................... 162 10 Alcance: ................................................................................................................. 162 Metodología. Guía de respuesta a incidentes de seguridad de la información .... 164 Eventos de seguridad (fase pre-incidente) ........................................................... 164 Gestión de incidentes (fase de atención de incidencia) ........................................ 166 Disposición final (fase post-incidente) ................................................................... 167 Seguimiento revisión y auditoria. .......................................................................... 168 Documentación y retroalimentación ...................................................................... 168 Mapa de procedimientos ....................................................................................... 169 Estrategias de capacitación y comunicación ........................................................ 170 Objetivo ................................................................................................................. 170 Del plan ................................................................................................................. 170 Procedimientos de gestión .................................................................................... 171 Metodología Estrategias de Capacitación y Comunicación .................................. 173 Mapa de procedimientos. Plan de capacitación .................................................... 174 Especificación del procedimiento .......................................................................... 175 11 GLOSARIO DE TÉRMINOS ACTIVOS DE INFORMACIÓN: todos los componentes de información que tienen valor para la organización, todo lo que es posible realizar, concluir, visualizar y procesar de la información. AMENAZA: acción o evento que puede ocasionar consecuencias adversas en los datos. ATAQUE: tipo y naturaleza de inestabilidad en la seguridad. AUTENTICIDAD: se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quien los y cuando fueron enviados y recibidos. CABALLO DE TROYA: programa que se activa en un sistema informático y lo deja expuesto a accesos mal intencionados. CONFIDENCIALIDAD: propiedad de prevenir la divulgación de información a sistemas o personas no autorizados DISPONIBILIDAD: característica de la información de encontrarse SIEMPRE a disposición del solicitante que debe acceder a ella, sea persona, proceso o sistema. HARDWARE: termino en ingles que hace referencia a cualquier componente físico tecnológico, que interactúa de algún modo con un sistema computacional. INCIDENTE: se define como un evento que sucede de manera inesperada y que puede afectar la Confidencialidad, Integridad y Disponibilidad de la información y además de esto los recursos tecnológicos. INFORMACIÓN: conjunto de datos que toman sentido al integrarse con características comunes. INFORMÁTICA: la informática es la ciencia que tiene como objetivo estudiar el tratamiento automático de la información a través de la computadora. 12 INTEGRIDAD: propiedad que busca mantener los datos libres de modificaciones no autorizadas. ISO: International Organization for Standardization, Entidad internacional encargada de favorecer la estandarización en el mundo. engloba a todo tipo de programa o código de computador cuya función es dañar un sistema o causar un mal funcionamiento. Este grupo podemos encontrar términos como: Virus, Troyanos (Trojans), Gusanos (Worm), Dialers, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rootkits, Bootkits y Rogues. POLÍTICAS: actividad orientada en forma ideológica a la toma de decisiones de un grupo para alcanzar ciertos objetivos. Acción elegida como guía en el proceso de toma de decisiones al poner en practica o ejecutar las estrategias, programas y proyectos específicos del nivel institucional. , por un medio físico (cable) o de manera inalámbrica donde se comparte información, recursos y los servicios. RIESGO: la probabilid . SEGURIDAD: puede afirmarse que este concepto que proviene del latín securitas que hace referencia a la cualidad peligro, daño o riesgo. Algo seguro es algo cierto, firme e indubitable. La seguridad, por lo tanto, es una certeza. SGSI: Sistema de Gestión de la Seguridad de la Información. hace referencia a la posibilidad de ser herido o recibir algún tipo de lesión, es una debilidad en los procedimientos de seguridad, diseño, implementación o control interno que podría ser explotada (accidental o intencionalmente) y que resulta en una brecha de seguridad o una violación de la política de seguridad de sistemas. RESUMEN Este documento se centra en la aplicación de la norma ISO/IEC 27001 en atención a los numerales 4.2.2 Implementación y Operación de un Sistema de Gestión de la Seguridad de la Información (por sus siglas, SGSI), identificando las acciones de: la gestión apropiada, prioridades y responsabilidades de la gerencia en la creación de políticas que garanticen el cumplimiento de los objetivos del SGSI, además se hace referencia a la creación de planes de acción para el tratamiento, análisis y gestión de los riesgos implementando procedimientos que brindan una atención oportuna a los incidentes de seguridad de la información, acompañados de estrategias de capacitación y formación para los integrantes de la organización. DESCRIPTORES Gestión, implementación, incidente, Norma, ISO, operación, políticas, procedimientos, riesgos, seguridad, SGSI. ABSTRACT This paper focuses on the implementation of ISO/IEC 27001, in response to paragraphs 4.2.2 "Implementation and Operation of Information Security Management System (ISMS)", identifying actions about: appropriate management, resources, priorities and executive responsibilities in policy making, ensuring compliance with the objectives of the ISMS. Also refers to the creation of action plans for treatment, analysis and risk management, implement procedures that provide a timely attention to incidents of information security, accompanied by education and training for members of the organization. KEY WORDS Management, implementation, incident, Standard, ISO, operation, policies, procedures, risks, security, ISMS. 1. CAPITULO I: GENERALIDADES Y DEFINICIÓN DEL PROBLEMA 1.1. DEFINICIÓN DEL PROBLEMA Hoy en día no se puede concebir una organización aislada totalmente de la red, siempre se están compartiendo datos en redes internas o a través de la gran red, Internet, permitiéndoles a los usuarios disposición de información en todo lugar y en todo momento. Los avances tecnológicos que vienen en constante evolución, las telecomunicaciones que se han convertido en una herramienta muy importante para las organizaciones y el crecimiento organizacional se han encargado de propiciar vulnerabilidades para las mismas. Las organizaciones dependen de los datos almacenados en sus sistemas de información y es allí donde la seguridad de la información se convierte en un factor necesario en los procesos que se desarrollan al interior y exterior de la misma. Es muy importante considerar además, que en el desarrollo organizacional se involucran factores como recursos humanos, procesos y tecnología; factores que propician vulnerabilidades con respecto a la seguridad de la información. Puede afirmarse que este fenómeno ofrece mayores retos en la micro, pequeña y mediana empresa. Es en este sector donde existen menores recursos para invertir en el campo informático, sin embargo, estas organizaciones han incursionado en tecnologías web haciéndose vulnerables en este mismo campo. La carencia de estrategias para una administración segura de la información, está acompañada de la falta de conocimiento sobre los estándares internacionales y de las normas que mediante su aplicación ayudan a prevenir pérdidas de información y a evitar la existencia de procesos vulnerables. El evidente ámbito de competitividad, y el avance tecnológico, en consonancia con el precario desarrollo administrativo, organizacional y tecnológico de las empresas regionales, demuestran la necesidad de brindar mecanismos que les permitan mitigar su vulnerabilidad en cuanto a la administración de la información. 13 1.2. JUSTIFICACIÓN Impedir hoy la ejecución de operaciones no autorizadas sobre un sistema informático se asume de vital importancia, puesto que sus efectos conllevan a daños sobre los datos, y comprometen la confidencialidad, la autenticidad e integridad de la información organizacional. La norma ISO/IEC 27001 ofrece un estándar de calidad en cuanto al tratamiento Seguridad de la (Numeral 4.2.2: "implementación y operación de un sistema de gestión de seguridad de la información"), que establece los lineamientos que la organización debe seguir en cuanto al cumplimiento de normas que garantizan la seguridad de su información, las acciones oportunas cuando se presentan incidentes, además, brindar al personal indicado un plan para el tratamiento de los riesgos y dar solución a los posibles incidentes entre otros; con estos, se plantea la necesidad de poseer una guía en las organizaciones que permita atender el tratamiento de los riesgos. Al respecto, en la Revista Sistemas N° 115 se hace la presentación de la Encuesta Nacional Seguridad Informática en Colombia: Tendencias 2010 (pág. 26-49) donde plantea las fallas que se tienen en cuanto a la seguridad de la información. Entre ellas identifica: » La conciencia en seguridad de la información y el uso de buenas prácticas: Mostrando que aún existe cerca de una tercera parte de las empresas objetivo que no son conscientes de la necesidad de proteger la información que manejan. » Intrusiones o incidentes de seguridad identificados en el año: Se muestra como estos incidentes se han tratado y se han logrado monitorear hasta un 70%, buscando una reacción más oportuna frente a un panorama que no tiene fin. El aumento en incidentes de tipo financiero y el malware en términos generales se han propagado de gran forma, esto invita a fortalecer 14 los escenarios de protección de la información, y controlar los incidentes para disminuir su efecto dentro de las organizaciones. » Tipos de fallas de seguridad: Se evidencia que los virus, accesos no autorizados a la web, caballos de Troya, software no autorizado y fuga de información son las fallas más frecuentes en Colombia. » Identificación de las fallas de seguridad informática: Aquí se puede evidenciar que las mejores herramientas para la identificación de posibles fallas de seguridad son los registros de auditoría, sistemas de archivos y registros de firewalls, también los sistemas de detección de intrusos y notificaciones por parte de empleados o algún colaborador. Por otro lado, según "Network Attacks: Analysis of Department of Justice Prosecutions" [1999 - 2006], estudio realizado por Trusted Strategies y Phoenix Technologies, Ltd., se evidencia que: Solo el 33% de las web tienen sw adecuado de detección de intrusiones. Solo el 51% de los sitios web cifran las transacciones de internet que deben ser seguras. Solo el 27% de las organizaciones invierten más del 1% del presupuesto en seguridad de la información. El 43% de los ataques es realizados por allegados a la organización: » 22% Empleados antiguos » 14% Empleados actuales » 7% Proveedores o clientes. El costo medio de recuperación a un incidente es de 1.5 Millones de Dólares. Ahora bien, si en países industrializados con historial en control de la información al interior de sus organizaciones y donde se puede suponer que existe una cultura mayor en seguridad de la información se tienen estos resultados, en Colombia se convierte en un reto la aplicación de buenas prácticas que garanticen una adecuada administración de la seguridad de la información. 15 Por razones como las anteriormente mencionadas, se hace necesario elaborar una guía de buenas prácticas de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, que propicie un óptimo tratamiento seguro de la información utilizada en la organización y que sirva como modelo de buenas prácticas de seguridad de la información, fundamentada en la norma ISO 27001. 1.3. OBJETIVOS 1.3.1. Objetivo General Elaborar una guía de buenas prácticas que permita la aplicación de un plan de acción para el tratamiento de los riesgos e implementar controles para detectar y dar respuesta oportuna a incidentes de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, según la norma ISO 27001. 1.3.2. Objetivos Específicos » Elaborar una guía documental que establezca una metodología para la construcción de un plan de acción para el tratamiento de riesgos de seguridad de la información. » Establecer los fundamentos para elaborar estrategias de formación y toma de conciencia para el fortalecimiento de las competencias del personal de cualquier empresa que asuma la aplicación de la guía. » Suministrar una guía documental que plantee una metodología para detectar y dar respuesta oportuna a los incidentes de seguridad de la información. 16 1.4. DELIMITACIÓN El proyecto que se plantea en el presente documento se enfoca a brindar una herramienta metodológica que sirva como modelo para la aplicación de un plan de acción para el tratamiento de los riesgos e implementar controles para detectar y dar respuesta oportuna a incidentes de seguridad de la información en contextos de micro, pequeñas y medianas empresas de la región, según la norma ISO 27001. De igual forma, propiciar los fundamentos para elaborar estrategias de formación y toma de conciencia, que desarrolle competencias para la aplicación de la herramienta, también brindar una guía documental que plantee una metodología que permitan detectar y dar respuesta oportuna a los incidentes de seguridad; tomando como base la norma ISO 27001, haciendo referencia a modelar los procesos de buenas prácticas de seguridad de la información en las micros, pequeñas y medianas empresas de la región. 1.5. MARCO REFERENCIAL 1.5.1. Antecedentes suficientes para protegerlo. Cada vez se modernizan más los medios para suministrar, retroalimentar e intercambiar información, pero de forma paralela (e inclusive mayor), se aumentan los medios para boicotear, plagiar o extraer información de forma fortuita. En este marco, el presente trabajo da cuenta de la dinámica de la seguridad e inseguridad en la información, los medios de flujo, los procesos y procedimientos que se han desarrollado para que esta información no solo sea ágil sino también segura, a la vez que pretende modelar los procesos que fácilmente cualquier 17 organización pueda asumir para la protección de la información de una forma fácil y a la medida de sus necesidades. El avance en el manejo y procesos de seguridad de la información se puede monitorear de múltiples formas, sin embargo para el presente desarrollo investigativo, se ha adoptado el seguimiento al establecimiento paulatino tanto de un marco legal nacional e internacional, como el desarrollo de normas técnicas de certificación de calidad. Las leyes de cada país son la respuesta a problemáticas o falencias frente a aspectos puntuales, aunque en algunos países desarrollados, las normas se anticipan, puesto que cuentan con entidades legislativas modernas que monitorean los fenómenos mundiales para adelantarse a esas realidades que podrán afectarlos tanto positiva como negativamente. En Colombia de forma lamentable la legislación en la mayoría de las ocasiones actúa como paliativo o solución emergente, en el caso específico a la legislación sobre seguridad informática, se puede evidenciar que de manera tímida se ha generado normatividad al respecto. En Colombia los primeros vestigios de normatividad sobre la seguridad informática no se establecieron en forma directa al tema informático, sino a los aspectos de propiedad intelectual, la cual se refiere a las creaciones de la mente: invenciones, obras literarias y artísticas, así como símbolos, nombres e imágenes utilizadas en el comercio. La propiedad intelectual se divide en dos categorías: a) la propiedad industrial, que incluye las patentes de invenciones, las marcas, los diseños industriales y las indicaciones geográficas y b) los derechos de autor. En este aspecto se pueden establecer como parámetro inicial la Ley 23 de 1982 la cual estipula el lineamiento para la protección de derechos de autor, sin embargo, científicas y artísticas gozarán de protección para sus obras. También protege ésta ley a los intérpretes o ejecutantes y los productores de fonogramas y a los contempla de forma literal el tema informático. 18 El segundo punto de referencia jurídica al respecto es el Decreto 1360 de 1989, desarrollos dentro de los aspectos cubiertos por la legislación vigente sobre derechos de autor. De igual forma se encuentran leyes y decretos que regulan los derechos de Autor, algunas con determinaciones explicitas sobre la informática y otras con marco jurídico sobre el tema de propiedad intelectual: Ley 44 de 1993, Decreto 460 de 1995, Decreto 162 de 1996, Ley 544 de 1999, Ley 565 de 2000, Ley 603 de 2000, Ley 719 de 2001. Otro elemento que se debe tener en cuenta y que constituye esta misma línea normativa, es la legislación sobre propiedad industrial, allí se puede encontrar normatividad Nacional e internacional, como la Decisión 486 de la C.A.N. y en la legislación Colombiana el Decreto 2591 de 2000, y la Ley 178 de 1994. Así mismo se han definido una serie de Normas, que dictaminan la calidad de la seguridad informática, definiendo como norma, un modelo, un patrón, ejemplo o cas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional. En el mercado existen diferentes tipos de normas, sin embargo en el ámbito local se ha adoptado el sistema de las normas ISO (International Organization for Standardization) que es la entidad internacional encargada de favorecer la estandarización en el mundo. Estas normas han ido evolucionando paulatinamente, y de allí han surgido una variada y numerosa gama normativa, la cual se conoce como la familia ISO. Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, que abarcan distintos aspectos relacionados con la calidad: 19 » ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. » ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. » ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable. » ISO 27003: Consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los requerimientos de sus diferentes fases. » ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. » ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. » ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. » ISO 27007: Consiste en una guía de auditoría de un SGSI. » ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones. 20 » ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. » ISO 27032: Consiste en una guía relativa a la ciberseguridad. » ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante Gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. » ISO 27034: Consiste en una guía de seguridad en aplicaciones. » ISO 27799: Es un estándar para la seguridad de la información en el sector salud. El presente trabajo investigativo se encuentra enmarcado en la norma ISO 27001, bajo los lineamientos de implementación y operación de un Sistema de Gestión de Seguridad de la Información. 1.5.2. Tendencias Detectadas Respecto a esta temática es importante tener en cuenta los estudios que ha realizado la Asociación Colombiana de Ingenieros de Sistemas, pues esta institución se mantiene a la vanguardia en las temáticas que tiene que ver con el manejo de la información y para este caso concreto, la seguridad que se debe tener con ella; así entonces nos encontramos con la presentación de la Encuesta Nacional Seguridad Informática en Colombia: Tendencias 2010 1 donde se evidencian los siguientes resultados: 1 ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49. Artículo: Encuesta nacional Seguridad informática en Colombia: Tendencias 2010. Extraído del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de 2010. 21 Éste estudio longitudinal, realizado entre los años 2002 y 2009, tuvo en cuenta diferentes categorías, como la demografía (empresas a las que iban dirigida la encuesta), presupuestos (que se manejan en tales empresas que propendan al mejoramiento de la seguridad de la información), fallas de seguridad, herramientas y prácticas de seguridad, políticas de seguridad y, finalmente, el capital intelectual. A continuación se expondrán las principales de algunos apartados. a. Demografía. Identifica elementos como la zona geográfica, el sector y el tamaño de la organización, responsabilidad y responsables de la seguridad, y por último la ubicación de la responsabilidad en la organización. Entre los participantes de éste estudio se encuentra gran participación del sector bancario, en donde la Superintendencia Financiera de Colombia ha desarrollado pautas para asegurar la información para los usuarios del sistema bancario, también del sector educativo y gobierno donde se evidencia la necesidad de contar con una directriz en temas de seguridad de la información. Otro aspecto importante a resaltar es que la seguridad de la información se ha convertido en un elemento clave para la media empresa, formalizando sus estrategias de negocio. Para la gran empresa se trata de un tema de la gestión de la organización dado que las regulaciones internas y tendencias internacionales establecen referentes que no pueden ser ignorados. Finalmente, se evidencia que el cargo de Director del Departamento de sistemas/Tecnología ha tenido un aumento significativo, se puede ver que la seguridad de la información continua en aumento, pero se vuelve necesario coordinar los procesos de negocio con las áreas de seguridad y de tecnología para así realizar propuestas con fines no estrictamente tecnológicos para así no limitar la participación de estos en las decisiones de negocio o estrategias de la organización. b. Presupuestos. Los resultados muestran la tendencia de la inversión en seguridad concentrada en la zona perimetral, en las redes y sus componentes, así como la protección de datos críticos de la organización, por otro lado hay una predisposición a la no concientización y entrenamiento del usuario final. Con la información expuesta se puede decir que se evidencia una inversión variable en seguridad de la información, afirmando que en nuestro país no se ha logrado generar una concientización en cuanto a la necesidad de tener políticas dirigidas a 22 la protección de la información; sin embargo, un aspecto positivo a resaltar es que en el año 2009, se genera a las empresas la necesidad de destinar más recursos a la seguridad de su información, esto de la mano de la cantidad de normativas y regulaciones alrededor de la industria nacional, que motiva ésta inversión. Estas inversiones están generalmente desarrolladas por el sector de la banca y las empresas dedicadas a las telecomunicaciones, mostrando así que la seguridad de la información no es un tema exclusivo de los informáticos, si no que requiere de la formación de un equipo multidisciplinario que integre los diferentes niveles de la organización y los diferentes tipos de organizaciones. c. Herramientas y Prácticas de Seguridad. Se evidencia como preocupante que poco más de la tercera parte de las empresas no prestan atención a las prácticas de seguridad y que aún, teniendo a disposición alguna herramienta que brinde cierto nivel de seguridad, no hacen controles adecuados sobre ella y sus efectos ni una vez al año. Por otro lado, se encuentra que las herramientas más usadas por las empresas en pro de la seguridad de la información son antivirus, contraseñas, firewalls tanto de hardware como de software, VPN/IPSec y Proxies en mayor porcentaje; y otros, en menor proporción como lo son las firmas digitales, smart cards, biométricos, sistemas de prevención de intrusos, monitoreo de bases de datos, entre otros. d. Políticas de Seguridad. Manifiesta que solo cerca de la cuarta parte de las empresas tienen tales políticas en ejecución, mientras las restantes o bien están desarrollando tales políticas o sencillamente no han invertido sus recursos en hacerlo; esto debido a, principalmente, según el estudio, al poco entendimiento de la seguridad de la información y a la inexistencia de una política de seguridad, lo que finalmente lleva a cuestionar la concientización que realizan las empresas para lograr que sus miembros entiendan y desarrollen comportamientos que propendan por la seguridad. Para finalizar se hace importante resaltar que la Norma ISO 27001 es adoptada por cerca de la mitad de las empresas como guía para la adopción de buenas prácticas en seguridad informática. e. Capital Intelectual. Muestra la tendencia de las empresas con respecto a la contratación o no de profesionales relacionados con el campo de ingeniería de sistemas y computación para el manejo de la información y designar en ellos la responsabilidad de salvaguardarla. Aquí se evidencia que cerca del 60% de las empresas tienen entre uno y cinco personas para el manejo de este importante activo para la organización. 23 1.6. MARCO CONCEPTUAL En el presente trabajo investigativo, es necesario generar un marco que permita definir conceptos que son relevantes para el tema de seguridad de la información. Como se percibirá a continuación se han definido 3 conceptos fundamentales a saber: seguridad informática, seguridad de la información e inseguridad de la información. La necesidad de preservar y custodiar de manera efectiva y adecuada la información al interior de una organización, y más aún, en la transmisión de la misma, es un tema que se convierte en un requisito funcional dentro de las políticas organizacionales; es un factor determinante para la credibilidad de la organización frente a sus clientes y usuarios, y un paso de adelanto hacia la excelencia en la calidad de sus procesos. El riesgo en la información ha aumentado a medida que ésta ya no es controlada en un solo lugar como lo era un sistema centralizado para las organizaciones; ahora la información se distribuye de tal forma que se encuentra en varios lugares como lo son sedes o sucursales, por ésta razón se desconoce qué información puede ser almacenada en puestos específicos de trabajo, que muchas veces son usados como equipos personales en las organizaciones. Técnicamente es imposible lograr sistemas informáticos ciento por ciento seguros, "El único sistema realmente seguro es aquel que esté desconectado de la línea eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente en una habitación revestida de plomo y protegido por guardias armados y aún así, se puede dudar"2, pero buenas prácticas de seguridad evitan posibles daños y problemas que pueden ocasionar las incidencias de seguridad de la información en la organización. Al hablar de seguridad en términos de informática deben tenerse en cuenta 2 conceptos que definen técnicamente su aplicación: 2 GÓMEZ VIEITES, Álvaro., Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición, 2007 24 1.6.1. Seguridad Informática La seguridad informática es un recurso que no se valora realmente, debido a su intangibilidad, las medidas de seguridad en la información no contribuyen a agilizar los procesos en los equipos, por el contrario producen un efecto adverso a éste, provocando una reducción en el rendimiento de éstos y las aplicaciones, ya que se realizan procesos adicionales a los que normalmente se efectúan, por ejemplo en el envío de datos por una red, no solo se deben procesar los datos para ser enviados, sino que además de éste procedimiento se llevan a cabo otras acciones como encriptación de éstos mensajes. Para hacer más descriptiva esta problemática de re-procesos se explicará a continuación el método de la firma digital. Ver figura 1. Figura 1. Firma Digital: Envío de un mensaje Seguro. Fuente: Elaboración Propia, basado en GÓMEZ VIEITES Álvaro, 2007, Enciclopedia de la seguridad informática, Capitulo 14, Firma Electrónica. 25 Cuando se desea emitir un mensaje con un nivel alto de seguridad, la mejor forma es utilizar la firma digital, método criptográfico que consiste en asociar la identidad de una persona a un mensaje para garantizar que no va a ser alterado durante el envío y además de esto asegurar la autenticidad del mismo, garantizando al destinatario que el mensaje fue creado por quién dice ser su remitente. Este método consiste en: » » » » » Creación de la firma digital. Encriptación del mensaje y envío. Recepción del mensaje seguro. Des encriptación del mensaje y la firma digital. Verificación de la autenticidad del mensaje y de la firma digital. Por otro lado, cuando no se aplican medidas de seguridad, el método consiste en: » Creación del mensaje » Envío del mensaje » Recepción del mensaje. Debido a la cantidad de procesos adicionales, muchas empresas no recurren a estos métodos de seguridad en la información ya que son costosos en tiempo y dinero, involucrando más software y hardware dentro de sus procesos empresariales. También se puede decir que la seguridad informática es una disciplina que relaciona diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Como lo cataloga la norma ISO 7498 l una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización Las medidas y controles que aseguren la confidencialidad, integridad y disponibilidad 26 de los activos incluyendo hardware, software, firmware y la información que es procesada, almacenada y comunicada 3 Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema4 A continuación se hace referencia acerca de los objetivos que se deben cumplir por la seguridad informática5: Objetivos de la seguridad informática: » Minimizar y gestionar los riesgos, y detectar los posibles problemas y amenazas a la seguridad. » Garantizar la adecuada utilización de los recursos y de aplicaciones del sistema. » Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad. » Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Para lograr estos objetivos se deben contemplar 4 planos de atención: 3 INFOSEC Glorssary 2000, pág. 13. 4 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 4. 5 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 8. 27 Plano humano: » Sensibilización y formación. » Funciones, obligaciones y responsabilidades del personal. » Control y supervisión de los empleados. Plano técnico: » Selección, instalación, configuración y actualización de soluciones hardware y software. » Criptografía. » Estandarización de productos. » Desarrollo seguro de aplicaciones. Plano Organizacional: » Políticas, normas y procedimientos. » Planes de contingencia y respuesta a incidentes. » Plano Legislativo: » Cumplimiento y adaptación a la legislación vigente. La seguridad informática se enfoca en la protección de la infraestructura computacional y todo lo relacionado a esta, (proteger los activos informáticos), aplicándose sobre: LA INFORMACIÓN: Establecer criterios por los administradores, para evitar que usuarios externos y no autorizados puedan acceder a ella sin autorización. Evitar que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres. LA INFRAESTRUCTURA COMPUTACIONAL: Velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática. 28 LOS USUARIOS: Establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos, así minimizando el impacto en el desempeño de los funcionarios y de la organización en general. La seguridad informática para una organización se debe concebir como un proceso y no como un producto que se puede comprar o instalar, se trata de un proceso continuo, donde se involucran la estimación de riesgos, prevención y atención a los incidentes de la seguridad de la información, además de esto una firme retroalimentación de las actividades realizadas, para así garantizar un efectivo tratamiento a los incidentes en los que la seguridad informática de la organización esté comprometida. 1.6.2. Seguridad de la Información La norma ISO/IEC 17799 define seguri La preservación de su confidencialidad, su integridad y su disponibilidad . Ver Figura 2. 29 Figura 2. Seguridad de la Información. Fuente: Norma ISO/IEC 17799 Dependiendo del tipo de información manejada y los procesos realizados por una organización, la seguridad de la información podrá conceder más importancia a garantizar la confidencialidad, la integridad o la disponibilidad de sus activos de información6. Por lo tal razón es muy importante identificar la necesidad de la organización para así garantizar los pilares de la seguridad de la información y enfatizar en la necesidad adecuada para dicha institución. El término "seguridad de la información", Significa la protección de la información y de los sistemas de información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizada con la finalidad de proporcionar Integridad, Confidencialidad y Disponibilidad7, involucrando la implementación de 6 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. Pág. 5 7 Cornell University Law School, Extraído del sitio web http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html, Octubre de 2010. 30 estrategias que cubran los procesos en donde la información es el activo primordial para la organización. Estas estrategias deben tener como punto de partida el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y la administran. Para ello se establece un SGSI (Sistema de Gestión de la Seguridad de la Información): que es aquella p comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en una organización 8. Es importante mencionar que la seguridad es un proceso de mejora continua, por tal razón las políticas y controles que se establecen para la resguardo de la información deben revisarse y adecuarse para los nuevos riesgos que aparezcan, para así establecer las acciones que permitan reducirlos y si es posible en el mejor de los casos eliminarlos. Si dentro de la dinámica del negocio de una organización, la información de sus e credibilidad, y pierde negocios que pueden desembocar en la desaparición de la misma. Así pues, proteger la información es un requisito funcional del negocio de una organización. Existen varios mecanismos para cumplir niveles de servicio frente a los pilares de la seguridad de la información, que se implementan mediante infraestructura tecnológica (servidores de correo, de bases de datos, web, uso de clúster de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN, Storage Area Network), enlaces redundantes, etc.). Estos mecanismos son llamados Servicios de Seguridad, cuyo objetivo es mejorar la seguridad de los sistemas de procesamiento de datos y la 8 GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición, Pág. 18. 31 transferencia de información en las organizaciones, contrarrestar los ataques de seguridad y proporcionar la confidencialidad, la integridad y sobre todo la disponibilidad de los servicios. Desde el punto de vista de los servicios de seguridad, se definen 3 factores importantes frente a la seguridad de la información, los cuales fueron tomados de GÓMEZ VIEITES Álvaro, Enciclopedia de la seguridad informática, Alfaomega Editores, 2007. » NO REPUDIO: Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. » NO REPUDIO DE ORIGEN: El emisor no puede negar que envió porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. » NO REPUDIO DE DESTINO: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En definitiva, el no repudio evita que el emisor o el receptor niegue la transmisión del mensaje. Una condición que posee la información es la portabilidad (envío, recepción y traslado de la misma), entonces, desde el punto de vista de protocolo de seguridad en comunicaciones se definen 3 aspectos: » PROTOCOLO: Código de procedimientos o reglas estandarizadas para controlar el flujo y la compatibilidad en el envío y recepción de información. » CRIPTOGRAFÍA (cifrado de datos): Método por el cual se transposiciona u oculta un mensaje hasta que llega a su destino. 32 » AUTENTICACIÓN: Técnica de validación de identificación que comprueba que el envío, recepción o modificación de información no la hace un impostor. Identificar las vulnerabilidades dentro de la infraestructura tecnológica organizacional es también un componente vital dentro de la seguridad de la información, desde el punto de la vulnerabilidad de la información, se definen: » AMENAZA: Acción o evento que puede ocasionar consecuencias adversas en los datos. » ATAQUE: Tipo y naturaleza de inestabilidad en la seguridad. Otros 2 aspectos que deben tenerse muy en cuenta al definir la seguridad de la información son sus particularidades y sus cualidades: La administración de la información está basada en la tecnología; ésta puede ser Y/O tener los siguientes atributos: » Confidencial: Información centralizada y de alto valor. » Divulgada: Mal utilizada, robada, borrada o saboteada. Estas particularidades afectan la disponibilidad y la ponen en riesgo. Cualidades de la información: » Critica: Indispensable para la operación de la organización. » Valiosa: Considerada como activo para la organización. » Sensitiva: Debe ser conocida por las personas autorizadas. 33 » Riesgo: Todo tipo de vulnerabilidades y amenazas que pueden ocurrir sin previo aviso. » Seguridad: Forma de proteger la información frente a riesgos. Pilares de la seguridad de la información9: » CONFIDENCIALIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Propiedad de prevenir la divulgación de información a sistemas o personas no autorizados. » INTEGRIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Propiedad que busca mantener los datos libres de modificaciones no autorizadas. » DISPONIBILIDAD DE LA INFORMACIÓN Y DE LOS DATOS: Característica de la información de encontrarse SIEMPRE a disposición del solicitante que debe acceder a ella, sea persona, proceso o sistema. (Prevención del ataque de denegación del servicio). Por otro lado, dentro del tema de seguridad de la información se debe también conceptualizar su complemento, la inseguridad de la información: Solo se concibe la inseguridad de la información desde el punto de vista de seguridad de la información, como ente adjunto: si bien la seguridad de la información puede significarse como todos los mecanismos en pro de salvaguardar la integridad, la confidencialidad y la disponibilidad de la información, la inseguridad de la información no tiene una concepción antagónica sino la manera estratégica en como 9 ISO/IEC 17799:2005 34 las organizaciones establecen un escenario futuro de los riesgos sobre la 10 Es necesario entonces reconocer, que sólo mirando las posibilidades de falla y vulnerabilidad, es posible mejorar la práctica misma de la administración de riesgos y la definición de mecanismos de seguridad y control. Buscar formas detalladas para la gestión de los riesgos en los que cae la información, y suministrar herramientas eficientes que permitan detectar y dar respuesta oportuna a los incidentes de seguridad de la información a través de la implementación de una guía de seguimiento y revisión de los procesos del sistema, es un punto neurálgico del presente proyecto, cuya solución se dictaminará durante su ejecución, ofreciendo mecanismos que permitan paralelamente tener presente los escenarios de inseguridad de la información posibles y a su vez los medios de seguridad aplicables en el ámbito. 1.7. MARCO TEÓRICO Desde una óptica teórica propiamente dicha (sin tener en cuenta la normatividad y los estándares mencionados en los capítulos anteriores), se ha escrito muy poco sobre la seguridad de la información y su papel desempeñado dentro de la organización; por eso, en éste marco se pretende mostrar los aportes que han enriquecido los estándares de prácticas de seguridad de la información, y desde la perspectiva de los autores, esbozar un posible direccionamiento de la norma ISO 27001, desde el punto de vista de la aplicación de la guía de buenas prácticas de seguridad de la información -propuesto y desarrollado - en el proyecto. 10 CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la inseguridad informática, extraído del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de 2010. 35 1.7.1. Administración de la Seguridad Las buenas prácticas de administración indican que el establecimiento claro de la misión de una organización es indispensable para que todos los funcionarios ubiquen sus propios esfuerzos y los direccionen en bien de la misma. [Glueck, W. Business Policy and Strategic Management -Hill, 1984], además permite elaborar políticas operativas que facilitan el cumplimiento de la misión de la organización, que pueden entenderse como reglas que hay que seguir obligatoriamente. Es usual que la alta gerencia cometa errores en cuanto a la seguridad de la información de sus organizaciones, como por ejemplo suponer que los problemas desaparecen si se ignoran, no entender cuánto dinero vale su información y que tanto depende la organización de ella, no lidiar con los aspectos operacionales de la seguridad, no entender la relación que existe entre la seguridad y los problemas de funcionamiento y marcha de la organización, entre otros. Si la administración empresarial propone una misión para direccionar estratégicamente la se solucione las falencias, ubicando la seguridad informática al mismo nivel que otras actividades sustantivas de la organización, elaborando un plan de seguridad informática clara, promulgando políticas que se derivan de dicha misión y determinando que mecanismos se requieren para implementar esas políticas 11. 11 La Seguridad de la Información Limusa Noriega Editores, 2007. Pág. 215. 36 1.7.2. Análisis de Riesgos Un paso intermedio entre la administración de la seguridad, -que desemboca en la generación del plan estratégico de seguridad (misión de seguridad)- , y las políticas de seguridad, es el análisis de riesgos de la información dentro de la organización; es aquí donde "se analiza una metodología práctica para el desarrollo de planes de contingencia de los sistemas de información, que comprende: la identificación de riesgos, calificación del impacto del mismo si se hiciera realidad, evaluación del impacto en los procesos críticos y la creación de estrategias de contingencias"12. Las buenas prácticas de Inseguridad de la información juegan un papel importante en este punto, puesto que no se puede proteger la información, si no se sabe contra qué hay que protegerla. Es necesario entonces, identificar cualquier aspecto que ponga en riesgo los pilares de la seguridad de la información, así como definir e implantar la defensa necesaria para mitigar y/o eliminar sus posibles consecuencias. Salvaguardar la confidencialidad, la integridad, la autenticidad y la disponibilidad de la información es la característica que en el fondo define el modelo que se quiere diseñar en el presente proyecto. Aunque estas características soportan No todas deben estar vigentes simultáneamente, ni tienen todas la misma importancia en todas las circunstancias 13 . Existen casos de aplicación en que en ocasiones es más importante la confidencialidad (acciones militares por ejemplo) que la disponibilidad, otros casos en que la información debe ser auténtica (inversiones), etc. Debe determinarse en qué casos, cuáles de las propiedades son necesarias o importantes. 12 NIMA RAMOS Jonathan D, de información empresarial y de negocios 13 La Seguridad de la Información Limusa Noriega Editores, 2007. Pág. 26. 37 La seguridad de la información, como disciplina, trata precisamente de establecer metodologías para determinar cuáles de las 4 características son deseables en alguna circunstancia y de encontrar la forma de lograr que se apliquen 14. En el proceso de análisis de riesgos de la información se pueden diferenciar dos módulos: a) La Evaluación del riesgo, orientado a determinar los sistemas de información y sus componentes, que pueden ser afectados directa o indirectamente por agentes externos, y b) La Gestión del riesgo, que implica la identificación, selección, aprobación y administración de las defensas para eliminar, o reducir a niveles aceptables, los riesgos evaluados. En conclusión, su papel es reducir la posibilidad de que una amenaza ocurra, si ocurre, limitar su impacto, eliminar la vulnerabilidad existente y retroalimentar para futuras eventualidades. 1.7.3. Políticas de Seguridad Posterior al establecimiento de la misión de seguridad, se requiere redactar las políticas en las que se basará el cumplimiento de la misión. La importancia de la no se tiene un marco de referencia general de seguridad, puesto que permiten definir los procedimientos y herramientas necesarias del sistema de seguridad 15. Los beneficios del establecimiento de las políticas de seguridad de la información ayudan a tomar decisiones sobre otros tipos de política empresarial (propiedad intelectual, destrucción de información, etc.), que al final de cuentas redunda en una estructura de calidad de servicio, seguridad en el servicio y dispone un ambiente propicio para suministrar una guía, ya que si ocurre un incidente, las políticas constituyen un marco referencial sobre quién hace qué acciones que minimicen el impacto de los mismos. 14 Ibídem, Pág. 27 15 DALTABUIT GODAS Enrique, VÁZQUEZ José de Jesús, La Seguridad de la Información. Pág. 221, Limusa Noriega Editores, 2007. 38 1.8. DIRECCIONAMIENTO La fortaleza de la norma ISO/IEC 27001 en materia de gestión de seguridad de la información, a día de hoy nadie la pone en duda, de hecho desde su publicación, esta norma ha empezado a ser parte fundamental, al menos en teoría, del funcionamiento administrativo de las organizaciones. Sin embargo, esta norma esta todavía lejana de alcanzar el grado de implantación funcional a nivel mundial, que si han alcanzado otros estándares de gestión, como por ejemplo el estándar que establece los requisitos de un sistema de gestión de la calidad: ISO 9001. Es tal la superioridad de la ISO 9001 frente a las ISO/IEC 27001, comparadas en nivel de implantación que la norma ISO 9001 se sale del ámbito administrativo de "certificación" y se plantea en un plano de requerimiento funcional de cualquier empresa en el mundo. Así, si no se está certificado en ISO 9001, se está fuera del mercado mundial. Analizando la evolución de esa norma (ISO 9001), es posible inferir una evolución similar en la ISO/IEC 27001, ya que, aunque no en el sentido estricto, o de cumplimiento obligatorio, se empiezan a ver signos significativos de su implantación en la organización como se describe: En Perú, la ISO/IEC 27002:2005 (Guía de buenas prácticas. No certificable) es de uso obligatorio en todas las instituciones públicas desde el año 2005, fijando así un estándar para las operaciones de la Administración16. En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores, es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006, se hallan sujetos al cumplimiento del estándar. 16 Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú, Extraído del sitio web http://www.ongei.gob.pe/ a los 5 días del mes de octubre de 2010. 39 De ser continuo este avance, la seguridad de la información se convierte en una necesidad, cuyos procesos deben ser certificados no sólo para mejorar dicha seguridad, sino también para ampliar sus resultados y, por supuesto como se había anotado antes, para figurar de manera competitiva en un mercado que conoce la importancia de la seguridad de los activos de información. Como lo dice Manuel Díaz San Pedro en su artículo ISO 27001 17 : ¿Hacia un cumplimiento obligatorio? "Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título "Improving Business Results and Mitigating Financial Risk". Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en Gobierno, Gestión de Riesgos, y Cumplimiento en Tecnologías de la Información (GRC IT), superan la media de ingresos en un 17% frente a las organizaciones que no lo implantan, que se traduce en un 13,8% más de beneficios para la organización Sin duda, con estos antecedentes, ISO 27001 seguirá avanzando en importancia y posición de manera similar al estándar de calidad ISO 9001 en cuanto a grado de institución y exigencia, tanto para la empresa privada como para la pública y la sociedad en general. 17 DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento obligatorio?, extraído del sitio web http://www.gestiopolis.com/administracion-estrategia/iso-27001-cumplimientoobligatorio.htm Noviembre de 2010 40 1.9. DISEÑO METODOLÓGICO Este diseño fue validado y aprobado por el grupo consultor especializado en la temática de Seguridad Informática. Estos lo evaluaron en ocasiones diferentes realizando ajustes a la herramienta que el modelo plantea dando retroalimentaciones y proporcionando un valor agregado en cada socialización y retroalimentar realizada durante la investigación. 1.9.1. Metodología INDAGACIÓN INICIAL Se pretende conocer los diferentes modelos existentes para la implementación del SGSI desarrollados por diferentes autores y en diferentes países con el fin de ampliar la información y perspectivas del sistema. ELABORACIÓN DE CATEGORÍAS Con la información obtenida en la indagación inicial se definirán puntos divergencia y convergencia, de allí se establecerán los componentes más importantes de la guía para lograr el establecimiento de las categorías principales que conformarán la misma. CONSTRUCCIÓN DE DIAGNOSTICO INICIAL Con los elementos anteriores se elaborará un documento que esboza los aspectos preliminares de la guía de buenas prácticas de seguridad de la información. PRESENTACIÓN DE RESULTADOS Grupos focales con personal especializado La información obtenida y procesada se presentará a un grupo de expertos, conformado por especialistas en el tema para retroalimentar los hallazgos y obtener nueva información relevante para la construcción de la guía. 41 RETROALIMENTACIÓN DEL MODELO Con los resultados obtenidos se construye un modelo, constituido según el Instituto Andaluz de Tecnología por procedimientos estratégicos y de apoyo18, los cuales son retroalimentados para posteriores verificaciones, y seguirán el siguiente formato Ver Tabla 1: 18 Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología, ISBN 84-923464-7- 7, Pág. 22. 42 Tabla 1. Formato de Procedimientos CÓDIGO OBJETIVO FORMATOS DE REFERENCIA TIEMPO ESTIMADO/FRECUENCIA TIPO RESPONSABLE NOMBRE VERSIÓN ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. 4. 3. 2. 5. DESCRIPCIÓN < OBSERVACIONES Fuente: Elaboración propia. 43 2. CAPITULO II: CONSTRUCCIÓN Y APLICACIÓN DEL MODELO 2.1. PLAN DE ANÁLISIS El presente trabajo se desarrolló en 5 fases o momentos: I. INDAGACIÓN INICIAL: Se pretende conocer los diferentes modelos existentes para la implementación de buenas prácticas de seguridad de la información desarrolladas por diferentes autores y en diferentes países con el fin de ampliar la información y perspectivas de la guía. Para ello se realizó una exhaustiva indagación de trabajos, escritos, normas, y se pudo establecer que no existe una amplia documentación en la temática, sin embargo este proyecto es resultado de la indagación teórica, conceptual y normativa del tema. II. ELABORACIÓN DE CATEGORÍAS: Con la información obtenida en los antecedentes y las tendencias se definieron puntos de divergencia y convergencia, de allí se establecieron los componentes más importantes del sistema para lograr el establecimiento de las categorías principales que conformarán la guía. Ver figura 3 44 En los tres conceptos iníciales que se habían determinado como ejes estructurales de la presente investigación: seguridad informática, seguridad de la información e inseguridad de la información, se hallan inmersos elementos constitutivos y en diversos contextos tanto normativos, legales y tecnológicos, sin embargo desde el punto de encuentro de los autores del presente trabajo se establecen elementos integrantes conceptuales como: DE LA PREOCUPACIÓN DEL AGUJERO EN LA CAPA DE OZONO A LOS Si se pudiera definir la administración como todos los procesos que conlleven a planificar, organizar, dirigir y controlar ciertos recursos con el ánimo de obtener beneficios, debería poderse adherir a esa definición, el establecimiento de los roles que pondrían en marcha dichos procesos. El quién, el qué y el cómo, se vuelven pilares fundamentales del engranaje que mueve el sistema que busca el beneficio mencionado. Formas, maneras, y métodos de administración existen muchos, pero si a estos diversos métodos asignamos u información puede tomarse entonces como la forma en que se tratan los datos que proporcionan la facilidad de tomar decisiones de algún tipo y que generan conocimiento para planear, organizar y dirigir procesos. Si a esta planeación de puede descubrirse que esta información es susceptible a variables diversas del entorno, que inciden en ella, y la transforman en una potencial base estratégica de adelanto y crecimiento empresarial, o en un apabullante muro de perdida y quiebras. Y como sucede esto?. Es sencillo: dependiendo de la intención que Es necesario entonces plantear barreras que permitan verificar en cierta medida direccionamiento trae, y decidir si esa variable incide positiva o negativamente sobre la información. 46 Esta necesidad de implantación de barreras, de métodos y estrategias, de direccionamientos y verificaciones se llama Administración de seguridad de la información, y es un ítem que toca profundamente los objetivos de este proyecto. Imaginemos que todo lo planteado en los párrafos anteriores, se asimila a lo que sucede en la capa de ozono que se encuentra en la estratosfera, aproximadamente de 15 a 50 Km sobre la superficie del planeta. El ozono es un compuesto que actúa como un potente filtro solar, evitando el paso de una parte de la radiación ultravioleta (UV) a la superficie de la tierra. La radiación UV puede producir daño en los seres vivos, dependiendo de su intensidad y tiempo de exposición; estos daños pueden abarcar desde irritación a la piel, conjuntivitis y deterioro en el sistema de defensas, hasta llegar a afectar el crecimiento de las plantas, con las posteriores consecuencias que esto ocasiona para el normal desarrollo de la vida en la tierra. En este caso el conocimiento organizacional de la empresa, y todo su direccionamiento estratégico estaría representado por la vida en la tierra y la gerencia sería la capa de ozono, que garantiza la seguridad de la información, así mismo los aspectos financieros, la imagen corporativa y la calidez percibida por los clientes serían los valores susceptibles (información) a posibles daños severos que surgen a raíz de una sobre exposición a los factores de riesgo, desencadenando el anormal desarrollo de las actividades del negocio. Por ello la administración de la seguridad es un potente filtro, que evita el paso de materiales nocivos y su implementación en el negocio es imprescindible y de vital importancia para el mismo. Sin embargo siguiendo el mismo ejemplo, el hueco en la capa de ozono, construye establecer mecanismos que posibiliten la prevención y reacción frente a los diferentes acontecimientos. Los sistemas de protección más usados, han tomado como base la familia de normas ISO 27000 de la cual se realizó una síntesis en el ítem 5.1 ANTECEDENTES. 47 DE LAS ARMAS ATÓMICAS A LAS ARMAS EN ÁTOMOS A través de la historia la concepción de seguridad ha ido evolucionando; al inicio la seguridad estaba dirigida a proteger la propia vida y garantizar el bienestar de esta, para ello, se construyeron armaduras, escudos y otros artefactos que protegían el cuerpo y la vida de los individuos; con la evolución de las sociedades y el surgimiento de la explotación mercantil la seguridad se traslada a proteger los bienes, productos y recursos por cualquier medio. Sin embargo, a través de toda la evolución social siempre se ha tenido información con acceso restringido para todos los miembros de la sociedad, información que se ha guardado sigilosamente en secreto y que es de vital importancia para el desarrollo de las actividades administrativas, este último apunte es el que da origen a una serie de instituciones estatales que se dedican a la recolección y a salvaguardar la información importante; actualmente estas conductas seguras con respecto a la información se han trasladado a otro tipo de organizaciones en busca de proteger los elementos de competencia que poseen. Ahora bien, todo este proceso ha requerido un aprendizaje catastrófico para muchas empresas y organizaciones, pues lo que se hace en la actualidad está basado en los errores del pasado, es de esta forma que hoy en día se cuenta con una gran variedad de herramientas para mantener la información segura y con esta a la organización. Sin embargo, tener a disposición tales herramientas no garantiza la protección absoluta de la información y la organización, pues es necesario recordar que tales herramientas son manipuladas por personas y que estas pueden cometer errores, por lo que la concienciación de las personas que componen la organización respecto a prácticas catalogadas como seguras debe considerarse como un pilar en el establecimiento de un SGSI Teniendo un modelo de seguridad a seguir como algo primordial para la organización pueden evitarse pérdidas excesivas de dinero, además de esto los daños a la información pueden llegar a ser devastadores para la organización, tomando medidas preventivas se pueden garantizar escenarios controlados para conservar la integridad, disponibilidad y confidencialidad de la información de la organización. 48 III. CONSTRUCCIÓN INICIAL DEL MODELO: Como se había planteado en el anteproyecto, con los elementos obtenidos en la fases anteriores se elaboró un informe (Ver Anexo A) que detalla los hallazgos encontrados referentes a la Seguridad de la Información, de igual forma se plantea el modelo Inicial llamado Manual de respuesta a incidentes, donde se hace referencia a la gestión apropiada de la seguridad de la información priorizando las iniciativas más importantes para cumplir con los objetivos y metas respecto a esta en la organización, con el fin de establecer una guía de manejo sobre los proyectos de seguridad. IV. PRESENTACIÓN DEL MODELO A GRUPO FOCAL: Para esta fase de desarrollo se planteó la valoración del modelo por parte de un grupo de conocedores (Ver Anexo B), la información obtenida y que soporta la construcción del Manual de Respuesta a Incidentes, se socializó con este grupo, con el fin de retroalimentar los hallazgos y obtener nueva información relevante para la construcción de la herramienta. El modelo planteado se presentó a un grupo de cuatro ingenieros conocedores de la temática, y la síntesis de sus sugerencias son las siguientes: » Enfocar el trabajo realizado del modelo inicial del plan de acción hacia la legislación vigente y a las buenas prácticas establecidas en ISO 27001 e ISM3 con el ánimo de normalizar el modelo. » Encausar el direccionamiento de la Seguridad de la información con la planeación estratégica empresarial. » Crear Estrategias, métodos, diferenciar roles y responsabilidades con el fin de hacer partícipe a toda la organización para la implantación del modelo dirigido por alta gerencia. » Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el análisis del riesgo. 49 » Incluir un plan de capacitación y divulgación de dichas políticas de seguridad. V. RETROALIMENTACIÓN DEL MODELO: El modelo obtenido (Ver Anexo C) al integrar las sugerencias planteadas por el grupo focal da como resultado variaciones en el modelo inicial respecto a: » El Manual de Respuesta a Incidentes se transforma en un Plan de acción de Seguridad de la Información. » Se crea un anexo documental respecto al Análisis y Gestión de Riesgos de Seguridad de la Información. » Se establecen estrategias de difusión y comunicación del modelo. NOTA: Puesto que las fases del plan de análisis están diseñadas de una manera incremental e iterativa, el nuevo ciclo se ejecuta a partir de la fase III como se sigue: 2.2. SEGUNDA ITERACIÓN DEL MODELO El modelo planteado del Plan de Acción y Análisis y Gestión de Riesgos de la Seguridad de la Información son puestos a consideración nuevamente al mismo grupo focal, quienes retroalimentaron dichos planteamientos. 50 RETROALIMENTACIÓN DEL MODELO Las sugerencias planteadas por el grupo focal son adicionadas al Plan de Acción y al Análisis y Gestión del Riesgo de Seguridad de la información (ver Anexo D), los cambios planteados son los siguientes: » Se sugiere una adecuada disposición final de los activos de información, tener un método seguro con el cual realizar la eliminación de dichos activos de la organización. » Se plantea un plan de capacitación riguroso y dinámico, aprovechando todo el proceso de Análisis y Gestión del Riesgo para generar los temas de capacitación en donde se encuentran falencias, además de esto se logre un compromiso de formación por los participantes. Es muy importante brindar una difusión en cuanto a Plan de Acción y Análisis y Gestión del Riesgo generando un compromiso con los objetivos y metas de dichos lineamientos. CONSTRUCCIÓN DEL MODELO El modelo anterior es presentado al grupo focal, y se detectaron falencias en cuanto a la disposición final de los activos de información, teniendo en cuenta que este es un factor de riesgo importante, la forma en cómo se realiza el tratamiento de eliminación o baja de los activos de información desde el momento en que considera necesario prescindir de ellos. Otro cambio que surgió de los datos obtenidos de los expertos fue generar estrategias de capacitación más dinámicas creando un compromiso con los miembros de la organización. El procedimiento se encuentra descrito en ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO presentado en el Anexo E, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. Estas estrategias de capacitación optimizan y mejoran la difusión de los procedimientos que se encontraban inmersos tanto en el Plan de Acción como en Análisis y Gestión del 51 Riesgo, para así lograr una capacitación integral y más rigurosa dirigida a todo el modelo. 2.3. TERCERA ITERACIÓN DEL MODELO Tras presentar el modelo obtenido al grupo focal, surge la necesidad de complementar la guía con un ítem que ayude a gestionar los incidentes de seguridad presentados al interior de un organización, y por ello se plantea la revisión de la Norma ISO/IEC 27005:2009 Gestión del Riesgo de la Seguridad de la Información, para que sirva de apoyo la creación de una guía de respuesta a incidentes de seguridad de la información. RETROALIMENTACIÓN DEL MODELO Tras la valoración de las sugerencias planteadas por el experto en la tercera revisión del modelo, se alude a una revisión documental de las normas ISO/IEC 27001:2006 e ISO/IEC 27005:2009 y en consecuencia a esto se encontraron falencias en el modelo planteado, que son subsanadas con la creación de un nuevo modelo, donde se plantea el siguiente cambio (ver Anexo F): » Creación de la Guía de Respuesta a Incidentes de Seguridad de la Información. 52 3. CAPITULO III: RESULTADOS, CONCLUSIONES Y RECOMENDACIONES 3.1. RESULTADOS OBTENIDOS Un modelo validado de buenas prácticas de seguridad de la información. Un diagnóstico general a través de la construcción de tendencias de prácticas de seguridad de la información en Colombia, CAN y Estados Unidos. Un proceso investigativo sistematizado para la construcción de un manual de procedimientos para la administración de la seguridad de la información, propuesto como Guía de Buenas Practicas de Seguridad de la Información en Contextos de Micros, Pequeñas y Medianas Empresas de la Región. 3.2. CONCLUSIONES Aunque el tema ha cobrado vigencia en los últimos años, no se accede fácilmente a información sobre el tema de seguridad informática aplicada en modelo. Para que el modelo sea aplicado, se debe generar un espacio de formación a todo el personal que tenga interacción y acceso a la información. En los espacios empresariales, se hace un gran esfuerzo para que todos los empleados tengan las competencias que permitan acceder a los sistemas de información, sin embargo pocas son las actividades y procesos que se desarrollan para que lo hagan de una forma segura. No obstante la abundante gama normativa y Legal, éstas per se no garantizan seguridad total de la información. 53 Aun los profesionales en temas informáticos, suelen no diferenciar entre conceptos de seguridad informática y seguridad de la información, lo cual puede generar o sesgos en cuanto esfuerzos o direccionamiento de los esquemas preventivos. Olvidando la visión holística que permitiría minimizar riesgos. El reducido abismo entre modelar y aplicar, esquemas de seguridad informática y de información, también está mediado por la profundidad del mismo. Por lo cual organizaciones que han realizado inmensas inversiones para el desarrollo de modelos súper avanzados y con todas las medidas planificadas para evitar ataques, se han olvidado de las realidades de sus recursos para aplicarlos, casi experimentando mega procesos para ser aplicados por débiles equipos de trabajo. De esta manera se puede concluir que los procesos deben ser adecuados a las realidades de cada organización, por ello el presente proceso investigativo no genera un modelo rígido y e inamovible, sino antes bien entrega una herramienta para tener en cuenta en el momento que se vaya a generar un modelo aplicado y hecho al medida de cada organización. Debe reafirmarse al empresario local que la adquisición tecnológica no implica seguridad de la información, si no que esto requiere de buenas prácticas estandarizadas de la administración de los activos de información. Una gestión adecuada de los activos información trae como resultado la implementación de un SGSI. La seguridad informática para una organización se debe entender como un proceso y no como un producto que se puede comprar o instalar, esto se trata de un proceso continuo, en el que se incluyen actividades como la valoración de riesgos, prevención, detección y respuesta ante incidentes de seguridad. La implementación de medidas de seguridad en lugar de agilizar los procesos, ayudan al detrimento del rendimiento de los mismos (ej: envío de un mensaje encriptado). 54 3.3. RECOMENDACIONES Se recomienda a nuevos investigadores dar a conocer el concepto de seguridad de la información en las empresas de la región para así asegurar la adecuada gestión de los activos de información teniendo en cuenta que estos abarcan todo lo relacionado en salvaguardar los pilares de la seguridad de la información. Generar en todos los integrantes de la organización un gran compromiso con la seguridad de la información y de lo significativo que son estas prácticas para la continuidad de los objetivos organizacionales. La legislación se debe unir con los interesados en informática y así generar nuevas leyes que rijan este ámbito, sin obstaculizar el libre funcionamiento de la informática especialmente con la internet, puesto que hay muchos intereses en este mundo tan amplio y pueden dirigirse por caminos no correctos y así limitar la fluidez del conocimiento. A partir del modelo planteado en este proyecto investigativo, debe surgir un nuevo proyecto, que plantee la ejecución del modelo al interior de una organización. 55 4. REFERENCIAS BIBLIOGRÁFICAS [1] ALMANZA JUNCO, Ricardo Andrés, Revista Sistemas N° 115, pág. 26-49. Artículo: Encuesta nacional Seguridad informática en Colombia: Tendencias 2010. Extraído del sitio web http://www.acis.org.co/index.php?id=1490 Septiembre de 2010. [2] [4] [5] [6] [8] GÓMEZ VIEITES, Álvaro. 2007, Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, Primera Edición. [3] INFOSEC Glorssary 2000. [7] Cornell University Law School, Extraído del sitio web http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000.html a los 4 días de Octubre de 2010. [9] ISO/IEC 17799:2005 [10] CANO, Jeimy J., 2005, Revista Sistemas N° 92, artículo Aprendiendo de la inseguridad informática, extraído del sitio web http://www.acis.org.co/index.php?id=457 el 15 septiembre de 2010. [11] [13] [14] [15] oriega Editores, 2007. [12] Universidad de Piura, Perú, 2009 [16] Oficina Nacional de Gobierno Electrónico e Informática ONGEI Perú, Extraído del sitio web http://www.ongei.gob.pe/ a los 5 días del mes de octubre de 2010. 56 DÍAZ SAN PEDRO, Manuel., 2009, ISO 27001: ¿Hacia un cumplimiento obligatorio?, extraído del sitio web http://www.gestiopolis.com/administracionestrategia/iso-27001-cumplimiento-obligatorio.htm el 8 de noviembre de 2010. [18] Guía para una gestión basada en procesos, Instituto Andaluz de Tecnología, ISBN 84-923464-7-7 [19] ISO/IEC 27001:2005 [17] 57 ANEXO A: MANUAL DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN La necesidad de implantar estrategias que permitan que la información se mantenga segura, y que además cumpla con las cualidades de disponibilidad, integridad y confidencialidad, podría definirse de cierta manera como administración de seguridad de la información. Todos los procesos que conlleven a planificar, organizar, dirigir y controlar ciertos recursos, con el ánimo de obtener beneficios de la información que posee una organización, conllevan a que a dicha información se le atribuyan niveles altos de calidad, que permiten tomar decisiones estratégicas que direccionan la organización, y que además garantizan que la seguridad de la información y más aun, que las decisiones basadas en dicha información no se verán vulneradas por factores externos que atenten contra confidencialidad, la disponibilidad y la integridad de la información. Con el propósito de establecer un nivel óptimo de seguridad de la información, se establece un Manual de Respuesta a Incidentes de Seguridad de la Información, que sirve como guía de implementación dentro de la organización que desee alinearse con las buenas prácticas establecidas en la ISO 27001. OBJETIVO Priorizar las iniciativas más importantes para cumplir con los objetivos y metas respecto a la seguridad de la información en la organización, con el fin de establecer una guía de manejo sobre los proyectos de seguridad. 58 DEL MANUAL Se proporcionan los siguientes procedimientos para la elaboración del Manual de Respuesta a Incidentes de Seguridad de la Información: Identificar y conocer las posibles vulnerabilidades de seguridad de la información al interior de la organización, constituye el paso inicial para el establecimiento de políticas y estrategias que la direccionen, en vía de salvaguardar la integridad, disponibilidad y confidencialidad de información de la organización. Realizar un diagnóstico empresarial determina el punto de partida que prepara la unificación de los criterios y objetivos empresariales en aras de implementar unas buenas prácticas de seguridad de la información. Tras definir los objetivos a alcanzar, e identificar los factores que vulneran la seguridad de la información de la organización, deben establecerse las líneas estratégicas de seguridad, que garanticen la creación de un plan de acción frente a los factores de riesgo a los que se encuentra expuesta la información. Es importante proporcionar una clara identificación de los objetivos para que el lineamiento sea marcado sin ambigüedades en el ejercicio de las buenas prácticas de seguridad. Concierne a la alta gerencia establecer y garantizar los recursos necesarios, tanto humanos, técnicos y tecnológicos que aúnen los esfuerzos de los integrantes de la organización con el fin de cumplir los objetivos establecidos, teniendo una identificación completa de cada tipo de riesgo probable, asociándolo a cada departamento implicado, proporcionando soluciones contundentes mediante la especialización del talento humano, garantizando la idoneidad del personal y la acertada solución o mitigación del incidente, estableciendo programas de cumplimiento de prácticas de seguridad mediante guías procedimentales, que garanticen que los integrantes de la organización conozcan el manual de respuesta a los incidentes y el respectivo tratamiento de los riesgos, y la posterior ejecución óptima de cada uno de los procedimientos del manual. Garantizar que los factores de riesgo sigan un patrón controlable, medible y parametrizable que permitan una mejora continua, a demás que, los incidentes no identificados como factores de riesgo sean parametrizados y documentados, 60 proporciona un punto de partida de retroalimentación del manual de respuesta, por ello, establecer niveles de tolerancia a fallos, garantiza la trazabilidad del riesgo, puesto que consecuentemente hace un tratamiento del riesgo asumido, y en caso de la ocurrencia de un riesgo no previsto, formaliza su documentación y posterior tratamiento. Por último, si se trazan métodos de seguimiento, revisión y auditoria, no solo se garantiza la utilización del manual, sino también, una mejora continua como consecuencia de la retroalimentación de los procesos definidos en el manual de respuesta a incidentes, influyendo positivamente en la mejora de la calidad de la seguridad de la información. PROCEDIMIENTOS DE GESTIÓN Establecer Diagnóstico Empresarial: » Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la información. » Verificar que la información obtenida es real. » Proponer líneas estratégicas de seguridad. Establecer Líneas Estratégicas de Seguridad. » Definir los objetivos de seguridad de la información. » Identificar los factores de riesgo de seguridad de la información. » Establecer un plan de respuesta a cada factor de riesgo identificado. Establecer Recursos Necesarios. » Identificar el tipo de riesgo y asociarlo a cada departamento implicado. 61 » Asignar roles y responsabilidades. » Garantizar idoneidad de los encargados de las líneas estratégicas de seguridad. Establecer Programas de Cumplimiento de Prácticas de Seguridad. » Establecer una guía de solución de incidentes. » Garantizar que los integrantes de la organización conozcan el manual de respuesta a incidentes. » Garantizar seguimiento y revisión del manual de respuesta a incidentes. Ejecutar Programas de Cumplimiento de Prácticas de Seguridad. » Garantizar que el personal cumple con las medidas establecidas en el manual de respuesta a incidentes. Establecer Niveles de Tolerancia a Fallos. » Establecer niveles aceptables de factores de riesgo. » Garantizar que los factores de riesgo no controlados sean seguidos y parametrizados. Revisar, Evaluar y Auditar el Manual de Respuesta a Incidentes. » Garantizar métodos de revisión, seguimiento y auditoria. » Garantizar mejora continua. 62 METODOLOGÍA Tabla 3. Metodología: Manual de Respuesta a Incidentes de Seguridad de la Información OBJETIVO ACTIVIDADES Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la Establecer diagnóstico información. empresarial. Verificar que la información obtenida es real. Proponer líneas estratégicas de seguridad. Definir los objetivos de seguridad de la información. Identificar los factores de Establecer líneas riesgo de seguridad de la estratégicas de información. seguridad. Establecer un plan de respuesta a cada factor de riesgo identificado. Identificar el tipo de riesgo y asociarlo a cada departamento implicado. Establecer recursos Asignar roles y necesarios. responsabilidades. Garantizar idoneidad de los encargados de las líneas estratégicas de seguridad. Establecer una guía de solución de incidentes. Garantizar que los integrantes de la Establecer programas de organización conozcan el cumplimiento de manual de respuesta a prácticas de seguridad. incidentes. Garantizar seguimiento y revisión del manual de respuesta a incidentes. Garantizar que el personal Ejecutar programas de cumple con las medidas cumplimiento de establecidas en el manual prácticas de seguridad. de respuesta a incidentes. 63 DESCRIPCIÓN Determinar un punto de partida que prepare el establecimiento de los objetivos de seguridad de la organización. Proporcionar una identificación clara de los objetivos de seguridad a seguir y establecer los lineamientos de cumplimiento de dichos objetivos. Gestiona los recursos que preparan a la organización para la atención y el tratamiento de un incidente Proporcionar una guía que permita el tratamiento de los incidentes según los riesgos identificados y la tipificación de los mismos. Verificar que el cumplimiento de los procedimientos establecidos por la gerencia como guía de respuesta a incidentes. OBJETIVO ACTIVIDADES DESCRIPCIÓN Establecer niveles Garantiza que los factores de aceptables de factores de riesgo sigan un patrón riesgo. controlable, medible y parametrizable que permitan una mejora continua, a demás Establecer niveles de los incidentes no Garantizar que los factores que, tolerancia a fallos. de riesgo no controlados identificados como factores de sean seguidos y riesgo sean parametrizados, documentados y proporcionen parametrizados un punto de partida de retroalimentación del manual. Garantizar métodos de La alta gerencia debe revisión, seguimiento y garantizar que el manual de auditoria. respuesta se sigue según sus Revisar, evaluar y auditar lineamientos, a demás de el manual de respuesta a incidentes. su seguimiento, Garantizar mejora continua. garantizar trazabilidad y la aplicación correcta según los objetivos. Fuente: Elaboración Propia 64 MAPA DE PROCEDIMIENTOS Figura 5. Mapa de procedimientos: Manual de Respuesta a Incidentes de Seguridad de la Información. Fuente: Elaboración Propia. 65 ESPECIFICACIÓN DE PROCEDIMIENTOS CÓDIGO GBP-MRI001 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer diagnóstico empresarial. Alta Gerencia TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Conocer el estado actual de la organización en cuanto a la Gestión de la Seguridad de la Información, para establecer un punto de partida. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Encuestar a los miembros de la organización respecto al conocimiento de políticas de seguridad de la información. 2. Verificar que la información obtenida es real. 3. Proponer líneas estratégicas de seguridad. DESCRIPCIÓN Determinar un punto de partida que prepare el establecimiento de los objetivos de seguridad de la organización. < OBSERVACIONES 66 CÓDIGO GBP-MRI002 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer líneas estratégicas de seguridad. Alta Gerencia TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer el direccionamiento que va a tener el modelo. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Definir los objetivos de seguridad de la información. 2. Identificar los factores de riesgo de seguridad de la información. 3. Establecer un plan de respuesta a cada factor de riesgo identificado.. DESCRIPCIÓN Proporcionar una identificación clara de los objetivos de seguridad a seguir y establecer los lineamientos de cumplimiento de dichos objetivos. < OBSERVACIONES 67 CÓDIGO GBP-MRI003 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer recursos necesarios. Alta Gerencia Departamento Implicado Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA TIEMPO ESTIMADO/FRECUENCIA RESPONSABLES Brindar estrategias para la asignación de recursos para dar cumplimiento a los objetivos establecidos. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar el tipo de riesgo y asociarlo a cada departamento implicado. 2. Asignar roles y responsabilidades. 3. Garantizar idoneidad de los encargados de las líneas estratégicas de seguridad. DESCRIPCIÓN Preparar al departamento para gestionar los recursos que permitan la atención y el tratamiento de un incidente. < OBSERVACIONES 68 CÓDIGO GBP-MRI004 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer programas de cumplimiento de prácticas de seguridad. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Garantizar que los integrantes de la organización conozcan el manual de respuesta a los incidentes y el respectivo tratamiento de los riesgos. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Establecer una guía de solución de incidentes. 2. Garantizar que los integrantes de la organización conozcan el manual de respuesta a incidentes. 3. Garantizar seguimiento y revisión del manual de respuesta a incidentes. DESCRIPCIÓN Proporcionar una guía que permita el tratamiento de los incidentes según los riesgos identificados y la tipificación de los mismos. < OBSERVACIONES 69 CÓDIGO GBP-MRI005 VERSIÓN 01 TIPO Estratégico NOMBRE Ejecutar programas de cumplimiento de prácticas de seguridad. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable FORMATOS DE REFERENCIA RESPONSABLE OBJETIVO Garantizar una Óptima ejecución de los procedimientos del Manual. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Garantizar que el personal cumple con las medidas establecidas en el manual de respuesta a incidentes. DESCRIPCIÓN Verificar el cumplimiento de los procedimientos establecidos por la gerencia como guía de respuesta a incidentes. < OBSERVACIONES 70 CÓDIGO GBP-MRI006 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer niveles de tolerancia a fallos. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Garantizar una observación a los factores de riesgo para atenuarlos. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Establecer niveles aceptables de factores de riesgo. 2. Garantizar que los factores de riesgo no controlados sean seguidos y parametrizados. DESCRIPCIÓN Garantiza que los factores de riesgo sigan un patrón controlable, medible y parametrizable que permitan una mejora continua, además que, los incidentes no identificados como factores de riesgo sean parametrizados, documentados y proporcionen un punto de partida de retroalimentación del manual. < OBSERVACIONES 71 CÓDIGO GBP-MRI007 VERSIÓN 01 TIPO Estratégico NOMBRE Revisar, evaluar y auditar el Manual de Respuesta a Incidentes. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Garantizar el uso correcto del Manual de Respuesta a Incidentes de Seguridad de la Información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Garantizar métodos de revisión, seguimiento y auditoria. 2. Garantizar mejora continua DESCRIPCIÓN La alta gerencia debe garantizar que el manual de respuesta se sigue según sus lineamientos, además de garantizar su seguimiento, trazabilidad y la aplicación correcta según los objetivos. < OBSERVACIONES 72 ANEXO B: GRUPO FOCAL [ GRUPO FOCAL ACTA 001 ] FECHA: Febrero 25 de 2011 HORA DE INICIO: 08:00 horas HORA DE FIN: 20:00 horas OBJETIVO: Socializar y retroalimentar el modelo planteado. ACTIVIDADES 1. Presentar el modelo del manual de Respuesta a Incidentes de Seguridad de la Información. 2. Recopilar información del grupo de expertos en seguridad de la información para retroalimentar el modelo que se tiene planteado. RESULTADOS OBTENIDOS Enfocar el trabajo realizado del modelo inicial del plan de acción hacia la legislación vigente y a las buenas prácticas establecidas en ISO 27001 e ISM3 con el ánimo de normalizar el modelo. >> Encausar el direccionamiento de la Seguridad de la información con la planeación estratégica empresarial. >> Crear Estrategias, métodos, diferenciar roles y responsabilidades con el fin de hacer partícipe a toda la organización para la implantación del modelo dirigido por alta gerencia. >> Desarrollar de forma más rigurosa un documento dirigido al tratamiento y el análisis del riesgo. >> >> Incluir un plan de capacitación y divulgación de dichas políticas de seguridad. PARTICIPANTES Ingeniero Oscar Arroyave de la Pava Ingeniero Jorge Iván Ríos P Ingeniero de Sistemas MSC en Ingeniería del Conocimiento. Ingeniero Juan Roa Salinas - Jefe proyectos Seguridad de la información en Transbank, Chile Edison Ricardo Barahona Morales, Ingeniero en Sistemas. Consultor Dataware House. Atlantic Security Bank, Panamá City. _____________________________ Julián Alberto Gómez Isaza ___________________________ Gerardo Ayala González Estudiantes del programa Ingeniería de Sistemas y Computación Universidad Tecnológica de Pereira 2010 73 ACTA: En reunión con este grupo el día 25 de Febrero de 2011 se puso a consideración el Manual de Respuesta a Incidentes de Seguridad de la Información planteado por los autores con el fin de optimizar, cualificar y aterrizar la propuesta presentada. En dicha reunión se hizo lectura y análisis de la propuesta por parte de los expertos y a partir de allí, los mismos hicieron sus aportes, comentarios y sugerencias al modelo presentado. Edison Barahona: Propone que la investigación debe orientarse a procesos y procedimientos no a un documento informal como el que se tiene (modelo previo) debe basarse en normatividad y legislación vigente, así como también en buenas prácticas de seguridad de la información para que la investigación no quede como rueda suelta a la estructura del sistema de gestión de seguridad de la información; así mismo sugiere ser má Oscar J. Arroyave de la Pava: Asegura que en la práctica los SGSI no se implementan debido a que no están adheridos a la planeación estratégica de la empresa y la responsabilidad recaía sobre el departamento/ área de sistemas y TI, el documento final debe sugerir que quien quiera implantar el modelo debe hacerlo parte de los objetivos estratégicos empresariales y lograr en el mayor ámbito posible y la transversalidad del modelo a todas las aéreas. Jorge Iván Ríos P: Sugiere ser consecuentes entre el documento presentado y el objetivo general de la investigación; si el objetivo es presentar herramientas metodológicas, procedimentales y documentales el documento debe ser una herramienta que contenga procesos, procedimientos, objetivos de cada uno y un método de comunicación para la empresa que desee implantar el modelo. Juan Roa Salinas: Sugiere diferenciar notoriamente el campo de acción de cada uno de los procesos. Sugiere los nombres de: plan de acción de seguridad de la información, análisis y gestión del riesgo y planes de capacitación. 74 ANEXO C: PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN, ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN El modelo que surge a continuación es consecuencia de las sugerencias realizadas por el grupo focal; se expuso a este grupo el modelo anterior Manual de Respuesta a Incidentes de Seguridad de la Información (ver Anexo A) para así generar una retroalimentación de dicho modelo. El resultado de esta reunión se describe a continuación: La estructura del modelo inicial Manual de Respuesta a Incidentes de Seguridad de la Información evolucionó al modelo de un Plan de Acción de Seguridad de la Información, el cual, fue enriquecido, con un enfoque más acorde a la legislación vigente y a las buenas prácticas establecidas en la norma ISO/IEC 27001 e ISM3 con el ánimo de normalizarlo e incluir las acciones referentes a la implementación y operación de un SGSI. El objetivo general del Manual de Respuesta a Incidentes de Seguridad de la Información, aunque tiene un acercamiento leve a la organización, dista en gran medida de la normatividad y legislación actual, y de la aplicación sobre la El diagnóstico empresarial fue evolucionado hacia el establecimiento de objetivos claros, concisos y medibles con el fin de instaurar una planeación estratégica de seguridad y encausar así la planeación estratégica empresarial con la implantación de estas prácticas seguras al interior de la organización. El establecimiento de las líneas estratégicas y la gestión de los recursos del modelo inicial se transformaron en el cuerpo del Plan de acción de la Seguridad de la Información actual, mediante la instauración de estrategias, tareas, roles y responsabilidades que hacen partícipes a los integrantes de la organización, cumpliendo así con la transversalidad que tiene la seguridad de la información a todas las áreas de la organización. Además de esto es sugerido por el grupo focal la separación del procedimiento Establecer Niveles de Tolerancia a Fallos, el cual se encuentra inmerso en Manual de Respuesta a Incidentes de Seguridad de la Información, para así crear un anexo documental enfocado al Análisis y Gestión del Riesgo. A continuación se presentan las herramientas documentales que surgieron para este modelo: 75 OBJETIVO Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. La efectividad de la administración de la seguridad de la información de la organización se encuentra entre los lineamientos de un Plan de Acción de la Seguridad de la Información y de los objetivos estratégicos organizacionales, teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la seguridad de la información nos brinda la premisas necesarias para encausar la seguridad de la información con los objetivos estratégicos empresariales y segundo lugar que da una pauta para actuar y dar respuesta referente al análisis de riesgos. PROCEDIMIENTOS DE GESTIÓN El Plan de Acción de la Seguridad de la Información está constituido por: Objetivos, estrategias, tareas, seguimiento y revisión y auditorias. Como primera parte se van a establecer objetivos claros, concisos y medibles con la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad de la Información. Para establecer esos objetivos se va a realizar un diagnóstico preliminar del estado actual de la organización con referencia a la seguridad de sus activos de información, con la finalidad de conocer la situación actual y proyectar la situación ideal de la organización. Posteriormente se ha determinar la situación deseada que la empresa intenta lograr y establecer las metas de seguridad a donde se van a dirigir las acciones, esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la autenticidad de la información de la organización. Después de esto, se van a establecer estándares de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos tienen que tener indicadores de calidad para poder ser medibles y verificar si estos se están cumpliendo y en qué porcentaje se está logrando, de manera que permita modificarlos si es necesario. 77 Como segunda parte se van a establecer las estrategias que reflejen el camino a seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles sentido, dirección y continuidad mediante el encause de los lineamientos estratégicos administrativos de la organización y los lineamientos estratégicos de seguridad de la información; este proceso debe contar con el apoyo de la alta gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos de seguridad y los objetivos organizacionales estén direccionados hacia la misma línea de acción. Como tercera medida se han establecer las tareas donde se describan los pasos exactos para el cumplimiento de las estrategias; éste apartado está compuesto por las siguientes actividades: primero, determinar cuáles son las dependencias de la organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas; tercero, Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional, realizando tareas posibles de cumplir y que están dentro de los lineamientos de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de ellas debe tener un inicio y un final teniendo un control para así evitar perder el recurso tiempo, por último en este ítem se van a asignar roles y responsables directos en cada tarea, con la finalidad de especializar cada una de ellas, saber quien la hace, por que la hace, los tiempos y resultados de dicha tarea. Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y evaluación de cumplimiento, está constituido por la elaboración de un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos para la Administración de la Seguridad de la Información, el plan de evaluación de resultados entregado por el seguimiento y la revisión y estos resultados deben estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje de cubrimiento de objetivos es que se está cumpliendo las metas del plan de acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la aplicación del modelo, garantizando que en cualquier momento se puede acceder a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe 78 evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo, cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora continua; la primera hace referencia a la realización estricta de los procedimientos documentados y, la segunda hace referencia a la verificación y reajuste de los procedimientos con el fin de mantener la documentación de los mismos actualizada. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se lista las actividades de cada uno de los procedimientos de gestión que componen el Plan de Acción de la Seguridad de la Información: ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES » Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información. » Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. » Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no. 79 ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR PARA LOGRAR DICHOS OBJETIVOS. » Dar sentido, dirección y continuidad a los objetivos mediante el encause de los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad de la información. » Establecimiento de las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA EL CUMPLIMIENTO DE LAS ESTRATEGIAS. » Determinar las dependencias, alcance y delimitaciones de cada tarea. » Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. » Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. » Asignar roles y responsables directos en cada tarea. ESTABLECER MÉTODOS DE REVISIÓN, SEGUIMIENTO Y EVALUACIÓN DE CUMPLIMIENTO. » Elaborar un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Plan de Acción. 80 » Asegurar el seguimiento y la trazabilidad de la aplicación del modelo. » Garantizar la calidad y la mejora continua. METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN Tabla 4. Metodología Plan de Acción de Seguridad de la Información OBJETIVO ACTIVIDADES Realizar un diagnóstico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información. Determinar la situación deseada que la empresa Establecer los objetivos intenta lograr, y establecer del plan de acción. las metas de seguridad a donde se dirigen las acciones. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos Establecer las estrategias de seguridad. del plan de acción. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. 81 DESCRIPCIÓN La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las directrices de la creación del plan de acción de seguridad de la información. La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información OBJETIVO Determinar las tareas y asignar roles y responsabilidades. Establecer los métodos de auditoría ACTIVIDADES Determinar las dependencias, alcance y delimitaciones de cada tarea. Objetivizar cada tarea y verificar que hace parte de La alta gerencia debe generar las tareas la planeación estratégica específicas que garanticen el de seguridad y de la cumplimiento de las estrategias del plan planeación estratégica de acción de seguridad de la organizacional. información, y para cada una de ellas, asignar un responsable directo y un rol Determinar tiempos de adelanto, avance, entregas que especialice y diferencie cada tarea o posposición de cada tarea. Asignar roles y responsables directos para cada tarea. Establecer indicadores comparables y medibles que den seguimiento a la La alta gerencia debe establecer los aplicación de los objetivos métodos de revisión, seguimiento y del plan de acción. evaluación de cumplimiento de los Asegurar que se realiza objetivos del plan de acción, y garantizar seguimiento a la aplicación que los resultados del mismo son del modelo, y que el mismo medibles en referencia a las metas es trazable. establecidas. Garantizar la calidad y mejora continua. Fuente: Elaboración Propia DESCRIPCIÓN 82 MAPA DE PROCEDIMIENTOS Figura 7. Mapa de procedimientos Plan de Acción de Seguridad de la Información Fuente: Elaboración Propia 83 ESPECIFICACIÓN DE PROCEDIMIENTOS CÓDIGO GBP-PASI001 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer los objetivos del plan de acción Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las metas que se deben cumplir en el plan de acción de seguridad de la información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Realizar un diagnóstico preliminar del estado actual de la organización en referencia a la seguridad de sus activos de información. 2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. 3. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo DESCRIPCIÓN La alta gerencia establece los objetivos de una manera clara, concisa y medible, que de las directrices de la creación del plan de acción de seguridad de la información. < OBSERVACIONES Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no. 84 CÓDIGO GBP-PASI002 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer las estrategias del plan de acción. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las estrategias que reflejen el camino a seguir para lograr los objetivos. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad. 2. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. DESCRIPCIÓN La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información. < OBSERVACIONES 85 CÓDIGO GBP-PASI003 VERSIÓN 01 TIPO Estratégico NOMBRE Determinar las tareas y asignar roles y responsabilidades Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las tareas que describan los pasos exactos para el cumplimiento de las estrategias del plan de acción. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Determinar las dependencias, alcance y delimitaciones de cada tarea. 2. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. 3. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. 4. Asignar roles y responsables directos para cada tarea. DESCRIPCIÓN La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea. < OBSERVACIONES 86 CÓDIGO GBP-PASI004 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer los métodos de auditoría. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer los métodos de revisión, seguimiento, y evaluación de cumplimiento de los objetivos del pan de acción. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción. 2. Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable. 3. Garantizar la calidad y mejora continua. DESCRIPCIÓN La alta gerencia debe establecer los métodos de revisión, seguimiento y evaluación de cumplimiento de los objetivos del plan de acción, y garantizar que los resultados del mismo son medibles en referencia a las metas establecidas. < OBSERVACIONES 87 ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN OBJETIVO Identificar cualquier riesgo significativo en los activos de información, estableciendo el impacto potencial de estos en la organización con la finalidad de eliminarlos o atenuarlos, limitando sus consecuencias y minimizando las pérdidas; esto con el propósito de poseer la información suficiente que apoye la toma de decisiones gerenciales respecto a los controles más apropiados para la seguridad de la información y a los funcionarios de cada proceso atender sus incidentes de seguridad de la mejor forma posible, además de esto permitir el cumplimiento de los objetivos estratégicos de la organización acatando las políticas de la gestión del riesgo. ASPECTO LEGAL DECRETO Nº 1537 / 26 DE JULIO DE 2001. ARTICULO 4. ADMINISTRACIÓN DE RIESGOS. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los aspecto tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e integradas de manera inherente a los procedimientos. 88 DEL MANUAL El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se encuentran expuestos los activos de información y por ende la continuidad de la organización, creando estrategias de análisis, identificación de falencias, fortalezas y recursos de información que se poseen en la organización, además de esto evidenciar como se atienden las incidencias de seguridad; garantizando una buena toma de decisiones respecto a los controles más apropiados para la gestión de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos estratégicos de la organización tiene como resultado el encause de las labores al propósito o fin organizacional. Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a la administración de riesgos, donde se considera como parte integral del fortalecimiento de los sistemas de control interno en las entidades, y se reconoce el análisis del riesgo como un proceso permanente e interactivo entre la administración y las oficinas de control interno. Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad de la Información se desarrollan de la siguiente forma: En primer lugar se debe establecer la situación actual de la organización en cuanto a seguridad de la información, efectuándose mediante la observación, el seguimiento y la revisión de los procesos, estos resultados se obtienen a través entrevistas y encuestas a los integrantes de la organización, además de esto realizar una revisión de la documentación que se posee. Posteriormente se han de determinar cuáles son los activos de información que se poseen para ser identificados, cada uno de estos activos encontrados se clasifican según el impacto que puede llegar a sufrir la organización si dicho activo llega a fallar, se les asigna un valor que representa cuán importante es para la organización. Como siguiente medida se identifican los factores de riesgo para cada uno de los activos de información, realizando la identificación de los factores internos y 90 externos a los cuales se encuentran expuestos dichos activos, luego de esto categorizar las amenazas identificadas o la posibilidad que ocurra un evento adverso, para así establecer métricas que permitan analizarlas y clasificarlas en cuanto al daño que pueden llegar a causar a los activos de información que posee la organización. A continuación se han de Identificar los de activos de información vulnerables en la organización, teniendo como vulnerabilidad el grado de resistencia que tienen los activos de información para sus respectivas amenazas, se establece el potencial que tienen estas para causar efectos adversos en los activos de información. Es importante tener en cuenta que no todos los activos de información poseen la misma calidad de información, por lo que es necesario establecer un análisis de las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los afecta. El siguiente paso es Establecer el nivel de protección de los activos de información, que brinda como resultado la información precisa acerca de las estrategias de protección utilizadas para garantizar el adecuado funcionamiento del activo de información. Con el análisis de la información obtenida en estos procesos se continúa con un paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la Información que es la Calificación del impacto del riesgo si este se hiciera realidad, aquí se evalúan las consecuencias de un fallo en la seguridad de la información o que un riesgo se haga efectivo en los activos de información. Con la clasificación del impacto del riesgo se busca establecer en primer lugar cuales son los activos más susceptibles de daño, por lo que es importante tener claridad de cómo se realiza la protección de cada uno de ellos; además es necesario evaluar el impacto para la organización si tales riesgos se hacen efectivos. No pueden faltar las estrategias de contingencia que puedan suplir el funcionamiento de los procesos de la organización, planteando medidas alternas 91 que permitan la continuidad de los procesos organizacionales sin afectar en gran medida los procesos establecidos. El establecimiento de alternativas funcionales, aunque no garanticen la continuidad absoluta de los procesos organizacionales, garantizará que el proceso afectado no se detenga y no afecte de manera crucial el buen funcionamiento de la organización. Una vez que se han identificado los riesgos en los activos de información y en las prácticas de seguridad que se implementan en la organización, se puede determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de información y el impacto que puede tener en la organización, así entonces se puede establecer controles apropiados para atender los incidentes de seguridad de la mejor forma posible, de esta manera se puede garantizar una buena Gestión del tratamiento del riesgo de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN » Observar y realizar seguimiento a procesos de la organización. » Desarrollar entrevistas y encuestas a los integrantes de la organización. » Revisar la documentación que se posee. IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN. » Clasificar los de activos de información que posee la organización. » Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. IDENTIFICAR LOS FACTORES DE RIESGO. » Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. 92 » Categorizar las amenazas identificadas. » Establecer escalas métricas para el análisis cuantitativo de las amenazas. » Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. IDENTIFICAR ACTIVOS ORGANIZACIÓN. DE INFORMACIÓN VULNERABLES EN LA » Identificar cuales amenazas afectan a cada uno de los activos de información. » Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. ESTABLECER EL INFORMACIÓN. » » » » NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE Identificar el activo. Establecer factores de riesgo para cada activo. Establecer la vulnerabilidad para cada activo. Puntualizar en qué grado es efectiva la protección para cada activo de información. CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD. » Identificar el nivel de importancia del activo afectado. » Indicar como se realiza la protección para cada activo de información. » Evaluarlas consecuencias en la organización por estos factores de riesgo. 93 CREAR ESTRATEGIAS DE CONTINGENCIA. » Identificar los activos de información vulnerables. » Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. » Ejecutar la estrategia para el activo de información que lo requiera. » Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. METODOLOGÍA ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Tabla 5. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información OBJETIVO Establecer la situación actual de la organización. Identificar activos de información. ACTIVIDADES Observar y realizar seguimiento a procedimientos de la organización. Desarrollar entrevistas y encuestas a los integrantes de la organización. Revisar la documentación que se posee. Clasificar los de activos de información que posee la organización. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. 94 DESCRIPCIÓN La situación actual de la organización permite establecer cómo se encuentra esta en cuanto a: sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad Se clasifican los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos, un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos. OBJETIVO Identificar los factores de riesgo. Identificar activos de información vulnerables en la organización. ACTIVIDADES Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. Categorizar las amenazas identificadas Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. Identificar cuales amenazas afecta a cada uno de los activos de información. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. Identificar el activo. Establecer factores de riesgo para cada activo. Establecer la Establecer el nivel de protección de los activos vulnerabilidad para cada activo. de información. Puntualizar en qué grado es efectiva la protección para cada activo de información. 95 DESCRIPCIÓN En la identificación del riesgo se va a ponderar la posibilidad de ocurrencia de eventos adversos o que las amenazas se vuelvan una realidad, identificando dichas amenazas a las que se encuentran expuestos los activos de información, y estableciendo métricas para analizarlas en cuanto a su mayor o menor capacidad de causar daño a estos activos, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización. La identificación de los activos de información vulnerables en la organización determina el grado de resistencia que tienen éstos respecto a sus amenazas, además se establece el potencial que tiene cada amenaza para afectar dichos activos. El resultado obtenido de este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información. OBJETIVO Calificar el impacto del riesgo si se hiciera realidad. Crear estrategias de contingencia. ACTIVIDADES Identificar el nivel de importancia del activo afectado. Indicar como se realiza la protección para cada activo informático. Evaluar las consecuencias en la organización por estos factores de riesgo. Identificar los activos de información vulnerables. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. Ejecutar la estrategia para el activo de información que lo requiera. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. DESCRIPCIÓN Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información Este proceso conlleva a plantear medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos. Fuente: Elaboración Propia 96 MAPA DE PROCEDIMIENTOS Figura 9. Mapa de Procedimientos. Análisis y Gestión de Riesgos de SI Fuente: Elaboración Propia 97 ESPECIFICACIÓN DE PROCEDIMIENTOS. CÓDIGO GBP-AGR001 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer la situación actual de la organización. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar cómo se encuentra la organización respecto a sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Observar y realizar seguimiento a procesos de la organización. 2. Desarrollar entrevistas y encuestas a los integrantes de la organización. 3. Revisar la documentación que se posee. DESCRIPCIÓN La alta gerencia obtendrá un estado actual de la organización en cuanto a los activos informáticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la administración de la seguridad de la información que tiene la organización y verificar como se atienden los incidentes de seguridad. < OBSERVACIONES 98 CÓDIGO GBP-AGR002 VERSIÓN 01 TIPO Estratégico NOMBRE Identificar de activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Generar un inventario de los activos de información que posee la organización. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Clasificar los de activos de información que posee la organización. 2. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. DESCRIPCIÓN Clasificar los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos para la organización. < OBSERVACIONES 99 CÓDIGO GBP-AGR003 VERSIÓN 01 TIPO Estratégico NOMBRE Identificar los factores de riesgo. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Identificar los factores de riesgo que afectan los activos de información y analizar la capacidad de daño que pueden realizar estos riesgos en la organización. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. 2. Categorizar las amenazas identificadas. 3. Establecer escalas métricas para el análisis cuantitativo de las amenazas. 4. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. DESCRIPCIÓN Con la ponderación de la posibilidad de ocurrencia de las amenazas y la identificación de estas respecto a los activos de información, se establecen métricas para analizarlas en cuanto a su mayor o menor capacidad de daño a los activos de información, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización. < OBSERVACIONES 100 CÓDIGO GBP-AGR004 VERSIÓN 01 TIPO Estratégico NOMBRE Definir los factores de riesgo para los activos informáticos. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GBP-AGR003 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer y medir el daño que causan las amenazas en los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSIAGR003) 2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. DESCRIPCIÓN La identificación de los activos de información vulnerables en la organización determina el grado de resistencia que tienen éstos respecto a sus amenazas, además se establece el potencial que tiene cada amenaza para afectar dichos activos. < OBSERVACIONES 101 CÓDIGO GBP-AGR005 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer el nivel de protección de los activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR002, GSI-AGR003, GSI-AGR004 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Obtener la efectividad de las estrategias de seguridad utilizadas. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar el activo. (GSI-AGR002) 2. Establecer factores de riesgo para cada activo. (GSI-AGR003) 3. Establecer la vulnerabilidad para cada activo. (GSI-AGR004) 4. Evidenciar en qué grado es efectiva la protección para cada activo de información. DESCRIPCIÓN Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información. OBSERVACIONES 102 CÓDIGO GBP-AGR006 VERSIÓN 01 TIPO Estratégico NOMBRE Calificar el impacto del riesgo si se hiciera realidad. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR002, GSI-AGR005 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Evaluar las consecuencias de los riesgos en los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar el nivel de importancia del activo afectado. (GSI-AGR002) 2. Indicar como se realiza la protección para cada activo informático. (GSI-AGR005) 3. Evaluar las consecuencias en la organización por estos factores de riesgo. DESCRIPCIÓN Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información. < OBSERVACIONES 103 CÓDIGO GBP-AGR007 VERSIÓN 01 TIPO Estratégico NOMBRE Crear estrategias de contingencia Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR004 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Crear alternativas para la continuidad de los procesos organizacionales planteando estrategias. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar los activos de información vulnerables. (GSI-AGR004) 2. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. 3. Ejecutar la estrategia para el activo de información que lo requiera. 4. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. DESCRIPCIÓN En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos. OBSERVACIONES 104 CÓDIGO GBP-AGR008 VERSIÓN 01 TIPO Estratégico NOMBRE Capacitar y Formar en Análisis y Gestión del Riesgo. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA RESPONSABLE Asignado por el responsable FORMATOS DE REFERENCIA OBJETIVO Difundir al personal de la organización lo establecido en el Análisis y Gestión del Riesgo. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Convocar a Reunión a los Integrantes de la Organización. 2. Comunicar lo establecido en el Análisis y Gestión del Riesgo. DESCRIPCIÓN Comunica a los integrantes de la organización lo establecido en el Análisis y Gestión del Riesgo de la Seguridad de la Información < OBSERVACIONES 105 ANEXO D: GRUPO FOCAL FASE II [ GRUPO FOCAL ACTA 002 ] FECHA: Abril 5 de 2011 HORA DE INICIO: 08:00 horas HORA DE FIN: 10:00 horas OBJETIVO: Socializar y retroalimentar el modelo planteado. ACTIVIDADES 1. Exponer los modelos realizados y recopilar información del grupo de expertos en seguridad de la información para retroalimentar los modelos que se han planteado. RESULTADOS OBTENIDOS Para el modelo de Análisis y Gestión del Riesgo se hace necesario involucrar un Plan de capacitación y difusión para garantizar que es conocido por todos los interesados de la organización. >> También se hace necesario crear un proceso que indique la correcta eliminación de los activos de información. >> PARTICIPANTES Ingeniero Oscar Arroyave de la Pava Ingeniero de Sistemas Ingeniero Jorge Iván Ríos P MSC en Ingeniería del Conocimiento. _____________________________ Julián Alberto Gómez Isaza ___________________________ Gerardo Ayala González Estudiantes del programa Ingeniería de Sistemas y Computación Universidad Tecnológica de Pereira 2010 106 ACTA: En reunión con los expertos el día 5 de Abril de 2011 se puso a consideración de los mismos el modelo de implementación y operación de un SGSI planteado por los autores con el fin de optimizar, cualificar y aterrizar la propuesta presentada. En dicha reunión se hizo lectura y análisis de la propuesta por parte de los expertos y a partir de allí, los mismos hicieron sus aportes, comentarios y sugerencias al modelo presentado. Oscar J. Arroyave de la Pava: Sugiere una adecuada disposición final de los activos de información, tener un método seguro con el cual realizar la eliminación de dichos activos de la organización. Jorge Iván Ríos P: Plantea un plan de capacitación riguroso y dinámico, aprovechando todo el proceso de Análisis y Gestión del Riesgo para generar los temas de capacitación en donde se encuentran falencias, además de esto se logre un compromiso de formación por los participantes, es muy importante brindar una difusión del Análisis y Gestión del Riesgo generando un compromiso con los objetivos y metas de dicho lineamiento. 107 ANEXO E: ELIMINACIÓN DE ACTIVOS DE INFORMACIÓN Y ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO Las modificaciones realizadas tras integrar las sugerencias propuestas por los expertos son las siguiente: Se crea un procedimiento que rija la eliminación y baja de activos de información: ELIMINAR / DAR DE BAJA ACTIVOS DE INFORMACIÓN » Identificar tipo de activo a eliminar/dar de baja. » Evaluar el impacto de la eliminación/baja de este activo de información. » Establecer un protocolo de eliminación/baja de cada activo de información. » Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. Se plantea para este procedimiento la realización de una serie de actividades: La primera de ellas involucra la identificación del tipo de activo de información a eliminar o dar de baja; entendiendo la eliminación de éste como su destrucción total y dar de baja como el almacenamiento o retiro del funcionamiento en la organización; después de esto se va a evaluar el impacto de la eliminación o baja de tal activo para la organización, analizando los pros y los contras de esta actividad y no olvidando establecer un protocolo de eliminación o baja para él; cada uno de ellos va a ser tratado con su propio método; para finalizar se debe garantizar que la eliminación o baja de dicho activo salvaguarde la confidencialidad de la información de la organización. 108 El procedimiento se especifica como se sigue: CÓDIGO GBP-AGR009 VERSIÓN 01 TIPO Estratégico NOMBRE Eliminar / Dar Baja a activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GBP-AGR002 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer medidas que garanticen una efectiva eliminación de los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002) 2. Evaluar el impacto de la eliminación/baja de este activo de información. 3. Establecer un protocolo de eliminación/baja de cada activo de información. 4. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. DESCRIPCIÓN En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos. OBSERVACIONES 109 Se le adiciona el siguiente componente a la metodología planteada para el Análisis y Gestión del Riesgo de la Seguridad de la Información: Tabla 6. Adición. Metodología Análisis y Gestión del Riesgo de SI OBJETIVO Eliminar activos de información. ACTIVIDADES DESCRIPCIÓN Identificar tipo de activo a eliminar/dar de baja. (GBPAGR002) Evaluar el impacto de la eliminación/baja de este activo de información. Establecer un protocolo de eliminación/baja de cada activo de información. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. Establecer medidas que garanticen una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos. Fuente: Elaboración Propia 110 ESTRATEGIA DE CAPACITACIÓN Y COMUNICACIÓN OBJETIVO Implementar programas de formación y toma de conciencia para comunicar a los integrantes de la organización la implementación e implantación del Manual de Procedimientos para la Administración de Seguridad de la Información. DEL PLAN El diseño del Plan de Capacitación y Comunicación se define en una herramienta documental independiente tanto al Plan de Acción y al Análisis y Gestión del Riesgo de la Seguridad d la información debido a las propuestas establecidas por el panel de expertos donde se indicaba el establecimiento de capacitación más dinámica donde no solo fuera capacitación, sino también generar un compromiso de formación de los colaboradores de la organización. Las capacitaciones inicialmente se planteaban como un componente adicional tanto al Plan de Acción de la Seguridad de la Información como al Análisis y Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta realizada por el panel de expertos de realizar la capacitación más rigurosa, se plantea la creación de esta herramienta documental, que tiene como objetivo brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de la Seguridad de la Información. El plan de capacitación tiene como propósito brindar al personal de la organización los conocimientos y desarrollo de habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales. La capacitación está compuesta por un conjunto de estrategias orientadas a integrar al colaborador tanto a la organización como a su puesto de trabajo, 112 aumentando su eficiencia frente a la organización; otra parte muy importante que lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento a los lineamientos organizacionales requeridos. El plan de capacitación se realiza de forma continua y transversal a todos componentes del Sistema de Gestión de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN » Identificar la temática a tratar. » Disponer recursos humanos y físicos. » Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. » Establecer el grupo focal al cual va dirigida la capacitación y la formación. » Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. » Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. » Documentar las actividades de formación. Es de vital importancia garantizar la comunicación y capacitación del Manual de Procedimientos para la Administración de Seguridad de la Información, debe realizarse de forma continua transversalizando a todas las actividades que componen dicho proceso. Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan básico general y Plan avanzado de Capacitación. El Primero consiste en brindar la información general y básica necesaria para el desarrollo de un SGSI, en este primer escenario se generará un análisis y diagnóstico estructural de la organización, de los procesos y de los puestos de trabajo en torno al tema, el segundo momento se realiza un diagnostico de Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general de la organización y permitirá elaborar el plan de capacitación Avanzado. 113 El plan básico desarrollará las siguientes temáticas: » Información de Generalidades sobre manejo de información, seguridad informática y seguridad de la información. » Legislación Vigente, conocimiento y cumplimiento de la misma. » Normas de Seguridad y Calidad. » Roles en seguridad de información. » Definición de Sistema de Gestión de Seguridad de la información » Alcances. » Roles y responsabilidades. » Medidas. » Modelos aplicados en otras organizaciones. Plan avanzado de Capacitación: » Diagnostico DOFA de las prácticas utilizadas en la organización para la Seguridad de la información. » Diagnostico DOFA de las procesos mediados por cargos y funciones de cada colaborador de la organización » Diagnostico DOFA de las competencias de cada colaborador de la organización, para desarrollar un modelo para el funcionamiento de un SGSI. » Construcción de un Plan de Capacitación adecuado a los resultados de los Diagnósticos. Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación basados en pedagogía socio constructivista, en espacios presenciales y virtuales, donde se apliquen los conocimientos de forma teórico práctica. Los horarios establecidos para el plan de capacitación, deben definirse por cada organización, sin embargo se aconseja hacerlo de forma semanal y con espacios de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener espacios de tiempo adecuados a la metodología socio constructivista. El plan de capacitación se plantea de 90 horas, entregando como resultado el plan de capacitación avanzado con las necesidades propias de la organización. 114 METODOLOGÍA PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO Tabla 7. Metodología Plan de Capacitación. OBJETIVO ACTIVIDADES Identificar temática a tratar. Disponer recursos humanos y físicos. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. Establecer el grupo focal al cual va dirigida la capacitación y la formación Comunicar lo establecido en el Manual de Procedimientos para la Administración de Capacitar y comunicar los Seguridad de la procedimientos para la Información, y los implementación del lineamientos directivos, modelo. satisfaciendo las necesidades de formación, toma de conciencia y competencia. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. Documentar las actividades de formación. DESCRIPCIÓN La alta gerencia debe comunicar a la Procedimientos para la Administración de seguir sus lineamientos y determinar el objetivos. Fuente: Elaboración Propia 115 MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN Figura 11. Mapa de procedimientos. Plan de Capacitación. Fuente: Elaboración Propia ESPECIFICACIÓN DEL PROCEDIMIENTO El procedimiento que especifica la ejecución de las distintas fases que componen las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de Seguridad de la Información se cita como sigue: 116 CÓDIGO GBP-PCC001 VERSIÓN 01 TIPO Apoyo NOMBRE Plan de Capacitación y Comunicación. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA RESPONSABLE Asignado por el responsable FORMATOS DE REFERENCIA OBJETIVO Implementar programas y toma de conciencia para comunicar a los integrantes de la organización la implementación del Manual de Procedimientos para la Administración de la Seguridad de la Información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar temática a tratar. 2. Disponer recursos humanos y físicos. 3. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. 4. Establecer el grupo focal al cual va dirigida la capacitación y la formación. 5. Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. 6. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. 7. Documentar las actividades de formación. DESCRIPCIÓN de la Guia de buenas La alta gerencia debe comunicar a la organización e practicas esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos realizados durante el la implementación de la Guia. 117 ANEXO F: GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. ALCANCE: Esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos. RESPONSABILIDAD: Una vez la alta gerencia establezca los roles y responsables implicados, debe garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de la atención del incidente actuaran como se sigue 19: 19 , siguiendo los lineamientos de los procedimientos adscritos a la Guía. 118 METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE) Tabla 8. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad. OBJETIVO Definir los factores de riesgo [GBP-AGR004] Calificar el impacto del riesgo (en caso de que éste se materialice) [GBP-AGR006] ACTIVIDADES Identificar los factores internos y externos que amenazan la seguridad de los activos de información de la organización. Categorizar las amenazas identificadas. Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a los resultados obtenidos en la escala métrica. Establecer el nivel de daño que puede generar cada una de las amenazas a los activos de información. Identificar el nivel de importancia del activo de información afectado [GBP-AGR002] Indicar como se realiza la protección para cada activo de información. [GBP- AGR005] Evaluar las consecuencias para la organización debido a los factores de riesgo. 120 DESCRIPCIÓN Identificar los activos de información vulnerables en la organización tienen éstos respecto a sus amenazas, a demás se establece el potencial que tiene cada amenaza para afectar dichos activos. Con el análisis de la información obtenida en los procesos anteriores, se abre paso a evaluar las consecuencias de un fallo de seguridad o materialización de un riesgo en los activos de información. OBJETIVO Determinar las tareas y asignar roles y responsabilidades [GBP-PASI003] Documentar evento de seguridad ACTIVIDADES DESCRIPCIÓN Determinar las dependencias, alcance y delimitaciones de cada tarea. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. Asignar roles y responsables directos para cada tarea. La alta gerencia debe generar las tareas especificas que garanticen el cumplimiento de los objetivos del manual de administración de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea, con el fin de garantizar la idoneidad del personal asignado a la solución de una incidencia. Registrar los resultados del estudio de los procedimientos previos. Registrar los resultados de estudio de cada procedimiento permite tener un referente histórico de los eventos de seguridad, además de lograr un método de seguimiento y trazabilidad de los mismos. Fuente: Elaboración Propia 121 GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA) Tabla 9. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes OBJETIVO ACTIVIDADES Identificar el incidente. Clasificar el incidente. Reportar a responsable equipo de respuesta a incidentes. Establecer las acciones correctivas que conlleven al tratamiento y solución Gestionar la mitigación y / del incidente. o solución del fallo de Verificar que las acciones seguridad. correctivas mitigan y / o solucionan eficazmente el incidente. Documentar incidencia y metodología de solución de Evidenciar y la misma. retroalimentar ocurrencias de fallos y Retroalimentación del atención de los mismos. método de respuesta al incidente. Establecer métodos de seguimiento, revisión y Revisar y controlar los procedimientos (previos, auditoria a los procesos de respuesta a incidentes. de intervención y tratamiento, y Informar a la alta gerencia explicativos) de respuesta los resultados de los a incidentes en la procesos de auditoría organización. hechos a los procesos de respuesta a incidentes Diagnosticar ocurrencia de un fallo de seguridad DESCRIPCIÓN Fase previa al tratamiento y solución de la incidencia que permite establecer y parametrizar históricamente la ocurrencia de un fallo de seguridad. Fase de intervención y tratamiento de fallos de seguridad de la información que permite normalizar la incidencia para dar cumplimiento a los objetivos de seguridad de la información y determina si las acciones tomadas fueron eficaces. Fase explicativa que permite seguimiento, revisión, trazabilidad y control sobre los fallos de seguridad ocurridos, y permite la detección rápida de errores en los resultados del proceso. Fase de evaluación que permite a la dirección determinar que las actividades de seguridad delegadas o implementadas se están ejecutando en la forma esperada Fuente: Elaboración Propia. 122 DISPOSICIÓN FINAL (FASE POST-INCIDENTE) El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo que incluya los términos a seguir: » Elaboración de informes que den cuenta del tratamiento, la respuesta y la disposición de cada incidente de seguridad ocurrido. » Establecimiento de un archivo documental que permita agilizar la implantación de procesos de respuesta a incidentes de seguridad. » Comunicar a los integrantes de la organización las medidas preventivas, correctivas y proactivas establecidas al término de los procesos de atención y respuesta a incidentes de seguridad. » Convocar a los integrantes de la organización a la concertación de políticas, procedimientos, capacitación y manuales, que la alta gerencia defina como pertinentes, en función del cumplimiento de los objetivos planteados, para dar respuesta a los incidentes de seguridad. 123 SEGUIMIENTO REVISIÓN Y AUDITORIA. Tabla 10. Metodología Guía de Respuesta a Incidentes OBJETIVO Seguimiento Revisión y Auditoría. ACTIVIDADES Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos Comunicar la implementación e de la guía de respuesta a implantación de la guía incidentes. de respuesta a incidentes Asegurar que se realiza de seguridad de la seguimiento a la aplicación información de la guía, y que la misma es trazable. Garantizar la calidad y mejora continua. DESCRIPCIÓN La alta gerencia debe establecer los métodos de revisión, seguimiento y cumplimiento de los objetivos de la guía de respuesta a incidentes, y garantizar que los resultados de la misma son medibles en referencia a las metas establecidas. DOCUMENTACIÓN Y RETROALIMENTACIÓN Tabla 11. Metodología Guía de Respuesta a Incidentes Retroalimentación. OBJETIVO Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información Documentación y ACTIVIDADES Convocar a reunión a los integrantes de la organización. Comunicar lo establecido en el plan de acción y los lineamientos directivos. DESCRIPCIÓN La alta gerencia debe comunicar la organización e cumplimiento de Fuente: Elaboración Propia 124 esos objetivos. a MAPA DE PROCEDIMIENTOS Figura 13. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la Información. Fuente: Elaboración Propia 125 ANEXO G MODELO FINAL: MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN El resultado obtenido al final de la investigación es el MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN el cual se propone como Guía de Buenas Prácticas de Seguridad de la Información en Contextos de Micros, Pequeñas y Medianas Empresas de la Región. Este modelo surge del proceso investigativo realizado en el proyecto, resultando en una herramienta metodológica documental y procedimental que sirve como modelo para el tratamiento seguro de la información utilizada en la organización y a su vez presenta un modelo de buenas prácticas de seguridad de la información, fundamentadas en la norma ISO 27001. Este manual está constituido por: DEL MODELO » Plan de Acción y el Análisis y Gestión del Riesgo de la seguridad de la Información, estos dos procesos se formulan con el fin de brindar un modelo metodológico para el tratamiento del riesgo, indicándole a la organización la gestión apropiada, los recursos, responsabilidades y prioridades para garantizar una adecuada Gestión de la Seguridad de la Información. » Guía de Respuesta a Incidentes de Seguridad de la Información, esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos. 126 » Estrategias de Capacitación y Comunicación para la Implementación del Modelo, el cual tiene como propósito brindar al personal de la organización los conocimientos y habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales. Figura 14. Manual de Procedimientos para la Administración de la Seguridad de la Información. MANUAL DE PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Guía de Respuesta a Análisis y Gestión del riesgo Plan de Acción de Incidentes de Seguridad de Seguridad de la Información de Seguridad de la la Información Información ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO. Fuente: Elaboración Propia. 127 PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN OBJETIVO Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. La efectividad de la administración de la seguridad de la información de la organización se encuentra entre los lineamientos de un Plan de Acción de la Seguridad de la Información y de los objetivos estratégicos organizacionales, teniendo en cuenta en primer lugar, que el diseño de un plan de acción de la seguridad de la información nos brinda la premisas necesarias para encausar la seguridad de la información con los objetivos estratégicos empresariales y segundo lugar que da una pauta para actuar y dar respuesta referente al análisis de riesgos. PROCEDIMIENTOS DE GESTIÓN El Plan de Acción de la Seguridad de la Información está constituido por: Objetivos, estrategias, tareas, seguimiento y revisión y auditorias. Como primera parte se van a establecer objetivos claros, concisos y medibles con la finalidad de tener una directriz de ejecución del Plan de Acción de la Seguridad de la Información. Para establecer esos objetivos se va a realizar un diagnóstico preliminar del estado actual de la organización con referencia a la seguridad de sus activos de información, con la finalidad de conocer la situación actual y proyectar la situación ideal de la organización. Posteriormente se ha determinar la situación deseada que la empresa intenta lograr y establecer las metas de seguridad a donde se van a dirigir las acciones, esto con el fin de lograr el objetivo primordial del plan de acción al que se quiere llegar que es salvaguardar la disponibilidad, la integridad, la confidencialidad y la autenticidad de la información de la organización. Después de esto, se van a establecer estándares de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible a que costo; los objetivos tienen que tener indicadores de calidad para poder ser medibles y verificar si estos 128 se están cumpliendo y en qué porcentaje se está logrando, de manera que permita modificarlos si es necesario. Como segunda parte se van a establecer las estrategias que reflejen el camino a seguir para lograr dichos objetivos, estas estrategias tienen como finalidad darles sentido, dirección y continuidad mediante el encause de los lineamientos estratégicos administrativos de la organización y los lineamientos estratégicos de seguridad de la información; este proceso debe contar con el apoyo de la alta gerencia, por ello hay que concientizarla sobre la importancia de que los objetivos de seguridad y los objetivos organizacionales estén direccionados hacia la misma línea de acción. Como tercera medida se han establecer las tareas donde se describan los pasos exactos para el cumplimiento de las estrategias; éste apartado está compuesto por las siguientes actividades: primero, determinar cuáles son las dependencias de la organización y cuáles de estas van a ejecutarlo; segundo, determinar el alcance y las delimitaciones de cada tarea, en dónde y por qué se detiene cada una de ellas; tercero, Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional, realizando tareas posibles de cumplir y que están dentro de los lineamientos de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Dichas tareas garantizan el cumplimiento del objetivo, luego de esto se determinan tiempos de adelanto, avance, entregas o posposición de cada tarea, cada una de ellas debe tener un inicio y un final teniendo un control para así evitar perder el recurso tiempo, por último en este ítem se van a asignar roles y responsables directos en cada tarea, con la finalidad de especializar cada una de ellas, saber quien la hace, por que la hace, los tiempos y resultados de dicha tarea. Como cuarto ítem se tiene por establecer métodos de revisión, seguimiento y evaluación de cumplimiento, está constituido por la elaboración de un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Manual de Procedimientos para la Administración de la Seguridad de la Información, el plan de evaluación de resultados entregado por el seguimiento y la revisión y estos resultados deben estar dentro de las métricas trazadas en los objetivos, en cuanto a este porcentaje de cubrimiento de objetivos es que se está cumpliendo las metas del plan de 129 acción. A continuación se trata de asegurar el seguimiento y la trazabilidad de la aplicación del modelo, garantizando que en cualquier momento se puede acceder a versiones anteriores del modelo, si se está haciendo un seguimiento, se debe evidenciar la frecuencia con la que se realiza el procedimiento, por qué se hizo, cuánto se demoró, y si hay un cambio tener acceso a estos cambios y poder ver las versiones realizadas. El paso final es lograr garantizar la calidad y la mejora continua; la primera hace referencia a la realización estricta de los procedimientos documentados y, la segunda hace referencia a la verificación y reajuste de los procedimientos con el fin de mantener la documentación de los mismos actualizada. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritos en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se lista las actividades de cada uno de los procedimientos de gestión que componen el Plan de Acción de la Seguridad de la Información: ESTABLECER OBJETIVOS CLAROS, CONCISOS Y MEDIBLES » Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información. » Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. » Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo. Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no. 130 ESTABLECER LAS ESTRATEGIAS QUE REFLEJEN EL CAMINO A SEGUIR PARA LOGRAR DICHOS OBJETIVOS. » Dar sentido, dirección y continuidad a los objetivos mediante el encause de los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad de la información. » Establecimiento de las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. DETERMINAR LAS TAREAS QUE DESCRIBAN LOS PASOS EXACTOS PARA EL CUMPLIMIENTO DE LAS ESTRATEGIAS. » Determinar las dependencias, alcance y delimitaciones de cada tarea. » Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. » Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. » Asignar roles y responsables directos en cada tarea. 131 ESTABLECER MÉTODOS DE REVISIÓN, SEGUIMIENTO Y EVALUACIÓN DE CUMPLIMIENTO. » Elaborar un plan de evaluación de resultados y establecimiento de referencias (tanto cualitativas como cuantitativas), a través de indicadores comparables y medibles, para dar seguimiento a la aplicación de los objetivos y metas del Plan de Acción. » Asegurar el seguimiento y la trazabilidad de la aplicación del modelo. » Garantizar la calidad y la mejora continua. 132 METODOLOGÍA PLAN DE ACCIÓN DE SEGURIDAD DE LA INFORMACIÓN OBJETIVO Organizar, planear, ejecutar, evaluar y corregir situaciones que incidan en la efectividad de la administración de seguridad de la información de la organización. Tabla 12. Metodología Plan de Acción de Seguridad de la Información OBJETIVO ACTIVIDADES Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información. Determinar la situación deseada que la empresa Establecer los objetivos intenta lograr, y establecer del plan de acción. las metas de seguridad a donde se dirigen las acciones. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos Establecer las estrategias de seguridad. del plan de acción. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. 134 DESCRIPCIÓN La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las directrices de la creación del plan de acción de seguridad de la información. La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información OBJETIVO Determinar las tareas y asignar roles y responsabilidades. Establecer los métodos de auditoría ACTIVIDADES Determinar las dependencias, alcance y delimitaciones de cada tarea. Objetivizar cada tarea y verificar que hace parte de La alta gerencia debe generar las tareas la planeación estratégica específicas que garanticen el de seguridad y de la cumplimiento de las estrategias del plan planeación estratégica de acción de seguridad de la organizacional. información, y para cada una de ellas, asignar un responsable directo y un rol Determinar tiempos de adelanto, avance, entregas que especialice y diferencie cada tarea o posposición de cada tarea. Asignar roles y responsables directos para cada tarea. Establecer indicadores comparables y medibles que den seguimiento a la La alta gerencia debe establecer los aplicación de los objetivos métodos de revisión, seguimiento y del plan de acción. evaluación de cumplimiento de los Asegurar que se realiza objetivos del plan de acción, y garantizar seguimiento a la aplicación que los resultados del mismo son del modelo, y que el mismo medibles en referencia a las metas es trazable. establecidas. Garantizar la calidad y mejora continua. Fuente: Elaboración Propia DESCRIPCIÓN 135 MAPA DE PROCEDIMIENTOS Figura 16. Mapa de procedimientos Plan de Acción de Seguridad de la Información Fuente: Elaboración Propia 136 ESPECIFICACIÓN DE PROCEDIMIENTOS CÓDIGO GBP-PASI001 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer los objetivos del plan de acción Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las metas que se deben cumplir en el plan de acción de seguridad de la información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Realizar un diagnostico preliminar del estado actual de la organización en referencia a las seguridad de sus activos de información. 2. Determinar la situación deseada que la empresa intenta lograr, y establecer las metas de seguridad a donde se dirigen las acciones. 3. Establecer indicadores de medida que permitan definir en forma detallada lo que el objetivo desea lograr, en qué tiempo y si es posible, a que costo DESCRIPCIÓN La alta gerencia establece los objetivos de una manera clara, concisa y medible, que del las directrices de la creación del plan de acción de seguridad de la información. < OBSERVACIONES Los estándares constituyen las medidas de control para determinar si los objetivos se han cumplido o vienen cumpliéndose, y si es necesario modificarlos o no. 137 CÓDIGO GBP-PASI002 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer las estrategias del plan de acción. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las estrategias que reflejen el camino a seguir para lograr los objetivos. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Encausar los lineamientos estratégicos administrativos y los lineamientos estratégicos de seguridad. 2. Establecer las líneas de acción para el cumplimiento de los requerimientos funcionales del modelo. DESCRIPCIÓN La alta gerencia debe garantizar que los objetivos estratégicos organizacionales y los objetivos estratégicos de seguridad de la información tienen las mismas directivas, con el fin de cumplir efectivamente con los requerimientos funcionales del sistema de gestión de seguridad de la información. < OBSERVACIONES 138 CÓDIGO GBP-PASI003 VERSIÓN 01 TIPO Estratégico NOMBRE Determinar las tareas y asignar roles y responsabilidades Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar las tareas que describan los pasos exactos para el cumplimiento de las estrategias del plan de acción. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Determinar las dependencias, alcance y delimitaciones de cada tarea. 2. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. 3. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. 4. Asignar roles y responsables directos para cada tarea. DESCRIPCIÓN La alta gerencia debe generar las tareas específicas que garanticen el cumplimiento de las estrategias del plan de acción de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea. < OBSERVACIONES 139 CÓDIGO GBP-PASI004 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer los métodos de auditoría. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer los métodos de revisión, seguimiento, y evaluación de cumplimiento de los objetivos del pan de acción. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos del plan de acción. 2. Asegurar que se realiza seguimiento a la aplicación del modelo, y que el mismo es trazable. 3. Garantizar la calidad y mejora continua. DESCRIPCIÓN La alta gerencia debe establecer los métodos de revisión, seguimiento y evaluación de cumplimiento de los objetivos del plan de acción, y garantizar que los resultados del mismo son medibles en referencia a las metas establecidas. < OBSERVACIONES 140 ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN OBJETIVO Identificar cualquier riesgo significativo en los activos de información, estableciendo el impacto potencial de estos en la organización con la finalidad de eliminarlos o atenuarlos, limitando sus consecuencias y minimizando las pérdidas; esto con el propósito de poseer la información suficiente que apoye la toma de decisiones gerenciales respecto a los controles más apropiados para la seguridad de la información y a los funcionarios de cada proceso atender sus incidentes de seguridad de la mejor forma posible, además de esto permitir el cumplimiento de los objetivos estratégicos de la organización acatando las políticas de la gestión del riesgo. ASPECTO LEGAL DECRETO Nº 1537 / 26 DE JULIO DE 2001. ARTICULO 4. ADMINISTRACIÓN interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los aspecto tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e El desarrollo de este eje tiene como objetivo identificar los riesgos a los que se encuentran expuestos los activos de información y por ende la continuidad de la organización, creando estrategias de análisis, identificación de falencias, fortalezas y recursos de información que se poseen en la organización, además de esto evidenciar como se atienden las incidencias de seguridad; garantizando una buena toma de decisiones respecto a los controles más apropiados para la gestión de estos. Éste, integrado a las políticas de gestión del riesgo con los objetivos 141 estratégicos de la organización tiene como resultado el encause de las labores al propósito o fin organizacional. PROCEDIMIENTOS DE GESTIÓN Este Análisis de Riesgos de la Seguridad de la Información se sustenta en el Decreto No 1537 del 26 de julio de 2001 en el Artículo 4, que se hace referencia a la administración de riesgos, donde se considera como parte integral del fortalecimiento de los sistemas de control interno en las entidades, y se reconoce el análisis del riesgo como un proceso permanente e interactivo entre la administración y las oficinas de control interno. Los procesos a desarrollar para el Análisis y Gestión del Riesgo de la Seguridad de la Información se desarrollan de la siguiente forma: En primer lugar se debe establecer la situación actual de la organización en cuanto a seguridad de la información, efectuándose mediante la observación, el seguimiento y la revisión de los procesos, estos resultados se obtienen a través entrevistas y encuestas a los integrantes de la organización, además de esto realizar una revisión de la documentación que se posee. Posteriormente se han de determinar cuáles son los activos de información que se poseen para ser identificados, cada uno de estos activos encontrados se clasifican según el impacto que puede llegar a sufrir la organización si dicho activo llega a fallar, se les asigna un valor que representa cuán importante es para la organización. Como siguiente medida se identifican los factores de riesgo para cada uno de los activos de información, realizando la identificación de los factores internos y externos a los cuales se encuentran expuestos dichos activos, luego de esto categorizar las amenazas identificadas o la posibilidad que ocurra un evento adverso, para así establecer métricas que permitan analizarlas y clasificarlas en cuanto al daño que pueden llegar a causar a los activos de información que posee la organización. 142 A continuación se han de Identificar los de activos de información vulnerables en la organización, teniendo como vulnerabilidad el grado de resistencia que tienen los activos de información para sus respectivas amenazas, se establece el potencial que tienen estas para causar efectos adversos en los activos de información. Es importante tener en cuenta que no todos los activos de información poseen la misma calidad de información, por lo que es necesario establecer un análisis de las consecuencias que cada uno de ellos puede sufrir respecto al riesgo que los afecta. El siguiente paso es Establecer el nivel de protección de los activos de información, que brinda como resultado la información precisa acerca de las estrategias de protección utilizadas para garantizar el adecuado funcionamiento del activo de información. Con el análisis de la información obtenida en estos procesos se continúa con un paso muy importante en el análisis y Gestión del Riesgo de la Seguridad de la Información que es la Calificación del impacto del riesgo si este se hiciera realidad, aquí se evalúan las consecuencias de un fallo en la seguridad de la información o que un riesgo se haga efectivo en los activos de información. Con la clasificación del impacto del riesgo se busca establecer en primer lugar cuales son los activos más susceptibles de daño, por lo que es importante tener claridad de cómo se realiza la protección de cada uno de ellos; además es necesario evaluar el impacto para la organización si tales riesgos se hacen efectivos. No pueden faltar las estrategias de contingencia que puedan suplir el funcionamiento de los procesos de la organización, planteando medidas alternas que permitan la continuidad de los procesos organizacionales sin afectar en gran medida los procesos establecidos. El establecimiento de alternativas funcionales, aunque no garanticen la continuidad absoluta de los procesos organizacionales, garantizará que el proceso afectado no se detenga y no afecte de manera crucial el buen funcionamiento de la organización. 143 Una vez que se han identificado los riesgos en los activos de información y en las prácticas de seguridad que se implementan en la organización, se puede determinar cuál es el nivel de vulnerabilidad para cada uno de ellos, teniendo en cuenta la probabilidad de ocurrencia, el nivel de debilidad de los activos de información y el impacto que puede tener en la organización, así entonces se puede establecer controles apropiados para atender los incidentes de seguridad de la mejor forma posible, de esta manera se puede garantizar una buena Gestión del tratamiento del riesgo de la Seguridad de la Información. Como última medida la eliminación de los activos de información, para este procedimiento se van a realizar una serie de actividades, la primera de ellas involucra la identificación del tipo de activo de información a eliminar o dar de baja; entendiendo la eliminación de éste como su destrucción total y dar de baja como el almacenamiento o retiro del funcionamiento en la organización; después de esto se va a evaluar el impacto de la eliminación o baja de tal activo para la organización, analizando los pros y los contras de esta actividad y no olvidando establecer un protocolo de eliminación o baja para él; cada uno de ellos va a ser tratado con su propio método; para finalizar se debe garantizar que la eliminación o baja de dicho activo salvaguarde la confidencialidad de la información de la organización. Es importante tener claro que la capacitación debe ser un proceso continuo y transversal a todas las etapas, los lineamientos a seguir en este proceso se encuentran descritas en el PLAN DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO, el cual está diseñado para implementar programas de formación y toma de conciencia por parte de los integrantes de la organización. A continuación se listan las actividades de cada uno de los procedimientos de gestión que componen el Análisis y Gestión del Riesgo de la Seguridad de la información: 144 ESTABLECER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN » Observar y realizar seguimiento a procesos de la organización. » Desarrollar entrevistas y encuestas a los integrantes de la organización. » Revisar la documentación que se posee. IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN. » Clasificar los de activos de información que posee la organización. » Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. IDENTIFICAR LOS FACTORES DE RIESGO. » Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. » Categorizar las amenazas identificadas. » Establecer escalas métricas para el análisis cuantitativo de las amenazas. » Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. 145 IDENTIFICAR ACTIVOS ORGANIZACIÓN. DE INFORMACIÓN VULNERABLES EN LA » Identificar cuales amenazas afectan a cada uno de los activos de información. » Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. ESTABLECER EL INFORMACIÓN. NIVEL DE PROTECCIÓN DE LOS ACTIVOS DE » Identificar el activo. » Establecer factores de riesgo para cada activo. » Establecer la vulnerabilidad para cada activo. » Puntualizar en qué grado es efectiva la protección para cada activo de información. CALIFICAR EL IMPACTO DEL RIESGO SI SE HICIERA REALIDAD. » Identificar el nivel de importancia del activo afectado. » Indicar como se realiza la protección para cada activo de información. » Evaluarlas consecuencias en la organización por estos factores de riesgo. 146 CREAR ESTRATEGIAS DE CONTINGENCIA. » Identificar los activos de información vulnerables. » Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. » Ejecutar la estrategia para el activo de información que lo requiera. » Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. ELIMINAR/DAR DE BAJA ACTIVOS DE INFORMACIÓN. » Identificar tipo de activo a eliminar/dar de baja. » Evaluar el impacto de la eliminación/baja de este activo de información. » Establecer un protocolo de eliminación/baja de cada activo de información. » Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. 147 METODOLOGÍA ANÁLISIS Y GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Tabla 13. Metodología Análisis y Gestión de Riesgos de Seguridad de la Información OBJETIVO Establecer la situación actual de la organización. Identificar activos de información. Identificar los factores de riesgo. ACTIVIDADES Observar y realizar seguimiento a procedimientos de la organización. Desarrollar entrevistas y encuestas a los integrantes de la organización. Revisar la documentación que se posee. Clasificar los de activos de información que posee la organización. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. Categorizar las amenazas identificadas Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. 149 DESCRIPCIÓN La situación actual de la organización permite establecer cómo se encuentra esta en cuanto a: sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad Se clasifican los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos, un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos. En la identificación del riesgo se va a ponderar la posibilidad de ocurrencia de eventos adversos o que las amenazas se vuelvan una realidad, identificando dichas amenazas a las que se encuentran expuestos los activos de información, y estableciendo métricas para analizarlas en cuanto a su mayor o menor capacidad de causar daño a estos activos, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización. OBJETIVO Identificar activos de información vulnerables en la organización. ACTIVIDADES Identificar cuales amenazas afecta a cada uno de los activos de información. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. Identificar el activo. Establecer factores de riesgo para cada activo. Establecer la Establecer el nivel de protección de los activos vulnerabilidad para cada activo. de información. Puntualizar en qué grado es efectiva la protección para cada activo de información. Identificar el nivel de importancia del activo afectado. Indicar como se realiza la Calificar el impacto del protección para cada riesgo si se hiciera activo informático. realidad. Evaluar las consecuencias en la organización por estos factores de riesgo. 150 DESCRIPCIÓN La identificación de los activos de información vulnerables en la organización determina el grado de resistencia que tienen éstos respecto a sus amenazas, además se establece el potencial que tiene cada amenaza para afectar dichos activos. El resultado obtenido de este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información. Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información OBJETIVO Crear estrategias de contingencia. Eliminar activos de información. ACTIVIDADES Identificar los activos de información vulnerables. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. Ejecutar la estrategia para el activo de información que lo requiera. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002) Evaluar el impacto de la eliminación/baja de este activo de información. Establecer un protocolo de eliminación/baja de cada activo de información. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. DESCRIPCIÓN Este proceso conlleva a plantear medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos. Establecer medidas que garanticen una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos. Fuente: Elaboración Propia 151 MAPA DE PROCEDIMIENTOS Figura 18. Mapa de procedimientos. Análisis y Gestión del Riesgo. FUENTE: Elaboración propia 152 ESPECIFICACIÓN DE PROCEDIMIENTOS CÓDIGO GBP-AGR001 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer la situación actual de la organización. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Determinar cómo se encuentra la organización respecto a sus recursos de software, estrategias de seguridad utilizadas, las falencias en los procesos realizados y la atención de incidentes de seguridad. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Observar y realizar seguimiento a procesos de la organización. 2. Desarrollar entrevistas y encuestas a los integrantes de la organización. 3. Revisar la documentación que se posee. DESCRIPCIÓN La alta gerencia obtendrá un estado actual de la organización en cuanto a los activos informáticos que se poseen, las estrategias de seguridad que se aplican, las falencias en la administración de la seguridad de la información que tiene la organización y verificar como se atienden los incidentes de seguridad. < OBSERVACIONES 153 CÓDIGO GBP-AGR002 VERSIÓN 01 TIPO Estratégico NOMBRE Identificar de activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Generar un inventario de los activos de información que posee la organización. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Clasificar los de activos de información que posee la organización. 2. Asignar un valor de importancia a estos activos para establecer el nivel de importancia de cada uno de ellos. DESCRIPCIÓN Clasificar los activos de información según el impacto que puede generar el fallo de éstos en la organización, asignándole a cada uno de ellos un valor en una escala cuantitativa dónde pueda evidenciarse la importancia de éstos activos para la organización. < OBSERVACIONES 154 CÓDIGO GBP-AGR003 VERSIÓN 01 TIPO Estratégico NOMBRE Identificar los factores de riesgo. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Identificar los factores de riesgo que afectan los activos de información y analizar la capacidad de daño que pueden realizar estos riesgos en la organización. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar factores internos y externos que amenazan la seguridad de los activos de información de la organización. 2. Categorizar las amenazas identificadas. 3. Establecer escalas métricas para el análisis cuantitativo de las amenazas. 4. Clasificar las amenazas de acuerdo a resultados obtenidos en la escala métrica. DESCRIPCIÓN Con la ponderación de la posibilidad de ocurrencia de las amenazas y la identificación de estas respecto a los activos de información, se establecen métricas para analizarlas en cuanto a su mayor o menor capacidad de daño a los activos de información, lo que permite tener una evidencia y un soporte objetivo acerca de los riesgos a los que se encuentra expuesta la organización. < OBSERVACIONES 155 CÓDIGO GBP-AGR004 VERSIÓN 01 TIPO Estratégico NOMBRE Definir los factores de riesgo para los activos informáticos. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GBP-AGR003 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer y medir el daño que causan las amenazas en los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar cuales amenazas afectan a cada uno de los activos de información. (GSIAGR003) 2. Establecer el nivel de daño que puede generar cada una de las amenazas en los activos de información. DESCRIPCIÓN La identificación de los activos de información vulnerables en la organización determina el grado de resistencia que tienen éstos respecto a sus amenazas, además se establece el potencial que tiene cada amenaza para afectar dichos activos. < OBSERVACIONES 156 CÓDIGO GBP-AGR005 VERSIÓN 01 TIPO Estratégico NOMBRE Establecer el nivel de protección de los activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR002, GSI-AGR003, GSI-AGR004 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Obtener la efectividad de las estrategias de seguridad utilizadas. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar el activo. (GSI-AGR002) 2. Establecer factores de riesgo para cada activo. (GSI-AGR003) 3. Establecer la vulnerabilidad para cada activo. (GSI-AGR004) 4. Evidenciar en qué grado es efectiva la protección para cada activo de información. DESCRIPCIÓN Este proceso brinda información clara y suficiente sobre la efectividad de las estrategias de protección utilizadas por la organización en cada uno de los activos de información. OBSERVACIONES 157 CÓDIGO GBP-AGR006 VERSIÓN 01 TIPO Estratégico NOMBRE Calificar el impacto del riesgo si se hiciera realidad. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR002, GSI-AGR005 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Evaluar las consecuencias de los riesgos en los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar el nivel de importancia del activo afectado. (GSI-AGR002) 2. Indicar como se realiza la protección para cada activo informático. (GSI-AGR005) 3. Evaluar las consecuencias en la organización por estos factores de riesgo. DESCRIPCIÓN Con el análisis de la información obtenida en los procesos anteriores se permite en este proceso evaluar las posibles consecuencias de un fallo o realización de un riesgo en los activos de información. < OBSERVACIONES 158 CÓDIGO GBP-AGR007 VERSIÓN 01 TIPO Estratégico NOMBRE Crear estrategias de contingencia Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GSI-AGR004 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Crear alternativas para la continuidad de los procesos organizacionales planteando estrategias. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar los activos de información vulnerables. (GSI-AGR004) 2. Plantear una estrategia alternativa para que el activo de información afectado no interfiera con el funcionamiento de la organización. 3. Ejecutar la estrategia para el activo de información que lo requiera. 4. Realizar evaluaciones periódicas a las estrategias para verificar su adecuación a los cambios en los activos de información. DESCRIPCIÓN En este proceso se plantean medidas alternas para garantizar un funcionamiento continuo de los procesos, evitando que se vean afectados de modo crucial los procesos organizacionales establecidos. OBSERVACIONES 159 CÓDIGO GBP-AGR008 VERSIÓN 01 TIPO Estratégico NOMBRE Capacitar y Formar en Análisis y Gestión del Riesgo. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA RESPONSABLE Asignado por el responsable FORMATOS DE REFERENCIA OBJETIVO Difundir al personal de la organización lo establecido en el Análisis y Gestión del Riesgo. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Convocar a Reunión a los Integrantes de la Organización. 2. Comunicar lo establecido en el Análisis y Gestión del Riesgo. DESCRIPCIÓN Comunica a los integrantes de la organización lo establecido en el Análisis y Gestión del Riesgo de la Seguridad de la Información < OBSERVACIONES 160 CÓDIGO GBP-AGR009 VERSIÓN 01 TIPO Estratégico NOMBRE Eliminar / Dar Baja a activos de información. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA Asignado por el responsable GBP-AGR002 OBJETIVO FORMATOS DE REFERENCIA RESPONSABLE Establecer medidas que garanticen una efectiva eliminación de los activos de información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar tipo de activo a eliminar/dar de baja. (GBP-AGR002) 2. Evaluar el impacto de la eliminación/baja de este activo de información. 3. Establecer un protocolo de eliminación/baja de cada activo de información. 4. Garantizar que la baja de dicho activo salvaguarde la confidencialidad de la información de la organización. DESCRIPCIÓN En este proceso se establecen medidas que garantizan una efectiva eliminación/baja de los activos de información, implantando metodologías eficientes para destruir o darle exclusión de la organización a dichos activos. OBSERVACIONES 161 GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. ALCANCE: Esta guía aplica como modelo de atención y solución a incidentes de seguridad de la información dentro de la organización interesada en aplicar el Manual de Procedimientos para la Administración de Seguridad de la Información, buscando que los integrantes de la organización comprendan las políticas y los procedimientos establecidos. RESPONSABILIDAD: Una vez la alta gerencia establezca los roles y responsables implicados, debe garantizar el aseguramiento de los objetivos fundamentales de la seguridad de la información: Confidencialidad, Disponibilidad, Integridad, y en caso de vulnerarse alguno de estos objetivos (o prever la posible vulnerabilidad), los responsables de la atención del incidente actuaran como se sigue 20: 20 , siguiendo los lineamientos de los procedimientos adscritos a la Guía. 162 METODOLOGÍA. GUÍA DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN EVENTOS DE SEGURIDAD (FASE PRE-INCIDENTE) Tabla 14. Metodología Guía de respuesta a Incidentes. Eventos de Seguridad. OBJETIVO Definir los factores de riesgo [GBP-AGR004] Calificar el impacto del riesgo (en caso de que éste se materialice) [GBP-AGR006] ACTIVIDADES Identificar los factores internos y externos que amenazan la seguridad de los activos de información de la organización. Categorizar las amenazas identificadas. Establecer escalas métricas para el análisis cuantitativo de las amenazas. Clasificar las amenazas de acuerdo a los resultados obtenidos en la escala métrica. Establecer el nivel de daño que puede generar cada una de las amenazas a los activos de información. Identificar el nivel de importancia del activo de información afectado [GBP-AGR002] Indicar como se realiza la protección para cada activo de información. [GBP- AGR005] Evaluar las consecuencias para la organización debido a los factores de riesgo. 164 DESCRIPCIÓN Identificar los activos de información vulnerables en la organización tienen éstos respecto a sus amenazas, a demás se establece el potencial que tiene cada amenaza para afectar dichos activos. Con el análisis de la información obtenida en los procesos anteriores, se abre paso a evaluar las consecuencias de un fallo de seguridad o materialización de un riesgo en los activos de información. OBJETIVO Determinar las tareas y asignar roles y responsabilidades [GBP-PASI003] Documentar evento de seguridad ACTIVIDADES DESCRIPCIÓN Determinar las dependencias, alcance y delimitaciones de cada tarea. Objetivizar cada tarea y verificar que hace parte de la planeación estratégica de seguridad y de la planeación estratégica organizacional. Determinar tiempos de adelanto, avance, entregas o posposición de cada tarea. Asignar roles y responsables directos para cada tarea. La alta gerencia debe generar las tareas especificas que garanticen el cumplimiento de los objetivos del manual de administración de seguridad de la información, y para cada una de ellas, asignar un responsable directo y un rol que especialice y diferencie cada tarea, con el fin de garantizar la idoneidad del personal asignado a la solución de una incidencia. Registrar los resultados del estudio de los procedimientos previos. Registrar los resultados de estudio de cada procedimiento permite tener un referente histórico de los eventos de seguridad, además de lograr un método de seguimiento y trazabilidad de los mismos. Fuente: Elaboración Propia 165 GESTIÓN DE INCIDENTES (FASE DE ATENCIÓN DE INCIDENCIA) Tabla 15. Metodología Guía de Respuesta a Incidentes - Gestión de Incidentes OBJETIVO ACTIVIDADES Identificar el incidente. Clasificar el incidente. Reportar a responsable equipo de respuesta a incidentes. Establecer las acciones correctivas que conlleven al tratamiento y solución Gestionar la mitigación y / del incidente. o solución del fallo de Verificar que las acciones seguridad. correctivas mitigan y / o solucionan eficazmente el incidente. Documentar incidencia y metodología de solución de Evidenciar y la misma. retroalimentar ocurrencias de fallos y Retroalimentación del atención de los mismos. método de respuesta al incidente. Establecer métodos de seguimiento, revisión y Revisar y controlar los procedimientos (previos, auditoria a los procesos de respuesta a incidentes. de intervención y tratamiento, y Informar a la alta gerencia explicativos) de respuesta los resultados de los a incidentes en la procesos de auditoría organización. hechos a los procesos de respuesta a incidentes Diagnosticar ocurrencia de un fallo de seguridad DESCRIPCIÓN Fase previa al tratamiento y solución de la incidencia que permite establecer y parametrizar históricamente la ocurrencia de un fallo de seguridad. Fase de intervención y tratamiento de fallos de seguridad de la información que permite normalizar la incidencia para dar cumplimiento a los objetivos de seguridad de la información y determina si las acciones tomadas fueron eficaces. Fase explicativa que permite seguimiento, revisión, trazabilidad y control sobre los fallos de seguridad ocurridos, y permite la detección rápida de errores en los resultados del proceso. Fase de evaluación que permite a la dirección determinar que las actividades de seguridad delegadas o implementadas se están ejecutando en la forma esperada Fuente: Elaboración Propia. 166 DISPOSICIÓN FINAL (FASE POST-INCIDENTE) El tratamiento de la fase post-incidente se realizara bajo protocolo administrativo que incluya los términos a seguir: » Elaboración de informes que den cuenta del tratamiento, la respuesta y la disposición de cada incidente de seguridad ocurrido. » Establecimiento de un archivo documental que permita agilizar la implantación de procesos de respuesta a incidentes de seguridad. » Comunicar a los integrantes de la organización las medidas preventivas, correctivas y proactivas establecidas al término de los procesos de atención y respuesta a incidentes de seguridad. » Convocar a los integrantes de la organización a la concertación de políticas, procedimientos, capacitación y manuales, que la alta gerencia defina como pertinentes, en función del cumplimiento de los objetivos planteados, para dar respuesta a los incidentes de seguridad. 167 SEGUIMIENTO REVISIÓN Y AUDITORIA. Tabla 16. Metodología Guía de Respuesta a Incidentes OBJETIVO Seguimiento Revisión y Auditoría. ACTIVIDADES Establecer indicadores comparables y medibles que den seguimiento a la aplicación de los objetivos Comunicar la implementación e de la guía de respuesta a implantación de la guía incidentes. de respuesta a incidentes Asegurar que se realiza de seguridad de la seguimiento a la aplicación información de la guía, y que la misma es trazable. Garantizar la calidad y mejora continua. DESCRIPCIÓN La alta gerencia debe establecer los métodos de revisión, seguimiento y cumplimiento de los objetivos de la guía de respuesta a incidentes, y garantizar que los resultados de la misma son medibles en referencia a las metas establecidas. DOCUMENTACIÓN Y RETROALIMENTACIÓN Tabla 17. Metodología Guía de Respuesta a Incidentes Retroalimentación. OBJETIVO Comunicar la implementación e implantación de la guía de respuesta a incidentes de seguridad de la información Documentación y ACTIVIDADES Convocar a reunión a los integrantes de la organización. Comunicar lo establecido en el plan de acción y los lineamientos directivos. DESCRIPCIÓN La alta gerencia debe comunicar cumplimiento de Fuente: Elaboración Propia 168 esos objetivos. MAPA DE PROCEDIMIENTOS Figura 20. Mapa de Procedimientos. Guía de Respuesta a Incidentes de Seguridad de la Información. Fuente: Elaboración Propia 169 ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN OBJETIVO Implementar programas de formación y toma de conciencia para comunicar a los integrantes de la organización la implementación e implantación del Manual de Procedimientos para la Administración de Seguridad de la Información. DEL PLAN El diseño de las Estrategias de Capacitación y Comunicación se define en una herramienta documental independiente tanto al Plan de Acción y al Análisis y Gestión del Riesgo de la Seguridad d la información debido a las propuestas establecidas por el panel de expertos donde se indicaba el establecimiento de capacitación más dinámica donde no solo fuera capacitación, sino también generar un compromiso de formación de los colaboradores de la organización. Las capacitaciones inicialmente se planteaban como un componente adicional tanto al Plan de Acción de la Seguridad de la Información como al Análisis y Gestión del Riesgo de la Seguridad de la Información, pero con la propuesta realizada por el panel de expertos de realizar la capacitación más rigurosa, se plantea la creación de esta herramienta documental, que tiene como objetivo brindar un apoyo integral a la comunicación y difusión del Sistema de Gestión de la Seguridad de la Información. Las estrategias de capacitación tiene como propósito brindar al personal de la organización los conocimientos y desarrollo de habilidades específicas para el desempeño de sus actividades al interior de la misma, fortaleciendo su productividad y calidad en las actividades desarrolladas. El plan de capacitación no solo está dirigido a los integrantes nuevos sino también a los experimentados, es responsabilidad de la organización garantizar el conocimiento y habilidades necesarias para el buen desempeño de las actividades laborales. 170 La capacitación está compuesta por un conjunto de estrategias orientadas a integrar al colaborador tanto a la organización como a su puesto de trabajo, aumentando su eficiencia frente a la organización; otra parte muy importante que lo compone es un conjunto de métodos, técnicas y recursos para dar cumplimiento a los lineamientos organizacionales requeridos. Las estrategias de capacitación se realiza de forma continua y transversal a todos componentes del Sistema de Gestión de la Seguridad de la Información. PROCEDIMIENTOS DE GESTIÓN » Identificar la temática a tratar. » Disponer recursos humanos y físicos. » Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. » Establecer el grupo focal al cual va dirigida la capacitación y la formación. » Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. » Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. » Documentar las actividades de formación. Es de vital importancia garantizar la comunicación y capacitación del Manual de Procedimientos para la Administración de Seguridad de la Información, debe realizarse de forma continua transversalizando a todas las actividades que componen dicho proceso. Se determina para el desarrollo del modelo 2 momentos de capacitación: Plan básico general y Plan avanzado de Capacitación. El Primero consiste en brindar la información general y básica necesaria para el desarrollo de un SGSI, en este primer escenario se generará un análisis y diagnóstico estructural de la organización, de los procesos y de los puestos de trabajo en torno al tema, el segundo momento se realiza un diagnostico de 171 Personal de cada colaborador, cada diagnóstico constituirá el diagnostico general de la organización y permitirá elaborar el plan de capacitación Avanzado. El plan básico desarrollará las siguientes temáticas: » Información de Generalidades sobre manejo de información, seguridad informática y seguridad de la información. » Legislación Vigente, conocimiento y cumplimiento de la misma. » Normas de Seguridad y Calidad. » Roles en seguridad de información. » Definición de Sistema de Gestión de Seguridad de la información » Alcances. » Roles y responsabilidades. » Medidas. » Modelos aplicados en otras organizaciones. Plan avanzado de Capacitación: » Diagnostico DOFA de las prácticas utilizadas en la organización para la Seguridad de la información. » Diagnostico DOFA de las procesos mediados por cargos y funciones de cada colaborador de la organización » Diagnostico DOFA de las competencias de cada colaborador de la organización, para desarrollar un modelo para el funcionamiento de un SGSI. » Construcción de un Plan de Capacitación adecuado a los resultados de los Diagnósticos. Para el desarrollo del modelo de capacitación, se utilizaran talleres de formación basados en pedagogía socio constructivista, en espacios presenciales y virtuales, donde se apliquen los conocimientos de forma teórico práctica. Los horarios establecidos para el plan de capacitación, deben definirse por cada organización, sin embargo se aconseja hacerlo de forma semanal y con espacios de no más de cuatro horas y no menos de 2 horas por jornada, con el fin de tener espacios de tiempo adecuados a la metodología socio constructivista. El plan de capacitación se plantea de 90 horas, entregando como resultado el plan de capacitación avanzado con las necesidades propias de la organización. 172 METODOLOGÍA DE LAS ESTRATEGIAS DE CAPACITACIÓN Y COMUNICACIÓN PARA LA IMPLEMENTACIÓN DEL MODELO Tabla 18. Metodología de las Estrategias de Capacitación. OBJETIVO ACTIVIDADES Identificar temática a tratar. Disponer recursos humanos y físicos. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. Establecer el grupo focal al cual va dirigida la capacitación y la formación Comunicar lo establecido en el Manual de Procedimientos para la Administración de Capacitar y comunicar los Seguridad de la procedimientos para la Información, y los implementación del lineamientos directivos, modelo. satisfaciendo las necesidades de formación, toma de conciencia y competencia. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. Documentar las actividades de formación. DESCRIPCIÓN La alta gerencia debe comunicar a la Procedimientos para la Administración de seguir sus lineamientos y determinar el objetivos. Fuente: Elaboración Propia 173 MAPA DE PROCEDIMIENTOS. PLAN DE CAPACITACIÓN Figura 21. Mapa de procedimientos. Plan de Capacitación. Fuente: Elaboración Propia 174 ESPECIFICACIÓN DEL PROCEDIMIENTO El procedimiento que especifica la ejecución de las distintas fases que componen las estrategias de capacitación y comunicación de la Guía de Buenas Prácticas de Seguridad de la Información se cita como sigue: 175 CÓDIGO GBP-PCC001 VERSIÓN 01 TIPO Apoyo NOMBRE Estrategias de Capacitación y Comunicación. Alta Gerencia. TIEMPO ESTIMADO/FRECUENCIA RESPONSABLE Asignado por el responsable FORMATOS DE REFERENCIA OBJETIVO Implementar programas y toma de conciencia para comunicar a los integrantes de la organización la implementación del Manual de Procedimientos para la Administración de la Seguridad de la Información. ESPECIFICACIÓN DEL PROCEDIMIENTO ACTIVIDADES 1. Identificar temática a tratar. 2. Disponer recursos humanos y físicos. 3. Verificar aptitudes y habilidades del personal que va a realizar la capacitación y formación. 4. Establecer el grupo focal al cual va dirigida la capacitación y la formación. 5. Comunicar lo establecido en el Manual de Procedimientos para la Administración de Seguridad de la Información, y los lineamientos directivos, satisfaciendo las necesidades de formación, toma de conciencia y competencia. 6. Garantizar la evaluación del cumplimiento de los objetivos del Manual de Procedimientos para la Administración de la Seguridad de la Información, para verificar la eficacia de las acciones emprendidas en el mismo. 7. Documentar las actividades de formación. DESCRIPCIÓN de la Guia de buenas practicas umplimiento de esos objetivos. Este procedimiento se realiza de forma transversal a todos los procedimientos realizados durante el la implementación de la Guia. 176
