Resumen
En el presente artículo, se
inicia con la contextualización del tema
a partir de la definición de Seguridad de la información, Seguridad
informática, SGSI y Sistema de Gestión de la Seguridad de la Información; además
al final se presenta un glosario de algunos términos considerados de
relevancia.
Seguidamente se procede a enumerar los elementos
requeridos al momento de definir un SGSI, tales como: la alineación con el plan
estratégico institucional; verificar preexistencia de un SGSI; definir un marco
de referencia y medir la seguridad de la información de la compañía a partir
del marco referente; revisión de políticas de seguridad de la información en
otras entidades; hacer gestión de riesgos; definir controles y sus
correspondientes indicadores y métricas , las cuelas deben ser clasificados en
estratégicas, tácticas y operativas.
Para finalizar se presenta un método para
cuantificar los riesgos.
Palabras claves: seguridad, seguridad de la información,
seguridad de la informática, ISO 27000, SGSI, sistema de gestión de la
seguridad de la información.
Al realizar una búsqueda en
google de las palabras “seguridad de la información”, es posible obtener más de
173 millones de resultados; al buscar “noticias
seguridad de la información”, es posible obtener más de 30.7 millones de resultados; según KPMG Colombia (2013),
Encuesta fraude en Colombia “El 46% de los crímenes económicos experimentados
en el último año fueron del malversación de activos, pero el 51% del daño
económico lo causó el fraude informático”, negrillas propias de KPMG. Estos
datos son suficiente motivo para despertar la necesidad de hacerse responsable
de del SGSI.
Un SGSI es un sistema trasversal a las organizaciones y es
responsabilidad de todos los actores conocer, entender y asegurar el
cumplimiento de las políticas del SGSI; tal es la relevancia del tema, que
existe regulaciones como las Circular Externas Reglamentarias de la
Superintendencia Financiera de Colombia números 052 de 2007 y 042 de 2012; lineamientos definidos por el Ministerio de
Tecnologías de la Información y las Comunicaciones (MINTIC); un Modelo Estándar de Control Interno (MECI) definido por el
gobierno nacional.
Dadas las circunstancia del mundo vertiginoso y cámbiate, se
hace necesario apropiarse de los conocimientos suficientes para hacer un
adecuado SGSI; en el presente artículo se ofrecen algunas herramientas para dar
inicio a la gestión de la seguridad de la información.
Se abordan los temas
relacionados con Seguridad, Seguridad de la información, SGSI, Sistema de
Gestión de la Seguridad de la Información y seguridad informática, términos que
son definidos así:
Glosario en español DRI – Seguridad: Este
término se puede utilizar tanto para la información como para las instalaciones
físicas. En información, es la práctica de proteger información ante el uso
indebido (acceso no autorizado, divulgación, alteración o destrucción). Con
respecto a las instalaciones físicas, es la práctica que resulta del
establecimiento y el mantenimiento de medidas de protección de las
instalaciones y las personas. Estas medidas pueden incluir una combinación de
disuasión, prevención, detección, recuperación y corrección, y debe formar
parte del enfoque de gestión de riesgos de la
empresa.
empresa.
Seguridad de la información: (Inglés:
Information security). Preservación de la confidencialidad, integridad y
disponibilidad de la información. Fuente: http://www.iso27000.es/glosario.html
Aguilera, P. (2011). Redes seguras (Seguridad
informática). Editex. Seguridad informática es la disciplina que se ocupa de
diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir
un sistema de información seguro y confiable. Fuente: Seguridad informática
Purificación Aguilera López. http://s3.amazonaws.com/academia.edu.documents/39361818/Seguridad_informatica_UD01.pdf?AWSAccessKeyId=AKIAIWOWYYGZ2Y53UL3A&Expires=1496723765&Signature=yNobXdWPMl3dh8yCKntnKyZ9Drc%3D&response-content-disposition=inline%3B%20filename%3DSeguridad_informatica_-_por_CF.pdf
SGSI: (Inglés: ISMS). Véase: Sistema de
Gestión de la Seguridad de la Información. Fuente: http://www.iso27000.es/glosario.html
Sistema de Gestión de la Seguridad de la
Información. (Inglés: Information Security Management
System). Conjunto de elementos interrelacionados o
interactuantes (estructura organizativa, políticas, planificación de
actividades, responsabilidades, procesos, procedimientos y recursos) que
utiliza una organización para establecer una política y unos objetivos de
seguridad de la información y alcanzar dichos objetivos, basándose en un
enfoque de gestión del riesgo y de mejora continua. Fuente: http://www.iso27000.es/glosario.html
Específicamente
se verán los elementos mínimos requeridos para la gestión de la seguridad de la
información. Se recomienda tener claros
los términos seguridad de la información y seguridad informática y sus
diferencias.
Alineación con el plan
estratégico institucional:
La seguridad de la información es un proceso que
afecta de forma trasversal a todas las organizaciones; procesos de esta
naturaleza, no solamente requieren el apoyo de la alta gerencia, sino que además debe fundamentarse en un
conocimiento claro y total de toda la organización sobre la cual sea su
intervención. un SGSI y todo su equipo de trabajo, debe comenzar por
identificar el entorno interno de la
organización, esto es su misión , visión
, objetivos
institucionales, productos,
objetivos estratégicos , modelo de operación por procesos,
principios, estructura organizacional, entre otros muchos aspectos que definen
a la organización.
Identificar
de forma clara a la organización, va a
permitir definir un SGSI a la medida de las necesidades particulares de la
empresa, dando efectividad al proceso, esto es racionalizar las inversiones en
seguridad y gestionar un ciclo virtuoso (PHVA).
Parte de las actividades, aunque suene obvio, es validar
si el empresa tiene un SGSI o si alguna de las empresas alas que pudiera
pertenecer, lo tenga definido.
Definir un Marco de
referencia
Ilustración 1 Familia ISO 27000
Fuente: https://es.slideshare.net/georgepereira01/ntc-isoiec-27001-jorge-h-gaviria-y-shernndra-ocampo
A partir de dicho marco de
referencia se puede evaluar el nivel de madures del SGSI preexistente o las
actividades que se ejecutan en torno a la gestión de la seguridad informática.
Esto puede ser validado a partir de la existencia o el grado de madures de los
siguientes criterios:
Criterios a Evaluación de SGSI
|
SI/NO hay
|
Oficial de seguridad
|
|
Jefe de información (CIO)
|
|
Gerente de Seguridad de la
información (CISO)
|
|
Un proceso de gestión de la
continuidad de los servicios de TIC.
|
|
Un proceso de gestión de la
disponibilidad de los servicios de TIC.
|
|
Un proceso de gestión de la
capacidad de los servicios de TIC.
|
|
Políticas de la seguridad de
la información que contemple todos los aspectos requeridos
|
|
Alineación de la política de
seguridad de la información con el plan estratégico institucional.
|
|
Alineación del proceso de
gestión de la continuidad de los servicios de TIC con el plan de continuidad
del negocio.
|
|
Un proceso de gestión de
cambios.
|
|
Un proceso de gestión de la
configuración.
|
|
Los accesos a las plataformas
tecnológicas cuentan con los mecanismos de autenticación.
|
Fuente: Elaboración propia
Dependiendo
del grado de madurez de los servicios TIC de la organización, es posible
complementar el SGSI con otros sistemas de gestión como COBIT, ISO 2000 e ITIL,
que son buenas prácticas que llevan a buscar efectividad en los servicios
tecnológicos.
Una
buena práctica, antes de entrar a definir un SGSI, es identificar la forma como
se está definiendo la política de seguridad de la información en entidades que
puedan ser un patrón a seguir, para el caso de las empresas del estado, por
ejemplo, se puede revisaron las políticas de las siguientes entidades:
Presidencia
de la República actualizado a mayo 2016
versión 6 tomado de http://es.presidencia.gov.co/dapre/DocumentosSIGEPRE/M-TI-01-Manual-Sistema-Seguridad-Informacion.pdf
Ministerio de
Hacienda, actualizado a agosto de 2013 versión 1, tomado de http://www.minhacienda.gov.co/HomeMinhacienda/ShowProperty?nodeId=%2FOCS%2FMIG_29706604.PDF%2F%2FidcPrimaryFile&revision=latestreleased
Invima actualizado
a enero de 2017 versión 2 tomando de https://www.invima.gov.co/images/stories/formatotramite/GDIDIEPL010version2.pdf
Como resultado de la observación, se puede
identificar variables importantes a ser gestionadas, en un cuadro comparativo a
partir de los dominios definidos por ISO 27001.
Dominios ISO 27001
|
S/N contempla el Dominio
|
||
Empresa Consultada 1
|
Empresa Consultada 2
|
Empresa Consultada 3
|
|
5. Política de Seguridad.
|
|||
6. Aspectos Organizativos de la Seguridad de la Información
|
|||
7. Gestión de Activos.
|
|||
8. Seguridad ligada a los Recursos Humanos.
|
|||
9. Seguridad Física y del Entorno.
|
|||
10. Gestión de Comunicaciones y Operaciones.
|
|||
11. Control de Acceso.
|
|||
12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
|
|||
13. Gestión de Incidentes en la Seguridad de la Información.
|
|||
14. Gestión de la Continuidad del Negocio.
|
|||
15. Cumplimiento.
|
|||
Fuente: Elaboración propia.
A partir de los
documentos investigados, se debe establecer si se cumplen con los componentes
de una política de seguridad informática, pueden ser los definidos por (Martínez, 2000) :
El alcance de
las políticas, incluyendo facilidades, sistemas y personal sobre la cual
aplica.
Los objetivos
de las políticas y la descripción muy clara de los elementos involucrados en la
definición.
Las responsabilidades,
de cada servicio y recurso informático incluyendo todos los niveles de la
organización.
Los
requerimientos mínimos, para la configuración de la seguridad de los sistemas
que incluya el alcance de la política.
Definición de
violaciones y de consecuencias al no cumplimiento de la política.
Responsabilidades
de los usuarios con respecto a la información que tiene acceso la política.
Elementos que
deben ser incorporados en la definición del SGSI.
Definiendo una política para
el SGSI.
La información por ser el activo de
mayor importancia para una entidad y para la gestión y rendición de cuentas a los
grupos de interés, debe propender por la confidencialidad, integridad y
disponibilidad, durante el ciclo de vida de la información, bajo una cultura
institucional de autocontrol, que garantice el mejoramiento continuo en
seguridad de la Información. Es por tal razón que la primera piedra en un SGSI
debe ser la definición de unas Políticas De Seguridad De La Información que correspondan
a la realidad empresarial, los elementos a usar para la definición de la
política son:
ü Tener claro el plan
estratégico institucional antes de iniciar definiciones.
ü Conocer bien el negocio.
ü Tener claro el plan
estratégico las tecnologías de la información (PETI) de la organización.
ü Conocer muy bien las
tecnologías de la información de la organización.
ü Conocer bien la cultura
organizacional.
ü Conocer las tendencias de
TIC.
Una
buena política de la seguridad de la información debe definir: 1) Objetivos: Objetivo
General de la política, Objetivos específicos; 2) Alcance – definiendo los
límites para: Sistemas y temporalidad, Procesos, Activos de información, Personas,
Recursos, Políticas; 3) Principios de la Seguridad de la Información; 4) El
ciclo de vida de la información; y 5)
Políticas Particulares aplicables a los diferentes proceso Gestión aplicables a
al SGSI.
Administrando el riesgo
Antes de identificar los riesgos a los que está
expuesta la información, se hace necesario identificar la Cadena de Valor de la
organización, sus Activos, la Dependencias entre activos y la Dependencias
entre activos y procesos.
Seguidamente
se deben definir los elementos
requeridos para la gestión de los riesgos, como una matriz dofa, con definición
de estrategias de respuesta al dofa, y además se debe incluir: 1.) Establecer
el marco general de la gestión de riesgos que incluye, conocer el entorno
(interno y externo), identificar la metodología, los criterios de calificación
y tablas de valoración, identificar los objetos críticos y priorizarlos; 2.) Identificación
de riegos que incluye: establecer el contexto de la administración de riesgos,
desarrollar los criterios de magnitud de la pérdida y probabilidad de
ocurrencia, definir la estructura, identificar los riesgos, identificar las
causas; y 3.) Análisis de riesgos que incluye: valoración de los riesgos.
Por
otro lado, es indispensable definir una Políticas para la Gestión de Riesgos.
Y
finalmente, se debe definir los criterios de calificación, a partir de 1.) Definir la probabilidad de ocurrencia, medido
a partir de frecuencia y 2.) Probabilidad
así: el impacto debe contemplarse sobre la imagen, lo económico, la
disponibilidad de los servicios y el reproceso (recuperación de información).
Ahora
se debe Identificar Objetos críticos, identificar
los Requerimientos de seguridad tales como 1.) Confidencialidad, para esto se
debe realizar una Calificación de Información, logrando una clasificación que
defina que datos y que información es de carácter Público, de Uso interno, de Uso
privado y cuál es clasificada como Confidencial; 2) Integridad; y 3.) Disponibilidad.
Con
todo lo anterior, se procede al desarrollo de criterios
de valoración de riesgos, magnitud del
daño y probabilidad de la amenaza, se combinan las
calificaciones de probabilidad e impacto para definir una matriz de escala para
cálculo del riesgo (probabilidad impacto /magnitud del daño); dando como
resultado un mapa que permite clasificar e identificar las zona de riesgo (inaceptable, importante, tolerable o aceptable).
Pues
bien, ya es hora de entrar en materia, hay que identificar
riesgos, identificar causas (amenazas),
hacer análisis de riesgos, valorar los riesgos
inminentes, evaluar y priorizar los riesgos,
definir acciones para administrar los riesgos,
identificar los tipo de hallazgo (oportunidad de mejora),
definir mecanismo de seguimiento al mapa de riesgos,
valorar riesgo inherente; y repetir estos pasos,
después de la implementación de controles, para realizar valorar riesgo
residual.
El éxito de toda gestión está en la medición, seguimiento, control y
rendición de cuentas, el SGSI no es la excepción, por tanto se hace necesario
definir estas actividades, a continuación se ilustra la forma como se pueden
definir los controles, fundamentados en la serie de las ISO 27000.
A continuación se indica cómo se definen los
controles para el SGSI; 1.) Se definirá el ámbito de los controles y una escala
de valores para calificar el grado de madurez de la organización en el SGSI; 2.)
Se identifican los controles definidos por la serie ISO 27000 a partir de los
riesgos identificados y valorados en actividades previas; 3.) Se define una
lista de chequeo para la validación de la madurez del SGSI; 4.) Se definen los
controles a ser usados por el proceso; y 5.) Se procede a calificar la madurez
del proceso, a partir de la lista de chequeo definida.
En
la definición del ámbito, es posible por ejemplo, enmarcarse en las series ISO 27000 y a partir
de ISO 27002, cruzando con los resultados de la gestión del riesgo, definir
cuáles son los controles requeridos por la entidad; para cada control se debe
definir un objetivo y una política, que permitan asegurar su finalidad.
Cada uno de los controles deberá ser
calificado, a partir de la escala para Calificación de Controles ISO 27001; la
calificación de cada dominio de la norma corresponde al promedio de los
controles que lo componen; de ésta forma es posible identificar los dominios
que requieren mayor focalización al armar un plan de mejora frente a la
evaluación del nivel de madurez del SGSI. En caso que algún control haya sido
calificado como No Aplica (N/A), dicho control no hará parte del promedio
calculado para el dominio. Al finalizar
se calcula un promedio ponderado de todo el SGSI, el cual corresponde al
promedio de todos los promedios de los dominios. A continuación se
presenta una tabla que contiene uno de los dominios de la norma, para
ejemplificar la calificación.
Fuente: Elaboración propia.
Dados los riesgos identificados a ser
gestionados y el resultado de la calificación del SGSI, a partir de los
controles ISO 27002, se seleccionan los controles que darán valor agregado a la organización;
se puede crear una tabla que permita hacer la identificación de los riesgos a
los que cada control apunta y priorizar, a partir de las necesidades
particulares, para definir a cuáles controles se les hará seguimiento a partir
de un indicador y una métrica. A continuación se propone la tabla para la
focalización.
Controles
|
Riesgo 01
|
Riesgo 02
|
Riesgo 03
|
Riesgo 04
|
Riesgo 05
|
Riesgo 06
|
Prioridad
|
5. POLÍTICA DE SEGURIDAD
|
X
|
x
|
x
|
X
|
x
|
x
|
Alta
|
9.2. Seguridad de los equipos
|
x
|
x
|
X
|
x
|
Baja
|
||
10. GESTIÓN DE COMUNICACIONES OPERACIONES
|
X
|
x
|
Sin prioridad
|
||||
10.1.
Responsabilidades y procedimientos de operación
|
x
|
x
|
Sin prioridad
|
||||
10.2. Gestión de la provisión de servicios por
terceros
|
x
|
x
|
x
|
x
|
Alta
|
||
10.10.
Supervisión
|
Sin prioridad
|
||||||
10.4. Protección contra el código malicioso y
descargable
|
x
|
x
|
x
|
X
|
x
|
x
|
Alta
|
10.5. Copias de seguridad
|
Sin prioridad
|
||||||
10.6. Gestión de seguridad de las redes
|
x
|
x
|
X
|
x
|
x
|
Media
|
|
10.8. Intercambio de información
|
x
|
x
|
x
|
X
|
x
|
Media
|
Fuente: Elaboración propia
De la anterior tabla se puede establecer la focalización
a los controles y dominios; dado lo anterior, ahora se procede a definir
los controles de forma particular, los controles también deben ser calificados
en su efectividad actual con el fin de conocer su estado inicial, a
continuación se presenta una tabla que condensa la definición de los controles:
Controles
|
|||
Nombre Control
|
Descripción del Control
|
valoración de controles
|
Indicadores requeridos
|
11-
CONTROL DE ACESSO
|
|||
Accesos: Gestión de permisos de usuarios
sobre las aplicaciones y la información
|
A11[2]=
Promedio (controles del dominio) = 5
|
Indicador
1
|
|
11.6.
Control de Acceso a las aplicaciones y a la información
|
|||
Acceso a los SI y BD.
|
Los
sistemas de información, las aplicaciones, las bases de datos, los
repositorios de información y los servicios tecnológicos en general, disponen
de trazabilidad, que permita identificar de forma inequívoca las actividades
ejecutadas por operadores y administradores de la plataforma
tecnológica.
|
6
|
|
Hay
segmentación de red para aislar servicios críticos.
|
3
|
||
Hay
gestión de accesos.
|
6
|
||
Fuente: Elaboración propia.
Las
calificaciones dadas en la tabla Ejemplo de priorización de Controles y la tabla
Ejemplo de definición de Controles e identificación de indicadores, es la calificación
de la madurez del SGSI.
Otros elementos a
considerar:
Se hace necesario que los
controles sean medibles, y esto se logra implementando las Métricas e Indicadores; para cada uno de los
indicadores, se debe definir: Objetivo de Seguridad, Nombre del Indicador, Pregunta,
Frecuencia de medición, Fórmula de cálculo y Unidad de Medida o métrica.
Finalmente se debe Cuantificar los riesgos.
Una de las
tareas más críticas, la gestionar los riesgos, es la cuantificación de los
mismos; para la alta gerencia, no es lo mismos decir que tenemos un riesgo
crítico, que decir, por ejemplo: KPMG Colombia (2013), Encuesta fraude en
Colombia, tomado de http://uniajc.edu.co/controlinterno/wp-content/uploads/2015/11/Encuesta-de-Fraude-en-Colombia-2013.pdf,
página 8, el miércoles 07 de junio de 2016 a las 09:39 pm. “Casi 7 de cada diez
empresas que operan en Colombia han padecido cuando menos un fraude en los
últimos doce meses. En 2013 el costo estimado por crímenes económicos fue de
$3,600 millones de dólares, es decir el 1% del PIB nacional.” Información de
esta cualidad y calidad, permite tener lucidez
al momento de tomar decisiones respecto el SGSI.
Los datos estadísticos son relativamente fáciles de
colectar, pero la cuantificación de los riesgos potenciales es aún más
complejo, para el caso del ejemplo de KPMG, se debería decir a la junta
directiva de la organización, que en particular por riesgos de fraude, la
compañía está en potencia de perder x millones de dólares en particular. Para lograr
esto se puede hacer uso del Modelo Ponemon. Para aplicar el modelo Ponemon se tienen los siguientes
pasos:
Primero:
Se genera un listado con los Incidentes de un periodo a ser observado, con el
fin de conocer el tipo de amenazas que se ha presentado en la entidad.
Segundo:
Revisando la tipificación de los incidentes a través, por ejemplo de Kaspersky,
se tipifica el siguiente listado de posibles incidentes en particulares a cada
entidad:
ü Presencia de virus en las
maquinas
ü Malware Código malicioso en servidores
ü Troyanos software malicioso
servidores
ü Phishing suplantación de
identidad
ü Pérdida accidental de
Hardware
ü Habilitar /denegar VPN
ü Bloqueo y desbloqueo de
páginas Web
ü Administracion de canal
Internet
ü Bloqueo y desbloqueo de
puertos
Tercero:
Tomando como fuente primaria, el presupuesto de gastos de la entidad, el
inventario de activos, se establece los costos directos.
Cuarto:
A partir de los contratos, por ejemplo, se identifica los costos indirectos.
Quinto:
Se establece el costo de oportunidad, tomando el dato del valor de contratos
por día, se establece el costo diario por eventos de incidencias de seguridad.
Sesto:
Al listado de incidentes, se le asigna el tiempo que la entidad se demora en
recuperarse del incidente. Multiplicado con el impacto que genera el incidente
en la operación del servicio.
Séptimo:
Se encuentra el Valor total por cada incidente.
ü
Para que un SGSI, sea efectivo y eficaz, debe ser
emanado a nivel macro y entendido, y aprobado por los líderes de la entidad y así
mismo incluido y asimilado en todas las actividades institucionales desarrollas
en la entidad.
ü
La seguridad de la información tiene por
principio asegurar la confidencialidad, integridad y disponibilidad de la
información, tarea que no es posible, si no se tiene conciencia del plan
estratégico institucional y si las áreas de negocio no toman consciencia de los
riesgos informáticos del negocio.
ü
En la gestión de la seguridad de la información,
es posible alinearse a las buenas prácticas de carácter internacional y normas
colombinas, cono: la Circular Externa Reglamentario 042 2012 emitida por la
Superintendencia Financiera de Colombia, ISO
27001, NTGP1000, ISO 20000, IT4Plus, COBIT, ITIL, etc.
ü
El aseguramiento de la información, es un
elemento que permite asegurar el cumplimiento del Plan Estratégico
Institucional.
ü
Un SGSI, debe 1) definir una línea base. 2)
definir Políticas de seguridad. 3) hacer uso de Formatos: que permiten la
comunicación entre los diferentes componentes y actores. 4) hacer uso de registro:
que evidencian el cumplimiento de las políticas. 5) Contar con procesos: que sustentan la forma
como se ha de cumplir la política y garantizan la repetitividad efectiva de las
acciones. Y 5) Contar con procedimientos: que sustente como se va a cumplir la
política.
ü
En la gestión de la seguridad información, es
necesario clasificar la información entre pública, regulada, no clasificada y
registrada, con el fin de gestionar para cada tipo de información los niveles
de protección y su acceso.
ü
El aseguramiento de la información, debe dar
cobertura a todos sus momentos, desde la creación, el almacenamiento, su uso,
el compartir la información, la conservación y su final destrucción.
ü
La definición de las políticas de seguridad de
la información debe tener elementos tales como alcance de las políticas,
definición de objetivos, responsabilidades, requerimientos y consecuencias de
no cumplirlas.
ü
El clasificar y reconocer los tipos de riesgos
permite desarrollar la matriz de riesgos, brindando de esta manera la guía
completa para controlar los riesgos identificados.
ü
El riesgo es el resultado de la vulnerabilidad
por la amenaza al por el impacto.
ü
La Gestión de riesgos es el desarrollo
estructurado y aplicación de la cultura de gestión, a través de políticas,
procedimientos y prácticas por medio de la definición de actividades para la
identificación, análisis, evaluación y control de los riesgos.
ü
Las políticas de seguridad de la información y
la gestión de riesgos son insumos fundamentales en la definición de los procesos
de gestión de la continuidad del negocio y el plan de recuperación ante
desastres; planes que le permiten a la organización asegurar la continuidad del
negocio a pesar de las circunstancias.
ü
Como definición: Un SGSI es un conjunto
ordenado de políticas y procedimientos que regulan el funcionamiento de todos
los elementos que conforman la información.
ü
Hacer gestión de riesgos, de la seguridad de la
información, nos permite permanecer en el mercado; el análisis y priorización
de los riesgos nos permite focalizar y optimizar recursos en el tratamiento de
los riesgos.
ü
La gestión de riesgos es un proceso cíclico y
evolutivo (PHVA).
ü
La serie de normas ISO 27000 son un referente
para la gestión de riesgos.
ü
Un SGSI debe garantizar los principios de 1) la
confidencialidad, disponibilidad e integridad de la información; 2) Alineación
a las políticas estatales; 3) Empoderamiento en gestión de la seguridad de la
información a la alta gerencia y en general a todos los colaboradores; 4)
Alinear el SGSI al plan estratégico institucional; 5) Garantizar una adecuada
gestión de los servicios autenticación, autorización, auditabilidad y no
repudio de la información; 6) Realizar una efectiva clasificación de la
información, con el fin de hacer más efectiva la gestión de la seguridad de la
información; y 7) garantizar gestión a lo largo de todo el ciclo de vida de la
información.
Glosario:
La administración de riesgos, se define como:
DRI - la herramienta gerencial que apoya la toma de decisiones
organizacionales, facilitan con ello el cumplimiento de los objetivos del
negocio. También se puede definir como el proceso iterativo basado en el
conocimiento, valoración, tratamiento y monitoreo de los riesgos y sus impactos
en el negocio. En desarrollo de la metodología dada por el tutor LOS
estudiantes inician describiendo el entorno de la entidad.
Se define: Riesgo: DRI- la probabilidad de
que se presente un evento que pudiera causar daños o pérdidas o afectar la
capacidad para alcanzar los objetivos del negocio, asociado a la vulnerabilidad
de la organización ante esa amenaza. En el contexto de gestión del riesgo
corporativo, riesgo se refiere al potencial de que el resultado de una acción o
actividad (incluyendo la no acción) resulte en un resultado diferente.
Gestión de riesgos: DRI - Desarrollo estructurado y aplicación de la
cultura de gestión, a través de políticas, procedimientos y prácticas por medio
de la definición de actividades para la identificación, análisis, evaluación y
control de los riesgos.
Se define Probabilidad: DRI-Posibilidad
verosímil y fundada de que algo suceda, haya sido esto definido, medido o
estimado objetiva o subjetivamente. Se pueden utilizar términos descriptivos
generales (tales como "improbable", "poco probable",
"probable", "casi seguro"), frecuencias o probabilidades
matemáticas. Puede ser expresado cualitativa o cuantitativamente.
Se define Impacto: DRI- Efecto, aceptable o
no, que un evento tiene en una organización. Los tipos de impactos al negocio
son normalmente descritos como financieros y no financieros, y posteriormente
se dividen en tipos específicos, dependiendo del sector.
Se
define Confidencialidad: DRI- Propiedad por la cual se permite el acceso a la
información únicamente a personas previamente autorizadas.
Se define el Riesgo Inherente: es el nivel de
exposición presente en ausencia de controles.
Riesgo residual DRI - Nivel de riesgo remanente después de que se
han implementado todas las acciones costo-efectivas para reducir el impacto, la
probabilidad y las consecuencias de un riesgo o grupo de riesgos específicos,
sujeto al
apetito al riesgo de una organización.
apetito al riesgo de una organización.
Define Control: Las
políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido. Control es también utilizado como sinónimo de
salvaguarda o contramedida. En una
definición más simple, es una medida que modifica el riesgo.
Cano, J. (. (s.f.). Métricas en Seguridad Informática. VIII Jornada Nacional de
Seguridad Informática. ACIS.
Chalico, L. S. (2008). Indicadores de gestión aplicados a los procesos de administración de
riesgos y seguridad . Mexico: Asociación Bancaria de México.
DNP. (s.f.). http://larebeca.
Obtenido de http://larebeca/Paginas/inicio.aspx
DNP. (2016). Guia
para la administración de riesgos en Seguridad de la Información.
Bogotá.
Martínez, J. C. (2000). Pautas y Recomendaciones para elaborar Políticas de Seguridad
Informática .
MINTIC. (2016). Guía 2 para la “Elaboración de la política general de seguridad y
privacidad de la información.
Planeación, D. N. (2015). Manual y Política de Seguridad de la Información. Bogotá.
Planeación, D. N. (01 de marzo de 2017). Intranet DNP. Obtenido de
https://www.dnp.gov.co/DNP/acerca-de-la-entidad/Paginas/Objetivos-Localizaci%C3%B3n.aspx
Planeación, D. N. (2017). Sitio colaborador . Obtenido de
https://colaboracion.dnp.gov.co/CDT/DNP/Plan%20Estrat%C3%A9gico%20Institucional-2016.pdf?
DNP. (2015). Guia para la administración de riesgos en Seguridad de la
Información. Bogotá.
Maintained by DRI International. International
Glossary for Resiliency, glosario en Español.
KPMG
Colombia (2013), Encuesta fraude en Colombia, tomado de
http://uniajc.edu.co/controlinterno/wp-content/uploads/2015/11/Encuesta-de-Fraude-en-Colombia-2013.pdf,
página 8, el miércoles 07 de junio de 2016 a las 09:39 pm.
