MODELAMIENTO DE PROCESOS BASADOS EN EL GRUPO DE NORMAS INTERNACIONALES ISO/IEC 27000 PARA GESTIONAR EL RIESGO Y SELECCIONAR CONTROLES EN LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN. ING. ELKIN REINA GARCA ING. JOS RAL MORALES RAMREZ UNIVERSIDAD TECNOLGICA DE PEREIRA FACULTAD DE INGENIERAS ELCTRICA, ELECTRNICA, FSICA Y CIENCIAS DE LA COMPUTACIN PROGRAMA INGENIERA DE SISTEMAS Y COMPUTACIN ESPECIALIZACIN EN REDES DE DATOS PEREIRA 2014 MODELAMIENTO DE PROCESOS BASADOS EN EL GRUPO DE NORMAS INTERNACIONALES ISO/IEC 27000 PARA GESTIONAR EL RIESGO Y SELECCIONAR CONTROLES EN LA IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN. ING. ELKIN REINA GARCA ING. JOS RAL MORALES RAMREZ PROYECTO DE GRADO PARA OPTAR AL TTULO DE ESPECIALISTA EN REDES DE DATOS DIRECTORA PROYECTO ANA MARA LPEZ ECHEVERRY INGENIERA ELECTRICISTA UNIVERSIDAD TECNOLGICA DE PEREIRA FACULTAD DE INGENIERAS ELCTRICA, ELECTRNICA, FSICA Y CIENCIAS DE LA COMPUTACIN PROGRAMA INGENIERA DE SISTEMAS Y COMPUTACIN ESPECIALIZACIN EN REDES DE DATOS PEREIRA 20143 NOTA DE ACEPTACIN: ______________________________ ______________________________ ______________________________ ______________________________ ______________________________ ______________________________ ______________________________ Firma del Presidente del Jurado ______________________________ Firma del Jurado ______________________________ Firma del Jurado Pereira, noviembre de 2014 4 Dedicado a nuestras familias quienes con su incondicional apoyo han hecho posible alcanzar este nuevo logro. 5 AGRADECIMIENTOS A Dios, por la oportunidad de alcanzar esta meta gratificante tanto personal como familiarmente. Al Grupo de Investigacin Nyquist por permitirnos hacer parte en el desarrollo del proyecto Macro como aporte a la competitividad de las empresas de la regin. A la ingeniera Ana Mara Lpez Echeverry, por toda su colaboracin y disposicin en la direccin de este proyecto. AlaingenieraPaulaAndreaVilla,compaeradeestudio,porelapoyoentemas importantes del proyecto. 6 CONTENIDO pg. I.INTRODUCCIN ............................................................................................ 10 2.DEFINICIN DEL PROBLEMA ...................................................................... 11 3.JUSTIFICACIN ............................................................................................. 19 4.OBJETIVOS .................................................................................................... 23 4.1OBJETIVO GENERAL .................................................................................... 23 4.2OBJETIVOS ESPECFICOS ........................................................................... 23 5.MARCO REFERENCIAL ................................................................................ 24 5.1MARCO DE ANTECEDENTES ....................................................................... 24 5.2MARCO TERICO ......................................................................................... 26 5.3MARCO CONCEPTUAL ................................................................................. 30 5.4MARCO LEGAL .............................................................................................. 32 6.DISEO METODOLGICO ........................................................................... 34 6.1HIPTESIS ..................................................................................................... 34 6.2TIPO DE INVESTIGACIN ............................................................................. 34 6.3METODOLOGA ............................................................................................. 34 6.4POBLACIN ................................................................................................... 35 7.PROCESO DE DISEO Y CONSTRUCCIN DE LA GUA ........................... 36 7.1CONSTRUCCIN DE LA GUA. ..................................................................... 36 7.1.1.Consideraciones previas. .................................................................. 36 7.1.2.Construccin de etapas del proceso de gestin del riesgo. ............... 38 7.2DIFICULTADES DURANTE LA CONSTRUCCIN. ....................................... 42 8.ANLISIS DE APLICABILIDAD DE LA GUA ................................................. 44 8.1EVALUACIN DE EXPERTOS ...................................................................... 44 8.2EVALUACIN DE LA PRUEBA PILOTO ........................................................ 51 7 9.CONCLUSIONES ........................................................................................... 53 10.RECOMENDACIONES ............................................................................... 54 BIBLIOGRAFA ..................................................................................................... 56 ANEXO A .............................................................................................................. 58 ANEXO B .............................................................................................................. 75 ANEXO C ............................................................................................................ 102 8 ndice de Figuras Figura 1: Relacin entre sofisticacin y conocimiento del atacante ...................... 12 Figura 2: Evolucin del cibercrimen. ..................................................................... 14 Figura 3: Orgenes de los ataques. ....................................................................... 15 Figura 4: Mdulos del proyecto Sistema de gestin de seguridad soportado en TICpara realizar un aporte a la competitividad de las empresas de la regin. ............ 17 Figura 5: Anlisis paso a paso ISO/IEC 27001. .................................................... 18 Figura6:NmerodeempresascertificadasactualmenteISO/IEC27001en Colombia. .............................................................................................................. 24 Figura 7: Historia de ISO 27001 e ISO 17799. ...................................................... 27 Figura 8. Resultados de la pregunta No. 1 de la encuesta a expertos. ................. 45 Figura 9. Resultados de la pregunta No. 2 de la encuesta a expertos. ................. 45 Figura 10. Resultados de la pregunta No. 3 de la encuesta a expertos. ............... 46 Figura 11. Resultados de la pregunta No. 4 de la encuesta a expertos. ............... 47 Figura 12. Resultados de la pregunta No. 5 de la encuesta a expertos. ............... 48 Figura 13. Resultados de la pregunta No. 6 de la encuesta a expertos. ............... 49 Figura 14. Resultados de la pregunta No. 7 de la encuesta. ................................. 49 Figura 15. Resultados de la pregunta No 8 de la encuesta. .................................. 50 Figura 16: Proceso Gestin del Riesgo ISO/IEC 27005. ....................................... 65 9 ndice de Cuadros Cuadro 1: Relacin de pases certificados en ISO/IEC 27001. ............................. 25 Cuadro 2: Requisitos de Seguridad Prueba Piloto. ............................................... 87 Cuadro3:Identificacinyvaloracindeactivos,amenazasyvulnerabilidades sobre el procedimiento PR03.PE01. ..................................................................... 89 Cuadro 4: Estimacin de riesgos sobre el procedimiento PR03.PE01. ................. 91 Cuadro 5: Orden de Importancia de los activos y peso del sistema PR03.PE01. . 93 Cuadro 6: Anlisis de tratamiento de riesgos en PR03.PE01 ............................... 96 10 I.INTRODUCCIN En la bsqueda de la competitividad empresarial, es indispensable para cualquier compaagarantizarquesusprocesosdegestindelainformacinseanlo suficientementeefectivos,confiablesyorganizados,detalmaneraquesepueda prestarunserviciooentregarunproductoconcalidad.Paraestolascompaas debenvalerse delas metodologasymodelosaprobadosinternacionalmenteque promuevenunagestindelainformacinconseguridad,hacindose indispensableimplementarlosprocesosyprocedimientosnecesariospara alcanzar este objetivo. Un Sistema de Gestin de Seguridad de la Informacin (SGSI) es una herramienta quelepermiteaunacompaarealizarunacompletagestindelosriesgosque sepresentanenlaproduccin,procesamiento,almacenamientoyanlisisdela informacin,buscandomantenersiemprelascaractersticasdeConfidencialidad, Integridad y Disponibilidad con las que esta debe contar. La implementacin de un SGSI en cualquier compaa conlleva realizar una serie de actividades que deben ceirsealosealadoporelgrupodenormasISO/IEC27000,siendolaISO/IEC 27001 la que establece los requisitos para la certificacin, pero teniendo en cuenta las recomendaciones y mejores prcticas descritas en las dems. ComounapartedelproyectodenominadoSistemadegestindeseguridad soportado en TIC para realizar un aporte a la competitividad de las empresas delaregin presentadoanteColciencias porelgrupodeinvestigacinNyquist de la Universidad Tecnolgica de Pereira, se desarrolla este proyecto con el fin de brindaralasempresasdelareginunasguasquepermitaninterpretarms claramente lo que se menciona especficamente en el captulo SGSI de la norma ISO/IEC27001,enloreferentealagestindelosriesgos,abordandotodassus etapasyguiandoclaramentelospasosparalacorrectaimplementacindel sistema de gestin, de tal manera que se termine describiendo elCmo hacer lo solicitado en esta norma. 11 2.DEFINICIN DEL PROBLEMA Adiarioelnegociodelascompaasestamenazadoporriesgosinternosy externosqueponenenpeligrolaintegridaddelainformacinyporlotantosu xitoycompetitividad.Elcibercrimenyciberterrorismohoydasonamenazas latentes que algunos ven muy lejanas y que se cree no afectan las empresas de la nacin o de la regin. Enlaactualidadesrelativamentefcilparaunapersonateneraccesoa herramientasinformticasquelepermitenaccederainformacinconfidencialde unaorganizacinyaquegeneralmentestapermaneceensistemasde informacin como equipos y/o dispositivos de almacenamiento y es transmitida por redesdedatoseinternet.Losavancestecnolgicos,lafacilidaddeuso, disponibilidadenelmercadoylaaltacapacidaddecmputodelosequipos informticoshancontribuidoalaglobalizacindelaeconomayporlotantoa realizarnegociosdedistintasformasyanotradicionales,comoporejemplo comprasentiendasvirtualesocomercioelectrnico,realizadosinclusiveentre paseslejanosydediferentesculturasalrededordelplaneta.Sinembargo,esta situacinysuscaractersticastambinhanfacilitadoquesepresentenataques hacia la informacin corporativa, ya que aprovechando sus bondades, los ataques sonmaterializadosdeunaformamssofisticadaycadavezexigenmenor conocimiento del atacante gracias a las herramientas disponibles para este fin. Esta relacin se puede observar en la figura 1. 12 Figura 1: Relacin entre sofisticacin y conocimiento del atacante1 Aslascosas,losriesgosalosqueseexponehoydaunaorganizacinson nuevosymscomplejos,inclusivesepuededarelcasodesabotearel funcionamientodeunestadoatacandosusdiferentesfrentesyfuentesde informacin.Unclaroejemplodeestosedioparalaprimeravueltadelas eleccionespresidencialesenColombiaefectuadasel30demayode2010;el entoncesministrodedefensaGabrielSilvaLujndenunciunplandepiratas informticosparasabotearelconteodevotosascomopara atacarlaestructura informticadelpas.Enelmundocibernticonohayfronterasylosintereses terroristasnotienenfronteras,desafortunadamentecuandosetratadeatacaral pastambinensuestructurainformtica,dijoSilvaendeclaracionesa periodistas.Hemos detectadoquehayesfuerzosde'hackers'deotrospasesy enotrasjurisdiccionesqueestnbuscandoafectarnosololaRegistradurayel dadelaselecciones,sinopenetraryafectarlaseguridadinformticadelpas2, precis.

1AllenJuliaH.InformationSecurityasanInstitutionalPriority[Enlnea], [Consultado 14 de Diciembre de 2013] 2RevistaAmricaEconmica,PolticaySociedad[Enlnea][Consultado14 de Diciembre de 2013] 13 Otro ejemplo de ataques informticos que ha sufrido el pas, segn se public en el ao 2012, los ataques de la organizacin activista Anonymous dejaron fuera de serviciolaspginaswebdelMinisteriodelInteriorydeJusticia,elSenadoyla PresidenciadelaRepblica,GobiernoenLneayMinisteriodeDefensa,locual evidenciincapacidadenlaciber-defensanacionalparaenfrentarestetipode amenazasobligandoalgobiernoagenerarlineamientosdeunapolticadeciber seguridadyciberdefensaylacreacindelColCERTEquipodeRespuestasa Emergencias Informticas de Colombia, dependiente del Ministerio deRelaciones Exteriores3. Otros riesgos corresponden a la delincuencia organizada cuyo fin es lucrativo por medioderobodeinformacin,espionajeindustrial,suplantacindetarjetasde crdito,manipulacinoalteracindeinformacin,accesoainformacin confidencialyrobodecuentasbancariasenformamasiva;situacionesqueson mscomunesennuestromedio.Todoloanteriorpuedetenerorgenestanto internoscomoexternos,esdecir,empleadospropiosy/oclientes,proveedores, agentes particulares, etc. LacompaaS21secesunaempresaespecializadaenserviciosdeseguridad digital,fuefundadaenelao2000yesmiembrodelConsejoNacional Consultor sobre Cyber Seguridad (CNCCS), una organizacin privada que tiene como miembrosaPandaSecurity,S21sec,HispasecSistemas, SecuwareCybex, Amper, Telefnica, TBSecurity, Barcelona Digital Centro Tecnolgico, Universidad de Deusto Laboratorio S3Lab, Colegio Oficial de Ingenieros de Telecomunicacin (COIT) y AEDEL4. Su misin es poner a disposicin de las diversas organizaciones queoperanenEspaa,gubernamentalesono,elconocimientoyexperienciade susmiembrosenasuntosrelacionadosconlaciber-seguridadnacionaloglobal, con el fin de hacer ms segura Internet y las redes de Informacin. EstudiosrealizadosporS21secmuestranlaevolucindelosataquesysus motivaciones.

3 Ciberseguridad:Colombiaanteunataque.2012.[Enlnea]. [Consultado junio de 2013] 4 InformeanualdefraudeOnlineyCibercrimen2012,[Enlnea] [Consultado 14 de Diciembre de 2013] 14 Figura 2: Evolucin del cibercrimen5. El estudio realizado por esta compaa muestra que no hay cambios sustanciales en las amenazas a la seguridad de la informacin, pero s hay aumento del ritmo deocurrenciadelosincidentesdeseguridadusandolasmismasherramientas. Llamalaatencinlainnovacinenlosdelitosporinternetdondelasbandas organizadasbuscansacarelmayorprovechoeconmicoasusaccionesy concluye que se convierte en un riesgo mayor a empresas que no son objetivos de estos ataques pero s lasutilizan apoderndose de sus equipos de cmputo para lograrsusobjetivos.Estasempresasvctimaspuedenestarubicadasinclusoa nivelmundialyenpaseslejanosaldeorigendelataque.Tambinresaltael ataque a las personas con el fin de deshabilitar los controles de seguridad para el accesoalareddelacompaa,estoesmsfcilqueatacarlossistemasde seguridad. Por ltimo destaca el descubrimiento de nuevas vulnerabilidades a las aplicaciones,protocolosdecomunicaciones,sistemasoperativos,equiposde cmputo y controles que hace prever nuevos ataques. En otra lnea de problemas se hicieron pblicos algunos mtodos para descifrar comunicaciones GSM.

5 Informe anual de fraude Online y Cibercrimen 2012, [En lnea] [Consultado 14 de Diciembre de 2013] 15 Comosemuestraenlafigura3,losataquesprovienendediferentesfuentes: ataquesinternos,mercadosemergentes(pobrecooperacininternacional), herramientasdecolaboracin(ej.blogging),softwarerobots,malwareen dispositivos mviles. Figura 3: Orgenes de los ataques6. Comosemencionanteriormente,hayriesgosinternosyexternosasociadosa vandalismo o sabotaje como hackers, robos de identidad, spam, virus y espionaje entreotros,perotambinafectanlainformacinlosriesgosfsicoscomo incendios,inundaciones,terremotos,etc.Todoslosanterioresimpactanlostres principiosdelmanejodelainformacin:Confidencialidad,Integridady Disponibilidad y por supuesto la continuidad del negocio. Esimportantediferenciarentrelaseguridadinformticaylaseguridaddela informacin.Laprimeraeslaproteccindelainfraestructuratecnolgicayla segundahacereferenciaalosactivosdeinformacinconfidencialesquehacen valerlacompaaydansuxitoenelmercado,porejemplobasesdedatos, contratos, actas,etc; esdecir,estoseconsideraun activotanimportante parala

6IBMReport:SurgeinCRIMINAL-DRIVENCYBERATTACKS[Enlnea] [Consultado 26 de marzo de 2012] 16 organizacinascomorecursohumano,maquinaria,mueblesyenseres, utilidades, entre otros. Su presentacin puede ser de manera fsica o digital y debe tenerseencuentaquetieneunciclodevidayaquelosplanesestratgicos pueden hacer que pierda vigencia. La mejor manera para que una compaa opere de forma segura es proteger sus datosclavesconlaayudadeunSistemadeGestindeSeguridaddela Informacin (SGSI).Estesistemaestbasadoenprocesos,esdecirengestin deactividadesporpartedecadaunodelosintegrantesdelaorganizacinpara transformarunaentradaenunresultadopropiodecadareadetalmaneraque permita identificar, tratar y minimizar los riesgos que atenten contra la informacin delnegocioyporsupuestoestablecerlasmedidasdeseguridadnecesariasy controlesquepermitenmedirlaeficaciadetalesmedidas.Estesistemaes preventivo ya que permite anticiparse a los problemas y prepararse ante cualquier incidente de seguridad. Estaproblemticanoesajenaalaregin.Enunaentrevistaconcedidaaeste grupo por el Ingeniero Jos Albeiro Rodrguez Patio, gerente de la empresa C&C Consultores domiciliada en Pereira y con alta experiencia en sistemas de calidad, enlareginhansidopocaslasempresasquehanmostradointerspara implementar un SGSI. El ingeniero Jos Albeiro manifiesta que gracias a la masificacin de internet, a la competitividad y globalizacin econmica es comn la exposicin a varios tipos de riesgosqueafectanlainformacinycontinuidaddelnegocioenlascompaas locales, por ejemplo malware, virus, spam, sabotaje, suplantacin, robo y filtracin de informacin, ingeniera social, fallas elctricas, fallas en las copias de seguridad y restauraciones, inundaciones, entre otros. Loanteriorindicaquegranpartedelasempresasregionalesnocuentancon modelosdelosprocesosparahacertratamientoderiesgos,trazarobjetivosde control,establecercontrolesyrealizarunamedicindelaeficaciadetales controles que permita cumplir los requisitos de seguridad y proteger los activos de informacin.Sentidaestanecesidad,seplanteaesteproyectoparaquesirvade guaalasorganizacionesregionalesyasmodelarmetodolgicamentesus procesos relacionados con estos aspectos. Este es un trabajo derivado de un proyecto macro llamadoSistemadegestin de seguridad soportado en TIC para realizar un aporte a la competitividad de 17 lasempresasdelareginacargodelgrupodeinvestigacinNyquistdela UniversidadTecnolgicadePereira,lideradoporlaIng.AnaMaraLpez Echeverry y que ser desarrollado en varias etapas por estudiantes de pregrado y posgrado. Elproyectoexpuestoenestedocumentoseorientaamodelarlosprocesosde tratamiento deriesgosyseleccindeobjetivosdecontrolycontrolestratados en lanormaISO/IEC27001capituloSGSI,enlassecciones4.1-Requisitos Generales,4.2.1-EstablecimientoyGestin,4.2.2-ImplementacinyOperacin, 4.2.3-Seguimiento y Revisin y 4.2.4-Mantenimiento y Mejora del SGSI. Como se veenlafigura4,elproyectomacroconstadevariosmdulosloscualesanno estndesarrollados.Estetrabajobuscaimplementarespecficamentelasetapas ModelarlosprocesosparalaimplementacinyoperacindelSGSIenlas empresasyModelarlosprocesosdeseguimientoyrevisindelSGSIenlas empresas. Figura 4: Mdulos del proyecto Sistema de gestin de seguridad soportado en TICpara realizar un aporte a la competitividad de las empresas de la regin.7

7 Villa Snchez, Paula A. Definicin de procesos de auditora interna del sistema de gestin de seguridad de la informacin soportado en TIC. Pereira (Rda). Universidad Tecnolgica de Pereira, 2011. 18 Como lo demuestra la figura 5, el anlisis paso a paso de los requerimientos de la normaylaelaboracindeunagrficaaescaladecumplimientodeloscinco requisitosexigidosporlanormaISO/IEC27001,brindarunaideadequtan avanzado se encuentra el SGSI y permitir determinar si la previsin de recursos y compromiso de la alta direccin estn al nivel exigido. Figura 5: Anlisis paso a paso ISO/IEC 270018.

8 Norma Tcnica Colombiana NTC-ISO/IEC 27001. 19 3.JUSTIFICACIN Cualquierempresa,sinimportarsunaturaleza,nmerodeempleados,ubicacin geogrfica,etc.realizaactividadessimilarescomoprocesarinformacin, clasificarlacomoconfidencialyporlotantoprotegerla;seexponeariesgosde seguridadyriesgosfsicosyhacenalgunagestinalrespecto.Separtedela premisadequelainformacinestalvezelactivomsvaliosodeuna organizacin.Lainformacinpuedeseralmacenadaendiferentesformascomo fsica, digital e incluso se considera el conocimiento como parte de sta. Lainformacinpuedesertransmitidadediferentesformasincluyendo verbalmente.Deunaformaespontneaydescuidadapodemosexponereste activo con las actividades diarias, contratos, cotizaciones, acuerdos de niveles de servicio,llamadastelefnicas,correoelectrnico,reunionesconparticulares, tratamientodetemasinternosenreaspblicas,manejodeimpresionesypapel reciclable,copiadecorreoselectrnicos apersonasnorelacionadasconeltema aunquehagapartedelacompaaentremuchasotras.Estassituacionesse presentansirvindosetambindelatecnologa,computadores,servidores, aplicaciones, internet, etc. Lasorganizacionesposeeninformacinquesedebeprotegerantetodoriesgoy amenaz;estoesunactivo.Unaamenazaesuneventooincidentedeseguridad que aprovecha una debilidad o vulnerabilidad y que afecta los activos. Exponer un activo a que una amenaza se materialice conlleva a riesgos que podran afectar el buendesempeodelaorganizacin.Enunprocesodegestinytratamientode riesgos se establecen controles, procedimientos o mecanismos que disminuyen el impacto o la probabilidad de ocurrencia del incidente, se determina el impacto y se identificanreasoprocesosquedebenimplementarcontroles9.Las organizaciones deben ser conscientes que es imposible eliminar completamente el riesgo y que siempre quedar algo residual. Elanlisisderiesgodebecubrirtodoslosrequerimientosdeseguridaddela organizacinylasexpectativasdelaspartesinteresadas,esdecir,enla elaboracin del mapa de riesgos deben participar los representantes de cada rea

9INTECO S.A. SGSI en una organizacin. [En lnea] [Consultado 8 de Septiembre de 2013] 20 y estos a su vez deben haber consolidado previamente con su equipo de trabajo y con una metodologa definida previamente, un barrido completo de sus actividades y procesos identificando y clasificando as los de impacto relevante como tambin aquellos que se van a asumir y mantener en niveles aceptables. De igual forma se deben tener en cuenta los recursos econmicos, tcnicos y humanos con losque cuenta ya que las inversiones deben ser proporcionales al valor de la informacin que se protege10. Esteprocesoapoyalatomadedecisionesyplandeaccinantedesastresy continuidad del negocio y adems permite conocer el impacto econmico, legaly operativo ante una falla de seguridad; debe estar detalladamente documentado de talformaquehayaresultadosquecompararamedidaqueavanzaelSGSIpara conseguir los niveles de seguridad esperados. Elanlisisderiesgossebasaenelinventariodeactivos.Estossepueden clasificarsegnvariasmetodologasdeanlisisygestinderiesgos,algunasde ellassonISO/IEC27005oMAGERIT.MAGERITfueelaboradaporelConsejo SuperiordeAdministracinElectrnicadeEspaa,acrnimode"Metodologade AnlisisyGestindeRiesgosdelosSistemasdeInformacindelas Administraciones Pblicas"11, los clasifica en10 grupos: Servicios. Procesos de negocio ofrecidos al exterior o interior. Datos e informacin. Aplicaciones de software. Equipos informticos. Personal. Incluye personal interno, subcontratado, clientes, etc. Redes de comunicaciones. Redes propias o subcontratadas de soporte para transmitir informacin. Soportesdeinformacin.Soportesfsicosquepermitenalmacenarla informacin durante largos periodos de tiempo. Equiposauxiliares.Soportealossistemasdeinformacinquenoestn incluidos en otros grupos, por ejemplo telfonos, fax, impresoras, cortadoras de papel, aire acondicionado, instalaciones. Edificios donde se alojan los sistemas de informacin, oficinas, vehculos.Intangibles. Imagen o reputacin de la empresa.

10 Modelo PHVA. Norma Tcnica Colombiana NTC-ISO-IEC 27001 11INTECO S.A. SGSI en una organizacin. [En lnea] [Consultado 8 de Septiembre de 2013] 21 Lo anterior indica que se debe realizar un inventario que identifique y clasifique los activosdeinformacincomotambinlosriesgosasociadosaestos,obteniendo assudescripcin,ubicacinydueo.Cadareadelaorganizacinesquien conocemuybiensusactivosporlotantodebenserquienesdefinanelnivelde seguridadrequeridoparaeste.Elenfoquedeprocesostomaentradasyproduce resultadoscomosalidas,estoquieredecirquelosactivostambinserelacionan entre s estableciendo dependencias. La idea es dibujar un rbol de dependencias que permita encontrar los procesos afectados por la materializacin del riesgo en uno o varios de ellos. Este inventario facilitar la valoracin de los activos con ms importanciaenelnegocioydelimpactoqueunataquesobresteocasioneala organizacin. LaimplementacindeunSGSIbasadoenlafamiliadenormasISO/IEC27000 permite a la organizacin el ordenamiento de sus procesos y por lo tanto se logra identificar ms fcilmente cules son las actividades crticas y que pueden generar mayor impacto en caso de materializacin de un riesgo. Se supone un xito del SGSI cuando se involucra toda la organizacin liderada por laaltadireccindebidoaqueeslaqueconocelanaturalezadelnegocio,las tendenciasenelmercado,fortalezasydebilidadesyasurecursohumano, ademsesquientieneelpoderdeinyectarcambiosculturalesydirectrices necesariasparaelbuenfuncionamientodelsistema,porlotantodebeser involucradotodoelorganigramaoperacional.Tambincontribuyenalxito,la conciencia de todo el personal por la seguridad de la informacin, que haya lideres frentealtemayquelasresponsabilidadesnoseancompartidasoglobales, involucrar a los agentes externos y fortalecer valores sociales. LosbeneficiosqueunaorganizacinesperaalimplantarunSGSIsonminimizar losriesgoshastaunnivelasumible,usoracionaldelosrecursos,ahorrosen inversiones por recuperacin de desastres, cumplimiento de leyes que la protegen asmismacomoasusclientesyproveedoresycontarconunciclodevida Planear-Hacer-Verificar-Actuarparaelmanejodelaseguridad.Tambinse obtieneunadiferenciacinenelmercadolograndomayorcompetitividady finalmente el cumplimiento de objetivos. Esteproyectopermitirahorrarpartedeloscostossobreconsultoraspara implementarunSGSIenlaorganizacindadoquesebuscamodelarprocesos paragestionarelriesgoyloscontrolesnecesariosbasadosenlosrequisitos establecidos por la familia de normas tcnicas ISO/IEC 27000. 22 Haciendo un anlisis cualitativo, el impacto econmico para cualquier organizacin esalto, es decir,aplicandounametodologadegestindelriesgo yseleccin de controles,lascompaastendrnunahorrodecostosporelusoracionalde recursosensuimplementacinyofrecerelequilibrioentreloscostosdelos controles y su efectividad. No habr inversiones innecesarias. Laproteccindetodoslosactivosdeinformacinidentificadosenelprocesoes otrobeneficioquegarantizalaoperaciny,porlotanto,lainversinysus ingresos, as como tambin contribuye a la continuidad del negocio. Porotroladosecumplirelaspectolegal.Lasorganizacionesdisminuirnla probabilidad deverse involucradaseninvestigaciones,reclamaciones,demandas o indemnizaciones por parte de sus clientes y/o proveedores ya que por ejemplo, serespetarnsusderechostratandounriesgocomodivulgacindeinformacin no autorizada, aunque tal vez sea no intencionada. Apuntando hacia un SGSI, las organizaciones mejorarn la competitividad y sern mejor calificadas por sus clientes y/o proveedores ya que sern ms confiables y proyectarn una imagen slida y segura. Elproyectoserfuenteparaelcambioculturalenaspectosdeseguridaddela informacinyaqueposiblementeinfluencielapoblacindeinterspara transformarlaseguridadenunaactividaddegestin,inclusopodrasertilpara aplicarlos en la vida particular de las personas. Dadalapocapenetracindeestetipodesistemasenlasorganizacionesdela regin, este proyecto se puede convertir en un buen punto de partida para nuevas investigaciones tanto acadmicas como empresariales relacionadas con la gestin deriesgos,loquesetraduceenunaporteinvestigativoimportante,acortandoel camino hacia la implementacin y conocimiento de los SGSI en la regin. 23 4.OBJETIVOS 4.1OBJETIVO GENERAL Modelar los procesos para gestionar el riesgo y seleccionar controles en la implementacindelsistemadegestindeseguridaddelainformacinen las organizaciones. 4.2OBJETIVOS ESPECFICOS Establecerunagua de identificacin yevaluacinpara el tratamiento de los riesgos. Establecerunaguaparaseleccionarlosobjetivosdecontrolylos controles,ascomoelprocesoaseguirparasuaprobacindentrodela organizacin. Establecerunaguaquepermitamedirlaeficaciadeloscontrolespara verificar que se han cumplido los requisitos de seguridad. Disearunprocesoquefacilitelarevisinyvaloracindelosriesgosa intervalos planificados y revisar el nivel de riesgo residual y riesgo aceptable identificado,teniendoencuentaloscambiosenlaempresa,asegurando queelalcancesigasiendosuficienteyqueseidentifiquenmejorasal sistema de gestin de seguridad de la informacin. 24 5.MARCO REFERENCIAL 5.1MARCO DE ANTECEDENTES SegnlaOrganizacinInternacionaldeEstandarizacinISO,enColombiahay 82 compaas certificadas en ISO/IEC 27001. Figura 6: Nmero de empresas certificadas actualmente ISO/IEC 27001 en Colombia.12

12International Organization Standardization. [En lnea] [Consultado 27 de junio de 2014] 25 Igualmente,sepuedecompararelcomportamientodeColombiafrenteaotros pasessegnestenmerodecertificacionesobtenidas,notndosequeanivel suramericano Colombia ha mostrado un adelanto importante en la aplicacin de la norma, estando al nivel de Brasil y por encima de pases como Argentina y Chile, confirmandoasmismoquelasgrandeseconomasmundialesapuestan seriamenteporlaobtencindeestetipodecertificaciones,encontrandoaslos nmeros que se muestran en la tabla nmero 1.

Cuadro 1: Relacin de pases certificados en ISO/IEC 2700113. Nmero de Certificaciones obtenidas en ISO/IEC 27001 a 2013 PasTotal Japn7084 India1931 Reino Unido1923 China1710 USA 566 Colombia82 Brasil82 Argentina40 Chile24 LaCompaaUNEEPMTelecomunicacioneseslaprimeraOrganizacinen Colombia y sextaen Amrica Latina en certificarse enISO/IEC 27001:2005 el 19 de Octubre de 2009.14 En la regin, algunas organizaciones son conscientes de la necesidad del modelo, sinembargonoesposibledeterminarconexactitudelnmerodeempresas certificadasenISO/IEC27001enRisaraldaporcuantoesdifcilencontrar informacinenentidadescertificadorascomoICONTEClacualnoofreceesta informacinatravsdesupginaweb,ascomotampocoelRegistro Internacionaldeorganizacionescertificadas enISO 27001a nivelmundial alque

13 International Organization Standardization. [En lnea] [Consultado 27 de junio de 2014] 14 UNE Telecomunicaciones.[En lnea] [Consultado 17 de Septiembre de 2013] 26 se accede por la pgina web www.iso27001certificates.com, ya que se encuentra fuera de servicio. Comoseobservaenlafigura6,laadopcindelestndarISO/IEC27001enel pasestapenasendesarrolloycomolomencionaelIngenieroJosAlbeiro RodrguezPatio,enlaentrevistacitadaenelcaptulo2,sonlasgrandes organizaciones quienes tienen la iniciativa pero eso no indica que las pequeas y medianasempresasnolopuedanimplementar.Tambinesnotablequela mayoradeorganizacionespropiasdelareginqueadelantanelmodelodeun SGSI, son sucursales de una sede central ya aquellas de origen netamente local no se les nota esta iniciativa. 5.2MARCO TERICO La norma tcnica ISO/IEC 27000 est enfocada en procesos, toda la organizacin se ve involucrada en su implementacin en lo que a cada una le corresponde de tal manera que la suma de cada uno de los esfuerzos individuales, apoyados por la gestin y direccin de las personas que lideran el proceso, termine formando un SGSIquelogreejecutartodaslasactividadesdeadministracinderiesgos incluyendo la creacin de medidas ante tales riesgos y los controles para evaluar la efectividad de tales medidas. LaBSI(BritishStandardsInstitution)desde 1901hasidolaprimeraorganizacin de certificacin a nivel mundial, ha publicado normas como:15 BS 5750, ao 1979 - ahora ISO 9001. BS 7750, ao 1992 - ahora ISO 14001. BS 8800, ao 1996 - ahora OHSAS 18001. La norma BS7799 se public en 1995 con el fin de recomendar buenas prcticas para la gestin de la seguridad de la informacin. Esta fue adoptada por ISO en el ao 2000, como ISO 17799.

15 ISO 27000 en Espaol, [En lnea] [Consultado 15 de Septiembre de 2013] 27 En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se publicporISOcomoestndarISO27001,altiempoqueserevisyactualizISO 17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007manteniendoelcontenidoascomoelaodepublicacinformaldela revisin. En Marzo de 2006, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin16. Lafigura7muestracmohaevolucionadoatravsdelahistoriaelconjuntode cdigosdemejoresprcticasparausuariosdelossistemasdeinformacin,que nacieron en el Centro de Seguridad de Informtica Comercial del Reino Unido en 1989, pasando por diferentesorganizacionesinternacionalesque fueronpuliendo tales cdigos hasta convertirlos en lo que hoy se denomina Estndar Internacional ISO/IEC 27000. Figura 7: Historia de ISO 27001 e ISO 17799.17

16ISO27000enEspaol,[Enlnea]p.3. [Consultado 15 de Septiembre de 2013] 17 LPEZ Neira, Agustn -RUIZSpohr, Javier. [En lnea] [Consultado 15 de Septiembre de 2013] 28 LafamiliadenormasISO/IEC27000sondeaplicacinvoluntariaperosuusoa nivel mundial facilita las relaciones comerciales entre compaas internacionales y aumentalacompetitividadenelmercado,tambinayudaamejorarlacalidady productosofrecidosyaqueesteestndarinternacionalproveeunmodelopara establecer, implementar, operar y mantener un SGSI basado en los objetivos de la compaa,requisitos,requerimientosyexpectativasdeseguridadindependiente deltamao,estructurayrazndeserdelnegocio18.Elmodeloincorporalas mejoresprcticasyrecomendacionesdeexpertosqueconformanelcomit ISO/IEC JTC 1 SC 27 y que han reunido sobre el tema a nivel mundial19. ISO/IEC 27000contienetrminosydefinicionesqueseemplean entodalaserie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin20. ISO/IEC27001eslanormaprincipaldelaserieycontienelosrequisitosdel sistemadegestindeseguridaddelainformacin.EnsuAnexoA,enumeraen formaderesumenlosobjetivosdecontrolycontrolesquedesarrollalaISO 27002:2005. ISO/IEC27002esdesdeel1deJuliode2007,elnuevonombredeISO 17799:2005,manteniendo2005comoaodeedicinyactualmenteesten revisinlaversin2013.Esunaguadebuenasprcticasquedescribelos objetivosdecontrolycontrolesrecomendablesencuantoaseguridaddela informacin.Noescertificable.Contiene39objetivosdecontroly133controles, agrupados en 11 dominios en la versin 2005 vigente y 14 dominios, 35 objetivos decontroly111controlesenlaversin2013enrevisin.Apesardenoser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. ISO/IEC27003,Publicadael1defebrerodel2010.Esunaguade implementacin de SGSI e informacin acerca del uso del modelo PHVA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma

18INTECO S.A. SGSI en una organizacin. [En lnea] [Consultado 14 de Septiembre de 2013] 19INTERNATIONALORGANIZATIONFORSTANDARDIZATION-ISO/IEC270002009.Information technologySecuritytechniquesInformationsecuritymanagementsystemsOverviewand vocabulary.2009. 20INTECO S.A. SGSI en una organizacin. [En lnea] [Consultado 14 de Septiembre de 2013] 29 BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO/IEC 27004. Publicada el 7 de diciembre del 2009. Especifica las mtricas y las tcnicasdemedidaaplicablesparadeterminarlaeficaciadeunSGSIydelos controlesrelacionados.Estasmtricasseusanfundamentalmenteparala medicin de los componentes de la fase Hacer del ciclo PHVA. ISO/IEC27005.Publicadaenjuniode2008.Establecelasdirectricesparala gestindelriesgoenlaseguridaddelainformacin.Apoyalosconceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar alaaplicacinsatisfactoriadelaseguridaddelainformacinbasadaenun enfoquedegestinderiesgos.Elconocimientodelosconceptos,modelos, procesos y trminos descritos en las normas ISO/IEC 27001 e ISO/IEC 27002, es importante para un completo entendimiento de la norma ISO/IEC 27005:2008 que es aplicable a todo tipo de organizaciones. ISO/IEC27006.Esunaguaparaauditaral SGSI.Seencuentraenpreparacin.Especificalosrequisitosparalaacreditacindeentidadesdeauditoray certificacin de sistemas de gestin de seguridad de la informacin21. ISO/IEC 27007 Consiste en una gua de auditora de un SGSI. ISO/IEC 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002).Especificaunconjuntodetalladodecontrolesydirectricesdebuenas prcticasparalagestindelasaludylaseguridaddelainformacinpor organizaciones sanitarias de salud22. De igual manera se adelantan normas para sectores especficos: ISO/IEC 27011, requisitos para telecomunicaciones elaboradas conjuntamente con la ITU (Unin Internacional de Telecomunicaciones)23.ISO/IEC 27012 requisitos para la industria automotriz.

21ISO27000enEspaol,[Enlnea]p.5. [Consultado 15 de Septiembre de 2012] 22 Ibd., p. 5. 23 Ibd., p. 5. 30 ISO/IEC 27013 requisitos para la asociacin mundial de loteras. ISO/IEC 27014 requisitos para sistemas de informacin en los transportes.ISO/IEC 27031 es una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones.ISO/IEC 27032 una gua relativa a la ciber-seguridad. ISO/IEC 27033 Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante Gateway, acceso remoto, aseguramientodecomunicaciones enredes medianteVPNsydiseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y re numeracin de ISO 18028. ISO/IEC 27034. Es una gua de seguridad en aplicaciones. 5.3MARCO CONCEPTUAL24 Aceptacin del riesgo: Decisin de asumir un riesgo. Activo: Cualquier cosa que tiene valor para la organizacin. Anlisisderiesgo:Usosistemticodelainformacinparaidentificarlas fuentes y estimar el riesgo. Confidencialidad:Propiedadquedeterminaquelainformacinnoest disponible ni sea revelada a individuos, entidades o procesos no autorizados. Disponibilidad:Propiedadquedefinequelainformacinseaaccesibley utilizable por solicitud de una entidad autorizada. Evaluacindelriesgo:procesodecompararelriesgoestimadocontra criterios de riesgo dados, para determinar la importancia del riesgo.

24INTERNATIONALORGANIZATIONFORSTANDARDIZATION-ISO/IEC270002009.Information technology Security techniques Information security management systems Overview and vocabulary. 2009. 31 Eventodeseguridaddelainformacin:presenciaidentificadadeuna condicin de un sistema, servicio o red, que indica una posible violacin de la polticadeseguridaddelainformacinolafalladelassalvaguardas,ouna situacin desconocida previamente que puede ser pertinente a la seguridad. Gestindelriesgo:actividadescoordinadasparadirigirycontrolaruna organizacin en relacin con el riesgo. Incidentedeseguridaddelainformacin:un evento o serie de eventos de seguridaddelainformacinnodeseadosoinesperados,quetienenuna probabilidadsignificativadecomprometerlasoperacionesdelnegocioy amenazar la seguridad de la informacin. Integridad:propiedaddesalvaguardarlaexactitudyestadocompletodelos activos. Riesgo residual: nivel restante de riesgo despus del tratamiento del riesgo. Seguridaddelainformacin:preservacindelaconfidencialidad,la integridad y la disponibilidad de la informacin; adems, puede involucrar otras propiedadestalescomo:autenticidad,responsabilidadconobligacinde reportar (accountability), no repudio y fiabilidad. Sistemadegestindelaseguridaddelainformacin:SGSIpartedel sistemadegestinglobal,basadaenunenfoquehacialosriesgosdeun negocio,cuyofinesestablecer,implementar,operar,hacerseguimiento, revisar, mantener y mejorar la seguridad de la informacin. Tratamientodelriesgo:procesodeseleccineimplementacindemedidas para modificar el riesgo. Valoracin del riesgo: proceso global de anlisis y evaluacin del riesgo. 32 5.4MARCO LEGAL Hoydasoncadavezmsfrecuenteslastransaccionesqueserealizanpor medioselectrnicos,pagodeserviciospblicos,obligacionesfinancieras,etc.La educacinesapoyadaconplataformastecnolgicasqueexigeninteraccina travsdeinternet.Deigualformaelsectorcorporativohaextendidosus operaciones gracias a la interconexin al mundo a travs de internet. El mercado es cada vez ms competitivo y los riesgos expuestos anteriormente son cada vez mayores y complejos. Estosriesgos,entremuchosms,incluyenroboselectrnicos,suplantacinde identidades (phishing), piratera, sabotaje, malware, etc. El pas no es ajeno a esta realidad,portalmotivoelMinisteriodeDefensaNacionalpormediodela resolucin 2057 del 15 de junio de 2007 defini que la direccin de Investigacin CriminaldelaPolicaNacionaltratarlainvestigacindelostemasdeciber seguridad y ciber defensa a travs del Grupo Investigativo de Delitos informticos conelfindepreveniryatenderestetipodecasos.Elgrupomantiene comunicacinconagenciasinternacionalesparadesarrollarlosprocesos judicialesydesactivarlaspginasogrupos quegeneran algn tipodeamenaza. Como apoyo a esta tarea, la Polica Nacional ha dispuesto del Centro Ciberntico Policialparalaatencindedenunciasdedelitosrelacionadosconlaciber seguridad. Porotrolado,antesdelao2009nohabaunaleyquecastigaralosdelitos informticos, se contaba con la Constitucin Poltica Colombiana en el artculo 15 donde se promueve la intimidad personal y familiar, la Ley Estatutaria 1266 del 31 de Diciembre de 2008 que regula la informacin contenida en las bases de datos25, lacircular052expedidaporlaSperIntendenciaFinancieraquedicta requerimientosmnimosdeseguridadparaelmanejodeinformacinalas entidades que vigila26, la ley 527 del 18 de Agosto de 1999 donde se reglamenta el acceso y uso de los mensajes de datos, comercio electrnico y firmas digitales27.

25 LEYESTATUTARIA1266DEL31DEDICIEMBREDE2008,[DocumentoEnlnea] [Consultado 21 de Septiembre de 2012] 26SuperintendenciaFinancieradeColombia.Boletn76de26/10/2007.[Enlnea] [Consultado21 de Septiembre de 2013] 27 LEY 527 DE 1999, [Documento En lnea] [Consultado21de Septiembre de 2013] 33 El 5 de Enero de 2009 el Congreso de la repblica aprob la Ley 1273 Por medio delacualsemodificaelcdigopenal,secreaunnuevobienjurdicotutelable denominadoDelaProteccindelaInformacinydelosDatos-ysepreservan integralmentelossistemasqueutilicenlastecnologasdelainformacinylas comunicaciones entre otras disposiciones. LaLey1273cobijaelaccesoabusivoyobstaculizarunsistemainformtico, interceptar datos, dao informtico, uso de software malicioso, violacin de datos personales,suplantacindesitiosweb,entreotrasyconsiderasituacionesde mayor punibilidad. Aunquehayunapobrecolaboracininternacional,existenesfuerzosque despiertanlainquietuddelasociedaddelainformacin,taleselcasodela cumbre mundial realizada sobre el tema en Ginebra 2003 Tnez 2005 donde se resalta el llamado a la confianza en la utilizacin de las TIC como se indica en la resolucin57/239delaAsambleaGeneraldelasNacionesUnidasmediante conciencia y colaboracin internacional. Por otro lado se destaca la importancia de enjuiciarlaciber-delincuenciadondeseinstaalosgobiernosaquepromuevan leyes que lo hagan posible respetando los marcos vigentes, como por ejemplo las resolucionesdelaAsambleaGeneraldelasNacionesUnidas55/63y56/121 sobrelaLuchacontralautilizacindelatecnologadelainformacinconfines delictivos y el Convenio sobre el Delito Ciberntico del Consejo de Europa28.

28 CumbreMundialsobrelaSociedaddelaInformacin.Documento:WSIS-05/TUNIS/DOC/6(Rev.1)-S[En lnea] > [Consultado 24 de Septiembre de 2013] 34 6.DISEO METODOLGICO 6.1HIPTESIS Serposibledefinirguasdeprocesosparaeltratamientodelosriesgos, establecimiento de objetivos de control y controles que permitan medir sueficacia, segn los requisitos definidos en la norma ISO 27001, y quepuedan ser utilizadas por cualquier organizacin? 6.2TIPO DE INVESTIGACIN La investigacin utiliza un mtodo deductivo y analtico y se clasifica como de tipo descriptiva y explicativa. 6.3METODOLOGA Inicialmente,serealizaruncompletoestudioyanlisisdelgrupodenormas ISO/IEC 27000. ParamodelarprocesosseutilizarnherramientasinformticascomoBizzagi,la cual es un software para administrar procesos de negocios. Por otro lado, se complementar y ajustar informacin a los procesos mediante la implementacin de un escenario piloto en una organizacin de la regin buscando as aplicarlo en condiciones reales del mercado. Para tratar la gestin del riesgo se aplicar la metodologaISO/IEC 27005 y para seleccionar e implementar los controles buscando garantizar la reduccin de estos hasta un nivel aceptable se aplicar la ISO/IEC 27002, teniendo en cuenta que es posible incorporar directrices adicionales propias relacionndolas a los numerales de la norma de tal forma que sean validados por las entidades certificadoras. 35 SebuscarapoyoconexpertosenSGSIdelareginotemasafinesennormas ISO. 6.4 POBLACIN Elproyectoestdirigidoinicialmenteaunaempresadelareginmedianteuna pruebapilotodondesebuscavalidarquelaimplementacindelasguas propuestasenesteproyectopermitanimplantarelSGSIenlaorganizacin.De igualmaneraestenfocadoengeneralalsectorempresarialdelareginsin importarsuactividadeconmicayquemediantelasimulacinpuedaanticipary mejorar sus procesos encaminndose desde un principio hacia una consultora y/o auditora. Deigualforma,lainvestigacinesdeintersparalapoblacinuniversitariade pregradoyposgrado,paraquienesdeseenestudiarelgrupodenormasypara quienes desarrollen proyectos relacionados. 36 7. PROCESO DE DISEO Y CONSTRUCCIN DE LA GUA Acontinuacinsedescribeelprocesomedianteelcualsediseyconstruyla gua propuesta para gestionar el riesgo. 7.1CONSTRUCCIN DE LA GUA. 7.1.1.Consideraciones previas. Parallevaracaboelprocesodeconstruccindelagua,enprimerlugarse definieron los parmetros a cumplir. Dado que las normas sobre gestin del riesgo estn orientadas al cumplimiento de requisitos y recomendaciones generales y no son una metodologa detallada que indique cmo hacer las actividades propias, se inicidefiniendounahiptesisacomprobarbuscandoqueunaguaestructurada sirviera de interpretacin de las normas y permitiera una gestin integral del riesgo paracualquiertipodeorganizacin.Luegoseplantequetalguasebasaraen unametodologaestandarizadainternacionalmente,porelloseestablecicomo soporte la familia de normas ISO/IEC 27000 pero incorporando recomendaciones de otras igualmente normalizadas. Seestableciquelainvestigacinsobreeltemautilizaraunmtododeductivoy analticoconnarracindetipodescriptivayexplicativasoportadaademsconel aporte de expertos en la materia y la experiencia de los autores. Tambin se concibi que la gua no slo ofreciera una metodologa para tratar el riesgosinoqueenfocaralosprocesosbajounSistemadeGestindeSeguridad de la Informacin (SGSI) como herramienta de gestin integral para los activos de informacinyasmantenerlosprincipiosdeConfidencialidad,Integridady Disponibilidad.SepenslaguaparacumplirlosrequisitosdeISO/IEC27001y abrirelcaminohaciaunacertificacinenseguridaddelainformacin.Fueas comosetrazaronlosobjetivosparaidentificar,evaluarytratarlosriesgoscomo tambinseleccionarlosobjetivosdecontrolyloscontrolesdandoinsumospara medir su eficacia en el cumplimiento de requisitos de seguridad. 37 La metodologa fue pensada para exigir en todo momento el compromiso de la alta direccinparatomardecisionesyaprobarresultados.Seasignanfuncionesy responsabilidadesaestayalgrupoquelideralatareadegestinderiesgos, buscando la participacin de todas las reas del mapa de procesos incluidos en la gestin. Setrazlaideaquedebaofreceralmercadodelaregin,unaherramientade aplicacinprcticaparainterpretarclaramenteenlasnormasISO/IEC27000y apoyarlafase Planearenlaimplementacinde unSGSI,incorporandode forma fcileinmediata,aspectosparticularesdelasactividadespropiasdecada organizacin en la gestin del riesgo. Este mtodo para gestionar el riesgo incluye el cumplimiento de aspectos legales para protegerse a s mismo como tambin a clientes, proveedores y terceras partes. Paralafasedediseoyconstruccindelaguaseiniciconunestudiodel problemaanivelmundialsobrelosriesgosquesepresentanparalosactivosde informacinyseenfocprogresivamentehaciaelpasylareginencuya instanciaademsseestableciquegranpartedelasempresaslocalesno cuentan con modelos de los procesos para hacer gestin de riesgos. Seinvestigaronlasamenazasdesdelasmssimplescomoelcdigomalicioso, pasandoporingenierasocialyllegandoinclusohastacibercrimeny ciberterrorismo, abordando el impacto negativo hacia los resultados del negocio en trminoseconmicos perotambincuantitativosenaspectos deimagen,legales, etc.Seevidencienlosestudiosrealizadosqueesrelativamentefcilparauna persona realizar ataques informticos a datos confidenciales de una organizacin graciasalosavancestecnolgicosylafacilidaddeusoydisponibilidadenel mercadodeestasherramientas.Cadavezlosatacantesrequierenmenos conocimiento en el tema. Seencontrquelasamenazassoninnumerables.Lasrelacionadascontemas informticos cada ao son ms pero sin cambios sustanciales, con una tendencia afraudesconfineseconmicosmediantesoftwaremalicioso,ingenierasocialy apoderamientodeequiposdeformaremotaparaprocesarinformacinconfines delictivos.Sedestacatambinelempeodelosatacantesenencontrarlas vulnerabilidadesaaplicativos,sistemasoperativosyprotocolosde comunicaciones que permitan efectuar los ataques. 38 Porotrolado,sedetectqueamenazasdeotrascategorascobranmucha importancia y pueden materializar riesgos como inundaciones, cortes energticos, incendios,indisponibilidaddecomunicaciones,etc.Debidoaloanterior,lagua haceunnfasisenlavaloracindelriesgo,especialmenteenlametodologadeidentificacin de activos haciendo un amplio y detallado anlisis en su clasificacin eidentificandosusresponsablesparaobtenerunavaloracincuantitativay cualitativaadecuada.Estavaloracinesaprobadaensegundainstanciaporel dueo del proceso y el grupo SGSI Gestin del riesgo y avalada finalmente por la alta direccin. Juntoconelanlisisdeestadsticashistricassobreeventosoincidentesde seguridadocurridossobrelosactivosdeinformacin,laguafacilitala identificacinyvaloracindeamenazasyvulnerabilidadesdandofuentespara ubicarlasyactualizarlasyporlotantopermitiendovalorarlosescenarios incidentes dada su combinacin. Se realiz un completo estudio y anlisis del grupo de normas ISO/IEC 27000 y se buscunmarcogenrico,metdicoydetalladoquepermitaelcumplimientode requisitosyrecomendaciones.DeISO/IEC27000setomaelmarcotericodel SGSI y la descripcin del cicloPHVA y se alinean los conceptos a los trminos y definiciones que incorpora. Cada actividad de la gua aporta al cumplimiento de los requisitosdefinidosenISO/IEC27001paraestablecer,implementar,operary monitorearelSGSIincluyendodocumentosyregistrosmnimosquedebe contener para evidenciar el grado de funcionamiento del sistema. 7.1.2.Construccin de etapas del proceso de gestin del riesgo. MedianteeldiagnsticoinicialdelSGSIenlaorganizacin,laguaestablecela formadeanalizarelcumplimientodelafasePlaneardelanormafrentealo implementado,estoesfundamentalparaestablecerloscriteriosdegestindel riesgo.Tambinseorientaamodelarlosprocesosdetratamientoderiesgosy seleccindecontrolestratadosenelcaptuloSGSI,enlasseccionesde RequisitosGenerales,EstablecimientoyGestin,ImplementacinyOperacin, SeguimientoyRevisinyMantenimientoyMejoradelSGSI.Laelaboracindel contextoseapoyatambinenelprocesodegestindelriesgoeincorporalos criteriosparaseleccionarlosobjetivosdecontrolycontrolesloscualeshacen parte del numeral 4.2.1 del estndar. 39 LametodologaparagestionarelriesgosesoportaenISO/IEC27005dondese conserva el ciclo PHVA desde la definicin de criterios en el contexto, incluyendo losnivelesparatomardecisionesenelflujogramadeactividadeshastala actualizacinderesultadosatodaslaspartesinteresadas;yelmonitoreoy revisin constante de niveles del riesgo. La metodologa es cclica con decisorios y conexiones entre fases que permiten redefinirse segn los criterios definidos en el contexto.Consecuenteconesto,setomanlasrecomendacionesdeISO/IEC 27002 para escoger objetivos de control y controles dando un orden especfico de prioridadycrucedefactorcomnensuseleccinpararacionalizartiempoy costos facilitando las decisiones para el tratamiento de riesgos. Parafacilitarelmanejoycompresindelagua,seestableciunaestructura agrupandoactividadesencuatroetapasquecorrespondenalosobjetivosdel proyectoyalfinalenanexoaldocumento,unadescripcindetalladadecmo ejecutarcadaactividaddetalformaqueelusuarioestarsiempreubicadoy enfocado a lo largo del proceso. Cada actividad de la gua tiene tres componentes: Requisitospreliminares,AccinyResultados.LaAccinbrindainstrucciones puntualessobrecmoalcanzarelobjetivodelafase.LosResultadossirvende insumoalasiguientefaseindicandoculessedebenobtenerycmo documentarlos y almacenarlos. Laguafuediseadaconunenfoquesistemticobasadoenprocesos, incorporandomejoracontinua,iniciandoconlaplaneacindecriteriosy actividadespreviasalagestindelriesgocomotal.Enestepuntoseincluyeun diagnsticoinicialdelaorganizacinfrentealsistemadeseguridaddela informacin para determinar el grado de preparacin que hay para implementarlo y tambinparaofrecerunavisindealtoniveldelosrecursosnecesariosparatal fin, requiriendo un completo levantamiento de informacin. La gua contina con la organizacin de la seguridad donde se crean los grupos que lideran el proceso de gestindelriesgoenlacompaayseasignanresponsablesyfunciones. Tambinseconsideraunplandecomunicacinhaciatodalaorganizacinpara crear cultura de seguridad y sensibilizarla sobre el tema. La labor especfica de gestionar el riesgo se aline a ISO/IEC 27005 definiendo en el contexto el alcance y lmites del mismo, detallando criterios para cada actividad einiciandoelprimerciclodelflujoenlaejecucindeacciones.Entreellosse analizan los procesos de la organizacin que harn parte de la gestin, se detallan los requisitos de seguridad de las partes interesadas y cmo realizar la valoracin ytratamientoderiesgos.Loanteriorexigeunconocimientodetalladoanivelde 40 misin,visin,polticasdecalidadyseguridad,organigrama,mapadeprocesos, activos de informacin, objetivos corporativos y planes estratgicos y marco legal aplicable a la compaa. Luego de varios ejercicios sobre casos prcticos para estimar y evaluar el riesgo, seseleccionelmtodoconocidocomoDeterminacindelvalorparala probabilidad y las consecuencias posibles de los riesgos descrito en ISO/IEC 27005.Conesteseencontraronmejoresresultadosyaquecombinala importanciadelosactivosylosefectosacumulativosdediferentesescenarios incidentessobreelmismoactivo,ademspermiterealizarunaanlisiscompleto delaorganizacinbasadoensistemas(procesosoreasdelacompaa), priorizando fcilmente las acciones a seguir entre ellos y a su vez priorizar dentro de cada uno los activos a proteger. Paralafasedetratamientodelriesgosehizonecesariodisearunesquemano tradicionalmezclandoloscriteriosdeISO/IEC27002y27005respectivamente, conunenfoqueenracionalizartiempoyrecursos,empezandoporlosactivos priorizadossegnlafaseevaluacindelriesgoybuscandoseleccionarlos objetivosdecontrolycontrolespertinentesenunordenespecficosegnla criticidaddelosdominiosparalacompaa.Posteriormente,seidentificenun factorcomnloscontrolesnecesariosnuevos,losexistentesoparticularesno listadosenla normaparacumplirlosobjetivosplanteados,luego filtradosporlas restricciones que impliquen su uso; y por ltimo, por el presupuesto aprobado para la inversin o actualizacin de controles. Del anterior ejercicio resulta un registro clave para el proceso que se conoce como DeclaracindeAplicabilidad,dondequedadocumentadotantolosobjetivosde controlycontrolesseleccionadoscomoaquellosquenolofueron,conla justificacin debida y aprobado por la alta direccin. Cada control tendr asignado un responsable quien definir y documentar los indicadores de rendimiento sobre elactivoprotegido,validadoporelgrupolderSGSI.Tambinseencargarde realizarpruebasenunambientecontrolado,todoconelfindeactivarlasfases correspondientes del proceso de gestin. Lasopcionesdetratamientodelriesgovandelomssimpleyprctico,perono menoseficiente,queesreteneryevitar,hastaaccionesmscomplejascomo reducir,transferirocomoltimoesfuerzounacombinacindelasanteriores.En todainstanciaelniveldelriesgoesmonitoreadoparatomardecisionessegnel flujograma de ISO/IEC 27005. 41 Debidoalaexperienciayrealimentacindeexpertos,seincorporalaguade maneraopcionallaelaboracindelplandecontinuidaddenegociocomouna alternativa de tratamiento a riesgos de muy alto impacto en trminos desastrosos para al negocio, riesgos que no fueron considerados, no se pudieron evitar o que estuvieron muy por encima de niveles tolerables para la organizacin. Esto con el findegarantizarelniveldeservicioenloslmitesdefinidos,racionalizando recursos y con el objetivo de recuperar completamente la operacin. SeordenlaguaconformealaComunicacindelriesgomedianteuna comunicacinpermanenteencadafasedelprocesodelequipodetrabajoSGSI, dueosdeprocesosyreasespecficasparapermitirunacompresincontinua, alinearplanes,recibirrealimentacindesdetodoslosfrentesdetrabajoy compartir resultados. As mismo ocurri en la fase Monitoreo y revisin del riesgo. Oportunamente en cada actividad y no al final del proceso se producen insumos y se motivan acciones basadas en un amplio cambio de variables, canalizando sus resultados y decisiones en el grupo SGSI. Porltimo,sevionecesarioestablecerunplandecomunicacionesquetambin recibeinsumosdetodaslasfasesdelproceso.Aqusecreaunacultura corporativa de seguridad de la informacin y se notifican avances y resultados en laimplementacindel procesodegestin delriesgo,haciendo usodecampaas internasvacarteleras,intranet,correoelectrnico,agendaencomitsderea, etc. Secomplementayajustalaguamediantelaimplementacindeunescenario pilotoenunaempresadeordennacionalquehacepresenciaenlaregin, buscandoasaplicarloencondicionesrealesdelmercadoobteniendoresultados satisfactorios. Finalmente, se dise una encuesta que fue publicada en la web mediante Google Drive para facilitar el acceso y se contactaron nueve (9) expertos de la regin para queevaluaranlaguayrecibirdeellosunarealimentacinsobrelametodologa planteada. Los resultados de esta encuesta se exponen en el captulo siguiente. 42 7.2DIFICULTADES DURANTE LA CONSTRUCCIN. Naturalmentefueronvariaslasdificultadespresentadasparadesarrollarlagua. Lamsrepresentativa,fuequelasnormasISO/IEC27000estnorientadasal cumplimientoderequisitosyrecomendacionesgeneralesynosonuna metodologa detallada que indique cmo realizar las actividades especficas. Ladiversidaddesectoresempresarialesenlaregin,cadaunoconunabuena cantidaddeorganizacioneslascualesasuveztienennegociosespecficos, tamaovariableyprocesosparticulares,hacenmayorlacomplejidaddedisear unaguanicaparagestionarelriesgo.Porello,fuetillaexperienciadelos autoresparaenmarcarlasactividadesdentrodeunprocesodegestinenuna formagenricaymetdica,peroanmsdetalladayespecificaindicandocmo hacer las tareas que llevan al cumplimiento de requisitos y sugerencias indicadas por las normas. Estructurar la gua fue una tarea compleja debido al gran volumen de informacin atratar,generaryalmacenar.Consolidarlosdatosobtenidosfueunalabor simplificadamedianteelusodetablasdinmicasdelaaplicacinExceldel paqueteMicrosoftOffice.Tenerclarolosobjetivosdelproyectofueclavepara alinear el formato a un mtodo ordenado, continuo y consistente. Laseguridaddelainformacinesuntemaqueengranmedida,enlapoblacin corporativadelaregin,hastaahoranotienelaacogidadebida,especialmente enmarcadobajounSGSIeincorporadoaunSistemadeCalidadexistente, generandoasunSistemaIntegradodeGestin.Porlotanto,esteaspectono facilita sensibilizar a las organizaciones para que pongan en prctica esta gua. Porotrolado,lascompaasdelareginquestienenimplementadooen desarrollo el SGSI, poseen polticas y directrices definidas, complicando la prctica de este proyecto, especialmente las de orden nacional cuyos encargados del tema estnubicadosfueradeldepartamentodeRisaralda.Sesumaaestola confidencialidadydelimitacindelainformacinsuministradaporlas organizacionesquebuscansiempreprotegerseantelafiltracindeinformacin institucional. Teniendoencuentalascaractersticasdelapruebapiloto,nofueposible desarrollarla en su totalidad debido a los conflictos que esto podra causar dentro delaorganizacinsobretodoenlaetapadeejecucindeactividades,yaque 43 estaspodraninterferirconlaspropiasprogramadasdentrodesuSistema Integrado de Gestin, cuando de informar a todos los colaboradores se trata. Otra limitanteeslaasignacinderecursosparaimplementarcontrolesdurantela ejecucindeunapruebapilotopropiciadacomountrabajoacadmicoqueno garantiza continuidad en la organizacin. Porltimo,enlareginnoabundanlosprofesionalesexpertoseneltemaque sirvan de apoyo en el desarrollo de la investigacin y recibir realimentacin de los resultadosobtenidosenelproductofinal.Losprofesionalesconsultados presentabanunaaltaocupacinensusoficiosynodisponanfcilmentede tiempo libre para dedicarlo al proyecto. 44 8.ANLISIS DE APLICABILIDAD DE LA GUA 8.1EVALUACIN DE EXPERTOS Las preguntas de la encuesta dispuesta para la evaluacin de los expertos fueron diseadas de tal forma que evidenciaran el grado de cumplimiento de las fases de laguaparagestionarelriesgo,quealavezreflejaneldelosobjetivosdel proyecto por estar alineados entre s. Al final se solicit evaluar en forma general silaaplicacindelaguapermitiragestionarelriesgodeformaexitosaenuna organizacindelazona,requiriendoademslajustificacindelarespuestadel experto. Tambin a su juicio, se pidi cuantificar el grado de apoyo que ofrece la gua para implantar un SGSI. Los expertos fueron seleccionados de acuerdo a su relacin con el tema desde la academia y/o desde su experiencia laboral, buscando que su anlisis sobre la gua fuera consistente con la realidad de la regin. Se muestran a continuacin los resultados obtenidos: PreguntaNo.1:Enqugradoconsideraustedquelametodologa planteada en la gua logra diagnosticar acertadamente la situacin actual del SGSI en la compaa, como punto de partida para iniciar con el proceso de Gestin del Riesgo? 45 Figura 8. Resultados de la pregunta No. 1 de la encuesta a expertos. En este aspecto, el 78% de los especialistas indican que se logra el objetivo en un altogrado.Estavaloracinseconsideraconsecuenteconeldiseodelaaccin donde ellevantamientodeinformacin abarcatodoslospuntosrequeridosporel estndarISO/IEC27001enlafasePlanearcaptulos4.2.1Establecimientoy GestinSGSI,4.2.2ImplementacinyOperacinSGSI,4.2.3Seguimientoy Revisin SGSI y 4.2.4 Mantenimiento y Mejora SGSI. PreguntaNo.2:Enqugradoconsideraustedquelaguaestablecey explicaclaramentelospasosnecesariosparacumplirconlaetapade anlisis del riesgo (identificacin +estimacin) segn los requerimientos de la norma ISO/IEC 27001? Figura 9. Resultados de la pregunta No. 2 de la encuesta a expertos. 46 El55%delosexpertosindicanquesecubrenlosrequisitosentreunnivelaltoy muy alto. Se incluye este aspecto bajo las recomendaciones dadas en el captulo 9dadoqueseesperabaunmejorresultadoconsiderandoquehayaspectosde valoragregadofrentealasmetodologastpicascomolaorganizacindela seguridad,definicinderequisitosdeseguridad,asignacindepresupuesto, anlisisdeestadsticashistricas,identificacindecontrolesexistentes,filtrosde resultados a cargo del comit SGSI y un mtodo amplio y suficiente para estimar el riesgo quepermite realizar un anlisis completo de la organizacin basado en sistemas (procesos o reas de la compaa), priorizando fcilmente las acciones a seguir entre ellos y a su vez priorizar dentro de cada uno los activos a proteger. PreguntaNo.3:Enqugradoconsideraustedquelaguaplanteauna metodologa vlida y efectiva para la evaluacin de los riesgos? Figura 10. Resultados de la pregunta No. 3 de la encuesta a expertos. Este aspecto tambin se remite a las recomendaciones dadas en el captulo 9 ya queseproyectabaunconceptoaltoentrelamayoradeespecialistas.Pesea contarconunmtododeanlisisamplioeincluidoenlanormaISO/IEC27005 quetratalaorganizacincomolasumadesistemasindividualespermitiendo priorizarlos entre s y al asociarlos frente a indicadores operacionales, el concepto decumplimientoestdistribuidoentremedioyaltoconun56%yun44% respectivamente. 47 PreguntaNo.4:Enqugradoconsideraustedquelaguaplanteauna metodologavlidayefectivaparalaseleccindeObjetivosdeControly Controles segn los requerimientos de la compaa y ceida a lo establecido en la norma ISO/IEC 27002? Figura 11. Resultados de la pregunta No. 4 de la encuesta a expertos. En este aspecto, el 78% de los analistas ve un alto grado de validez y efectividad delametodologa.Motivaesteresultado,elanlisisqueproponelaguaenun orden definido para los dominios de seguridad y as tratar los ms estratgicos en primerlugar,incluyendoluegodeunfiltrodefactorcomnyrestricciones,controlesparticularesnuevosoexistentesqueestnonoespecificadosenla norma y asignndoles un responsable, permitiendo consolidar as de forma amplialadeclaracindeaplicabilidadyracionalizandorecursosparaqueeltratamiento de riesgos sea eficiente. PreguntaNo5.Enqugradoconsideraustedquelaguaplanteauna metodologavlidayefectivaparamedirlaeficaciadeloscontroles seleccionados? 48 Figura 12. Resultados de la pregunta No. 5 de la encuesta a expertos. Elconceptorecibidoseubicaentremedioyaltoconun56%yun44% respectivamente. Este es otro punto a incluir en las recomendaciones dadas en el captulo9yaqueseesperabaunconceptomsaltodebidoaquehayaspectos quemarcanladiferenciacomoporejemplo:desdelafasetratamientodelriesgo cuando son seleccionados los controles, la gua considera un responsable idneo paracadacontrolencargndolodedefinirindicadores,metasdecumplimientoy realizarpruebassimuladasderendimientoenambientecontroladoygenerar reportes y alertas como insumo a la fase monitoreo y revisin del riesgo. PreguntaNo.6:Enqugradoconsideraustedquelaguaplanteauna metodologa vlida y efectiva para hacer seguimiento, revisin y valoracin peridica de los riesgos? 49 Figura 13. Resultados de la pregunta No. 6 de la encuesta a expertos. El 78% de los expertos consideran un alto grado de cumplimiento para este caso. El diseo de la fase de monitoreo y revisin del riesgo consider insumo desde las otras fases en todo momento para cumplir satisfactoria y oportunamente acciones preventivas y correctivas ante cualquier variable que dispare esta accin. PreguntaNo7.Entrminosgenerales,consideraustedqueconla aplicacin de esta gua en una empresa de la regin, es posible gestionar los riesgos y seleccionar los controles como parte de la implementacin de un Sistema de Gestin de Seguridad de la Informacin? Figura 14. Resultados de la pregunta No. 7 de la encuesta. 50 Nuevamenteel78%delosanalistasconsideraviablelaaplicabilidaddelagua paragestionarelriesgoydichoconceptoestalineadoconlosresultadosdela pruebapilotomostradosenelnumeral8.2.Lapreguntapidequelosexpertos expliquenelPorqu?desurespuesta. Quienesapruebanla aplicabilidad de la guacoincidenenqueestaconservalaesenciadelasnormasISO/IEC27000 orientandoalusuariodeformaclara,prcticayenfasesordenadaslgicamentesegn el estndar para realizar el proceso de gestin de riesgos. Porotraparte,noesposibleestablecerunfactorcomnentrelosconceptos dados por parte de quienes respondieron negativamente esta pregunta pues estos indican que puede haber subjetividad en la asignacin de valores a la probabilidad deocurrenciadeescenariosincidentesyfaltadeinformacinparaidentificary evaluar los riesgos, sugiriendo una metodologa didctica y que exponga ejemplos prcticos. Esteaspectoserincluidoenlas recomendacionesdel captulo9para mejorar los resultados del proyecto. PreguntaNo. 8: Segn su experiencia, por favor Califique de 1 a 5 el valor quelautilizacindeestaguapodraagregaralosresponsablesdela implementacindelSGSIenunaempresa,donde1esunbajovalor agregado y 5 representa el mayor valor agregado. Figura 15. Resultados de la pregunta No 8 de la encuesta. 51 Se mantiene la tendencia sobre la alta valoracin referida al cumplimiento general delaguaparagestionarelriesgo,indicandoelapoyoycomplementoqueesta representa paralaimplementacindeunsistemadeseguridad delainformacin enunacompaadelaregin,basadosenelconocimientoyexperienciade quienes la evaluaron. 8.2EVALUACIN DE LA PRUEBA PILOTO Con el fin de validar la aplicabilidad de la gua en una empresa real, se realiz una prueba piloto en la cual se aplicaran una a una las actividades propuestas en ella y para eso se logr establecer contacto con una compaa de orden nacional con presenciaenlareginyquetieneenfasedeimplementacinunSGSI.El desarrollo completo de la prueba piloto se encuentra documentado en el anexo B. Cuandoseexpusolapropuestaparalaaplicacindelapruebapilotoantela Direccin Regional y Grupo interesado de la Entidad, su aprobacin fue rpida ya quefueconsideradaunabuenaoportunidadparadetectarmejorasensus procesos a nivel zonal. A pesar de contar con directrices centrales sobreel SGSI, laDireccinRegionalcuentaconciertogradodeautonomaparaejecutarlas actividadesrelacionadas.Fueascomoserecibilicenciaparatrabajarsobre procedimientosestratgicosquedemuestrangestindelaregionalycuya cobertura es amplia por el nmero de sedes y agentes externos involucrados. Se cont con un alto grado de apoyo y compromiso por parte de la organizacin, facilitandolosrecursostcnicosyprofesionalesdecadarea,llevandoacabo variassesionesdetrabajoparalosanlisisrequeridosqueimplicabaunaalta carga laboral para los funcionarios. EldiagnsticoinicialdelestadodelSGSIenlacompaa,indicungradode avancedel53%enlaimplementacin,referidasolamentealafasePlanear respecto a lo indicado por la norma. Con la aplicacin de la gua se cerr la brecha entre lo que haba implementado y lo que se requiere para obtener la certificacin pues se lograron cubrir todos los aspectos propuestos de la norma. PeseacontarconunSGSIenimplementacin,laregionalnocontabacon responsables ni responsabilidades claras para actuar frente al proceso de gestin del riesgo en las actividades bajo su autonoma. 52 La fase de valoracin y tratamiento de riesgos que se realiz bajo la aplicacin de la gua, fue ms amplia que la realizada bajo su sistema interno. Fue as como su identificacin,estimacinyevaluacinpermititratarlasactividadesenlazona conmayorprofundidadyacordeasusnecesidades,facilitandoidentificar claramente el riesgo aceptable por la regional. Esto es entendible dado la cantidad de procesos y funcionarios a nivel nacional que tiene la entidad. Esta aplicacin prctica de la gua permiti hacer ajustes a su metodologa debido alaidentificacindecasosparticularesqueimpactabanaspectosgenerales. Igualmente,facilitquelaorganizacinanivelzonalampliarasuprocederen cuantoaseguridaddelainformacin,identificandoactivosnoprevistosy utilizando todos los controles de los que ya disponan pero que no explotaban su potencial, es decir, hubo una trasferencia de experiencia y conocimiento entre las partes. Nofueposibleejecutartodaslasfasesdelagua.ElgrupodePlaneacindela organizacinqueasuveztenaelroldecomitdegestinSGSIenlaprueba piloto,identificunposibleconflictoydificultadsiseimplementabanlasfasesIIIMedicindeeficaciadeloscontrolesyIVSeguimiento,revisinyvaloracin peridicaderiesgosdebidoalasactividadespropiasdelsistemaintegradode gestinenservicio,lacriticidaddelosprocesos,elnmerodesedesyagentes externosinvolucrados,lacargalaboraldelosfuncionarios,eltiemporequerido paramedirresultadosyelmismoalcancedelagua.Sinembargo,elcomitde gestin analiz la metodologa y la consider adecuada para cumplir el objetivo de las fases en otro escenario de prueba piloto. 53 9.CONCLUSIONES La gua desarrollada no se limita a gestionar el riesgo, tiene un alcance mayor ya quetrataelprocesobajoelesquemadeunSGSIofreciendoasususuariosun valor agregado importante. Elprocesodegestinrequieredeunadedicacinpermanenteycontinua,exige compromiso de la alta direccin y recursos destinados a garantizar su planeacin, implementacin, actualizacin, monitoreo y revisin. Elmtodoutilizadoenlafasevaloracindelriesgoanalizalosprocesosdela organizacincomosistemasindividualespermitiendopriorizarlosentres, midiendo el impacto acumulativo de todos los escenarios sobre un mismo activo. Lafasetratamientoderiesgosdelaguaracionalizarecursoseinversiones, buscandoquelaorganizacinmaximiceelusodeloscontrolesexistentesyse consideren en primer lugarformas sencillas pero efectivas para enfrentarlos. Lametodologaincorporaaccionesdemejoracontinua,comunicaelriesgoen todaslasinstanciasdelproceso,reneinsumosoportunosparasumonitoreoy revisin,comotambindivulgalosplanesysensibilizalaorganizacinhaciauna cultura de seguridad de la informacin. Laevaluacindeespecialistasaesteproyectopronosticunaltogradodexito ensuaplicacingeneralparagestionarelriesgoenunaempresadelareginy comoapoyoparaimplantarunSGSI,unaltogradodecumplimientofrentealas normasISO/IEC27000.Dichasnormassonglobales,nodetalladasyporello algunos aspectos analizados por los evaluadores ante esta propuesta se agrupan porigualporcentajeentrebuenoymuybueno,raznporlacualseplantearon recomendacionesalostemasanlisis,evaluacinderiesgosymedicinde eficaciadecontroles.Posiblementelaestructuracindelaguaysuexplicacin detalladacomodocumentosseparadosnofacilitlacomprensindecriteriosal momento de evaluarla. La prueba piloto aplicada a una empresa de la regin, demostr aplicabilidad de la guaparagestionarelriesgo,ofreciresultadossatisfactoriosdemostrandoque aunqueunaorganizacintengaunSGSIenconstruccin,esposiblemejorarlo, ajustarlo y/o generar nuevos procedimientos al respecto. 54 10. RECOMENDACIONES Esnecesarioparaelusuarioquedurantelaprcticacuenteconeldocumento completodelagua,suanexosobreladescripcindetalladadeactividadesen cadafaseylasnormasISO/IEC27000,yaqueelvolumendeinformacina administrarpuedellegaraserconsiderableenalgunainstanciadelprocesoy maniobrarconunsolosoportepuedeinduciraconfusinenlosconceptosy desviarelcursodelametodologaplanteada.Puedefacilitarestalaborcompilarla gua y su anexo detallado como un solo documento. Para futuras versiones del proyecto: Unaactualizacindelametodologaporlomenoscadados(2)aospara ordenarloconformealasactualizacionesdelasnormasISO/IEC27000y/o diferentesmetodologasnormalizadas,comotambinrequisitosdelas empresas de la regin. Seproponehaceruncontactopersonalizadoconlosexpertosacercadose involucrarnuevosparticipantes,compartirconceptosquepermitanampliar, aclarartemasyvalidarsiesnecesarioajustesenlosaspectosquetuvieron calificacin distribuida por igual media y alta en la valoracin realizada, como lo fue el anlisis y evaluacin de riesgos y medicin de eficacia de controles. Realizarpruebaspilotosperidicamenteyquecubrantodaslasfasesdela gua para confrontar la realidad del sector empresarial en la regin. ParaelgrupodeinvestigacinNyquistdelaUniversidadTecnolgicade Pereiraseramuytilpublicarenunapginawebeldocumentodelaguay habilitar un buzn de sugerencias para los usuarios que hayan experimentado conella,detalformaqueserecibanretroalimentacionesyseincorporen mejoras dando continuidad al proyecto. AmpliarelalcancelaguaparaqueseincorporeelSGSIaunSistemade Calidad existente y generar un Sistema Integrado de Gestin. 55 Realizar un desarrollo de software que facilite la gestin del riesgo a travs de una interfaz grfica amigable, que contenga un mdulo de ejemplos prcticos y que almacene los diferentes registros y resultados del proceso. 56 BIBLIOGRAFA ALLEN,JuliaH.InformationSecurityasanInstitutionalPriority.Disponibleen: Ciberseguridad:Colombiaanteunataque.Disponibleen:

CumbreMundialsobrelaSociedaddelaInformacin.Documento:WSIS-05/TUNIS/DOC/6 (Rev. 1)-S. Disponible en: IBMReport:SurgeinCRIMINAL-DRIVENCYBERATTACKSDisponibleen: ICONTEC.(2006).NormaTcnicaColombianaNTC-ISO/IEC27001-Tecnologa delaInformacin.Tcnicasdeseguridad.SistemasdeGestindela Seguridad de la Informacin (SGSI). Requisitos. Bogot: ICONTEC. ICONTEC.(2009).NTC-ISO/IEC27005NormaTcnicaColombiana.Tecnologa delaInformacin.TcnicasdeSeguridad.GestindelRiesgoenla Seguridad de la Informacin. Bogot: ICONTEC. InformeanualdefraudeOnlineyCibercrimen2012.Disponibleen: INTECOS.A.(25deMayode2013).SGSIenunaorganizacin.Obtenidode http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/ 57 INTERNATIONALORGANIZATIONFORSTANDARDIZATION.(2009).ISO/IEC 27000-InformationtechnologySecuritytechniquesInformation security management systems Overview and vocabulary. Suiza. ISO 27000 en Espaol. Disponible en : LEY 527 DE 1999, Disponible en: LEYESTATUTARIA1266DEL31DEDICIEMBREDE2008.Disponibleen: LPEZ Neira, Agustn RUIZ Spohr, Javier. Disponible en: RevistaAmricaEconmica,PolticaySociedad.Disponibleen: Superintendencia Financiera de Colombia. Boletn 76 de 26/10/07. Disponible en: UNE Telecomunicaciones.Disponible en: VILLA SNCHEZ, Paula A. Definicin de procesos de auditora interna del sistema degestindeseguridaddelainformacinsoportadoenTIC.Pereira(Rda). Universidad Tecnolgica de Pereira, 2011. 58 ANEXO A GUA PROPUESTA PARA LA GESTIN DEL RIESGO ElestndarISO/IEC27001defineunSistemadeGestindeSeguridaddela Informacin(SGSI)basadoenprocesosbajoelmodeloPlanear-Hacer-Verificar-Actuar (PHVA) el cual se utiliza para operar y mantener el sistema. En cada fase se establecen las actividades a realizar con el fin de conformar el sistema dentro de una operacin eficiente. Cualquier organizacin busca como uno de sus objetivos principales, mantener su negocio en continua operacin. Asegurar la informacin vital se hace necesario e indispensable. Una herramienta de gestin que permite esta labor es implementar unSGSIyaquedisminuyelosriesgosalosquesesometenlosactivosde informacin. Unadelasactividadesclavesesconocerlosprocesoscorporativoseidentificar losactivosdeinformacin,suscaractersticasylasdependenciasquepermiten obtenerunproductooserviciopropiodelnegocio,tambinsedebeconocersus amenazas y enfrentarlas adecuadamente. As es ms fcil organizar los sistemas deinformacin,establecerpolticasy/oprocedimientosydefinircontrolesquemediantelamedicinperidicadesueficaciadisminuirnloseventosde seguridad.Cundoexistencontrolesparaminimizaroevitarlaocurrenciadeun riesgoy este se materializa, se denomina evento.Se llama incidente cuandolas consecuencias del riesgo se sufren y no han sido previstas. Esimportanteparalaaltadireccindelaorganizacinyparaquienesdeben documentar y ejecutar los procesos de implementacin del SGSI o solamente para realizarlafasedegestindelriesgo,iniciarconlafaseplaneardefiniendoun estadopreliminarqueindiquequtanpreparadaseencuentralaorganizacin paraafrontarlaimplantacindelnuevosistemayayudarasaidentificarlos recursosqueserequierenparacomenzarconelproceso.Paraestosedebe realizaruncompletolevantamientodeinformacinquecubracadaunodelos temasexigidosporlanormaISO/IEC27001yqueademscadapuntosea medibletantocualitativacomocuantitativamente,paraquedeestamanerase pueda definir cules son los procesos que exigen mayor atencin de acuerdo a su 59 calificacin y para llevar un control sobre el avance general de la implementacin delalcancedefinidoenelSGSIopararealizarlagestindelriesgo exclusivamente. Losincidentesyeventosdeseguridadsonaquellasamenazasqueexplotanuna vulnerabilidaddeunactivodeinformacinmaterializndoseenunriesgo.Porlo tantogestionarelriesgoatravsdeunSGSIesunprocesocuyoobjetivoes mantenerlosenunnivelaceptableparalaorganizacinamparandoasla confidencialidad,integridadydisponibilidaddelosactivosdeinformacinante clientes, proveedores, para s mismo y cualquier parte interesada en el negocio; el resultado final es asegurar los objetivos de rentabilidad del oficio. Loscontrolesimplementadosreducirnlosriesgosalnivelaceptable,sise producendaosserndebajoimpactoylacontinuidaddelnegocioseasegura. Sederivadeestounahorroenloscostosqueimplicapreveryracionalizar recursoseliminandoinversionesinnecesariasomaldiseadasgenerando ineficiencia, incumplimiento del marco legal y contractual. Finalmente la Seguridad pasa de ser una serie de actividades organizadas a tener un ciclo de gestin. Paraqueelciclodegestinfuncioneadecuadamente,requiereelcompromisoy liderazgodelaaltagerenciadelaorganizacindebidoasuconocimientoy experienciaenelnegocioyporsucapacidadparaimplantarnuevos procedimientos en los procesos. En las compaas donde se est trabajando para implementar un Sistema Integral de Gestin o que ya se haya implantado por lo menos otro sistema de calidad, se debenajustarprocesosy/oprocedimientosyadefinidosensumarcooperativo, lograndotrabajarenparalelolastareasqueinvolucrentodoslossistemas,para evitarreprocesoymanteniendolacoherenciaentrelasactividadesdecada sistema. A.1. ESTRUCTURA DE LA GUA La gua establece el cumplimiento de actividades enfocadas en cuatro etapas para gestionar el riesgo: -Identificacin y evaluacin para el tratamiento de los riesgos. -Seleccin de Objetivos de Control y controles. 60 -Medicin de eficacia de los controles. -Seguimiento: Revisin y Valoracin peridica de riesgos. Cada actividad de la gua establece unos pasos para su cumplimiento:Requisitos:Sonlosdatospreliminaresynecesariosparacumplirla actividad. Accin: Es el objetivo que se busca al desarrollar la actividad, describiendo la forma de realizarla. Resultados:Eslainformacinobtenidaluegodeprocesarlosrequisitos bajo la accin descrita. Los resultados finales y las debidas actualizaciones son consolidados en un nico documentotipocarpeta,separadoseidentificadosbajounndiceporlafaseo numeraldelaguapermitiendotrazabilidadalagestinyfacilitandoconsultarla informacin requerida. La gua se fundamenta en el conjunto de normas internacionalesISO/IEC 27000 quedefinenelmarcodeunSistemadeSeguridaddelaInformacinpara gestionarelriesgo.EstasnormashansidodiseadasporISO,Organizacin InternacionaldeNormalizacin,yporIEC,ComisinElectrotcnicaInternacional. Estas entidades son constituidas por los organismos de normalizacin formales de cada pas. En el caso de Colombia es ICONTEC quien nombra las normas como PROYECTO DE NORMA TECNICA COLOMBIANA NTC-ISO/IEC 27000. Para tal fin ISO e IEC han establecido un comit tcnico de trabajo llamado ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques29.

A continuacin se hace una descripcin de cmo se alinea la gua con cada norma del grupo. ISO/IEC 27000:2009 presenta un resumen de la familia de estndares, ofrece una introduccin a un SGSI, describe el cicloPlanear-Hacer-Verificar-Actuar (PHVA) y

29 INTERNATIONALORGANIZATIONFORSTANDARDIZATION-ISO/IEC270002009.Information technology Security techniques Information security management systems Overview and vocabulary. 2009. 61 presentatrminosydefinicionesusadasenlasnormasparaprecisartrminosy evitar confusiones. La gua basa en ella, su fundamento terico y conceptos. ElestndarISO/IEC27001esuniversalparacualquiertipodecompaa,es certificableyauditable,especificalosrequerimientosparaestablecer, implementar, operar, monitorear, y mantener un SGSI basado en procesos bajo el modelo PHVA. El alcance la presente gua es el cumplimiento de la fase Planear y latratacomounsubsistemaquecontieneasuvezuncicloPHVA,seintroduce entonceslosconceptosdesubciclosPlanear-Planear,Planear-Hacer,Planear-VerificaryPlanear-Actuar.Estanormaestableceencadafaselasactividadesa realizarconelfindeconformarelsistemadentrodeunaoperacineficiente. Incluyeungrupodeobjetivosdecontrolycontrolesparalamitigacindelos riesgosasociadosyestnalineadosconISO/IEC27002.Tambinindicalos documentosyregistrosmnimosquedebecontenerparaevidenciarelgradode funcionamientodelsistema.Aqubsicamentelaguadefineloscriteriosy metodologaaseguirensuscuatroetapasorientadasacumplirlosrequisitos exigidos.En la fase DIAGNSTICO SGSI, la gua establece la forma de analizar elcumplimientodelafasePlaneardelanormafrentealoimplementadoenla organizacin, esto es fundamental para establecer la brecha y proyectar acciones orientadasasatisfacertodaslasseccionesdelanorma,especialmenteenel CaptuloSGSI,seccionesRequisitosGenerales,EstablecimientoyGestin.En susdemscaptuloslaguaseorientaamodelarlosprocesosdevaloracin, tratamiento y monitoreo de riesgos donde se seleccionancontroles estableciendo laformademedirsuefectividad,recomendandoaccionessegncorresponday estableciendo una valoracin peridica de todo el proceso, temas tratados en las seccionesdeImplementacinyOperacin,SeguimientoyRevisiny Mantenimiento y Mejora del SGSI de la norma. Respectoalaseleccindeobjetivosdecontrolycontroles,laguasebasaen ISO/IEC27002yaquedichoestndarexponedemaneradetalladalasbuenas prcticas para asegurar los sistemas de informacin de una organizacin. Consta de11secciones,39objetivosdecontrolasociadosacadarea,y133controles quegarantizanelcumplimientodelosobjetivos.Parallegaraestainstancia,la guaestablecequeprimeroserealizaidentificacinyestimacindelosriesgos, posterior ocurre la valoracin, y luego se dan las pautas para su tratamiento. Los controles son seleccionados de esta norma segn recomendaciones y criterios de laorganizacinfrentealagestindelriesgo,sinembargosecontemplala incorporacindecontrolespropiosdiseadosparasituacionesparticulareso inclusive tomados de otras metodologas. Mediante la declaracin de aplicabilidad, 62 requisitoobligatoriodeISO/IEC27001,todoslosanterioressonanalizados justificandoydocumentandolasrazonesparasuseleccinoexclusin,esdecir, ningunoquedasinrevisingarantizandounacompletaexploracinaposibles incidentes de seguridad. Los procedimientos, actividades, anlisis y resultados planteados en la gua sobre gestindelriesgoenlaseguridaddelainformacinsonextradasdeISO/IEC 27005 cuyo objeto de aplicacin es proveer pautas y criterios sobre este aspecto. Sinembargolanormanoesunametodologaespecfica,esmuygeneraly correspondeacadaorganizacindefinirelenfoquesegnsunaturaleza,esos, esaplicableatodotipodeorganizacin.Estaguaesunademuchas metodologasexistentesbajotalestructuracaminoaimplementarunSGSI,pero recopila buenas prcticas producto de la experiencia de los autores. Esta norma al estarimplcitaenlaguaofrececontinuidad,soporteycumplimientoaISO/IEC 27001 e ISO/IEC 27002. Alineado con ISO/IEC 27005, la gua cumple una serie de pasosencadaunadelasactividadespropuestas,lascualesenconjunto conforman el proceso de gestin del riesgo segn lo muestra la figura 16. El proceso es cclico con el fin de redefinir sus fases ante un incidente o evento de seguridadquenofuecontroladosatisfactoriamenteyparaunaactualizacino revisin peridica preventiva de carcter obligatorio ajustndose a los cambios de laorganizacinydelentorno.Estacaractersticadeterminaunanlisisen profundidaddelosriesgospresentesypermiteracionalizarloscontrolesa implementarhastallevarelriesgoanivelesaceptablesporlaorganizacin.Se destacaenlafigura16quelasactividadesestnsujetasentodomomentoala divulgacinalaaltaDireccinyalpersonalinvolucrado.Lasfasesdelproceso son: Establecimientodelcontexto:Eslaprimeraactividaddondeiniciael proceso.Parasudesarrolloesindispensableconocermuybienla organizacin y contar con toda la informacin estratgica sobre el negocio. Assedefinenloscriteriosbsicos,seestableceelalcanceylmiteyse definelaestructurayresponsabilidadesparalagestindelriesgoenla compaa. Valoracindelriesgo:Hacenpartedeestafaseelanlisisylaevaluacin del riesgo. La primera incluye la identificacin y la estimacin del riesgo en las cuales se identifican activos de informacin, amenazas, vulnerabilidades y consecuencias. Por la otra parte se identifican escenarios incidentes y se 63 asignanvaloresalaprobabilidaddeocurrenciayalasconsecuenciasde talesriesgosbajocriteriosdefinidosenelcontexto.Lasegundaetapa, tambin bajo criterios definidos en el contexto,determina el nivel del riesgo bajounaescalaypermitepriorizarsuatencin.Sitodalainformacin anterior es suficiente para caracterizar los riesgos y determinar claramente lasaccionesaimplementarenbuscadenivelesaceptables,laprimera decisin del flujo llevar a la siguiente fase, de lo contrario se llevar a cabo otra iteracin para redefinir actividades previas. Tratamiento del riesgo: En esta instancia se concretan las acciones a tomar sobrelosriesgosvalorados,esdecir,seseleccionanloscontrolesde acuerdoaloplanteadoenelcontextosegncorrespondaalobjetivoy necesidadesdelaorganizacin:reducir,retener,evitarotransferirel riesgo, lo anterior de acuerdoal costo de implementacin de las opciones y losbeneficiosesperados.Sieltratamientonoessatisfactoriosegnlo esperadoporlaCompaaelsegundopuntodedecisindelflujopermite redefinirlasetapasanterioresconlasiteracionesqueseannecesarias hasta lograr el riesgo residual o el nivel de riesgo que es aceptado para la Organizacin. Aceptacindelriesgo:Estaactividadformalizaladeclaracindelaalta Direccindelaorganizacinparaasumirelriesgoresidualoelriesgo tolerableconelfindesoportarydocumentarlasopcionesdetratamiento, especialmenteaquellasqueporsituacionesdeterminantes(porejemplo altoscostos)seomitenopostergalaimplementacindecontroles,osea, aquellosquenosatisfacenloscriteriosnormalesdefinidosenelcontexto. Eslapartefinaldelciclonormalyelsiguientepasoescomunicarloy monitorearlo. Comunicacindelriesgo:FormalizaydivulgaantelaaltaDireccin,al personalinvolucradoenelprocesoyantelaOrganizacinengeneral,las actividadesrealizadassobrelavaloracinytratamientodelriesgo facilitandolatomadedecisionesalritmodeloscambiosdelnegocioyal estado del SGSI. Esta etapa enva y/o recibe actualizaciones de cada fase del proceso segn corresponda. Monitoreoyrevisindelriesgo:Hacepartedelafaseverificardelciclo PHVAdelSGSI.Considerandoquelosriesgossoncambiantes,esta actividadpermiteunaalineacincontinuaentreelprocesodegestindel 64 riesgo y los cambios que afectan la Organizacin y su entorno. Conforma la calidad y mejora continua del proceso. A continuacin se hace una descripcin de cmo se alinea la gua con cada fase del ciclo PHVA. Laguaplanteaprocesosdemejoracontinuainvolucrandointeraccioneshasta lograrreduccindelosriesgosennivelesaceptablesporlaorganizacin.Inicia con la planeacin, donde se plantea un conocimiento detallado de la o