GOBIERNO DE LA INFORMACION

FABIO ANDRES LIZARAZO ORTIZ

PROFESOR: GUILLERMO MOLINA

MODULO: SEGURIDAD BD Y WEB
GRUPO: SI2

UNIVERSITARIA DE INVESTIGACION Y DESARROLLO

ESPECIALIZACION SEGURIDAD INFORMATICA
BUCARAMANGA
2015

INTRODUCCION DEL GSI

Informacin se puede definir como datos dotados de propsito. En la actualidad,
la informacin desempea una funcin cada vez ms importante en todos los
aspectos de nuestra vida y se ha vuelto un componente indispensable para
realizar negocios para casi todas las organizaciones y en un nmero cada vez
mayor de empresas, la informacin es el negocio.
Sera difcil encontrar un negocio que se haya mantenido al margen de la
tecnologa de la informacin y que no dependa de la informacin que procesa. Los
sistemas de informacin han dominado la sociedad y los negocios, y la
dependencia de estos sistemas y la informacin que manejan, es casi,
indiscutiblemente absoluta.
De acuerdo con el Instituto de Brookings, tanto la informacin como otros activos
intangibles de una organizacin representan ms del 80 por ciento de su valor de
mercado. En consecuencia, los daos a la integridad de la informacin pueden ser
devastadores para una empresa y sus altos directivos, a quienes se les
responsabiliza cada vez ms por la informacin financiera de su organizacin.
Peter Ducker afirm en su libro Management Challenges for the 21st Century, que
la informacin es un recurso que tiene igual relevancia que los recursos
importantes por tradicin como la tierra, el trabajo y el capital.
Durante los ltimos 12 aos, la tendencia al alza en el valor de la informacin y la
dependencia de sta se han incrementado de manera exponencial.
Recientemente, Gartner calcul que en menos de 10 aos, las organizaciones
trabajarn con 30 veces ms informacin de la que trabajan ahora. Sin embargo,
con el caos, las vulnerabilidades, los delitos y el vandalismo informticos, la
informacin se ha vuelto la opcin de un creciente grupo de delincuentes
discretos. Los terroristas y otros enemigos de la sociedad han acogido con
descaro a la misma tecnologa de la informacin que afirman despreciar
profundamente para anunciar su cosmovisin y revelar sus actos hostiles.
A fin de cumplir con la tarea de brindar una proteccin adecuada a los recursos de
la informacin, el tema tiene que elevarse a una actividad a nivel de consejo tal
como sucede con otras funciones crticas de gobierno. La complejidad, la
importancia y la criticidad de la seguridad de la informacin y su gobierno exigen
un tratamiento de respaldo por parte de los niveles ms altos dentro de la
organizacin.
De manera progresiva, aquellos que comprenden el alcance y la profundidad de
los riesgos estn tomando la postura de que, al ser un recurso crtico, la
informacin debe tratarse con el mismo cuidado, precaucin y prudencia que

recibira cualquier otro activo esencial para la supervivencia de la organizacin y,

tal vez, de la sociedad misma.
La seguridad de TI trata la seguridad de la tecnologa y, por lo general, se maneja
desde el nivel del director de informacin (CIO). La seguridad de la informacin
abarca la totalidad de riesgos, beneficios y procesos que estn relacionados con la
informacin y debe ser impulsada por la direccin ejecutiva y respaldada por el
consejo de administracin.
El gobierno de la seguridad de la informacin es responsabilidad de la junta
directiva y la direccin ejecutiva. Debe ser una parte integral y transparente del
gobierno de la empresa, y consiste en el liderazgo, las estructuras y los procesos
organizacionales que protegen la informacin.
QU ES GOBIERNO DE SEGURIDAD DE LA INFORMACIN?
Es el conjunto de responsabilidades y prcticas ejercidas por el grupo directivo
con el objetivo de proveer direccin estratgica, asegurar que los objetivos sean
alcanzados, validar que los riesgos de la informacin sean apropiadamente
administrados y verificar que los recursos de la empresa sean usados
responsablemente.
IMPORTANCIA DEL GSI
Desde la perspectiva de una organizacin, el gobierno de la seguridad es cada
vez ms crucial a medida que aumenta la dependencia de la informacin. Tal
como dijo Arthur Sulzberger Hays en 1947 El juicio de un hombre no puede ser
mejor que la informacin en la cual ha basado dicho juicio.
La informacin definida como datos dotados de significado y propsito es la
esencia del conocimiento. El conocimiento a su vez, se capta, transporta y
almacena como informacin organizada. Tal como coment Peter Drucker, El
conocimiento se est volviendo rpidamente en el nico factor de la productividad,
dejando de lado al capital y la mano de obra.
Para la mayora de las organizaciones, la informacin y el conocimiento en el que
sta se basa se han vuelto uno de sus activos cada vez ms importantes sin los
cuales sera imposible dirigir el negocio. Tanto los sistemas como los procesos
que manejan dicha informacin han invadido el negocio y las organizaciones
gubernamentales en todo el mundo. Esta creciente dependencia de las
organizaciones de su informacin y los sistemas que la manejan, junto con los
riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del
gobierno de la seguridad de la informacin un aspecto cada vez ms crucial del

gobierno en su conjunto. Las gerencias prudentes han llegado a entender que

ofrece una serie de beneficios significativos, entre los que se encuentran:
Tratar la creciente posibilidad de que la organizacin y su alta direccin se
enfrenten de manera habitual a la responsabilidad civil o legal como resultado de
imprecisiones en la informacin o la ausencia del debido cuidado para protegerla.
Brindar la confianza en el cumplimiento de las polticas. Aumentar la
previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir
los riesgos a niveles definibles y aceptables.
Proporcionar la estructura y el marco para optimizar la distribucin de los
recursos limitados de seguridad.
Brindar un nivel de certeza de que las decisiones cruciales no se basan en
informacin errnea. Proporcionar un fundamento slido para tener una
administracin de riesgos y una mejora de procesos eficientes y eficaces, as
como una respuesta rpida a incidentes. Brindar una mayor confianza en las
interacciones con socios comerciales. Mejorar la confianza en las relaciones con
los clientes.
Proteger la reputacin de la organizacin.
Posibilitar nuevas y mejores formas para procesar las transacciones electrnicas.
Establecer la responsabilidad para proteger la informacin durante actividades
crticas de negocio, tales como fusiones y adquisiciones, recuperacin del proceso
de negocio y respuestas regulatorias.
Por ltimo, dado que la nueva tecnologa de informacin brinda la posibilidad de
una mejora radical en el desempeo del negocio, una seguridad eficaz de
informacin puede aadir un valor significativo a la organizacin al reducir las
prdidas derivadas de incidentes que estn relacionados con la seguridad y
brindar la confianza de que tales incidentes y las violaciones a la seguridad, no
son catastrficos. Adems, algunas pruebas demuestran que una mejor
percepcin en el mercado resulta en un mayor valor por accin.
OBJETIVOS DE UN GSI:
1.- Alineacin estratgica: Alinear la seguridad de la informacin con la
estrategia de negocio para apoyar los objetivos organizacionales.
2.- Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos
y reducir el posible impacto que tendran en los recursos de informacin a un nivel
aceptable.
3.-Entrega de valor: Optimizar las inversiones en la seguridad en apoyo a los
objetivos del negocio.
4.- Administracin de recursos: Utilizar el conocimiento y la infraestructura de la
seguridad de la informacin con eficiencia y eficacia.
5.- Medicin del desempeo: Monitorear y reportar procesos de seguridad de la
informacin para garantizar que se alcancen los objetivos.

OBJETIVOS DE SEGURIDAD DEL GSI:

La informacin est disponible y utilizable cuando sea requerida, los
sistemas que proporcionan esta informacin pueden resistir o recuperarse
apropiadamente de ataques (Disponibilidad)
La informacin es observada o revelada slo a entidades que tienen una
necesidad de conocerla (Confidencialidad)
La informacin es protegida contra modificaciones no autorizadas
(Integridad)
Las transacciones del negocio as como intercambios de la informacin
entre diversas reas de la organizacin o con entidades externas que
tengan relaciones de negocio deben ser confiables (Autenticidad y no
repudiacin).
BENEFICIOS DE UN GSI

ROLES Y RESPONSABILIDADES EN UN GSI

Responsabilidades de Direccin General

Garantizar que se establezcan objetivos y planes de SI.
Establecer, comunicar y revisar la Poltica de SI.
Proveer Recursos para: Constituir, Implementar, Operar, Monitorear,
Revisar,
Mantener y Mejorar el SASI (Sistema de Administracin de Seguridad de
Informacin)
Aprobar Niveles de Aceptacin Riesgos de SI y documentacin requerida
por norma Seleccionada.
Responsabilidades del Presidente
Constitucin del SASI:
Aprobar los objetivos y planes de SI.
Establecer Roles y Responsabilidades de SI.
Proveer Recursos Suficientes para: Constituir Implementar, Operar,
Monitorear,
Revisar, Mantener, Mejorar el SASI.
Administrativos:
Aprobacin de documentacin del Comit de SI (CSI).
Presidir las reuniones del Comit de SI.
Convocar reuniones extraordinarias del CSI.
Aprobacin de Cambios de Procesos de Gobierno.
Aprobacin de Cambios Estructurales al SASI.
Revisiones del SASI:
Garantizar que se conduzcan Auditoras Internas.
Conducir Revisiones de la Direccin del SASI.
Verificar el cumplimiento de objetivos y planes de SI.
Responsabilidades rea de la Seguridad de la Informacin
Constitucin del SASI:
- Elaboracin de Procedimientos y Controles del SASI.
Administrativos:
Establecer y operar control documental del SASI.
Administracin de Riesgos:
Elaboracin de modelos, anlisis de brechas y tratamiento de riesgos.

Seguimiento del desempeo del SASI:

Consolidar resultados de efectividad del SASI.
Mejora Continua:
Identificacin y Revisin de reas de Oportunidad y de acciones correctivas.
MODELO DE UN GSI: ESTANDARES

EVOLUCION DE LA NORMA ISO27001

PAREJA DE DOCUMENTOS
ISO 17799:2005 Gua de Implementacin de controles
Cdigo de prctica para un ISMS
BS 7799-2:2002 _Evoluciona en ISO27001
Especificaciones para un ISMS
RESUMEN DE CAMBIOS
Revisin ISO17799:2005
ISO17799:2000 es retirada
Se public en Julio 2005
17 nuevos controles ahora hay 134 en lugar de 127
11 Captulos antes 10, se agrega manejo de incidentes
Evolucionar en ISO 27002 en Abril 2007
_ BS7799- Parte 2_ISO 27001
Se transform en ISO27001 en Octubre 2005
BS7799 Parte 2 es retirada.
DOMINIOS ISO27001

Poltica de seguridad
Organizacin de la Seguridad de la Informacin
Gestin de activos
Recursos de Seguridad Humana
Seguridad Fsica y Ambiental
Comunicaciones y Operaciones
Control de acceso
Sistemas de Informacin de adquisicin, Desarrollo y Mantenimiento
Seguridad de la Informacin de Incidentes
Continuidad del negocio
Cumplimiento
ESTANDARES DE PROCESO

4. Sistema de gestin de la seguridad de la informacin.

4.1Requerimientos generales
4.2 El establecimiento y la gestin de los SGSI
4.2.1 Establecer el SGSI
Identificar los riesgos
Analizar y evaluar los riesgos
Objetivos de control y controles deben seleccionarse e implementarse para
cumplir con los requerimientos identificados en el proceso de anlisis y tratamiento
de riesgo
4.2.2 Implementar y operar el SGSI
Implementar los controles seleccionados para cumplir los objetivos de control
4.2.3 Monitorear y revisar el SGSI
Llevar a cabo revisiones regulares de la efectividad del SGSI
4.2.4 Mantener y mejorar el SGSI
Implementar las mejoras identificadas en el SGSI.
CONSTRUYENDO UN GSI (BASADO EN ISO27001)
1-Definicin y Establecimiento de:
Alcance y lmites del SASI.
Poltica de seguridad de informacin.
Metodologa de Administracin de Riesgos.
Que identifique riesgos asociados a los activos de informacin definidos.
Anlisis y evalan los riesgos identificados.
Evalan las opciones para el tratamiento de los riesgos identificados.
2-Nivel de riesgo aceptable
3-Reduccin de Riesgo mediante seleccionan de controles de la norma ISO
27001:2005
4-Aprobacin de Riesgo Residual por Direccin general.
5-Autorizacin de Implementacin del SASI por Direccin General.
6-Relacin de controles aplicables para lograr el nivel de riesgo residual aprobado
por la Direccin General documentados en un Declaracin de Aplicabilidad, SoA.
PLAN DE TRABAJO: CERTIFICACION ISO27001

LA ADMINISTRACION DE RIESGOS EN GSI

Objetivo: Administrar los riesgos de negocio en materia de SI en forma de costobeneficio para la organizacin a travs de:
Identificacin de activos crticos, sus vulnerabilidades y amenazas.
Cuantificar los impactos al negocio debido a las amenazas.
Calcular los riesgos.
Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los
impactos en el negocio ($$).
Implementacin de controles que ayuden a mitigar los riesgos.
Monitoreo de la efectividad de los controles y su impacto en los riesgos.
TRATAMIENTO DE RIESGOS
Objetivos:
Identificar controles de seguridad que mitigan riesgos
Calcular los riesgos residuales
Seleccionar opciones de tratamiento de riesgos (Aceptar, mitigar, transferir,
evitar)
Desarrollar un plan de tratamiento de riesgos

CONTROLES DE SEGURIDAD:
Cortafuegos
Administracin de cuentas de usuarios
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexin nica "Single Sign on- SSO"
Biomtria
Cifrado
Cumplimiento de privacidad
Acceso remoto
Firma digital
Intercambio electrnico de Datos "EDI" y Transferencia Electrnica de
Fondos "EFT"
Redes Virtuales Privadas "VPNs"
Transferencia Electrnica Segura "SET"
Informtica Forense
Recuperacin de datos
Tecnologas de monitoreo

MEJORES PRCTICAS DEL GSI

Estrategia de Seguridad de Informacin ligada a los objetivos del negocio y
basada en el valor de la informacin protegida.
Polticas de Seguridad de Informacin que incluyan aspectos de la
estrategia, el control y las regulaciones, que adems estn basadas en las
mejores prcticas internacionales relacionadas a Seguridad de Informacin.
Una estructura organizacional efectiva que permita la implementacin de la
Estrategia de Seguridad de Informacin.
Metodologa de Administracin de Riesgos de Seguridad de Informacin
que facilite la toma de decisiones basadas en riesgos de negocio.
Un proceso de mejora continua y de monitoreo de polticas, procesos y
controles de Seguridad de Informacin para asegurar su cumplimiento.
FACTORES CRITICOS DEL GSI
1- La Poltica de Seguridad de SI deber estar firmada por el director general,
debe responder a un anlisis de riesgos previo y responder a requerimientos
legales y regulatorios de la organizacin. La misma deber aplicarse a los terceros
con actividades relacionadas a la organizacin.
2- Debe de disearse una Estrategia de SI que considere metas a corto, mediano
y largo plazo que se oriente a implementar lo establecido en la Poltica de SI.

3- Debe desarrollarse e implementar un Modelo de Administracin de Riesgos en

base a las necesidades de la empresa y que considere riesgos residuales y
bandas de riesgos aprobadas por la Direccin General.
4- Se debe de considerar establecer un Plan de Continuidad de Negocios que
responda a eventos que puedan interrumpir procesos crticos de negocio.
5- Se debe Concientizar sobre la relevancia de SI al grupo de directores as como
a las diferentes audiencias pensando en la especializacin, esto debe de
enfocarse a explicar a cmo transformar el costo de cumplimiento de la Poltica de
SI a beneficios tangibles a la Organizacin.
6- Se debe de establecer un Comit de SI que sea representativo de la
organizacin de acuerdo al alcance del GSI, es mandatario involucrar a Recursos
Humanos y a Legal.
7- Deben establecerse los diversos Dueos y Custodios de los Activos de
Informacin y su adecuado Accountability.
8- La direccin general debe Aprobar Objetivos Anuales de SI clasificados en
estratgicos, relacionados a mejoras en procesos bsicos de SI y objetivos
operativos.
9- Se debe establecer una Medicin del Cumplimiento de la Poltica de SI basado
en un adecuado monitoreo del GSI.
10- La funcin de SI deber contar con un Presupuesto Independiente de
cualquier rea funcional.
11- Se debe de establecer la Normatividad basada en las mejores prcticas
internacionales de SI y disciplinas relacionadas necesarias para que sean la base
estructural de los controles de SI administrativos, tecnolgicos y procedurales.
12- La funcin de SI debe de Cubrir a los procesos ms Crticos de la
Organizacin.
13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes que
considere un adecuado proceso de comunicacin y procedimientos de respuesta a
incidentes.
14- Se debe de considerar establecer un Proceso de Control de Accesos que
brinde Seguridad efectiva y optimice los recursos dedicados a TI.
15- La Seleccin de controles de SI deber contar con el nivel de efectividad
solicitada por el Anlisis de Riesgos de forma que el riesgo residual se maneje
adecuadamente.
16- Todos los Contratos de la Organizacin debern considerar siempre aspectos
de SI como acuerdos de confidencialidad, propiedad intelectual, etc.
17- Debe de establecerse la funcin de Auditoria de TI/SI para contar con un
adecuado balance entre las normas y las operaciones relacionadas a SI.
18- Debe de mantenerse un Inventario de Activos de Informacin que considere
procesos de negocio, personas e infraestructura en general.
19- Debe de establecerse una Organizacin de SI que administre la funcin de SI
y encuentre el adecuado balance con el Comit de SI.

BIBLIOGRAFIA
http://www.bscconsultores.cl/descargas/C.7%20Gobierno%20%20de%20la%20Se
guridad%20de%20la%20Informacin.pdf
http://www.isaca.org/chapters7/Monterrey/Events/Documents/20061023%20
Gobierno%20de%20Seguridad%20de%20Informaci%C3%B3n.pdf
http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/PresentacionJavi
erEvans.pdf