GESTION DE

RIESGOS
ROXANA QUIROZ VALENZUELA
 TABLE OF CONTENTS

LOPEZ ALVARADO, DE LA CRUZ CHAVEZ,

Yumira Milagros 01 03 Geraldine Carolaine

1631467 U17100433

PARDO VALENZUELA,
MUÑOZ PONCE, José Omar
Jean Paul Giomar 02 04
U17101684
1621951
DEMOSTRACIÓN
DE UN SGSI

Para establecer y gestionar un SGSI se

utiliza el ciclo PDCA (Plan, Do, Chek, Act)
esta metodologia se puede aplicar a todos
los procesos del SGSI y permite establecer
una mejora continua en toda clase de
organizaciones.
SGSI
Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los
recursos y actividades asociados que son administrados colectivamente por una
organización, en la búsqueda de proteger sus activos de información esenciales.

Además, debemos tener en cuenta la visión dada por el estándar ISO/IEC 27001:

Es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar la seguridad de la información de una organización y lograr sus
objetivos comerciales y/o de servicio.
ISO 27001
La norma ISO 27001, es el estándar a
nivel internacional que muchas
organizaciones siguen para implementar
su Sistema de Gestión de Seguridad de la
Información (SGSI).
  Reduce el riesgo de que se produzcan pérdidas de
información.
 Brinda una revisión continua de los riesgos.

Beneficios de  La certificacion de un estandar internacional

 Establece una metodología.
Implantar un SGSI  Implanta medidas de seguridad.

de acuerdo a ISO  Fomenta la mejora continua.

 Reducción de los costes.
27001  Brinda un mejor funcionamiento de los procesos.
 Incremento en la motivación del personal.
 La empresa cumple con la legislacion vigente.
Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”. La protección de estos activos está
destinada a preservar la confidencialidad, la integridad y la disponibilidad de la
información.
PDCA
 FASE DE
PLANIFICACI
ÓN1
ETAPA
OBJETIVO

Planificar, Evaluar los Establecer

diseñar y riesgos de controles para
establecer el seguridad de la minimizar
SGSI informacion riesgos.
 PASOS A SEGUIR
Inventario de activos

Definir la política del SGSI

Definir el alcance del SGSI

En esta fase se debe

realizar un inventario
Establece y confirma de activos
el compromiso de la identificando su
El alcance del SGSI alta dirección con los ubicación, responsable
aclara los límites del objetivos de seguridad y funciones, lo cual
SGSI en función del de la información de permitira realizar un
contexto y/o la organización y la analisis y valoracion
importancia y mejora continua del de riesgos para
ubicación de los SGSI, entre otros determinar las
activos críticos de posibles aspectos amenazas,
información de la relevantes. vulnerabilidades e
organización. impacto.
 PASOS A SEGUIR

Análisis de riesgos
Valoración de activos

En esta etapa se Identificar las

valorará para cada amenazas asociadas a
activo el impacto o cada uno de los
grado en que se puede procesos de negocio,
ver afectado activos de
determinado sistema, información,
para el caso de probabilidad de
estudio, el proceso, al ocurrencia y
alterar alguno de sus vulnerabilidades ante
componentes o activo dichas amenazas.
de información.
 FASE DE
EJECUCIÓN
ETAPA 2
 OBJETIVO

En esta fase se implementa la selección de controles adecuados para

medir los riesgos y también se pone en marcha el sistema SGSI para la
detección y evaluación de los riesgos y amenazas.
ACTIVIDADES
El objetivo del plan de tratamiento del riesgo es definir claramente
Plan de tratamiento del Riesgos como se implementarán los controles.

La selección de controles define el plan de tratamiento de riesgos

Selección, implementación y
verificación de los controles
que estará enmarcada en los 133 controles de la norma ISO 27002 y
el anexo A de la norma ISO 27001.

Clasificación de controles:
1. Controles Técnicos
2. Controles Organizativos
Después de seleccionar los controles, se debe realizar un
procedimiento a seguir para su implementación.

En esta actividad, la norma ISO 27001 establece que todo el

Formación y concienciación
personal debe estar involucrado y hacer parte activa de los procesos
relacionados al SGSI.
 FASE DE
SEGUIMIENT
O3
ETAPA
 OBJETIVO
Consiste en hacer un seguimiento de cómo funciona y evoluciona el
sistema. Tiene como objetivo corregir posibles desviaciones sobre lo
planificado y previsto. También, detecta oportunidades de mejoras del
sistema.
 ACTIVIDADES

Revisión del SGSI Plan de Tratamiento Acciones correctivas y

Auditoria
del Riesgo preventivas
interna
REVISION DEL SGSI

Esta actividad tiene como objetivo

asegurarse de que el SGSI es en todo
momento adecuado, apropiado y efectivo
para los propósitos y contexto de la
organización.
Es uno de los requisitos más importantes de
la norma ISO 27001.
Esta revisión forma parte de la fase Check
del ciclo de mejora continua, y es una
herramienta para el análisis y la adopción
consensuada de oportunidades de mejora,
ya que se contemplan todos los aspectos y
la marcha del SGS.
 REVISION DEL SGSI
Es una actividad El objetivo de la auditoría es La planificación de la auditoría debe

independiente que tiene determinar si los objetivos de hacer al menos anualmente.Las

personas que asuman el rol de
lugar dentro de la los controles, los procesos y
auditor Interno tienen que poseer la
organización y está procedimiento están
necesaria preparación profesional en
encaminada a la revisión de conforme con los requisitos
las metodologías que hay que
operaciones con el fin de de la norma que se audite en
emplear, los conocimientos
prestar un servicio a el sistema.
generales (tanto del ambiente
dirección.
empresarial como del SGSI) y contar
con el carisma personal para tener
credibilidad y el respaldo de la
dirección.
 PLAN DE TRATAMIENTO DEL RIESGO
La norma ISO 27001, dice que se debe preparar un plan que contenga acciones que se van a realizar
para gestionar riesgos.
El objetivo de este plan es definir el alcance de los trabajos a realizar, así como el de evaluar la
viabilidad de los objetivos del proyecto con los recursos disponibles.
Es importante asignar un responsable.
 
Se deberían establecer indicadores de rendimiento
para medir el grado de cumplimiento de los
objetivos. La información se recogerá a partir de
los registros del sistema reflejados en cada uno de
los documentos, por ejemplo, logs de accesos,
registros de incidencias, etc.
 ACCIONES CORRECTIVAS Y PREVENTIVAS
Es la actividad donde se toman acciones encaminadas a resolver una situación no
deseada, es decir, cuando hay un incumplimiento de un requisito de la norma.
Acciones contempladas por la norma son las siguientes:
 
FASE DE
MEJORA
ETAPA 4
OBJETIVO
Corregir y estandarizar

 Revisar la retroalimentación y hacer correcciones.

 Ejecucion y cierre de planes de acción correctivos
y preventivos.
 Mejoramiento y Control de procesos.
 ACTIVIDADES

Mejorar algun punto débil

de la fase anterior

Mantenimiento del sistema Exite 3 tipos de

medidas
 CASUÍSTICA

La Universidad Juan de Castellanos ha colocado un sin número de mecanismos y

medidas de seguridad para proteger sus activos informáticos, siendo insuficientes
para llegar a cumplir con sus metas de seguridad, por tanto, la legislación y la
comunidad internacional se han unido para generar normas y estándares en cuanto
a seguridad informática, estableciendo parámetros para evaluar, medir, prevenir,
mitigar, y corregir los riesgos que pueden provocar pérdida del negocio, daños de la
imagen corporativa, sanciones legales y hasta cierre de una empresa.
Por tal motivo la metodología que se propone para la implementación del SGSI se
basa en el ciclo de mejora continua PDCA.
 ETAPA 1: PLANIFICACIÓN

ALCANCE DEL SGSI

La fundacion universitaria Juan de Castellanos tendra que definir el alcance del
SGSI en funcion de sus caracteristicas como institucion de Educacion Superior,
localizacion, activos y tecnologia utilizada, se recomienda inicialmente limitar el
alcance a los procesos fundamentales del negocio, donde se tenga la
informacion mas relevante de la universidad

o DOCENCIA

o INVESTIGACION

o PROYECCION SOCIAL
o BIENESTAR UNIVERSITARIO
ETAPA 1:
POLITICA DEL SGSI

Estas políticas deben especificar las condiciones, derechosy obligaciones de cada uno de los
miembros de la organización con respecto a la utilización de los sistemas informáticos, también
deben llevar algunas de las siguientes especificaciones:

 Deben tener consignados los derechos, responsabilidades y sanciones con base en las normas
legales, reglamentos administrativos y técnicos de la Universidad.

 Servir como soporte y mecanismo de control para definir el buen uso de los recursos institucionales
y para dar apoyo a cualquier tipo de procedimiento legal que se pueda presentar.

 Se deben crear según las características misionales de la institución, recursos, usuarios y medios
tecnológicos, entre otros.

 Deben ser un marco de referencia general de Seguridad Informática institucional.

ETAPA 1:
Las politicas de seguridad generales que se deben tener en cuenta en la Fundacion
Universitaria Juan de Castellanos para la implementacion del SGSI deben tener las
siguientes características:

CONFIABILIDAD EXACTITUD

EFICACIA LEGALIDAD
PROTECCION
CONFIDENCIALIDAD FISICA
DISPONIBILIDAD

EFICIENCIA PROPIEDAD

AUTORIZACION
INTEGRIDAD
La política del SGSI para la Fundación Universitaria Juan de Castellanos debe tener en cuenta el
marco legal que la define como Institución de Educación Superior y el cual se encuentra
establecido mediante las siguientes normas:

 Ley 30 de 1992
 Estatuto general
 Proyecto Educativo Institucional P.E.I
 Proyecto Formativo del Programa
 Modelo Pedagógico o Educativo
 Norma ISO 9001: 2008
 Lineamientos para la acreditación institucional
 Lineamientos para la acreditación de programas de pregrado
 Lineamientos para la acreditación de programas de maestrías
y doctorados
 Guía de procedimiento para la acreditación
 Políticas nacionales de bienestar universitario
 Reglamento estudiantil
 Reglamento docente
En lo que se refiere al contenido, la Política de Seguridad debe incluir de manera general los
siguientes apartados.

 Definición de la seguridad de la información y sus objetivos globales, el alcance de la

seguridad y su importancia como mecanismo de control que permite compartir la
información.
 Declaración por parte de la Rectoría apoyando los objetivos y principios de la
seguridad de la información.
 Breve explicación de las políticas.
 Definición de responsabilidades generales y específicas, en las que se incluirán los
roles pero nunca a personas concretas dentro de la Universidad.
 Referencias a documentación que pueda sustentar la política.
La Política de Seguridad debe ser un documento completamente actualizado, por lo que debe ser revisado y
modificado anualmente. Además, existen otros tres casos en los que es imprescindible su revisión y
actualización, los cuales corresponden a:

 Después de grandes incidentes de seguridad.

 Después de una auditoría del sistema sin éxito.
 Frente a cambios que afectan a la estructura de la Universidad

Igualmente la política debe considerar los criterios y metodología para la valoración del riesgo, donde se debe
tener en cuenta

 Definir una metodología para la evaluación y clasificación de los riesgos que

impactan la seguridad de la información.
 Identificar los riesgos.
 Analizar y evaluar los riesgos encontrados.
 Definir objetivos de control y Controles para el tratamiento de los riesgos.
 Proponer opciones para el tratamiento de los riesgos.
INVENTARIO DE ACTIVOS

Según la norma ISO 27001:2005, se debe identificar el conjunto de activos de la información,

entendiendo un activo como cualquier elemento que represente valor para la Universidad, tal
es el caso de activos de información bases de datos, documentación, equipos de laboratorio,
instalaciones físicas, manuales, software, hardware, contratos de equipo de comunicaciones,
servicios informáticos y de telecomunicaciones, elementos generales como
iluminación, energía, aire acondicionado, servicio de internety las personas, queson quienes
generan, transmiten y destruyen información, entre otros, los cuales se encuentran
enmarcados dentro de los procesos seleccionados para la definición del alcance
(Procesos estratégicos, misionales y de apoyo).
La información a tener en cuenta para
cada activo debe incluir los siguientes
elementos:

 El nombre del activo.

 La descripción del activo.

 Tipo o categoría a la que pertenece

(Equipo, aplicación, servicio, etc.).

 Ubicación (Lugar físico en el que se

encuentra dentro de la organización).

 Propietario (Responsable del activo).

Al realizar el inventario de activo es importante tener en cuenta
conceptos tales como:

AMENAZA

Es una causa potencial de un incidente no deseado, el cual

puede resultar en daño a un sistema u organización.

VULNERABILIDAD

Es la debilidad de un activo o grupo de activos que puede ser

explotada por una o más amenazas.
Para realizar el análisis de amenazas y vulnerabilidades es necesario:
 Realizar una lista de las amenazas que puedan presentarse en
forma accidental o intencional en la Fundación Universitaria
Juan de Castellanos en relación con los activos de
información.
 Diferenciar estas amenazas de las vulnerabilidades de los activos
ya que el análisis debe radicar en las amenazas.
 Identificar los riesgos internos de los procesos analizando tanto las
actividades que se desarrollan como las amenazas identificadas.
 Identificar los riesgos externos de los procesos. Establecer y
analizar los riesgos generados por terceros, subcontratación de
servicios o existe personal externo a la organización
 Realizar un análisis del entorno en los fenómenos naturales, el
ambiente geopolítico, el ambiente tecnológico, el ambiente
ecológico y los aspectos socioculturales que rodea la
Universidad para definir las amenazas a las que pueden estar
expuestos los activos.
VALORACION DE LOS ACTIVOS

En la siguiente tabla se describen los requisitos

de Confidencialidad, Integridad y Disponibilidad
que se debe asignar a cada uno de los activos en
relación con su nivel de impacto: Alto, Medio y Bajo,
según el comportamiento de este dentro del proceso:
Aplicando la tabla anterior a cada uno de los activos relacionados para el proceso de docencia, se podría
establecer el valor del activo con respecto a sus requisitos (Confidencialidad-Integridad –Disponibilidad) y
sus niveles (1=Bajo, 2=Medio, 3=Alto), siendo la valoración total del activo la suma de los tres valores, tal como
se observaa continuación:

El resultado de esta fase será el inventario de activos valorados, para lo cual se sugiere seleccionar
un porcentaje de los activos con mayor valor para continuar con la siguiente etapa que es la de Análisis de
Riesgos.
 ANALISIS DE RIESGOS

El Análisis de Riesgos le permitirá a la Universidad:

 Identificar objetivamente los procesos y activos de
información críticos que impactan en la continuidad del
negocio.
 Evaluar la eficacia de los controles y procesos de
seguridad implantados.
 Optimizar las futuras inversiones en seguridad.
 Realizar el seguimiento y control de la evolución de los
niveles de riesgo.
El nivel de la vulnerabilidad como el nivel (o probabilidad) de la amenaza se pueden valorar en una
escala de 0 a 3 respectivamente:
0= no aplica
1=Bajo
2=Medio Después de realizada la valoración del
riesgo para todos los activos del
3=Alto
proceso de docencia o procesos
involucrados dentro del alcance del
SGSI, se debe definir el nivel de
riesgo aceptable por la Universidad,
este nivel sirve como indicador,
definiendo que todos los activos con
algún riesgo por encima de este
valor deben ser tratados de alguna
forma para ser mitigados, eliminados o
aceptados.
 ETAPA 2: EJECUCIÓN
Plan de tratamiento del Riesgo

Una vez analizado y cuantificado los riesgos, así como

el impacto que tienen dentro de la universidad, se
deben seleccionar y aplicar las medidas más
adecuadas.

Dentro del plan de tratamiento de riesgos se debe

seleccionar para cada riesgo estrategias de respuesta
que tenga mayores posibilidades de éxito.
 ETAPA 2:
Implementación de controles

Objetivos de control y controles que se deben aplicar en la universidad Juan de castellanos

basados en la norma ISO 27001, los cuales están relacionados con la misión institucional de
la universidad, con el personal y con los sistemas de información:

Controles y objetivos de control relacionados con la misión de la universidad:

 Definición de la política de seguridad

 Contratos con terceros

 Cambios en los contratos con terceros

 ETAPA 2:

Controles y objetivos de control relacionados con el personal:

 Definición de funciones y responsabilidades

 Responsabilidad en el uso de contraseñas

 Concienciación y educación sobre normas de seguridad

Controles y objetivos de control relacionados con los sistemas de información:

 Controles para el mantenimiento de equipos

 Actualizaciones de software

 Protección contra código malicioso

 ETAPA 2:

Formación y concienciación

Es indispensable que los docentes,

Administrativos, estudiantes se capaciten en
seguridad informática para generar una
cultura de uso y buenas prácticas de
seguridad que permitan minimizar las
posibilidades de riesgo para la universidad.
 ETAPA 3: SEGUIMIENTO

Para abordar la fase de verificación, se van a realizar las

siguientes actividades.

 Revisión del SGSI

 Auditoría Interna
 Acciones correctivas y preventivas
 Plan de Tratamiento del Riesgo
 REVISION DEL SGSI
La verificación del SGSI lo va realizar el consejo directivo por medios de informes entregados
por parte del encargado deseguridad informática.
CONSEJO DIRECTIVO

 Planes de acción para el mejoramiento del SGSI.

 Actualización de la gestión y evaluación del riesgo.
 Reestructuración o implementación de nuevos controles
 Asignación de mas recursos para el cumplimiento de los
objetivos del SGSI.
 Cambios en los niveles de riesgo Aceptable
 Implementación de estrategias para medir la efectividad de
los controles.
 Rediseño, eliminación e implementación de nuevos
indicadores.
Para facilitar el proceso de verificación del SGSI se puede usar algunas herramientas como:
Auditorias internas, cartas de controles, planes de verificación del SGSI, BSC o CMI.
 AUDITORIA INTERNA
Para realizar las auditorías internas se utilizaron técnicas, como inspección, observación,
entrevistas, documentación y procedimientos analíticos los sistemas informáticos de la
institución.

El auditor será el responsable de llevar a cabo la auditoría en donde se deben incluir las
siguientes actividades.

 Planificar la auditoría
 Llevar a cabo las distintas tareas definidas en las fases de la auditoría.
 Escuchar y observar
 Gestionar las desviaciones riesgos que pudieran suceder durante la auditoría.
 Informar al consejo directivo acerca del diseño y funcionamiento de los controles
implantados.
 Uso del software de auditoría CAATS (Computer Assisted Audit Techniques) para verificar
procesos automatizados que no sea posible revisar manualmente.
 AUDITORIA INTERNA

Una vez Cumplida las actividades antes

descritas, el auditor debe presentar al Consejo
Directivo De la Universidad un informe que
contendrá:

 Las conclusiones de la auditoría

 Las no conformidades
 Una descripción de la auditoría con objetivo,
alcance, fases y fechas, técnicas empleadas,
entre otros
 ACCIONES CORRECTIVAS Y PREVENTIVAS
 Evaluar la necesidad de acciones para eliminar la causa de la no
conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte.
 Revisar la eficacia de las acciones correctivas tomadas.
 Adoptar medidas para controlar y corregir antes una inconformidad.
 Registrar un resumen de la información de las acciones correctivas,
preventivas y de mejora en el formato “Consolidado de Acciones para ser
analizada en las reuniones de Las Áreas Administrativas y en la Revisión
por el Consejo Superior de la universidad”.

El responsable de esta actividad debe conservar información

documentada como evidencia de:
1. La de las acciones no correctivas y de cualquier acción tomada
posteriormente.
2. Los resultados de cualquier acción correctiva.
 PLAN DE TRATAMIENTO DE RIESGO

Una vez evaluados y seleccionados aquellos Riesgos que

consideramos inaceptables, El consejo directivo aplicara nuevos
Controles para reducir su probabilidad e impacto, y convertirlos así
en residuales
 ETAPA 4: MEJORA

En la ultima fase, se implementan las medidas correctivas y plan es de

mejora obtenidos como resultado de la verificación del SGSI.

 Mantener y mejorar el SGSI.

 Definir planes de acción en cuanto a medidas correctivas, preventivas y
planes de contingencia.
 Identificar las no conformidades encontrada en el SGSI
 Analisis de causa-efecto.
 Evaluar la efectividad de los planes de mejora del SGSI
 Comunicar las acciones de mejora
 Verificar la correcta implementación de las mejoras propuestas al SGSI
ETAPA 4
Estan involucrados en la fase de actuar, las Directivas de la Fundacion
Universitaria Juan de Castellanos, asi como personal Administrativo, cuerpo
docente y estudiantes quienes deben ejecutar las acciones de mejora planteadas
como resultado de la autoevaluacion realizada por parte de las auditorias.
 ETAPA 4
Insumos, Responsables y Productos de la fase de Actuar
MUCHAS
GRACIAS !