tag:blogger.com,1999:blog-37292197527174014272024-03-21T14:18:36.840-07:00Information Security GovernanceEl objetivo del blog es traer a colación aspectos, prácticas, casos de negocio, actividades en general relacionadas con la gestión de seguridad de la información y su gobernabilidad, seguridad de la información desde los niveles técnicos y operativos hasta los niveles tácticos y estratégicos.
La idea es generar y compartir conocimiento, compartir experiencias, mejorar el tema en nuestra sociedad como nuestro aporte a la misma.Richard Garcíahttp://www.blogger.com/profile/14933140844686760614noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-3729219752717401427.post-54912694241975024422012-01-12T18:11:00.000-08:002012-01-12T18:11:15.161-08:00<div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: center;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; mso-ansi-language: ES-TRAD;"><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: ""sans-serif"", "serif"; mso-ansi-language: ES-TRAD;"><span style="font-family: Calibri;">Muy feliz año!!, espero que este nuevo año traiga mucha felicidad y tranquilidad a todos.</span></span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: ""sans-serif"", "serif"; mso-ansi-language: ES-TRAD;"><span style="font-family: Calibri;">Bueno, ya que en estas fiestas uno de los principales objetivos es alimentar los lazos familiares y sociales con numerosas reuniones alegres y llenas de anécdotas, no queda mucho tiempo extra para actividades como un blog, así que, con algo de culpa y remordimiento decidí, como abrebocas, traerles un artículo que publiqué algunos años atrás.</span></span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: ""sans-serif"", "serif"; mso-ansi-language: ES-TRAD;"><span style="font-family: Calibri;">Y lo planteo como abrebocas ya que actualmente me encuentro desarrollando el tema de medición para modelos de seguridad de la información que prontamente les traeré, medición teniendo en cuenta lo que quiere ver la alta gerencia.</span></span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: ""sans-serif"", "serif"; mso-ansi-language: ES-TRAD;"><span style="font-family: Calibri;">Espero sea de su agrado.</span></span></div><div align="justify"><br />
</div><div align="justify"><br />
</div><div align="justify"><br />
</div><br />
<b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; mso-ansi-language: ES-TRAD;">GESTIONAR LA INSEGURIDAD PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN: Un marco conceptual para la medición de la inseguridad.</span></b></span></div><div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: center;"><br />
</div><div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: center;"> </div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">El verdadero objetivo de la seguridad no es eliminar la inseguridad,</span></i></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;"><span style="mso-spacerun: yes;"> </span>es enseñarnos a convivir con ella.</span></i></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">INTRODUCCION</span></b><span lang="ES-TRAD" style="background: yellow; font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-highlight: yellow;"></span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">En la era actual<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn1" name="_ftnref1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[1]</span></span></span></span></span></span></a>, la información y en particular el conocimiento que se puede generar a partir del mismo, es reconocido [2] por la sociedad como un factor indispensable para su desarrollo.<span style="mso-spacerun: yes;"> </span>Así, el conocimiento permite a una sociedad o cualquier organización marcar una diferencia y tomar ventajas en cualquiera que sea la temática a competir.<span style="mso-spacerun: yes;"> </span>La información, entonces se convierte en un elemento estratégico y el cuidado de la misma, teniendo en cuenta sus características<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn2" name="_ftnref2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[2]</span></span></span></span></span></span></a> que permitan generar un buen conocimiento, se ha convertido en uno de los desafíos más importantes hoy en día de nuestra sociedad y organizaciones que la conforman.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Afortunadamente nuestra sociedad ha ido tomado acciones [3] sobre la protección de la información, acciones que se iniciaron desde el punto de la seguridad informática, pasando por la seguridad de la información y llegando a la Gestión de la Seguridad de la Información.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Pero, ¿Cuál es la diferencia entre la seguridad de la información y la gestión de la misma?, ¿Cómo o cuándo una organización puede establecer que no sólo tiene seguridad de la información sino que la gestiona?.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Uno de los aspectos sobre los cuales se puede marcar la diferencia entre la seguridad de la información y la gestión de la misma es el mejoramiento o evolución de ésta de acuerdo a las necesidades de la organización.<span style="mso-spacerun: yes;"> </span>De forma abreviada, gestionar la seguridad es garantizar que las medidas y controles que tenemos para proteger nuestra información son en cada momento los indicados y no sólo la apreciación en un instante de su ciclo de vida.<span style="mso-spacerun: yes;"> </span>Ya que:</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><ul style="margin-top: 0cm;" type="disc"><li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l0 level1 lfo3; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">Conocemos la información de la organización y la que debemos proteger.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l0 level1 lfo3; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">Conocemos de qué la debemos proteger.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l0 level1 lfo3; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">Conocemos por qué se ha implementado cada control de protección.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l0 level1 lfo3; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">Conocemos la efectividad de los controles.</span></li>
</ul><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Ahora, este mejoramiento necesario para la gestión, no puede ser realizado sino existe medición alguna sobre la temática, medición que nos permitirá determinar en que estamos fallando de acuerdo a los objetivos planteados. Pero en algo tan subjetivo como la seguridad, ¿cómo realizamos esta medición?, la medición así, se convierte en un reto en muchas ocasiones frustrante.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">El presente documento tiene como objetivo plantear un marco para la medición de la gestión de la seguridad de la información, basado en la inseguridad, factor clave para determinar la efectividad de la gestión en si misma.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
<br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.</span></b></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><br />
</div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">Lo lograste, ve y mejóralo!</span></i></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><br />
</div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt 36pt; mso-list: l1 level1 lfo2; tab-stops: list 36.0pt; text-align: right; text-indent: -18pt;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">-<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">Fers0n.</span></i></b></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">ISO define el Sistema de Gestión de Seguridad de la Información, de ahora en adelante SGSI, <span style="mso-spacerun: yes;"> </span>como parte de un sistema de administración, que basado en un análisis de riesgo, permite la implementación, operación, monitoreo, revisión, mantenimiento y mejora de la seguridad de la información [4].<span style="mso-spacerun: yes;"> </span>Desde luego cada una de estas acciones está orientada a proteger la información importante para el cumplimento de la misión<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn3" name="_ftnref3" style="mso-footnote-id: ftn3;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[3]</span></span></span></span></span></span></a>, donde la misión define la razón de la existencia de la organización en si.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Los sistemas de gestión poseen actividades que están orientadas a tratar la problemática particular y otras acciones cuyo objetivo es <i style="mso-bidi-font-style: normal;">“Gestionar”</i> y/o “<i style="mso-bidi-font-style: normal;">permitir</i>” las primeras. Es así como podemos plantear entonces acciones que indudablemente se deben desarrollar, y otras, que de acuerdo a nuestras necesidades, en este caso la seguridad de la información, necesitamos implementar. Las primeras son los procesos del sistema de gestión y las segundas son los controles particulares a desarrollar de acuerdo al análisis de riesgo realizado.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">De acuerdo a lo anterior podemos plantear los siguientes procesos para el SGSI<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn4" name="_ftnref4" style="mso-footnote-id: ftn4;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[4]</span></span></span></span></span></span></a>:</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><ul style="margin-top: 0cm;" type="disc"><li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l2 level1 lfo1; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Procesos de Administración del Sistema de Gestión (SG).</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l2 level1 lfo1; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de Inventario y clasificación de activos de información.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l2 level1 lfo1; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de gestión del riesgo.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l2 level1 lfo1; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de gestión de incidentes.</span></li>
<li class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-list: l2 level1 lfo1; tab-stops: list 36.0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de gestión de la cultura de SGSI.</span></li>
</ul><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">¿Cuál es la razón del planteamiento anterior<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn5" name="_ftnref5" style="mso-footnote-id: ftn5;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[5]</span></span></span></span></span></span></a>?.<span style="mso-spacerun: yes;"> </span>Debido a que se considera que sin la existencia de cualquiera de ellos no puede establecerse un SGSI. <span style="mso-spacerun: yes;"> </span>De igual forma podría pensarse en otros procesos como la gestión de la continuidad del negocio, pero estos son considerados como controles y no hacen parte constitutiva del SGSI, es decir, éste (el SGSI) puede existir sin contar con él<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn6" name="_ftnref6" style="mso-footnote-id: ftn6;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[6]</span></span></span></span></span></span></a>, por el contrario no lo podría hacer sin un proceso de inventario y clasificación de activos, el cual indica que información se debe proteger y como se debe tratar.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">A continuación se describen muy brevemente estos procesos</span><br />
<br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de administración del SG:</span></b><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;"> Dentro de este proceso se encuentran aquellas actividades propias del sistema de gestión, entre estás se encuentran: el control de la documentación y registros, la revisión del SG por parte de la dirección o gerencia de la organización, la definición de las responsabilidades, las acciones correctivas y preventivas y las auditorias al SG entre otras. Estas actividades son similares en cualquier sistema de gestión independiente del tema que éste maneje, es por esta razón que es plasmado alrededor de los demás procesos, ya que es éste el que permite la gestión (alineado al PHVA) de los procesos particulares a la seguridad de la información. <span style="mso-spacerun: yes;"> </span>Ahora una vez una organización haya puesto en marcha este proceso con cualquier temática particular<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn7" name="_ftnref7" style="mso-footnote-id: ftn7;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[7]</span></span></span></span></span></span></a>, incluir una nueva será mucho más fácil. Ver gráfica No 1. </span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmJZpwF8Tv9Oz6hYIrjQEt0OhijK2l5EVV1LZ_Pdj3e6z2DLli-Hlzwwzvt3m0KD3jx0k76QsGuONcPLlKpLMepXEEYC-yGjotXJgLHNxVEx2KmbhRrzlevfKOGBpykZvJEkoN2yaBodjo/s1600/Imagen1.bmp" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="288" kba="true" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmJZpwF8Tv9Oz6hYIrjQEt0OhijK2l5EVV1LZ_Pdj3e6z2DLli-Hlzwwzvt3m0KD3jx0k76QsGuONcPLlKpLMepXEEYC-yGjotXJgLHNxVEx2KmbhRrzlevfKOGBpykZvJEkoN2yaBodjo/s320/Imagen1.bmp" width="320" /></a></div><br />
</div><br />
<div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: center;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">Gráfica No 1. Procesos del Sistema de Gestión de la Seguridad de la Información.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><br />
</div><div class="MsoBodyText" style="margin: 0cm 0cm 0pt;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de inventario y clasificación de activos de información</span></b><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-GB;">: En este proceso se requiere identificar, valorar y clasificar los activos de información más importantes del negocio y así darles el tratamiento adecuado. Un activo de información en el contexto de un SGSI y con base en la norma ISO/IEC 27001:2005 es: “algo a lo que una organización directamente le asigna un valor y por lo tanto la organización debe proteger” [5].</span><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"></div><div class="Text" style="margin: 0cm 0cm 0pt; text-indent: 0cm;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; line-height: 105%; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-GB;">Proceso de gestión del riesgo:</span></b><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; line-height: 105%; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-GB;"> El proceso de gestión del riesgo consiste en la definición de una metodología para su manejo, una identificación del riesgo, un análisis del riesgo y un plan para el tratamiento del mismo que permita disminuir su nivel a un estado aceptable. <span style="mso-spacerun: yes;"> </span>Dentro del plan para el tratamiento de riesgo se plantean los controles que llevaran el riesgo al nivel deseado, y es así como en este proceso se incluye la gestión de éstos<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn8" name="_ftnref8" style="mso-footnote-id: ftn8;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[8]</span></span></span></span></span></span></a>.</span><br />
<br />
</div><div class="Descripcin" style="line-height: normal; margin: auto 0cm; text-align: justify;"><span style="font-family: Arial;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-size: 11pt; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-GB;">Proceso de gestión de incidentes:</span></b><span lang="ES-TRAD" style="font-size: 11pt; mso-ansi-language: ES-TRAD; mso-fareast-language: EN-GB;"> El objetivo principal de este proceso es definir acciones que permitan manejar adecuadamente los incidentes<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn9" name="_ftnref9" style="mso-footnote-id: ftn9;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[9]</span></span></span></span></span></span></a> a través de un esquema que involucra actividades de manera cíclica: Preparación, detección y análisis, contención y actividades post incidentes para evitar la ocurrencia nuevamente del incidente. [6].<span style="mso-spacerun: yes;"> </span>Este proceso es fundamental para la medición de la efectividad de los controles implementados siempre y cuando los incidentes sean relacionados con los controles que debieron impedir su ocurrencia.</span></span><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Proceso de gestión de la cultura de SGSI:</span></b><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;"> El proceso de gestión de la cultura provee el conocimiento acerca de la seguridad de información, a medida que el personal progresa en el desarrollo de la cultura, la necesidad de la misma es interiorizada y su rol es desarrollado. Así, al desarrollar el rol, el personal comienza a actuar de forma más segura y a utilizar las medidas implementadas. Dentro del proceso se incluyen etapas como: sensibilización, entendimiento, uso efectivo de las medidas.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Es recomendable que el proceso de administración del SG, aquel que permite que el sistema de gestión gire, sea introducido dentro de la empresa como un proceso en sí, con un flujo bien determinado, actividades, actores y responsabilidades acordes ya que forma en si la verdadera gestión de un sistema basado en el PHVA<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn10" name="_ftnref10" style="mso-footnote-id: ftn10;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[10]</span></span></span></span></span></span></a> el cual garantiza el monitoreo, la medición de resultados, y la definición e implementación de la mejoras.<span style="mso-spacerun: yes;"> </span>La existencia de este proceso en la organización facilita la inclusión de nuevos sistemas de gestión sin la necesidad de crear nuevas actividades.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Los demás procesos planteados, que caracterizan un SGSI, se deben definir de igual manera con sus actividades, actores y responsabilidades. Pero a diferencia del anterior, estos procesos es recomendable introducirlos dentro de las funciones ya existentes en la organización, ya que es primordial no generar actividades extras de seguridad sino hacer las actividades del negocio de forma segura, de esta manera el impacto de la inclusión de un SGSI en la organización se lleva al mínimo.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
<br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">PLANTEAMIENTO DE UN MARCO CONCEPTUAL PARA LA MEDICIÓN DE LA INSEGURIDAD EN UN SGSI.</span></b></div><div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: center;"><br />
</div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">“No todo lo que puede ser contado cuenta,</span></i></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;"><span style="mso-spacerun: yes;"> </span>y no todo lo que cuenta puede ser contado”.</span></i></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><br />
</div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt 36pt; mso-list: l1 level1 lfo2; tab-stops: list 36.0pt; text-align: right; text-indent: -18pt;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">-<span style="font-family: "Times New Roman";"> </span></span></span><i style="mso-bidi-font-style: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">Albert Einstein.</span></i></div><div align="right" class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: right;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">La pregunta del millón es entonces ¿Qué puede ser contado que cuente?. Una vez definido en el apartado anterior un marco de gestión es relativamente sencillo abordar un marco para la medición de esta gestión. Algo recomendable es utilizar la misma estructura, tanto para la gestión como para su medición, esto obviamente nos permite establecer una relación directa en “Como lo hago, lo mido”.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Así se genera una estructura de Indicadores de Gestión, IGs<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn11" name="_ftnref11" style="mso-footnote-id: ftn11;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[11]</span></span></span></span></span></span></a>, (ver gráfica No 2), que van desde los aspectos operativos, abordando los tácticos y alimentado los estratégicos, éstos últimos la razón de ser del marco de gestión. El primer nivel, <i style="mso-bidi-font-style: normal;">I.G. SGSI</i>, el nivel estratégico, define los IGs que se desprenden de los objetivos a alcanzar en un periodo de medición, estos determinarán cuales son los IGs relevantes a nivel táctico y operativo.<span style="mso-spacerun: yes;"> </span>Los IGs de color verde, el segundo nivel, enmarcan cada uno de los procesos planteados como indispensables dentro del SGSI, de esta manera cada aspecto puede llegar a ser medido.<span style="mso-spacerun: yes;"> </span>Como se mencionó anteriormente los diferentes controles y desde luego su medición, se encuentran dentro de la gestión del riesgo.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Los IGs de color amarillo, nivel operativo, son aquellos encargados de alimentar todo el marco ya que definen la medición particular a realizar.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizOGsQ70zDsIYelrdQTZb3vPcEdbJQDPwo8MX6K3A-webAu7u_ziZOS_Vq-5RqloL_zjjNbN8kXi-sxxalvKFQP7DfLQf7_czoez_NchWtrh0G7fOerQ-MyYIJHD6lrcWjzsfiRZ-XSFlU/s1600/Imagen2.bmp" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="174" kba="true" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizOGsQ70zDsIYelrdQTZb3vPcEdbJQDPwo8MX6K3A-webAu7u_ziZOS_Vq-5RqloL_zjjNbN8kXi-sxxalvKFQP7DfLQf7_czoez_NchWtrh0G7fOerQ-MyYIJHD6lrcWjzsfiRZ-XSFlU/s320/Imagen2.bmp" width="320" /></a></div></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div align="center" class="MsoNormal" style="margin: 0cm 0cm 0pt; mso-layout-grid-align: none; text-align: center;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 9pt; mso-ansi-language: ES-TRAD;">Gráfica No 2. Marco conceptual para la medición de la inseguridad en un SGSI.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">En este instante podría entrar una segunda pregunta al escenario ¿Por qué definir un marco, si lo interesante debería llegar a ser los indicadores en sí mismos?.<span style="mso-spacerun: yes;"> </span>Los indicadores de gestión deben ser enmarcados de acuerdo a las políticas y objetivos de la organización y de la seguridad de la información, no pueden ser estáticos, ni establecidos de forma unilateral por algún área, pues así no medirán lo que se desea realmente mejorar.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Es así, como los IGs para la medición de la gestión de la seguridad de la información deben definirse partiendo de lo que la organización desea evolucionar o mejorar en un lapso de medición determinado, y de esta manera apoyarán la consecución de los objetivos propuestos.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Por ejemplo, si una organización plantea como objetivo el mejoramiento de la cultura organizacional en el tema de seguridad de la información, indicadores adecuados para la medición del cumplimiento de este objetivo serían: el número del personal capacitado sobre el personal total; la eficiencia de las capacitaciones y el número de incidentes de seguridad relacionados con la falta de cultura de seguridad, entre otros.<span style="mso-spacerun: yes;"> </span>Por el contrario IGs como el cubrimiento a los procesos por parte del SGSI o el número de revisiones realizadas por la dirección no nos sería de mucha ayuda en el seguimiento y mejora para la consecución del objetivo planteado.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Ahora, lo anterior no pretende expresar que estos otros IGs no sean útiles, de hecho lo son, pero se desea hacer énfasis en medir lo que realmente nos interesa, buscando el enfoque y visualización de los objetivos planteados y así no quedar inmersos en la información misma.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">¿Cuál es el papel que juega la inseguridad en este planteamiento?. Partiendo de la problemática descrita en [7] en la cual la seguridad posee un gran componente subjetivo ya que es percepción propia de cada sujeto lo que la convierte en algo complejo para su medición, la inseguridad se convierte en candidata importante debido a su objetividad, al ser una realidad perceptible, observable y verificable, siendo en si la fuente misma para el análisis de riesgo del cual se desprenden los controles a desarrollar [7].</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Complementando y de acuerdo a lo planteado en este artículo, ¿Cuál sería el proceso que puede proveer información de inseguridad en un SGSI?, El proceso de gestión de incidentes. Es así como este proceso es tan importante en nuestro SGSI, ya que suministra la información prioritaria que permite el mejoramiento en el sistema. Al relacionar cada incidente con la temática afectada, se puede retroalimentar (ver gráfica No 2) la forma como se están ejecutando los procesos básicos y mejor aún determinar la eficiencia de los controles<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn12" name="_ftnref12" style="mso-footnote-id: ftn12;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[12]</span></span></span></span></span></span></a> implementados ya que se puede establecer cuáles de ellos fallaron (y cómo lo hicieron) y permitieron la ocurrencia de un incidente.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">Con la implementación de un proceso de gestión de incidentes<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn13" name="_ftnref13" style="mso-footnote-id: ftn13;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif";"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[13]</span></span></span></span></span></span></a> con sus IGs gestionamos la inseguridad, retroalimentado los procesos constitutivos del SGSI y sus IGs con la información de inseguridad, gestionamos la seguridad de la información.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">CONCLUSIONES</span></b></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">En el momento que una organización decide emprender el cambio de tener seguridad de la información a gestionarla, debe afrontar varios retos dentro de los cuales se encuentra la medición de la eficiencia de sus acciones en torno a la seguridad con el objeto de garantizar un verdadero mejoramiento, y así una gestión que no se quede sólo en el papel.<span style="mso-spacerun: yes;"> </span>La medición de la seguridad se convierte en un reto cada vez mayor debido a lo dinámica de la misma y a su alto grado de subjetividad. En este escenario nada alentador el concepto de inseguridad llega al rescate, permitiendo, desde un punto de vista más objetivo, obtener información relevante, medible, que permite retroalimentar los procesos constitutivos de un Sistema de Gestión de la Seguridad de la Información y generar una mejora que se puede evidenciar.<span style="mso-spacerun: yes;"> </span>Para lograr lo anterior se plantea entonces un marco conceptual para medir la inseguridad a través del proceso de </span><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">gestión de incidentes </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">y a la vez retroalimentar los procesos de seguridad con lo cual se puede determinar las falencias existentes y las mejoras a desarrollar, produciéndose así, la anhelada gestión.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-TRAD;">REFERENCIAS</span></b></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">[1] Era de la información. <a href="http://es.wikipedia.org/wiki/Era_de_la_informaci%C3%B3n"><span style="mso-bidi-font-family: Arial;"><span style="color: #002bb8; font-family: Times New Roman;">http://es.wikipedia.org/wiki/Era_de_la_informaci%C3%B3n</span></span></a>.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">[2] Plan Nacional de tecnologías de la Información y las Comunicaciones.<span style="mso-spacerun: yes;"> </span>http://www.colombiaplantic.org.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">[3] VII Encuesta Nacional de Seguridad Informática <a href="http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIENSI.pdf"><span style="mso-bidi-font-family: Arial;"><span style="color: #002bb8; font-family: Times New Roman;">http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIENSI.pdf</span></span></a>.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span lang="EN-US" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: EN-US;">[4] Willett, K.; How to Achieve 27001 certification. An Example of Applied Compliance Management. </span><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">USA, 2008.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">[5] ISO/IEC 27001:2005.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; text-indent: -18pt;"><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">[6] Cárdenas, F.; </span><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">Gestiones de Seguridad de la Información en las Organizaciones. 2007.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt 18pt; mso-layout-grid-align: none; text-indent: -18pt;"><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">[7] Cano, J.; </span><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;">Inseguridad Informática y Computación Anti-forense: Dos Conceptos Emergentes en Seguridad de la Información. </span><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 11pt; mso-ansi-language: ES-CO;">ISACA 2007. www.isaca.org.</span><span style="font-family: "Arial", "sans-serif"; font-size: 11pt;"></span></div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 0pt; text-align: justify;"><br />
<hr align="left" size="1" width="33%" /></div><div style="mso-element: footnote-list;"><div id="ftn1" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref1" name="_ftn1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[1]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> <span style="color: black;">La era en la cual nos encontramos es el </span><a href="http://es.wikipedia.org/w/index.php?title=Tecnocapitalismo&action=edit&redlink=1" title="Tecnocapitalismo (aún no redactado)"><span style="mso-bidi-font-family: Arial;"><span style="color: #002bb8; font-family: Times New Roman;">tecno-capitalismo</span></span></a><span style="color: black;"> o economía intangible, en la que los cuatro recursos claves para la actividad económica y la ventaja competitiva serían: El conocimiento, colaboración, compromiso y calidad temporal. [1].</span></span></div></div><div id="ftn2" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref2" name="_ftn2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[2]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">Las características básicas que se consideran en la seguridad de la información son la confidencialidad, integridad y disponibilidad. Lo anterior no limita a la organización a establecer otras características relevantes a proteger para su misión.</span></div></div><div id="ftn3" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref3" name="_ftn3" style="mso-footnote-id: ftn3;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[3]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> Existen algunas organizaciones que pueden sobrevivir sin el cumplimiento de su misión.</span></div></div><div id="ftn4" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref4" name="_ftn4" style="mso-footnote-id: ftn4;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[4]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">De acuerdo al estándar ISO/IEC 27001:2005. </span></div></div><div id="ftn5" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref5" name="_ftn5" style="mso-footnote-id: ftn5;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[5]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">No es el tema principal de discusión del presente documento.</span></div></div><div id="ftn6" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref6" name="_ftn6" style="mso-footnote-id: ftn6;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[6]</span></span></span></span></span></span></a><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;"> Un SGSI puede existir sin un proceso de gestión de continuidad del negocio, pero debe ser claramente justificada la no necesidad del mismo.</span></div></div><div id="ftn7" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref7" name="_ftn7" style="mso-footnote-id: ftn7;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[7]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> 9000, Gestión de Calidad; </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">14000, Gestión Ambiental; 1800, Salud Ocupacional y Seguridad Laboral; 27000,.Gestión de la Seguridad de la Información, entre otras.</span></div></div><div id="ftn8" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref8" name="_ftn8" style="mso-footnote-id: ftn8;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[8]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">Aspecto clave para la definición del marco conceptual para los indicadores de gestión del SGSI a describir más adelante.</span></div></div><div id="ftn9" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt; text-align: justify;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref9" name="_ftn9" style="mso-footnote-id: ftn9;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[9]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-CO" style="font-size: 8pt; mso-ansi-language: ES-CO; mso-fareast-language: EN-US;">I</span><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-CO; mso-fareast-language: EN-US;">ncidente de seguridad de la información está indicado por un evento o </span><span lang="ES-CO" style="font-size: 8pt; mso-ansi-language: ES-CO; mso-fareast-language: EN-US;">s</span><span lang="ES-CO" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-CO; mso-fareast-language: EN-US;">erie de eventos inesperados o no deseados de seguridad de la información, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de los activos de información. [5].</span></div></div><div id="ftn10" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref10" name="_ftn10" style="mso-footnote-id: ftn10;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[10]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> ISO avoca a las cuatro fases para el establecimiento de un SGSI, </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">PHVA: Planear, Hacer, Verificar y Actuar. [4].</span></div></div><div id="ftn11" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref11" name="_ftn11" style="mso-footnote-id: ftn11;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[11]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">De ahora en adelante IG.</span></div></div><div id="ftn12" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref12" name="_ftn12" style="mso-footnote-id: ftn12;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[12]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">Aspecto importante a la hora de la implementación y certificación de un SGSI bajo la norma ISO/IEC 27001:2005.</span></div></div><div id="ftn13" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref13" name="_ftn13" style="mso-footnote-id: ftn13;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: "Times New Roman"; mso-fareast-language: EN-GB;"><span style="color: #002bb8;">[13]</span></span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> “</span><span lang="ES-TRAD" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES-TRAD;">Gestión” de Incidentes se entiende como un proceso que se encuentra inmerso dentro de un SGSI y así puede mejorar.</span></div></div></div>Richard Garcíahttp://www.blogger.com/profile/14933140844686760614noreply@blogger.com0tag:blogger.com,1999:blog-3729219752717401427.post-47974912390889641152011-11-08T05:28:00.000-08:002011-11-08T07:50:04.961-08:00¿Cuál es el objetivo?<div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">En días recientes, en una actividad académica, un compañero me interrogaba con emoción (como quien tiene una primicia) sobre la posibilidad de que una organización diseñara, implementara y certificara un modelo de seguridad de la información en cuestión de meses (dos para ser más exactos).</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Al oír la interrogante plantee mi negativa de forma rápida, sintiendo un poco de culpa ya que no permití terminar el relato.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Posteriormente mi compañero terminaba su historia, comentándome que en un evento reciente una organización planteo como caso de éxito, exactamente lo cuestionado. Como ingeniero, comenté con incredulidad: ¡sin ver no creer!, y le pedí información de evidencia del mencionado evento.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">La expectativa fue grande esperando la información para corroborar dicho anuncio, y así fue: Un caso de éxito en el cual se había implementado y certificado una organización en ISO 27001 en tan solo dos meses.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Luego de darle vueltas a la presentación (en la cual no encontré estrategia alguna para tan increíble logro) y de recordar un cuestionamiento similar en una lista de correo de seguridad, decidí escribir mi opinión (siempre con el ánimo de construir). Opinión no sobre el tema del tiempo de implementación y certificación (ya que para esto se necesitaría información como: alcance del modelo, ubicación geográfica, cultura organizacional y algunas respuestas más), que desde luego, si es plateado formalmente por una organización, merece toda mi credibilidad; sino en algo más de fondo que me parece más interesante y al cual se le puede extraer un tinte académico. </span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Esto es: ¿Cuál es el objetivo de un modelo de seguridad de la información?, esta pregunta es mi principal caballito de batalla hace un tiempo; ya que siento que en algunas ocasiones este norte se ha perdido. No es extraño hoy en día ver modelos de seguridad, sobre todo el descrito por la norma ISO/IEC 27001:2005<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn1" name="_ftnref1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[1]</span></span></span></span></a>, guiados desde un punto de vista meramente operativo<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn2" name="_ftnref2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[2]</span></span></span></span></a> y basados casi en su totalidad por el afán de una documentación ejemplar dejando a un lado la pregunta básica: ¿funciona?; y ni hablar del objetivo último de un modelo de esta índole: La continuidad del negocio<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn3" name="_ftnref3" style="mso-footnote-id: ftn3;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[3]</span></span></span></span></a>.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Ahora, a este objetivo final, debemos adicionar su esencia: Habilitar el negocio (entre otras mediante el apoyo de los objetivos estratégicos del negocio, ¡no operativos!), generar valor al mismo y por <span style="mso-spacerun: yes;"> </span>ende a los </span><span style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%;">stakeholders</span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">, asegurar los procesos, mejorar continuamente y lo mejor de todo: debemos medirlo y demostrar que estamos logrando éstos objetivos<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn4" name="_ftnref4" style="mso-footnote-id: ftn4;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[4]</span></span></span></span></a>.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Así detallando lo anterior un poco más, ¿Cuáles serías los objetivos, y cuáles no, de algunas de las principales actividades de un modelo de seguridad de la información como es el de la norma ISO/IEC 27001:2005?, mirémoslo de manera resumida:</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Política de Seguridad de la Información: </span></b></div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El no objetivo: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">No es un objetivo tener un documento, llamado política; ni un libro gordo de Petete con ciento cincuenta páginas de políticas de segundo y tercer nivel, para llenar un ítem de una lista de chequeo de implementación. He llegado a presenciar posiciones tan erradas, desde mi perspectiva desde luego, que es más importante la forma y el nombre de este documento que su mismo contenido, implementación y validación de cumplimiento; incluso llegando a pretender que una empresa cambie toda su estructura documental por un aspecto de forma en éste documento. <span style="mso-spacerun: yes;"> </span></span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El objetivo: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El objetivo de la política es plantear el norte del modelo de seguridad y los objetivos del mismo, y ésto se debe poder demostrar. Así, y ya que un modelo de seguridad debe su vida a la empresa<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn5" name="_ftnref5" style="mso-footnote-id: ftn5;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[5]</span></span></span></span></a> (ya que no se concibe su existencia sin el negocio que lo necesita), este documento debe estar alineado con las políticas de la organización y los objetivos deben apoyar de manera clara los objetivos estratégicos de la misma. En conclusión, las políticas retóricas planteadas a través de formas encontradas en internet, donde se plantea “una garantía de seguridad universal”, no sirven; primero porque no desarrollan objetivamente algo y segundo porque no se ha entrado a analizar lo que necesita la empresa a la luz de su esencia de negocio y su <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">visión</i></b>. En este punto, aunque está dicho entre líneas, quiero recalcar lo siguiente porque lo considero importante: La política del modelo de seguridad, no es la política de tecnología de la información, y mucho menos la política de seguridad <b style="mso-bidi-font-weight: normal;"><i style="mso-bidi-font-style: normal;">informática</i></b> que maneja éste mismo proceso, ya que este es sólo un proceso en los cuales el modelo de seguridad tiene injerencia (esta sería una de las muchas razones que existen).</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Gestión de Activos y Riesgos</span></b></div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El no objetivo: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">No es misterio para implementadores de este modelo, que estas actividades son actividades que demandan un tiempo considerable. Pero el objetivo de esta actividad no es tener formatos y formatos con cantidades impresionantes de información, ni tener una metodología en particular. Peor aún, a diferencia de lo planteado en muchos escenarios donde le dan una importancia titánica a estas actividades, no son el objetivo de un modelo de seguridad. Estas actividades son un medio, no el fin. Son las herramientas principales para la toma de decisiones en los modelos de seguridad, pero el trabajo apenas inicia.<span style="mso-spacerun: yes;"> </span>En ocasiones, algunos encargados de modelos al ser cuestionados por esta actividad, despliegan una cantidad de información que le daría envidia a la mismísima enciclopedia Larousse; pero a las preguntas: ¿y bueno, que has realizado con esta información?, ¿Qué decisiones se han tomado con esto?, ¿Cómo has protegido estos activos?, ¿Cuáles son los activos más críticos?, ¿cómo has minimizado los niveles de riegos?, ¿cómo has manejado el costo-beneficio a la hora de implementar los controles o medidas?, ¿el modelo ha protegido los activos de acuerdo a lo requerido por los procesos?; no hay más que una mirada al techo.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El objetivo: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Blindar a los procesos protegiendo sus activos, llevando a un nivel aceptado por la organización, los niveles de riesgo.<b style="mso-bidi-font-weight: normal;"><span style="mso-spacerun: yes;"> </span></b>Creo que es claro, saber cuáles son los activos de los procesos, cuáles de estos son críticos, quienes son sus dueños<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn6" name="_ftnref6" style="mso-footnote-id: ftn6;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[6]</span></span></span></span></a>, valorarlos para así tratarlos de acuerdo a su importancia para el proceso y para la empresa. Tener certeza que los activos de los procesos se están protegiendo de acuerdo a lo necesario, ¡ni un poco más ni un poco menos!. Creo que el objetivo llega a ser tan difuso para algunas organizaciones que se crean indicadores de gestión sobre la realización o no del inventario de activos y del análisis de riesgos por parte de los procesos, cuando lo que se debe medir es el nivel de seguridad (asociado también al nivel de inseguridad<a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftn7" name="_ftnref7" style="mso-footnote-id: ftn7;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[7]</span></span></span></span></a>) de los activos y sus procesos dueños.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
<b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Proceso de Gestión de Incidentes:</span></b></div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El no objetivo:</span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;"> Este es uno de mis favoritos (el segundo para ser precisos, ya les hablaré del primero)<span style="mso-spacerun: yes;"> </span>ya que es uno de los que he encontrado los mayores problemas en la claridad del objetivo. El objetivo final no es tener un proceso documentando, incluso ni implementado. El objetivo no es llevar estadísticas de cuantos incidentes se presentaron en un lapso de tiempo, ni tener un comité de gestión de incidentes, ni hacer presentaciones a la gerencia o a los procesos dueños de los activos sobre los incidentes.<span style="mso-spacerun: yes;"> </span>He conocido este tipo de procesos en los cuales toda la documentación es llevada de forma rigurosa, tanto del proceso, como de cada una de las actividades e incidentes sucedidos; muy bien por ellos, pero nuevamente a la pregunta: ¿Qué has hecho con esta información?, ¿se han implementado medidas para que estos incidentes no se vuelvan a presentar?, así esto me parece un saludo a la bandera.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoListParagraphCxSpFirst" style="margin: 0cm 0cm 0pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El objetivo: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">detectar y contener los incidentes de seguridad; analizarlos y lo más importante: ¡tomar medidas para que los incidentes no vuelvan a ocurrir!, éste es el verdadero objetivo. Éste proceso es uno de los procesos principales para retroalimentar el modelo y demostrar que está funcionando; que pudieron existir errores, incidentes, pero se tomaron medidas para que no vuelvan a ocurrir. Respuestas como las siguientes no deben presentarse en un proceso de gestión de incidentes efectivo:<b style="mso-bidi-font-weight: normal;"></b></span></div><div class="MsoListParagraphCxSpLast" style="margin: 0cm 0cm 10pt 36pt;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">A: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">La red no estuvo disponible por cuatro días la semana anterior.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">B: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">¿Eso no sucedió también hace un mes?</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">A: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Ahhh <span style="mso-spacerun: yes;"> </span>¡pero era un gusano diferente!</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">O tal vez, </span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">A: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Tuvimos hoy el ingreso de una persona no autorizada a las instalaciones por la puerta la principal”</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">B: </span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Pero eso ya había sucedido.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">A:</span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;"> nooooo, ¡el semestre pasado fue por la puerta número dos!</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Proceso de Sensibilización de Seguridad de la Información:</span></b></div><div class="MsoListParagraph" style="margin: 0cm 0cm 10pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El no objetivo:</span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;"> Capacitar o sensibilizar. En este instante muchos lectores dirán, este tipo está loco, ¿entonces qué es?, ¿hacer pan? Este es mi favorito número uno, porque esto lo veo no sólo en modelos de seguridad, sino en el diario vivir. Veo entes gastando (no invirtiendo) grandes sumas de dinero en campañas de sensibilización, y plantean su éxito con indicadores como: el cubrimiento: “hemos llegado a dos millones y medio de personas”; monto gastado: “esta administración invirtió tantos millones de pesos en campañas de sensibilización contra el…..”; recordación: “es una campaña que ha sido recordada por muchas generaciones” y a mi pregunta: ¿las personas cambiaron su comportamiento?, ¿quedaron realmente sensibilizadas?, otra mirada al cielo.</span></div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoListParagraphCxSpFirst" style="margin: 0cm 0cm 0pt 36pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span lang="ES" style="font-family: Symbol; font-size: 12pt; line-height: 115%; mso-ansi-language: ES; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font-family: "Times New Roman";"> </span></span></span><b style="mso-bidi-font-weight: normal;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">El objetivo:</span></b><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;"> Evitar que los riesgos sobre los activos, que tienen vulnerabilidades relacionadas con los recursos humanos se materialicen. ¿Cómo se logra esto?,<span style="mso-spacerun: yes;"> </span>logrando un cambio en el comportamiento de las personas, no sometiéndolas a capacitaciones y actividades de sensibilización interminables, he ahí el meollo del asunto. Hay que implementar acciones que garanticen un cambio en el comportamiento, y ésto es lo que hay que medir. A los niveles estratégicos de la empresa no le interesan el número de capacitaciones, ni la cantidad de personas en un proceso de sensibilización o el dinero gastado en ésto, lo importante es: si las personas se están comportando como queremos o necesitamos que se comporten respecto a la seguridad.<b style="mso-bidi-font-weight: normal;"></b></span></div><div class="MsoListParagraphCxSpLast" style="margin: 0cm 0cm 10pt 36pt;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><br />
</div><div class="MsoNormal" style="margin: 0cm 0cm 10pt; text-align: justify;"><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 12pt; line-height: 115%; mso-ansi-language: ES;">Lo anterior fue un pequeño resumen de algunas actividades de un modelo de seguridad como el de la norma ISO/IEC 27001 (y algunos más), que desarrollo para plantear mi punto de vista. Así considero que la falencia puede estar en que no tenemos claro el objetivo de estos modelos, y en muchas implementaciones se peca en darle la máxima importancia al aspecto documental, dejando a un lado el cumplimiento de los objetivos, entre estos el apoyo al negocio; perspectiva que debemos mejorar tanto implementadores como auditores.<b style="mso-bidi-font-weight: normal;"></b></span></div><div style="mso-element: footnote-list;"><br />
<hr align="left" size="1" width="33%" /><div id="ftn1" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref1" name="_ftn1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[1]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Esta misma impresión la he desarrollado con sistemas de gestión similares a la 27001:9001, 14001, 18001,<span style="mso-spacerun: yes;"> </span>etc.</span></div></div><div id="ftn2" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref2" name="_ftn2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[2]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> Sin una estrategia clara y mucho menos orientada por el negocio.</span></div></div><div id="ftn3" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref3" name="_ftn3" style="mso-footnote-id: ftn3;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[3]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Continuidad del negocio vista desde la perspectiva de la seguridad de los procesos y sus activos.</span></div></div><div id="ftn4" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref4" name="_ftn4" style="mso-footnote-id: ftn4;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[4]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Esto puede sonar muy teórico pero es totalmente realizable; lo ampliaré en un artículo próximo.</span></div></div><div id="ftn5" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref5" name="_ftn5" style="mso-footnote-id: ftn5;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[5]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Entiéndase también como el core del negocio.</span></div></div><div id="ftn6" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref6" name="_ftn6" style="mso-footnote-id: ftn6;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[6]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Dueños de acuerdo a la norma ISO/IEC 27001.2005</span></div></div><div id="ftn7" style="mso-element: footnote;"><div class="MsoFootnoteText" style="margin: 0cm 0cm 0pt;"><a href="http://www.blogger.com/post-create.g?blogID=3729219752717401427#_ftnref7" name="_ftn7" style="mso-footnote-id: ftn7;" title=""><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; line-height: 115%; mso-ansi-language: ES-CO; mso-bidi-language: AR-SA; mso-fareast-font-family: Calibri; mso-fareast-language: EN-US; mso-fareast-theme-font: minor-latin;">[7]</span></span></span></span></span></a><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> </span><span lang="ES" style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-ansi-language: ES;">Concepto planteado en: </span><span style="font-family: "Arial", "sans-serif"; font-size: 8pt; mso-bidi-font-weight: bold;">Inseguridad informática: Un concepto dual en seguridad informática. Jeimy J. Cano.</span><span style="font-family: "Arial", "sans-serif"; font-size: 8pt;"> http://www.acis.org.co/fileadmin/inseg-inf.pdf</span></div></div></div>Richard Garcíahttp://www.blogger.com/profile/14933140844686760614noreply@blogger.com4