RESUMEN
La implementación de modelos de Gestión de la Información genera variables de confianza en la gestión del entorno referente a la información, ya que los sistemas de información, sus datos, estructura pueden ser sujetos a amenazas externas o internas que pueden afectar a la operatividad de los sistemas, para esto se deben identificar los riesgos, y se deben establecer medidas sobre la seguridad física, técnica y lógica (Vite Cevallos et al., 2018).
Este artículo nos ilustra las fases para diseñar un modelo de gestión de seguridad de la información, que busca disminuir amenazas y riesgos en las entidades de orden territorial, siendo indispensable e importante contar con un plan de acción frente a estas, logrando mitigar el impacto y evaluar su funcionamiento.
Las directrices de la Norma ISO 27001 expresan los lineamientos, estándares y mejores prácticas de seguridad de la información para ser aplicadas e implementadas en las organizaciones.
INTRODUCCIÓN
Los sistemas de Gestión de Seguridad de la Información son las estructuras organizacionales de seguridad, los cuales están orientados a definir responsabilidades en cuanto a seguridad en la administración de las empresas, diseñar e implementar políticas, procesos y procedimientos que permitan establecer los objetivos de seguridad, conocer sus riesgos y la forma de asegurar la información frente a las posibles amenazas a la que se vea expuesta.
Los sistemas de gestión de la información en las entidades del Estado se implementan de acuerdo a la normatividad legal vigente de Colombia y a los estándares de seguridad de la información tales como la norma (ISO/IEC 27001/2013), contemplada en la estrategia de gobierno en línea y su nuevo manual de seguridad y privacidad de la información.
Mediante el programa “gobierno en línea” se busca generar una administración más eficiente y segura, mediante la implementación de sistemas de gestión de seguridad en las entidades del Estado, de orden nacional y territorial, llevando un acompañamiento a las entidades por parte del Ministerio de las Tecnológicas de la Información y las Comunicaciones (MINTIC) con el objetivo de orientar la implementación, seguimiento y mejora continua de los sistemas de gestión de seguridad de la información en el sector público y privado Colombiano.
DESARROLLO
Referentes Teóricos
Durante el proceso de investigación, contamos con fundamentos teóricos que guiaron y aportaron al desarrollo de esta, algunos de ellos son:
Sistema de Gestión
Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización, el cual ayuda a lograr los objetivos de la organización mediante una serie de estrategias, que incluyen la optimización de procesos, el enfoque centrado en la gestión y el pensamiento disciplinado. (Frayssinet Delgado, 2017).
Gestión de la Información
La gestión de la información es el proceso de organizar, evaluar, presentar, comparar los datos en un determinado contexto, controlando su calidad, de manera que esta sea veraz, oportuna, significativa, exacta y útil y que esta información esté disponible en el momento que se le necesite. Esta se encamina al manejo de la información, documentos, metodologías, informes, publicaciones, soportes y flujos en función de los objetivos estratégicos de una organización (Torres Lebrato, 2015)
La gestión de la información en las organizaciones es de vital importancia, lo que implica determinar la información que se necesita, la fuente, el modo de obtención, almacenamiento, así como, establecer el método correcto de distribución y empleo. Ello significa que la información es un recurso estratégico que puede utilizarse para alcanzar objetivos, optimizar los procesos de toma de decisiones, enseñar, aprender y generar nuevos conocimientos. (Barzaga Sablón et al., 2019)
Sistemas de información
Un sistema de información es un conjunto de elementos interrelacionados que recaban, procesan, almacenan y distribuyen datos e información, y, además, proporcionan mecanismos de retroalimentación para alcanzar un objetivo. Diariamente interactuamos con sistemas de información tanto a nivel personal como profesional.
Es un conjunto de componentes interrelacionados que reúne, procesan, almacenan y distribuyen datos e información y proporcionan un mecanismo de retroalimentación para cumplir un objetivo. Este mecanismo es el que ayuda a las organizaciones a lograr sus objetivos, como incrementar sus ganancias o mejorar su servicio al cliente. (Ralph M. Stair; George W. Reynolds, 2016).
Seguridad de la información
La seguridad de la información es una disciplina asociada tradicionalmente a la gestión de TIC, cuyo propósito es mantener niveles aceptables de riesgo de la información organizacional y de los dispositivos tecnológicos que permiten su recolección, procesamiento, acceso, intercambio, almacenamiento, transformación y adecuada presentación (Valencia-Duque & Orozco-Alzate, 2017, p. 3).
La seguridad de la información es el conjunto de medidas técnicas, operativas, organizativas, y legales que permiten a las organizaciones resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. La seguridad de la información se encarga de garantizar la integridad, confidencialidad, disponibilidad de nuestra información (Ministerio de Tecnologías de la Información y las Comunicaciones, 2016, p. 18)
Antes de abordar un enfoque metodológico para implementar un SGSI es necesario aclarar la diferencia entre seguridad informática y seguridad de la información, la cual radica en el tipo de recursos sobre los que actúa cada una. Mientras que la primera se enfoca en la tecnología propiamente dicha organización. En las infraestructuras tecnológicas que sirven para la gestión de la información en una organización, la segunda está relacionada con la información en sí misma, como activo estratégico de la organización (Valencia-Duque & Orozco-Alzate, 2017)
ISO 27001
La ISO 27001 especifica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas. El SGSI está diseñado para obtener controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza a las partes interesadas (Instituto Colombiano de Normas Técnicas y Certificación, 2013).
Sistema de Gestión de Seguridad de la Información
La gestión de la información se refiere al conjunto de procesos que sirven para designar actividades orientadas a la generación, coordinación, almacenamiento, conservación, búsqueda y recuperación de la información tanto interna como externa contenida en cualquier soporte (Barzaga Sablón et al., 2019).
Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la protección de los activos de información para lograr objetivos de negocio (Frayssinet Delgado, 2017).
Para estructurar un sistema de gestión de la seguridad de la información (SGSI) se adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), así mismo, el modelo PHVA también refleja los principios que controlan la seguridad de sistemas y redes de la información. El SGSI toma como elementos de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas, y a través de las acciones y procesos necesarios produce resultados de seguridad de la información que cumplen estos requisitos y expectativas.
Su implementación genera variables de confianza en la gestión del entorno referente a la información. El volumen de la información dentro de las organizaciones requiere del uso de medidas tecnológicas que faciliten la gestión adecuada, considerando la criticidad de los datos, de acuerdo a la actividad económica donde se desarrolle. (Vite Cevallos et al., 2018).
Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información
Según (Valencia-Duque & Orozco-Alzate, 2017) existen diversas formas de llevar a cabo una implementación de un SGSI en una organización, no obstante, para lograr cierto nivel de éxito y disminuir la incertidumbre en sus resultados, se debe adoptar un enfoque que permita abordar, desde una perspectiva sistémica, la forma de cumplir con los elementos que hacen parte de éste.
La metodología contempla cinco (5) fases secuenciales, las cuales serán detalladas para poder comprender los pasos a desarrollar no sólo desde el punto de vista conceptual sino metodológico, a partir de un proyecto que incorpore personas, tiempos y recursos, así como el respaldo de la alta Dirección, como un requisito fundamental para cumplir los objetivos previstos. Estas cinco fases con sus respectivas etapas están distribuidas en función de la norma ISO/IEC 27001.
Fase 1. Aprobación de la dirección para iniciar el proyecto: Para cumplir con este propósito se deben llevar a cabo las siguientes actividades:
- Establecimiento de las prioridades de la organización para desarrollar un SGSI
- Definir el alcance preliminar del SGSI
- Creación del plan del proyecto para ser aprobado por la Dirección
Fase 2. Definir el alcance, los límites y la política del SGSI: Esta fase contempla los siguientes elementos:
- Definición del alcance
- Definición de la política y objetivos de seguridad
- Aprobación de la gerencia
Fase 3. Análisis de los requisitos de seguridad de la información:
- Establecer los requisitos de seguridad de la información
- Identificar los activos dentro del alcance
- Realizar una evaluación de la seguridad de la información
Fase 4. Valoración de riesgos y planificar el tratamiento de riesgos: Sin duda este es el eje principal del SGSI, cuyo principal referente es la norma ISO/IEC 27005. Al respecto se debe tener en cuenta:
- Establecimiento de contexto
- Parámetros de probabilidad
- Parámetros de impacto
- Determinación de la vulnerabilidad
- Criterios de aceptabilidad del riesgo
- Valoración del riesgo
- Evaluación del riesgo
- Tratamiento del riesgo
Fase 5. Diseñar el SGSI: El diseño del SGSI contempla básicamente tres componentes:
- La documentación que debe tener el sistema
- La implementación de los controles previstos en el plan de tratamiento de riesgos
- El monitoreo constante de la seguridad de la información
Auditoría a la Seguridad de la Información
Según (Solarte Solarte et al., 2015) la metodología para realizar la auditoría a la seguridad de la información, se divide en etapas sucesivas y sistemáticas; ya que se plantea que la auditoría debe ser periódica o permanente dependiendo de la organización y los cambios en la tecnología de información usada en el tratamiento y procesamiento de la información.
Fase I. Determinación de vulnerabilidades, amenazas y riesgos: Se hace el estudio de las vulnerabilidades, amenazas y riesgos para los procesos y sistemas implementados actualmente en las organizaciones, que fueron objeto de la investigación.
Fase II. Análisis de riesgos y diagnóstico de la seguridad de la información: Se realizará el proceso de análisis y evaluación de riesgos de acuerdo al estándar MAGERIT que permite valorar los riesgos en cada uno de los criterios de información evaluados, identificando las posibles causas que los originan y que posteriormente permitan definir un sistema de control de seguridad de acuerdo a los hallazgos confirmados, lo que permitirá disminuir el impacto en la organización y probabilidad de ocurrencia de los mismos
Fase III. Definición de controles para el diseño del SGSI que incluya políticas y procedimientos para mitigar los riesgos: Se hace el estudio de las causas que originan los hallazgos. Una vez confirmados, se definen los controles apropiados de acuerdo a la norma ISO/IEC 27002 se establece su tratamiento, y finalmente, se diseñan las políticas y procedimientos dentro de las cuales se incluyen los controles, y que finalmente irán en el diseño del SGSI.
0 comentarios