TABLA DE CONTENIDO

1 LA SEGURIDAD DE LA INFORMACIÓN UTILIZANDO LA NORMA ISO 27001:2013 ...................... 3

2 INICIANDO CON EL DIAGNOSTICO ACTUAL ............................................................................... 4
3 METODOLOGIA RECOMENDADA ............................................................................................... 9
3.1 Elaboración de los cuestionarios y preguntas ................................................................. 10
3.2 Entrevistas ...................................................................................................................... 10
3.3 Consolidación de Resultados .......................................................................................... 11
3.4 Análisis de Resultados ..................................................................................................... 11
3.5 Elaboración de Informes ................................................................................................. 11
3.6 Presentación de Resultados ............................................................................................ 11
3.7 Fase de priorización de controles ................................................................................... 11
3.8 Fase de implementación ................................................................................................. 12
4 Definición de variables ............................................................................................................ 13
5 Estrategia final de implementación ......................................................................................... 20
6 GLOSARIO ................................................................................................................................ 22
7 BIBLIOGRAFÍA .......................................................................................................................... 25


1 LA SEGURIDAD DE LA INFORMACIÓN
UTILIZANDO LA NORMA ISO
27001:2013
La seguridad de la información debe ser un componente crítico dentro de la estrategia de de seguridad
de la información. El análisis de brecha es recomendable realizarlo para iniciar el establecimiento de
un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la ISO 27001:2013 y
apoyado en otras normas como la ISO 27031:2011, ISO 22301:2012, ISO 27005:2018 e ISO
31000:2018, ya que este análisis permite conocer el nivel de madurez con que se cuenta, para luego,
proponer un plan de acción para la futura implementación del modelo de seguridad en una
organización. La implementación del SGSI por su parte debe contar con una estrategia definida que
podría por ejemplo plantear priorizar la documentación (políticas, procedimientos, formatos y
estándares), luego proceder a mejoras a nivel de infraestructura física y controles de acceso a los
edficios y finalmente concentrarse en los controles de tipo tecnològico tales como criptografía, control
de acceso, centralización de antivirus y registros (logs). La estrategía en resumen debe considerar los
aspectos: administrativos, físicos y tecnológicos.

Adminstrativos Tecnológico

Físico

Ilustración 1. Proteger la información..

2 INICIANDO CON EL DIAGNOSTICO

ACTUAL
El cuidado de la información es importante para el funcionamiento para que las organizaciones logren
la consecución de su misión. Contar con una serie de controles para mitigar el riesgo según NTC/ISO
27001:2013 ayuda a gestionar y proteger la información.

El marco teórico propio de para realizar el GAP debería está basado con la norma NTC/ISO
27001:2013 y el Modelo de Seguridad y Privacidad de la Información V.3.0.2 – MPSI de la Estrategia
de Gobierno en Línea – GEL y la norma ISO 27032:2009. Estas recomendaciones se establecen para
contar con una guía para el establecimiento, implementación, operación, seguimiento, revisión y
mejora de un (SGSI:ISO 27001:2013). Otras normas que podrían apoyar la realización del diagnóstico
actual serían la norma de ciberseguridad ISO 27031:

Dominio ISO 27001:2013 Objetivo de control

Política de seguridad. Objetivo de control A.5

Organización de la seguridad de la información. Objetivo de control A.6
Seguridad de los RRHH. Objetivo de control A.7
Gestión de activos. Objetivo de control A.8
Control de accesos. Objetivo de control A.9
Criptografía. Objetivo de control A.10
Seguridad física y ambiental. Objetivo de control A.11
Seguridad en las operaciones. Objetivo de control A.12
Seguridad en las comunicaciones. Objetivo de control A.13
Adquisición de sistemas, desarrollo y
Objetivo de control A.14
mantenimiento.
Relación con proveedores. Objetivo de control A.15
Gestión de los incidentes de seguridad. Objetivo de control A.16
Continuidad del negocio. Objetivo de control A.17
Cumplimiento con requerimientos legales y
Objetivo de control A.18
contractuales.

Tabla 1. Dominios de la norma ISO 27001:2013

Los niveles de madurez tambien deben estimarse en la fase inicial: inexistente, incipiente, repetible,
definido, gestionado y óptimo.

Ilustración 2. Proteger la información..

Disponibilidad:

Propiedad de que la información sea accesible y utilizable por solicitud de una Entidad
autorizada.

Confidencialidad:

Propiedad que determina la condición de que la información no esté disponible ni sea

revelada a individuos, entidades o procesos no autorizados.

Integridad:

Propiedad de salvaguardar la exactitud y estado completo de los activos.

 Disponibilidad Confidencialidad

Integridad

Ilustración 3. Proteger la información.

AUTENTICACIÓN: Las aplicaciones en la gran mayoría de organizaciones procesan

información sensible, por esta razón es importante que su acceso esté debidamente
controlado y solamente aquellas personas o entidades estén debidamente autorizadas. La
autenticación responde a la pregunta sobre si lo que se dice ser es verdadero. En otras
palabras, durante el proceso de autenticación se realiza una validación de la identidad de
la entidad que solicita el acceso a la aplicación. La autenticación cubre tres aspectos:

Conocimiento

Característica Propiedad

Conocimiento: En este aspecto de los tres considerados durante el proceso de

autenticación se busca validar solicitando un conocimiento que este usuario, si es quien
 dice ser, debería poseer. Ejemplos de este tipo de conocimiento están los nombres de
usuario, las contraseñas y los números de identificación personal (PIN).

Propiedad: El proceso de identificación en este aspecto se surte por medio de la

presentación ante el sistema que identifica de algo que nosotros poseemos y en teoría
nadie más posee. Ejemplos de este tipo autenticación son los tokens o smart cards.

Características: La identificación de la información provista en este aspecto o

mecanismo es algo que uno es de manera intrínseca. El ejemplo más difundido es el uso
de biométricos. El caso de la huella del dedo y el iris del ojo son características que
pueden ser utilizadas para la identificación individualizada.

AUTORIZACIÓN: Por el hecho de que las credenciales de identidad hayan sido validadas
no quiere decir esto que se le daba dar acceso a todos los recursos que se soliciten. Por
ejemplo, puede darse el caso que a alguien se le pueda dar acceso al software de
contabilidad, no obstante, es posible que el acceso a los datos de salarios deba ser
bloqueados a él por su nivel de confidencialidad. La autorización es el concepto dentro de
la seguridad de la información en que los accesos a los diferentes objetos son controlados
y está basado en los derechos y privilegios que son otorgados a los usuarios de acuerdo a
las políticas y a los dueños de la información.

REGISTRO Y AUDITORÍA: La creación de registros de los diferentes componentes es

importante para que en caso de un incidente de seguridad se pueda contar con la
información respectiva que permita realizar la investigación de todos los eventos sucedidos.
 Registro Autenticación

Autorización

Ilustración 4. Proteger la información.

3 METODOLOGIA RECOMENDADA
A continuación presentamos la metodología recomendada para realizar el GAP (análisis de
brecha) y la posterior impelementación con relación a la NTC/ISO 27001:2013. El GAP
considera los diferentes dominios de la NTC/ISO 27001:2013.
 Elaboración de los Entrevistas e Consolidación de
cuestionarios Inspecciones en Sitio Resultados

Fase de priorización
Analisis de Resultados Elaboración de Informes
controles (PESI)

Fase de implementación

Ilustración 5. Metodología Recomendada.

3.1 Elaboración de los cuestionarios y preguntas

En esta fase se deben realizar las siguientes actividades:

1. Revisión de la norma NTC/ISO 27001:2013

2. Revisión de la norma ISO 27032:2009
3. Comprender contexto de la organización
4. Elaboración de preguntas para el GAP
5. Definición de criterios de madurez por control y dominio
6. Elaboración agenda preliminar
7. Revisión de tiempos de la agenda

3.2 Entrevistas
En esta esta etapa se recomienda realizar las siguientes actividades:

• Revisión y ajustes finales de la agenda de entrevistas

• Entendimiento de la estructura organizacional
• Revisión de los perfiles
• Revisión del organigrama de la organización
• Ejecución de las entrevistas
3.3 Consolidación de Resultados
En esta fase se realizaron las siguientes actividades:

• Estimación del nivel de madurez de las cláusulas

• Estimación del nivel de madurez de los dominios
• Estimación de los niveles de madurez por control
• Revisión de calificaciones

3.4 Análisis de Resultados

En esta se deben realizar las siguientes actividades:

• Análisis de la información recolectada

• Elaboración de tablas de resultados
• Elaboración de las graficas de madurez
• Identificación de hallazgos

3.5 Elaboración de Informes

En esta fase se deben realizar las siguientes actividades:

• Identificación de principales hallazgos

• Elaboración de recomendaciones
• Definición de dominios críticos
• Definición de controles críticos
• Definición de los tiempos de implementación

3.6 Presentación de Resultados

En esta fase se realizarán las siguientes actividades:

1. Elaboración de presentación ejecutiva

2. Ajustes a la presentación
3. Agendar reunión para la presentación
4. Presentación y preguntas y respuestas

3.7 Fase de priorización de controles

1. Identificar controles de tipo administrativos
2. Identificar controles de tipo físico
3. Identificar controles de tipo lógico o técnico
 4. Realizar Plan Estratégico de Seguridad de la información

3.8 Fase de implementación

5. Aprobación del PESI ISO 27001
6. Revisión final de PESI ISO 27001
7. Generar plan del proyectos
8. Identificar responsables
9. Solicitar aprobación
10. Dar el inicio para la implementación de acuerdo al PESI

4 Definición de variables
Para la implementación priorizada del SGSI ISO 27001:2013 es necesario definir una serie
de variables que ayuden a la priorización de los diferentes dominios de la NTC/ISO
27001:2013. Los 14 dominios de la norma están conformados por 114 controles. Este Plan
propone una estrategia para la implementación basada en una serie de variables que
permiten inferir el orden de implementación de cada uno de los dominios teniendo en cuenta
algunos aspectos asociados a cada uno de los controles. En la siguiente figura se presentan
la matriz de valoración para cada una de las combinaciones posibles.

Prioridad de Documentación Documentación Documentación

Planeación políticas procedimientos estándares

Costo de Costo de
Complejidad Tiempo
implementación mantenimiento

Ilustración 6. Variables analizadas.

Con base en el análisis de estas variables se debe realizar un plan de implementación por
dominios y dentro de los dominios definir una prioridad para cada control. A continuación
presentamos cada unos de los dominios de la norma:

Política de seguridad de la información:

Se debe definir una política de seguridad de la información que sea aprobada por la
dirección y que establezca la directriz de la organización para la gestión de sus objetivos
de seguridad de la información.

POLÍTICA DE SEGURIDAD Nivel

A.5 Prioridad
ISO 27001:2013: Prioridad Madurez
A.5.1 Política de seguridad de la información
A.5.1.1 Documento de la política de seguridad de la información
A.5.1.2 Revisión de la política de seguridad de la información



Organización de la seguridad de la información:

Se deberían identificar las responsabilidades para la protección de los activos individuales

y para llevar a cabo procesos de seguridad de la información específicos.

Nivel
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 Prioridad
Madurez
A.6.1.1 Asignación de responsabilidades para la seguridad de la información
A.6.1.2 Separación de tareas
A.6.1.3 Contacto con las autoridades
A.6.1.4 Contacto con grupos de interés especiales
A.6.1.5 Seguridad de la información en la gestión de proyectos
A.6.2 Dispositivos móviles
A.6.2.1 Computación móvil y trabajo remoto
A.6.2.2 Trabajo remoto


Seguridad de los recursos humanos

Las revisión de los antecedentes de todos futuros empleados a un empleo se deberían

llevar a cabo de acuerdo con las leyes, reglamentos y ética pertinentes, y deberían ser
proporcionales a los requisitos de negocio, a la clasificación de la información y a los riesgos
percibidos.

Nivel
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS ISO 27001:2013 Prioridad
Madurez
A.7.1 Antes de la contratación laboral
A.7.1.1 Investigación preliminar
A.7.1.2 Términos y condiciones laborales
A.7.2 Durante la vigencia del contrato laboral
A.7.2.1 Responsabilidades de la dirección
A.7.2.2 Educación, formación y sensibilización en seguridad de la información
A.7.2.3 Proceso disciplinario
A.7.3 Terminación o cambio de la contratación laboral
A.7.3.1 Responsabilidades en la terminación

Gestión de activos

El propietario de un activo debería ser responsable de su gestión apropiada durante todo

su ciclo de vida. Se deberían identificar, documentar e implementar reglas para el uso
aceptable de información y de activos asociados con la información.
 Nivel
A.8 GESTION DE ACTIVOS ISO 27001:2013 Prioridad
Madurez
A.8.1 Responsabilidad por los activos
A.8.1.1 Inventario de activos
A.8.1.2 Propietario de los activos
A.8.1.3 Uso aceptable de activos
A.8.1.4 Devolución de activos
A.8.2 Clasificación de la información
A.8.2.1 Directrices de clasificación
A.8.2.2 Etiquetado y manejo de la información
A.8.2.3 Manejo de activos
A.8.3 Manejo de medios
A.8.3.1 Procedimientos para el manejo de medios
A.8.3.2 Eliminación de medios
A.8.3.3 Medios físicos en tránsito


Control de acceso

Se debe establecer, documentar y revisar una política de control de acceso con base en los
requisitos del negocio, la clasificación de la información y de la seguridad de la información.

Nivel
A.9 CONTROL DE ACCESO ISO 27001:2013 Prioridad
Madurez
A.9.1 Requisitos del negocio para el control de acceso
A.9.1.1 Política de control de acceso
A.9.1.2 Acceso a las redes y a los servicios de red
A.9.2 Gestión del acceso de usuarios
A.9.2.1 Registro de usuarios
A.9.2.2 Suministro del acceso a los usuarios
A.9.2.3 Gestión de privilegios
Gestión de contraseñas (información secreta de autenticación) para
A.9.2.4 usuarios
A.9.2.5 Revisión de los derechos de acceso de los usuarios
A.9.2.6 Remoción o ajustes a los derechos de acceso
A.9.3 Responsabilidades de los usuarios
A.9.3.1 Uso de la contraseña
A.9.4 Control de acceso a los sistemas y aplicaciones
A.9.4.1 Política de uso de los servicios
A.9.4.2 Procedimiento de registro inicio seguro
A.9.4.3 Sistema de gestión de contraseñas
A.9.4.4 Uso de las utilidades privilegiadas del sistema
A.9.4.5 Controles de acceso a código fuente


Criptografía

Se debe tomar una decisión sobre si una solución criptográfica es correcta se debería
considerar como parte de un proceso más amplio de valoración de riesgos y de selección
de controles. Esta valoración se usará para saber si un control criptográfico es apropiado,
qué tipo de control se debería aplicar y para qué propósito y en qué parte del negocio
cumple mejor su función.

Nivel
A.10 CRIPTOGRAFIA ISO 27001:2013 Prioridad
Madurez

A.10.1
A.1O.1.1 Política sobre el uso de controles criptográficos
A.10.1.2 Gestión de claves o llaves


Seguridad física

La política de seguridad física complementa los controles de acceso lógico protegiendo de

esta manera la información cuando es almacenada.

Nivel
A.11 SEGURIDAD FÍSICA ISO 27001:2013 Prioridad
Madurez
A11.1 Áreas seguras
A.11.1.1 Perímetro de seguridad física
A.11.1.2 Controles de acceso físico
A.11.1.3 Seguridad en oficinas, recintos e instalaciones
A.11.1.4 Protección contra amenazas externas y ambientales
A.11.1.5 Trabajo en áreas seguras
A.11.1.6 Áreas de carga, despacho y acceso público
A.11.2 Seguridad de los equipos
A.11.2.1 Ubicación y protección de los equipos
A.11.2.2 Servicios de suministro
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de los equipos
A.11.2.5 Salida de equipos
A.11.2.6. Seguridad de los equipos fuera de las instalaciones
A.11.2.7 Seguridad en la reutilización o eliminación de los equipos
A.11.2.8 Equipos no atendidos
A.11.2.9 Política de escritorio y pantallas limpias



Gestión de operaciones

Las operaciones de toda organización deben ser debidamente procedimentada con el fin
de evitar errores y no poner en riesgo la seguridad de la información.

Nivel
A.12 GESTIÓN DE OPERACIONES ISO 27001:2013 Prioridad
Madurez
A.12.1 Procedimientos operacionales y responsabilidades
A.12.1.1 Documentación de los procedimientos de operación
A.12.1.2 Gestión del cambio
A.12.1.3 Gestión de la capacidad
A.12.1.4 Separación de las instalaciones de desarrollo, ensayo y operación
A.12.2 Protección contra código malicioso
A.12.2.1 Control contra código malicioso
A.12.3 Respaldo
A.12.3.1 Respaldo de la información
A.12.4 Registros y supervisión
A.12.4.1 Registro de auditorías
A.12.4.2 Protección de la información de registro
A.12.4.3 Registros del administrador y del operador
A.12.4.4 Sincronización de relojes
A.12.5 Control del software en operación
A.12.5.1 Instalación del software en sistemas en operación
A.12.6 Gestión de la vulnerabilidad técnica
A.12.6.1 Gestión de las vulnerabilidades técnicas
A.12.6.2 Restricciones en la instalación de software
A.12.7 Consideraciones de auditoría para los sistemas de información
A.12.7.1. Controles de auditorìa sobre los sistemas de información

Seguridad en las comunicaciones

Los componentes de la red incluyen los canales, servicios de redes privadas y redes de
valor agregado, y soluciones gestionadas de seguridad de redes tales como firewalls,
switches, routers, VPN y sistemas de detección de intrusión.

Nivel
A.13 SEGURIDAD DE LAS COMUNICACIONES ISO 27001:2013 Prioridad
Madurez
A.13.1 Gestión de la seguridad de las redes
A.13.1.1 Controles de las redes
A.13.1.2 Seguridad de los servicios de red (propios o contratados)
A.13.1.3 Separación en las redes
A.13.2
A.13.2.1 Políticas y procedimientos para el intercambio de información
A.13.2.2 Acuerdos para el intercambio
A.13.2.3 Mensajería electrónica
A.13.2.4 Acuerdos sobre confidencialidad

Desarrollo de software

Asegurar que la seguridad de la información sea una parte integral de los sistemas de
información durante todo el ciclo de desarrollo (SDLC). Esto incluye también los requisitos
para sistemas de información desarrollados internamente o servicos contratados.

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE Nivel

A.14 Prioridad
INFORMACIÓN Madurez
A.14.1 Requisitos de seguridad de los sistemas de información
A.14.1.1 Análisis y especificación de los requisitos de seguridad
A.14.1.2 Seguridad de las aplicaciones en redes públicas
A.14.1.3 Protección de aplicaciones con servicios transaccionales
A.14.2 Seguridad en los procesos de desarrollo y soporte
A.14.2.1 Política de desarrollo seguro
A.14.2.2 Procedimientos de control de cambios
Revisión tecnica de las aplicasiones despues de los cambios en los
A.14.2.3 sistema de operativos
A.14.2.4 Restricciones en los cambios a los paquetes de software
A.14.2.5 Principios de ingeniería para sistemas seguros
A.14.2.6 Ambientes de desarrollo seguro
A.14.2.7 Desarrollo contratado externamente
A.14.2.8 Pruebas de seguridad de los sistemas
A.14.2.9 Pruebas de aceptación de los sistemas
A.14.3 Datos de prueba
A.14.3.1 Protección de los datos de prueba

Relación con proveedores

La información puede estar en riesgo cuando los proveedores tienen una gestión de
seguridad de la información que no esté de acuerdo con mis requisitos.

Nivel
A.15 RELACIONES CON PROVEEDORES ISO 27001:2013 Prioridad
Madurez
A.15.1 Seguridad de la información en el manejo de proveedores
A.15.1.1 Política de seguridad en el manejo con los proveedores
Tratamiento de la seguridad de la información dentro del acuerdo con
A.15.1.2 proveedores
A.15.1.3 Cadena de suministro de tecnología de información y comunicación
A.15.2 Gestión de la prestación de servicios de proveedores
A.15.2.1 Seguimiento y revisión de los servicios con los proveedores
A.15.2.2 Gestión de los cambios en los servicios de terceras partes


Gestión de incidentes

Los eventos de seguridad de la información se deben informar a través de los canales

de gestión apropiados, tan pronto como sea posible, de manera formal y coordinada.

Nivel
A.16 Gestión de los incidentes de seguridad de la información Prioridad
Madurez
Gestión de los incidentes y las mejoras en la seguridad de la
A.16.1 información
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2 Reporte de eventos de seguridad de la información
A.16.1.3 Reporte sobre las debilidades en la seguridad
Evaluación de eventos de seguridad de la información y decisiones
A.16.1.4 sobre ellos
A.16.1.5 Respuesta a incidentes de seguridad de la informacion
A.16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información
A.16.1.7 Recolección de evidencias

Continuidad del negocio

Las organizaciones deberían establecer controles preventivos y reactivos para asegurar el

nivel de continuidad requerido para la seguridad de la información durante una situación
adversa.

ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA Nivel

A.17 Prioridad
CONTINUIDAD DEL NEGOCIO Madurez
Aspectos de seguridad de la información en la gestión de la
A.17.1 continuidad del negocio
A.17.1.1 Planificación de la continuidad de la seguridad de la información
A.17.1.2 Implementación de la continuidad de la seguridad de la información
Verificación revisión y evaluación de la continuidad de la seguridad de
A.17.1.3 la información
A.17.2 Redundancias
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información

Cumplimiento

Se deberían implementar procedimientos para asegurar el cumplimiento de los requisitos

legislativos, de reglamentación y contractuales con el fin de evitar demandas a futuro.
 Nivel
A.18 CUMPLIMIENTO ISO 27001:2013 Prioridad
Madurez

A.18.1 Cumplimiento de los requisitos legales

Identificación de la legislación aplicable y requerimientos
A.18.1.1 contractuales
A.18.1.2 Derechos de propiedad intelectual
A.8.1.3 Proteccion de los registros
A.18.1.4 Protección de los datos y privacidad de la información personal
A.18.1.5 Regulación de los controles criptográficos
A.18.2 Revisiones de seguridad de la información
A.18.2.1 Revisión independiente de la seguridad de la información
A.18.2.2 Cumplimiento con las políticas y las normas de seguridad
A.18.2.3 Verificación del cumplimiento técnico

5 Estrategia final de implementación

A continuación un orden sugerido de implementación de la norma ISO 27001:2013 que
comienza con los dominios de tipo adminstrativos, continua con los lógicos y termina con
los físicos. Tambien es posible en un análisis más detallado definir prioridades por cada
uno de los controles que conforman la norma. Finalmente se debe tener en cuenta que
para implementar un control los siguientes elementos deben ser considerados:

1. Políticas
2. Procedimientos
3. Estándares de configuración
4. Guías
5. Formatos
6. Hardware
7. Software
8. Matriz
9. Diagramas
10. Capacitación y entrenamiento

Dominio ISO 27001:2013 Objetivo de control Tipo de control Prioridad

Política de seguridad. Objetivo de control A.5 Administrativo 1

Organización de la seguridad de la información. Objetivo de control A.6 Administrativo 1

Seguridad de los RRHH. Objetivo de control A.7 Administrativo 1

Gestión de activos. Objetivo de control A.8 Administrativo 1

Control de accesos. Objetivo de control A.9 Lógico 2

Criptografía. Objetivo de control A.10 Lógico 2

Seguridad física y ambiental. Objetivo de control A.11 Físico 3

Seguridad en las operaciones. Objetivo de control A.12 Administrativo 1

Seguridad en las comunicaciones. Objetivo de control A.13 Lógico 2

Adquisición de sistemas, desarrollo y Administrativo 1

Objetivo de control A.14
mantenimiento.
Relación con proveedores. Objetivo de control A.15 Administrativo 1

Gestión de los incidentes de seguridad. Objetivo de control A.16 Administrativo 1

Administrativo y 3
Continuidad del negocio. Objetivo de control A.17
físico
Cumplimiento con requerimientos legales y Administrativo 1
Objetivo de control A.18
contractuales.

6 GLOSARIO
• Actividades críticas: Operaciones críticas y/o actividades que soportan los objetivos
de la Entidad.
• Activo: Cualquier cosa que tenga valor para la organización.
• Activos de información: Es todo activo que contenga información, la cual posee un
valor y es necesaria para realizar los procesos del negocio, servicio y soporte. Se
pueden clasificar de la siguiente manera:
o Personas: Incluyendo sus calificaciones, competencias y experiencia.

o Intangibles: Ideas, conocimiento, conversaciones.

o Electrónicos: Bases de datos, archivos, registros de auditoria, aplicaciones,

herramientas de desarrollo y utilidades.

o Físicos: Documentos impresos, manuscritos y hardware.

o Servicios: Servicios computacionales y de comunicaciones.

• Análisis de riesgo: Uso sistemático de la información para identificar las fuentes y

estimar el riesgo
• Área IT: Es el área encargada de soportar, diseñar y mantener los activos electrónicos
y el hardware propiedad de la Entidad.
• BCP: Por sus siglas en inglés (Business Continuity Planning) el plan de continuidad del
negocio es un proceso de desarrollo y documentación de procedimientos que permiten
a una organización responder ante eventos que interrumpan las actividades críticas de
los procesos críticos, afectando considerablemente la prestación de servicios públicos
a una comunidad.
• BIA: (Business Impact Analysis) Proceso diseñado para priorizar las actividades criticas
del negocio evaluando el impacto potencial principalmente de manera cuantitativa.
• Confidencialidad: Propiedad que determina la condición de que la información no esté
disponible ni sea revelada a individuos, entidades o procesos no autorizados.
• Contratistas: Entenderemos por contratista aquella persona natural o jurídica que ha
celebrado un contrato de prestación de servicios o productos con una Entidad.
• Consultor: Persona idónea en capacidad de prestar servicios de asesoría, diseño, y
creación de propiedad intelectual.
• Custodio: Encargado de proteger la información por delegación del propietario.
Generalmente este rol es ejecutado por el Área IT.
• Declaración de aplicabilidad: Documento que describe los objetivos de control y los
controles pertinentes y aplicables para el SGSI de la Entidad.
• Desastre: Evento que causa grandes daños o pérdidas. En el ambiente del negocio, es
un evento que crea incapacidad en la organización sobre la ejecución de las actividades
críticas del negocio por un periodo de tiempo.
• Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud
de una Entidad autorizada.
• DRP (PRD): Por sus siglas en inglés (Disaster Recovery Planning). Es un documento
en que definen los recursos, acciones, tareas y datos requeridos para gestionar el
esfuerzo de recuperación de los sistemas de información y tecnología en general ante
un evento catastrófico.
• Estándares: Un producto o mecanismo especifico el cual es seleccionado desde un
punto de vista universal, para su uso a lo largo de toda la organización, con el objetivo
fundamental de soportar una política ya aceptada y aprobada por las directivas de la
Entidad.
• Falla: Daño o afectación de un dispositivo por un periodo determinado
• Incidente: Un evento o una serie de eventos no deseados o inesperados que tienen
una posibilidad significativa de comprometer las operaciones del servicio y amenazar la
continuidad del Sistema.
• Información: Entendemos por INFORMACIÓN cualquier manifestación (ya sea visual,
auditiva, escrita, electrónica, óptica, magnética, táctil...) de un conjunto de
conocimientos. Por ejemplo:
o Una noticia que escuchamos por la radio.

o Una señal de tráfico que advierte un peligro.

La información se representa mediante conjuntos de símbolos, que pueden ser de diferente

naturaleza:
 o Textuales o numéricos, como las letras y números que usamos al escribir.

o Sonoros, como los fonemas, las notas musicales...

o Cromáticos, como los colores de los semáforos.

• Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

• Lista de verificación: Herramienta para recordar y/o validar que tareas tienen que ser
cumplidas y que recursos están disponibles en una etapa de recuperación.
• Procedimientos: Los procedimientos constituyen la descripción detallada de la
manera como se implanta una política.
• Propietario: Es el responsable y dueño del activo de información. Define también sus
niveles de clasificación.
• Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información.
• Sitio alterno: Un sitio alterno es aquel que en caso de un desastre o incidente de
seguridad utilizaremos para realizar los procesos interrumpidos. Este tipo de sitios se
puede calificar de acuerdo con:
• SGSI: Sistema de Gestión de la Seguridad de la Información.
• Terceros: Entendemos por terceros a proveedores, contratistas, clientes y visitantes
al Sistema.
• Usuario: Es el que utiliza los activos de información para llevar a cabo las funciones
de su trabajo.

7 BIBLIOGRAFÍA

Business Continuity Institute (2013) Good Practice Guidelines: A guide to global good practice in business
continuity, Business Continuity Institute, Caversham.

Disaster Recovery Institute International (DRII) (2012) Professional Practices for Business Continuity
Practitioners, DRII, New York.

ISO 22301 (2012) – Societal security – Business continuity management systems – Requirements

ISO 22301 (2012) – Societal security – Business continuity management systems – Guidance

ISO 22301 (2012) – Societal security – Terminology

ISO 27001:2013 Information security.