Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2

Introduccin a los conceptos de Seguridad de informacin Entendiendo los conceptos bsicos de seguridad

0.1 Que es la seguridad de la informacin?

La Seguridad de la informacin es el conjunto de estndares, procesos, procedimientos, estrategias, recursos informticos, recursos educativos y recurso humano integrado para proveer toda la proteccin debida y requerida a la informacin y a los recursos informticos de una empresa, institucin o agencia gubernamental La informacin es un recurso o activo que, como otros recursos importantes del negocio, es esencial a una organizacin y a su operacin y por consiguiente necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez ms interconectado. Como resultado de esta nter conectividad creciente, la informacin se expone ahora a un nmero ascendente y a una variedad ms amplia de de amenazas y vulnerabilidades. La informacin puede existir en muchas formas. Puede imprimirse o puede escribirse en el papel, guardar electrnicamente, transmitirse por el correo o usando los medios electrnicos, puede ser mostrada en las pelculas, o hablada en la conversacin. Cualquier forma que la informacin tome, o cualquier medio por donde sea compartida o guardada, siempre debe ser apropiadamente protegida. La seguridad de la informacin es la proteccin de informacin de una gama amplia de amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y aumentar al mximo el retorno en las inversiones y las oportunidades de negocios. La seguridad de la informacin se logra llevando a cabo un conjunto conveniente de controles, incluyendo las polticas, los procesos, procedimientos, estructuras orgnicas y funciones del hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados, dnde sea necesario, para asegurar que se renen la seguridad especfica y objetivos de negocio de la organizacin. Esto debe hacerse en conjuncin con otros procesos de administracin de negocios.

0.2 Por qu se necesita la seguridad de la informacin?

La informacin y los procesos de apoyo, sistemas, y redes son uno de los recursos mas importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la informacin pueden ser esenciales para mantenerse en el borde competitivo, mantener un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y sostenimiento de la imagen comercial. Se enfrentan las organizaciones y sus sistemas de informacin y redes con las amenazas de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones.

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 1

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 Las causas de dao como el cdigo malvolo, penetracin de computadoras, y ataques de negacin del servicio han llegado a ser ms comunes, ms ambicioso, y mas sofisticados. La seguridad de la informacin y proteger las infraestructuras crticas del negocio es importante para ambos sectores pblico y de negocios del sector privado. En ambos sectores, la seguridad de la informacin funcionar como un habilitador, por ejemplo para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La interconexin de las redes privadas pblicas y privadas y el compartir de recursos de informacin aumentan la dificultad de lograr el control de acceso. La tendencia a la informtica distribuida tambin ha debilitado la efectividad del control central, especializado. No se han diseado muchos sistemas de informacin seguros. La seguridad que puede lograrse a travs de los medios tcnicos es limitada, y debe apoyarse por una apropiada gestin apropiada y por los procedimientos. Identificando qu controles deben ser implementados requiere planificacin cuidadosa y atencin al detalle. La gestin de la seguridad de la informacin requiere, como un mnimo, participacin por todos los empleados de la organizacin. Tambin puede requerir la participacin de los accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas. Asesora y Consejo de especialista de las organizaciones externas tambin puede necesitarse.

0.3 Cmo establecer los requerimientos de seguridad?

Es esencial que una organizacin identifique sus requerimientos de seguridad. Hay tres fuentes principales de los requerimientos de seguridad. 1. una fuente se deriva de evaluar los riesgos de la organizacin, mientras se tienen en cuenta la estrategia de negocio global de la organizacin y sus objetivos. A travs de una valoracin de riesgo, se identifican amenazas a los recursos, se evala la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial. 2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que la organizacin, sus socios comerciales, contratistas, y proveedores de servicio tienen que satisfacer, y el ambiente socio-cultural. 3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos comerciales para la informacin que se procesa que una organizacin ha desarrollado para apoyar sus funcionamientos.

0.4 Evaluando los riesgos de seguridad

Los requerimientos de seguridad son identificados mediante una valoracin metdica de riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar contra el dao comercial que puedan ser resultado de las fallas de seguridad. Los resultados de la valoracin de riesgo ayudarn a guiar y determinar la accin de gestin apropiada y las prioridades para manejar los riesgos de la seguridad de la

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 2

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 informacin, y por llevar a cabo los controles seleccionados para protegerse contra cada uno de estos riesgos. La valoracin de riesgo debe repetirse peridicamente para estar atentos a cualquier cambio que pudiera influir en los resultados de valoracin del riesgo. .

0.5 Seleccionando Controles

Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles apropiados e implementarlos para asegurar la mitigacin de los riesgos a un nivel aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de controles, o pueden disearse nuevos controles apropiados para satisfacer las necesidades especficas. La seleccin de controles de seguridad depende en decisiones orgnicas basadas en el criterio para la aceptacin de riesgo, la opciones en el tratamiento de riesgo, y el enfoque de gestin general de riesgo aplicado en la organizacin, y tambin debe estar sujeto regulaciones relevantes y a la legislacin internacional y nacional. Algunos de los controles en esta norma pueden ser considerados como guas de los principios para la gestin de la seguridad de la informacin y aplicable para la mayora de las organizaciones. Ellos se explican en ms detalle debajo bajo del encabezado el punto de partida de seguridad de la informacin. Puede encontrarse ms informacin sobre seleccionar controles y otras opciones de tratamiento de riesgo en la clusula 4.2 Tratando los riesgos de seguridad".

0.6 Punto de partida de seguridad de la informacin

Varios controles pueden ser considerados como un buen punto de partida para llevar a cabo la proteccin de la informacin. Ellos o estn basado en los requerimientos esenciales de tipo legislativo o se consideran ser una practica comn para la seguridad de la informacin. Controles considerados esenciales a una organizacin desde un punto de vista del legislativo incluyen, (dependiendo de la legislacin aplicable): a) proteccin de los datos y retiro de informacin personal b) proteccin de archivos de la organizacin c) los derechos de la propiedad intelectual Controles considerados como prctica comn para la seguridad de la informacin incluyen: a) el documento de polticas de seguridad de la informacin b) la asignacin de responsabilidades de seguridad de la informacin c) el conocimiento de seguridad de la informacin, educacin, y entrenamiento d) el proceso correcto en las aplicaciones ; e) la gestin de vulnerabilidad tcnica ; f) la gestin de continuidad del negocio ;

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 3

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 g) la gestin de incidentes de seguridad de la informacin y mejoras Estos controles aplican a la mayora de las organizaciones y en la mayora de los ambientes. Debe notarse que aunque todos los controles en esta norma son importantes y deben ser considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos especficos que una organizacin pudiera enfrentar. Aunque el enfoque anterior es considerado un punto de partida bueno, no reemplaza la seleccin de controles basado en una valoracin de riesgo.

0.7 Factores crticos de xito

La experiencia ha mostrado que los factores siguientes son a menudo crticos a la aplicacin exitosa de la seguridad de la informacin dentro de una organizacin: a) la poltica de seguridad de la informacin, la estrategia, objetivos, y actividades que reflejen los objetivos de negocios; b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar la seguridad de la informacin que sea consistente con la cultura organizacional; c) el apoyo visible y comprometido de todos los niveles de gestin; d) una comprensin buena de los requerimientos de seguridad de la informacin, valoracin de riesgo, y gestin del riesgo; e) el mercadeo eficaz de los conceptos de seguridad de la informacin a todos los gerentes, empleados, tercera partes para lograr el conocimiento; f) la distribucin de gua en la poltica de seguridad de la informacin y normas a todos los gerentes, los empleados y terceras partes; g) la provisin financiera para consolidar las actividades de gestin de la seguridad de la informacin; h) proporcionar conocimiento apropiado, entrenamiento, y educacin; i) establecer un proceso eficaz de manejo de incidentes de seguridad de la informacin; j) la aplicacin de un sistema de mediciones que se pueda usar para evaluar el rendimiento en la gestin de seguridad de la informacin y realimente sugerencias la mejora de esa gestin.

0.8 Desarrollo de sus propias pautas

Este cdigo de prctica puede considerarse como un punto de partida para la organizacin en vas de desarrollo especfico de las pautas. No todos los controles y guas en este cdigo de prctica pueden ser aplicables. Adems, pueden requerirse controles y pautas adicionales no incluidas en esta norma. Cuando se desarrollan los documentos conteniendo pautas adicionales o controles, puede ser til incluir las referencias cruzadas a las clusulas en esta norma dnde aplique para facilitar la verificacin de cumplimiento por parte de interventores y socios de negocios.

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 4

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2

0.9 Trminos y definiciones

Para los propsitos de este documento los siguientes trminos y definiciones aplican:

2.1 Activo cualquier elemento que tenga un valor para la organizacin [ISO/IEC 133351:2004]

2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las
polticas, los procedimientos, las pautas, prcticas o estructuras organizacionales que pueden ser de tipo administrativo, tcnico, de gestin, o de naturaleza legal. NOTA La palabra control se usa como un sinnimo para resguardo o contramedida. 2.3 pauta una descripcin que clarifica lo que debe hacerse y cmo, para lograr el conjunto de los objetivos establecidos en las polticas [ISO/IEC 13335-1:2004] 2.4 facilidades de procesamiento de informacin cualquier sistema de procesamiento de informacin, servicio o infraestructura, o las localidades fsicas que los alojan 2.5 la seguridad de informacin la preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades, fuertemente relacionadas tales como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden tambin ser involucradas. 2.6 el evento de seguridad de la informacin es una ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible brecha de la poltica de seguridad de informacin o fracaso de sus resguardos, o una situacin previamente desconocida que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004 2.7 incidente de seguridad de informacin un incidente de seguridad de la informacin se indica por un solo o una serie de eventos de seguridad de la informacin no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio mediante las amenazas a la seguridad de la informacin.[ISO/IEC TR 18044:2004] 2.8 la poltica la intencin y direccin global como formalmente fue expresada por la gerencia o administracin 2.9 el riesgo la combinacin de la probabilidad de un evento y su consecuencia [ISO/IEC Guide 73:2002] 2.10 anlisis de riesgo el uso sistemtico de informacin para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 2.11 la valoracin del riesgo el proceso global de anlisis de riesgo y evaluacin de riesgo [ISO/IEC Guide 73:2002] 2.12 la evaluacin del riesgo el proceso de comparar el riesgo estimado contra el criterio de un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002] 2.13 la gestin del riesgo las actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo NOTA: La gestin del Riesgo incluye tpicamente valoracin de riesgo, tratamiento de riesgo, aceptacin de riesgo y comunicacin del riesgo.[ISO/IEC Guide 73:2002] 2.14 Tratamiento del riesgo el proceso de seleccin y aplicacin de medidas para modificar el riesgo [ISO/IEC Guide 73:2002] 2.15 tercera parte esa persona o institucin que se reconocen como un ser independiente de las partes involucradas, con respecto a un problema, trabajo o labor en cuestin [ISO/IEC Guide 2:1996] 2.16 la amenaza una causa potencial de un incidente no deseado que puede producir dao a un sistema u organizacin [ISO/IEC 13335-1:2004] 2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse por uno o ms amenazas [ISO/IEC 13335-1:2004]

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 5

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2

Concepto integrado de los diferentes elementos de la seguridad de la informacin

Anlisis de riesgos

Vulnerabilidad

Riesgo

Amenaza:
Confidencialidad Disponibilidad Integridad Autenticidad (No repudio)

Evento
Plan de proteccin, Recursos de HW y SW (FW, IDS, Criptografa) para proteccin, PPPE y auditoria permanente

Figura 1. Relacin vulnerabilidad, amenaza, riesgo y evento

En la Figura 1 pretendemos hacer un esquema que explique integralmente los conceptos fundamentales de la seguridad. En primer lugar tenemos las vulnerabilidades que vienen siendo como los puntos dbiles de la seguridad de la informacin. Haciendo una paradoja puede ser como un defecto de la infraestructura de recursos informticos que pone en riesgo su propia supervivencia o la la de la informacin. Por otro lado tenemos el sutil tema de la amenaza en cualquiera de sus tipos incluidos en la grfica, externa o interna a la organizacin. La conjuncin simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de Seguridad y Proteccin de la informacin es ese conjunto de actividades marcadas en azul que trata por todos los medios que el riesgo se convierta en evento, mitigando la probabilidad de ocurrencia del mismo.

1.0 Evaluando riesgos de seguridad

Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptacin de riesgo y los objetivos pertinentes a la organizacin. Los resultados deben guiar y deben determinar la apropiada accin administrativa y la prioridad para gestionar el riesgo de la seguridad de informacin y para implementar los controles seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 6

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes de la organizacin o los sistemas individuales de informacin. La valoracin de riesgo debe incluir el enfoque sistemtico de estimar la magnitud de riesgos (el anlisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo para determinar la importancia de los riesgos (la evaluacin de riesgo). Tambin deben realizarse peridicamente las valoraciones de riesgo para conducir los cambios en los requerimientos seguridad y en la situacin de riesgo, por ejemplo en los recursos, amenazas, las vulnerabilidades, los impactos, la evaluacin del riesgo, y cuando los cambios significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metdica capaz de producir resultados comparables y reproducibles. La valoracin del riesgo de seguridad de la informacin debe tener un alcance claramente definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras reas, si es lo apropiado. El alcance de una valoracin de riesgo o puede ser la organizacin entera, o las partes de la organizacin, un sistema de informacin individual, componentes del sistema especficos, o servicios dnde esto es factible, realista, y til. Se discuten ejemplos de metodologas de valoracin de riesgo en ISO/IEC TR13335-3 (Las guas para la Gestin de la Seguridad de la informacin: Las tcnicas para el manejo de Seguridad de la INFORMACIN).

1.2 Tratando los riesgos de seguridad

Antes de considerado el tratamiento de un riesgo, la organizacin debe decidir el criterio para determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se evala que el riesgo es bajo o que el costo de tratamiento no es rentable para la organizacin. Las decisiones tomadas deben documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluacin se debe tomar una decisin de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen: a) aplicando los controles apropiados para reducir los riesgos; b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la poltica de organizacin y los criterio para la aceptacin de riesgo; c) evitando los riesgos no permitiendo acciones que causaran la ocurrencia de los riesgos; d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores. Para los riesgos dnde la decisin de tratamiento de riesgo ha sido aplicar los controles apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los requerimientos identificados por una valoracin de riesgo. Los controles deba asegurar que se reducen los riesgos a un nivel aceptable teniendo en cuenta: a) los requerimientos y restricciones de la legislacin nacional e internacional y las regulaciones; b) los objetivos organizacionales; c) los requerimientos y restricciones operacionales; d) el costo de implementacin y operacin respecto al nivel de riesgo que esta siendo reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones de la organizacin. e) la necesidad de equilibrar la inversin en la aplicacin y funcionamiento de controles contra el dae para ser el resultado de los fracasos de seguridad probablemente.

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 7

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o pueden disearse nuevos controles para satisfacer las necesidades especficas de la organizacin. Es necesario reconocer que algunos controles no puedan ser aplicables a cada sistema de informacin o ambiente, y no podra ser factible para todas las organizaciones. Como un ejemplo, el pargrafo 10.1.3 describe cmo pueden dividir los deberes y funciones para prevenir el fraude y el error. No puede ser posible para las organizaciones ms pequeas dividir todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser necesarias. Como otro ejemplo, el pargrafo 10.10 describe cmo el uso del sistema puede supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro de eventos, podran entrar en choque con la legislacin aplicable, como proteccin de la privacidad del cliente o en el lugar de trabajo. Los controles de seguridad de informacin deben ser considerados en los sistemas, proyectos y aplicaciones diseando la especificacin de los requerimientos de seguridad en la fase de diseo. Fallas en este punto puede producir costos adicionales as y hacer menos eficaz las soluciones, y quiz, en el peor caso, incapacidad para lograr la seguridad adecuada. Debe tenerse presente que ningn conjunto de controles puede lograr la seguridad completa, y gestin adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la efectividad en los controles de seguridad para soportar los objetivos de la organizacin.

2 Poltica de seguridad
Un poltica de seguridades es una decisin ejecutiva sobre el quehacer en el procesamiento, acceso, almacenamiento, creacin, mantenimiento y eliminacin de la informacin, para protegerla adecuadamente.

2.1 Poltica de seguridad de informacin

El objetivo: Proporcionar gestin de direccin y apoyar la seguridad de informacin de acuerdo con los requerimientos del negocio, leyes pertinentes y regulaciones. La direccin debe establecer una poltica clara en la lnea con los objetivos del negocios y debe demostrar apoyo y compromiso con la seguridad de informacin a travs de la emisin y mantenimiento de una poltica de seguridad de informacin para la organizacin.

2.1.2 Documento de la poltica de seguridad de la informacin

Control Un Documento de la poltica de seguridad de la informacin debe aprobarse por la direccin, y publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente. La gua de aplicacin El Documento de la poltica de seguridad de la informacin debe declarar el compromiso de la direccin y debe partir del enfoque de la organizacin para el manejo de la seguridad de informacin. El documento de la poltica debe contener declaraciones involucrando: a) una definicin de seguridad de la informacin, sus objetivos globales, alcance y la importancia de la seguridad como un mecanismo habilitador para compartir la informacin (ver el pargrafo de la introduccin); b) una declaracin de intencin de la direccin para , apoyar las metas y principios de seguridad de la informacin, en lnea con la estrategia y objetivos de negocios;

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 8

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
c) un armazn por establecer objetivos de control y controles, incluso la estructura de la valoracin y manejo de riesgo; d) una explicacin breve de las polticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organizacin, incluyendo: 1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educacin de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestin de continuidad del negocio; 4) las consecuencias de las violaciones de la poltica de seguridad de la informacin; e) una definicin de las responsabilidades generales y especficas para la gestin de la seguridad de informacin, incluyendo el informar los incidentes de seguridad de la informacin; f) las referencias a documentacin que pueden apoyar la poltica, por ejemplo la seguridad ms detallada las polticas y procedimientos para los sistemas de informacin especficos o las reglas de seguridad que los usuarios deben cumplir. Esta poltica de seguridad de informacin debe comunicarse a lo largo de la organizacin a los usuarios en un formato apropiado, accesible y entendible al lector intencional. Otra informacin La poltica de seguridad de informacin podra ser una parte de un documento de la poltica general. Si la informacin de la poltica de seguridad es distribuda fuera de la organizacin, el debe tenerse cuidado para no descubrir o revelar informacin sensible. Informacin adicional puede encontrarse en el ISO/IEC 13335-1:2004.

2.1.3 Revisin de la poltica de seguridad de informacin

Control La poltica de seguridad de informacin debe revisarse a intervalos planeados o si ocurren cambios significativos para asegurar su conveniencia de continuacin, suficiencia, y efectividad. La gua de aplicacin La poltica de seguridad de informacin debe tener un dueo quien tenga responsabilidades de gestin aprobadas para el desarrollo, revisin, y evaluacin de la poltica de seguridad. La revisin debe incluir las oportunidades de evaluacin para la mejora de la poltica de seguridad de informacin de la organizacin y enfoque a manejar la seguridad de informacin en respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de negocios, las condiciones legales, o el ambiente tcnico. La revisin de la poltica de seguridad de informacin debe tomar cuenta de los resultados de revisiones manejadas. All debe definirse los procedimientos de manejo de revisin, incluso un horario o perodo de la revisin. La entrada a la gestin de revisin debe incluir la informacin en: a) la retroalimentacin de terceras partes interesadas; b) los resultados de revisiones independientes (vea 6.1.8); c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1); d) los resultados de revisiones de gestiones anteriores; e) efectividad del proceso y cumplimientos de las poltica de seguridad de la informacin;

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 9

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
f) cambios que podran afectar el enfoque de la organizacin al manejo de la seguridad de informacin, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente tcnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de informacin (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6). La salida de la gestin de revisin debe incluir cualquier decisin y acciones relacionadas a: a) la mejora del enfoque de la organizacin a la gestin de la seguridad de la informacin y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignacin de recursos y/o responsabilidades. Un registro de la gestin de revisin debe mantenerse. La aprobacin gerencial para la poltica revisada debe obtenerse.

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 10