Sistema Integral de Diagnóstico de la Seguridad Informática

MISC-03-1-1

1

Sistema Integral de Diagnóstico de la Seguridad Informática

Ing. Roberto C. Arbeláez C. 200217369

Asesor: Ing. Hugo Sin T.

TESIS DE GRADO MAESTRÍA EN INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

DEPARTAMENTO DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN FACULTAD DE INGENIERÍA

UNIVERSIDAD DE LOS ANDES BOGOTÁ, D.C., COLOMBIA

2003-2

MISC-03-1-1

2

“A model is neither true nor false: It is more or less useful” Stafford Beer, Diagnosing the system for Organizations.

A Roberto y Myriam, mis padres, quienes con su apoyo hicieron este trabajo posible.

MISC-03-1-1

3

i. Tabla de Contenidos 0. Abstracto…..5 1. Introducción…..6 1.1 Procesos tradicionales de evaluación de la seguridad informática…..6 1.1.1 Establecimiento del Entorno de Seguridad…..6 1.1.2 Establecimiento de los Objetivos de Seguridad…..7 1.1.3 Establecimiento de los Requerimientos de Seguridad…..8 1.2 Falencias de la aproximación tradicional…..8 1.2.1 Los estándares tradicionales carecen de perspectiva sistémica…..8 1.2.2 Los estándares tradicionales carecen de perspectiva organizacional…..9 1.2.3 Los estándares tradicionales carecen de perspectiva estratégica…..9 1.2.4 Los estándares tradicionales se centran en aspectos operativos …..9 1.3 Una aproximación nueva al problema de la evaluación de la seguridad informática…..10 1.3.1 La perspectiva Sistémica…..10 1.3.2 La perspectiva Organizacional y Estratégica…..11 1.3.3 La perspectiva Operativa…..11 2. Marco teórico…..12 2.1 Perspectiva Sistémica…..12 2.1.1 El modelo de Sistema Viable…..13 2.1.1.1 Identificación del sistema y sus fronteras…..14 2.1.1.2 Identificación del sistema viable del que hace parte, y los sistemas viables que lo componen…..15 2.1.1.3 Verificación de la viabilidad de los sistemas…..16 2.1.1.4 Identificación de los sistemas de apoyo…..16 2.1.1.5 Análisis de la variedad del sistema…..16 2.1.1.6 Análisis de los Canales de comunicación y los Transductores del sistema…..20 2.1.1.7 Análisis de las oscilaciones del sistema…..22 2.1.1.8 Análisis de los sistemas de auditoria…..23 2.1.1.9 Análisis del sistema de gerencia…..24 2.1.1.10 Análisis del sistema de planeación estratégica…..25 2.1.1.11 Análisis del sistema de inteligencia…..26 2.1.2 Una adaptación del MSV: El Modelo de Sistema de Información Sostenible…..26 2.1.2.1 Inaplicabilidad del concepto de Viabilidad…..27 2.1.2.2 El concepto de sostenibilidad…..27 2.1.2.3 El Modelo de Sistema Sostenible…..28 2.1.2.4 El Sistema de Información Sostenible…..29 2.1.2.4.1 Subsistema sustentativo S1 – Sistema de cómputo…..30 2.1.2.4.2 Subsistema de amortiguación S2 – Sistema de seguridad informática…..30 2.1.2.4.3 Subsistema de auditoria S3* - Sistema de auditoria informática…..31 2.1.2.4.4 Subsistema de gerencia S3 - Sistema de gerencia informática…..31 2.1.2.4.5 Subsistema de planeación estratégica S4 – Sistema de planeación estratégica informática…..32 2.1.2.4.6 Subsistema de inteligencia S5 – Sistema de inteligencia informática…..32 2.1.2.4.7 Administración de la variedad del sistema de información…..33 2.1.2.4.8 Canales de comunicación y transductores…..33 2.2 Perspectiva Organizacional…..34 2.2.1 Balanced Score Card…..35 2.2.1.1 Metodología del BSC…..37 2.2.1.1.1 Clarificar y vincular objetivos y mediciones estratégicas…..37 2.2.1.1.2 Planear, definir metas y alinear iniciativas estratégicas…..38 2.2.1.1.3 Mejorar el aprendizaje y la retroalimentación estratégica…..39 2.2.2 El BSC como un sistema de diagnóstico de seguridad informática…..41 2.2.2.1 Perspectiva Financiera…..42 2.2.2.2 Perspectiva del Consumidor…..43 2.2.2.3. Perspectiva de procesos internos del negocio…..43 2.2.2.4 Perspectiva de aprendizaje y crecimiento…..45 2.2.2.5 Una perspectiva adicional: La perspectiva de responsabilidad social…..46 2.2.3 SIMEG e Índices de Gestión…..48 2.2.3.1 Atributos de una medición…..48 2.2.3.2 Indicadores e Índices de gestión…..49

MISC-03-1-1

4

2.2.3.3 Premisas para la definición de índices de gestión…..50 2.2.3.4 Tipos de indicadores de gestión…..50 2.2.3.6 SIMEG y el diagnóstico de un sistema de seguridad informática…..51 2.2.3.6.1 Un patrón de diseño para indicadores de gestión…..51 2.2.3.6.2 Un patrón de diseño para índices de gestión…..52 2.3 Perspectiva Operacional…..53 2.3.1 Estándares utilizados…..53 2.3.1.1 ISO/IEC 17799…..53 2.3.1.2 ISO/IEC 15408…..54 2.3.1.3 ISO/IEC TR 13335…..54 2.3.1.4 NIST SP 800-30…..55 2.4 La perspectiva integral…..56 3. El Sistema de Diagnóstico Integral de Seguridad Informática …..58 3.1 ¿Porqué es necesario un sistema para el diagnóstico integral de la seguridad informática? …..58 3.2 Descripción general del sistema…..60 3.2.1 Establecimiento del grupo de trabajo…..61 3.2.2 Metodología de evaluación Sistémica…..61 3.2.3 Metodología de evaluación organizacional…..62 3.2.4 Metodología de evaluación operativa…..62 3.3 Cuestionario de evaluación…..63 3.3.1 Indicadores Sistémicos…..63 3.3.2 Indicadores Organizacionales…..64 3.3.2.1 Administración de riesgos informáticos…..64 3.3.2.2 Reducción de gastos de operación…..64 3.3.2.3 Mejora en la utilización de recursos…..65 3.3.2.4 Relación con los usuarios…..65 3.3.2.5 Capacidades del sistema de seguridad…..65 3.3.2.6 Actualización del sistema de seguridad…..66 3.3.2.7 Aprendizaje…..66 3.3.2.8 Responsabilidad social…..66 3.3.3 Indicadores Operativos…..67 3.3.3.1 Políticas de Seguridad…..67 3.3.3.2 Estructura organizacional…..67 3.3.3.3 Clasificación de recursos…..68 3.3.3.4 Seguridad humana…..68 3.3.3.5 Seguridad física…..68 3.3.3.6 Administración de la seguridad…..70 3.3.3.7 Control de acceso…..71 3.3.3.8 Desarrollo y mantenimiento de sistemas…..72 3.3.3.9 Administración de la continuidad del negocio…..73 3.3.3.10 Cumplimiento del marco legal y de las políticas organizacionales…..74 3.3.3.11 Auditoria de seguridad informática …..75 4. Análisis de datos…..76 4.1 Análisis de Valor, Rango e Interpretación…..76 4.2 Generación de Recomendaciones …..77 4.3 Incorporación de los procesos de medición al ciclo de vida del sistema de información…..77 5. Conclusiones…..78 6. Anexos: Formatos de Indicadores de Gestión y Recomendaciones…..80 6.1 Formato de Indicadores de Gestión Sistémicos…..81 6.2 Formato de Indicadores de Gestión Organizacionales…..86 6.3 Formato de Indicadores de Gestión Operacionales…..107 7. Bibliografía…..180

MISC-03-1-1

5

0. Abstracto A partir de modelos de diagnóstico sistémico y organizacional (específicamente el Viable System Model1 y el Balanced Score Card), y en conjunto con varios estándares de seguridad informática (el ISO / IEC 17799, el ISO / IEC 15408, El ISO / IEC TR 13335 y el NIST SP 800-30), se desarrolla un sistema de diagnóstico de la Seguridad Informática basado en indicadores de gestión, desde una perspectiva multidisciplinaria que permite hacer una evaluación integral y completa del estado de la Seguridad Informática en una organización. 1 Modelo de Sistema Viable.

MISC-03-1-1

6

1. Introducción Tradicionalmente, la seguridad de un sistema de información ha sido tratada como un atributo de dicho sistema. Este atributo describe de manera general las fortalezas y/o debilidades que este tiene para proteger sus recursos de amenazas y vulnerabilidades, así como el riesgo de que estas sean explotadas de manera exitosa y el impacto que esto tendría en la organización2. 1.1 Procesos tradicionales de evaluación de la seguridad informática Los procesos de evaluación de la seguridad informática son, en términos generales equivalentes entre los diversos estándares. Sin embargo, para propósitos de establecer lo que es un proceso tradicional de evaluación de la seguridad informática podemos adoptar una perspectiva reduccionista, descomponiendo dicho proceso en los siguientes subprocesos3:

• Establecimiento del Entorno de Seguridad • Establecimiento de los Objetivos de Seguridad • Establecimiento de los Requerimientos de Seguridad

1.1.1 Establecimiento del Entorno de Seguridad El entorno de seguridad debe describir el medio ambiente en el que se desempeñan tanto el sistema de información, como el sistema de seguridad que lo protege. Para establecer el entorno de seguridad, se deben analizar las políticas de seguridad organizacionales4 y la infraestructura existente (instalaciones, hardware, software, usuarios, logística, información, conectividad, etc.). Al final de este proceso se debe obtener una descripción de las reglas y políticas de seguridad relevantes para el sistema de información, así como una descripción de los recursos del sistema, de las amenazas a la seguridad que los afectan, y de los recursos que necesitan protección. Las políticas de seguridad organizacionales deben describir la normatividad que adopta la organización para regir el funcionamiento de su sistema de información, y para administrar 2 NIST SP 800-30 Figure 1 - Risk Assessment Methodology; ISO/IEC 15408-1 Figure 4.1 – Security concepts and relationships 3 ISO/IEC 15408-1 4.3.1 Security Environment, 4.3.2 Security Objectives, 4.3.3 Security Requirements. 4 En caso de que las políticas de seguridad no existan, se hace necesario como primer paso, la creación de dichas políticas.

MISC-03-1-1

7

la seguridad de su información5 y la infraestructura asociada, teniendo en cuenta la normatividad legal del país que la alberga6. La infraestructura se define realizando un inventario completo de los recursos del sistema y clasificándolos de acuerdo a diferentes categorías7. Para cada uno de las categorías, se debe identificar las amenazas que la afectan8 y establecer para cada recurso si es vulnerable a la amenaza9 y si existe algún tipo de control de seguridad que lo proteja10, pudiéndose de esta manera establecer cuáles recursos necesitan protección y cuáles no. 1.1.2 Establecimiento de los Objetivos de Seguridad Una vez se ha definido y analizado cuál es el entorno en el cual se desempeñan tanto el sistema de información como su sistema de seguridad asociado, se deben conocer las limitaciones del sistema de seguridad, y como consecuencia directa de estas limitaciones, las vulnerabilidades que presenta el sistema de información, de tal forma que se puedan establecer los objetivos que se deben lograr para asegurar el sistema, para satisfacer los requerimientos impuestos por las políticas de seguridad. Se hace evidente entonces que los objetivos de seguridad deben buscar contrarrestar las amenazas al sistema, o solucionar problemáticas generadas por las políticas de seguridad. Es muy importante en la definición de objetivos tener en cuenta los factores económicos, y estos deben reflejar las decisiones de aceptar o no ciertos riesgos al sistema11 en caso de que los costos de protegerse ante un riesgo determinado sean muy altos con respecto al impacto que tendría que dicho riesgo se materialice en un ataque exitoso12. 5 ISO/IEC 17799 3. Security Policy 6 ISO/IEC 17799 3.1.1 Information Security Policy Document 7 Las categorías varían un poco de acuerdo al estándar consultado, pero de ISO/IEC 17799 5.1.1 Inventory of Assets, ISO/IEC 15408-1 4.3.1 Security Environment, NIST SP 800-30 3.1 System Characterization, AS/NZS 4444.2 4.3 Asset classification and control se puede establecer un listado común, que comprende Hardware, Software, Información, Personas, Logística e Interfaces y conectividad. 8 NIST SP 800-30 3.2.1 Threat Source Identification 9 NIST SP 800-30 3.2.2 Vulnerability Analysis 10 NIST SP 800-30 3.2.3 Control Analysis 11 NIST SP 800-30 4.5 Residual Risk 12 Por ejemplo, una organización puede determinar que existe un riesgo muy pequeño de cortes en el fluido eléctrico, y que el impacto en el desempeño de la organización es bajo. Este riesgo se podría contrarrestar comprando una planta generadora de electricidad, pero debido al alto costo de éstas, y al bajo impacto que tiene un corte del fluido eléctrico, la organización puede determinar que es mejor asumir el riesgo, y no comprar la planta generadora de electricidad.

MISC-03-1-1

8

1.1.3 Establecimiento de los Requerimientos de Seguridad Una vez se han logrado definir los objetivos de seguridad, a partir de ellos se puede obtener un conjunto de requerimientos de seguridad, que si son satisfechos, deben cumplir con los objetivos de seguridad definidos para el sistema. Obtener requerimientos a partir de objetivos es una tarea de extrema importancia, en cuyos resultados se fundamenta el proceso de ingeniería de seguridad que debe ser llevado a cabo posteriormente, garantizando que el diseño de una solución que realmente satisfaga la problemática de seguridad del sistema de información sea posible. El obtener requerimientos basándose en los objetivos de seguridad requiere entonces de un conocimiento profundo de la organización, sus políticas de seguridad, del sistema de información, de su sistema de seguridad, y de los recursos con que se cuenta. Para garantizar que los requerimientos describan de manera adecuada las necesidades de seguridad del sistema de información, se deben agrupar en requerimientos funcionales y requerimientos de aseguramiento. Los requerimientos funcionales describen requerimientos que se deben satisfacer a través de funciones que de manera específica soporten la seguridad informática, mientras que los requerimientos de aseguramiento especifican el nivel de seguridad asociado a dichas funciones, y describen niveles de seguridad que se deben obtener en el sistema13. 1.2 Falencias de la aproximación tradicional Una de las tesis que propone este documento es el hecho de que la aproximación tradicional al problema de la evaluación de la seguridad de un sistema de información es limitada e insuficiente. Esto se sustenta en las siguientes razones: 1.2.1 Los estándares tradicionales carecen de perspectiva sistémica Los estándares tradicionales consideran la seguridad como un atributo más de un sistema de información, cuando en realidad la seguridad debe ser dada por uno de sus componentes: 13 Por ejemplo, un requerimiento funcional puede ser proteger la confidencialidad de la información sensible, controlando el acceso a la información a través de contraseñas para que solo puedan ser accesados por sus dueños. Un requerimiento de aseguramiento asociado a dicha funcionalidad, puede ser que la contraseña utilizada sea de al menos 8 caracteres de longitud, y que incluya mayúsculas, minúsculas, números y otro tipo de caracteres, para que la funcionalidad dada por la encripción con contraseña provea un nivel adecuado de seguridad.

MISC-03-1-1

9

un sistema de seguridad informática14 independiente y autónomo de otros componentes del sistema de información, cuya tarea primordial es la de proteger al sistema de información y a todos sus componentes15.

1.2.2 Los estándares tradicionales carecen de perspectiva organizacional En los estándares tradicionales, se omite casi por completo16 el hecho de que el sistema de cómputo y el sistema de seguridad informática hacen parte de un sistema de información, y que este a su vez hace parte de una organización, y como tales deben estar alineados con las metas, los objetivos y las políticas organizacionales; que como parte de la organización, reciben un presupuesto y deben mostrar resultados (retorno respecto a la inversión), deben cumplir con estándares de calidad organizacionales, promover y cuidar la imagen organizacional, deben adaptarse al entorno para seguir sirviendo de manera eficiente a la organización y deben mantener ciertos niveles de desempeño y productividad.

1.2.3 Los estándares tradicionales carecen de perspectiva estratégica Aunque la mayoría de estándares tradicionales especifican que la seguridad debe ser evaluada y reajustada periódicamente para adaptarse a nuevos amenazas y a nuevos riesgos que aparezcan en el entorno17, este proceso se realiza de manera reactiva, careciendo por completo de una perspectiva estratégica que permita anticiparse al entorno en vez de reaccionar a él. 1.2.4 Los estándares tradicionales se centran en aspectos operativos Los estándares se centran en aspectos operativos, siendo aplicables únicamente a bajo nivel en la organización, sin que la gerencia esté en capacidad real de involucrarse en los proceso 14 El concepto de sistema de seguridad informática es primordial en el desarrollo de este trabajo, su carácter sistémico es la base sobre la cual se elabora todo el marco teórico que da sustento a los preceptos que busca establecer esta tesis. 15 El concepto de que la seguridad de un sistema de información este dado por un sistema de seguridad informática, independiente del sistema de cómputo puede parecer a primera vista dudoso. Sin embargo, no se está aseverando que el sistema de cómputo ni el sistema de seguridad sean sistemas viables, según la definición de Stafford Beer en su Modelo de Sistema Viable. Simplemente se está aseverando que ambos sistemas son componentes diferentes a un mismo nivel de recursión dentro de un sistema más grande (el sistema de información) que los contiene. 16 El tema es mencionado de manera tangencial en ISO/IEC 17799 3. Security Policy, 4. Organizational Security y en ISO/IEC TR 13335-2 8.Organizational aspects of IT security pero de manera muy superficial y centrándose en el área de TI, sin incluír los aspectos organizacionales ya mencionados. 17 ISO/IEC 15408-1 4.6 Assurance Maintenance; ISO/IEC 17799 3.1.2 Review and Evaluation; ISO/IEC TR 13335-2 16.1 Maintenance, NIST SP 800-30 5. Evaluation and Assessment

MISC-03-1-1

10

de optimización del sistema de información y del sistema de seguridad informática, ni de recibir retroalimentación directa de los resultados de dicho proceso, ni de cuantificar estos resultados e incorporarlos, por ejemplo, al reporte financiero de la organización. 1.3 Una aproximación nueva al problema de la evaluación de la seguridad informática Habiendo enumerado las limitaciones de los estándares de seguridad existentes, y teniendo claros los aspectos en los cuales dichos estándares son insuficientes para llevar a cabo un proceso adecuado de optimización organizacional (en lo que a la seguridad del sistema de información se refiere), se hace necesario proponer una nueva aproximación a dicha problemática, que cubra las faltantes dejadas por los estándares tradicionales de seguridad informática. Se hace necesario entonces, abordar el problema desde tres perspectivas diferentes:

• La perspectiva Sistémica • La perspectiva Organizacional y Estratégica • La perspectiva Operativa

1.3.1 La perspectiva Sistémica La seguridad informática para que sea efectiva, debe dejar de ser tratada como un atributo asociado a un sistema de información; la seguridad debe dejar de ser provista de manera descentralizada por los diversos componentes del sistema de información, para ser provista por un sistema de seguridad centralizado, pensado con el único propósito de proveer seguridad para todo el sistema de información. El sistema de seguridad informática, como todo sistema, tiene un propósito18 (que es proteger de manera integral a todos los componentes del sistema de información de la organización), y hace parte de un conjunto de componentes19 del sistema, entre los cuales se pueden mencionar componentes operativos20, componentes reguladores21, componente de control22, componentes de 18 Beer, Stafford. Diagnosing the system for organizations. pg.8, pg.13. El sistema de seguridad no es un sistema viable per se ya que no produce a la organización, sino que busca estabilizar el ambiente interno del sistema que lo contiene, es decir, ayuda a la homeóstasis del sistema. Sin embargo, es un sistema independiente. 19 A pesar de que el sistema de seguridad no es un sistema viable (ya que no produce a la organización), debe contener todos los componentes de un sistema viable para poder lograr su propósito de manera eficiente. Este concepto es introducido en este trabajo como una evolución del MSV de Beer, y es denominado el “Modelo de Sistema de Seguridad Informática” (Ver marco teórico). 20 Beer, Stafford. Diagnosing the system for organizations. Pg. 19,20. Componentes de producción (S1). Esta noción será usada de manera muy amplia para describir los componentes operativos del sistema de seguridad. 21 Beer, Stafford. Diagnosing the system for organizations. Pg. 41, 66-68, componentes reguladores o de amortiguación (S2). 22 Beer, Stafford. Diagnosing the system for organizations. Pg. 86-89, componente de control (S3).

MISC-03-1-1

11

auditoria23, componente de planeación estratégica24 y componente de inteligencia25. Estos componentes tienen una dinámica interna, e interactúan con su entorno, permitiendo que el sistema funcione de manera adecuada en el presente, replanteándose y repensándose continuamente para que siga funcionando de manera adecuada en el futuro. 1.3.2 La perspectiva Organizacional y Estratégica El sistema de seguridad informática hace parte de una organización con objetivos, visión y estrategia. Estos objetivos, esta visión, se dan desde 5 perspectivas diferentes26: Financiera, del Cliente, de Procesos Internos del Negocio, de Crecimiento y Aprendizaje y de Responsabilidad Social. Una vez identificados los objetivos y la visión de la organización, se define una estrategia27 que debe ser seguida para garantizar el logro de los objetivos, y que debe ir adaptándose28 a los cambios en el entorno. Debido a ello, se debe hacer que el sistema de seguridad informática se alinee con los objetivos organizacionales en cada una de las diferentes perspectivas, adoptando las medidas locales que promuevan la consecución de las medidas globales de la organización29. 1.3.3 La perspectiva Operativa La perspectiva operativa es tratada de manera adecuada por los estándares tradicionales de seguridad informática. En ellos se describen estrategias y procedimientos para adecuar el sistema de seguridad a los requerimientos impuestos por las políticas de seguridad de la organización, por su sistema de información y sus componentes, y por los riesgos existentes en su entorno. Esta optimización se realiza de manera estructurada y metodológica, haciendo que dichos estándares sean adecuados para ser aplicados en la mejora de los procesos operativos del sistema de seguridad, del sistema de información de la organización. 23 Beer, Stafford. Diagnosing the system for organizations. Pg. 82-84, componente de auditoría (S3*). 24 Beer, Stafford. Diagnosing the system for organizations, Pg. 111-120 Componente de planeación estratégica (S4). 25 Beer, Stafford. Diagnosing the system for organizations, Pg . 124-128 Componente de inteligencia(S5). 26 Kaplan, Robert. Norton, David. The Balanced Scorecard, Pg. 8, 25; Serna, Humberto. Índices de Gestión. Pg. 5. 27 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13, 14 28 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 15 29 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13

MISC-03-1-1

12

2. Marco teórico El marco teórico establece un marco conceptual de referencia, en el que se elaboran los conceptos sobre los que se fundamentan los desarrollos de este documento, desde las perspectivas sistémica, organizacional y operativa. 2.1 Perspectiva Sistémica Un sistema de información, antes que cualquier otra cosa, es un sistema. Y existen ciertas reglas que definen lo que es un sistema: Todo sistema de información tiene un propósito (que puede ser procesar la información de la organización, dar soporte informático a la gestión organizacional, proveer canales de comunicaciones, entre muchos otros), y unos componentes30 entre los cuales se pueden mencionar componentes operativos31, componentes reguladores32, componente de control33, componentes de auditoria34, componente de planeación estratégica35 y componente de inteligencia36. Para que un sistema pueda funcionar de manera adecuada, necesita ser completo (tener todos los componentes) y que estos puedan interactuar entre sí de manera adecuada. Un ejemplo de un sistema es el cuerpo humano. El cuerpo humano tiene un propósito (nacer, crecer, reproducirse y morir), tiene todos los componentes sistémicos necesarios (los subsistemas digestivo, nervioso, circulatorio, respiratorio, endocrino etc.), y estos pueden interactuar entre sí de manera adecuada, para que el sistema funcione. Si uno de los subsistemas deja de funcionar, el cuerpo como sistema, deja de funcionar. Si los subsistemas no pueden interactuar entre sí, el cuerpo como sistema, deja de funcionar. Un sistema de información también es un sistema. Debe tener un propósito. Y debe tener todos los componentes necesarios para funcionar adecuadamente. Y estos subsistemas deben tener una dinámica interna, e interactuar con el entorno, permitiendo que el sistema 30 A pesar de que el sistema de información no es un sistema viable (ya que no produce a la organización), debe contener todos los componentes de un sistema viable para poder lograr su propósito de manera eficiente. Este concepto es introducido en este trabajo como una evolución del MSV de Beer, y es denominado el “Modelo de Sistema de Información Sostenible (SIS)”. 31 Beer, Stafford. Diagnosing the system for organizations. Pg. 19,20. Componentes de producción (S1). Esta noción será usada de manera muy amplia para describir los componentes operativos del sistema de seguridad. 32 Beer, Stafford. Diagnosing the system for organizations. Pg. 41, 66-68, componentes reguladores o de amortiguación (S2). 33 Beer, Stafford. Diagnosing the system for organizations. Pg. 86-89, componente de control (S3). 34 Beer, Stafford. Diagnosing the system for organizations. Pg. 82-84, componente de auditoria (S3*). 35 Beer, Stafford. Diagnosing the system for organizations, Pg. 111-120, componente de planeación estratégica (S4). 36 Beer, Stafford. Diagnosing the system for organizations, Pg . 124-128, componente de inteligencia(S5).

MISC-03-1-1

13

funcione de manera adecuada en el presente, replanteándose y repensándose continuamente para que siga funcionando de manera adecuada en el futuro. El análisis sistémico permite diagnosticar si un sistema cumple todos los requisitos para seguir siendo un sistema, para sobrevivir; la perspectiva sistémica es desarrollada, basándose en el modelo de sistema viable (MSV) de Stafford Beer. 2.1.1 El modelo de Sistema Viable

El modelo de sistema viable (MSV) es un modelo desarrollado por Stafford Beer en 1985 en su libro “Diagnosing the System for Organizations”37. En su libro, Beer desarrolla una metodología de diagnóstico de sistemas organizacionales, basada en la comparación de la organización con un modelo abstracto de sistema organizacional, que Beer considera “viable” porque cumple con ciertos requisitos específicos. 37 Beer, Stafford. Diagnosing the system for organizations, John Wiley & Sons, Chichester, 1985

MISC-03-1-1

14

El éxito de una organización es posible únicamente si la organización es viable en su entorno. Luego, si se compara una organización con el MSV, y la organización se acoge a los preceptos definidos en el MSV, se puede decir que la organización es “viable”. El hecho de que una organización sea “viable”, no implica que de manera automática se pueda garantizar su éxito; pero si una organización no es viable, está destinada a fracasar, por que no está en condiciones de sobrevivir. Luego, cumplir con los requisitos de “viabilidad” del MSV es un buen indicador de la coherencia sistémica de una organización. Para el MSV, un sistema viable es un sistema que sea capaz de sobrevivir en un entorno definido, que tenga identidad propia, que pertenezca a un sistema viable más grande en el que está contenido, y que sea recursivo. Para establecer si un sistema es viable o no, se debe realizar el siguiente proceso: 2.1.1.1 Identificación del sistema y sus fronteras Es muy importante identificar sin ambigüedades el sistema que se desea estudiar. Según Beer, “Al usar el MSV, es importante primero que todo determinar de manera precisa cuál es la organización a modelar, y especificar sus fronteras”.38 Las fronteras organizacionales no siempre son claras y tienen la particularidad que están sujetas a cambios a medida que la organización evoluciona en el tiempo;39 sin embargo, debido a que el sistema tiene una identidad establecida, podemos apoyarnos en este concepto para establecer de manera definida sus límites. Pero el sistema no existe en tan solo una dimensión. Una organización puede hacer parte del aparato productivo de una nación, y ser identificada y sus fronteras definidas desde esta perspectiva. Pero también puede ser vista desde una perspectiva internacional, donde puede ser identificada de manera diferente, y tener fronteras mucho más amplias y difusas. Y podría ser vista desde una perspectiva social, cultural, militar, etc. Según Beer, “solamente una apreciación apropiada de la dimensionalidad permite una determinación útil de las fronteras sistémicas”.40 38 Beer, Stafford. Diagnosing the system for organizations, Pg. 2. 39 Beer, Stafford. Diagnosing the system for organizations, Pg. 2 40 Beer, Stafford. Diagnosing the system for organizations, Pg. 7

MISC-03-1-1

15

2.1.1.2 Identificación del sistema viable del que hace parte, y los sistemas viables que lo componen

Uno de los postulados principales de Beer es que los sistemas viables siempre son auto- referentes41, es decir, se pueden explicar en términos de sí mismos, son recursivos. Un sistema viable siempre hace parte de un sistema viable más grande que lo contiene, y a su vez está compuesto por sistemas viables más pequeños, a los que contiene. Según Beer, cuando se quiere estudiar una organización usando el MSV, “el mejor plan es considerar un trío de sistemas viables en un tiempo determinado: La organización que debemos estudiar, aquella en la que esta contenida y el conjunto de organizaciones contenidas en ella”.42 Es importante recordar que solamente deben ser tenidos en cuenta los sistemas más pequeños contenidos en la organización a estudiar que cumplen con los postulados de viabilidad (capacidad de supervivencia, identidad, pertenencia, recursividad), es decir, los subsistemas viables que componen el sistema que se desea estudiar. Estos sistemas tienen la particularidad de que son los que “producen” a la empresa, los que generan el producto o servicio que la empresa vende. Estos sistemas productivos son los denominados sistemas S1 en el MSV. 41 Beer, Stafford. Diagnosing the system for organizations, Pg. 4 42 Beer, Stafford. Diagnosing the system for organizations, Pg. 4

MISC-03-1-1

16

2.1.1.3 Verificación de la viabilidad de los sistemas Es importante asegurarse de que la organización a estudiar sea realmente un sistema viable. Según Beer, “Si la organización es un sistema viable, deberá contener sistemas viables en un nivel de recursión mas bajo, que la produzcan”.43 Asimismo, un sistema viable deberá cumplir con los preceptos de viabilidad ya mencionados. Es de vital importancia asegurarse de identificar correctamente los sistemas viables, debido a que “la mayoría de las inferencias incorrectas (y de los diagnósticos y recomendaciones inoportunos) realizados al aplicar el MSV se derivan de nominar actividades que no son por sí mismas sistemas viables, como si lo fueran”44. 2.1.1.4 Identificación de los sistemas de apoyo No todos los sistemas que componen un sistema viable son sistemas viables. Algunos sistemas no “producen”. Sin embargo, cumplen con tareas necesarias para que el sistema funcione de manera adecuada, para que mantenga un estado de homeóstasis (equilibrio) que le permita sobrevivir. Podríamos entonces hablar de que todo sistema viable está compuesto por subsistemas viables y subsistemas de apoyo, donde los subsistemas viables

MISC-03-1-1

17

Pero la variedad del entorno no es necesariamente la que le es posible o rentable ofrecer a los subsistemas productivos de una organización. En el entorno pueden haber un gran número de clientes, con gustos y tallas que exhiben una variedad casi ilimitada, pero usualmente las organizaciones deciden no producir sino ciertos modelos en un rango limitado de tallas y con una variedad pequeña de colores, que son los mas pedidos y por tanto las más rentables de producir, por lo que se puede aseverar que los subsistemas productivos de la organización siempre tienen una menor variedad que el entorno. Pero las relaciones de variedad no se dan solo entre los componentes productivos y el entorno, también se dan entre los subsistemas de la organización, y la gerencia. El funcionamiento de los subsistemas de la organización puede ser manejado a través de la manipulación de muchas variables, que la gerencia no está en capacidad o no tiene el tiempo de manejar. Según Beer, “la alta gerencia es en principio incapaz de manejar la variedad de cualquiera (mucho menos de todos) los sistemas viables subsidiarios que lo constituyen”48. Luego, la gerencia, aunque tiene el poder de intervenir directamente sobre el funcionamiento de los subsistemas de la organización, no está en capacidad de manejar toda la carga de trabajo que implica controlar al detalle todas las variables de todos los subsistemas bajo su control porque tiene una menor variedad que los sistemas que administra49 por lo que debe abstenerse de hacerlo. Según Beer, siempre se cumple que “la variedad del entorno excede en gran manera la de la operación que lo sirve o lo explota, y esta (la variedad de la operación) a su vez excede en gran manera la variedad de la gerencia que la regula o controla”.50 Es algo inherente a las organizaciones, e inevitable. Sin embargo, un sistema viable debe manejar de manera adecuada el desbalance de variedad, para garantizar su supervivencia. Para Beer, “la alta variedad debe ser…atenuada al número de posibles estados que la entidad que los recibe puede manejar”51. Esto se hace diseñando atenuadores de variedad. Pero, ¿cómo se diseñan los atenuadores de variedad, por ejemplo, para atenuar la variedad entre los subsistemas productivos y el entorno? Una respuesta podría ser con investigación de mercados”.52 La investigación de mercados permite establecer cuales son los productos más rentables de producir, y de esa manera atenúa la variedad del entorno, haciendo posible que los subsistemas de producción 48 Beer, Stafford. Diagnosing the system for organizations, Pg. 37 49 Beer, Stafford. Diagnosing the system for organizations. “La prerrogativa (de la alta gerencia) de intervenir indiscriminadamente no tiene variedad requerida, no pude ser realizada de manera competente… ejercitar la autoridad que confiere un rango superior es un amplificador de la autoridad indudable de la alta gerencia, y un atenuador de la variedad propia de la criatura subordinada, pero la homeóstasis que resulta es momentánea y por ello, incompetente”. Pg. 38 50 Beer, Stafford. Diagnosing the system for organizations. Pg. 22 51 Beer, Stafford. Diagnosing the system for organizations. Pg. 23 52 Beer, Stafford. Diagnosing the system for organizations, Pg. 23,24

MISC-03-1-1

18

puedan ser eficientes; para Beer “la idea es reducir las expresiones imprácticas y no viables económicamente de la demanda, a un rango que pueda ser manejado por producción”.53 Luego, un atenuador de variedad reduce la variedad entre un sistema con mayor variedad y uno con menor variedad.

Pero que pasa si el problema es que el sistema con menor variedad no está en capacidad de manejar la variedad del sistema con mayor variedad? Si, por ejemplo, los estudios de mercado dicen que es necesario producir artículos en 10 colores diferentes para ser competitivos y los subsistemas de producción solo están en capacidad de producir 5 colores? Cuando “un atenuador ha reducido la variedad por debajo del umbral de respuesta requerido, decimos que el sistema no exhibe variedad requerida”,54 en este caso, los subsistemas de producción no exhiben la variedad requerida por el entorno. Y ante esto, “el recurso más obvio es reducir el nivel de atenuación”.55 Para lograrlo, se deben diseñar amplificadores de variedad. “Los amplificadores de variedad son usados para restaurar la variedad requerida, y de esta manera crear 53 Beer, Stafford. Diagnosing the system for organizations, Pg. 25 54 Beer, Stafford. Diagnosing the system for organizations. Pg. 26 55 Beer, Stafford. Diagnosing the system for organizations, Pg. 26

MISC-03-1-1

19

condiciones para la regulación homeostática”56; los amplificadores de variedad aumentan la variedad de un sistema, de manera que “la baja variedad es mejorada o amplificada al numero de posibles estados que la entidad que la recibe necesita si se espera que esta sea regulada”.57

La solución en el caso del ejemplo de los subsistemas de producción que no exhiben la variedad de colores requerida por el mercado es aumentar su variedad, es decir, aumentar la gama de colores de sus productos para satisfacer lo que requieren sus clientes. En el caso de desbalances similares entre subsistemas y la gerencia, en los que la gerencia no presenta la variedad requerida, se pueden implementar mecanismos de regulación,58 que actúan como amplificadores de la variedad gerencial. De esta manera, todos los posibles cursos de acción que los subsistemas pueden adoptar son limitados a tan solo unos cuantos, por los mecanismos de regulación de la gerencia, reduciéndose la variedad que exhiben los subsistemas a niveles que esta pueda manejar. 56 Beer, Stafford. Diagnosing the system for organizations, Pg.28 57 Beer, Stafford. Diagnosing the system for organizations, Pg. 27 58 Beer, Stafford. Diagnosing the system for organizations. “La transmisión de planes, programas y procedimientos de la gerencia al círculo operacional deben ser vistos como un acto de regulación”. Pg. 41; “La regulación amplifica la variedad gerencial…esta regulación también atenúa la variedad operacional”. Pg. 41

MISC-03-1-1

20

Como conclusión lógica, se puede enunciar que las variedades entre los componentes de la organización deben ser equivalentes59 para que el sistema pueda alcanzar la homeóstasis.60 Esta es la única forma de que se pueda garantizar su viabilidad.61 Y para lograrlo se deben analizar los desbalances de variedad entre el entorno, los subsistemas de producción y la gerencia, y diseñar atenuadores y amplificadores de variedad (esta tarea es conocida como “ingeniería de variedad”) en donde sea necesario para garantizar que ningún componente reciba más variedad de la que sea capaz de manejar de manera eficiente. 2.1.1.6 Análisis de los Canales de comunicación y los Transductores del sistema Es importante dentro del contexto del MSV, diferenciar entre datos y variedad. Según Beer, “los datos son los posibles estados distinguibles de un sistema, pero son generados por/a través de clasificaciones, categorías, definiciones…Estas son las que determinan la variedad, y está en nuestro poder diseñarlas”62 La variedad está dada, entonces, por clasificaciones que son diseñadas por personas. Las clasificaciones pueden corresponder a materiales, a sabores, a precios, a tallas, a colores, etc. Los datos son información relacionada con dicha variedad (por ejemplo, cuántas prendas de color rojo, talla 8 se produjeron este mes). Los datos son los que se transmiten entre los diferentes subsistemas, y entre ellos y el entorno, no la variedad. Estos datos tienen que ser transmitidos de alguna manera. Según Beer, cuando se implementan actividades para balancear la variedad, “la pregunta no (solamente) es si las actividades generan variedad requerida…sino si existe capacidad de canal para los flujos de datos involucrados”.63 Para ilustrar este punto, sigamos con el ejemplo de la variedad de colores de los artículos que produce una organización: Si el subsistema de producción genera la variedad requerida por el entorno, ampliando la gama de colores de sus productos de 5 a 10 colores diferentes, y su canal de comunicaciones con el entorno es un catálogo de productos que se le envía a sus clientes, ¿será posible que a través de dicho canal se le pueda comunicar a los clientes 59 Beer, Stafford. Diagnosing the system for organizations. “No deberemos encontrarnos contando el número de posibles estados (dado por la varianza), sino buscando garantías de que las variedades contrapuestas sean a grosso modo iguales”. Pg. 29; “Debemos encontrarnos satisfechos con que a medida que la interacción dinámica entre entidades se desenvuelva, hayamos hecho previsiones para que ninguna entidad vaya a ser ahogada por la proliferación de la variedad de otra entidad”. Pg. 29 “Las variedades gerenciales, operacionales y de entorno que se difunden a través de un sistema institucional tienden a igualarse y deben ser diseñadas para que lo puedan hacer”. Pg. 30 60 Beer, Stafford. Diagnosing the system for organizations. “Estamos buscando el balance a través de la variedad requerida”. Pg. 29; “La ley de la variedad requerida…solo la variedad puede absorber variedad”. Pg. 26 61 Beer, Stafford. Diagnosing the system for organizations. “La esencia de la viabilidad es…percibir los reguladores homeostáticos que no han salido a la superficie, diseñarlos adecuadamente y permitirles absorber la variedad de unas y otras entidades”. Pg. 29; 62 Beer, Stafford. Diagnosing the system for organizations. Pg. 24 63 Beer, Stafford. Diagnosing the system for organizations. Pg. 44

MISC-03-1-1

21

que los productos están disponibles en 5 colores nuevos? ¿Tiene capacidad el catálogo para incluir fotografías de cada producto en 5 colores adicionales? ¿Hay presupuesto para ampliar el “canal” y hacer un catálogo de más páginas? Se hace evidente de este ejemplo la importancia que tienen los canales. Para Stafford Beer, es claro que las dos formas de gerencia64 son:

• ¿Cuáles estrategias ofrecen la variedad requerida? • ¿Qué canales hay instalados para contener la variedad del flujo de información y de

transmisión de datos?

Pero no solo los canales son importantes. La información debe ser codificada de alguna manera para ser transmitida. Los transductores65 se encargan de codificar la información para que pueda ser entendida por el que la recibe. Siguiendo con el ejemplo de la variedad de colores de los artículos que produce una organización: El código de producción V2NT6-12C1-10 en el listado de producción puede representar que se produce un artículo determinado en un rango de tallas y colores específicos. Si se desea informar a los clientes que este artículo está disponible, es necesario usar un transductor para codificar esta 64 Beer, Stafford. Diagnosing the system for organizations. Pg. 42 65 Beer, Stafford. Diagnosing the system for organizations, Pg. 53

MISC-03-1-1

22

información de manera que el cliente pueda entenderla. V2NT6-12C1-10 se podría codificar como: El artículo (V2N) está disponible en tallas de la 6 a la 12 (T6-12), en toda nuestra gama de 10 colores (C1-10). Los requerimientos de ancho de banda de los canales de comunicación, y de transductores adecuados deben ser cumplidos para que el sistema pueda alcanzar la homeóstasis y ser considerado “viable”. Beer resume dichos requerimientos de la siguiente manera: “Los 4 canales direccionales cargando información entre la unidad de gerencia, la de operaciones y el entorno deben tener una mayor capacidad de transmitir una cantidad de información dada relevante a una selección de variedad en un tiempo dado, que el subsistema que la origina tiene de generarla en ese mismo tiempo”.66 Si esto se cumple, se garantiza que ningún componente va a transmitir más información de la que el canal es capaz de manejar de manera eficiente, y que la información va a poder ser interpretada de manera adecuada.

2.1.1.7 Análisis de las oscilaciones del sistema

Las oscilaciones son creadas por perturbaciones en el sistema. El estado ideal de un sistema, según el MSV, es la homeóstasis, es decir el balance, el equilibrio. Las oscilaciones sacan el sistema de equilibrio, y atentan contra su estabilidad, y por ende, contra su viabilidad. Las oscilaciones ocurren, según Beer, porque “todo elemento (dentro de un sistema) está tratando continuamente de ajustarse a todo otro elemento, nada se estabiliza nunca…La oscilación es la enfermedad de la homeóstasis. Y la cura para la enfermedad: La oscilación debe ser amortiguada”. 67 66 Beer, Stafford. Diagnosing the system for organizations, Pg. 45 67 Beer, Stafford. Diagnosing the system for organizations, Pg. 65

MISC-03-1-1

23

Un ejemplo de una fuente de oscilaciones en un sistema puede ser varios subsistemas compitiendo por recursos de la empresa (Beer utiliza el ejemplo de una universidad, en la que los diferentes departamentos y cursos compiten por salones). Para Beer, “Todas (las organizaciones) son amenazadas por el desbalance inducido por la oscilación entre sus elementos, que la gerencia no tiene la variedad requerida para resolver por dictamen en el eje central de mando (aunque muchas gerencias intentan este truco imposible)”.68 En el ejemplo de la universidad, la rectoría claramente no posee la variedad requerida para establecer, por medio de órdenes, quien tiene derecho a utilizar los salones, y cuando. Para poder contrarrestar el efecto nocivo de las oscilaciones en una organización, se deben crear sistemas de amortiguación. Dichos sistemas “reflejan decisiones gerenciales pero no las crean, son aceptados como autoritarios a través de (los subsistemas de) producción, no porque se ‘tomen’ la autoridad, sino porque son aceptados como un servicio; son rígidos en circunstancias de rutina y por ello son un atenuador de variedad, y son flexibles cuando un elemento de producción esta en problemas”.69 Siguiendo el ejemplo de la universidad, un sistema de amortiguación sería un horario. El horario asigna recursos a los diferentes departamentos de manera clara, y evita así que los departamentos tengan conflictos por su utilización. El horario refleja decisiones de distribución de recursos de la rectoría, pero no las crea; es considerado como la “autoridad” definitiva a la hora de decidir quién tiene derecho a usar un recurso dado en un momento del tiempo; no es considerado “autoritario”, sino que más bien es considerado un “servicio” por todos los departamentos, y es rígido, pero en caso de que exista un “evento especial” es lo suficientemente flexible para satisfacer las necesidades que se presenten, reasignando temporalmente los recursos que administra. Se hace necesario, entonces, para garantizar la “viabilidad” del sistema, identificar todas las fuentes de oscilación en el sistema, y diseñar sistemas de amortiguación (denominados sistemas S2 en el MSV) que permitan que el sistema pueda llegar a la homeóstasis. 2.1.1.8 Análisis de los sistemas de auditoria Según Beer, Las auditorias “son conjuntos completos de prácticas gerenciales aceptadas que no se ven envueltas en la centralización del poder manifiesto y que apropiadamente diseñadas son capaces de generar una enorme variedad…trabajan esporádicamente y por acuerdos con gerencia de producción, penetran directamente a las operaciones”. 70 68 Beer, Stafford. Diagnosing the system for organizations, Pg. 66 69 Beer, Stafford. Diagnosing the system for organizations, Pg. 69 70 Beer, Stafford. Diagnosing the system for organizations, Pg. 82

MISC-03-1-1

24

Las auditorias son un amplificador de la variedad gerencial, y le dan a la gerencia las herramientas para poder controlar de manera más directa las operaciones de los subsistemas y poder intervenir en ellas cuando así lo estime necesario, sin afectar sus operaciones regulares. Se hace necesario diseñar sistemas de auditoria (denominados sistemas S3* en el MSV) que permitan que la gerencia pueda controlar e intervenir de manera más eficiente los subsistemas bajo su cargo, permitiendo así que el sistema pueda alcanzar la homeóstasis bajo la guía siempre presente de la gerencia, y pueda ser considerado como un sistema “viable”. 2.1.1.9 Análisis del sistema de gerencia El sistema de gerencia (denominado sistema S3 en el MSV) es el encargado de guiar la gestión de los subsistemas de la organización. Sus tareas incluyen “comandar, tomar decisiones,… y (está en capacidad de)…aumentar su capacidad de absorber variedad a través de (los sistemas de amortiguación y de auditoria) S2 y S3*”.71 El sistema de gerencia “es responsable por las funciones internas e inmediatas de la empresa: la gerencia del ‘aquí y ahora’, de todos los días. Es responsable de las funciones antioscilatorias de S2, aunque no las conduce”.72 Los componentes de S3 son: Negociación de recursos/Alocación de recursos/Contabilidad, Soporte para sistemas S2, y Soporte para sistemas S3*.73 Los componentes de soporte para sistemas de amortiguación y para sistemas de auditoria proveen la infraestructura y el soporte necesarios para que estos sistemas puedan realizar sus labores de manera adecuada. Los componentes de negociación y alocación de recursos tienen como función negociar con los subsistemas la distribución de los recursos de la organización, y lo que se va a hacer con dichos recursos. Como es un proceso de negociación y no de imposición, los recursos son asignados de manera que cumplen parcialmente las expectativas del sistema de gerencia, así como las de los subsistemas, y el propósito y los objetivos de la organización son acordados entre las partes negociadoras. Idealmente, se debe alcanzar un punto intermedio entre las pretensiones los sistemas que negocian. Un ejemplo de esto es la negociación para distribuir el presupuesto que se da entre un gobierno central, el congreso y entes territoriales, y lo que se debe realizar con dicho presupuesto. 71 Beer, Stafford. Diagnosing the system for organizations, Pg. 94 72 Beer, Stafford. Diagnosing the system for organizations, Pg. 86 73 Beer, Stafford. Diagnosing the system for organizations, Pg. 92

MISC-03-1-1

25

Este punto intermedio es denominado por Beer como el “compromiso de propósito”. Este punto de equilibrio se alcanza de la siguiente manera: “El sistema (de gerencia negocia con los otros sistemas y) converge en un compromiso de propósito. (El propósito de la organización es obtenido de esta negociación y) no es el que el nivel de recursión mas alto querría ver realizado, ni el que el sistema viable querría realizar”. 74 Es necesario entonces que el sistema de gerencia esté correctamente diseñado, y cumpla con sus tareas de comando y toma de decisiones, así como de apoyo a los sistemas de amortiguación y auditoria, de acuerdo a lo establecido por el MSV, para que el sistema pueda ser regulado de manera eficiente, y pueda alcanzar un estado homeostático que permita garantizar su “viabilidad”. 2.1.1.10 Análisis del sistema de planeación estratégica La supervivencia de una organización no está únicamente asociada a que esta sea “viable”, sino a que permanezca “viable” con el correr del tiempo. Es por ello, que “si S3 (el sistema de gerencia) ha sido discriminado como el responsable del adentro-y-ahora, también deberemos discriminar S4 (el sistema de planeación estratégica) como el responsable de manejar el afuera-y-después”.75 Según Beer, “toda planeación es un proceso continuo que lleva a comprometer recursos ahora para que el futuro pueda ser diferente”.76 Lo que se desea por medio de la planeación estratégica es detectar eventos futuros que puedan tener un impacto sobre la viabilidad de la empresa, y a través de un compromiso de recursos hacer que el futuro sea diferente, es decir, que los eventos no ocurran, o que si ocurren no tengan mayor impacto sobre la viabilidad del sistema organizacional. Para lograr esto, el sistema de planeación estratégica “presenta opciones, (y) crea modelos de acciones posibles”77 que permitan hacer frente a la amenaza de manera exitosa. Pero el sistema de planeación estratégica “no está sólo comprometido con la administración del afuera-y-después, sino que también provee autoconocimiento (self-awareness) al sistema”,78 es decir, para estar en capacidad de poder predecir la manera en la cual eventos futuros van a afectar la organización, y pensar en opciones y en modelos a seguir, es necesario conocer de manera detallada y completa cómo es y cómo funciona la organización en el presente, y como ha sido y cómo ha funcionado la organización en el pasado. Este conocimiento único hace del sistema de planeación estratégica una fuente invaluable de información sobre el estado actual de la organización, y como este estado ha 74 Beer, Stafford. Diagnosing the system for organizations, Pg. 99 75 Beer, Stafford. Diagnosing the system for organizations, Pg. 111 76 Beer, Stafford. Diagnosing the system for organizations, Pg. 100 77 Beer, Stafford. Diagnosing the system for organizations, Pg .128 78 Beer, Stafford. Diagnosing the system for organizations, Pg. 115

MISC-03-1-1

26

evolucionado a partir de estados anteriores; son esa sucesión de estados anteriores, “la infinita regresión de imágenes propias la que permite el autoconocimiento (self-awareness) característico de los sistemas viables”79 y las que le dan una perspectiva única de la organización. Estos procesos se llevan a cabo a través de dos ciclos que continuamente retroalimentan con información al sistema de planeación estratégica: El “ciclo alfa: Proyecta su imagen en el entorno del afuera-y-después como su preocupación continuada. Qué esta ocurriendo que sea relevante para nosotros?”80, es decir, los eventos presentes que pueden desembocar en eventos futuros que puedan llegar a comprometer la viabilidad futura de la organización y el “ciclo Beta: (Es igual que el ciclo alfa pero) está anclado en el futuro desconocido”.81 2.1.1.11 Análisis del sistema de inteligencia El sistema de inteligencia define las políticas que rigen todo el sistema y toma decisiones sobre los planes diseñados por el sistema de planeación estratégica; “Si S4 presenta opciones, crea modelos de acciones posibles, S5 piensa sobre las acciones y toma decisiones respecto a ellas”82. El sistema de inteligencia es el que define el marco dentro del cual el sistema de planeación estratégica realiza sus funciones, es el que define las “reglas” que regulan dicha actividad y todas las actividades de la organización. Otra de sus funciones es mantener la homeostasis entre el sistema de gerencia y el sistema de planeación estratégica, y recibir señales de alerta (Beer las llama las “señales algedónicas”) de todos los componentes del sistema en caso de que se presenten condiciones que amenacen la viabilidad organizacional. 2.1.2 Una adaptación del MSV: El Modelo de Sistema de Información Sostenible El MSV de Stafford Beer es un modelo orientado al diagnóstico de organizaciones. Debido a la perspectiva eminentemente organizacional que le dio Beer a su modelo, éste es inadecuado para llevar a cabo la evaluación de un sistema de información, y mucho menos la evaluación de un sistema de seguridad informática. Es por ello necesario retomar las ideas fundamentales de teoría de sistemas en las que se basó Beer, y adaptarlas para construir un modelo adecuado para dicho propósito. El propósito es esbozar de manera muy general los principios de dicho modelo, para poder aplicar de manera correcta los postulados del MSV en un sistema de información y más 79 Beer, Stafford. Diagnosing the system for organizations, Pg. 116 80 Beer, Stafford. Diagnosing the system for organizations, Pg. 119 81 Beer, Stafford. Diagnosing the system for organizations, Pg. 119 82 Beer, Stafford. Diagnosing the system for organizations, Pg. 128.

MISC-03-1-1

27

específicamente, en su sistema de seguridad informática, sin llegar a ser muy detallados en su construcción que claramente escapa a los alcances de este documento. 2.1.2.1 Inaplicabilidad del concepto de Viabilidad Para empezar a desarrollar un modelo sistémico de seguridad informática, basado en el MSV, es necesario apartarnos por completo de la noción de viabilidad en la que se basa este modelo. Para Beer, un sistema viable es aquel que

• Es capaz de sobrevivir en un entorno definido • Tiene identidad propia • Pertenece a un sistema viable más grande en el que está contenido • Es recursivo

Un sistema viable es capaz de producirse, de producir recursos para subsistir por sí mismo sin depender de otros sistemas. Es aquel sistema que genera a través de su labor, de su trabajo, los recursos que necesita para poder seguir existiendo. Claramente, un sistema de información no cumple con los requisitos de viabilidad definidos por Beer. Sin embargo, proponemos el concepto de sostenibilidad, como similar al concepto de viabilidad de Beer, que pueda ser “reemplazado” por este en el MSV y que nos permita utilizar el MSV para diagnosticar sistemas no-viables. 2.1.2.2 El concepto de sostenibilidad Es importante aclarar que el concepto de sostenibilidad aquí desarrollado difiere del utilizado en otras ramas del conocimiento, especialmente en humanidades y específicamente en economía. Un sistema sostenible (en el marco de referencia definido por este documento) es aquel que no puede sobrevivir por si mismo en un entorno definido, debido a que no es capaz de producir los recursos necesarios para su subsistencia. Sin embargo, es capaz de sobrevivir asociado a un sistema viable, que le da los recursos necesarios para su subsistencia. Esta relación es posible debido a que es rentable para el sistema viable sostener a su sistema asociado, ya que dicho sistema lo provee de algún servicio o producto necesario para su adecuado funcionamiento.

MISC-03-1-1

28

Al sistema viable le conviene “sostener” a su sistema asociado (de ahí el adjetivo de “sostenible” que se le asigna al sistema asociado), siempre y cuando los recursos que éste consume sean retribuidos con productos o servicios de similar (o mayor) valía, es decir, mientras que al sistema viable le sea “rentable” esta relación. En el momento en el que el sistema asociado empiece a consumir demasiados recursos, o deje de proveer al sistema viable con los productos o servicios que éste necesita, el sistema deja de ser “sostenible” (ya no vale la pena sostenerlo), y el sistema viable deja de darle recursos y busca abastecerse de otra fuente. 2.1.2.3 El Modelo de Sistema Sostenible Un sistema sostenible es aquel que

• No es capaz de sobrevivir por si mismo en un entorno, luego debe existir asociado a un sistema que le provea los recursos necesarios para su subsistencia; dicho sistema “contiene” al sistema sostenible.

• No tiene identidad propia, pero tiene una identidad “compartida” que se deriva de su asociación con el sistema viable, y que lo define como una parte de este.

• Tiene fronteras bien definidas que le permiten diferenciarse de otros subsistemas. • Su existencia depende de su sostenibilidad. El sistema existe mientras que sea

sostenible; si deja de ser sostenible, desaparece. • Depende de una relación simbiótica con un sistema viable para poder sobrevivir, y

aunque su existencia depende de la del sistema viable, la del sistema viable no depende de la suya.

La sostenibilidad, al igual que la viabilidad no son absolutas: son relativas, y van cambiando a medida que pasa el tiempo. Un sistema que sea sostenible en el presente, puede no serlo en el futuro.

Luego, un sistema es sostenible mientras ayude a la homeóstasis de su sistema viable, mientras que lo que le provee le sea necesario, o al menos útil, mientras a este le sea más rentable sostener al sistema que no sostenerlo, mientras perciba que la inversión en recursos que hace es retribuida de manera al menos equitativa por los productos o servicios que recibe y mientras que no pueda obtener estos productos o servicios de otra fuente que exija menos recursos por ellos.

Los sistemas viables y los sistemas sostenibles tienen una relación muy estrecha: Todos los componentes no-viables (sistemas de apoyo) de un sistema viable son sistemas sostenibles.

Un sistema sostenible está compuesto por los mismos subsistemas que un sistema viable; la las diferencias con los sistemas viables son las siguientes:

MISC-03-1-1

29

• El objetivo de todos los subsistemas de un sistema sostenible, y por ende el de todo el sistema es seguir siendo sostenibles. Todos sus subsistemas trabajan para alcanzar la homeóstasis y mantener la “sostenibilidad” del sistema.

• Los subsistemas de producción de un sistema sostenible, aunque no “producen” al sistema de la forma en la que lo hacen los subsistemas de producción en el caso de los sistemas viables, son los que generan los productos y/o servicios que “sostienen” al sistema al ser intercambiados con un sistema viable por recursos83.

• La recursión implícita en los sistemas viables no está presente en los sistemas sostenibles. Sin embargo, Los sistemas sostenibles están contenidos dentro de sistemas viables.

Haciendo estas abstracciones en el MSV, definimos entonces el Modelo de Sistema Sostenible (MSS), y podemos aplicarlo para diagnosticar sistemas no-viables en organizaciones. 2.1.2.4 El Sistema de Información Sostenible

83 Se podría decir entonces que en los sistemas viables, los subsistemas S1 “producen” al sistema, y que en los sistemas viables, los subsistemas S1 “sostienen” al sistema. Y si los subsistemas S1 de un sistema viable son denominados “sistemas productivos”, los que lo producen, los subsistemas S1 de un sistema sostenible pueden ser denominados “sistemas sustentativos”, los que le proveen sustento, los que lo sostienen.

MISC-03-1-1

30

Un sistema de información sostenible debe cumplir con los preceptos de sostenibilidad definidos en el MSS, y debe estar estructurado de la siguiente manera: 2.1.2.4.1 Subsistema sustentativo S1 – Sistema de cómputo Es el que realiza tareas de procesamiento de información, soporte informático de gestión, comunicaciones, y otras tareas que pueda desempeñar un sistema de información. Es el componente S1 del sistema, y de su adecuado funcionamiento depende la sostenibilidad de todo el sistema. Está compuesto84 por infraestructura computacional (hardware), infraestructura de comunicaciones (interconectividad), infraestructura de apoyo (planta física, fuentes de electricidad, etc.), componente lógico (software), componente de información (datos) y componente humano (usuarios, administradores, auditores, etc), y nos referiremos a él de ahora en adelante, como el “sistema de cómputo”. 2.1.2.4.2 Subsistema de amortiguación S2 – Sistema de seguridad informática

84 Los componentes varían un poco de acuerdo al estándar consultado, pero de ISO/IEC 17799 5.1.1 Inventory of Assets, ISO/IEC 15408-1 4.3.1 Security Environment, NIST SP 800-30 3.1 System Characterization, AS/NZS 4444.2 4.3 Asset classification and control se puede establecer un listado común, que comprende Hardware, Software, Información, Personas, Logística (apoyo) y conectividad.

MISC-03-1-1

31

El Sistema de Seguridad Informática evita las oscilaciones en el sistema, disminuyendo la variedad del sistema de cómputo y del entorno85. Se basa en el “documento de políticas de utilización del sistema de información” para llevar a cabo su función de atenuador de las oscilaciones86 en el sistema de información. Es un subsistema independiente, aunque puede (o no) compartir componentes con el sistema de cómputo. Las políticas de utilización del sistema de información, o las “políticas” como nos referiremos a ellas de ahora en adelante, reflejan decisiones gerenciales pero no las crean, son aceptadas como autoritarias a través del sistema, no porque ‘usurpen’ la autoridad, sino porque se considera que prestan un servicio; son rígidas en circunstancias de rutina y por ello son un atenuador de variedad, y son flexibles cuando se presentan situaciones fuera de lo normal que así lo ameriten. Las políticas de utilización del sistema de información incluyen el denominado documento de “”políticas de seguridad informática”, mencionado en todos los estándares tratados en este documento, pero va un poco más allá, modelando la utilización del sistema en aspectos tales como políticas adecuadas de interacción, etiqueta, utilización permitida de recursos, etc. 2.1.2.4.3 Subsistema de auditoria S3* - Sistema de auditoria informática El sistema de auditoria informática es un sistema completamente independiente del sistema de cómputo y del sistema de seguridad informática (tal y como debería ser). Está encargado de auditar las labores de estos dos sistemas, y verificar que estén cumpliendo sus tareas de manera adecuada. Pero los sistemas de auditoria informática también cumplen otro papel importante: Evitar que se concentre demasiado poder en los administradores del sistema y en los encargados del sistema de seguridad informática, evitando que esto lleve a excesos y a abusos con el sistema de información. 2.1.2.4.4 Subsistema de gerencia S3 - Sistema de gerencia informática El sistema de gerencia informática es el encargado de guiar la gestión de los subsistemas del sistema de información. Sus tareas incluyen comandar, tomar decisiones, y dar apoyo a la gestión de los sistemas de seguridad informática y de auditoria informática. El sistema de gerencia es responsable por las funciones internas e inmediatas del sistema de información: la gerencia del ‘aquí y ahora’, de todos los días. Además, es responsable de 85 El sistema restringe el conjunto de acciones que pueden realizarse en el sistema de información, y esta restricción aplica no solo para los usuarios del sistema, sino también para el entorno (si es un sistema interconectado), disminuyendo de esta manera la variedad, y evitando incidentes que generen oscilaciones en el sistema. 86 Los incidentes de seguridad informática son una clara fuente de oscilaciones: Si la homeóstasis es un estado de equilibrio, y el sistema está en homeóstasis, una violación a la seguridad informática claramente saca el sistema de su estado de equilibrio, constituyéndose así en una fuente de oscilaciones innegable.

MISC-03-1-1

32

las funciones del sistema de seguridad informática, aunque no las conduce. Esto es determinante: La gerencia tiene una clara inferencia en la gestión del sistema de seguridad informática. 2.1.2.4.5 Subsistema de planeación estratégica S4 – Sistema de planeación estratégica informática La supervivencia de un sistema de información no está únicamente asociada a que este sea “sostenible”, sino a que permanezca “sostenible” con el correr del tiempo. Es por ello que el sistema de planeación estratégica existe, para encargarse de manejar su “afuera-y-después” y garantizar su adaptabilidad a condiciones externas y/o futuras que amenacen su sostenibilidad a medida que pase el tiempo. La tarea primordial del sistema de planeación estratégica informática, es, entonces, detectar eventos futuros que puedan tener un impacto sobre la viabilidad del sistema de información, y a través de un compromiso de recursos hacer que el futuro sea diferente; asimismo, es la fuente primaria de autoconocimiento (self-awareness) del sistema, es quien mejor conoce cómo es y cómo funciona el sistema de información en el presente, y como ha sido y cómo ha funcionado en el pasado, es una fuente invaluable sobre el estado actual del sistema, y como este estado ha evolucionado a partir de estados anteriores. 2.1.2.4.6 Subsistema de inteligencia S5 – Sistema de inteligencia informática El sistema de inteligencia define las políticas que rigen todo el sistema y toma decisiones sobre los planes diseñados por el sistema de planeación estratégica; es el que piensa sobre los modelos de acción propuestos por este, tomando decisiones respecto a ellos. Asimismo, es el que define el marco dentro del cual el sistema de planeación estratégica realiza sus funciones, y es el que define las “reglas” que regulan dicha actividad y todas las actividades del Sistema de Información. Usualmente, esta área es liderada por un gerente del área de informática87 subordinado a la alta gerencia organizacional, aunque la tendencia a finales de los noventas, es que esté encabezada por un gerente del mismo nivel que el gerente general de la organización, que le reporta directamente a la junta directiva.88 Otra de sus funciones es mantener la homeostasis entre el sistema de gerencia y el sistema de 87 Usualmente esta área es liderada por un alto gerente a nivel organizacional, p.e. el vicepresidente de tecnología, el gerente de informática, etc. 88 Si el Oficial Ejecutivo en Jefe (Chief Executive Officer – CEO) de una organización es la cabeza visible de la organización, el Oficial de Tecnología en Jefe, o el Oficial de Información en Jefe (Chief Technology Officer – CTO o Chief Information Officer – CIO) son la cabeza visible del área de tecnología, poseen un cargo al mismo nivel jerárquico que el CEO, y reportan directamente a la junta directiva. La razón de esta tendencia es la elevada dependencia tecnológica de las organizaciones modernas, y los rápidos cambios que se presentan en el entorno tecnológico, que hacen necesario que una persona se encargue exclusivamente de su administración para garantizar que esta área tan importante para las labores de la organización sea exitosamente gerenciada.

MISC-03-1-1

33

planeación estratégica, y recibir señales de alerta de todos los componentes del sistema en caso de que se presenten condiciones que amenacen la viabilidad organizacional. 2.1.2.4.7 Administración de la variedad del sistema de información Un sistema de información sostenible, debe cumplir con los preceptos de administración de variedad dados por el MSV de Stafford Beer. 2.1.2.4.8 Canales de comunicación y transductores Un sistema de información sostenible, debe cumplir con los requerimientos de canales de comunicación y transductores dados por el MSV de Stafford Beer.

MISC-03-1-1

34

2.2 Perspectiva Organizacional

El Sistema de Seguridad informática hace parte del Sistema de Información. Y el sistema de Información hace parte de una organización. Y la organización tiene objetivos, visión y estrategia. Toda organización, una vez identifica sus objetivos y su visión, define una estrategia89 para garantizar el logro de estos objetivos, una estrategia flexible, que debería ir adaptándose90 a los cambios en el entorno y a los cambios en la organización. Todos los miembros de la organización deben trabajar de manera coordinada, para lograr las metas comunes. Y el sistema de seguridad informática, al hacer parte de la organización, también debe seguir estas reglas. La perspectiva organizacional permite evaluar si el sistema de seguridad informática está alineado con los objetivos organizacionales, adoptando las medidas locales que promueven la consecución de las medidas globales de la organización91. La perspectiva organizacional está dada por el Balanced Score Card, de Kaplan y Norton, una herramienta de diagnóstico organizacional orientada hacia la gerencia estratégica de la organización, y por el SIMEG y el sistema de generación de Índices de Gestión descrito en el libro “Índices de Gestión” de Humberto Serna Gómez. 89 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13, 14 90 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 15 91 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13

MISC-03-1-1

35

2.2.1 Balanced Score Card

El Balanced Score Card (BSC) es una herramienta de evaluación organizacional que “traduce una misión y una estrategia…en un conjunto comprehensivo de medidores de desempeño que proveen el marco de trabajo para un sistema de medición estratégica y gerencial”.92 Estos medidores de desempeño, son los que permiten:

• Diagnosticar la situación actual de la organización • Definir a donde se quiere llegar • Establecer una estrategia para lograrlo

Entonces, es posible afirmar que el BSC se basa en principio, en un conjunto de medidores a través de cuyos resultados se puede ver lo que está funcionando bien o mal en la organización. De la interpretación que se haga sobre los valores obtenidos en la medición, es posible generar una estrategia para que la organización llegue a funcionar bien, y los medidores lleguen a mostrar valores “adecuados”. Sin embargo, para definir cuáles son los medidores que se van a utilizar del conjunto de todos los medidores posibles, es necesario recurrir a la estrategia de la organización, para definir cuáles medidores son útiles y cuáles no. Para una empresa cuya estrategia sea aumentar las ventas, los medidores útiles serán muy diferentes de otra cuya estrategia sea reducir costos de producción93. Es así como se hace evidente que “los objetivos y medidas del BSC se derivan de la visión y la estrategia de la organización”.94 92 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 2 93 En el primer caso, unidades vendidas al mes, o unidades vendidas al año en una zona geográfica determinada, pueden ser útiles. En el segundo caso, costo de producción por unidad, o retorno a la inversión

MISC-03-1-1

36

Sin embargo, las organizaciones no existen en una sola dimensión. Debido a ello, es importante tener en cuenta su carácter multidimensional a la hora de definir los objetivos y las medidas que sean pertinentes para la organización. En el BSC, “los objetivos y medidas ven el desempeño desde 4 perspectivas95 diferentes: financiera, del consumidor, de procesos internos del negocio y de crecimiento y aprendizaje. Estas 4 perspectivas proveen el marco de trabajo”.96

Lo importante del BSC es que permite traducir la estrategia y la misión de una unidad de negocios en objetivos y medidas tangibles. El BSC permite evaluar el estado actual de la organización respecto a sus objetivos estratégicos, pero más importante aún, permite medir, con el correr del tiempo, si las estrategias organizacionales están o no funcionando, y si el estado de la organización respecto a estas metas ha cambiado (para bien o para mal), o sigue igual. serían medidores más adecuados. Un medidor puede ser perfectamente adecuado en un caso, y ser perfectamente inadecuado en otro. De allí la importancia de establecer los medidores adecuados con ayuda de la estrategia organizacional. 94 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 8 95 Aunque el BSC sólo define 4 perspectivas, se incluye una perspectiva más, la Perspectiva de Responsabilidad Social, que será definida posteriormente. 96 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 8

MISC-03-1-1

37

Se puede afirmar entonces, que las mediciones del BSC “son balanceadas entre las mediciones de resultados (de esfuerzos anteriores) y las mediciones que llevan a obtener desempeños futuros. El BSC está balanceado entre mediciones de resultados, objetivas y fácilmente cuantificables, y mediciones de lo que impulsa el desempeño, subjetivas y basadas en juicios”97, lo que permite que sea utilizado no solo como un sistema de diagnóstico, sino como un “sistema de gerencia estratégica, para gerenciar la estrategia (organizacional) a largo plazo”.98 2.2.1.1 Metodología del BSC La metodología del BSC tiende a ser general y poco estructurada; se dice lo que se debe hacer, pero no cómo se debe hacer. A manera muy general, se esboza lo que podría ser un proceso de aplicación de BSC, sin entrar en mayor detalle99. La aplicación del BSC se puede subdividir en tres grandes etapas: 2.2.1.1.1 Clarificar y vincular objetivos y mediciones estratégicas

Se deben definir claramente cuales son los objetivos estratégicos de la organización, y escoger mediciones que permitan evaluarlos. Esta tarea es muy importante, porque permite definir de manera clara y sin ambigüedades la estrategia corporativa, y a partir de ésta, construir el conjunto de mediciones que permitirán evaluar el estado de la organización respecto a sus objetivos estratégicos. Sin embargo el proceso no se detiene allí. Una vez definidos, “los objetivos y mediciones estratégicas del BSC son comunicados a través de la organización…esta comunicación sirve para mostrar a los empleados los objetivos críticos que deben ser logrados, si la estrategia de la organización es ser exitosa”.100 Esto es de suprema importancia, porque permite que los empleados hagan parte del proceso de optimización organizacional, y aúna los esfuerzos para lograr la consecución de los objetivos; “una vez todos los empleados entienden los objetivos y las medidas de alto nivel, pueden establecer objetivos locales que apoyen la estrategia global de la unidad de negocios”.101 La estrategia corporativa debe ser transformada en estrategias de carácter local con los mismos objetivos y metas, pero adaptadas a las características individuales de cada una de las unidades internas de la organización. Para lograrlo, “Algunas organizaciones intentan 97 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 10 98 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 10 99 El proceso de creación del BSC se realiza apenas en 11 páginas, en el apéndice del libro, Pgs. 300-311. 100 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 12,13 101 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13

MISC-03-1-1

38

descomponer las mediciones estratégicas de alto nivel de la unidad de negocios, en medidas específicas a nivel operacional”.102

Si se logra llevar a cabo de manera correcta, la ejecución de esta etapa debe derivar en que “al concluir el proceso de comunicación y vinculación, todos en la organización deben entender los objetivos a largo plazo de la unidad de negocios, así como la estrategia para lograr estos objetivos…y todos los esfuerzos e iniciativas organizacionales estarán alineadas a los procesos de cambio necesarios”103, habiéndose generado una sinergia organizacional alrededor del logro de los objetivos.

2.2.1.1.2 Planear, definir metas y alinear iniciativas estratégicas El propósito de diagnosticar es mejorar. “Los gerentes deberían establecer metas para las mediciones del BSC…las metas deberían representar una discontinuidad en el desempeño de la unidad de negocios”,104 y dicha discontinuidad debería ser para bien, debería implicar una mejora en el desempeño. Estas metas deben representar la intención de mejora sobre las deficiencias encontradas por el proceso de evaluación de la organización, y deben empezar a ser diseñadas de manera amplia y general, permitiendo que cada una de las unidades de negocios establezca metas locales.105 Es evidente entonces, que “para lograr estas metas (amplias)…los gerentes deben identificar metas (locales) para sus objetivos respecto a las finanzas, a los consumidores, a los procesos internos del negocio, y al aprendizaje y crecimiento”.106 La ejecución cuidadosa de esta etapa es de gran importancia, ya que “los procesos de planeación y de establecimiento de metas permiten que la organización:

• Cuantifique los resultados que desea obtener a largo plazo • Identifique mecanismos y provea recursos para obtener dichos resultados • Establezca hitos a corto plazo para las mediciones”107

que no solamente proveen información útil para la planeación estratégica, sino que en la siguiente etapa, proveen de herramientas para hacerle un seguimiento al proceso de mejora organizacional y permiten que el proceso de planeación tenga una retroalimentación 102 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13 103 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13 104 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13 105 Una meta amplia puede ser “disminuir los costos de producción”. Una meta local puede ser “disminuir el gasto en implementos de oficina”. La meta local apoya la consecución de la menta amplia, pero es mucho más específica, y puede ser entendida y apoyada más fácilmente por parte de los trabajadores de la unidad de negocios. 106 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 13, 14 107 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 14, 15

MISC-03-1-1

39

continua que le permita evolucionar en caso de que sea evidente que la estrategia no está siendo efectiva. 2.2.1.1.3 Mejorar el aprendizaje y la retroalimentación estratégica

En un entorno cambiante, se hace necesario tener herramientas que permitan detectar estos cambios, así como estrategias flexibles que se adapten a las condiciones variables, y a la aparición de nuevos factores de incidencia en el medio. El BSC es una herramienta invaluable en este sentido, ya que “le permite (a la gerencia) monitorear y ajustar la implementación de la estrategia, y de ser necesario, realizar cambios fundamentales en la estrategia misma”.108 Si hay claridad total sobre el estado actual de la empresa y el estado al que se quiere llegar, se puede saber cual es la evolución que el desempeño debe presentar para ir de un estado a otro, logrando obtener los objetivos propuestos. “Una comparación entre los objetivos de desempeño deseados con los niveles (de desempeño) actuales establecen la brecha de desempeño que las iniciativas estratégicas fueron diseñadas para cerrar”.109 Esta brecha de desempeño es muy importante, debido a que su evolución permite medir la efectividad de la estrategia mientras que ésta está siendo implementada. A medida que avanza el tiempo, si la estrategia es efectiva, la brecha de desempeño se debe ir cerrando, hasta desaparecer por completo cuando se logre llegar al estado deseado. Si la brecha se mantiene o aumenta, se hace necesario definir una nueva estrategia. Pero no solo es importante concentrarse en los resultados para garantizar el éxito de la optimización organizacional. También es importante evaluar los procesos que se están llevando a cabo para lograr las metas, a través de sistemas de control. “Los sistemas de control operacionales y gerenciales son establecidos para asegurar que los gerentes y empleados actúen de acuerdo al plan estratégico establecido por la alta gerencia”.110 “Un buen BSC debe tener una mezcla de mediciones de resultados y de impulsadores de desempeño. Las mediciones de resultados sin impulsadores de desempeño no comunican cómo se deben obtener los resultados. Tampoco proveen de una indicación temprana acerca de si la estrategia está siendo implementada de manera exitosa… (Asimismo) impulsadores de desempeño…sin mediciones de resultados pueden permitir que la unidad de negocios alcance mejoras operacionales a corto plazo, pero fallarán en revelar si las mejoras operacionales han redundado en la expansión de negocios con consumidores nuevos y/o existentes, y eventualmente, hacia mejoras en el desempeño financiero”.111 Es importante resaltar que “el alejarse de los resultados planeados no hace que las personas cuestionen si los resultados planeados aún son deseables. Tampoco hace que cuestionen si 108 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 15 109 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 15,16 110 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 16 111 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 31,32

MISC-03-1-1

40

los métodos usados para lograr los objetivos aún son apropiados. El alejarse de la trayectoria planeada es tratado como un defecto (que redunda en) la ejecución de acciones remediales para llevar a la organización de vuelta al camino esperado”,112 luego siempre se trabaja bajo la hipótesis de que los objetivos organizacionales definidos son correctos, igualmente la estrategia y los métodos que esta implementa para lograrlos, entonces si algo está fallando es a nivel de implementación. Por ello es importante evaluar no solo los resultados de la implementación de la estrategia, sino también los procesos de implementación de la misma, para detectar anomalías y poder tomar acciones correctivas para volver a la normalidad. La variabilidad del entorno hace necesario una continua reevaluación de la estrategia organizacional, que debe ser diseñada para que sea altamente flexible y adaptable. “Las estrategias para organizaciones de la era de la información no pueden ser lineales ni estables. Las organizaciones de hoy, en la era de la información, operan en entornos más turbulentos (que las organizaciones de la era industrial), y la alta gerencia necesita recibir retroalimentación acerca de estrategias más complicadas (que las que se solían usar en organizaciones de la era industrial). La estrategia planeada, aunque iniciada con las mejores intenciones y con la mejor información y conocimiento disponible, puede que ya no sea apropiada o válida en condiciones actuales”,113 si no hay retroalimentación, no hay garantía de éxito. Pero la retroalimentación no solamente tiene como propósito detectar amenazas y ajustar la estrategia para garantizar que estas sean enfrentadas. También es una herramienta útil para detectar oportunidades, y poder explotarlas de manera rápida y eficiente. “En ambientes de constante cambio, nuevas estrategias pueden emerger de capitalizar oportunidades o contrarrestar amenazas que no fueron anticipadas cuando el plan estratégico inicial fue articulado”.114

Pero más importante aún, la retroalimentación no solamente permite ajustes tácticos a la estrategia para enfrentar amenazas o capitalizar oportunidades que se presenten en el entorno: también indica cuando la estrategia deja de ser válida en el entorno. “Los gerentes necesitan retroalimentación acerca de si la estrategia planeada está siendo ejecutada de acuerdo al plan (proceso de aprendizaje de ciclo sencillo), pero aún más importante, necesitan retroalimentación acerca de si la estrategia planeada sigue siendo una estrategia viable y exitosa (proceso de aprendizaje de ciclo doble). Los gerentes necesitan información para que puedan cuestionar si los elementos fundamentales que se asumieron cuando se lanzó la estrategia aún son válidos”.115 Esto genera no solamente retroalimentación sino aprendizaje a nivel organizacional, y permite que la flexibilidad no sea sólo de la estrategia (y que esta se adapte cuando sea necesario), sino que la flexibilidad sea corporativa (y se cambie de estrategia cuando sea necesario) y permita realizar cambios mucho más grandes y radicales cuando sea necesario hacerlo, por condiciones extremas del entorno. 112 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 16 113 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 16 114 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 17 115 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 17

MISC-03-1-1

41

2.2.2 El BSC como un sistema de diagnóstico de seguridad informática El propósito de diagnosticar un sistema de seguridad informática es estar en capacidad de detectar sus falencias, para poder así diseñar una estrategia para solventarlas, y garantizar de ésta manera que el sistema de seguridad es adecuado para el sistema de información que protege. Pero más allá de garantizar que el sistema sea adecuado, se hace necesario garantizar que seguirá siendo adecuado. Esto implica que la estrategia de optimización del sistema de seguridad debe ser administrada de manera continua a lo largo del tiempo, y ello nos lleva inexorablemente a la siguiente conclusión: “Las mediciones son importantes: ‘Si no se puede medir, no se puede administrar’”.116 Pero, para la mayoría de las organizaciones, su desempeño es en gran manera asociado a su estado financiero, siendo otras consideraciones sobre el rendimiento completamente secundarias. Peor aún, “muchas organizaciones…miden el desempeño sólo con mediciones financieras”,117 desechando por completo cualquier otro tipo de medidores del rendimiento organizacional. Este concepto es inaplicable en áreas de Tecnología de Información (TI). “Las presiones para obtener buen desempeño financiero a corto plazo pueden causar que las compañías reduzcan la inversión en…tecnología de información, bases de datos y sistemas… A corto plazo, el modelo de contabilidad financiera reporta estos recortes de gastos como aumentos en los ingresos reportados, aún cuando las reducciones han canibalizado la reserva de recursos y las capacidades de crear valor económico futuro de la compañía”.118 Luego, un sistema de medición que se base en resultados financieros, es completamente inaplicable en un área de TI, y define un requerimiento de singular importancia para la selección de un sistema de medición que permita la evaluación del desempeño de un sistema de seguridad informática: Debe ser multidimensional, permitiendo la evaluación del desempeño desde perspectivas diferentes a la financiera. El BSC emerge de esta manera como un sistema de diagnóstico adecuado a los requerimientos de evaluación que presentan los sistemas de seguridad informática. “El BSC provee a los ejecutivos con un marco de trabajo comprehensivo, que traduce la visión y la estrategia de una compañía en un conjunto coherente de mediciones de desempeño”119 permitiendo de esta manera establecer mediciones que permitan evaluar el 116 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 21 117 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 21 118 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 23 119 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 24

MISC-03-1-1

42

desempeño del sistema de seguridad informática, de acuerdo a la estrategia y la visión corporativa. Pero más importante aún, “El BSC traduce la misión y la estrategia en objetivos y mediciones, desde 4 perspectivas: financiera, del consumidor, de procesos internos del negocio y de aprendizaje y crecimiento”120 permitiendo de esta manera modelar de manera completa un conjunto de medidores de desempeño del sistema de seguridad informática, desde perspectivas diferentes a la financiera, dando a la gerencia información invaluable que no podían obtener desde la aproximación tradicional de las finanzas y la contabilidad. El BSC, aplicado a un sistema de seguridad informática permite:

• Evaluar el desempeño del sistema de seguridad informática con respecto a los objetivos estratégicos de la organización.

• Establecer estrategias para alinear el sistema de seguridad informática con los requerimientos impuestos por la estrategia corporativa.

• Administrar estratégicamente el sistema de seguridad informática • Proveer herramientas de control para que la alta gerencia (que usualmente es

analfabeta tecnológica) pueda conocer el desempeño interno del sistema de seguridad informática, y saber si está o no funcionando de manera adecuada, sin tener que “aprender” de tecnología.

• Sustentar proyectos de inversión en tecnología, a través de proyecciones de mejoras en el desempeño del sistema de seguridad informática.

• Mostrar un “retorno a la inversión”121 a la alta gerencia, a través de mejoras en el desempeño del sistema de seguridad informática, cuando esta haya hecho inversión en infraestructura de seguridad.

Para aplicar de manera adecuada el BSC, es necesario hacerlo desde sus 4 perspectivas diferentes: La financiera, la del consumidor, la de procesos internos de negocio y la de aprendizaje y crecimiento. 2.2.2.1 Perspectiva Financiera Desde la perspectiva financiera, “Las mediciones de desempeño financiero indican si la estrategia, implementación y ejecución de una compañía están contribuyendo a su mejora. Los objetivos financieros típicamente se relacionan a la medición de la rentabilidad”.122 El desempeño de un sistema de seguridad informática puede tener importantes repercusiones financieras, debido a dos razones: la alta dependencia tecnológica, y la interconectividad en el mundo de hoy. Si una organización depende de su sistema de información para funcionar de manera adecuada, y éste deja de trabajar, el impacto financiero puede ser inmenso. Asimismo, la interconectividad genera entornos en los que se hacen pedidos de 120 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 25 121 No necesariamente debe ser financiero, aunque puede serlo. 122 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 25

MISC-03-1-1

43

materias primas y se vende al mayor y al detal a través de Internet, en donde se puede almacenar información confidencial de clientes y proveedores, y en donde la imagen organizacional puede ser afectada123 por ataques exitosos al sistema de información corporativo, con el gran impacto financiero que esto puede tener en la organización en caso de que esta se vea afectada124. 2.2.2.2 Perspectiva del Consumidor “Desde la perspectiva del consumidor…los gerentes identifican los segmentos de mercado y los (nichos de) consumidores en los que la unidad de negocios compite, y las mediciones del desempeño de la unidad de negocios en estos segmentos”.125 El cliente del sistema de seguridad informática es el sistema de información organizacional, y aunque no hay ‘competencia’ directa, si el sistema de seguridad no cumple de manera satisfactoria con su trabajo, puede ser eliminado y reemplazado bajo esquemas de outsourcing. Es importante saber cómo el sistema de información percibe el desempeño del sistema de seguridad, y si está satisfecho con este desempeño. 2.2.2.3. Perspectiva de procesos internos del negocio “Desde la perspectiva de procesos internos del negocio, los ejecutivos identifican los procesos internos críticos en los cuales la organización debe ser exitosa. Estos procesos le permiten a la unidad de negocios:

• Generar propuestas de valor que permitan atraer y retener consumidores en segmentos de mercado específicos

• Satisfacer las expectativas de resultados financieros excelentes

Las mediciones de procesos internos de negocios se enfocan en los procesos internos que tienen mayor impacto sobre la satisfacción del cliente y la consecución de los objetivos financieros de una organización”.126 En el caso de los sistemas de seguridad informática, se 123 “Aunque hay muchos riesgos al hacer negocios en internet, el riesgo principal es el de afectar la reputación de la compañía. El daño en la reputación por una brecha en la seguridad es una de las maneras más rápidas de erosionar la confianza de clientes y socios comerciales. Una brecha en la seguridad que exponga información confidencial, suya o la de sus clientes, puede ser catastrófica para su negocio. Ninguna industria esta exempta de esta amenaza”. Stuart McClure et al. Hacking Exposed, Network Security Secrets and Solutions, pg. xix 124 “La competencia dentro de la industria es furiosa, y cada vez mas, la seguridad es vista no sólo como una facilitador del servicio, sino como un diferenciador en el mercado. A medida que esta tendencia madura, los incidentes visibles de seguridad pueden significar un acto en el precio de las acciones, así como enredar al equipo de relaciones públicas corporativo”. Stuart McClure et al. Hacking Exposed, Network Security Secrets and Solutions, pg. xviii 125 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 26 126 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 26,27

MISC-03-1-1

44

hace evidente que la prioridad es que sus procesos internos sean eficientes, y satisfagan por completo los requerimientos de su cliente, el sistema de información organizacional. Sin embargo, la mejora de los procesos internos redunda en mayores niveles de seguridad, lo que tiene un impacto claro sobre las finanzas de la organización (lo que ya fue ampliamente argumentado al discutirse la perspectiva financiera), por lo que esto también apoya la consecución de los objetivos financieros de la organización. Adicionalmente, “la perspectiva de procesos internos de negocios revela dos diferencias fundamentales entre las aproximaciones tradicionales y la aproximación del BSC a la medición del desempeño. Las aproximaciones tradicionales intentan monitorear y mejorar procesos existentes de negocios. Pueden ir más allá de las mediciones financieras de desempeño al incorporar métricas de calidad y métricas basadas en el tiempo. Pero aún así se enfocan en mejorar procesos existentes. La aproximación del BSC, usualmente identificará procesos completamente nuevos en los cuales la organización debe presentar un desempeño excelente para poder cumplir con sus objetivos financieros y con sus clientes… (Muchos de estos procesos) pueden no estarse desempeñando actualmente, y son críticos para que la estrategia de una organización sea exitosa”.127 Esto es especialmente importante para evaluar sistemas de seguridad informática. Un sistema de seguridad informática no puede satisfacer parcialmente sus requerimientos. En realidad, un sistema de seguridad informática sólo tiene un requerimiento, su requerimiento primario: “El sistema de información debe ser seguro”. Por supuesto, este requerimiento sólo puede satisfacerse al satisfacer de manera total un conjunto de requerimientos de seguridad asociados al sistema de información. Pero si existen requerimientos escondidos que no han sido detectados, ya no se cumple el requerimiento primario, y el sistema de información de la organización no es considerado seguro128. Es como construir un muro alrededor de una ciudad: Si el muro rodea por completo a la ciudad, cumple su requerimiento primario: Que la ciudad sea segura. Pero si el muro no encierra por completo a la ciudad, para efectos prácticos es como si no hubiera muro, y la ciudad es considerada insegura. No importa que el muro rodee el 99% de la ciudad, un ejercito invasor ingresará por la sección que no está protegida por el muro, tal y como si no existiera muro alguno. El BSC no solo optimiza procesos internos existentes, sino que identifica procesos nuevos que son vitales para que el sistema de seguridad informática pueda cumplir con su objetivo primario. 127 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 27 128 Estoy de acuerdo con Eric Cole, quién piensa que “Un gran error que mucha gente comete es que tratan la seguridad como un problema de todo o nada. Si una compañía no puede alcanzar niveles de seguridad avanzados, se rinde y deja sus sistemas sin seguridad. Las compañías deben darse cuenta que algo de seguridad es mejor que nada, y que al empezar en algún lado, eventualmente llegarán al punto en el que tendrán un sistema muy seguro”. (Eric Cole. Hackers Beware, pg. 14). Sin embargo, aunque algo de seguridad es mejor que nada, un sistema asegurado parcialmente NO puede ser, bajo ninguna perspectiva, considerado como ‘más seguro’. La seguridad es un concepto absoluto. Se es seguro o no se es seguro. No hay lugar a términos medios.

MISC-03-1-1

45

2.2.2.4 Perspectiva de aprendizaje y crecimiento “La…perspectiva de…aprendizaje y crecimiento identifica la infraestructura que la organización debe construir para crear crecimiento y mejora a largo plazo…Los negocios probablemente no serán capaces de cumplir sus metas a largo plazo para los consumidores y los procesos internos de negocios, usando la tecnología y las capacidades actuales”.129 Esto es logrado a través del análisis del pasado histórico de la organización, de establecer relaciones causa-y-efecto, de un cuidadoso análisis actual de la organización y de su entorno, y de proyecciones basadas en estos análisis. El BSC a medida que es aplicado, provee a la organización con una memoria, al ir generando unas trazas de la evolución de la organización a través del tiempo. Esto es de una importancia extrema, ya que esta memoria, este pasado organizacional constituye la historia de la organización. “Un BSC construido de manera apropiada debe contar la historia de la estrategia de la unidad de negocio. Debe identificar y hacer explícita la secuencia de hipótesis acerca de las relaciones de causa-y-efecto entre mediciones de resultados y lo que impulsa el desempeño de esos resultados”.130 La historia es imprescindible para que exista un proceso de aprendizaje real. Si la organización tiene historia, puede analizar sucesos anteriores, obtener conclusiones de las relaciones causa-y-efecto que llevaron a la ocurrencia de los sucesos, y si los efectos fueron nocivos para la organización, evitar que se vuelvan a presentar los fenómenos que las causaron; si los efectos fueron benéficos, promover los fenómenos que los causaron: Esto es aprendizaje organizacional. La perspectiva de aprendizaje y crecimiento permite evaluar el componente estratégico del sistema de seguridad informática, respecto a su evolución histórica y a la evolución histórica del entorno, permitiendo sacar conclusiones sobre su flexibilidad y adaptabilidad al siempre cambiante ambiente tecnológico, y garantizar así que los procesos que se implementaron en el pasado para lograr que el sistema de información fuera seguro en el presente, se implementen en el presente, para que el sistema de información siga siendo seguro en el futuro. Pero la perspectiva de aprendizaje y crecimiento no se limita a evaluar si las características del sistema de seguridad informática pasadas y presentes lo hacen adecuado para afrontar condiciones futuras. También se encarga de definir los procesos que deben llevarse a cabo para cumplir con los objetivos estratégicos del sistema de seguridad informática. “Los objetivos financieros, de consumidores y de procesos internos del negocio en el BSC típicamente revelan las brechas entre las capacidades existentes en personal, sistemas y procedimientos, y lo que se requiere para alcanzar un desempeño (óptimo)... Para cerrar esta brecha, los negocios deberán invertir en reeducar empleados, mejorar la tecnología de 129 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 28 130 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 31

MISC-03-1-1

46

información y los sistemas y alinear procedimientos y rutinas organizacionales... Estos objetivos son articulados en la perspectiva de aprendizaje y crecimiento del BSC”.131 La perspectiva de aprendizaje y crecimiento es la que permite definir los requerimientos futuros que se deben cumplir para lograr los objetivos y estrategias organizacionales, cómo usar sus experiencias pasadas para aprender, y basado en ese proceso de aprendizaje de qué manera debe crecer y expandirse si quiere llegar a cumplir con sus objetivos y su visión futura. Para un sistema de seguridad informática, esto significa que a través del estudio de la evolución histórica de la organización, del sistema de información, del entorno, y de la historia de otras organizaciones132, se deben identificar los requerimientos que se vayan a presentar en el futuro como resultado de la estrategia organizacional y a través de esos requerimientos, generar una estrategia propia de evolución para satisfacerlos cuando llegue el momento. 2.2.2.5 Una perspectiva adicional: La perspectiva de responsabilidad social Aunque la perspectiva de responsabilidad social no está definida en el BSC de Kaplan y Norton, si está incluida en el SIMEG de Serna que es un desarrollo realizado sobre las bases del BSC, totalmente compatible con éste. Por ello, se incluye como una perspectiva adicional a las 4 dadas por el BSC original, debido a su importancia en la evaluación de sistemas de seguridad informática. La perspectiva de responsabilidad social permite evaluar si la organización está cumpliendo con los compromisos que son asumidos de manera intrínseca por todo miembro de la sociedad, ya sea persona natural o jurídica, en el momento en el que pasan a ser miembros de ésta. La responsabilidad social va mucho más allá de cumplir con la ley, y tiene claras connotaciones éticas y morales. Un sistema de información que no sea seguro, puede ser vulnerado y posteriormente usado como plataforma para lanzar ataques contra otros sistemas de información; podría considerarse una obligación moral el asegurar un sistema de información para evitar que sea usado en ataques contra terceros. Asimismo, los sistemas de información que no son controlados por sistemas de seguridad informática pueden ofrecer servicios que pueden ser utilizados para realizar tareas que aunque no son ilegales, son claramente antiéticas, por ejemplo, el envío de publicidad no solicitada a cientos de miles de buzones de correo electrónico (mail spamming) a través de 131 Kaplan, Robert. Norton, David. The Balanced Scorecard. Pg. 28,29 132 Es importante mencionar, que las organizaciones no solamente aprenden a través del estudio de su historia, si no a través del estudio de los casos de éxito de otras organizaciones. Esta es una de las ventajas del mundo interconectado en el que vivimos: el conocimiento fluye libremente, y todos pueden aprender de las experiencias de cada cual.

MISC-03-1-1

47

un servidor de correo abierto al público. Podría considerarse antiético permitir este tipo de servicios no regulados en un sistema de información. Esta perspectiva es importante, ya que permite evaluar si el sistema de seguridad está cumpliendo con la estrategia organizacional respecto a la sociedad en la que desarrolla sus actividades corporativas. El impacto que tiene esta perspectiva a nivel organizacional puede ser inmenso, debido a que esta perspectiva afecta de manera directa la imagen organizacional, con connotaciones a todo nivel133, incluso en el aspecto financiero, como se argumenta de manera más profunda en la discusión sobre la perspectiva financiera del BSC. 133 Un ejemplo de esto se puede apreciar en la industria petrolera, donde las corporaciones invierten grandes sumas de dinero para mejorar sus relaciones con la comunidad, e irradiar una imagen positiva, comprometida con la conservación ecológica y la explotación racional de los recursos energéticos, para que sean considerados como actores benignos en la sociedad, y sus operaciones no se vean afectadas.

MISC-03-1-1

48

2.2.3 SIMEG e Índices de Gestión El SIMEG (Sistema Integrado de Medición de Gestión) es un sistema desarrollado por Humberto Serna Gómez134, basado en el Balanced Score Card de Norton y Kaplan, y adaptado al entorno latinoamericano. Este sistema retoma los postulados del BSC, bajándolos de un nivel de abstracción bastante alto, a un nivel práctico, en el que se cubren las falencias del trabajo de Kaplan y Norton a través de bases metodológicas suficientes para que pueda ser aplicado en el mundo real. Una de las grandes críticas que se le pueden hacer al BSC (o a la forma como es descrito en el libro de Kaplan y Norton), es que dice lo que hay que hacer, de manera muy general y abstracta, pero nunca dice cómo hacerlo. El SIMEG llena este vacío, explicando de manera detallada el cómo

MISC-03-1-1

49

2.2.3.2 Indicadores e Índices de gestión Un indicador de gestión es un conjunto de variables cualitativas o cuantitativas que se va a medir y a monitorear. Los indicadores de gestión simplemente dan información sobre el estado actual de lo que se midió. El índice de gestión es una derivación del indicador de gestión, derivada del modelo del BSC, con un carácter claramente estratégico. Al implementar el BSC en una organización, se evalúa (a través de mediciones) el estado actual de aspectos específicos de la organización. Sin embargo, esta medición por sí sola no es útil. A partir de la estrategia de la organización, se definen unos objetivos a los cuales se quiere llegar. Estos objetivos son la meta que se debe obtener. Y la diferencia entre el estado actual y el estado que se quiere obtener constituye la “brecha de desempeño” que se debe ir cerrando a medida que la organización vaya logrando mejorar. Estos objetivos son valores que desean obtenerse en un futuro en las mediciones, y se denominan los valores estándar-meta. Así pues, se tiene que la medición inicial está dada por los indicadores de gestión, y que el valor al que se desea llegar está dado por valores estándar-meta. Un estándar-meta puede ser generado de manera endógena (reflejando metas propias que la organización aspira a alcanzar) o de manera exógena, por comparación con otra organización (reflejando el estado de una organización a la que se quiere llegar a parecer) o con un estado ideal abstracto. Cuando un estándar-meta se obtiene por comparación (ya sea contra un ejemplo real, o contra un estado abstracto) se dice que se obtiene por benchmarking. Un índice de gestión permite medir la evolución de los indicadores de gestión respecto a los estándares-meta, siendo una razón entre los dos, así: Índice de gestión = Logros alcanzados / Logros planeados. Indicador de gestión Índice de gestión = ----------------------------- Estándar-meta Los índices de gestión son herramientas útiles para la gerencia estratégica de una organización, debido a que no solamente permiten evaluar el estado actual de un aspecto de la organización, sino que permiten evaluar el estado actual de un aspecto de la organización con respecto a unos objetivos estratégicos.

MISC-03-1-1

51

2.2.3.6 SIMEG y el diagnóstico de un sistema de seguridad informática El SIMEG ofrece un sistema de medición que permite aplicar el BSC de manera fácil y rápida. Para utilizar el BSC como la herramienta primaria de diagnóstico del sistema de seguridad informática, necesitamos crear patrones que permitan generar todos los indicadores de gestión que van a ser utilizados para hacer el diagnóstico. Posteriormente y a partir del patrón para indicadores de gestión, se podría crear un patrón que permita generar índices de gestión que provean las herramientas para poder llevar a cabo la administración estratégica del sistema de seguridad informática135. 2.2.3.6.1 Un patrón de diseño para indicadores de gestión A continuación se propone el siguiente patrón para ser usado en el diseño de los indicadores de gestión que se van a utilizar en el diagnóstico de sistemas de seguridad informática: Identificador: Identificador del indicador de gestión (puede ser un código alfanumérico o cualquier otro tipo de código que permita su identificación sin ambigüedades) Nombre: Nombre del indicador Denominación: Promedio, tasa, cantidad, proporción, porcentaje, etc. Valor: Valor del indicador según la medición realizada. Período: Periodo de tiempo al que hace referencia el indicador. Puede ser tan exacto o tan amplio como sea necesario Descripción: Propósito del índice, qué es lo que se va a medir, porqué es útil, que evalúa, desde qué perspectiva, si es cuantitativo o cualitativo, si mide resultados (lagging) o procesos (leading). Expresión: Procedimiento matemático o algoritmo con el que se calcula. Rango de resultados: El rango de resultados posibles que se pueden obtener. Pueden ser rangos abiertos, o cerrados. Interpretación: Interpretación que se le debe dar a los diferentes rangos de resultados que se obtengan con el indicador Metodología de medición: Qué instrumento se utilizó para realizar la medición, cual es su exactitud y su rango de error, se aplicó o no corrección de la medición, en qué momento se realizó. Error: Error estimado que puede tener la medición Datos necesarios: Datos que se necesitan para poder calcular el indicador de gestión 135 Por supuesto, la administración estratégica del sistema de seguridad informática escapa a los alcances de este documento.

MISC-03-1-1

52

2.2.3.6.2 Un patrón de diseño para índices de gestión A continuación se propone el siguiente patrón para ser usado en el diseño de índices de gestión. Los índices de gestión son utilizados en la administración estratégica de sistemas de seguridad informática136. Identificador: Identificador del índice de gestión (puede ser un código alfanumérico o cualquier otro tipo de código que permita su identificación sin ambigüedades) Nombre del índice: Nombre del índice Valor: Valor del índice según el valor del indicador en el que se basa, y su estándar-meta. Período: Periodo de tiempo al que hace referencia el indicador. Puede ser tan exacto o tan amplio como se requiera Indicador en el que se basa: Valor dado por el indicador de gestión Estándar-meta: Valor adecuado al que se desea llegar Interpretación: Interpretación que se le debe dar a los diferentes rangos de resultados que se obtengan con el indicador 136 El patrón para diseño de índices de gestión se incluye por completitud, ya que los índices de gestión no se utilizan para el diagnóstico de la seguridad informática, sino para la administración estratégica de sistemas de seguridad informática, que escapa al alcance de este documento.

MISC-03-1-1

53

2.3 Perspectiva Operacional El sistema de seguridad informática, como todo sistema, tiene un propósito (que es proteger de manera integral a todos los componentes del sistema de información de la organización). La perspectiva operacional permite evaluar si el sistema está cumpliendo con sus propósitos de manera adecuada y eficiente: evalúa el desempeño operativo del sistema. Esta evaluación permite establecer si el sistema cumple con todas sus tareas, y con qué grado de competencia y eficiencia lo hace. La perspectiva operacional es dada por una metodología propia (desarrollada en el capítulo 3), basada en varios estándares de seguridad informática, que serán analizados a continuación: 2.3.1 Estándares utilizados Los estándares escogidos tratan tópicos diversos como la evaluación, optimización y administración de la seguridad informática. Los estándares ISO/IEC 17799, ISO/IEC 15408, ISO/IEC TR 13335, y NIST SP 800-30 fueron escogidos debido a su carácter internacional (excepto el estándar del NIST, que aunque no es internacional, es ampliamente aplicado en todo el mundo), a su aplicación extendida y a su comprobada efectividad. 2.3.1.1 ISO/IEC 17799 El ISO / IEC 17799, o “Código de prácticas para la administración de la seguridad informática” es un “conjunto comprehensivo de controles que comprende las mejores prácticas en seguridad informática”, siendo un estándar genérico ampliamente reconocido internacionalmente.137 El ISO / IEC 17799 tiene como objetivos “dar recomendaciones para la administración de la seguridad informática para que sean usadas por aquellos que son responsables de iniciar, implementar, o mantener la seguridad en su organización”.138 Aunque está diseñado para ayudar a optimizar la seguridad informática, también es ideal para ayudar al diagnóstico del sistema de seguridad desde una perspectiva netamente operativa, aplicando la metodología de evaluación anteriormente propuesta. Además, su amplio espectro hace que este código sea la base principal óptima sobre la cual construir el sistema de evaluación para sistemas de seguridad informática (que constituye el 137 El ISO/IEC 17799 está disponible en http://www.iso17799software.com/presentation/sld002.htm 138 ISO/IEC 17799, Preface.

MISC-03-1-1

54

tema central de este documento) ya que trata todas las áreas de importancia de manera completa. Inicialmente, este estándar se originó como el estándar británico (British Standard) BS7799 en febrero de 1995, y tras una revisión exhaustiva en 1999, fue adoptado por la ISO en el 2000, siendo publicada una segunda parte en el 2002. 2.3.1.2 ISO/IEC 15408 El ISO/IEC 15408 o “Criterios de evaluación para la seguridad de TI”, también conocido como el “common criteria” (criterio común) establece “bases para la evaluación de propiedades de seguridad de productos y sistemas de TI…permitiendo la comparabilidad entre los resultados de evaluaciones de seguridad independientes”.139 A primera vista, parecería que este estándar es el más indicado para usar como la base de la evaluación operativa, debido a que fue diseñado para evaluar seguridad informática. Sin embargo, debido a que el sistema de evaluación del common criteria no es general, sino específico, no es fácilmente aplicable en la metodología de evaluación propuesta, que tiende a ser de carácter más amplio y general. El common criteria está más orientado a verificar si un sistema de seguridad informática cumple con cierta funcionalidad, que a analizar cuál es la funcionalidad que el sistema debería tener. Debido a ello, es preferible utilizar como base el ISO/IEC 17799; el common criteria es utilizado para enriquecer los alcances de la evaluación, y subsanar faltantes existentes en los otros estándares, que no están tan orientados a la evaluación. Es de especial interés para este trabajo, la parte 2 del common criteria, que se llama “Requerimientos funcionales de seguridad”, y establece un marco de evaluación que permite determinar si un sistema “efectivamente cumple con las funciones de seguridad que dice cumplir”.140 2.3.1.3 ISO/IEC TR 13335 El ISO/IEC TR 13335 o “guía para la administración de la seguridad de TI” tiene como objetivos “proveer una guía y no soluciones, a los aspectos administrativos de la seguridad de TI. Los individuos responsables por la seguridad de TI en la organización deberán estar en capacidad de adaptar el material…para satisfacer sus necesidades específicas”.141 Las partes 3 y 4 son de especial interés para este proyecto. La parte 3 “describe técnicas de 139 ISO/IEC 15408-1, 3.1 Introduction 140 ISO/IEC 15408-1, 3.4 Organization of Common Criteria 141 ISO/IEC TR 13335, Introduction

MISC-03-1-1

55

seguridad apropiadas para ser usadas por aquellos envueltos en tareas administrativas”, lo que permite diagnosticar el componente humano del sistema de seguridad informática 2.3.1.4 NIST SP 800-30 El NIST SP 800-30, o “Guía de administración de Riesgos” tiene como propósito “proveer guías…sobre los conceptos y la práctica de administración de riesgos relacionados con TI…Al seguir la guía de este documento, el personal de TI estará en capacidad de aislar una gran variedad de riesgos, muchos de los cuales son subjetivos, determinar la extensión de un compromiso, e identificar opciones potenciales de mitigación”.142 Esta guía provee una excelente estructura metodológica para la detección y la administración de riesgos, tarea de extrema importancia a la hora de hacer análisis de requerimientos143, así como de evaluar los alcances y el cubrimiento del sistema de seguridad informática que se desea diagnosticar. 142 NIST SP 800-30, Introduction. 143 Esto es especialmente importante para evaluar sistemas de seguridad informática. Un sistema de seguridad informática no puede satisfacer parcialmente sus requerimientos. En realidad, un sistema de seguridad informática sólo tiene un requerimiento, su requerimiento primario: “El sistema de información debe ser seguro”. Por supuesto, este requerimiento sólo puede satisfacerse al satisfacer de manera total un conjunto de requerimientos de seguridad asociados al sistema de información. Pero si existen requerimientos escondidos que no han sido detectados, ya no se cumple el requerimiento primario, y el sistema de información de la organización no es considerado seguro (Ver sección 2.2.2.3).

MISC-03-1-1

56

2.4 La perspectiva integral

La perspectiva integral que provee el Sistema Integral de Diagnóstico de la Seguridad Informática, está dada por la aplicación de las tres perspectivas anteriormente exploradas: La perspectiva Sistémica, la perspectiva Organizacional y la perspectiva Operativa. Cada una de las perspectivas ha sido estudiada de manera individual; sus características han sido escrutadas, y sus aplicaciones a problemas de diagnóstico de seguridad informática han sido resaltadas. Es el momento de integrarlas en una sola perspectiva: La perspectiva Integral. Una aplicación conjunta de estas tres perspectivas, permitirá diagnosticar la seguridad informática de un sistema de información de manera completa, llegando a donde los estándares tradicionales nunca han podido llegar, y permitiendo alcanzar niveles de optimización que no eran posibles desde una sola perspectiva. Cada una de las perspectivas permite evaluar la seguridad informática de manera diferente; los resultados de la evaluación desde una de las perspectivas, debe enriquecer y complementar la evaluación desde las otras perspectivas, y permitir estudiar la seguridad

MISC-03-1-1

57

informática de una manera nueva, más profunda, íntimamente relacionada con el resto de la organización y mucho más enriquecedora para la gerencia. La perspectiva integral constituye el verdadero aporte de este trabajo al diagnóstico de la seguridad informática. Y esta perspectiva integral es trabajada, utilizando el Sistema Integral de Diagnóstico de la Seguridad Informática, que constituye el eje central de desarrollo de este trabajo de investigación.

MISC-03-1-1

58

3. El Sistema de Diagnóstico Integral de Seguridad Informática

El Sistema de Diagnóstico Integral de Seguridad Informática permite llevar a cabo procesos de diagnóstico de seguridad informática desde un punto de vista multidimensionall, incorporando para ello herramientas de la teoría de sistemas, la cibernética, la teoría organizacional, y los estándares y metodologías de seguridad informática más importantes. 3.1 ¿Porqué es necesario un sistema para el diagnóstico integral de la seguridad informática? La mayoría de estándares que permiten realizar procesos de diagnóstico a sistemas de seguridad informática se centran exclusivamente en la perspectiva operativa. Ya ha sido extensamente argumentada la inconveniencia de esta aproximación. Se hace evidente la

MISC-03-1-1

59

necesidad de crear un sistema que permita diagnosticar de manera integral144 un sistema de seguridad informática, y que lo haga de manera estructurada y metodológica. ¿Porqué generar un sistema completamente nuevo? La literatura existente nos da la respuesta: “La mayoría de las personas piensan en la seguridad como en algo posterior. Construyen una red y luego le ponen un firewall u otras medidas de seguridad…Este modelo no es eficiente”. Eric Cole. Hackers Beware, pg. 13 “Para crear una buena defensa, debe entender las técnicas ofensivas de su adversario”. Ed Skoudis. Counter Hack, Pg. XX “Solo sabiendo como funcionan los ataques y lo que hace un atacante para comprometer una máquina, puede una compañía posicionarse de manera que pueda estar debidamente protegida”. Eric Cole. Hackers Beware, pg. 18,19 “Al explorar en detalle las técnicas usadas por los chicos malos, podemos aprender como defender nuestro sistema y voltearles la situación a los atacantes”. Ed Skoudis. CounterHack, pg. 2 La respuesta es evidente: No solamente los estándares, sino la literatura existente está completamente centrada en la parte operativa, y desde una perspectiva completamente reactiva. Esta aproximación al problema es claramente inapropiada e insuficiente para realizar un diagnóstico profundo y exhaustivo de un sistema se seguridad informática. Por ello es necesario y plenamente justificable el desarrollo de un sistema que permita llevar a cabo procesos de diagnóstico de seguridad informática desde un punto de vista multidimensional, que incorpore las herramientas de la teoría de sistemas, la cibernética, la teoría organizacional, y por supuesto, los estándares y metodologías de seguridad informática más importantes. 144 integral, porque tiene en cuenta todas las perspectivas: la sistémica, la organizacional y la operativa.

MISC-03-1-1

60

3.2 Descripción general del sistema El Sistema de Diagnóstico Integral de Seguridad Informática utiliza el SIS, el BSC y varios estándares de seguridad informática, y los aplica de manera integrada para evaluar el Sistema de Seguridad Informática del Sistema de Información:

• Al evaluar al sistema de información con respecto al SIS (Diagnóstico sistémico), se puede establecer si este es sistémicamente apropiado, y se pueden definir los cambios necesarios para lograr y mantener la sostenibilidad del sistema de información.

• Al aplicar el BSC (Diagnóstico Organizacional), se evalúa al Sistema de Seguridad

Informática como parte de una organización, se evalúa si sus objetivos son compatibles con los macro-objetivos de la organización, si está satisfaciendo los requerimientos y las políticas de esta, y si está alineado con la visión y las metas organizacionales. A partir de esta evaluación se pueden definir estrategias para lograr alinear los objetivos y las políticas del sistema de seguridad informática con los objetivos y políticas de la organización.

• Al verificar el cumplimiento de las directrices de los estándares de seguridad

(Diagnóstico operativo), se puede establecer si el sistema de seguridad informática sigue las mejores prácticas y cumple con estándares de calidad necesarios para proveer un adecuado nivel de aseguramiento al sistema de información y a la organización, y se pueden especificar los requerimientos para lograr un estado de aseguramiento que satisfaga los requerimientos de la organización.

Para realizar los tres diagnósticos diferentes, el Sistema de Diagnóstico Integral de Seguridad Informática se basa en la evaluación de una serie de tópicos a través de un cuestionario que debe ser respondido por un grupo de trabajo que debe ser integrado por

MISC-03-1-1

61

miembros de la alta gerencia, del área de TI, e integrantes de los grupos más representativos de usuarios del sistema de información. El grupo de trabajo deberá responder de la mejor manera posible el cuestionario de evaluación, el cual permitirá establecer:

• Cuál es el estado actual de la organización, desde el punto de vista de la seguridad informática

• A qué estado se desea llegar El sistema de diagnóstico permite evaluar el estado de la organización respecto al estado al que se desea llegar a través de índices de gestión, y ofrece recomendaciones generales para guiar un proceso de planeación estratégica que permita llegar al estado deseado. La aplicación periódica del Sistema de Diagnóstico Integral de Seguridad Informática, constituye la base de un proceso permanente de administración estratégica de la seguridad informática en la organización. 3.2.1 Establecimiento del grupo de trabajo El grupo de trabajo debe ser conformado por un conjunto de empleados que debe ser integrado por miembros de la alta gerencia, del área de TI, e integrantes de grupos representativos de usuarios del sistema de información. Se debe buscar que el grupo sea lo más diverso y representativo posible, para permitir que la evaluación sea discutida y enriquecida con los puntos de vista de todos los integrantes, y desde diferentes niveles y unidades organizacionales. La evaluación de cada punto debe ser discutida, y en lo posible se debe llegar a un consenso sobre la calificación que se le de a cada uno de los puntos del cuestionario. En caso de que no sea posible llegar a un consenso, otras alternativas deberían ser exploradas para asignar las calificaciones a puntos específicos del cuestionario, por ejemplo, promedios de las diferentes calificaciones, mayoría, etc. 3.2.2 Metodología de evaluación Sistémica La evaluación sistémica se realiza basándose en los procedimientos originalmente especificados en el libro “Diagnosing the system for organizations” de Stafford Beer, a través de la aplicación del MSV, pero con las adaptaciones especificadas en el MSS145, y en el SIS146, siguiendo la metodología desarrollada en la sección 2.1 Perspectiva Sistémica. 145 Ver 2.1.2.3 El Modelo de Sistema Sostenible (MSS) 146 Ver 2.1.2.4 El Sistema de Información Sostenible (SIS)

MISC-03-1-1

62

3.2.3 Metodología de evaluación organizacional La evaluación organizacional se realiza basándose en los procedimientos originalmente especificados en el libro “The Balanced Score Card” de Kaplan y Norton147 para evaluación de unidades de negocios de organizaciones, y el libro “Índices de gestión” de Humberto Serna, siguiendo la metodología desarrollada en la sección 2.2 Perspectiva Organizacional. 3.2.4 Metodología de evaluación operativa La metodología que se utilizará para realizar la evaluación operativa es un simple proceso de enumeración de las recomendaciones dadas por los estándares en los que se basa, seguida de un proceso de verificación que permite establecer si las recomendaciones están siendo aplicadas o no. Todo esto se lleva a cabo a través de indicadores de gestión diseñados para permitir la realización de las mediciones pertinentes. Las mediciones en la mayoría de los casos son subjetivas, pero si son realizadas de manera objetiva, honesta e inteligente, deberían proveer información suficiente para poder evaluar de manera suficiente el desempeño del sistema de seguridad que se desea diagnosticar. 147 La metodología de aplicación del BSC se realiza encuentra en el apéndice del libro, Pgs. 300-311.

MISC-03-1-1

63

3.3 Cuestionario de evaluación El cuestionario de evaluación es el corazón del sistema integral de diagnóstico de la seguridad informática. A través de él se puede establecer el estado de la seguridad en la organización, y a partir de este estado es posible148 definir el estado adecuado al que se desea llegar, proveyendo la información necesaria para el diseño de los índices de gestión, y de las recomendaciones que permitan generar guías de ayuda para el proceso de administración estratégica de la seguridad informática. Los indicadores propuestos fueron diseñados con el propósito de que fueran aplicables en la mayoría de organizaciones. Sin embargo, los indicadores que se vayan a utilizar no tienen que ser necesariamente los propuestos: Se pueden obviar los que no sean aplicables a una organización en particular, o se pueden modificar para adaptarlos a las circunstancias particulares de la organización. Incluso, se pueden generar indicadores nuevos que reflejen condiciones especiales del sistema de información de la organización que se está diagnosticando. 3.3.1 Indicadores Sistémicos Los indicadores sistémicos son diseñados basándose en los criterios de evaluación organizacional dados por el Sistema de Información Sostenible (SIS)149 basado en el Modelo de Sistema Sostenible (MSS)150, y permiten diagnosticar si el sistema de seguridad informática es eficiente desde un punto de vista sistémico, si cumple con sus propósitos en la organización, y si cumple con los preceptos de sostenibilidad dados por el MSS. Indicadores

• ¿Es el sistema de información un SIS? (si / no) o Cumplen los sistemas S1 del sistema de información con los preceptos del

SIS? (si / no) o Cumplen los sistemas S2 del sistema de información con los preceptos del

SIS? (si / no) o Cumplen los sistemas S3 del sistema de información con los preceptos del

SIS? (si / no) o Cumplen los sistemas S3* del sistema de información con los preceptos del

SIS? (si / no) 148 Es posible, aunque escapa al alcance de este documento, que se encarga únicamente de realizar un diagnóstico de la seguridad informática, sin definir el estado óptimo ni la estrategia para alcanzarlo, propios de un proceso de gerencia estratégica de la seguridad informática. 149 Ver 2.1.2.4 El Sistema de Información Sostenible (SIS) 150 Ver 2.1.2.3 El Modelo de Sistema Sostenible (MSS)

MISC-03-1-1

64

o Cumplen los sistemas S4 del sistema de información con los preceptos del SIS? (si / no)

o Cumplen los sistemas S5 del sistema de información con los preceptos del SIS? (si / no)

o Cumplen la administración de la variedad en el sistema de información con los preceptos del SIS? (si / no)

o Cumplen los canales y transductores del sistema de información con los preceptos del SIS? (si / no)

3.3.2 Indicadores Organizacionales Los indicadores organizacionales son diseñados basándose en los criterios de evaluación organizacional dados por el Balanced Score Card de Kaplan y Norton, y permiten diagnosticar si el sistema de seguridad informática es eficiente desde un punto de vista organizacional, si cumple con sus propósitos en la organización, y si está alineado con la estrategia organizacional. 3.3.2.1 Administración de riesgos informáticos Consiste en manejar el riesgo de ocurrencias de incidentes de seguridad que comprometan el correcto funcionamiento del sistema de información. Indicadores

• # de incidentes de seguridad / unidad de tiempo (promedio) • # de horas sin sistema / unidad de tiempo (promedio)

3.3.2.2 Reducción de gastos de operación Consiste en reducir los gastos en los que incurre la organización, para reestablecer el correcto funcionamiento del sistema luego de un incidente de seguridad Indicadores

• # horas hombre de trabajo perdidas / incidente (promedio) • # horas hombre (internas) invertidas en reestablecer el sistema / incidente

(promedio)

MISC-03-1-1

65

• # horas hombre (externas) invertidas en reestablecer el sistema / incidente (promedio)

• Costo de reestablecer el sistema / incidente (promedio) • Costos en imagen organizacional / incidente (promedio) • Costo / incidente (promedio)

3.3.2.3 Mejora en la utilización de recursos Consiste en reducir la utilización de recursos humanos en atención de incidentes y reestablecimiento del sistema debido a incidentes de seguridad informática. Indicadores

• # horas hombre dedicadas a la atención de incidentes / total de horas hombre de trabajo de TI (porcentaje)

• # de personas dedicadas a atención de incidentes / total de fuerza de trabajo en TI (porcentaje)

3.3.2.4 Relación con los usuarios Consiste en evaluar cómo se sienten los usuarios internos y externos del sistema de información, respecto al sistema de información y/o al sistema de seguridad informática, y al nivel de aseguramiento proveído por el mismo. Indicadores

• Calificación de los usuarios (promedio) o respecto a la confiabilidad del sistema o respecto a la seguridad o respecto a la calidad del servicio

3.3.2.5 Capacidades del sistema de seguridad Consiste en evaluar si el sistema de seguridad informática tiene la capacidad de satisfacer los requerimientos impuestos por el sistema de información, y la estrategia de la organización.

MISC-03-1-1

66

Indicadores

• # de empleados de TI que se sienten adecuadamente preparados/total de empleados de TI (porcentaje)

• # de empleados de TI que piensan que la infraestructura de seguridad informática es adecuada/total de empleados de TI (porcentaje)

• # de empleados de TI que piensan que la metodología y los procedimientos de seguridad informática son adecuados/total de empleados de TI (porcentaje)

3.3.2.6 Actualización del sistema de seguridad Consiste en evaluar si el sistema de seguridad informática está en capacidad de permanecer actualizado Indicadores

• ¿Hay un proceso continuo de reeducación y capacitación de empleados? (si / no) • ¿Hay un proceso continuo de evaluación y actualización de la infraestructura de

seguridad informática? (si / no) 3.3.2.7 Aprendizaje Consiste en evaluar si el sistema de seguridad informática está en capacidad de aprender a través de su gestión, y utilizar este conocimiento. Indicadores

• ¿Hay un mecanismos que permitan realizar la documentación de procedimientos, incidentes y soluciones que cree una base de datos de conocimiento? (si / no)

• ¿Es la documentación obligatoria? (si / no) • Tareas resueltas utilizando BD de conocimiento / Total de tareas (porcentaje)

3.3.2.8 Responsabilidad social Consiste en evaluar si el sistema de seguridad informática es responsable con la sociedad en la que desarrolla sus actividades. Indicadores

• ¿Se ve el entorno afectado negativamente por el desempeño del sistema de seguridad informática? (si / no)

MISC-03-1-1

67

3.3.3 Indicadores Operativos Los indicadores operativos se basan en el ISO / IEC 17799, el ISO / IEC 15408, El ISO / IEC TR 13335 y el NIST SP 800-30 y permiten diagnosticar si el sistema de seguridad informática es eficiente desde un punto de vista operativo, si cumple con sus propósitos en la organización, y si está alineado con la estrategia organizacional. 3.3.3.1 Políticas de Seguridad Consiste en evaluar las políticas de seguridad que regulan al sistema de información, y su coherencia con la estrategia organizacional. Indicadores

• ¿Existe un documento de políticas de seguridad? (si / no) • ¿Es el documento de políticas de seguridad apropiado? (si / no)

o ¿Se define de manera adecuada la seguridad informática, sus objetivos, su alcance e importancia? (si / no)

o ¿Establece un compromiso de la gerencia en la aplicación de las políticas? (si / no)

o ¿Explica de manera adecuada los principios, estándares y requerimientos de importancia para la organización? (si / no)

o ¿Describe de manera suficiente las regulaciones y restricciones que aplican al sistema de información? (si / no)

o ¿Es acorde con la estrategia organizacional? (si / no) • ¿Hay un proceso continuo de revisión y evaluación de las políticas de seguridad?

o ¿Hay un encargado de este proceso? (si / no) o ¿Se evalúa su efectividad? (si / no) o ¿Se evalúa su costo y su impacto? (si / no) o ¿Se evalúan los efectos que tienen sobre ella los cambios en la tecnología?

(si / no) 3.3.3.2 Estructura organizacional Consiste en evaluar si la estructura organizacional generada alrededor del sistema de seguridad informática es adecuada para los requerimientos de la organización, el sistema de información y del sistema de seguridad mismo.

MISC-03-1-1

68

Indicadores

• ¿Existe un foro de administración de la seguridad informática? (si / no) • ¿Existen coordinadores / promotores de la seguridad informática en las diferentes

unidades de negocios de la organización? (si / no) o Se deben listar todas las unidades de negocios y responder de manera

individual si hay un coordinador / promotor o no. • ¿Existe un encargado para cada una de las responsabilidades asociadas a la

implantación, promoción y mantenimiento de la seguridad informática? (si / no) o se deben listar todas las responsabilidades, y responder de manera individual

si hay alguien encargado o no. • ¿Se requiere de un proceso de autorización para implantar nuevos componentes del

sistema de información / sistema de seguridad informática? (si / no) • ¿Existe una mesa de ayuda (helpdesk) de seguridad informática? (si / no) • ¿Existen vínculos organizacionales con entidades estatales y / o privadas encargadas

de atender e investigar incidentes de seguridad informática? (si / no) • ¿Existen mecanismos externos e independientes, de evaluación de la seguridad

informática organizacional? (si / no) • ¿Existen mecanismos de regulación para verificar que los contratistas externos de

TI cumplan con las políticas de seguridad organizacionales? (si / no) o Este indicador se debe realizar de manera individual para cada uno de los

contratistas externos. 3.3.3.3 Clasificación de recursos Consiste en evaluar si los recursos informáticos han sido debidamente clasificados y protegidos Indicadores

• ¿Existe un inventario de recursos? (si/no) • ¿Está clasificada la información? (si/no)

3.3.3.4 Seguridad humana Consiste en reducir los riesgos de error humano, robo fraude o mal uso de los recursos. Indicadores

• ¿Están asignados los roles y las responsabilidades de seguridad informática? (si/no) • ¿Se cumplen las políticas de filtrado en la contratación de personal? (si/no)

MISC-03-1-1

69

• ¿Existen acuerdos de confidencialidad con los empleados que manejan información sensible? (si/no)

• ¿Las responsabilidades de seguridad están descritas en los términos y condiciones del contrato laboral? (si/no)

• ¿Están capacitados en seguridad los empleados y contratistas externos que asi lo requieren? (si/no)

• ¿Existen canales apropiados para reportar incidentes de seguridad? (si/no) • ¿ Existen canales apropiados para reportar vulnerabilidades en la seguridad? (si/no) • ¿ Existen canales apropiados para reportar fallos de software? (si/no) • ¿Existen mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de

incidentes y fallos de seguridad? (si/no) • ¿Existen procesos disciplinarios para castigar a empleados que violen las políticas y

procedimientos organizacionales? (si/no) 3.3.3.5 Seguridad física Consiste en prevenir el acceso no autorizado, los daños y la interferencia a la infraestructura y a la información. Indicadores

• ¿Existe un perímetro adecuado de seguridad física? (si/no) • ¿Existen controles de acceso físico a zonas seguras? (si/no) • ¿Están las zonas seguras correctamente adecuadas para contener infraestructura e

información sensible? (si/no) • ¿Existen controles y directrices para trabajar en zonas seguras? (si/no) • ¿Las zonas de carga y de recibo están correctamente aisladas del resto de las

instalaciones? (si/no) • ¿Están los equipos e infraestructura correctamente protegidos contra amenazas

ambientales y contra acceso no autorizado? (si/no) • ¿Están los equipos protegidos contra cortes de energía y otras anomalías eléctricas?

(si/no) • ¿Está el cableado adecuadamente protegido contra interceptación o daño? (si/no) • ¿Existen programas adecuados de mantenimiento de equipos? (si/no) • ¿Existen mecanismos que regulen la utilización de equipos fuera de las

instalaciones de la organización? (si/no) • ¿Existen procedimientos adecuados para el desecho y/o la reutilización segura de

equipos? (si/no) • ¿Existen políticas de “escritorio limpio” y “pantalla limpia” que eviten que

información sensible quede expuesta ante personas que transiten por el lugar de trabajo? (si/no)

• ¿Existen políticas que regulen la extracción de material, documentación y medios digitales de almacenamiento del sitio de trabajo? (si/no)

MISC-03-1-1

70

3.3.3.6 Administración de la seguridad Consiste en asegurar la operación correcta y segura de las facilidades para el procesamiento de la información Indicadores

• ¿Están los procedimientos operacionales documentados y mantenidos de manera adecuada? (si/no)

• ¿Existen controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de información? (si/no)

• ¿Existen procedimientos de administración de incidentes? (si/no) • ¿Existe separación de tareas? (si/no) • ¿Las instalaciones de desarrollo, pruebas y operativas están separadas? (si/no) • ¿Hay controles que permitan regular las actividades de contratistas externos en las

instalaciones? (si/no) • ¿Se hace planeación de la capacidad (capacity planning) del sistema para garantizar

que este sea adecuado a las necesidades de la organización? (si/no) • ¿Existen criterios de evaluación, pruebas y aceptación para nuevos sistemas, nuevas

versiones y/o mejoras a sistemas actuales? (si/no) • ¿Existen controles para la detección y prevención de software malicioso y

procedimientos de concientización de usuarios? (si/no) • ¿Se realizan copias de seguridad de la información y los programas esenciales para

la organización? (si/no) • ¿Se mantienen registros del sistema (system logs) de las actividades realizadas por

sus operadores? (si/no) • ¿Existe registro de los fallos que ocurren en el sistema y procedimientos para su

corrección? (si/no) • ¿Existen mecanismos de control para obtener y mantener la seguridad de las redes

de computadores? (si/no) • ¿Existen procedimientos que regulen el manejo de medios removibles? (si/no) • ¿Existen procedimientos que regulen el desecho seguro de medios? (si/no) • ¿Existen procedimientos que regulen la manipulación y el almacenamiento de

información impresa? (si/no) • ¿Existen procedimientos que regulen la manipulación y el almacenamiento de la

documentación del sistema? (si/no) • ¿Existen procedimientos que regulen el intercambio de información y software con

otras organizaciones? (si/no) • ¿ Existen procedimientos que regulen el transporte físico seguro de información?

(si/no) • ¿Existen procedimientos que regulen las actividades de comercio electrónico y

garanticen de manera adecuada su seguridad? (si/no) • ¿Existen políticas y procedimientos que regulen el intercambio de información a

través del correo electrónico? (si/no)

MISC-03-1-1

71

• ¿Existen procedimientos que regulen el intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridad? (si/no)

• ¿Existen mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organización? (si/no)

• ¿Existen procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.)? (si/no)

3.3.3.7 Control de acceso Consiste en controlar el acceso a la información y a la infraestructura del sistema de información. Indicadores

• ¿Están definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso? (si/no)

• ¿Están especificadas las reglas de control de acceso? (si/no) • ¿Existen procedimientos formales de registro y eliminación de usuarios? (si/no) • ¿Son adecuadamente controlados y restringidos la alocación y el uso de privilegios

en el sistema? (si/no) • ¿Existen políticas adecuadas para la administración y protección de contraseñas

(passwords)? (si/no/no aplica) • ¿Existe un programa de revisión continuada de los derechos de acceso de los

usuarios? (si/no) • ¿Existen políticas adecuadas para la selección y el uso de contraseñas (passwords)?

(si/no/no aplica) • ¿Existen mecanismos para la protección de equipos desatendidos? (si/no) • ¿Existen mecanismos para limitar el acceso a servicios de red solamente a usuarios

autorizados? (si/no) • ¿Existen requerimientos de ubicación lógica para acceder zonas lógicas seguras

(que solo se pueda acceder a ciertos servicios sensibles desde ciertas terminales)? (si/no)

• ¿Existen mecanismos que restrinjan las conexiones externas a través de la autenticación de usuario? (si/no)

• ¿Existen mecanismos que restrinjan las conexiones externas solo a nodos seguros? (si/no)

• ¿Existen mecanismos que restrinjan las conexiones externas a puertos de diagnóstico remoto? (si/no)

• ¿Existe segregación de usuarios en dominios y grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupo? (si/no)

• ¿Existen mecanismos de control para restringir la interconexión entre redes diferentes? (si/no/no aplica)

MISC-03-1-1

72

• ¿Existen mecanismos de control para restringir el enrutamiento entre redes diferentes? (si/no/no aplica)

• ¿Existen mecanismos de control que restrinjan el acceso al sistema operativo? (si/no)

• ¿Existen mecanismos de control que restrinjan las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistema? (si/no)

• ¿Existen mecanismos de control que restrinjan el acceso a través de procedimientos de conexión (log-on) seguros? (si/no)

• ¿Existen mecanismos de control que restrinjan el acceso mediante la identificación y autenticación de usuario? (si/no)

• ¿Existen mecanismos de administración de contraseñas (passwords)? (si/no) • ¿Existen mecanismos de control que restrinjan el acceso a las utilidades avanzadas

/de administración del sistema? (si/no) • ¿Existen mecanismos de detección de coerción para usuarios? (si/no) • ¿Existen mecanismos que automaticen la desconexión de terminales inactivas

después de un período de tiempo determinado? (si/no) • ¿ Existen mecanismos que limiten los tiempos de conexión? (si/no) • ¿ Existen mecanismos que restrinjan el acceso a la información? (si/no) • ¿ Existen mecanismos que aíslen los sistemas sensibles? (si/no) • ¿ Existen mecanismos que permitan el registro de eventos? (si/no) • ¿ Existen mecanismos que permitan el monitoreo del uso de instalaciones de

procesamiento de información? (si/no) • ¿ Existen mecanismos que permitan asegurar la sincronización del reloj de los

sistemas? (si/no) • ¿ Existen mecanismos que regulen el uso de elementos de computación móvil?

(si/no/no aplica) • ¿ Existen mecanismos que regulen el trabajo remoto? (si/no/no aplica)

3.3.3.8 Desarrollo y mantenimiento de sistemas Consiste en asegurar procesos adecuados de desarrollo de nuevas aplicaciones y de mantenimiento de la infraestructura computacional actual, tanto internas como por outsourcing. Indicadores

• ¿Existen procesos de análisis y especificación de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentes? (si/no)

• ¿Existen mecanismos que verifiquen la validez de los datos de entrada a aplicaciones? (si/no)

• ¿Existen mecanismos que verifiquen que la integridad de la información no se vea afectada por errores de procesamiento o por actos deliberados? (si/no)

• ¿Existen mecanismos que permitan la autenticación de mensajes? (si/no) • ¿ Existen mecanismos que verifiquen la validez de los datos de salida de las

aplicaciones? (si/no)

MISC-03-1-1

73

• ¿Existen políticas de uso de controles criptográficos para la protección de la información? (si/no)

• ¿Existen sistemas criptográficos que protejan la integridad y confidencialidad de la información? (si/no)

• ¿Existen sistemas de firmas digitales que garanticen la autenticidad e integridad a los mensajes digitales? (si/no)

• ¿Existen sistemas de no repudio que garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistema? (si/no)

• ¿Existen mecanismos para la correcta administración de las llaves criptográficas? (si/no)

• ¿Existen mecanismos para garantizar la realización de cambios segura y controlada a los archivos del sistema operativo? (si/no)

• ¿Existen mecanismos para la protección de datos de prueba del sistema? (si/no) • ¿Existen mecanismos que controlen el acceso al código fuente y a las librerías de

los programas? (si/no) • ¿Existen mecanismos para garantizar la actualización/modificación segura y

controlada de las aplicaciones? (si/no) • ¿Existen plataformas de pruebas que permitan probar y analizar el posible impacto

negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamiento? (si/no)

• ¿Existen mecanismos de control que restrinjan los cambios y modificaciones a las aplicaciones? (si/no)

• ¿Existen mecanismos que verifiquen la inexistencia de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar información? (si/no)

• ¿Existen mecanismos que verifiquen la inexistencia de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistema? (si/no)

3.3.3.9 Administración de la continuidad del negocio

Consiste en asegurar que existan procesos adecuados que garanticen la continuidad del negocio, ante la eventual ocurrencia de un suceso que amenace el adecuado funcionamiento del sistema de información. Indicadores

• ¿Se han desarrollado procesos de administración de riesgos? (si/no)

o ¿Se han identificado las posibles fuentes (naturales, humanas y ambientales) de amenazas al sistema? (si/no)

o ¿Se ha realizado el análisis de amenazas al sistema? (si/no) o ¿Se ha determinado la probabilidad de que las amenazas se materialicen en

ataques exitosos? (si/no) o ¿Se ha realizado el análisis de impacto de los riesgos al sistema? (si/no)

MISC-03-1-1

74

o ¿Se ha determinado el nivel de riesgo del sistema? (si/no) o ¿Se han definido los mecanismos de mitigación de riesgos? (si/no) o ¿Se ha definido el nivel aceptable de riesgo residual? (si/no)

• ¿Se han escrito e implementado planes de continuidad del negocio (planes de contingencia)? (si/no)

• ¿Se ha desarrollado un marco de referencia de planeación para la continuidad del negocio? (si/no)

• ¿Se han realizado pruebas con los planes de continuidad del negocio para verificar que sean efectivos? (si/no)

• ¿Existen procesos de mantenimiento y rediseño de planes de continuidad del negocio? (si/no)

3.3.3.10 Cumplimiento del marco legal y de las políticas organizacionales Consiste en asegurar que existan procesos adecuados que garanticen que se cumplan (y siempre se sigan cumpliendo) el marco legal del país/región donde opera el sistema de información y las políticas organizacionales que lo rigen. Indicadores

• ¿Se han definido y documentado todos los requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información? (si/no)

• ¿Se han definido los controles y las responsabilidades individuales que garanticen que se cumplan los requerimientos legales? (si/no)

• ¿Existen procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual? (si/no)

• ¿Existen controles que aseguren el cumplimiento de los términos de las licencias de software? (si/no)

• ¿Existen mecanismos que garanticen el adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la ley? (si/no)

• ¿Existen controles que garanticen la adecuada protección y privacidad de la información de los clientes almacenada en el sistema de información? (si/no)

• ¿Existen controles que monitoreen el uso de instalaciones e infraestructura para garantizar que únicamente se les dé uso laboral? (si/no)

• ¿Existen controles para evitar la exportación ilegal (voluntaria o involuntaria) de tecnologías de encripción? (si/no)

• ¿Existen procedimientos que regulen la recolección, el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le ley? (si/no)

• ¿Existen mecanismos que permitan verificar que en cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionales? (si/no)

MISC-03-1-1

75

• ¿ Existen mecanismos que permitan verificar que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionales? (si/no)

3.3.3.11 Auditoria de seguridad informática Consiste en asegurar que existan procesos adecuados de auditoria que verifiquen continuamente el adecuado desempeño y funcionamiento del sistema de información. Indicadores

• ¿Existen procedimientos adecuados de auditoria para evaluar el desempeño del sistema de información? (si/no)

• ¿Existen controles que restrinjan el uso de herramientas de auditoría? (si/no) • ¿Existen mecanismos que permitan el almacenamiento seguro (que protejan la

integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizados? (si/no)

MISC-03-1-1

76

4. Análisis de datos

Una vez terminada la fase de recolección de datos a través del cuestionario, y ya teniéndose los indicadores de gestión construidos, se deben analizar los resultados teniendo en cuenta su valor, su rango y su interpretación. 4.1 Análisis de Valor, Rango e Interpretación El valor únicamente tiene sentido asociado a un rango y a una la interpretación dada. El rango determina el conjunto de posibles respuestas, y la interpretación asigna un significado a subconjuntos (o a elementos) de dichas respuestas. Así, un valor dado, si está dentro del rango de respuestas, tiene asociada una interpretación, y nos da información sobre lo que se midió. Para ilustrar dicho análisis, se puede tomar el caso de la calificación asignada a una materia cursada en la Universidad de Los Andes151:

• Rango: El rango de calificaciones posible es de 1,5 a 5,0 (aproximando siempre al múltiplo de 0,5 más cercano).

• Interpretación: Las interpretaciones para las respuestas dentro del rango son: CINCO (5,0) - EXCELENTE: El estudiante alcanzó con amplitud los objetivos propuestos. Su aprovechamiento y la calidad de su trabajo fueron excelentes. CUATRO CINCO (4,5) - MUY BUENO: El estudiante alcanzó con amplitud los objetivos del curso. Su aprovechamiento y la calidad de su trabajo fueron muy buenos. CUATRO (4,0) - BUENO: El estudiante cumplió bien los objetivos del curso. Su aprovechamiento y la calidad de su trabajo fueron buenos. TRES CINCO (3,5) - REGULAR: El estudiante cumplió con los objetivos del curso. Su aprovechamiento y la calidad de su trabajo fueron apenas satisfactorios, a pesar de deficiencias ocasionales. TRES (3,0) - ACEPTABLE: El estudiante apenas logró demostrar dominio de los aspectos fundamentales de la materia. Las deficiencias en su aprovechamiento y en la calidad de su trabajo no hacen necesario, sin embargo, que repita el curso. DOS CINCO (2,5) - DEFICIENTE: El estudiante no logró los objetivos que le fijaba el curso, aunque demostró cierto nivel académico y alguna calidad en su trabajo. DOS (2,0) - MALO: El estudiante no alcanzó los objetivos que le fijaba el curso. UNO CINCO (1,5) - MÍNIMA: Calificación final mínima.

Teniendo en cuenta el rango y la interpretación, podemos entender el significado que tiene un valor dado que representa una calificación. 151 Reglamento de pregrado, Universidad de Los Andes. Capítulo VII: Régimen académico, Artículo 38.

MISC-03-1-1

77

4.2 Generación de Recomendaciones Una vez se ha analizado el significado del valor de un indicador, se debe hacer evidente para el equipo de trabajo si es necesario o no mejorar el proceso que mide el indicador. Una mejora en el proceso deberá redundar en un nivel mejorado de seguridad informática, y esto se deberá ver reflejado en futuras mediciones del mismo proceso y del nivel de seguridad general del sistema de información. Si el equipo de trabajo después de realizar el análisis del indicador, considera pertinente mejorar el proceso que éste mide, se deberán tener en cuenta las recomendaciones dadas en el indicador de gestión. Las recomendaciones tienen por objetivo dar una idea muy general de lo que se debe hacer para mejorar el proceso medido por el indicador de gestión. Es necesario resaltar que dichas recomendaciones son muy amplias, abstractas y muy generales, que no definen tareas ni requerimientos específicos y que solo deben servir de base para la construcción de un “pliego de requerimientos” que defina las necesidades que se deben satisfacer para obtener el nivel de seguridad informática deseado. 4.3 Incorporación de los procesos de medición al ciclo de vida del sistema de información Una vez se inicia el proceso de optimización de la seguridad informática, se deben establecer índices de gestión que permitan medir, a través del tiempo, los avances respecto al estado inicial, y la cercanía con el estado ideal definido por los estándares-meta definidos por el equipo de trabajo. El proceso de recolección de datos (indicadores de gestión) y su posterior análisis deben ser repetidos a lo largo del tiempo, de manera periódica y cíclica, para garantizar que el nivel de seguridad del sistema de información se mantenga constante a lo largo del tiempo, y que no se deteriore debido a la aparición de nuevos riesgos o nuevas tecnologías. Por supuesto, estas tareas hacen parte de un proceso de gerencia estratégica de seguridad informática que escapa a los alcances de un simple proceso de diagnóstico, y únicamente son esbozadas en este documento por completitud.

MISC-03-1-1

78

5. Conclusiones El Sistema de Diagnóstico Integral de la Seguridad Informática desarrolla herramientas que permiten el diagnóstico de la seguridad informática de un sistema de información, desde una perspectiva multidimensional única, teniendo en cuenta diversas disciplinas y corrientes del conocimiento, siendo así adecuada para llevar a cabo una evaluación completa de los componentes de seguridad de un sistema de información. La perspectiva sistémica (a través del SIS) permite evaluar si el sistema de información (del cual es parte el sistema de seguridad informática) tiene todos los componentes que un sistema sostenible exitoso debe tener, si estos componentes se encuentran adecuadamente estructurados, y si interactúan adecuadamente entre si. El adecuado desempeño del sistema de seguridad informática está intrínsecamente ligado al desempeño de los otros componentes del sistema de información, y por lo tanto, hacer un diagnóstico del componente sistémico del sistema de información permite garantizar unas bases sólidas desde las cuales el sistema de seguridad informática pueda realizar su labor de manera adecuada. Es interesante resaltar que si el sistema de información es sistémicamente adecuado, esto no es garantía de un funcionamiento adecuado del sistema, o de que el sistema (y sus componentes) sean o vayan a ser sostenibles. Sin embargo, si el sistema de información no es sistémicamente adecuado, si se puede aseverar más allá de toda duda que el funcionamiento del sistema no es óptimo, y que su desempeño no es adecuado, y está en entredicho su sostenibilidad, que es su razón de existir. La perspectiva organizacional permite evaluar si el sistema es adecuado desde una perspectiva organizacional: Debido a que el sistema de seguridad informática hace parte de una organización con objetivos, visión y estrategia, debe trabajar de manera coordinada, para lograr las metas organizacionales. La perspectiva organizacional permite evaluar si el sistema de seguridad informática está alineado con los objetivos organizacionales, adoptando las medidas locales que promueven la consecución de las medidas globales de la organización. Si el sistema de información no está alineado con las políticas, las estrategias y las metas organizacionales, el sistema puede ser sistémicamente adecuado y presentar un funcionamiento operacional adecuado, pero también se puede aseverar más allá de toda duda que lo que está haciendo el sistema no es lo que la organización necesita, por lo que el desempeño del sistema no va a ser el que espera la organización que lo contiene, a la cual está destinado a servir. La perspectiva operativa permite evaluar si se están observando las mejores prácticas y metodologías de seguridad informática, si el trabajo en seguridad se está haciendo correctamente, y si se está haciendo todo lo que se debería hacer para garantizar que se está prestando el mejor servicio posible a la organización, ofreciendo el nivel de seguridad informática que necesita la organización para su adecuado funcionamiento.

MISC-03-1-1

79

La evaluación del sistema de seguridad informática desde estas tres perspectivas es mucho más completa, más cuidadosa y más concienzuda que las metodologías tradicionales de evaluación, que se centran siempre en el componente operativo. La base provista por la teoría de modelos sistémicos y de seguridad informática dada por el Modelo de Sistema Viable (VSM152), de Stafford Beer, así como por el Balanced Score Card (BSC) de Robert Kaplan y David Norton, el Modelo SIMEG de Humberto Serna Gómez, y los estándares ISO / IEC 17799, el ISO / IEC 15408, El ISO / IEC TR 13335 y el NIST SP 800-30 demuestran ser suficientes para llevar a cabo el diagnóstico de los componentes de un sistema de seguridad informática con una profundidad y una perspectiva organizacional y sistémica nueva, habiéndose generando de esta manera una herramienta efectiva para el apoyo de procesos de optimización organizacional en el área de seguridad de tecnologías de información. 152 VSM, Viable System Model, por sus siglas en inglés.

MISC-03-1-1

80

6. Anexos: Formatos de Indicadores de Gestión y Recomendaciones El sistema de Diagnóstico Integral de la Seguridad Informática se basa en el patrón de indicadores de gestión anteriormente propuesto153, pero con algunas modificaciones. Cada indicador tiene los siguientes campos:

• Identificador: Identificador del indicador de gestión (puede ser un código alfanumérico o cualquier otro tipo de código que permita su identificación sin ambigüedades)

• Nombre: Nombre del indicador • Denominación: Promedio, tasa, cantidad, proporción, porcentaje, etc. • Valor: Valor del indicador según la medición realizada. • Fecha/Período: Fecha o Período a la que hace referencia el indicador. Puede ser tan

exacta (un día específico) o tan amplia (un mes, un semestre o un año) como sea necesario.

• Metodología de medición: Qué instrumento/Metodología se utilizó para realizar la medición, cual es su exactitud y su rango de error (si aplica), y se aplicó o no corrección de la medición, en qué momento se realizó (si aplica).

• Descripción: Propósito del índice, qué es lo que se va a medir, porqué es útil, que evalúa, desde qué perspectiva, si es cuantitativo o cualitativo.

• Expresión: Procedimiento matemático o algoritmo con el que se calcula. • Rango de resultados: El rango de resultados posibles que se pueden obtener.

Pueden ser rangos abiertos, o cerrados. • Interpretación: Interpretación que se le debe dar a los diferentes rangos de

resultados que se obtengan con el indicador. • Recomendaciones: Recomendaciones que si se llevan a cabo, permitirán mejorar el

valor del indicador en futuras mediciones. Para cada uno de los indicadores de gestión, el equipo de trabajo debe asignar su fecha y calcular su valor como parte del proceso de recolección de datos. El valor puede ser calculado de 2 formas:

• Si el indicador tiene una expresión, la expresión debe ser resuelta, y el valor será dado por el resultado de calcular la expresión

• Si el indicador NO tiene una expresión (en el campo de expresión aparece “N/A”

(No aplica) el valor deberá ser dado de común acuerdo, siguiendo la metodología

MISC-03-1-1

81

6.1 Formato de Indicadores de Gestión Sistémicos

Indicador de Gestión Identificador SIS.001 Nombre Sostenibilidad del Sistema de Información Denominación SI / NO

(1 / 0) Valor

Fecha/Período Metodología de medición

La medición se obtiene de las percepciones del grupo de trabajo, y de su conocimiento y análisis de la organización y de su sistema de información.

Descripción Este indicador permite definir si el sistema de información es sostenible. Para que el sistema de información sea sostenible, cada uno de sus componentes (S1, S2, S3*, S3, S4, S5) debe cumplir con los requisitos de sostenibilidad definidos en el SIS (Sistema de Información Sostenible). Adicionalmente, la administración de la variedad en el sistema de información, los canales y transductores del sistema de información deben cumplir con los preceptos del SIS. Expresión Rango de Resultados SIS.002 * SIS.003 * SIS.004 * SIS.005 * SIS.006 * SIS.007 * SIS.008 * SIS.009

1, que equivale a una respuesta de SI. 0, que equivale a una respuesta de NO.

Interpretación Recomendaciones SI: El sistema de información es sostenible, y cumple con todos los preceptos de SIS NO: El sistema de información NO es sostenible.

Se debe reestructurar el sistema de información para que cumpla con los postulados de un SIS (Sistema de Información Sostenible)

Indicador de Gestión Identificador SIS.002 Nombre Componente S1 – Sistema de Cómputo Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si el sistema de información satisface de manera adecuada los requerimientos de procesamiento de la organización. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Cómputo satisface de manera adecuada los requerimientos de procesamiento de la organización NO: El Sistema de Cómputo NO satisface de manera adecuada los requerimientos de procesamiento de la organización

Se debe reestructurar el componente S1 – Sistema de cómputo del sistema de información para que satisfaga de manera adecuada los requerimientos de procesamiento de la organización.

MISC-03-1-1

82

Indicador de Gestión Identificador SIS.003 Nombre Componente S2 – Sistema de Seguridad Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe un subsistema de Seguridad Informática (S2) como parte del sistema de información, si cumple con los postulados del SIS y si satisface de manera adecuada los requerimientos de Seguridad Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Seguridad informática existe, cumple los postulados del SIS y satisface de manera adecuada los requerimientos de seguridad informática de la organización. NO: El Sistema de Seguridad informática NO existe, o NO cumple los postulados del SIS, o NO satisface de manera adecuada los requerimientos de seguridad informática de la organización.

Se debe reestructurar el sistema de información para que integre el componente S2 – Sistema de Seguridad Informática de manera que satisfaga los postulados del SIS y que satisfaga de manera adecuada los requerimientos de Seguridad Informática de la organización.

Indicador de Gestión Identificador SIS.004 Nombre Componente S3* – Sistema de Auditoria Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe un subsistema de Auditoria Informática (S3*) como parte del sistema de información, si cumple con los postulados del SIS y si satisface de manera adecuada los requerimientos de Auditoria Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Auditoria Informática existe, cumple los postulados del SIS y satisface de manera adecuada los requerimientos de seguridad informática de la organización. NO: El Sistema de Auditoria Informática NO existe, o NO cumple los postulados del SIS, o NO satisface de manera adecuada los requerimientos de seguridad informática de la organización.

Se debe reestructurar el sistema de información para que integre el componente S3* – Sistema de Auditoria Informática de manera que satisfaga los postulados del SIS y que satisfaga de manera adecuada los requerimientos de Auditoría Informática de la organización.

MISC-03-1-1

83

Indicador de Gestión Identificador SIS.005 Nombre Componente S3 – Sistema de Gerencia Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe un subsistema de Gerencia Informática (S3) como parte del sistema de información, si cumple con los postulados del SIS y si satisface de manera adecuada los requerimientos de Auditoria Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Gerencia Informática existe, cumple los postulados del SIS y satisface de manera adecuada los requerimientos de seguridad informática de la organización. NO: El Sistema de Gerencia Informática NO existe, o NO cumple los postulados del SIS, o NO satisface de manera adecuada los requerimientos de seguridad informática de la organización.

Se debe reestructurar el sistema de información para que integre el componente S3 – Sistema de Gerencia Informática de manera que satisfaga los postulados del SIS y que satisfaga de manera adecuada los requerimientos de Gerencia Informática de la organización.

Indicador de Gestión Identificador SIS.006 Nombre Componente S4 – Sistema de Planeación Estratégica

Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe un subsistema de Planeación Estratégica Informática (S4) como parte del sistema de información, si cumple con los postulados del SIS y si satisface de manera adecuada los requerimientos de Planeación Estratégica Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Planeación Estratégica Informática existe, cumple los postulados del SIS y satisface de manera adecuada los requerimientos de seguridad informática de la organización. NO: El Sistema de Planeación Estratégica Informática NO existe, o NO cumple los postulados del SIS, o NO satisface de manera adecuada los requerimientos de seguridad informática de la organización.

Se debe reestructurar el sistema de información para que integre el componente S4 – Sistema de Planeación Estratégica Informática de manera que satisfaga los postulados del SIS y que satisfaga de manera adecuada los requerimientos de Planeación Estratégica Informática de la organización.

MISC-03-1-1

84

Indicador de Gestión Identificador SIS.007 Nombre Componente S5 – Sistema de Inteligencia Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe un subsistema de Inteligencia Informática (S5) como parte del sistema de información, si cumple con los postulados del SIS y si satisface de manera adecuada los requerimientos de Inteligencia Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El Sistema de Inteligencia Informática existe, cumple los postulados del SIS y satisface de manera adecuada los requerimientos de seguridad informática de la organización. NO: El Sistema de Inteligencia Informática NO existe, o NO cumple los postulados del SIS, o NO satisface de manera adecuada los requerimientos de seguridad informática de la organización.

Se debe reestructurar el sistema de información para que integre el componente S5 – Sistema de Planeación Estratégica Informática de manera que satisfaga los postulados del SIS y que satisfaga de manera adecuada los requerimientos de Inteligencia Informática de la organización.

Indicador de Gestión Identificador SIS.008 Nombre Administración de la variedad del Sistema de Información Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe una adecuada administración de la variedad en el sistema de información, acorde con los postulados del SIS. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: La administración de la variedad en el sistema de información es adecuada, y es acorde con los postulados del SIS. NO: La administración de la variedad en el sistema de información NO es adecuada, o NO es acorde con los postulados del SIS.

Se debe reestructurar la administración de la variedad en el sistema de información para que sea adecuada, y sea acorde con los postulados del SIS.

MISC-03-1-1

85

Indicador de Gestión Identificador SIS.009 Nombre Canales de comunicación y Transductores del Sistema de

Información Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existen Canales de comunicación y Transductores adecuados para el sistema de información, y acordes con los postulados del SIS. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: Los Canales de comunicación y los Transductores del sistema de información son adecuados, y son acordes con los postulados del SIS. NO: Los Canales de comunicación o los Transductores del sistema de información NO son adecuados, o NO son acordes con los postulados del SIS.

Se deben reestructurar los Canales de comunicación y los Transductores del sistema de información para que sean adecuados, y sean acordes con los postulados del SIS.

MISC-03-1-1

86

6.2 Formato de Indicadores de Gestión Organizacionales

Indicador de Gestión Identificador ORG.001 Nombre Incidentes de seguridad por unidad de tiempo Denominación Promedio Valor Fecha/Período Metodología

de medición La medición se obtiene de las percepciones del grupo de trabajo, y de su conocimiento y análisis de la organización y de su sistema de información.

Descripción Este indicador permite cuantificar el número promedio de incidentes de seguridad por unidad de tiempo que se han presentado en el sistema de información, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período y una unidad de tiempo. El valor se calcula contabilizando el número de Incidentes que se han presentado en el período, dividido por el número de unidades de tiempo contenidas en el período. Por ejemplo, Si el período es un semestre específico, y la unidad de tiempo es un mes, se deben contabilizar el número de incidentes que ocurrieron en ese semestre, y dividirla por 6 (un semestre contiene 6 meses) y así se obtiene un promedio del número de incidentes por mes que ocurrieron en el semestre. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.

Reales positivos (R+) incluyendo el cero (0).

Interpretación Recomendaciones Un valor de cero (0) puede indicar que el Sistema de Información no ha sufrido incidentes en el período estudiado (es muy seguro), o que los incidentes no se han detectado. Un valor pequeño indica que se han presentado pocos incidentes en el período (es bastante seguro), o que la mayoría de incidentes no se han detectado. Un valor grande indica que se han presentado muchos incidentes (el sistema es inseguro), y que al menos un porcentaje significativo se han detectado. Este indicador debe ser interpretado en conjunto con los indicadores operativos, para determinar si el valor presentado se debe a unas deficientes capacidades de detección de ataques, o si se debe a que el sistema de información tiene un elevado nivel de seguridad informática. En cualquier caso, este valor refleja el nivel de vulnerabilidad de la organización frente a riesgos de seguridad informática.

El sistema presenta niveles elevados de riesgo que deben ser administrados correctamente, y en la medida de lo posible, con recursos e infraestructura propia, que permitan reducir los incidentes de seguridad por unidad de tiempo.

MISC-03-1-1

87

Indicador de Gestión Identificador ORG.002 Nombre Horas sin sistema por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el número promedio de horas sin sistema por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. El valor se calcula contabilizando el número de horas sin sistema a lo largo del período, y dividiéndola por el número de Incidentes que se han presentado en el mismo período. Por ejemplo, Si el período es un semestre específico, y en ese semestre el sistema no funcionó durante h horas, y ocurrieron i incidentes, el promedio del número de horas sin sistema por incidente a lo largo del semestre esta dado por h / i. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.


Interpretación Recomendaciones Un promedio elevado de horas sin sistema por incidente indica un elevado tiempo de respuesta para restituir el sistema a su estado funcional. En cualquier caso, este valor refleja el nivel de vulnerabilidad de la organización frente a riesgos de seguridad informática.

El sistema presenta niveles elevados de riesgo que deben ser administrados correctamente, y en la medida de lo posible, con recursos e infraestructura propia, que permitan reducir las horas sin sistema debido a incidentes.

MISC-03-1-1

88

Indicador de Gestión Identificador ORG.003 Nombre Horas hombre de trabajo perdidas por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el número promedio de horas hombre de trabajo perdidas por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. El valor se calcula contabilizando el número de horas hombre de trabajo perdidas a lo largo del período, y dividiéndola por el número de Incidentes que se han presentado en el mismo período. Por ejemplo, Si el período es un semestre específico, y en ese semestre se perdieron h horas hombre, y ocurrieron i incidentes, el promedio del número de horas sin sistema por incidente a lo largo del semestre esta dado por h / i. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.


Interpretación Recomendaciones El promedio de horas hombre perdidas por incidente permite determinar qué tanto impacto tienen los incidentes de seguridad informática en el trabajo de los funcionaros de la organización. Un promedio bajo puede reflejar una excelente capacidad de atención de incidentes, o también una organización poco dependiente de la tecnología en la que un incidente de seguridad no tiene mayor impacto. Un promedio alto refleja una organización altamente vulnerable a incidentes de seguridad informática por su elevada dependencia tecnológica y/o una deficiente capacidad de atención de incidentes. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización debido a la inoperabilidad del sistema de información debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como menores costos asociados a perder menos horas hombre de trabajo debido a incidentes.

MISC-03-1-1

89

Indicador de Gestión Identificador ORG.004 Nombre Horas hombre (internas) invertidas en reestablecer el

sistema por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el número promedio de horas hombre (internas) de trabajo invertidas en reestablecer el sistema por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. El valor se calcula contabilizando el número de horas hombre (internas) de trabajo invertidas en reestablecer el sistema a su estado funcional a lo largo del período, y dividiéndola por el número de Incidentes que se han presentado en el mismo período. Por ejemplo, Si el período es un semestre específico, y en ese semestre se invirtieron h horas hombre (internas) en reestablecer el sistema a su estado funcional, y ocurrieron i incidentes, el promedio del número de horas invertidas en reestablecer el sistema por incidente a lo largo del semestre esta dado por h / i. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.


Interpretación Recomendaciones El promedio de horas hombre (internas) invertidas en reestablecer el sistema por incidente permite determinar parte de la inversión que ha tenido que hacer la organización a lo largo del período para reestablecer el sistema a su estado funcional después de incidentes de seguridad. Un promedio bajo puede reflejar una excelente capacidad de atención de incidentes. Un promedio alto refleja una organización con una deficiente capacidad de atención de incidentes. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización para restituir el sistema a un estado funcional debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como menores costos asociados a dedicar menos horas hombre (internas) de trabajo para reestablecer el sistema debido a incidentes.

MISC-03-1-1

90

Indicador de Gestión Identificador ORG.005 Nombre Horas hombre (externas) invertidas en reestablecer el

sistema por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el número promedio de horas hombre (externas) de trabajo contratadas a terceros para reestablecer el sistema por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. El valor se calcula contabilizando el número de horas hombre (externas) de trabajo contratadas a terceros para reestablecer el sistema a su estado funcional a lo largo del período, y dividiéndola por el número de Incidentes que se han presentado en el mismo período. Por ejemplo, Si el período es un semestre específico, y en ese semestre se contrataron h horas hombre (externas) en reestablecer el sistema a su estado funcional, y ocurrieron i incidentes, el promedio del número de horas invertidas en reestablecer el sistema por incidente a lo largo del semestre esta dado por h / i. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.


Interpretación Recomendaciones El promedio de horas hombre (externas) contratadas en reestablecer el sistema por incidente permite determinar parte de la inversión que ha tenido que hacer la organización a lo largo del período para reestablecer el sistema a su estado funcional después de incidentes de seguridad. Un promedio bajo puede reflejar un elevado nivel de autosuficiencia para resolver incidentes. Un promedio alto refleja una organización con una reducida capacidad interna de resolver incidentes. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización para restituir el sistema a un estado funcional debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como menores costos asociados a contratar menos horas hombre (externas) de trabajo para reestablecer el sistema debido a incidentes.

MISC-03-1-1

91

Indicador de Gestión Identificador ORG.006 Nombre Costo de reestablecer el sistema por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el costo promedio para reestablecer el sistema por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Los valores de otros indicadores utilizados deben ser modificados para que representen valores obtenidos en este mismo período (se deben utilizar unidades de tiempo y períodos homogéneos). ORG.004 + ORG.005 + X X representa costos adicionales promedio (estimados) por incidente. (Costos de hardware, logísticos, etc.).


Interpretación Recomendaciones Representa el costo promedio invertido por la organización para reestablecer el sistema de información a su estado funcional, por incidente, a lo largo del período. Este indicador, junto con ORG.001 permite determinar cuanto fue el costo total invertido en el período para reestablecer el sistema de información cada vez que ocurrió un incidente se seguridad. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización para restituir el sistema a un estado funcional debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como reducción de costos por reestablecimiento del sistema debido a incidentes.

MISC-03-1-1

92

Indicador de Gestión Identificador ORG.007 Nombre Costo estimado en imagen organizacional por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el costo estimado en imagen organizacional por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. El valor se calcula contabilizando el costo en imagen organizacional debido a incidentes de seguridad informática a lo largo del período, y dividiéndola por el número de Incidentes que se han presentado en el mismo período. Por ejemplo, Si el período es un semestre específico, y en ese semestre el costo en imagen organizacional debido a incidentes de seguridad informática fue de c, y ocurrieron i incidentes, el promedio del costo en imagen organizacional debido a incidentes de seguridad informática por incidente a lo largo del semestre esta dado por c / i. Para efectos de este indicador de gestión se debe considerar un incidente todo ataque exitoso contra el sistema de información.


Interpretación Recomendaciones Representa el costo promedio en imagen organizacional por incidente, a lo largo del período. Este indicador, junto con ORG.001 permite determinar cuanto fue el costo total en imagen organizacional sufrido en el período debido a los incidentes de seguridad que se presentaron. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización para restituir el sistema a un estado funcional debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como reducción de costos por pérdida de imagen organizacional.

MISC-03-1-1

93

Indicador de Gestión Identificador ORG.008 Nombre Costo por incidente Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el costo promedio para reestablecer el sistema por incidente, a lo largo del período estudiado. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Los valores de otros indicadores utilizados deben ser modificados para que representen valores obtenidos en este mismo período (se deben utilizar unidades de tiempo y períodos homogéneos). ORG.003 + ORG.006 + ORG.007


Interpretación Recomendaciones El valor representa los costos promedio invertidos por la organización por incidente, a lo largo del período. Este indicador, multiplicado por ORG.001 permite determinar cuanto fue el costo total invertido en el período debido a los incidentes de seguridad que se presentaron. En cualquier caso, este valor refleja pérdidas financieras (grandes o pequeñas) que asume la organización para restituir el sistema a un estado funcional debido a incidentes de seguridad.

Para reducir los costos de operación del sistema de información, es necesario invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que a la larga se verá reflejado en el balance financiero de la organización, como costos reducidos por incidente.

MISC-03-1-1

94

Indicador de Gestión Identificador ORG.009 Nombre Horas hombre dedicadas a atención de incidentes respecto

al total de horas hombre trabajadas en TI Denominación Porcentaje Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el porcentaje de horas dedicadas a la atención de incidentes, del total de horas trabajadas en el área de Tecnologías de Información de la organización. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Los valores de otros indicadores utilizados deben ser modificados para que representen valores obtenidos en este mismo período (se deben utilizar unidades de tiempo y períodos homogéneos). En dicho período: t : Total de horas hombre trabajadas en el área de TI. El valor se calcula con la siguiente fórmula: (ORG.001 * ORG.004 ) / t

0 a 100

Interpretación Recomendaciones El valor representa el porcentaje de horas hombre dedicadas a atender incidentes, respecto al total de horas hombre trabajadas en TI.. Un valor elevado refleja que los RR.HH. de TI están dedicando la mayor parte de su tiempo a la atención de incidentes (tareas reactivas), tiempo que no pueden dedicar a mantenimiento preventivo, a desarrollo de nuevos proyectos, y a otras tareas de importancia para la organización. Un valor bajo refleja que los RR.HH. de TI ocupan sólo una pequeña parte de su trabajo en atención de incidentes. En cualquier caso, este valor refleja realocación indebida de recursos (en mayor o menor cantidad) que no pueden ser destinados a otras tareas por estar dedicados a la atención de incidentes, generando pérdidas de productividad.

Para optimizar la utilización de recursos, se debe invertir en infraestructura que apoye la gestión del sistema de seguridad informática, lo que se verá reflejado en un menor número de incidentes, y en una reducción del tiempo promedio de atención de incidentes. Esto a la larga se verá reflejado en un menor porcentaje de horas de trabajo dedicadas a la atención de incidentes, y en reducción de costos, ya sea porque se puede prescindir de personal que antes se necesitaba para la atención de incidentes, o por que este personal se puede realocar en tareas más productivas .

MISC-03-1-1

95

Indicador de Gestión Identificador ORG.010 Nombre Horas hombre dedicadas a atención de incidentes respecto

al total de horas hombre trabajadas en TI Denominación Porcentaje Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el porcentaje de horas dedicadas a la atención de incidentes, del total de horas trabajadas en el área de Tecnologías de Información de la organización. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Los valores de otros indicadores utilizados deben ser modificados para que representen valores obtenidos en este mismo período (se deben utilizar unidades de tiempo y períodos homogéneos). En dicho período: t : Total de horas hombre trabajadas en el área de TI. El valor se calcula con la siguiente fórmula: (ORG.001 * ORG.004 ) / t

0 a 100

Interpretación Recomendaciones El valor representa el porcentaje de horas hombre dedicadas a atender incidentes, respecto al total de horas hombre trabajadas en TI.. Un valor elevado refleja que los RR.HH. de TI están dedicando la mayor parte de su tiempo a la atención de incidentes (tareas reactivas), tiempo que no pueden dedicar a mantenimiento preventivo, a desarrollo de nuevos proyectos, y a otras tareas de importancia para la organización. Un valor bajo refleja que los RR.HH. de TI ocupan sólo una pequeña parte de su trabajo en atención de incidentes. En cualquier caso, este valor refleja realocación indebida de recursos (en mayor o menor cantidad) que no pueden ser destinados a otras tareas por estar dedicados a la atención de incidentes, generando pérdidas de productividad.


MISC-03-1-1

96

Indicador de Gestión Identificador ORG.011 Nombre Número de personas dedicadas a la atención de incidentes

respecto al total de la fuerza de trabajo de TI. Denominación Porcentaje Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el porcentaje de personas dedicadas a la atención de incidentes, del total de trabajadores del área de Tecnologías de Información de la organización. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. En dicho período: T: Número de personas que trabajan en el área de TI ti : Número de personas dedicadas de tiempo completo a la atención de incidentes El valor se calcula con la siguiente fórmula: ( ti * 100 ) / T

0 a 100

Interpretación Recomendaciones El valor representa el porcentaje de personas dedicadas a atender incidentes, respecto al total de personas que trabajan en TI. Un valor bajo, acompañado de un valor bajo de ORG.001 y de un buen nivel de seguridad informática refleja una organización en la que la atención de incidentes es una tarea altamente especializada, y realizada esporádicamente. Un valor elevado, acompañado de un valor elevado de ORG.001 refleja que un porcentaje significativo de los RR.HH. de TI están dedicados a la atención de incidentes (tareas reactivas), tiempo que no pueden dedicar a mantenimiento preventivo, a desarrollo de nuevos proyectos, y a otras tareas de importancia para la organización. Un valor bajo, acompañado de un valor elevado de ORG.001 usualmente se ve en organizaciones poco dependientes de la tecnología, para las cuales el impacto de los incidentes de seguridad informática es mínimo. Un valor elevado, acompañado de un valor bajo de ORG.001 usualmente se ve en compañias que no han optimizado la alocación de sus RR.HH. o que debido a su naturaleza, requieren de niveles elevados de seguridad informática, en las cuales la paranoia hace parte de la cultura organizacional del área de TI y sustentan la elevada alocación de recursos a mantener el nivel de seguridad. En cualquier caso, este valor refleja realocación indebida de recursos (en mayor o menor cantidad) que no pueden ser destinados a otras tareas por estar dedicados a la atención de incidentes, generando pérdidas de productividad.


MISC-03-1-1

97

Indicador de Gestión Identificador ORG.012 Nombre Percepción de la Confiabilidad del sistema por parte de

los usuarios Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar la percepción promedio que tienen los usuarios sobre la Confiabilidad del Sistema de Información Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los usuarios califiquen la confiabilidad del sistema (inestabilidad, ocurrencia de fallos, pérdidas de información, etc) únicamente en el período especificado. Dicha encuesta debe retornar valores entre 1 y 5 donde: 5: Muy confiable 4: Bastante confiable 3: Medianamente confiable 2: Poco confiable 1: Nada confiable Se deben tomar las encuestas y obtener una calificación promedio, que corresponde al valor de este indicador. Puede o no ser útil discriminar las encuestas para diferentes sistemas de información, diferentes aplicaciones, diferentes tipos de usuarios, o diferentes áreas de la organización. En caso de discriminarse, se deberá crear un indicador para cada una de los grupos definidos. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición, y entrevistar a los usuarios que generaron los puntos más alejados de la distribución para analizar porqué perciben al sistema de ésta manera.

1 a 5

Interpretación Recomendaciones Según el valor obtenido, el sistema evaluado es percibido por los usuarios como: 4.5 - 5: Muy confiable 3.5 - 4.49: Bastante confiable 2.5 - 3.49: Medianamente confiable 1.5 - 2.49: Poco confiable 0 -1.49: Nada confiable Es importante resaltar que la percepción de los usuarios no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la percepción de los usuarios (en mayor o menor cantidad) y ésta percepción afecta la productividad y el ambiente laboral.

Se deben realizar mejoras que aumenten el nivel de confiabilidad del sistema. Esto se verá reflejado en una reducción de costos y en una mayor productividad, y mejorará el ambiente laboral de los empleados. Es importante que los usuarios hagan parte de las etapas de análisis de requerimientos, implantación y de pruebas de los procesos de mejora de la Confiabilidad del sistema, y que se realicen jornadas de divulgación sobre las mejoras realizadas.

MISC-03-1-1

98

Indicador de Gestión Identificador ORG.013 Nombre Percepción de la Seguridad del sistema por parte de los

usuarios Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar la percepción promedio que tienen los usuarios sobre la Seguridad del Sistema de Información. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los usuarios califiquen la confiabilidad del sistema (incidentes, pérdida de integridad o confidencialidad de la información, accesos no autorizados, etc) únicamente en el período especificado. Dicha encuesta debe retornar valores entre 1 y 5 donde: 5: Muy seguro 4: Bastante seguro 3: Medianamente seguro 2: Poco seguro 1: Nada seguro Se deben tomar las encuestas y obtener una calificación promedio, que corresponde al valor de este indicador. Puede o no ser útil discriminar las encuestas para diferentes sistemas de información, diferentes aplicaciones, diferentes tipos de usuarios, o diferentes áreas de la organización. En caso de discriminarse, se deberá crear un indicador para cada una de los grupos definidos. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición, y entrevistar a los usuarios que generaron los puntos más alejados de la distribución para analizar porqué perciben al sistema de ésta manera.

1 a 5

Interpretación Recomendaciones Según el valor obtenido, el sistema evaluado es percibido por los usuarios como: 4.5 - 5: Muy Seguro 3.5 - 4.49: Bastante seguro 2.5 - 3.49: Medianamente seguro 1.5 - 2.49: Poco seguro 0 -1.49: Nada seguro Es importante resaltar que la percepción de los usuarios no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la percepción de los usuarios (en mayor o menor cantidad) y ésta percepción afecta la productividad y el ambiente laboral.

Se deben realizar mejoras que aumenten el nivel de seguridad del sistema. Esto se verá reflejado en una reducción de costos y en una mayor productividad, y mejorará el ambiente laboral de los empleados. Es importante que los usuarios hagan parte de las etapas de análisis de requerimientos, implantación y de pruebas de los procesos de mejora de la Seguridad del sistema, y que se realicen jornadas de divulgación sobre las mejoras realizadas.

MISC-03-1-1

99

Indicador de Gestión Identificador ORG.014 Nombre Percepción de la Calidad del Servicio del sistema por

parte de los usuarios Denominación Promedio Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar la percepción promedio que tienen los usuarios sobre la Calidad del Servicio del Sistema de Información. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los usuarios califiquen la Calidad del Servicio del sistema (tiempos de respuesta, disponibilidad de recursos, atención a usuarios, etc.) únicamente en el período especificado. Dicha encuesta debe retornar valores entre 1 y 5 donde: 5: Excelente 4: Buena 3: Regular 2: Deficiente 1: Mala Se deben tomar las encuestas y obtener una calificación promedio, que corresponde al valor de este indicador. Puede o no ser útil discriminar las encuestas para diferentes sistemas de información, diferentes aplicaciones, diferentes tipos de usuarios, o diferentes áreas de la organización. En caso de discriminarse, se deberá crear un indicador para cada una de los grupos definidos. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición, y entrevistar a los usuarios que generaron los puntos más alejados de la distribución para analizar porqué perciben al sistema de ésta manera.

1 a 5

Interpretación Recomendaciones Según el valor obtenido, el sistema evaluado es percibido por los usuarios como: 4.5 - 5: Excelente 3.5 - 4.49: Buena 2.5 - 3.49: Regular 1.5 - 2.49: Deficiente 0 -1.49: Mala Es importante resaltar que la percepción de los usuarios no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la percepción de los usuarios (en mayor o menor cantidad) y ésta percepción afecta la productividad y el ambiente laboral.

Se deben realizar mejoras que aumenten el nivel de Calidad del Servicio del sistema. Esto se verá reflejado en una reducción de costos y en una mayor productividad, y mejorará el ambiente laboral de los empleados. Es importante que los usuarios hagan parte de las etapas de análisis de requerimientos, implantación y de pruebas de los procesos de mejora de la Calidad del Servicio del sistema, y que se realicen jornadas de divulgación sobre las mejoras realizadas.

MISC-03-1-1

100

Indicador de Gestión

Identificador ORG.015 Nombre Número de empleados del área de Seguridad Informática que se sienten preparados respecto al total de la fuerza de trabajo del área de Seguridad Informática.

Denominación Porcentaje Valor Fecha/Período Metodología


Descripción Este indicador permite cuantificar el porcentaje de personas que se sienten adecuadamente preparadas para realizar sus labores, del total de trabajadores del área de Seguridad Informática. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los empleados del área de Seguridad Informática usuarios califiquen si se sintieron o no adecuadamente preparados y capacitados para realizar adecuadamente sus tareas únicamente en el período especificado. Si el empleado se sintió capacitado durante el período, su encuesta debe retornar un uno (1), si el usuario sintió que necesitaba niveles superiores de educación, o capacitación para realizar adecuadamente su trabajo su encuesta debe retornar cero (0). Es importante al realizar la encuesta, hacerla de manera anónima e informar a los empleados que el propósito de la encuesta es definir si es necesario o no realizar procesos de capacitación para los empleados, y que no se busca en ningún caso usar dicha información para reevaluar su situación laboral con la organización. Se debe entonces calcular los siguientes valores: s: suma de los valores de todas las encuestas realizadas t: total de personas que presentaron la encuesta El valor se calcula con la siguiente fórmula: (s * 100 ) / t Puede o no ser útil discriminar las encuestas para diferentes habilidades, cargos, funciones, tareas o áreas de conocimiento. En caso de discriminarse, se deberá crear un indicador para cada una de los grupos definidos. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición.

0 - 100

Interpretación Recomendaciones Un porcentaje alto significa que los trabajadores perciben que los RR.HH. del área de Seguridad Informática se encuentran adecuadamente capacitados para realizar su trabajo. Un porcentaje medio o bajo significa que los trabajadores perciben que los RR.HH. del área de Seguridad Informática NO se encuentran adecuadamente capacitados para realizar su trabajo. Es importante resaltar que la percepción de los trabajadores no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la capacidad de los RR.HH. del área de Seguridad Informática (en mayor o menor cantidad) y ésta capacidad afecta la productividad y el desempeño del área de Seguridad Informática.

Es necesario averiguar específicamente en qué áreas hace falta capacitación, y quienes la necesitan. Se deben realizar continuamente jornadas de capacitación de manera que se garantice que todos los empleados alcancen niveles de preparación adecuados para que puedan realizar sus tareas en la organización, y que estén siempre actualizados y al día respecto a las nuevas tecnologías, riesgos, vulnerabilidades de las plataformas trabajadas, ataques y demás cambios que se presenten en el área de la Seguridad Informática.

MISC-03-1-1

101


Identificador ORG.016 Nombre Número de empleados del área de Seguridad Informática que consideran que la infraestructura de seguridad existente es adecuada para llevar a cabo sus labores respecto al total de la fuerza de trabajo del área de Seguridad Informática.



Descripción Este indicador permite cuantificar el porcentaje de personas que consideran que la infraestructura de seguridad existente es adecuada para llevar a cabo sus labores, del total de trabajadores del área de Seguridad Informática. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los empleados del área de Seguridad Informática usuarios califiquen si consideran que la infraestructura de seguridad existente fue adecuada para llevar a cabo sus labores únicamente en el período especificado. Si el empleado considera que la infraestructura de seguridad existente durante el período fue suficiente y adecuada para realizar su trabajo, su encuesta debe retornar un uno (1), si el usuario siente que la infraestructura fue insuficiente y no le permitió realizar adecuadamente su trabajo su encuesta debe retornar cero (0). Se debe entonces calcular los siguientes valores: s: suma de los valores de todas las encuestas realizadas t: total de personas que presentaron la encuesta El valor se calcula con la siguiente fórmula: (s * 100 ) / t Puede o no ser útil discriminar las encuestas para diferentes componentes de la infraestructura de seguridad, software, hardware, etc. En caso de discriminarse, se deberá crear un indicador para cada una de las categorías definidas. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición.

0 - 100

Interpretación Recomendaciones Un porcentaje alto significa que los trabajadores perciben que la infraestructura del área de Seguridad Informática es adecuada para realizar el trabajo. Un porcentaje medio o bajo significa que los trabajadores perciben que la infraestructura del área de Seguridad Informática NO es adecuada para realizar el trabajo. Es importante resaltar que la percepción de los trabajadores no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la capacidad de infraestructura del área de Seguridad Informática (en mayor o menor cantidad) y ésta capacidad afecta la productividad y el desempeño del área de Seguridad Informática.

Se deben realizar continuamente procesos de evaluación, actualización y reemplazo de la infraestructura del área de Seguridad Informática (en la medida de lo posible, y mientras sea viable financieramente y rentable desde una perspectiva costo-beneficio) de manera que se garanticen recursos adecuados para que puedan realizarse adecuadamente las tareas de aseguramiento informático en la organización, y para garantizar que la infraestructura esté siempre actualizada y al día respecto a las nuevas tecnologías, riesgos, vulnerabilidades de las plataformas trabajadas, ataques y demás cambios que se presenten en el área de la Seguridad Informática.

MISC-03-1-1

102

Indicador de Gestión Identificador ORG.017 Nombre Número de empleados del área de Seguridad Informática que

consideran que la metodología y los procedimientos de seguridad existentes son adecuados para llevar a cabo sus labores respecto al total de la fuerza de trabajo del área de Seguridad Informática.



Descripción Este indicador permite cuantificar el porcentaje de personas que consideran que la metodología y los procedimientos de seguridad existentes son adecuados, del total de trabajadores del área de Seguridad Informática. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe realizar una encuesta para que los empleados del área de Seguridad Informática usuarios califiquen si consideran que la infraestructura de seguridad existente fue adecuada para llevar a cabo sus labores únicamente en el período especificado. Si el empleado considera que la metodología y los procedimientos de seguridad existentes durante el período fueron suficientes y adecuados para realizar su trabajo, su encuesta debe retornar un uno (1), si el usuario siente que la metodología y los procedimientos de seguridad fueron insuficientes y no le permitieron realizar adecuadamente su trabajo su encuesta debe retornar cero (0). Se debe entonces calcular los siguientes valores: s: suma de los valores de todas las encuestas realizadas t: total de personas que presentaron la encuesta El valor se calcula con la siguiente fórmula: (s * 100 ) / t Puede o no ser útil discriminar las encuestas para diferentes metodologías y procedimientos. En caso de discriminarse, se deberá crear un indicador para cada una de las categorías definidas. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición.

0 - 100

Interpretación Recomendaciones Un porcentaje alto significa que los trabajadores perciben que las metodologías y los procedimientos utilizados en el área de Seguridad Informática son adecuados para realizar el trabajo. Un porcentaje medio o bajo significa que los trabajadores perciben que las metodologías y los procedimientos utilizados en el área de Seguridad Informática NO son adecuados para realizar el trabajo. Es importante resaltar que la percepción de los trabajadores no necesariamente es acorde con el estado real del sistema. Los usuarios pueden tener percepciones distorsionadas para bien o para mal, respecto al estado real del sistema de información. En cualquier caso, este valor refleja la capacidad de las metodologías y los procedimientos utilizados en el área de Seguridad Informática (en mayor o menor cantidad) y ésta capacidad afecta la productividad y el desempeño del área de Seguridad Informática.

Se deben realizar continuamente procesos de evaluación, actualización y reemplazo de las metodologías y los procedimientos utilizados en el área de Seguridad Informática (en la medida de lo posible, y mientras sea viable financieramente y rentable desde una perspectiva costo-beneficio) de manera que se garanticen un marco de referencia metodológico óptimo para que puedan realizarse adecuadamente las tareas de aseguramiento informático en la organización, y para garantizar que los procesos efectuados en el área de Seguridad informática se mantengan óptimos, se adapten al entorno e incorporen nuevas tecnologías, riesgos, vulnerabilidades de las plataformas trabajadas, ataques y demás cambios que se presenten en el área de la Seguridad Informática.

MISC-03-1-1

103

Indicador de Gestión Identificador ORG.018 Nombre Existencia de procesos continuos de reeducación y

capacitación de empleados del área de Seguridad Informática

Denominación SI / NO (1 / 0)

Valor



Descripción Este indicador permite definir si existen procesos adecuados de reeducación y capacitación de los RR.HH. del Sistema de Seguridad Informática que se lleven a cabo repetitivamente de manera periódica. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: En la organización existen procesos adecuados de reeducación y capacitación de los RR.HH. del Sistema de Seguridad Informática, que se realizan de manera periódica. NO: En la organización NO existen procesos de reeducación y capacitación de los RR.HH. del Sistema de Seguridad Informática, o los procesos existentes son inadecuados, o no se realizan periódicamente

Se deben generar mecanismos que aseguren que el Sistema de Seguridad Informática permanezca actualizado. Específicamente, el componente humano, que debe ser continuamente actualizado a través de procesos de reeducación y capacitación.

Indicador de Gestión Identificador ORG.019 Nombre Existencia de procesos continuos de evaluación y

actualización de la infraestructura de área de Seguridad Informática


Valor



Descripción Este indicador permite definir si existen procesos adecuados de evaluación y actualización de la infraestructura del Sistema de Seguridad Informática que se lleven a cabo repetitivamente de manera periódica. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: En la organización existen procesos adecuados de evaluación y actualización de la infraestructura del Sistema de Seguridad Informática, que se realizan de manera periódica. NO: En la organización NO existen procesos de evaluación y actualización de la infraestructura del Sistema de Seguridad Informática, o los procesos existentes NO son adecuados, o NO se realizan periódicamente.

Se deben generar mecanismos que aseguren que el Sistema de Seguridad Informática permanezca actualizado. Específicamente, los componentes infraestructurales (hardware, software, instalaciones, etc.), que debe ser continuamente actualizados a través de procesos de evaluación y actualización..

MISC-03-1-1

104

Indicador de Gestión Identificador ORG.020 Nombre Existencia de mecanismos que permitan realizar la

documentación de procedimientos, incidentes y soluciones (base de datos de conocimiento) en el área de Seguridad Informática


Valor



Descripción Este indicador permite definir si existen mecanismos apropiados que permitan realizar la documentación de procedimientos, incidentes y soluciones (base de datos de conocimiento) en el área de Seguridad Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: En la organización existen mecanismos que permitan realizar la documentación de procedimientos, incidentes y soluciones (base de datos de conocimiento) en el área de Seguridad Informática. NO: En la organización NO existen mecanismos que permitan realizar la documentación de procedimientos, incidentes y soluciones (base de datos de conocimiento) en el área de Seguridad Informática.

Se deben generar mecanismos que permitan realizar la documentación de procedimientos, incidentes y soluciones (base de datos de conocimiento) que permita que la organización pueda aprender y reutilizar el conocimiento generado por experiencias anteriores.

Indicador de Gestión Identificador ORG.021 Nombre Existencia de normatividad que regule los procesos de

documentación en el área de Seguridad Informática Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existe una normatividad adecuada que regule los procesos de documentación en el área de Seguridad Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: En la organización existe normatividad adecuada que regula los procesos de documentación en el área de Seguridad Informática. NO: En la organización NO existe normatividad que regule los procesos de documentación en el área de Seguridad Informática, o esta no es adecuada.

Se debe establecer como política del área de Seguridad Informática la obligatoriedad de los procesos de documentación, se debe generar normatividad que regule la documentación, y se deben establecer controles que verifiquen que se está llevando a cabo de manera adecuada. La documentación de los procesos permite generar una base de datos de conocimiento que permitirá que la organización pueda aprender y reutilizar el conocimiento generado por experiencias anteriores.

MISC-03-1-1

105

Indicador de Gestión Identificador ORG.022 Nombre Número de tareas resueltas utilizando la base de datos de

conocimiento respecto al total de tareas resueltas en el área de Seguridad Informática.



Descripción Este indicador permite cuantificar el porcentaje de tareas resueltas utilizando la base de datos de conocimiento, del total de tareas resueltas en el área de Seguridad Informática. Expresión Rango de Resultados El equipo de trabajo debe escoger un período. Se debe entonces calcular los siguientes valores para el período: bdc: tareas resueltas utilizando la base de datos de conocimiento t: total de tareas resueltas El valor se calcula con la siguiente fórmula: (bdc * 100 ) / t Puede o no ser útil discriminar las encuestas para diferentes tipos de tareas o diferentes grupos de empleados. En caso de discriminarse, se deberá crear un indicador para cada una de las categorías definidas. También puede ser útil hallar la desviación estándar para establecer la precisión de la medición.

0 - 100

Interpretación Recomendaciones Un porcentaje alto significa que se está reutilizando el conocimiento de manera óptima en el área de seguridad informática. Un porcentaje medio o bajo significa que no se está reutilizando el conocimiento en el área, ya sea porque el conocimiento no es aplicable a las tareas que se realizaron durante el período, porque la documentación no fue realizada de manera adecuada y la información es inservible, porque la información es insuficiente, porque no pudo ser encontrada, o porque no existe una cultura de reutilización de la información . En cualquier caso, este valor refleja la capacidad de aprendizaje y reutilización del conocimiento en el área de Seguridad Informática (en mayor o menor cantidad) y ésta capacidad afecta su productividad y su desempeño.

Se deben generar mecanismos que fomenten la utilización de la base de datos de conocimiento, que garanticen la documentación adecuada de todos los procesos que así lo ameriten, que controlen la calidad, completitud y la pertinencia de la información almacenada, y que organicen la información de manera que sea fácil de navegar y de encontrar, de manera que la BD de conocimiento facilite que la organización pueda aprender y reutilizar el conocimiento generado por experiencias anteriores.

MISC-03-1-1

106

Indicador de Gestión Identificador ORG.023 Nombre Efectos nocivos sobre el entorno social Denominación SI / NO

(1 / 0) Valor



Descripción Este indicador permite definir si existen efectos nocivos en el entorno (sociedad, clientes) debido al desempeño del área de Seguridad Informática. Expresión Rango de Resultados N/A


Interpretación Recomendaciones SI: El desempeño del área de Seguridad Informática NO ha sido adecuado, y el sistema de información ha sido vulnerado de manera que se han perjudicado a personas externas a la organización. NO: El desempeño del área de Seguridad Informática ha sido adecuado, y el sistema de información NO ha sido vulnerado de manera que se han perjudicado a personas externas a la organización.

Se deben crear mecanismos que minimicen el impacto que una vulneración al sistema de información pueda tener sobre terceros, y en caso de que ocurran incidentes que ocasionen efectos negativos sobre terceros, se deben diseñar políticas y procedimientos que regulen el comportamiento de los funcionarios de área de Seguridad Informática, acordes con las políticas organizacionales y con la ley.

MISC-03-1-1

107

6.3 Formato de Indicadores de Gestión Operacionales

Indicador de Gestión Identificador OPE.001 Nombre Establecer si existe un documento de políticas de

seguridad Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe un documento de políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe un documento de políticas de seguridadNO: En la organización NO existe un documento de políticas de seguridad

Se debe implementar un documento de políticas de seguridad informática. Si existe un documento de políticas de seguridad, existirá un documento con directrices claras que orienten los procesos de seguridad informática en la organización y el nivel de seguridad informática se verá mejorado.

Indicador de Gestión Identificador OPE.002 Nombre Establecer si el documento de políticas de seguridad es

apropiado Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si el documento de políticas de seguridad es adecuado. Expresión Rango de Resultados OPE.003 * OPE.004 * OPE.005 * OPE.006 * OPE.007 * OPE.008 * OPE.009 * OPE.010 * OPE.011 * OPE.012

1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO.

Interpretación Recomendaciones SI: En la organización el documento de políticas de seguridad es adecuado. NO: En la organización el documento de políticas de seguridad NO es adecuado.

Se debe tener un documento de políticas de seguridad informática adecuado y completo. .Si el documento de políticas de seguridad es adecuado, no solo existirán directrices claras, sino completas y coherentes, que orientarán la ejecución de todos los procesos relacionados con la seguridad informática en la organización, lo que redundará en que el nivel de seguridad informática se vea mejorado.

Para que el documento de políticas de seguridad sea considerado como apropiado, todos los indicadores del OPE.003 al OPE.012 deben arrojar resultados de 1 (SI). Por lo tanto, para mejorar este indicador, es necesario mejorar los indicadores anteriormente mencionados.

MISC-03-1-1

108

Indicador de Gestión Identificador OPE.003 Nombre Establecer si se define de manera adecuada la seguridad

informática, sus objetivos, su alcance e importancia en el documento de políticas de seguridad

Denominación SI/NO (1/0)

Valor



Descripción Este indicador permite establecer si se define de manera adecuada la seguridad informática, sus objetivos, su alcance e importancia en el documento de políticas de seguridad. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se define de manera adecuada la seguridad informática, sus objetivos, su alcance e importancia en el documento de políticas de seguridadNO: En la organización NO se define de manera adecuada la seguridad informática, sus objetivos, su alcance e importancia en el documento de políticas de seguridad

Se debe incluir en el documento de políticas de seguridad informática una definición clara de la seguridad informática, sus objetivos, su alcance e importancia. Esto facilitará que el documento sea claro, que no existan ambigüedades, que los empleados entiendan de qué se tratan, conozcan sus objetivos, sus alcances, su razón de ser y entiendan porqué son necesarias, así como sus alcances, y promoverá el cumplimiento de las políticas de seguridad por parte de los empleados.


Identificador OPE.004 Nombre Establecer si hay un compromiso de la gerencia en la aplicación de las políticas, en el documento de políticas de seguridad


Valor



Descripción Este indicador permite establecer si se establece un compromiso de la gerencia en la aplicación de las políticas en el documento de políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se establece un compromiso de la gerencia en la aplicación de las políticas, en el documento de políticas de seguridad NO: En la organización NO se establece un compromiso de la gerencia en la aplicación de las políticas, en el documento de políticas de seguridad

Se debe incluir en el documento de políticas de seguridad informática un compromiso claro de la gerencia en la aplicación de dichas políticas. Si se establece este compromiso, se habrá hecho visible el compromiso de la cúpula organizacional para apoyar la seguridad informática en la organización, y será claro para todos los empleados la importancia que se le da a seguridad informática. Esto facilitará la implementación de procedimientos y de controles en la organización, y promoverá el cumplimiento de las políticas de seguridad por parte de los empleados

MISC-03-1-1

109

Indicador de Gestión Identificador OPE.005 Nombre Establecer si se explican de manera adecuada los

principios, estándares y requerimientos de importancia para la organización en el documento de políticas de seguridad


Valor



Descripción Este indicador permite establecer si se explican de manera adecuada los principios, estándares y requerimientos de importancia para la organización en el documento de políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se explican de manera adecuada los principios, estándares y requerimientos de importancia para la organización en el documento de políticas de seguridadNO: En la organización NO se explican de manera adecuada los principios, estándares y requerimientos de importancia para la organización en el documento de políticas de seguridad

Se deben incluir los principios, estándares y requerimientos de importancia para la organización en el documento de políticas de seguridad informática. Esto hará que todos los empleados conozcan las bases sobre las cuales se construyó el documento de políticas de seguridad informática, y los requerimientos que se deben satisfacer mediante la aplicación de dichos principios y estándares.


Identificador OPE.006 Nombre Establecer si se describen de manera suficiente las regulaciones y restricciones que aplican al sistema de información en el documento de políticas de seguridad


Valor



Descripción Este indicador permite establecer si se describen de manera suficiente las regulaciones y restricciones que aplican al sistema de información en el documento de políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se describen de manera suficiente las regulaciones y restricciones que aplican al sistema de información en el documento de políticas de seguridadNO: En la organización NO se describen de manera suficiente las regulaciones y restricciones que aplican al sistema de información en el documento de políticas de seguridad

Se deben incluir las regulaciones y restricciones que aplican al sistema de información en el documento de políticas de seguridad. Esto permitirá que los empleados sepan exactamente que pueden y que no pueden hacer, y que deben y que no deben hacer con el sistema de información y su infraestructura asociada, y cuales son las prácticas y los comportamientos aceptados y/o requeridos al utilizar el sistema de información.

MISC-03-1-1

110


Identificador OPE.007 Nombre Establecer si la estrategia organizacional es acorde con el documento de políticas de seguridad


Valor



Descripción Este indicador permite establecer si la estrategia organizacional es acorde con el documento de políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización la estrategia organizacional es acorde con el documento de políticas de seguridad NO: En la organización NO la estrategia organizacional es acorde con el documento de políticas de seguridad

Se debe alinear el documento de políticas de seguridad informática con la estrategia y las políticas de la organización. Esto permitirá optimizar el desempeño del sistema de seguridad informática para satisfacer de manera adecuada los requerimientos específicos del resto de la organización, optimizando así mismo la interacción entre el sistema de seguridad informática y el resto de la organización , mejorando el desempeño del sistema de seguridad informática y por ende, el nivel de seguridad informática de toda la organización, de manera congruente con las políticas organizacionales.

Indicador de Gestión Identificador OPE.008 Nombre Establecer si hay un proceso continuo de revisión y

evaluación de las políticas de seguridad Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si hay un proceso continuo de revisión y evaluación de las políticas de seguridad Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización hay un proceso continuo de revisión y evaluación de las políticas de seguridad NO: En la organización NO hay un proceso continuo de revisión y evaluación de las políticas de seguridad

Si hay un proceso continuo de revisión y evaluación de las políticas de seguridad, el documento de seguridad informática permanecerá siempre actualizado, en un estado óptimo, y se adaptará rápidamente a los cambios del entorno y/o a los cambios de la organización, de sus requerimientos, o del sistema de información. Esto redundará en el mantenimiento de un nivel de seguridad informática óptimo para la organización. Es por ello que se deben implementar procesos continuos de revisión y evaluación del documento de las políticas de seguridad informática, y pos supuesto, del documento que las contiene.

MISC-03-1-1

111

Indicador de Gestión Identificador OPE.009 Nombre

MISC-03-1-1

112

Indicador de Gestión Identificador OPE.011 Nombre Establecer si en el proceso de revisión y evaluación de las

políticas de seguridad, se evalúa su costo y su impacto Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si en el proceso de revisión y evaluación de las políticas de seguridad, se evalúa su costo y su impacto Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización en el proceso de revisión y evaluación de las políticas de seguridad, se evalúan su costo y su impactoNO: En la organización en el proceso de revisión y evaluación de las políticas de seguridad, NO se evalúan su costo y su impacto

En el proceso de revisión y evaluación de las políticas de seguridad, se debe evaluar su costo y su impacto. El costo y/o el impacto de las políticas de seguridad pueden ser diferentes de los calculados inicialmente, lo que puede llevar a la organización a reevaluarlas para disminuir su costo y/o su impacto por sus efectos sobre las finanzas o sobre la productividad organizacionales.

Indicador de Gestión Identificador OPE.012 Nombre Establecer si en el proceso de revisión y evaluación de las

políticas de seguridad, se evalúan los efectos que tienen sobre las políticas los cambios en la tecnología


Valor



Descripción Este indicador permite establecer si en el proceso de revisión y evaluación de las políticas de seguridad, se evalúan los efectos que tienen sobre las políticas los cambios en la tecnología Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización en el proceso de revisión y evaluación de las políticas de seguridad, se evalúan los efectos que tienen sobre las políticas los cambios en la tecnologíaNO: En el Sistema de Seguridad informática, en el proceso de revisión y evaluación de las políticas de seguridad, NO se evalúan los efectos que tienen sobre las políticas los cambios en la tecnología

En el proceso de revisión y evaluación de las políticas de seguridad, se deben evaluar los efectos que tienen sobre las políticas los cambios en la tecnología. Los cambios tecnológicos pueden tener efectos considerables, haciendo que políticas de seguridad anteriormente consideradas adecuadas, sean consideradas obsoletas, incompletas o inapropiadas para satisfacer los requerimientos de seguridad informática de la organización frente a innovaciones tecnológicas que no existían en el momento en el que las políticas de seguridad fueron desarrolladas.

MISC-03-1-1

113

Indicador de Gestión Identificador OPE.013 Nombre Establecer si existe un foro de administración de la seguridad

informática Denominación SI/NO (1/0) Valor Fecha/Período Metodolo

gía de medición


Descripción Este indicador permite establecer si existe un foro de administración de la seguridad informática, que cumpla las siguientes funciones: que promueva la seguridad informática y que asegure que hay una dirección clara y soporte gerencial visible para apoyar las iniciativas de seguridad, en el cual se revisen, discutan y aprueban políticas de seguridad y responsabilidades, se monitoreen cambios significativos en la exposición de los recursos de información ante nuevas amenazas, se revisen y monitoreen incidentes de seguridad y se discutan y aprueban iniciativas para mejorar el nivel de seguridad informática. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe un foro adecuado de administración de la seguridad informática. NO: En la organización NO existe un foro de administración de la seguridad informática, o NO es adecuado porque no cumple con algunas de sus funciones.

Debe existir un foro de administración de la seguridad informática adecuado. El foro debe promover la seguridad informática, definir una dirección clara y un soporte gerencial visible que apoye las iniciativas de seguridad, en el cual se revisen, discutan y aprueben políticas de seguridad y responsabilidades, se monitoreen cambios significativos en la exposición de los recursos de información ante nuevas amenazas, se revisen y monitoreen incidentes de seguridad y se discutan y aprueban iniciativas para mejorar el nivel de seguridad informática.


Identificador OPE.014 Nombre Establecer si existen coordinadores / promotores de la seguridad informática en las diferentes unidades de negocios de la organización


Valor



Descripción Este indicador permite establecer si existen coordinadores / promotores de la seguridad informática en las diferentes unidades de negocios de la organización, que se pongan de acuerdo sobre los roles y las responsabilidades específicas de seguridad en la organización, sobre metodologías y procesos específicos de seguridad informática, sobre iniciativas organizacionales de seguridad informática; asimismo que garanticen que la seguridad informática haga parte de los procesos de planeación, que evalúen y coordinen la implantación de controles, evalúen incidentes de seguridad y promuevan la visibilidad del apoyo del negocio a la seguridad informática en la organización. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen coordinadores / promotores de la seguridad informática en las diferentes unidades de negocios de la organización NO: En la organización NO existen coordinadores / promotores de la seguridad informática en las diferentes unidades de negocios de la organización

Deben existir coordinadores / promotores de la seguridad informática en las diferentes unidades de negocios de la organización, que se pongan de acuerdo sobre los roles y las responsabilidades específicas de seguridad en la organización, sobre metodologías y procesos específicos de seguridad informática, sobre iniciativas organizacionales de seguridad informática; asimismo que garanticen que la seguridad informática haga parte de los procesos de planeación, que evalúen y coordinen la implantación de controles, evalúen incidentes de seguridad y promuevan la visibilidad del apoyo del negocio a la seguridad informática en la organización.

MISC-03-1-1

114

Indicador de Gestión Identificador OPE.015 Nombre Establecer si existe un encargado para cada una de las

responsabilidades asociadas a la implantación, promoción y mantenimiento de la seguridad informática


Valor



Descripción Este indicador permite establecer si existe un encargado para cada una de las responsabilidades asociadas a la implantación, promoción y mantenimiento de la seguridad informática, y si sus responsabilidades, así como su nivel de autorización han sido debidamente documentados. Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe un encargado para cada una de las responsabilidades asociadas a la implantación, promoción y mantenimiento de la seguridad informáticaNO: En la organización NO existe un encargado para cada una de las responsabilidades asociadas a la implantación, promoción y mantenimiento de la seguridad informática

Debe existir un encargado para cada una de las responsabilidades asociadas a la implantación, promoción y mantenimiento de la seguridad informática; sus responsabilidades, así como su nivel de autorización deben ser debidamente documentados.

Indicador de Gestión Identificador OPE.016 Nombre Establecer si se requiere de un proceso de autorización

para implantar nuevos componentes del sistema de información / sistema de seguridad informática


Valor



Descripción Este indicador permite establecer si se requiere de un proceso de autorización para implantar nuevos componentes del sistema de información / sistema de seguridad informática Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se requiere de un proceso de autorización para implantar nuevos componentes del sistema de información / sistema de seguridad informática NO: En la organización NO se requiere de un proceso de autorización para implantar nuevos componentes del sistema de información / sistema de seguridad informática

Debe requerirse un proceso de autorización para implantar nuevos componentes del sistema de información / sistema de seguridad informática, y mecanismos de control que verifiquen que el proceso se cumpla, y que garanticen que no se van a realizar implantaciones no autorizadas en el sistema.

MISC-03-1-1

115

Indicador de Gestión Identificador OPE.017 Nombre Establecer si existe una mesa de ayuda (helpdesk) de

seguridad informática Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe una mesa de ayuda (helpdesk) de seguridad informática Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe una mesa de ayuda (helpdesk) de seguridad informáticaNO: En la organización NO existe una mesa de ayuda (helpdesk) de seguridad informática

Debe existir una mesa de ayuda (helpdesk) de seguridad informática que dé soporte y asesoría a los usuarios del sistema de información, y que preste servicios de atención de incidentes, en lo posible con recursos internos de la organización.

Indicador de Gestión Identificador OPE.018 Nombre Establecer si existen vínculos organizacionales con

entidades estatales y / o privadas encargadas de atender e investigar incidentes de seguridad informática


Valor



Descripción Este indicador permite establecer si existen vínculos organizacionales con entidades estatales y / o privadas encargadas de atender e investigar incidentes de seguridad informática Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen vínculos organizacionales con entidades estatales y / o privadas encargadas de atender e investigar incidentes de seguridad informáticaNO: En la organización NO existen vínculos organizacionales con entidades estatales y / o privadas encargadas de atender e investigar incidentes de seguridad informática

Deben existir vínculos organizacionales con entidades estatales y / o privadas encargadas de atender e investigar incidentes de seguridad informática, para asegurar que se van a poder tomar las acciones necesarias, y que se va a poder contar con ayuda oficial en el evento de un incidente de seguridad.

MISC-03-1-1

116

Indicador de Gestión Identificador OPE.019 Nombre Establecer si existen mecanismos externos e

independientes, de evaluación de la seguridad informática organizacional


Valor



Descripción Este indicador permite establecer si existen mecanismos externos e independientes, de evaluación de la seguridad informática organizacional Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos externos e independientes, de evaluación de la seguridad informática organizacionalNO: En la organización NO existen mecanismos externos e independientes, de evaluación de la seguridad informática organizacional

Deben existir mecanismos externos e independientes de evaluación de la seguridad informática organizacional, que verifiquen la implementación de las políticas de seguridad en la organización y que verifique que las prácticas organizacionales reflejan las políticas de seguridad, y que estas son prácticas y efectivas.

Indicador de Gestión Identificador OPE.020 Nombre Establecer si existen mecanismos de regulación para

verificar que los contratistas externos de TI cumplan con las políticas de seguridad organizacionales


Valor



Descripción Este indicador permite establecer si existen mecanismos de regulación para verificar que los contratistas externos de TI cumplan con las políticas de seguridad organizacionales Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos de regulación para verificar que los contratistas externos de TI cumplan con las políticas de seguridad organizacionales NO: En la organización NO existen mecanismos de regulación para verificar que los contratistas externos de TI cumplan con las políticas de seguridad organizacionales

Deben existir mecanismos de regulación para verificar que los contratistas externos de TI cumplan con las políticas de seguridad organizacionales.

MISC-03-1-1

117

Indicador de Gestión Identificador OPE.021 Nombre Establecer si existe un inventario de recursos adecuado en

el sistema de información Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe un inventario de recursos adecuado en el sistema de información, discriminado por tipos (Software, Información, Personas, Logística e Interfaces y conectividad) y describiendo de manera completa sus características. Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe un inventario de recursos adecuadoNO: En la organización NO existe un inventario de recursos adecuado

Debe existir un inventario de recursos del sistema de información, discriminado por tipos (Software, Información, Personas, Logística e Interfaces y conectividad) y describiendo de manera completa sus características.

Indicador de Gestión Identificador OPE.022 Nombre Establecer si está clasificada la información de la

organización Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si está clasificada la información de la organización, de acuerdo a su grado de importancia y a su sensibilidad a pérdidas de integridad/confidencialidad/disponibilidad. Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización está clasificada la informaciónNO: En la organización NO está clasificada la información

Debe existir una clasificación de la información en la organización. La clasificación debe reflejar el grado de importancia que tiene la información, y el nivel de esfuerzo que debe ser invertido en proteger su integridad / confidencialidad / disponibilidad.

MISC-03-1-1

118

Indicador de Gestión Identificador OPE.023 Nombre Establecer si están asignados los roles y las

responsabilidades de seguridad informática de acuerdo a las políticas de seguridad de la organización


Valor



Descripción Este indicador permite establecer si están asignados los roles y las responsabilidades de seguridad informática de acuerdo a las políticas de seguridad de la organización. Estas deben incluir responsabilidades generales de mantener o implementar las políticas de seguridad, y responsabilidades específicas como protección de recursos específicos o la ejecución de procesos o actividades específicas. Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización están asignados los roles y las responsabilidades de seguridad informática de acuerdo a las políticas de seguridad de la organización NO: En la organización NO están asignados los roles y las responsabilidades de seguridad informática de acuerdo a las políticas de seguridad de la organización

Deben asignarse los roles y las responsabilidades de seguridad informática de acuerdo a las políticas de seguridad de la organización, incluyendo responsabilidades generales de mantener o implementar las políticas de seguridad, y responsabilidades específicas como protección de recursos específicos o la ejecución de procesos o actividades específicas.

Indicador de Gestión Identificador OPE.024 Nombre Establecer si existen políticas de filtrado en la

contratación de personal Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen políticas de filtrado en la contratación de personal, que incluyan verificación de referencias, revisión de la hoja de vida, confirmación de logros académicos y laborales, y verificación de la identidad con un documento oficial. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se cumplen las políticas de filtrado en la contratación de personalNO: En la organización NO se cumplen las políticas de filtrado en la contratación de personal

Deben existir políticas de filtrado en la contratación de personal que incluyan verificación de referencias, revisión de la hoja de vida, confirmación de logros académicos y laborales, y verificación de la identidad con un documento oficial.

MISC-03-1-1

119

Indicador de Gestión Identificador OPE.025 Nombre Establecer si existen acuerdos de confidencialidad con los

empleados que manejan información sensible Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen acuerdos de confidencialidad con los empleados que manejan información sensible Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen acuerdos de confidencialidad con los empleados que manejan información sensibleNO:En la organización NO existen acuerdos de confidencialidad con los empleados que manejan información sensible

Deben existir acuerdos de confidencialidad con los empleados que manejan información sensible.

Indicador de Gestión Identificador OPE.026 Nombre Establecer si están descritas las responsabilidades de

seguridad en los términos y condiciones del contrato laboral de los empleados de la organización.


Valor



Descripción Este indicador permite establecer si están descritas las responsabilidades de seguridad en los términos y condiciones del contrato laboral de los empleados de la organización. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización las responsabilidades de seguridad están descritas en los términos y condiciones del contrato laboral de los empleados de la organización.NO:En la organización NO las responsabilidades de seguridad están descritas en los términos y condiciones del contrato laboral de los empleados de la organización.

Deben estar descritas las responsabilidades de seguridad en los términos y condiciones del contrato laboral de los empleados de la organización.

MISC-03-1-1

120

Indicador de Gestión Identificador OPE.027 Nombre Establecer si están capacitados en seguridad los

empleados y contratistas externos que así lo requieren debido a su trabajo


Valor



Descripción Este indicador permite establecer si están capacitados en seguridad los empleados y contratistas externos que así lo requieren debido a su trabajo. Expresión Rango de Resultados N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización están capacitados en seguridad los empleados y contratistas externos que asi lo requieren debido a su trabajo.NO: En la organización NO están capacitados en seguridad los empleados y contratistas externos que así lo requieren debido a su trabajo.

Deben estar capacitados en seguridad los empleados y contratistas externos que así lo requieren debido a su trabajo.

Indicador de Gestión Identificador OPE.028 Nombre Establecer si existen canales apropiados para reportar

incidentes de seguridad en la organización Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen canales apropiados para reportar incidentes de seguridad en la organización Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Seguridad informática existen canales apropiados para reportar incidentes de seguridad en la organizaciónNO:En el Sistema de Seguridad informática NO existen canales apropiados para reportar incidentes de seguridad en la organización

Deben existir canales apropiados para reportar incidentes de seguridad en la organización.

MISC-03-1-1

121

Indicador de Gestión Identificador OPE.029 Nombre Establecer si existen canales apropiados para reportar

vulnerabilidades en la seguridad del sistema de información


Valor



Descripción Este indicador permite establecer si existen canales apropiados para reportar vulnerabilidades en la seguridad del sistema de información Expresión Rango de Resultados N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen canales apropiados para reportar vulnerabilidades en la seguridad del sistema de informaciónNO: En la organización NO existen canales apropiados para reportar vulnerabilidades en la seguridad del sistema de información

Deben existir canales apropiados para reportar vulnerabilidades en la seguridad del sistema de información.

Indicador de Gestión Identificador OPE.030 Nombre Establecer si existen canales y procedimientos adecuados

para reportar fallos de software en la organización Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen canales y procedimientos adecuados para reportar fallos de software en la organización, que incluyan un registro detallado del problema, de los mensajes que aparecen en pantalla, el aislamiento de los equipos de cómputo involucrados y el reporte del incidente. Expresión Rango de Resultados N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen canales adecuados para reportar fallos de software en la organizaciónNO: En la organización NO existen canales adecuados para reportar fallos de software en la organización

Deben existir canales y procedimientos adecuados para reportar fallos de software en la organización, que incluyan un registro detallado del problema, de los mensajes que aparecen en pantalla, el aislamiento de los equipos de cómputo involucrados y el reporte del incidente.

MISC-03-1-1

122

Indicador de Gestión Identificador OPE.031 Nombre Establecer si existen mecanismos para monitorear y

cuantificar los tipos, volúmenes y costos de incidentes y fallos de seguridad en el sistema de información


Valor



Descripción Este indicador permite establecer si existen mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de incidentes y fallos de seguridad en el sistema de información Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de incidentes y fallos de seguridad en el sistema de informaciónNO: En la organización NO existen mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de incidentes y fallos de seguridad en el sistema de información

Deben existir mecanismos para monitorear y cuantificar los tipos, volúmenes y costos de incidentes y fallos de seguridad.

Indicador de Gestión Identificador OPE.032 Nombre Establecer si existen procesos disciplinarios para castigar

a empleados que violen las políticas y procedimientos organizacionales


Valor



Descripción Este indicador permite establecer si existen procesos disciplinarios para castigar a empleados que violen las políticas y procedimientos organizacionales Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procesos disciplinarios para castigar a empleados que violen las políticas y procedimientos organizacionalesNO: En la organización NO existen procesos disciplinarios para castigar a empleados que violen las políticas y procedimientos organizacionales

Deben existir procesos disciplinarios para castigar a empleados que violen las políticas y procedimientos organizacionales

MISC-03-1-1

123

Indicador de Gestión Identificador OPE.033 Nombre Establecer si existe un perímetro adecuado de seguridad

física Denominación SI/NO

(1/0)

MISC-03-1-1

124

Indicador de Gestión Identificador OPE.035 Nombre Establecer si las zonas seguras están correctamente

adecuadas para contener infraestructura e información sensible


Valor



Descripción Este indicador permite establecer si las zonas seguras están correctamente adecuadas para contener infraestructura e información sensible, de manera que se garantice que las zonas sensibles estén aisladas del acceso público, que los edificios den la mínima indicación de su propósito y no posean letreros ni señales internas ni externas que delaten la presencia de actividades de procesamiento de datos, que no se ubique equipo de soporte (fotocopiadoras, faxes, etc.) dentro de instalaciones seguras de manera que puedan comprometer la seguridad, que todas las puestas y ventanas estén adecuadamente protegidas, que hayan sistemas de detección de intrusos en todas las puestas y ventanas que colinden con el exterior, que estén físicamente separadas de otras instalaciones administradas por terceros, que los directorios telefónicos internos que permiten identificar la ubicación de zonas sensibles no estén disponibles al público, que los materiales peligrosos y/o combustibles sean almacenados lejos de las zonas seguras, y que los dispositivos de copia de respaldo estén almacenados de manera segura y a una distancia prudente para evitar daños por desastres naturales a las instalaciones principales. Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización las zonas seguras están correctamente adecuadas para contener infraestructura e información sensibleNO: En la organización las zonas seguras NO están correctamente adecuadas para contener infraestructura e información sensible

Las zonas seguras deben estar correctamente adecuadas para contener infraestructura e información sensible, de manera que se garantice que las zonas sensibles estén aisladas del acceso público, que los edificios den la mínima indicación de su propósito y no posean letreros ni señales internas ni externas que delaten la presencia de actividades de procesamiento de datos, que no se ubique equipo de soporte (fotocopiadoras, faxes, etc.) dentro de instalaciones seguras de manera que puedan comprometer la seguridad, que todas las puestas y ventanas estén adecuadamente protegidas, que hayan sistemas de detección de intrusos en todas las puestas y ventanas que colinden con el exterior, y que estén físicamente separadas de otras instalaciones administradas por terceros, que los directorios telefónicos internos que permiten identificar la ubicación de zonas sensibles no estén disponibles al público, que los materiales peligrosos y/o combustibles sean almacenados lejos de las zonas seguras, y que los dispositivos de copia de respaldo estén almacenados de manera segura y a una distancia prudente para evitar daños por desastres naturales a las instalaciones principales.

MISC-03-1-1

125

Indicador de Gestión Identificador OPE.036 Nombre Establecer si existen controles y directrices adecuados

para trabajar en zonas seguras Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen controles y directrices adecuados para trabajar en zonas seguras, que garanticen que el personal únicamente tiene acceso al segmento de información que necesita para su trabajo, que no permitan el trabajo no supervisado en zonas seguras, que restrinjan el acceso de terceros a las instalaciones seguras solo cuando este sea autorizado y requerido, que monitoreen este acceso, y que restrinjan el acceso de dispositivos de grabación de audio y/o video y de cámaras fotográficas a menos de que este sea autorizado. Expresión Rango de Resultados N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles y directrices adecuados para trabajar en zonas seguras NO: En la organización NO existen controles y directrices para trabajar en zonas seguras, o estos no son adecuados.

Deben existir controles y directrices adecuados para trabajar en zonas seguras, que garanticen que el personal únicamente tiene acceso al segmento de información que necesita para su trabajo, que no permitan el trabajo no supervisado en zonas seguras, que restrinjan el acceso de terceros a las instalaciones seguras solo cuando este sea autorizado y requerido, que monitoreen este acceso, y que restrinjan el acceso de dispositivos de grabación de audio y/o video y de cámaras fotográficas a menos de que este sea autorizado.


Identificador OPE.037 Nombre

MISC-03-1-1

126


Identificador OPE.038 Nombre Establecer si están los equipos e infraestructura correctamente protegidos contra amenazas ambientales, desastres naturales, accidentes y contra acceso no autorizado.


Valor



Descripción Este indicador permite establecer si están los equipos e infraestructura correctamente protegidos contra amenazas ambientales, desastres naturales, accidentes y contra acceso no autorizado. Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización los equipos e infraestructura están correctamente protegidos contra amenazas ambientales, desastres naturales, accidentes y contra acceso no autorizado.NO: En la organización los equipos e infraestructura NO están correctamente protegidos contra amenazas ambientales, desastres naturales, accidentes y contra acceso no autorizado.

Los equipos e infraestructura deben estar correctamente protegidos contra amenazas ambientales, desastres naturales, accidentes y contra acceso no autorizado.


Identificador OPE.039 Nombre Establecer si los equipos están protegidos contra cortes de energía y otras anomalías eléctricas


Valor



Descripción Este indicador permite establecer si los equipos están protegidos contra cortes de energía y otras anomalías eléctricas Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización los equipos están protegidos contra cortes de energía y otras anomalías eléctricasNO: En la organización los equipos NO están protegidos contra cortes de energía y otras anomalías eléctricas

Los equipos deben estar protegidos contra cortes de energía y otras anomalías eléctricas

MISC-03-1-1

127

Indicador de Gestión Identificador OPE.040 Nombre Establecer si está el cableado adecuadamente protegido

contra interceptación o daño Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si está el cableado adecuadamente protegido contra interceptación o daño Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización el cableado está adecuadamente protegido contra interceptación o dañoNO: En la organización el cableado NO está adecuadamente protegido contra interceptación o daño

El cableado debe estar adecuadamente protegido contra interceptación o daño

Indicador de Gestión Identificador OPE.041 Nombre Establecer si existen programas adecuados de

mantenimiento de equipos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen programas adecuados de mantenimiento de equipos, que cumplan con los intervalos de servicio y especificaciones recomendadas por el fabricante, si el mantenimiento es llevado a cabo por personal autorizado, si se lleva registro de fallas reales o presumidas y del mantenimiento preventivo y correctivo, y si existen controles para evitar que hayan fugas de información si el equipo es enviado a reparación afuera de las instalaciones seguras. Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen programas adecuados de mantenimiento de equipos NO: En la organización NO existen programas adecuados de mantenimiento de equipos

Deben existir programas adecuados de mantenimiento de equipos, que cumplan con los intervalos de servicio y especificaciones recomendadas por el fabricante, que garanticen que el mantenimiento es llevado a cabo por personal autorizado, que lleven registro de fallas reales o presumidas y del mantenimiento preventivo y correctivo, y que eviten que hayan fugas de información si el equipo es enviado a reparación afuera de las instalaciones seguras.

MISC-03-1-1

128

Indicador de Gestión Identificador OPE.042 Nombre Establecer si existen mecanismos que regulen la

utilización de equipos fuera de las instalaciones de la organización


Valor



Descripción Este indicador permite establecer si existen mecanismos que regulen la utilización de equipos fuera de las instalaciones de la organización Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos que regulen la utilización de equipos fuera de las instalaciones de la organizaciónNO: En la organización NO existen mecanismos que regulen la utilización de equipos fuera de las instalaciones de la organización

Deben existir mecanismos que regulen la utilización de equipos fuera de las instalaciones de la organización

Indicador de Gestión Identificador OPE.043 Nombre Establecer si existen procedimientos adecuados para el

desecho y/o la reutilización segura de equipos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen procedimientos adecuados para el desecho y/o la reutilización segura de equipos Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos adecuados para el desecho y/o la reutilización segura de equiposNO: En la organización NO existen procedimientos adecuados para el desecho y/o la reutilización segura de equipos

Deben existir procedimientos adecuados para el desecho y/o la reutilización segura de equipos

MISC-03-1-1

129

Indicador de Gestión Identificador OPE.044 Nombre Establecer si existen políticas de "escritorio limpio" y

"pantalla limpia" que eviten que información sensible quede expuesta ante personas que transiten por el lugar de trabajo


Valor



Descripción Este indicador permite establecer si existen políticas de "escritorio limpio" y "pantalla limpia" que eviten que información sensible quede expuesta ante personas que transiten por el lugar de trabajo Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen políticas de "escritorio limpio" y "pantalla limpia" que eviten que información sensible quede expuesta ante personas que transiten por el lugar de trabajoNO: En la organización NO existen políticas de "escritorio limpio" y "pantalla limpia" que eviten que información sensible quede expuesta ante personas que transiten por el lugar de trabajo

Deben existir políticas de "escritorio limpio" y "pantalla limpia" que eviten que información sensible quede expuesta ante personas que transiten por el lugar de trabajo

Indicador de Gestión Identificador OPE.045 Nombre Establecer si existen políticas que regulen la extracción de

material, documentación y medios digitales de almacenamiento del sitio de trabajo


Valor



Descripción Este indicador permite establecer si existen políticas que regulen la extracción de material, documentación y medios digitales de almacenamiento del sitio de trabajo Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen políticas que regulen la extracción de material, documentación y medios digitales de almacenamiento del sitio de trabajoNO: En la organización NO existen políticas que regulen la extracción de material, documentación y medios digitales de almacenamiento del sitio de trabajo

Deben existir políticas que regulen la extracción de material, documentación y medios digitales de almacenamiento del sitio de trabajo

MISC-03-1-1

130


Identificador OPE.046 Nombre Establecer si los procedimientos operacionales son documentados y mantenidos de manera adecuada


Valor



Descripción Este indicador permite establecer si los procedimientos operacionales son documentados y mantenidos de manera adecuada. Los procedimientos deben especificar de manera detallada la ejecución de tareas como procesamiento y manipulación de información, requerimientos de cumplimiento de horarios, manejo de errores y condiciones excepcionales, contacto de soporte en caso de dificultades operativas o técnicas, instrucciones de manejo de información de salida, y procedimientos de reinicio y recuperación en caso de fallos del sistema. Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización los procedimientos operacionales son documentados y mantenidos de manera adecuada NO: En la organización los procedimientos operacionales NO son documentados y mantenidos de manera adecuada

Los procedimientos operacionales deben ser documentados y mantenidos de manera adecuada. Los procedimientos deben especificar de manera detallada la ejecución de tareas como procesamiento y manipulación de información, requerimientos de cumplimiento de horarios, manejo de errores y condiciones excepcionales, contacto de soporte en caso de dificultades operativas o técnicas, instrucciones de manejo de información de salida, y procedimientos de reinicio y recuperación en caso de fallos del sistema.


Identificador OPE.047 Nombre Establecer si existen controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de información


Valor



Descripción Este indicador permite establecer si existen controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de información Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de informaciónNO: En la organización NO existen controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de información

Deben existir controles que regulen la realización de cambios a los sistemas y a las instalaciones de procesamiento de información

MISC-03-1-1

131


Identificador OPE.048 Nombre Establecer si existen procedimientos de administración de incidentes


Valor



Descripción Este indicador permite establecer si existen procedimientos de administración de incidentes Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos de administración de incidentesNO: En la organización NO existen procedimientos de administración de incidentes

Deben existir procedimientos de administración de incidentes

Indicador de Gestión Identificador OPE.049 Nombre Establecer si existe separación de tareas Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe separación de tareas, de manera que una persona no pueda llevar a cabo fraudes sin ser detectado. La autorización, la ejecución y el control de una tarea deben ser llevadas a cabo por personas diferentes. Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existe separación de tareasNO: En la organización NO existe separación de tareas

Debe existir separación de tareas ,de manera que una persona no pueda llevar a cabo fraudes sin ser detectado. La autorización, la ejecución y el control de una tarea deben ser llevadas a cabo por personas diferentes.

MISC-03-1-1

132

Indicador de Gestión Identificador OPE.050 Nombre Establecer si las instalaciones de desarrollo, pruebas y

operativas están separadas Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si las instalaciones de desarrollo, pruebas y operativas están separadas Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización las instalaciones de desarrollo, pruebas y operativas están separadasNO: En la organización las instalaciones de desarrollo, pruebas y operativas NO están separadas

Las instalaciones de desarrollo, pruebas y operativas deben estar separadas

Indicador de Gestión Identificador OPE.051 Nombre Establecer si existen controles que permitan regular las

actividades de contratistas externos en las instalaciones Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen controles que permitan regular las actividades de contratistas externos en las instalaciones Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen controles que permitan regular las actividades de contratistas externos en las instalaciones NO: En la organización NO existen controles que permitan regular las actividades de contratistas externos en las instalaciones

Deben existir controles que permitan regular las actividades de contratistas externos en las instalaciones

MISC-03-1-1

133


Identificador OPE.052 Nombre Establecer si se hace planeación de la capacidad (capacity planning) del sistema para garantizar que este sea adecuado a las necesidades de la organización


Valor



Descripción Este indicador permite establecer si se hace planeación de la capacidad (capacity planning) del sistema para garantizar que este sea adecuado a las necesidades de la organización Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se hace planeación de la capacidad (capacity planning) del sistema para garantizar que este sea adecuado a las necesidades de la organizaciónNO: En la organización NO se hace planeación de la capacidad (capacity planning) del sistema para garantizar que este sea adecuado a las necesidades de la organización

Debe hacerse planeación de la capacidad (capacity planning) del sistema para garantizar que este sea adecuado a las necesidades de la organización

Indicador de Gestión Identificador OPE.053 Nombre Establecer si existen criterios de evaluación, pruebas y

aceptación para nuevos sistemas, nuevas versiones y/o mejoras a sistemas actuales


Valor



Descripción Este indicador permite establecer si existen criterios de evaluación, pruebas y aceptación para nuevos sistemas, nuevas versiones y/o mejoras a sistemas actuales Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen criterios de evaluación, pruebas y aceptación para nuevos sistemas, nuevas versiones y/o mejoras a sistemas actuales NO: En la organización NO existen criterios de evaluación, pruebas y aceptación para nuevos sistemas, nuevas versiones y/o mejoras a sistemas actuales

Deben existir criterios de evaluación, pruebas y aceptación para nuevos sistemas, nuevas versiones y/o mejoras a sistemas actuales

MISC-03-1-1

134


Identificador OPE.054 Nombre Establecer si existen controles para la detección y prevención de software malicioso y procedimientos de concientización de usuarios


Valor



Descripción Este indicador permite establecer si existen controles para la detección y prevención de software malicioso y procedimientos de concientización de usuarios Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles para la detección y prevención de software malicioso y procedimientos de concientización de usuariosNO: En la organización NO existen controles para la detección y prevención de software malicioso y procedimientos de concientización de usuarios

Deben existir controles para la detección y prevención de software malicioso y procedimientos de concientización de usuarios

Indicador de Gestión Identificador OPE.055 Nombre Establecer si se realizan copias de seguridad de la

información y los programas esenciales para la organización


Valor



Descripción Este indicador permite establecer si se realizan copias de seguridad de la información y los programas esenciales para la organización Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se realizan copias de seguridad de la información y los programas esenciales para la organizaciónNO: En la organización NO se realizan copias de seguridad de la información y los programas esenciales para la organización

Se deben realizar copias de seguridad de la información y los programas esenciales para la organización

MISC-03-1-1

135

Indicador de Gestión Identificador OPE.056 Nombre Establecer si se mantienen registros del sistema (system

logs) de las actividades realizadas por sus operadores Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se mantienen registros del sistema (system logs) de las actividades realizadas por sus operadores Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se mantienen registros del sistema (system logs) de las actividades realizadas por sus operadoresNO: En la organización NO se mantienen registros del sistema (system logs) de las actividades realizadas por sus operadores

Deben mantenerse registros del sistema (system logs) de las actividades realizadas por sus operadores

Indicador de Gestión Identificador OPE.057 Nombre Establecer si existe registro de los fallos que ocurren en el

sistema y procedimientos para su corrección Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe registro de los fallos que ocurren en el sistema y procedimientos para su corrección Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existe registro de los fallos que ocurren en el sistema y procedimientos para su corrección NO: En la organización NO existe registro de los fallos que ocurren en el sistema y procedimientos para su corrección

Debe existir registro de los fallos que ocurren en el sistema y procedimientos para su corrección

MISC-03-1-1

136

Indicador de Gestión Identificador OPE.058 Nombre Establecer si existen mecanismos de control para obtener

y mantener la seguridad de las redes de computadores Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen mecanismos de control para obtener y mantener la seguridad de las redes de computadores Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos de control para obtener y mantener la seguridad de las redes de computadoresNO: En la organización NO existen mecanismos de control para obtener y mantener la seguridad de las redes de computadores

Deben existir mecanismos de control para obtener y mantener la seguridad de las redes de computadores

Indicador de Gestión Identificador OPE.059 Nombre Establecer si existen procedimientos que regulen el

manejo de medios removibles Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen procedimientos que regulen el manejo de medios removibles Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el manejo de medios removiblesNO: En la organización NO existen procedimientos que regulen el manejo de medios removibles

Deben existir procedimientos que regulen el manejo de medios removibles

MISC-03-1-1

137


desecho seguro de medios Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existen procedimientos que regulen el desecho seguro de medios Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el desecho seguro de mediosNO: En la organización NO existen procedimientos que regulen el desecho seguro de medios

Deben existir procedimientos que regulen el desecho seguro de medios

Indicador de Gestión Identificador OPE.061 Nombre Establecer si existen procedimientos que regulen la

manipulación y el almacenamiento de información impresa


Valor



Descripción Este indicador permite establecer si existen procedimientos que regulen la manipulación y el almacenamiento de información impresa Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen la manipulación y el almacenamiento de información impresaNO: En la organización NO existen procedimientos que regulen la manipulación y el almacenamiento de información impresa

Deben existir procedimientos que regulen la manipulación y el almacenamiento de información impresa

MISC-03-1-1

138

Indicador de Gestión Identificador OPE.062 Nombre Establecer si existen procedimientos que regulen la

manipulación y el almacenamiento de la documentación del sistema


Valor



Descripción Este indicador permite establecer si existen procedimientos que regulen la manipulación y el almacenamiento de la documentación del sistema Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen la manipulación y el almacenamiento de la documentación del sistemaNO: En la organización NO existen procedimientos que regulen la manipulación y el almacenamiento de la documentación del sistema

Deben existir procedimientos que regulen la manipulación y el almacenamiento de la documentación del sistema


intercambio de información y software con otras organizaciones


Valor



Descripción Este indicador permite establecer si existen procedimientos que regulen el intercambio de información y software con otras organizaciones Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el intercambio de información y software con otras organizacionesNO: En la organización NO existen procedimientos que regulen el intercambio de información y software con otras organizaciones

Deben existir procedimientos que regulen el intercambio de información y software con otras organizaciones

MISC-03-1-1

139


transporte físico seguro de información Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen procedimientos que regulen el transporte físico seguro de información Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el transporte físico seguro de informaciónNO: En la organización NO existen procedimientos que regulen el transporte físico seguro de información

Deben existir procedimientos que regulen el transporte físico seguro de información

Indicador de Gestión Identificador OPE.065 Nombre Establecer si existen procedimientos que regulen las

actividades de comercio electrónico y garanticen de manera adecuada su seguridad


Valor



Descripción Este indicador Permite establecer si existen procedimientos que regulen las actividades de comercio electrónico y garanticen de manera adecuada su seguridad Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen las actividades de comercio electrónico y garanticen de manera adecuada su seguridadNO: En la organización NO existen procedimientos que regulen las actividades de comercio electrónico y garanticen de manera adecuada su seguridad

MISC-03-1-1

140

Indicador de Gestión Identificador OPE.066 Nombre Establecer si existen políticas y procedimientos que

regulen el intercambio de información a través del correo electrónico


Valor



Descripción Este indicador Permite establecer si existen políticas y procedimientos que regulen el intercambio de información a través del correo electrónico Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen políticas y procedimientos que regulen el intercambio de información a través del correo electrónico NO: En la organización NO existen políticas y procedimientos que regulen el intercambio de información a través del correo electrónico

Deben existir políticas y procedimientos que regulen el intercambio de información a través del correo electrónico


intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridad


Valor



Descripción Este indicador Permite establecer si existen procedimientos que regulen el intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridad Expresión Rango de Resultados

N/A

1, que equivale a una respuesta de SI.0, que equivale a una respuesta de NO.

Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridadNO: En la organización NO existen procedimientos que regulen el intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridad

Deben existir procedimientos que regulen el intercambio de información a través de la utilización de dispositivos electrónicos de oficina (fax, fotocopiadoras, etc.) y que garanticen de manera adecuada su seguridad

MISC-03-1-1

141


Identificador OPE.068 Nombre Establecer si existen mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organización


Valor



Descripción Este indicador Permite establecer si existen mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organización Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.0,

que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organizaciónNO: En la organización NO existen mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organización

Deben existir mecanismos que garanticen la seguridad de información publicada de manera electrónica, de forma que se prevenga su modificación y no se le haga daño a la reputación de la organización


Identificador OPE.069 Nombre Establecer si existen procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.)


Valor



Descripción Este indicador Permite establecer si existen procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.) Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.)NO: En la organización NO existen procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.)

Deben existir procedimientos que regulen el intercambio de información a través de otros medios (vía telefónica, a través de video conferencia, etc.)

MISC-03-1-1

142


Identificador OPE.070 Nombre Establecer si están definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso


Valor



Descripción Este indicador permite establecer si están definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización están definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso NO: En la organización NO están definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso

Deben estar definidos y documentados de manera adecuada los requerimientos organizacionales para el control de acceso

Indicador de Gestión Identificador OPE.071 Nombre Establecer si están especificadas las reglas de control de

acceso Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si están especificadas las reglas de control de acceso Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización están especificadas las reglas de control de accesoNO: En la organización NO están especificadas las reglas de control de acceso

Si están especificadas las reglas de control de acceso

MISC-03-1-1

143


Identificador OPE.072 Nombre Establecer si existen procedimientos formales de registro y eliminación de usuarios


Valor



Descripción Este indicador Permite establecer si existen procedimientos formales de registro y eliminación de usuarios Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos formales de registro y eliminación de usuariosNO: En la organización NO existen procedimientos formales de registro y eliminación de usuarios

Deben existir procedimientos formales de registro y eliminación de usuarios

Indicador de Gestión Identificador OPE.073 Nombre Establecer si existen controles y restricciones adecuadas

para la alocación y el uso de privilegios en el sistema Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen controles y restricciones adecuadas para la alocación y el uso de privilegios en el sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen controles y restricciones adecuadas para la alocación y el uso de privilegios en el sistemaNO: En la organización NO existen controles y restricciones adecuadas para la alocación y el uso de privilegios en el sistema

Deben existir controles y restricciones adecuadas para la alocación y el uso de privilegios en el sistema

MISC-03-1-1

144

Indicador de Gestión Identificador OPE.074 Nombre Establecer si existen políticas adecuadas para la

administración y protección de contraseñas (passwords) Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen políticas adecuadas para la administración y protección de contraseñas (passwords) Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen políticas adecuadas para la administración y protección de contraseñas (passwords) NO: En la organización NO existen políticas adecuadas para la administración y protección de contraseñas (passwords)

Deben existir políticas adecuadas para la administración y protección de contraseñas (passwords)

Indicador de Gestión Identificador OPE.075 Nombre Establecer si existe un programa de revisión continuada

de los derechos de acceso de los usuarios Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si existe un programa de revisión continuada de los derechos de acceso de los usuarios Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe un programa de revisión continuada de los derechos de acceso de los usuarios NO: En la organización NO existe un programa de revisión continuada de los derechos de acceso de los usuarios

Deben existir un programa de revisión continuada de los derechos de acceso de los usuarios

MISC-03-1-1

145

Indicador de Gestión Identificador OPE.076 Nombre Establecer si existen políticas adecuadas para la selección

y el uso de contraseñas (passwords) Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen políticas adecuadas para la selección y el uso de contraseñas (passwords) Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen políticas adecuadas para la selección y el uso de contraseñas (passwords) NO: En la organización NO existen políticas adecuadas para la selección y el uso de contraseñas (passwords)

Deben existir políticas adecuadas para la selección y el uso de contraseñas (passwords)

Indicador de Gestión Identificador OPE.077 Nombre Establecer si existen mecanismos para la protección de

equipos desatendidos Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos para la protección de equipos desatendidos Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos para la protección de equipos desatendidosNO: En la organización NO existen mecanismos para la protección de equipos desatendidos

Deben existir mecanismos para la protección de equipos desatendidos

MISC-03-1-1

146

Indicador de Gestión Identificador OPE.078 Nombre Establecer si existen mecanismos para limitar el acceso a

servicios de red solamente a usuarios autorizados Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos para limitar el acceso a servicios de red solamente a usuarios autorizados Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos para limitar el acceso a servicios de red solamente a usuarios autorizadosNO: En el Sistema de Información NO existen mecanismos para limitar el acceso a servicios de red solamente a usuarios autorizados

Deben existir mecanismos para limitar el acceso a servicios de red solamente a usuarios autorizados

Indicador de Gestión Identificador OPE.079 Nombre Establecer si existen requerimientos de ubicación lógica

para acceder zonas lógicas seguras Denominación SI/NO

(1/0) Valor


MISC-03-1-1

147

Indicador de Gestión Identificador OPE.080 Nombre Establecer si existen mecanismos que restrinjan las

conexiones externas a través de la autenticación de usuario


Valor



Descripción Este indicador Permite establecer si existen mecanismos que restrinjan las conexiones externas a través de la autenticación de usuario Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que restrinjan las conexiones externas a través de la autenticación de usuarioNO: En el Sistema de Información NO existen mecanismos que restrinjan las conexiones externas a través de la autenticación de usuario

Deben existir mecanismos que restrinjan las conexiones externas a través de la autenticación de usuario


conexiones externas solo a nodos seguros Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que restrinjan las conexiones externas solo a nodos seguros Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que restrinjan las conexiones externas solo a nodos segurosNO: En el Sistema de Información NO existen mecanismos que restrinjan las conexiones externas solo a nodos seguros

Deben existir mecanismos que restrinjan las conexiones externas solo a nodos seguros

MISC-03-1-1

148


conexiones externas a puertos de diagnóstico remoto Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que restrinjan las conexiones externas a puertos de diagnóstico remoto Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que restrinjan las conexiones externas a puertos de diagnóstico remotoNO: En el Sistema de Información NO existen mecanismos que restrinjan las conexiones externas a puertos de diagnóstico remoto

Deben existir mecanismos que restrinjan las conexiones externas a puertos de diagnóstico remoto

Indicador de Gestión Identificador OPE.083 Nombre Establecer si existe segregación de usuarios en dominios y

grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupo


Valor



Descripción Este indicador permite establecer si existe segregación de usuarios en dominios y grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupo Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existe segregación de usuarios en dominios y grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupoNO: En la organización NO existe segregación de usuarios en dominios y grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupo

Debe existir segregación de usuarios en dominios y grupos diferentes de manera que se restrinja el acceso únicamente a las zonas autorizadas para cada dominio/grupo

MISC-03-1-1

149

Indicador de Gestión Identificador OPE.084 Nombre Establecer si existen mecanismos de control para

restringir la interconexión entre redes diferentes Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de control para restringir la interconexión entre redes diferentes Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control para restringir la interconexión entre redes diferentesNO: En el Sistema de Información NO existen mecanismos de control para restringir la interconexión entre redes diferentes

Deben existir mecanismos de control para restringir la interconexión entre redes diferentes

Indicador de Gestión Identificador OPE.085 Nombre Establecer si existen mecanismos de control para

restringir el enrutamiento entre redes diferentes Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de control para restringir el enrutamiento entre redes diferentes Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control para restringir el enrutamiento entre redes diferentesNO: En el Sistema de Información NO existen mecanismos de control para restringir el enrutamiento entre redes diferentes

Deben existir mecanismos de control para restringir el enrutamiento entre redes diferentes

MISC-03-1-1

150

Indicador de Gestión Identificador OPE.086 Nombre Establecer si existen mecanismos de control que restrinjan

el acceso al sistema operativo Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de control que restrinjan el acceso al sistema operativo Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control que restrinjan el acceso al sistema operativoNO: En el Sistema de Información NO existen mecanismos de control que restrinjan el acceso al sistema operativo

Deben existir mecanismos de control que restrinjan el acceso al sistema operativo


las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistema


Valor



Descripción Este indicador Permite establecer si existen mecanismos de control que restrinjan las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistema Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control que restrinjan las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistemaNO: En el Sistema de Información NO existen mecanismos de control que restrinjan las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistema

Deben existir mecanismos de control que restrinjan las conexiones únicamente a terminales que se hayan identificado satisfactoriamente ante el sistema

MISC-03-1-1

151


el acceso a través de procedimientos de conexión (log-on) seguros


Valor



Descripción Este indicador Permite establecer si existen mecanismos de control que restrinjan el acceso a través de procedimientos de conexión (log-on) seguros Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control que restrinjan el acceso a través de procedimientos de conexión (log-on) seguros NO: En el Sistema de Información NO existen mecanismos de control que restrinjan el acceso a través de procedimientos de conexión (log-on) seguros

Deben existir mecanismos de control que restrinjan el acceso a través de procedimientos de conexión (log-on) seguros

MISC-03-1-1

152

Indicador de Gestión Identificador OPE.090 Nombre Establecer si existen mecanismos de administración de

contraseñas (passwords) Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de administración de contraseñas (passwords) Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de administración de contraseñas (passwords) NO: En el Sistema de Información NO existen mecanismos de administración de contraseñas (passwords)

Deben existir mecanismos de administración de contraseñas (passwords)


el acceso a las utilidades avanzadas /de administración del sistema


Valor



Descripción Este indicador Permite establecer si existen mecanismos de control que restrinjan el acceso a las utilidades avanzadas /de administración del sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control que restrinjan el acceso a las utilidades avanzadas /de administración del sistemaNO: En el Sistema de Información NO existen mecanismos de control que restrinjan el acceso a las utilidades avanzadas /de administración del sistema

Deben existir mecanismos de control que restrinjan el acceso a las utilidades avanzadas /de administración del sistema

MISC-03-1-1

153

Indicador de Gestión Identificador OPE.092 Nombre Establecer si existen mecanismos de detección de

coerción para usuarios Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de detección de coerción para usuarios Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de detección de coerción para usuariosNO: En el Sistema de Información NO existen mecanismos de detección de coerción para usuarios

Deben existir mecanismos de detección de coerción para usuarios

Indicador de Gestión Identificador OPE.093 Nombre Establecer si existen mecanismos que automaticen la

desconexión de terminales inactivas después de un período de tiempo determinado


Valor



Descripción Este indicador Permite establecer si existen mecanismos que automaticen la desconexión de terminales inactivas después de un período de tiempo determinado Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que automaticen la desconexión de terminales inactivas después de un período de tiempo determinado NO: En el Sistema de Información NO existen mecanismos que automaticen la desconexión de terminales inactivas después de un período de tiempo determinado

Deben existir mecanismos que automaticen la desconexión de terminales inactivas después de un período de tiempo determinado

MISC-03-1-1

154

Indicador de Gestión Identificador OPE.094 Nombre Establecer si existen mecanismos que limiten los tiempos

de conexión Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que limiten los tiempos de conexión Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que limiten los tiempos de conexiónNO: En el Sistema de Información NO existen mecanismos que limiten los tiempos de conexión

Deben existir mecanismos que limiten los tiempos de conexión

Indicador de Gestión Identificador OPE.095 Nombre Establecer si existen mecanismos que restrinjan el acceso

a la información Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que restrinjan el acceso a la información Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que restrinjan el acceso a la informaciónNO: En el Sistema de Información NO existen mecanismos que restrinjan el acceso a la información

Deben existir mecanismos que restrinjan el acceso a la información

MISC-03-1-1

155

Indicador de Gestión Identificador OPE.096 Nombre Establecer si existen mecanismos que aíslan los sistemas

sensibles Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que aíslen los sistemas sensibles Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que aíslan los sistemas sensiblesNO: En el Sistema de Información NO existen mecanismos que aíslan los sistemas sensibles

Deben existir mecanismos que aíslen los sistemas sensibles

Indicador de Gestión Identificador OPE.097 Nombre Establecer si existen mecanismos que permitan el registro

de eventos Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan el registro de eventos Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que permitan el registro de eventosNO: En el Sistema de Información NO existen mecanismos que permitan el registro de eventos

Deben existir mecanismos que permitan el registro de eventos

MISC-03-1-1

156

Indicador de Gestión Identificador OPE.098 Nombre Establecer si existen mecanismos que permitan el

monitoreo del uso de instalaciones de procesamiento de información


Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan el monitoreo del uso de instalaciones de procesamiento de información Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos que permitan el monitoreo del uso de instalaciones de procesamiento de informaciónNO: En la organización NO existen mecanismos que permitan el monitoreo del uso de instalaciones de procesamiento de información

Deben existir mecanismos que permitan el monitoreo del uso de instalaciones de procesamiento de información

Indicador de Gestión Identificador OPE.099 Nombre Establecer si existen mecanismos que permitan asegurar la

sincronización del reloj de los sistemas Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan asegurar la sincronización del reloj de los sistemas Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que permitan asegurar la sincronización del reloj de los sistemasNO: En Sistema de Información NO existen mecanismos que permitan asegurar la sincronización del reloj de los sistemas

Deben existir mecanismos que permitan asegurar la sincronización del reloj de los sistemas

MISC-03-1-1

157

Indicador de Gestión Identificador OPE.100 Nombre Establecer si existen mecanismos que regulen el uso de

elementos de computación móvil Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que regulen el uso de elementos de computación móvil Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos que regulen el uso de elementos de computación móvil NO: En la organización NO existen mecanismos que regulen el uso de elementos de computación móvil

Deben existir mecanismos que regulen el uso de elementos de computación móvil

Indicador de Gestión Identificador OPE.101 Nombre Establecer si existen mecanismos que regulen el trabajo

remoto Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que regulen el trabajo remoto Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos que regulen el trabajo remoto NO: En la organización NO existen mecanismos que regulen el trabajo remoto

Deben existir mecanismos que regulen el trabajo remoto

MISC-03-1-1

158

Indicador de Gestión Identificador OPE.102 Nombre Establecer si existen procesos de análisis y especificación

de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentes


Valor



Descripción Este indicador Permite establecer si existen procesos de análisis y especificación de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentes Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procesos de análisis y especificación de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentesNO: En la organización NO existen procesos de análisis y especificación de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentes

Deben existir procesos de análisis y especificación de requerimientos de seguridad para sistemas nuevos o mejoras a sistemas existentes

Indicador de Gestión Identificador OPE.103 Nombre Establecer si existen mecanismos que verifiquen la

validez de los datos de entrada a aplicaciones Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que verifiquen la validez de los datos de entrada a aplicaciones Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que verifiquen la validez de los datos de entrada a aplicacionesNO: En el Sistema de Información NO existen mecanismos que verifiquen la validez de los datos de entrada a aplicaciones

Deben existir mecanismos que verifiquen la validez de los datos de entrada a aplicaciones

MISC-03-1-1

159

Indicador de Gestión Identificador OPE.104 Nombre Establecer si existen mecanismos que verifiquen que la

integridad de la información no se vea afectada por errores de procesamiento o por actos deliberados


Valor



Descripción Este indicador Permite establecer si existen mecanismos que verifiquen que la integridad de la información no se vea afectada por errores de procesamiento o por actos deliberados Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que verifiquen que la integridad de la información no se vea afectada por errores de procesamiento o por actos deliberadosNO: En el Sistema de Información NO existen mecanismos que verifiquen que la integridad de la información no se vea afectada por errores de procesamiento o por actos deliberados

Deben existir mecanismos que verifiquen que la integridad de la información no se vea afectada por errores de procesamiento o por actos deliberados

Indicador de Gestión Identificador OPE.105 Nombre Establecer si existen mecanismos que permitan la

autenticación de mensajes Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan la autenticación de mensajes Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que permitan la autenticación de mensajes NO: En el Sistema de Información NO existen mecanismos que permitan la autenticación de mensajes

Deben existir mecanismos que permitan la autenticación de mensajes

MISC-03-1-1

160

Indicador de Gestión Identificador OPE.106 Nombre Establecer si existen mecanismos que verifiquen la

validez de los datos de salida de las aplicaciones Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que verifiquen la validez de los datos de salida de las aplicaciones Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que verifiquen la validez de los datos de salida de las aplicacionesNO: En el Sistema de Información NO existen mecanismos que verifiquen la validez de los datos de salida de las aplicaciones

Deben existir mecanismos que verifiquen la validez de los datos de salida de las aplicaciones

Indicador de Gestión Identificador OPE.107 Nombre Establecer si existen políticas de uso de controles

criptográficos para la protección de la información Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen políticas de uso de controles criptográficos para la protección de la información Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen políticas de uso de controles criptográficos para la protección de la información NO: En la organización NO existen políticas de uso de controles criptográficos para la protección de la información

Deben existir políticas de uso de controles criptográficos para la protección de la información

MISC-03-1-1

161

Indicador de Gestión Identificador OPE.108 Nombre Establecer si existen sistemas criptográficos que protejan

la integridad y confidencialidad de la información Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen sistemas criptográficos que protejan la integridad y confidencialidad de la información Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen sistemas criptográficos que protejan la integridad y confidencialidad de la informaciónNO: En el Sistema de Información NO existen sistemas criptográficos que protejan la integridad y confidencialidad de la información

Deben existir sistemas criptográficos que protejan la integridad y confidencialidad de la información

Indicador de Gestión Identificador OPE.109 Nombre Establecer si existen sistemas de firmas digitales que

garanticen la autenticidad e integridad a los mensajes digitales


Valor



Descripción Este indicador Permite establecer si existen sistemas de firmas digitales que garanticen la autenticidad e integridad a los mensajes digitales Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen sistemas de firmas digitales que garanticen la autenticidad e integridad a los mensajes digitalesNO: En el Sistema de Información NO existen sistemas de firmas digitales que garanticen la autenticidad e integridad a los mensajes digitales

Deben existir sistemas de firmas digitales que garanticen la autenticidad e integridad a los mensajes digitales

MISC-03-1-1

162

Indicador de Gestión Identificador OPE.110 Nombre Establecer si existen sistemas de no repudio que

garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistema


Valor



Descripción Este indicador Permite establecer si existen sistemas de no repudio que garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen sistemas de no repudio que garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistemaNO: En la organización NO existen sistemas de no repudio que garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistema

Deben existir sistemas de no repudio que garanticen la responsabilidad sobre la ocurrencia de eventos o acciones en el sistema

Indicador de Gestión Identificador OPE.111 Nombre Establecer si existen mecanismos para la correcta

administración de las llaves criptográficas Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos para la correcta administración de las llaves criptográficas Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos para la correcta administración de las llaves criptográficasNO: En la organización NO existen mecanismos para la correcta administración de las llaves criptográficas

Deben existir mecanismos para la correcta administración de las llaves criptográficas

MISC-03-1-1

163

Indicador de Gestión Identificador OPE.112 Nombre Establecer si existen mecanismos para garantizar la

realización de cambios segura y controlada a los archivos del sistema operativo


Valor



Descripción Este indicador Permite establecer si existen mecanismos para garantizar la realización de cambios segura y controlada a los archivos del sistema operativo Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos para garantizar la realización de cambios segura y controlada a los archivos del sistema operativoNO: En el Sistema de Información NO existen mecanismos para garantizar la realización de cambios segura y controlada a los archivos del sistema operativo

Deben existir mecanismos para garantizar la realización de cambios segura y controlada a los archivos del sistema operativo

Indicador de Gestión Identificador OPE.113 Nombre Establecer si existen mecanismos para la protección de

datos de prueba del sistema Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos para la protección de datos de prueba del sistema Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos para la protección de datos de prueba del sistemaNO: En el Sistema de Información NO existen mecanismos para la protección de datos de prueba del sistema

Deben existir mecanismos para la protección de datos de prueba del sistema

MISC-03-1-1

164

Indicador de Gestión Identificador OPE.114 Nombre Establecer si existen mecanismos que controlen el acceso

al código fuente y a las librerías de los programas Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos que controlen el acceso al código fuente y a las librerías de los programas Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que controlen el acceso al código fuente y a las librerías de los programasNO: En el Sistema de Información NO existen mecanismos que controlen el acceso al código fuente y a las librerías de los programas

Deben existir mecanismos que controlen el acceso al código fuente y a las librerías de los programas

Indicador de Gestión Identificador OPE.115 Nombre Establecer si existen mecanismos para garantizar la

actualización/modificación segura y controlada de las aplicaciones


Valor



Descripción Este indicador Permite establecer si existen mecanismos para garantizar la actualización/modificación segura y controlada de las aplicaciones Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen mecanismos para garantizar la actualización/modificación segura y controlada de las aplicacionesNO: En la organización NO existen mecanismos para garantizar la actualización/modificación segura y controlada de las aplicaciones

Deben existir mecanismos para garantizar la actualización/modificación segura y controlada de las aplicaciones

MISC-03-1-1

165

Indicador de Gestión Identificador OPE.116 Nombre Establecer si existen plataformas de pruebas que permitan

probar y analizar el posible impacto negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamiento


Valor



Descripción Este indicador Permite establecer si existen plataformas de pruebas que permitan probar y analizar el posible impacto negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamiento Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen plataformas de pruebas que permitan probar y analizar el posible impacto negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamientoNO: En el Sistema de Información NO existen plataformas de pruebas que permitan probar y analizar el posible impacto negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamiento

Deben existir plataformas de pruebas que permitan probar y analizar el posible impacto negativo de versiones nuevas o mejoras al sistema operativo antes de su implementación en sistemas en funcionamiento


los cambios y modificaciones a las aplicaciones Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen mecanismos de control que restrinjan los cambios y modificaciones a las aplicaciones Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos de control que restrinjan los cambios y modificaciones a las aplicacionesNO: En el Sistema de Información NO existen mecanismos de control que restrinjan los cambios y modificaciones a las aplicaciones

Deben existir mecanismos de control que restrinjan los cambios y modificaciones a las aplicaciones

MISC-03-1-1

166

Indicador de Gestión Identificador OPE.118 Nombre Establecer si existen mecanismos que verifiquen la inexistencia

de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar información


Valor



Descripción Este indicador Permite establecer si existen mecanismos que verifiquen la inexistencia de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar información Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que verifiquen la inexistencia de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar informaciónNO: En la organización NO existen mecanismos que verifiquen la inexistencia de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar información

Deben existir mecanismos que verifiquen la inexistencia de canales cubiertos (covert channels) en las aplicaciones adquiridas, desarrolladas internamente o desarrolladas por terceros, a través de los cuales se pueda filtrar información

Indicador de Gestión Identificador OPE.119 Nombre Establecer si existen mecanismos que verifiquen la inexistencia

de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistema


Valor



Descripción Este indicador Permite establecer si existen mecanismos que verifiquen la inexistencia de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistema Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En el Sistema de Información existen mecanismos que verifiquen la inexistencia de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistemaNO: En el Sistema de Información NO existen mecanismos que verifiquen la inexistencia de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistema

Deben existir mecanismos que verifiquen la inexistencia de caballos de troya en las aplicaciones adquiridas, desarrolladas internamente o por terceros, a través de los cuales se pueda vulnerar la seguridad del sistema

MISC-03-1-1

167

Indicador de Gestión Identificador OPE.120 Nombre Establecer si se han desarrollado procesos de

administración de riesgos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se han desarrollado procesos de administración de riesgos Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se han desarrollado procesos de administración de riesgosNO: En la organización NO se han desarrollado procesos de administración de riesgos

Deben desarrollarse procesos de administración de riesgos

Indicador de Gestión Identificador OPE.121 Nombre Establecer si se han identificado las posibles fuentes

(naturales, humanas y ambientales) de amenazas al sistema


Valor



Descripción Este indicador permite establecer si se han identificado las posibles fuentes (naturales, humanas y ambientales) de amenazas al sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se han identificado las posibles fuentes (naturales, humanas y ambientales) de amenazas al sistemaNO: En la organización NO se han identificado las posibles fuentes (naturales, humanas y ambientales) de amenazas al sistema

Deben identificarse las posibles fuentes (naturales, humanas y ambientales) de amenazas al sistema

MISC-03-1-1

168


Identificador OPE.122 Nombre Establecer si se ha realizado el análisis de amenazas al sistema


Valor



Descripción Este indicador permite establecer si se ha realizado el análisis de amenazas al sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha realizado el análisis de amenazas al sistemaNO: En la organización NO se ha realizado el análisis de amenazas al sistema

Debe realizarse el análisis de amenazas al sistema

Indicador de Gestión Identificador OPE.123 Nombre Establecer si se ha determinado la probabilidad de que las

amenazas se materialicen en ataques exitosos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se ha determinado la probabilidad de que las amenazas se materialicen en ataques exitosos Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha determinado la probabilidad de que las amenazas se materialicen en ataques exitososNO: En la organización NO se ha determinado la probabilidad de que las amenazas se materialicen en ataques exitosos

Debe determinarse la probabilidad de que las amenazas se materialicen en ataques exitosos

MISC-03-1-1

169

Indicador de Gestión Identificador OPE.124 Nombre Establecer si se ha realizado el análisis de impacto de los

riesgos al sistema Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se ha realizado el análisis de impacto de los riesgos al sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha realizado el análisis de impacto de los riesgos al sistemaNO: En la organización NO se ha realizado el análisis de impacto de los riesgos al sistema

Debe realizarse el análisis de impacto de los riesgos al sistema

Indicador de Gestión Identificador OPE.125 Nombre Establecer si se ha determinado el nivel de riesgo del

sistema Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se ha determinado el nivel de riesgo del sistema Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha determinado el nivel de riesgo del sistemaNO: En la organización NO se ha determinado el nivel de riesgo del sistema

Debe determinarse el nivel de riesgo del sistema

MISC-03-1-1

170

Indicador de Gestión Identificador OPE.126 Nombre Establecer si se han definido los mecanismos de

mitigación de riesgos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se han definido los mecanismos de mitigación de riesgos Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se han definido los mecanismos de mitigación de riesgosNO: En la organización NO se han definido los mecanismos de mitigación de riesgos

Deben definirse los mecanismos de mitigación de riesgos

Indicador de Gestión Identificador OPE.127 Nombre Establecer si se ha definido el nivel aceptable de riesgo

residual Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se ha definido el nivel aceptable de riesgo residual Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha definido el nivel aceptable de riesgo residualNO: En la organización NO se ha definido el nivel aceptable de riesgo residual

Debe definirse el nivel aceptable de riesgo residual

MISC-03-1-1

171

Indicador de Gestión Identificador OPE.128 Nombre Establecer si se han escrito e implementado planes de

continuidad del negocio (planes de contingencia) Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se han escrito e implementado planes de continuidad del negocio (planes de contingencia) Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se han escrito e implementado planes de continuidad del negocio (planes de contingencia) NO: En la organización NO se han escrito e implementado planes de continuidad del negocio (planes de contingencia)

Debe escribirse e implementarse planes de continuidad del negocio (planes de contingencia)

Indicador de Gestión Identificador OPE.129 Nombre Establecer si se ha desarrollado un marco de referencia de

planeación para la continuidad del negocio Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se ha desarrollado un marco de referencia de planeación para la continuidad del negocio Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se ha desarrollado un marco de referencia de planeación para la continuidad del negocio NO: En la organización NO se ha desarrollado un marco de referencia de planeación para la continuidad del negocio

Deben desarrollarse un marco de referencia de planeación para la continuidad del negocio

MISC-03-1-1

172

Indicador de Gestión Identificador OPE.130 Nombre Establecer si se han realizado pruebas con los planes de

continuidad del negocio para verificar que sean efectivos Denominación SI/NO

(1/0) Valor



Descripción Este indicador permite establecer si se han realizado pruebas con los planes de continuidad del negocio para verificar que sean efectivos Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización se han realizado pruebas con los planes de continuidad del negocio para verificar que sean efectivosNO: En la organización NO se han realizado pruebas con los planes de continuidad del negocio para verificar que sean efectivos

Deben realizarse pruebas con los planes de continuidad del negocio para verificar que sean efectivos

Indicador de Gestión Identificador OPE.131 Nombre Establecer si existen procesos de mantenimiento y

rediseño de planes de continuidad del negocio Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen procesos de mantenimiento y rediseño de planes de continuidad del negocio Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procesos de mantenimiento y rediseño de planes de continuidad del negocioNO: En la organización NO existen procesos de mantenimiento y rediseño de planes de continuidad del negocio

Deben existir procesos de mantenimiento y rediseño de planes de continuidad del negocio

MISC-03-1-1

173

Indicador de Gestión Identificador OPE.132 Nombre Establecer si se han definido y documentado todos los

requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información


Valor



Descripción Este indicador permite establecer si se han definido y documentado todos los requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se han definido y documentado todos los requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información NO: En la organización NO se han definido y documentado todos los requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información

Deben definirse y documentarse todos los requerimientos estatutarios, regulatorios y contractuales (y todos los otros requerimientos legales) relacionados con el sistema de información

Indicador de Gestión Identificador OPE.133 Nombre Establecer si se han definido los controles y las

responsabilidades individuales que garanticen que se cumplan los requerimientos legales


Valor



Descripción Este indicador permite establecer si se han definido los controles y las responsabilidades individuales que garanticen que se cumplan los requerimientos legales Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización se han definido los controles y las responsabilidades individuales que garanticen que se cumplan los requerimientos legalesNO: En la organización NO se han definido los controles y las responsabilidades individuales que garanticen que se cumplan los requerimientos legales

Deben definirse los controles y las responsabilidades individuales que garanticen que se cumplan los requerimientos legales

MISC-03-1-1

174


Identificador OPE.134 Nombre Establecer si existen procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual


Valor



Descripción Este indicador Permite establecer si existen procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual NO: En la organización NO existen procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual

Deben existir procedimientos que aseguren el cumplimiento de leyes que regulen el uso de material sobre el que haya derechos de propiedad intelectual

Indicador de Gestión Identificador OPE.135 Nombre Establecer si existen controles que aseguren el

cumplimiento de los términos de las licencias de software Denominación SI/NO

(1/0) Valor



Descripción Este indicador Permite establecer si existen controles que aseguren el cumplimiento de los términos de las licencias de software Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles que aseguren el cumplimiento de los términos de las licencias de software NO: En la organización NO existen controles que aseguren el cumplimiento de los términos de las licencias de software

Deben existir controles que aseguren el cumplimiento de los términos de las licencias de software

MISC-03-1-1

175

Indicador de Gestión Identificador OPE.136 Nombre Establecer si existen mecanismos que garanticen el

adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la ley


Valor



Descripción Este indicador Permite establecer si existen mecanismos que garanticen el adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la ley Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que garanticen el adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la leyNO: En la organización NO existen mecanismos que garanticen el adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la ley

Deben existir mecanismos que garanticen el adecuado almacenamiento de información contable, administrativa, y demás información que deba ser almacenada en cumplimiento de la ley

Indicador de Gestión Identificador OPE.137 Nombre Establecer si existen controles que garanticen la adecuada

protección y privacidad de la información de los clientes almacenada en el sistema de información


Valor



Descripción Este indicador Permite establecer si existen controles que garanticen la adecuada protección y privacidad de la información de los clientes almacenada en el sistema de información Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles que garanticen la adecuada protección y privacidad de la información de los clientes almacenada en el sistema de informaciónNO: En la organización NO existen controles que garanticen la adecuada protección y privacidad de la información de los clientes almacenada en el sistema de información

Deben existir controles que garanticen la adecuada protección y privacidad de la información de los clientes almacenada en el sistema de información

MISC-03-1-1

176

Indicador de Gestión Identificador OPE.138 Nombre Establecer si existen controles que monitoreen el uso de

instalaciones e infraestructura para garantizar que únicamente se les dé uso laboral


Valor



Descripción Este indicador Permite establecer si existen controles que monitoreen el uso de instalaciones e infraestructura para garantizar que únicamente se les dé uso laboral Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles que monitoreen el uso de instalaciones e infraestructura para garantizar que únicamente se les dé uso laboralNO: En la organización NO existen controles que monitoreen el uso de instalaciones e infraestructura para garantizar que únicamente se les dé uso laboral

Deben existir controles que monitoreen el uso de instalaciones e infraestructura para garantizar que únicamente se les dé uso laboral

Indicador de Gestión Identificador OPE.139 Nombre Establecer si existen controles para evitar la exportación

ilegal (voluntaria o involuntaria) de tecnologías de encripción


Valor



Descripción Este indicador Permite establecer si existen controles para evitar la exportación ilegal (voluntaria o involuntaria) de tecnologías de encripción Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen controles para evitar la exportación ilegal (voluntaria o involuntaria) de tecnologías de encripciónNO: En la organización NO existen controles para evitar la exportación ilegal (voluntaria o involuntaria) de tecnologías de encripción

Deben existir controles para evitar la exportación ilegal (voluntaria o involuntaria) de tecnologías de encripción

MISC-03-1-1

177

Indicador de Gestión Identificador OPE.140 Nombre Establecer si existen procedimientos que regulen la recolección,

el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le ley


Valor



Descripción Este indicador Permite establecer si existen procedimientos que regulen la recolección, el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le ley Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen procedimientos que regulen la recolección, el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le leyNO: En la organización NO existen procedimientos que regulen la recolección, el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le ley

Deben existir procedimientos que regulen la recolección, el almacenamiento y el transporte de evidencia digital/documental para que ésta sea admisible como evidencia en una corte le ley

Indicador de Gestión Identificador OPE.141 Nombre Establecer si existen mecanismos que permitan verificar que en

cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionales


Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan verificar que en cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionales Expresión Rango de Resultados N/A 1, que equivale a una respuesta de SI.

0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que permitan verificar que en cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionalesNO: En la organización NO existen mecanismos que permitan verificar que en cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionales

Deben existir mecanismos que permitan verificar que en cada área se están ejecutando adecuadamente los procedimientos de seguridad pertinentes, de acuerdo a las políticas y estándares de seguridad organizacionales

MISC-03-1-1

178

Indicador de Gestión Identificador OPE.142 Nombre Establecer si existen mecanismos que permitan verificar

que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionales


Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan verificar que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionales Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que permitan verificar que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionalesNO: En la organización NO existen mecanismos que permitan verificar que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionales

Deben existir mecanismos que permitan verificar que los sistemas de información están cumpliendo adecuadamente con los requerimientos técnicos de seguridad, de acuerdo a las políticas y estándares de seguridad organizacionales

Indicador de Gestión Identificador OPE.143 Nombre Establecer si existen procedimientos adecuados de

auditoria para evaluar el desempeño del sistema de información


Valor



Descripción Este indicador Permite establecer si existen procedimientos adecuados de auditoria para evaluar el desempeño del sistema de información Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen procedimientos adecuados de auditoria para evaluar el desempeño del sistema de informaciónNO: En la organización NO existen procedimientos adecuados de auditoria para evaluar el desempeño del sistema de información

Deben existir procedimientos adecuados de auditoria para evaluar el desempeño del sistema de información

MISC-03-1-1

179


Identificador OPE.144 Nombre Establecer si existen controles que restrinjan el uso de herramientas de auditoria


Valor



Descripción Este indicador Permite establecer si existen controles que restrinjan el uso de herramientas de auditoria Expresión Rango de Resultados

N/A



Interpretación Recomendaciones SI: En la organización existen controles que restrinjan el uso de herramientas de auditoriaNO: En el Sistema de Seguridad informática NO existen controles que restrinjan el uso de herramientas de auditoria

Deben existir controles que restrinjan el uso de herramientas de auditoria

Indicador de Gestión Identificador OPE.145 Nombre Establecer si existen mecanismos que permitan el

almacenamiento seguro (que protejan la integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizados


Valor



Descripción Este indicador Permite establecer si existen mecanismos que permitan el almacenamiento seguro (que protejan la integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizados Expresión Rango de Resultados

N/A


0, que equivale a una respuesta de NO. Interpretación Recomendaciones SI: En la organización existen mecanismos que permitan el almacenamiento seguro (que protejan la integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizadosNO: En el Sistema de Seguridad informática NO existen mecanismos que permitan el almacenamiento seguro (que protejan la integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizados

Deben existir mecanismos que permitan el almacenamiento seguro (que protejan la integridad y la confidencialidad) de datos e información de auditoria, fuera del alcance de usuarios y administradores del sistema no autorizados

MISC-03-1-1

180

7. Bibliografía

• AS/NZS 4444 Australia/New Zealand Standard 4444 - Information Security Management. 1999. http://www.standards.co.nz

• Beer, Stafford. Diagnosing the system for organizations. John Wiley &

Sons.1995. ISBN 0471951366 • Ed Skoudis. CounterHack. Prentice Hall. 2001. ISBN 0130332739

• Eric Cole. Hackers Beware. Que. 2001. ISBN 0735710090 • NIST SP 800-30, National Institute of Standards and Technology – Special

Publication 800-30: Risk Management Guide for Information Technology Systems. 2002. http://csrc.nist.gov/publications/nistpubs/

• ISO/IEC 15408, International Organization for Standardization - Information

technology - Security techniques -- Evaluation criteria for IT security. 1999. http://www.iso.org

• ISO/IEC 17799, International Organization for Standardization - Information

technology - Code of practice for information security management http://www.iso.org

• ISO/IEC TR 13335, International Organization for Standardization -

Information technology - Guidelines for the management of IT Security. 2002. http://www.iso.org

• Kaplan, Robert. Norton, David. The Balanced Scorecard: Translating Strategy into Action. Harvard Business School Press. 1996. ISBN 0875846513

• Serna, Humberto. Índices de Gestión: Cómo diseñar un sistema integral

de medición de Gestión. Editorial 3R. 2001.

• Stuart McClure et al. Hacking Exposed: Network Security Secrets and Solutions. McGraw-Hill Osborne. 2003. ISBN 0072227427

Sistema Integral de Diagnóstico de la Seguridad Informática

Documents

Transcript of Sistema Integral de Diagnóstico de la Seguridad Informática