Este documento presenta un borrador de un Plan Director de Seguridad de la Información. Explica que el Plan Director permite definir las actividades de Seguridad de la Información a corto, mediano y largo plazo. Identifica los requisitos organizativos y de seguridad, los activos y su importancia, y realiza un análisis de riesgos. Además, alinea la seguridad con la estrategia de negocio y establece objetivos, estrategias, políticas y controles para gestionar los riesgos.

1. PLAN DIRECTOR DE
SEGURIDAD
@d7n0
© JHON JAIRO HERNÁNDEZ HERNÁNDEZ
Dinosaurio – Dino
Jhonjairo.hernandezœ@hackinganddefense.co
d7n0s4ur70@gmail.com
HACKING & DEFENSE SAS
© Jhon Jairo Hernández Hernández

2. © Jhon Jairo Hernández Hernández
Director Proyectos,
Consultor Seguridad Informática / Información
Investigador Informática Forense
Académico, Socio Fundador HACKING& DEFENSE SAS
#whoami

3. El Plan Director de Seguridad es la herramienta que
permite a una organización definir sus actividades en
Seguridad de los Sistemas de Información a corto,
medio y largo plazo.

4. Los objetivos y las necesidades en materias de
Seguridad de la Información, tales como los
requisitos de seguridad en el negocio:
Identificar los requisitos organizativos de la seguridad
de los Sistemas de Información.
Identificar los activos y realizar una valoración de su
importancia.
Análisis de riesgos: identificar amenazas reales y
potenciales sobre los activos.
Alinear la seguridad con la estrategia de negocio:
Determinar objetivos, estrategia y políticas.
Gestionar los riesgos: establecer los controles y las
salvaguardas a implantar.
Seguimiento de la gestión de riesgos.

6. Un Plan Director de Seguridad deberían contemplar, al
menos, los siguientes aspectos:
¿Qué está bien?, ¿Qué está mal?, ¿Qué
necesita mejorar?, ¿Se cumple
con los objetivos?, ¿Cuáles los
riesgos principales y a qué son
debidos?, ¿Sobre qué procesos de
negocio me impactan estos riesgos?, es
decir, ¿en qué procesos existe un
mayor riesgo?, ¿Qué procesos de
negocio están afectados por las
vulnerabilidades detectadas?

7. El nivel de seguridad que se desea alcanzar:
¿Hasta dónde queremos llegar?,
¿Dónde va a estar nuestro umbral de riesgo?
¿Cómo vamos a gestionar los riesgos
(Evitándolos, Suprimiéndolos,
Transfiriéndolos, Reduciéndolos)?.

8. Las necesidades reales en materia de Seguridad para la
Organización: Estas necesidades quedarán recogidas en
forma de proyectos o acciones a realizar/ejecutar.

9. La planificación de la
implantación:
Proyectos a Corto Plazo (a
iniciar en los próximos 1
meses), Proyectos a Medio
Plazo (a iniciar en el período
comprendido entre los 12-24
meses desde la fecha
actual), Proyectos a Largo
Plazo (a iniciar en el período
comprendido entre los 2-36
meses desde la fecha
actual).

10. Secuencia temporal y
dependencia entre los
proyectos: Una hoja de ruta
que defina y establezca las
relaciones de precedencia y
dependencia entre las
diferentes acciones
identificadas, así como el
marco temporal propuesto
para su ejecución (Acciones
predecesoras y vinculadas).

11. La inversión a realizar: para cada una de las
acciones o proyectos que se identifiquen
Cuantificación de
recursos y costes:
considerando la
totalidad de los costes
asociados en caso de
apostar por soluciones
de terceros (costes de
adquisición,
implementación,
mantenimiento,
formación a usuarios y
operadores) y la
dedicación de los
recursos internos.

12. Para el desarrollo del Plan Director de Seguridad
se consideran tanto los aspectos organizativos
como los aspectos procedimentales, técnicos y
humanos asociados con la seguridad de los
sistemas de información. En el marco de su
desarrollo se toma como base la Norma ISO
27002: "Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información"
(antigua Norma ISO/IEC 17799:2005),

14. Así como todas aquellas normativas y estándares que
resulten aplicables de forma específica a la
organización, como la legislación vigente en materia de
protección de datos de carácter personal, el estándar
PCI DSS o COBIT, entre otros. Se realiza, asimismo, un
análisis técnico de vulnerabilidades, mediante la
realización de tests de intrusión internos y externos.

15. SGSI

16. Contenido
• SGSI
• ISO 27000
• Análisis de Brecha
• Evaluación de Riesgos
• Política de seguridad
• Organización de la Seguridad
• Control y clasificación de los activos de la información
• Seguridad del personal
• Seguridad física y ambiental
• Administración de Comunicaciones y Operaciones
• Control de Acceso
• Desarrollo y mantenimiento de Sistema
• Administración de los incidentes de seguridad
• Administración de la continuidad del negocio
• Cumplimiento de disposiciones legales
• Manual del Sistema de Gestión de Seguridad de la Información

17. Modelo de Gestión
Planeación
Implantación
Divulgación
Gestión
Riesgo
Remediación
PARTESINTERESADAS
ExpectativasyRequisitosde
Seguridad
Políticas
Procesos
Procedimientos
Instructivos
SGSI
• Sistema Gestión
Seguridad
Información
PDC
• Servicios de TI
Proyectos
• Ciberseguridad
• Seguridad de TI
Riesgos
ETH
Repor
tes
SOC
Hardening
Gestión
Vulnerabilidades
Tratamiento a los
Hallazgos de Auditoria

18. 5. POLÍTICA

19. 5.1Política de seguridad de la
información
Objetivo: Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo
con los requisitos del negocio y los reglamentos y las leyes pertinentes.
La directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar
apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política
de seguridad.
5.1.1 Documento de política de seguridad de la información
Control
La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar
la politíca a todos los empleados y las partes externas relevantes
5.1.2 Revisión de la política de seguridad de la información
Control
La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se
produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.

20. 5.1Política de seguridad de la
información

21. 5.1Política de seguridad de la
información

22. 5.1Política de seguridad de la
información

23. 5.1Política de seguridad de la
información
TIPOS DE POLÍTICAS
 Puede haber una política para los clientes para asegurar que la organización administra la seguridad de la
información.
 Habrá definitivamente una política interna comunicada a todo el personal involucrado en el alcance.
 Las pequeñas organizaciones podrán necesitar solamente una política.
 Las grandes organizaciones pueden necesitar de políticas distintas para diversas partes de la organización.
 Puede haber políticas secundarias que estarán disponibles solamente para conocimiento de algunas
personas, por Ej. Política para la sala de computo, Política de trabajo en un ambiente seguro, etc.
DESARROLLANDO POLÍTICAS
 El marco de un sistema de gestión de seguridad de la información eficaz es una declaración de la política
bien escrita.
 Esta es la fuente de la cual las directrices, los estándares, los procedimientos, las pautas, la documentación
de soporte serán generados.
 Las políticas son directrices de gestión para crear un programa de seguridad de la información, para
establecer sus objetivos, medidas y metas y para asignar responsabilidades.

24. 5.1Política de seguridad de la
información
¿POR QUE TENEMOS POLÍTICAS?
 La ausencia de una política establecida, permite que las actividades actuales, pasadas y futuras se
conviertan en políticas de hecho pues no hay políticas formales a defender
 Implantando políticas la organización toma control de su destino.
 El objetivo de una política de seguridad es mantener su integridad, la confidencialidad y la disponibilidad de
los bienes de información.
 Un objetivo en si mismo no es bastante; para hacer cumplir controles para alcanzar el objetivo es necesario
tener políticas formales.
¿QUE ES UNA POLÍTICA?
 El término política se define como una declaración de alto nivel de las creencias, metas y objetivos de una
organización y los medios generales para el logro de un tema especifico. Una política debe ser breve
(recomendado) y puesta en un alto nivel.
 Una política no es una descripción especifica y detallada del problema ni de cada paso necesario para
implantarla.

25. 5.1Política de seguridad de la
información
ELEMENTOS DOMINANTES DE UNA POLÍTICA
Para satisfacer las necesidades de la organización una política debe:
 Ser fácil de entender
 Ser aplicable
 Ser posible de implantar
 Ser controlable
 Ser proactiva
 Evitar los absolutos
 Satisfacer los objetivos del negocio
FORMATO DE LA POLÍTICA
 La disposición real de la política dependerá del formato normal de la organización.
 Es importante que la política sea una política publicada de la organización, ya que necesita ser leída y no
ignorada.
 Manténgala en formato breve, por Ej. “Información es un bien y propiedad de la organización o de un
proveedor, un cliente o un socio. Todos los empleados son responsables de proteger estos bienes contra el
acceso, la modificación o la divulgación, o la destrucción desautorizados”.

26. 5.1Política de seguridad de la
información
CONTENIDO DE LA POLÍTICA
 La política debe ser clara para no generar nuevos problemas.
 Al escribir una política recuerde quién es la audiencia y utilice lo siguiente:
 ¿Qué – que es lo quede debe ser protegido? (el intento)
 ¿Quién – quién es responsable? (las responsabilidades)
 ¿Donde– donde dentro de la organización? (alcance)
 ¿Cómo – como con la conformidad será supervisada? (conformidad)
 ¿Cuando– cuando la política tendrá efecto?
 ¿Por qué – por que fue desarrollada?
EJEMPLO
“La información es un valioso bien corporativo. La continuidad del negocio es dependiente de la integridad y
continuidad y disponibilidad de la información y otras propiedades. Como tal, se tomarán medidas para
proteger los bienes de la información contra uso, modificación, acceso o destrucción desautorizada, sea
accidental o intencional”.

27. 5.1Política de seguridad de la
información
EJEMPLO
1. DEFINICIONES 3
2. MARCO REGULATORIO 5
3. LÍNEA BASE DE LA POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 6
3.1. Objetivo 6
3.2. Alcance 6
3.3. Cumplimiento 6
3.4. Excepciones 7
3.5. Aplicabilidad 7
3.6. Administración de las Políticas 7
3.7. Referencias 7
3.8. Principios 7
3.2.1. Protección de la información 7
3.2.2. Protección de los recursos tecnológicos 7
3.2.3. Autorización de usuarios 7
3.2.4. Responsabilidad 8
3.2.5. Disponibilidad 8
3.2.6. Integridad 8
3.2.7. Confianza 8
3.2.8. Esfuerzo de Equipo 8
3.2.9. Soporte primario para la Seguridad de Información 8
3.2.10. Revisiones de seguridad en sistemas de Información 8
4. POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 9
4.1. Sistema de Gestión de la Seguridad de la Información 9
4.2. Capacitación y concientización 9
4.3. Organización de seguridad 10
4.4. Clasificación y control de activos 10
4.5. Seguridad con personal 11
4.6. Seguridad física 11
4.7. Administración de redes y computadores 12
4.8. Control de acceso 12
4.9. Mantenimiento y desarrollo de sistemas 13
4.10. Plan de continuidad del negocio 14
4.11. Cumplimiento de Políticas y normatividad legal 14
4.12. Aprobación de Políticas 14
5. ANEXOS 14

28. 5.1Política de seguridad de la
información