FUNCIONAMIENTO DEL MODELO - Modelo guía para la Certificación en ISO 27001 de las entidades, qu

CAPITULO 3: MODELO

3.4 FUNCIONAMIENTO DEL MODELO

La forma de evaluación del modelo, partirá de las fases del mismo, en las cuales se asignará un porcentaje:

Tabla 8 Definición de porcentaje de fases. Los autores

ANÁLISIS Y DEFINICIÓN 35%

IMPLEMENTACIÓN 25%

SEGUIMIENTO 20%

MANTENIMIENTO Y MEJORA 20%

• Fase de análisis y definición (35%): Se realizó la asignación de este porcentaje debido a que, en esta se encuentran los parámetros que definirán todo el sistema de seguridad. Al ser un eje central, la fase debe tener un valor considerable y de gran importancia. • Fase de implementación (25%): Se designo este porcentaje, debido a que luego de

constituir los parámetros para reforzar la seguridad de la información, es sumamente importante realizar una planeación alrededor de la implementación del sistema, una gran parte del éxito es su adaptación como compañía del mismo sistema, porque no serviría de nada calcular los parámetros y definir estándares, si las personas no se acomodan a los mismos.

• Fase de seguimiento (20%): Es importante continuar analizando el modelo de seguridad, luego de la implementación del mismo. Debido a que muchas veces, salen a flote los pequeños detalles que nadie diviso. Por lo tanto, el porcentaje de esta fase,

no demanda mucho esfuerzo como las anteriores, pero es sumamente importante, revisar lo que se ha hecho y poder brindar un diagnostico que concluya su efectividad. • Fase de mantenimiento y mejora (20%): Luego de realizar un diagnóstico de las debilidades del sistema de seguridad, es necesario generar un plan para mitigar esos errores y optimizar el mismo, esta fase es la que brindaría poder a dicho sistema, haciéndolo cada vez más fuerte, al igual que sus usuarios, por ende, se generó dicho porcentaje.

3.4.2 Grupos de parámetros por fase.

Cada fase del modelo se encuentra comprendida por una serie de parámetros, los cuales hacen referencia a los distintos requisitos que se deben realizar para seguir el estándar de la ISO27001 y la normativa del GEL, dichos parámetros fueron agrupados por semejanza en la forma de impactar el modelo, de esta manera:

Tabla 9 Definición de porcentajes por grupos. Los autores

GRUPOS POR FASES % DESCRIPCIÓN DEL GRUPO

ANÁLISIS Y DEFINICIÓN 35%

Participación de la dirección 3%

La dirección debe involucrarse en todos los pasos de inclusión del modelo, aparte de ser un requisito de la norma ISO27001, los directivos deben participar de dichas decisiones, porque son los que tienen siempre la última palabra. Al ser tan importante se da un porcentaje considerable en solo el ítem.

Definición del alcance 3%

Definir a quienes va dirigido el sistema de seguridad, es decir, quienes deben implementarlo y adaptarse a él. Al ser tan importante se da un porcentaje considerable en solo el ítem.

Definición de la política de

seguridad 10%

Es uno de los ítems más importantes debido a que la política es la normativa, para que los usuarios implicados la sigan y la adopten, es el paso inicial para establecer los demás parámetros. Al ser tan importante se da un porcentaje considerable en solo el ítem.

GRUPOS POR FASES % DESCRIPCIÓN DEL GRUPO

Ítems asociados a riesgos 5%

Los riesgos son los que miden el nivel de peligro que tiene la entidad en contexto a la seguridad de la información, por lo tanto, se debe definir todos los objetos implicados en la identificación de los riesgos (Activos, vulnerabilidades, amenazas, tratamiento, etc.).

*Objetivos de control 7%

El anexo de la norma 27001 debe analizarse por aparte, debido a que, no todos los objetivos le comprenden a la empresa. De esa evaluación sale este porcentaje.

Ítems asociados a GEL 5%

La estrategia de gobierno en línea, involucra a las entidades en la apropiación y el uso adecuado de las tecnologías de la información, para ello se debe tener en cuenta la aplicación de definiciones, planeaciones y diagnósticos.

Otros ítems 2%

La definición de este grupo de ítems, se remite a los no clasificados en los grupos anteriores. Por ende, se les da un estimado aparte.

IMPLEMENTACIÓN 25%

Participación de la dirección 3%

Temas asociados a capacitación

del plan de seguridad 5%

Uno de los pilares de la implementación es la inclusión del personal en el sistema de seguridad, debido a que, si los involucrados no conocen su normativa, están destinados a incumplirla. Es importante tener un planteamiento, para que los funcionarios de la entidad se adapten al modelo y se apropien del mismo.

GRUPOS POR FASES % DESCRIPCIÓN DEL GRUPO

Planes de implementación 8%

Se debe definir la forma de implementar los procesos para llevar a cabo la implementación, es el ítem más complejo de esta fase por ende se le designa dicho puntaje.

Otros ítems 3%

La definición de este grupo de ítems, se remite a los no clasificados en los grupos anteriores. Por ende, se les da un estimado aparte.

Temas asociados a GEL 6%

La estrategia de gobierno en línea, involucra a las entidades en la apropiación y el uso adecuado de las tecnologías de la información, para ello se debe tener en cuenta la logística para la ejecución de los procesos de seguridad de la información.

SEGUIMIENTO 20%

Participación de la dirección 3%

Identificación de acciones preventivas y correctivas 5%

Llevada la evaluación deben identificarse los principales problemas que surgieron o los eventos que no ocurrieron, pero podrían suceder. Por ende, es necesario llevar a cabo, una identificación tanto de las acciones para prevenir futuros riesgos, como las acciones para corregir las falencias.

Medición de la eficacia de la

implementación 6%

Es necesario realizar una medición que indique los niveles de efectividad, de haber implementado el sistema propuesto, de allí es necesario que se identifiquen las vulnerabilidades del sistema y los aspectos a mejorar.

GRUPOS POR FASES % DESCRIPCIÓN DEL GRUPO Temas asociados al GEL 6%

La estrategia de gobierno en línea, involucra a las entidades en la apropiación y el uso adecuado de las tecnologías de la información, se deben ejecutar ideas para brindarle mejores resultados a la dirección. MANTENIMIENTO Y MEJORA

20%

Implementación de mejoras 6%

Al pasar la fase de seguimiento, se deben identificar las posibles mejoras y por lo tanto se debe generar un plan de implementación de mejoras al sistema de seguridad.

Implementación de acciones preventivas y correctivas 6%

Se debe establecer un plan de implementación de las acciones correctivas y preventivas al sistema de seguridad.

Participación de la dirección 3%

Temas asociados al GEL 5%

La estrategia de gobierno en línea, involucra a las entidades en la apropiación y el uso adecuado de las tecnologías de la información, se deben revisar y comunicar los resultados de los indicadores a la dirección para que pueda tomar decisiones tanto de mejora como de prevención y corrección.

La sumatoria de los porcentajes de cada grupo corresponde al porcentaje asignado a cada fase, este es dividido en porcentajes más pequeños y asignados a cada grupo dependiendo su importancia en el modelo.

3.4.3 Aplicación de cada ítem para la entidad que diligencia el modelo.

No todos los ítems son aplicables en toda entidad, debido a que todas tienen una necesidad de seguridad diferente, el modelo brinda la oportunidad de seleccionar los ítems que le aplican a la entidad, el encargado de seguridad debe identificarlos y ser totalmente sincero, en cuanto a su selección, ya que el modelo garantizara un nivel de evaluación de acuerdo a lo escogido, y los resultados estarán sujetos a lo mismo.

3.4.4 Nivel de cumplimiento de cada ítem.

Los ítems pueden tener 3 tipos de clasificación de acuerdo a su cumplimiento, esta calificación depende enteramente del encargado de la seguridad, y su veracidad corresponde con el discernimiento del encargado que diligencie el modelo.

Las calificaciones son las siguientes:

Tabla 10 Calificación. Los autores

Cumple satisfactoriamente

Se realizó completamente y con resultado satisfactorio la actividad correspondiente

al ítem.

0,5 Cumple Parcialmente

La actividad del ítem fue realizada pero aún se tienen dudas tanto de su resultado, o

de si fue realizada en su totalidad.

0 No Cumple

No se realizó ningún tipo de actividad para este ítem.

3.4.5 Sistema de evaluación del modelo.

De acuerdo a las fases y a los grupos definidos, se realizó un sistema de evaluación para generar un nivel de madurez que pueda tener la entidad, al momento de diligenciar el modelo. Entonces, se tendrá:

X: Los ítems que aplican de acuerdo a los grupos definidos por fase. ∑x: Sumatoria de los ítems que le aplican a la entidad, por grupo. Y: Calificación de cumplimiento de cada ítem.

∑y: Sumatoria de las calificaciones del cumplimiento, por grupo.

Z: Es la multiplicación de la sumatoria de la calificación del cumplimiento por grupo por el porcentaje dado a dicho grupo sobre la sumatoria de los ítems que le apliquen al grupo. Dada por la siguiente formula:

Z= ∑y * (% de valor por grupo/ ∑x)

Formulas 1 Multiplicación de la sumatoria de la calificación del cumplimiento. Los autores

Estas Z se deben calcular por cada grupo y sumar por cada fase: Za= Valor por grupo de la fase de Análisis.

∑Za= Sumatoria de todos los valores por grupo de la fase de análisis. Zb= Valor por grupo de la fase de implementación.

∑Zb= Sumatoria de todos los valores por grupo de la fase de implementación. Zc= Valor por grupo de la fase de seguimiento.

∑Zc= Sumatoria de todos los valores por grupo de la fase de seguimiento. Zd= Valor por grupo de la fase de mantenimiento y mejora.

∑Zd= Sumatoria de todos los valores por grupo de la fase de mantenimiento y mejora.

Con estos valores puede ser establecidos el nivel de madurez del modelo.

N: Valor del nivel de madurez del modelo a evaluar. Esta dado por la siguiente Formula.

N= ∑Za + ∑Zb +∑Zc + ∑Zd.

Formulas 2 Valor del nivel de madurez. Los autores

3.4.6 Niveles de Madurez del modelo.

El valor de nivel de madurez estará dado por el rango de 0 a 1, basado enteramente en los niveles de madurez del modelo de seguridad de Gobierno en línea, se tendrán 6 niveles definidos de este modo:

Tabla 11 Definición de los rangos de los Niveles de madurez del sistema de evaluación. Los autores

RANGO INICIAL RANGO FINAL DEFINICIÓN

0 0,16 INEXISTENTE 0,17 0,33 INICIAL 0,34 0,5 REPETIBLE 0,51 0,66 DEFINIDO 0,67 0,83 ADMINISTRADO 0,84 1 OPTIMIZADO

De esta manera la entidad, podrá tener en cuenta en qué estado se encuentra a nivel del modelo. Y así podrá bien sea gestionar su mejora o calcular en qué punto se encuentra haciendo más sencilla la labor de gestiona miento.

3.4.7 Objetivos de Control Anexo A de la norma ISO27001

Los objetivos de control de la norma ISO27001, son un proceso de apoyo en la generación del SGSI, basados en la ISO 17799. Son parámetros que la entidad puede adaptar a su propio sistema de seguridad y realizar.

Para la evaluación de los mismos en el modelo, se ha diseñado el siguiente método de evaluación. Se tiene que:

O: Controles del anexo A de la norma ISO27001:2013. Son en total 114 controles.

W: control que no le aplican a la entidad. (Debido a que están sujetos a conveniencia de la entidad, se toma como parámetro para el proceso de evaluación).

∑W: La sumatoria de los controles que no le aplican a la entidad.

V: Objetivos en total que le aplican a la entidad que está realizando el diligenciamiento del modelo. Vendrá dada por la formula.

V= O-∑W

Formulas 3 Objetivos en total que le aplican a la entidad. Los autores

T: Calificación de cumplimiento. (viene dada de la misma forma de evaluación del cumplimiento del modelo. Ver tabla.)

∑T= Sumatoria de las calificaciones de cumplimiento, en los controles.

S: El total de puntaje que llevaría la entidad, de acuerdo a los controles implementados. Y vendría dado por la siguiente formula:

S= ∑T/V

Formulas 4 Puntaje totales por controles. Los autores

De esta calificación dependerá el ítem de OBJETIVOS DE CONTROL en la fase de ANÁLISIS del modelo. El rango de esta calificación se dará de 0 a 1 comprendido por los siguientes rangos:

Tabla 12 Definición de la calificación para los objetivos de control. Los autores

RANGO INICIAL RANGO FINAL DEFINICIÓN

0 0,33 No Cumplió (0)

0,34 0,66 Cumple Parcialmente (0,5)

0,67 1 Cumple satisfactoriamente (1)

In document Modelo guía para la Certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea (página 75-83)