PROYECTO DE

NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

ANEXO A
(Informativo)

DEFINICIÓN DEL ALCANCE Y LOS LÍMITES DEL PROCESO DE GESTIÓN DEL

RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN

A.1 ESTUDIO DE LA ORGANIZACIÓN

Estudio de la organización. El estudio de la organización convoca los elementos

característicos que definen la identidad de una organización. Esto implica el propósito, el
negocio, las misiones, los valores y las estrategias de esta organización. Estas
características se deberían identificar junto con los elementos que contribuyen a su
desarrollo (por ejemplo, la subcontratación).

La dificultad de esta actividad está en entender con exactitud la forma en que se

estructura la organización. La identificación de su estructura real proporcionará la
comprensión de la función y la importancia de cada división para alcanzar los objetivos de
la organización.

Por ejemplo, el hecho de que el director de seguridad de la información se reporte ante la

alta gerencia en lugar de hacerlo ante los directores de tecnología de la información
puede indicar la participación de la alta gerencia en la seguridad de la información.

Propósito principal de la organización. El propósito principal de una organización se puede

definir como la razón por la cual ella existe (su campo de actividad, su segmento del
mercado, etc.).

Su negocio. El negocio de la organización, definido por las técnicas y el conocimiento de

sus empleados, le permite alcanzar sus misiones. Es específico para el campo de
actividad de la organización y, a menudo, define su cultura.

Su misión. La organización logra su propósito alcanzando su misión. Para identificar su

misione, es recomendable identificar los servicios suministrados y/o los productos
manufacturados con relación a los usuarios finales.

Sus valores. Los valores son los principios más importantes o el código de conducta bien
definido que se aplica al ejercicio de un negocio. Puede involucrar al personal, las
relaciones con agentes externos (clientes, etc.), la calidad de los productos suministrados
o de los servicios prestados

Tome el ejemplo de una organización cuyo propósito es el servicio público, cuyo negocio
es el transporte y cuyas misiones incluyen el transporte de niños hacia y desde la escuela.
Sus valores pueden ser la puntualidad del servicio y la seguridad durante el transporte.

Estructura de la organización. Existen diferentes tipos de estructura:

- estructura divisional: cada división está bajo la autoridad de un director de división,

responsable de las decisiones estratégicas, administrativas y operativas con
respecto a su unidad;
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

- estructura funcional: la autoridad funcional se ejerce en los procedimientos, la

naturaleza del trabajo y, algunas veces, las decisiones o la planificación (por
ejemplo, producción, tecnología de información, recursos humanos, mercadeo,
etc.).

Observaciones:

- una división dentro de una organización con estructura divisional puede estar
organizada como una estructura funcional y viceversa;

- se puede decir que una organización tiene una estructura de matriz si tiene
elementos de ambos tipos de estructura;

- en cualquier estructura organizacional se pueden diferenciar los siguientes niveles:

- el nivel de toma de decisiones (definición de las orientaciones estratégicas);

- el nivel de liderazgo (coordinación y gestión);

- el nivel operativo (actividades de producción y soporte).

Cuadro de la organización. La estructura de la organización se representa de manera

esquemática en un cuadro de la organización. Esta representación debería resaltar las
líneas de reporte y delegación de autoridad, pero también debería incluir otras relaciones
que, aún si no se basan en ninguna autoridad formal, son líneas de flujo de información.

Estrategia de la organización. Esto requiere de una expresión formal de los principios que
guían a la organización. La estrategia de la organización determina la dirección y el
desarrollo necesarios con el fin de obtener beneficios de los aspectos en juego y de los
cambios importantes que se planifican.

A.2 LISTADO DE LAS RESTRICCIONES QUE AFECTAN A LA ORGANIZACIÓN

Es recomendable tomar en consideración todas las restricciones que afectan a la

organización y que determinan su orientación en seguridad de la información. Los
orígenes pueden estar dentro de la organización, en cuyo caso ésta tiene algún control
sobre ellas, o fuera de la organización y por lo tanto, en general, no son negociables. Las
restricciones de recursos (presupuesto, personal) y las restricciones de emergencias
están entre las más importantes.

La organización determina sus objetivos (con respecto a su negocio, comportamiento,

etc.), comprometiéndose con un camino determinado, posiblemente en un periodo largo
de tiempo. Define en lo que se quiere convertir y los medios que necesitará para la
implementación. Al especificar este camino, la organización tiene en cuenta los progresos
en las técnicas, el conocimiento y experiencia, los deseos expresados de los usuarios, los
clientes, etc. Este objetivo se puede expresar en forma de estrategias de desarrollo u
operativas con la meta de, por ejemplo, disminuir los costos operativos, mejorar la calidad
del servicio, etc.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Estos estrategias incluyen probablemente la información y el sistema información (SI),

que facilita su aplicación. En consecuencia, las características relacionadas con identidad,
misión y estrategias de la organización son elementos fundamentales en el análisis del
problema dado que la brecha en un aspecto de seguridad de la información podría dar
como resultado un replanteamiento de estos objetivos estratégicos. Además, es esencial
que las propuestas para los requisitos de la seguridad de la información permanezcan
consistentes con las reglas, los usos y los medios establecidos en la organización.

El listado de restricciones incluye las siguientes, pero no se limita a ellas:

PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Restricciones de naturaleza política

Estas restricciones pueden implicar a las administraciones del gobierno, instituciones

públicas o, en términos más generales, a cualquier organización que deba aplicar
decisiones del gobierno. Por lo común, son decisiones relacionadas con la orientación
operativa o estratégica, tomadas por una división del gobierno o un organismo encargado
de tomar decisiones, y se deberían aplicar.

Por ejemplo, la sistematización de facturas o documentos administrativos introduce

problemas de seguridad de la información.

Restricciones de naturaleza estratégica

Las restricciones se pueden originar en cambios planificados o posibles en la orientación

o la estructura de la organización. Se expresan en los planes operativos o estratégicos de
la organización.

Por ejemplo, la cooperación internacional al compartir información sensible puede hacer

que se requieran acuerdos relacionados con el intercambio seguro.

Restricciones territoriales

La estructura y/o el propósito de la organización pueden introducir restricciones

específicas tales como la distribución de las sedes en todo el territorio nacional o en el
extranjero.

Los ejemplos incluyen servicios postales, embajadas, bancos, subsidiarias de un grupo

industrial grande, etc.

Restricciones que se originan en el clima político y económico

El funcionamiento de una organización puede sufrir cambios profundos debido a eventos

específicos tales como huelgas o crisis nacionales e internacionales.

Por ejemplo, algunos servicios deberían ser continuos, incluso durante una crisis grave.

Restricciones estructurales

La naturaleza de la estructura de una organización (divisional, funcional u otras) puede

llevar a que la política específica de seguridad de la información y la organización de la
seguridad se adapten a la estructura.

Por ejemplo, una estructura internacional debería poder aceptar los requisitos de
seguridad específicos para cada país.

Restricciones funcionales

Las restricciones funcionales se originan directamente en las misiones específicas o

generales de la organización.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Por ejemplo, una organización que funciona las 24 horas del día debería garantizar que
sus recursos estén disponibles continuamente.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Restricciones relacionadas con el personal

La naturaleza de estas restricciones varía considerablemente. Ellas están ligadas a: nivel

de responsabilidad, contratación, calificación, entrenamiento, concienciación sobre la
seguridad, motivación, disponibilidad, etc.

Por ejemplo, la totalidad del personal de una organización de defensa debería tener la
autorización para manejar información altamente confidencial.

Restricciones que se originan en el calendario de la organización

Estas restricciones pueden ser el resultado de la reestructuración o el establecimiento de

políticas nacionales o internacionales que impone fechas límites determinadas.

Por ejemplo, la creación de una división de seguridad.

Restricciones relacionadas con los métodos

Será necesario que métodos adecuados para los conocimientos de la organización se

impongan para aspectos tales como planificación de proyectos, especificaciones,
desarrollo, etc.

Por ejemplo, una restricción típica de este tipo es la necesidad de incorporar las
obligaciones legales de la organización en la política de seguridad.

Restricciones de naturaleza cultural

En algunas organizaciones, los hábitos de trabajo o el negocio principal han llevado a una
"cultura" específica dentro de la organización, la cual puede ser incompatible con los
controles de seguridad. Esta cultura es el marco general de referencia del personal y
puede estar determinada por muchos aspectos que incluyen educación, instrucción,
experiencia profesional, experiencia fuera del trabajo, opiniones, filosofía, creencias,
status social, etc.

Restricciones de presupuesto

Los controles recomendados para la seguridad puede en ocasiones tener un costo muy
alto. Aunque no siempre es conveniente basar las inversiones de seguridad en la relación
costo-eficacia, generalmente el departamento financiero de la organización exige una
justificación económica.

Por ejemplo, en el sector privado y algunas organizaciones públicas, el costo total de los
controles de seguridad no debería exceder al costo de las consecuencias potenciales de
los riesgos. Por ende, la alta gerencia debería evaluar y tomar riesgos calculados si quiere
evitar los costos de seguridad excesivos.

A.3 LISTADO DE LAS REFERENCIAS LEGISLATIVAS Y REGLAMENTARIAS QUE

SE APLICAN A LA ORGANIZACIÓN
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Los requisitos reglamentarios que se aplican a la organización deberían estar

identificados. Estos pueden ser leyes, decretos, reglamentos específicos en el campo de
la organización o reglamentos internos/externos. Esto también involucra contratos y
acuerdos y, de forma más general, todas las obligaciones de naturaleza legal o
reglamentaria.

A.4 LISTADO DE LAS RESTRICCIONES QUE AFECTAN AL ALCANCE

Al identificar las restricciones, es posible hacer un listado de aquellas que tienen un

impacto en el alcance y determinar cuáles son, no obstante, viables para la acción. Estas
se añaden y, posiblemente enmienden, a las restricciones de la organización
determinadas anteriormente. Los siguientes párrafos representan un listado no exhaustivo
de los posibles tipos de restricciones.

Restricciones que se originan en procesos preexistentes

Los proyectos de aplicación no necesariamente se desarrollan simultáneamente. Algunos

dependen de procesos ya existentes. Aunque un proceso se puede dividir en
subprocesos, el proceso no necesariamente tiene influencia de todos los subprocesos de
otro proceso.

Restricciones técnicas

Las restricciones técnicas, relacionadas con la infraestructura, en general se originan del

hardware y software instalados, y en los recintos o los lugares que albergan a los
procesos:

- archivos (requisitos relacionados con la organización, la gestión de los medios, la

gestión de las reglas de acceso, etc.)

- arquitectura general (requisitos relacionados con la topología (centralizada,

distribuida, cliente-servidor), arquitectura física, etc.)

- software de aplicación (requisitos relacionados con el diseño de software

específico, normas de mercado, etc.)

- paquetes de software (requisitos relacionados con normas, nivel de evaluación,

calidad, conformidad con las normas, seguridad, etc.)

- hardware (requisitos relacionados con normas, calidad, conformidad con las

normas, etc.)

- redes de comunicación (requisitos relacionados con cobertura, normas, capacidad,

confiabilidad, etc.)

- infraestructura de la edificación (requisitos relacionados con ingeniería civil,

construcción, altas tensiones, bajas tensiones, etc.)

Restricciones financieras
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

La implementación de los controles de seguridad con frecuencia está restringida por el

presupuesto que la organización puede comprometer. Sin embargo, las restricciones
financieras deberían ser las últimas en considerarse dado que la distribución de
presupuesto para la seguridad de puede negociar con base en el estudio de seguridad.

Restricciones ambientales

Las restricciones ambientales se originan en el ambiente geográfico o económico en el

cual se implementan los procesos: país, clima, riesgos naturales, situación geográfica,
clima económico, etc.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Restricciones de tiempo

El tiempo que se requiere para implementar los controles de seguridad se debería

considerar con respecto a la capacidad de actualizar el sistema de información; si el
tiempo para la implementación es muy prolongado, los riesgos para los cuales se diseñó
el control pueden haber cambiado. El tiempo es un factor determinante para la selección
de soluciones y prioridades.

Restricciones relacionadas con los métodos

Se deberían utilizar métodos adecuados para los conocimientos de la organización para la

planificación de proyectos, especificaciones, desarrollo, etc.

Restricciones organizacionales

Varias restricciones se pueden deducir de los requisitos organizacionales:

- funcionamiento (requisitos relacionados con tiempos de entrega, suministro de

servicios, vigilancia, monitoreo, planes de emergencia, funcionamiento degradado,
etc.)

- mantenimiento (requisitos para la detección y solución de incidentes, acciones

preventivas, corrección rápida, etc.)

- gestión de recursos humanos (requisitos relacionados con entrenamiento del

operario y el usuario, calificación para cargos tales como administrador del sistema
o administrador de datos, etc.)

- gestión administrativa (requisitos relacionados con las responsabilidades, etc.)

- gestión del desarrollo (requisitos relacionados con herramientas para el desarrollo,

ingeniería de software ayudada con computador, planes de aceptación,
organización que se va a establecer, etc.)

- gestión de las relaciones externas (requisitos relacionados con la organización de

las relaciones con terceras partes, contratos, etc.)