Contenido

AUDIENCIA..................................................................................................................4
INTRODUCCION..........................................................................................................5
1. MARCO DE REFERENCIA SISTEMA DE GESTIN EN SEGURIDAD DE LA
INFORMACIN SGSI.................................................................................................6
2. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIN DE LA SEGURIDAD
DE LA INFORMACIN SGSI -....................................................................................10
3.

ESTRUCTURA INSTITUCIONAL............................................................................12
3.1 Introduccin.......................................................................................................12
3.2 Nuestro Propsito...............................................................................................12
3.3 Objetivo.............................................................................................................12
3.4 Alcance..............................................................................................................12
3.5 Nuestra Misin....................................................................................................12
3.6 Nuestra Visin....................................................................................................12
3.7 Mapa de Procesos..............................................................................................12

4. IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE LA SEGURIDAD DE LA

INFORMACIN SGSI-..............................................................................................16
4.1 Objetivos del Sistema..........................................................................................16
4.1.1 Generales....................................................................................................16
4.1.2 Especficos...................................................................................................16
4.2 Polticas de Sistema de Gestin............................................................................16
4.3 Elaboracin de un Plan Seguridad de la Informacin...............................................17
4.4 Documentos de Referencia..................................................................................17
4.5 Implementacin de Sistema de Gestin de la Seguridad de la Informacin en el SGC. 17
4.5.1 Objetivos de Proyecto....................................................................................17
4.5.2 Promotor del Proyecto...................................................................................18
4.5.3 Gerente del Proyecto.....................................................................................18
4.6 Riesgos de Implementacin del Plan.....................................................................18
5.

DIAGNSTICO DE LA SITUACIN ACTUAL...........................................................19

5.1

Objetivos.......................................................................................................19

5.2

Metodologa Aplicada.....................................................................................19

5.2.1 Fases del Proceso de Implementacin SGSI....................................................20

5.2.1.1 F1 Entendimiento de los Requerimientos del Modelo...................................20
5.2.1.2 F2 Determinacin del Alcance del SGSI.....................................................21
5.2.1.3 F3 Efectuar un anlisis y evaluacin del Riesgo..........................................23
5.2.1.4 F4 Elaboracin del Plan de Continuidad de Negocio....................................24
5.2.1.5 F5 Implementar y operar el SGSI..............................................................27
5.2.1.6 F6 Monitorear y Revisar el SGSI...............................................................27
5.2.1.7 F7 Mantener y Mejorar el SGSI.................................................................28
5.2.1.8 F8 Desarrollo de Competencias Organizacionales.......................................28
5.2.1.9 F9 Redaccin del Manual de Seguridad de Informacin...............................29
5.2.1.10 F10 Ejecucin de las Auditoras Internas..................................................29
5.2.1.11 F11 Obtencin de la certificacin internacional..........................................29
GLOSARIO DE TRMINOS..........................................................................................31

AUDIENCIA
La Coordinacin de Tecnologas de la Informacin y de Comunicaciones del
Servicio Geolgico Colombiano SGC -, entidades pblicas de Orden Nacional y
Territorial, que contribuirn con sus comentarios y observaciones a este
documento con la finalidad de plantear nuevas prcticas y recomendaciones para
Implementar un Sistema de Gestin de Seguridad de la Informacin para el
Servicio Geolgico Colombiano para adoptar el Modelo de Seguridad y Privacidad
de la informacin.

INTRODUCCION
Desde hace ya algunos aos la informacin se considera uno de los activos ms
valiosos de una compaa (los costes derivados de prdida de seguridad no son
slo costes econmicos directos, sino que afectan a la imagen de la Entidad), por
lo que, cada vez ms, la seguridad de la informacin forma parte de los objetivos
de las organizaciones y, sin embargo, y a pesar de esa concienciacin
generalizada, muchas compaas no se enfrentan a este aspecto con la
profundidad con la que debiera tratarse.
La continua evolucin, crecimiento y sofisticacin de la tecnologa, al igual que los
ataques cibernticos en las organizaciones, ponen de manifiesto la necesidad de
adoptar las medidas y controles que permitan proteger a la Entidad ante las
amenazas a los activos informticos. Por esta razn se requiere efectuar un Plan
para la Implementacin de un Sistema de Seguridad Informtica que permita
salvaguardar los recursos informticos misionales de la Entidad, mediante un
proceso sistemtico, documentado y conocido por toda la Entidad.
La implementacin de modelo obedece a un enfoque de cambio, el cual implantar
un Sistema de Gestin de Seguridad de la Informacin SGSI- altera el estado
actual de una organizacin y por tanto, de manera natural, desarrolla rechazo al
cambio.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propsito de un Sistema de
Gestin de la Seguridad de la Informacin SGSI- es la de garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados
y minimizados por la Entidad de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas.
Es requisito fundamental la participacin activa de la Alta Gerencia. La decisin
de implantar un Sistema de Gestin de Seguridad de la Informacin SGSI- se
debe tomar de manera democrtica, es necesario escuchar las distintas ideas y
enfoques, pero una vez se decide su implantacin, alguien en la Entidad, debe
asumir la responsabilidad por la implantacin y no permitir disipar el proceso. Este
papel protagnico de la alta gerencia es lo que Adizes llama Implantacin
dictatorial.
La alta gerencia es la responsable del proyecto de implementacin. Se debe
asignar un Gerente (Nivel Tctico) responsable de la gestin del proyecto y sus
actividades, quien estar controlando el avance de las fases del ciclo
metodolgico y el consumo de recursos. Se requiere asesora externa con la
finalidad de para lograr una transferencia tecnolgica que permita que el
Instituto genera la capacidad interna, para poder en forma
independiente gestionar su modelo.

1. MARCO DE REFERENCIA SISTEMA DE GESTIN EN SEGURIDAD DE

LA INFORMACIN SGSI
Seguridad de la Informacin
Es la proteccin de la informacin contra amenazas respecto a Minimizar daos,
oportunidades del negocio, Retorno de la inversin, Continuidad del negocio y
Cultura tica. La Seguridad de la Informacin SI- queda documentado por tres (3)
principios que son Confiabilidad, Integridad y Disponibilidad.
Confidencialidad
La confidencialidad es la propiedad que impide la divulgacin de informacin a
personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la
informacin nicamente a aquellas personas que cuenten con la debida
autorizacin.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. Es decir, la integridad es el mantener con exactitud la informacin tal
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
Disponibilidad
Es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones. Es decir, es el acceso a la informacin y a los sistemas por personas
autorizadas en el momento que as lo requieran.
En la Seguridad de la Informacin intervienen los aspectos tecnolgicos, el
ambiente (Centro de Cmputo, Ubicaciones de las oficinas), los procesos, y
primordialmente las personas.
ISO (International Organization of Standardization)
La Organizacin Internacional de Normalizacin o ISO (del griego , isos,
que significa igual), es el organismo encargado de promover el desarrollo de
normas internacionales de fabricacin (tanto de productos como de servicios),
comercio y comunicacin para todas las ramas industriales. Su funcin principal es
la de buscar la estandarizacin de normas de productos y seguridad para las
empresas u organizaciones (pblicas o privadas) a nivel internacional.
Norma ISO 27001
Es un estndar certificable para la seguridad de la informacin que especifica los
requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema
de Gestin de la Seguridad de la Informacin SGSI- segn el conocido como
Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar).
Pgina 6 de 38

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En el 2005 incluy en ella la
primera de la serie (ISO 27001), las dems son:

ISO27000 (Trminos y Definiciones),

ISO27002 (Objetivos de Control y Controles),
ISO27003 (Gua de Implantacin de un SGSI),
ISO27004 (Mtricas y Tcnicas de Medida de la Efectividad de un SGSI),
ISO27005 (Gua para la Gestin del Riesgo de Seguridad de la Informacin) y
ISO27006 (Proceso de Acreditacin de Entidades de Certificacin y el Registro
de SGSI).

Sistema de Gestin de Seguridad de la Informacin SGSI

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de
su confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin.
En base al conocimiento del ciclo de vida de cada informacin relevante se debe
adoptar el uso de un proceso sistemtico, documentado y conocido por toda la
organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos
de la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas.
Beneficios de la Implantacin de SGSI
Establecimiento de una metodologa de gestin de la seguridad clara y
estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Pgina 7 de 38

Los clientes tienen acceso a la informacin a travs medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

Las auditoras externas ayudan cclicamente a identificar las debilidades del

sistema y las reas a mejorar.

Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad.

Conformidad con la legislacin vigente sobre informacin personal, propiedad

intelectual y otras.

Confianza y reglas claras para las personas de la organizacin.

Reduccin de costes y mejora de los procesos y servicio.

Aumento de la motivacin y satisfaccin del personal.

Aumento de la seguridad en base a la gestin de procesos en vez de en la

compra sistemtica de productos y tecnologas.

Justificacin de la Implantacin de SGSI

La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organizacin. La confidencialidad, integridad y
disponibilidad de informacin sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organizacin y asegurar
beneficios econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero
cada vez ms elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos crticos de informacin a
diversas formas de fraude, espionaje, sabotaje o vandalismo.
Los virus informticos, el hacking o los ataques de denegacin de servicio son
algunos ejemplos comunes y conocidos, pero tambin se deben considerar los
riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente
desde dentro de la propia organizacin o aquellos provocados accidentalmente
por catstrofes naturales y fallos tcnicos.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de
negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los que
un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin
de las organizaciones.
Pgina 8 de 38

El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por

s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin, con la gerencia al frente, tomando en consideracin tambin a
clientes y proveedores de bienes y servicios.
El modelo de gestin de la seguridad debe contemplar unos procedimientos
adecuados y la planificacin e implantacin de controles de seguridad basados en
una evaluacin de riesgos y en una medicin de la eficacia de los mismos.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
informacin y los asume, minimiza, transfiere o controla mediante una sistemtica
y definida, documentada y conocida por todos, que se revisa y actualiza
constantemente.

Grafico N 1 Mapa de Riesgos

El Sistema de Gestin de la Seguridad de la Informacin SGSI- ayuda a

establecer estas polticas y procedimientos en relacin a los objetivos de negocio
de la organizacin, con objeto de mantener un nivel de exposicin siempre menor
al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un Sistema de Gestin de la Seguridad de la Informacin SGSI-, la
organizacin conoce los riesgos a los que est sometida su informacin y los
asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
El propsito de un sistema de gestin de la seguridad de la informacin no es
garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los
riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, continua, repetible, eficiente y adaptada a los cambios que se
produzcan en la organizacin, los riesgos, el entorno y las tecnologas.

Pgina 9 de 38

El Sistema de Gestin de la Seguridad de la Informacin SGSI- protege los

activos de informacin de una organizacin, independientemente del medio en que
se encuentren; como es el caso de los correos electrnicos, informes, escritos
relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes,
presentaciones, contratos, registros de clientes, informacin confidencial de
trabajadores y colaboradores, entre otros.

Pgina 10 de 38

2. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIN DE LA

SEGURIDAD DE LA INFORMACIN SGSI Para realizar la implementacin de un SGSI, se deben tener en cuenta los
siguientes documentos o componentes, siempre que se inicie un proyecto de
consultora SGSI son:

Poltica y objetivos de seguridad.

Documento de contenido genrico que establece el compromiso de la Alta
Direccin y el enfoque de la organizacin en la gestin de la seguridad de la
informacin.

Alcance del SGSI.

mbito de la organizacin que queda sometido al Sistema de Gestin de la
Seguridad de la Informacin (SGSI), con una identificacin clara de las
dependencias, relaciones y lmites que existen entre el alcance y aquellas
partes que no hayan sido consideradas y en aquellos casos en los que el
mbito de influencia del SGSI considere un subconjunto de la organizacin
como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas.

Procedimientos y controles que apoyan el SGSI.

Documentacin necesaria para asegurar la planificacin, operacin y control de
los procesos de seguridad de la informacin, as como para la medida de la
eficacia de los controles implantados -Mtricas.

Descripcin de la metodologa de evaluacin del riesgo.

Descripcin de la metodologa a emplear que se realizar la evaluacin de las
amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en
relacin a los activos de informacin contenidos dentro del alcance
seleccionado, tratamiento y desarrollo de criterios de aceptacin de riesgo y
fijacin de niveles de riesgo aceptables.

Informe resultante de la evaluacin del riesgo.

Es el estudio resultante de aplicar la metodologa de evaluacin anteriormente
mencionada a los activos de informacin de la organizacin.

Plan de tratamiento de riesgos.

Es aquel documento que identifica las acciones de la Alta Direccin, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de
seguridad de la informacin, en funcin de las conclusiones obtenidas de la
evaluacin de riesgos, de los objetivos de control identificados, de los recursos
disponibles, entre otros.

Registros.
Aquel documento que proporciona evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
Pgina 11 de 38

Declaracin de Aplicabilidad (SOA -Statement Of Applicability-).

Aquel documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

Procedimiento de gestin de toda la documentacin del SGSI.

Para los documentos generados y que hacen parte del sistema SGSI se debe
establecer, documentar, implantar y mantener un procedimiento que defina las
acciones de gestin necesarias para:
La Alta Direccin debe aprobar documentos antes de su publicacin.
Revisar y actualizar documentos cuando sea necesario y renovar su
validez.
Garantizar que los cambios y el estado actual de revisin de los
documentos estn
identificados.
Garantizar que las versiones relevantes de documentos vigentes estn
disponibles en los
lugares de empleo.
Garantizar que los documentos se mantienen legibles y fcilmente
identificables.
Garantizar que los documentos permanecen disponibles para aquellas
personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos
acorde con los
procedimientos aplicables segn su clasificacin.
Garantizar que los documentos procedentes del exterior estn identificados.
Garantizar que la distribucin de documentos est controlada.
Prevenir la utilizacin de documentos obsoletos.
Aplicar la identificacin apropiada a documentos que son retenidos con
algn propsito.

Pgina 12 de 38

3. ESTRUCTURA INSTITUCIONAL
3.1 Introduccin
Para dar cumplimiento a sus objetivos estratgicos, est organizado por los
procesos necesarios para promover en la administracin pblica el
aprovechamiento de las TIC, a fin de desarrollar conjuntamente con las
instituciones, y de manera gradual, servicios electrnicos dirigidos a la ciudadana,
las empresas y el Estado.
3.2 Nuestro Propsito
Brindar lineamientos claros y coherentes para optimizar y mejorar la oportunidad
de los productos y servicios de informacin geocientfica y la gestin de
informacin desarrollada por la entidad.
3.3 Objetivo
Establecer las condiciones de planeacin, adquisicin, recibo, generacin,
administracin, depuracin, archivo, conservacin, uso y difusin de la informacin
geocientfica del Servicio Geolgico Colombiano (SGC), para ofrecer mayor
calidad y oportunidad de los datos, productos y servicios de informacin
geocientfica.
3.4 Alcance
Este conjunto de polticas inicia desde la planeacin, generacin o recopilacin de
la informacin geocientfica hasta su publicacin y aplica a los datos y productos
de informacin geocientfica en las diferentes etapas del proceso de gestin de
informacin (planeacin, adquisicin, recibo, generacin, administracin,
depuracin, archivo, conservacin, uso y difusin).
3.5 Nuestra Misin
Contribuir al desarrollo econmico y social del pas, a travs de la investigacin en
geociencias bsicas y aplicadas del subsuelo, el potencial de sus recursos, la
evaluacin y monitoreo de amenazas de origen geolgico, la gestin integral del
conocimiento geocientfico, la investigacin y el control nuclear y radiactivo,
atendiendo las prioridades de las polticas del Gobierno Nacional.
3.6 Nuestra Visin
Consolidar para su centenario en el ao 2016, al Servicio Geolgico Colombiano
como la autoridad geocientfica del territorio nacional y entidad lder en la
investigacin de aplicaciones nucleares y radiactivas.
3.7 Mapa de Procesos
Con el propsito de establecer, documentar, implementar y mantener el Sistema
de Gestin Institucional, se determinaron los procesos a su interior, que le
permiten al Servicio Geolgico Colombiano, cumplir con las funciones que tiene
asignadas. Como producto de esta actividad se defini el Modelo de Operacin de
la Entidad, el cual se muestra a continuacin:
Pgina 13 de 38

Grafico N 2 Mapa de Procesos de SGC

PROCESO DIRECCIONAMIENTO ESTRATGICO INSTITUCIONAL

Direccionar a la entidad a travs de la formulacin de estrategias, planes,
proyectos y evaluacin de la gestin, para garantizar el cumplimiento de los
objetivos institucionales.
PLANEACIN DE SISTEMAS DE GESTIN
Asegurar el enfoque y operacin del sistema integrado de gestin mediante el
diseo, documentacin e implementacin de herramientas que contribuyan al
cumplimiento de los resultados de eficacia, eficiencia y efectiva de la entidad.
COMUNICACIN Y PARTICIPACIN CIUDADANA
Divulgar y socializar las temticas institucionales y generar espacios de
participacin ciudadana mediante la difusin de informacin, interlocucin y
ampliacin de los canales de comunicacin con los pblicos internos y externos
para garantizar la satisfaccin de los ciudadanos.
INVESTIGACIN EN GEOCIENCIAS BSICAS
Generar conocimiento geocientfico integral en Geologa, Geofsica y Geoqumica,
mediante estudios e investigaciones regionales y especiales para contribuir al
desarrollo social y econmico del pas.

Pgina 14 de 38

INVESTIGACIN Y EVALUACIN DE RECURSOS MINERALES

Generar conocimiento sobre recursos minerales en el territorio nacional, mediante
estudios e investigaciones en geologa, geoqumica y geofsica para identificar
reas potenciales de recursos minerales, como aporte al desarrollo econmico y
social del sector minero del pas.
INVESTIGACIN,
EVALUACIN
Y
MONITOREO
DE
AMENAZAS
GEOLGICAS
Generar conocimiento geocientifico mediante la investigacin, evaluacin y
monitoreo de las amenazas de origen geolgico que apoye la gestin del territorio
nacional
INVESTIGACIN Y EVALUACIN DE RECURSOS HIDROCARBURFEROS
Generar conocimiento sobre recursos hidrocarburferos en el territorio nacional,
mediante estudios e investigaciones en geologa, geoqumica y geofsica para
identificar reas potenciales de hallazgo de recursos hidrocarburferos, como
aporte al aporte al desarrollo econmico y social del sector de hidrocarburos del
pas.
INVESTIGACIN Y CARACTERIZACIN DE MATERIALES GEOLGICOS
Realizar investigacin cientfica y caracterizacin de materiales de origen
geolgico en los componentes qumico, fsico, geotcnico, petrogrfico,
metalrgico y mineralgico que contribuya a la generacin del conocimiento
geocientfico.
INVESTIGACIN Y APLICACIN DE TECNOLOGIAS NUCLEARES
Realizar investigacin nuclear, caracterizacin de materiales geolgicos,
irradiacin de materiales y metrologa de radiaciones ionizantes, mediante la
aplicacin de tecnologas nucleares con el fin de aportar al conocimiento geolgico
y a usuarios de material radiactivo y de tecnologa nuclear.
GESTIN DEL CONOCIMIENTO GEOCIENTFICO
Gestionar el flujo de informacin geocientfica, mediante la estandarizacin,
inventario y almacenamiento para garantizar su integridad, disponibilidad y
confidencialidad, y as soportar la generacin del conocimiento geocientfico y la
toma de decisiones institucionales.
CONTROL DE INSTALACIONES Y DESECHOS RADIACTIVOS
Garantizar la gestin segura del material radiactivo del pas mediante la
inspeccin, vigilancia, control y licenciamiento de las operaciones con material
radiactivo en el territorio nacional y procesamiento seguro de desechos
radiactivos, minimizando los riesgos para la poblacin y el medio ambiente.

CONTRATACIN DE BIENES Y SERVICIOS

Pgina 15 de 38

Asegurar que el Servicio Geolgico Colombiano disponga oportunamente de los

bienes y servicios de acuerdo con las necesidades de las reas y de conformidad
con los requisitos legales.
GESTIN DE TECNOLOGAS DE INFORMACIN Y COMUNICACIONES - TIC
S
Apoyar todos los procesos de la entidad mediante la adopcin y adaptacin de
normas, estndares y especificaciones para garantizar el acceso,
almacenamiento, uso, intercambio, y seguridad de la informacin, por la
incorporacin de tecnologas de informacin y y comunicacin que permita cumplir
con la misin institucional y ampliar la oferta de negocio al ofrecer nuevos
productos y servicios basados en TICs.

Pgina 16 de 38

4. IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE LA SEGURIDAD

DE LA INFORMACIN SGSI4.1 Objetivos del Sistema
4.1.1 Generales
El objetivo principal es definir claramente el propsito para la implementacin del
Sistema de Gestin de Seguridad de la Informacin SGSI-, los documentos que
se redactarn, los plazos y las funciones y responsabilidades del proyecto.
4.1.2 Especficos
Realizar un diagnstico de la situacin actual entorno al ambiente de
Seguridad de la Informacin en el Servicio Geolgico Colombiano SGC.
Analizar la reglamentacin elaborada por las entidades de control respecto a
Riesgos y Seguridad de la Informacin.
Implementar bajo normas, mejores prcticas, y requerimientos de entidades de
control un Sistema de Gestin de Seguridad de la Informacin SGSI-, que
permita dar cumplimiento a la legislacin en materia de seguridad de la
informacin.
Establecer la metodologa y procedimientos necesarios para implementar la
gestin de un Sistema de Gestin de Seguridad de la Informacin para el
Servicio geolgico Colombiano SGC.
4.2 Polticas de Sistema de Gestin
El Servicio Geolgico Colombiano SGC como Instituto de Ciencia y Tecnologa se
compromete con el desarrollo social y econmico del pas, a travs de la gestin
integral del conocimiento geocientfico del subsuelo del territorio nacional, la
investigacin nuclear y radiactiva y la divulgacin de la informacin, mediante:

La investigacin en Geociencias bsicas.

La investigacin del potencial de recursos del subsuelo.
La investigacin, evaluacin y monitoreo de amenazas de origen geolgico.
La gestin integral del conocimiento Geocientfico del subsuelo.
La investigacin y aplicacin de tecnologas nucleares, el control del uso y
disposicin de materiales nucleares y radiactivos.

Con servidores pblicos expertos, competentes y comprometidos con el

mejoramiento continuo, infraestructura adecuada para el cumplimiento de la
misin de la entidad, mediante el uso de herramientas y mecanismos de
comunicacin, que permiten la interaccin y satisfaccin de los diferentes grupos
de inters, para garantizar el logro de las metas institucionales.
Pgina 17 de 38

La gestin del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha

fortalecido en las entidades pblicas como resultado de la implantacin del
sistema integrado de Gestin y Control MECI y del Sistema de Gestin de la
Calidad NTC GP 1000:2004 para las entidades pblicas.
El Modelo de Gestin de Seguridad de la Informacin que se implementar en el
Servicio geolgico Colombiano SGC es complementario con los sistemas de
calidad, control interno y desarrollo administrativo.
4.3 Elaboracin de un Plan Seguridad de la Informacin
Establecer mediante los controles seleccionados del anexo de la norma ISO
27002, los pilares de seguridad de la informacin en los activos y los procesos
que soportan los servicios del Servicio Geolgico Colombiano SGC.
Mejorar e implementar nuevas medidas de seguridad sobre los activos de
informacin, los procesos y los sistemas que permiten brindar los servicios del
Servicio Geolgico Colombiano SGC.
Establecer las normas necesarias que permitan incrementar el compromiso y
entorno de seguridad de la informacin, de los funcionarios y directivos del
Servicio Geolgico Colombiano SGC.
Establecer la planificacin necesaria para gestionar de mejor manera la
implementacin de los controles de seguridad de la informacin.
Identificar los requerimientos de normativas, servicios o software que son
necesarios implementar para mejorar y garantizar la confidencialidad,
integridad y disponibilidad de la seguridad de la informacin.
4.4 Documentos de Referencia
Para el desarrollo del presente plan y la implementacin del mismo, se ha
seleccionado a la serie de estndares ISO 27000 relacionados con seguridad de la
informacin, los cuales contienen los trminos y definiciones que nos permiten
aplicar el estndar ISO, los requisitos para implementar un SGSI, los dominios y
objetivos de control para la implementacin, y una gua de auditora til en la fase
de verificacin.
4.5 Implementacin de Sistema de Gestin de la Seguridad de la Informacin en el
SGC
4.5.1 Objetivos de Proyecto
Para implementar el Sistema de Gestin de Seguridad de la Informacin SGSI en
conformidad con la norma ISO 27001, se realizar a ms tardar, hasta finales del
mes de Noviembre del 2015, la implementacin de los documentos necesarios
que permitan gestionar de manera segura el flujo de informacin derivado de los
diferentes procesos del Servicio Geolgico Colombiano SGC.
Pgina 18 de 38

4.5.2 Promotor del Proyecto.

El promotor y responsable del presente proyecto ser la Coordinacin de
Tecnologas de la Informacin y Comunicaciones del Servicio Geolgico
Colombiano - SGC - , quien deber coordinar cada una de las fases, solicitar,
organizar o generar la documentacin que sea necesaria a fin de dar cumplimiento
a la implementacin satisfactoria del SGSI.
4.5.3 Gerente del Proyecto
La Coordinacin de Tecnologa de la Informacin y Comunicaciones estar
informando sobre los avances del proyecto a la Direccin de Gestin de la
Informacin del Servicio Geolgico Colombiano SGC.
4.6 Riesgos de Implementacin del Plan
Con la finalidad de evitar riesgos en la implementacin de dicho Plan y as poder
lograr el objetivo de este plan de implementacin de un Sistema de Gestin de la
Seguridad de la Informacin en el SGC debemos contar con un nmero de
personas comprometidas para su desarrollo con disponibilidad de tiempo
completo, contar con equipo de trabajo apropiado.

Pgina 19 de 38

5. DIAGNSTICO DE LA SITUACIN ACTUAL

5.1 Objetivos
Realizar la verificacin de la implementacin de una metodologa que
permita gestionar los riesgos del Servicio Geolgico Colombiano SGC-, la
identificacin y valoracin de activos y las amenazas sobre stos .
Verificar la administracin de accesos lgicos a los servicios internos y
externos.
Realizar la verificacin de las configuraciones de los servicios y la
documentacin generada.
Evaluacin de la arquitectura de red implementada.
Seleccionar los controles que nos van a permitir cubrir los distintos
aspectos al implementar el Sistema de Gestin de Seguridad de la
Informacin SGSI-.
Revisar las polticas, normas, procedimientos y documentos de control que
nos permiten determinar el grado de cumplimiento en la implementacin del
Sistema de Gestin de Seguridad de la Informacin SGSI-.en el Servicio
Geolgico Colombiano SGC
5.2

Metodologa Aplicada

Para esta implementacin se aplicar la metodologa EISA (Arquitectura de

Seguridad de Informacin), nos permitir poder aplicar un mtodo para
averiguar el comportamiento de los procesos de Seguridad del Servicio
Geolgico Colombiano SGC con respecto a los sistemas de Seguridad de
Informacin para cumplir las metas comunes de la Entidad y de la Direccin
Estratgica.
Con la finalidad de implementar una arquitectura de seguridad de informacin
en el Servicio Geolgico Colombiano SGC, mediante la cual dicha arquitectura
debe estar alineada con la Estrategia Organizacional y otros detalles
necesarios tales como dnde y cmo opera, y cmo la Entidad interacta
consigo misma y con otras partes tales como las entidades gubernamentales.
Para el desarrollo de la presente implementacin se deben seguir los
siguientes procedimientos:
Organizar reunin para establecer el compromiso y delegados en el
proceso de implementacin del SGSI.
El objetivo principal de sta etapa es dar a conocer las bases del proceso de
mejora continua en materia de seguridad, permitiendo al Servicio Geolgico
Colombiano SGC conocer el estado del mismo y plantear las acciones
necesarias para minimizar el impacto de los riesgos potenciales.
Pgina 20 de 38

Para adaptar el Sistema de Gestin de Seguridad de la Informacin - SGSI

-ser importante que el proyecto se ajuste a las 4 (cuatro) etapas o fases las
definidas en el ciclo de mejoramiento continuo o Ciclo de Deming definidas por
la serie de normas ISO 27000 como la mejor prctica para poder implementar
el SGSI, en el siguiente esquema se presenta las etapas en las cuales el SGSI
ser adaptado al Servicio Geolgico Colombiano SGC, las mismas etapas
sern la gua para la presentacin de avances.

Grfico N 3 Etapas Ciclo de Deming

5.2.1 Fases del Proceso de Implementacin SGSI

A continuacin se describen las fases de la metodologa y sus actividades:
5.2.1.1 F1 Entendimiento de los Requerimientos del Modelo
Taller estratgico con la gerencia para analizar requerimientos del modelo ISO
27001:2005
Esta fase es fundamental; tanto a niveles estratgicos como los tcticos en la
organizacin deben entender los requerimientos de la norma y la lgica de
funcionamiento del SGSI, as como sus beneficios para el Instituto. Esto
usualmente se logra con un taller de dos das de duracin, este taller ayuda a
que los niveles estratgicos y tcticos decidan democrticamente la
implementacin o no del modelo en el Instituto.
Pgina 21 de 38

5.2.1.2 F2 Determinacin del Alcance del SGSI

El ISO 27001:2005 est concebido bajo la ptica de sistemas. Vale decir, lo
que se aplica a todo puede aplicarse a cada elemento del todo. La amplitud
del alcance en una organizacin determinada depender de muchos factores.
Uno de ellos sern los recursos disponibles, la experiencia en la
implementacin y la criticidad de algunos procesos en relacin con el riesgo de
informacin. En fin, es una gran gama de aspectos que hay que considerar
para decidir el alcance de la empresa.
Por lo general, la implementacin del modelo se realiza por procesos que se
han considerado crticos, por su exposicin al riesgo y el impacto en la
competitividad de la organizacin.
Una vez implantado el modelo en
determinados procesos, se puede expandir el modelo a otros procesos.
Cuando es la primera vez que se desea implantar el modelo en un instituto, no
se debe ser tan ambicioso y ni escoger un proceso muy complejo que pudiera
hacer fracasar la implantacin.
La definicin del alcance, obedece a dos etapas: La primera es la estratgica y
la segunda es la tctica, que es netamente tcnica. A continuacin se detalla
las dos actividades de esta fase.

Etapa Estratgica

Esta etapa est dirigida a resolver la pregunta cul o cules procesos son los
candidatos para implantar el modelo? Esta etapa consiste en identificar los
factores crticos del xito del Instituto y por otro lado, identificar los factores
crticos, segn Alexander, 2001, los factores crticos de xito son aquellas
caractersticas organizacionales de quin depende el xito o fracaso de una
empresa.
Los factores crticos del xito y los procesos crticos del Instituto, se ponen en una
matriz como la de la tabla 1 titulada Matriz para el despliegue de un SGSI. El
propsito de la matriz es
procesos
que mayor impacto tienen en los factores crticos de xito, los procesos con mayor
impacto son los candidatos para la implementacin del modelo.
Para el caso del Instituto, los procesos se toman del mapa de procesos
desplegado por el aplicativo ISOLUCIN, en el cual se ilustran todos los procesos
del Instituto, los factores crticos de xito los deben definir la alta gerencia y el
gerente del proyecto apoyados en sus asesores, por ahora y a manera de ejemplo
se definen los procesos de negocio como los misionales y los factores crticos
unos genricos para una organizacin.
PROCESOS DE NEGOCIO
Pgina 22 de 38

Investigacin en geociencias bsicas

Investigacin y evaluacin de recursos minerales
Investigacin, evaluacin y monitoreo amenazas geolgicas
Investigacin y evaluacin de recursos hidrocarburferos
Investigacin y caracterizacin de materiales geolgicos
Investigacin y aplicacin de tecnologas nucleares
Gestin del conocimiento geocientfico
Control de instalaciones y desechos radiactivos

FACTORES CRTICOS DEL XITO

- Nuevos productos o servicios
- Funcionario competentes
- Satisfaccin del cliente
- Nuevas oportunidades de negocio
- Bajos costos de operacin

Etapa Tctica:

Esta etapa consiste en aplicarles a los procesos identificados en la etapa

estratgica la Metodologa de las Elipses. Dicho mtodo se utiliza
bsicamente para definir el alcance del modelo. El mtodo de las
elipses permite identificar con gran detalle los componentes de cada
proceso y las interfaces con otros procesos en la organizacin y con
entidades externas al instituto. Al finalizar con la aplicacin del mtodo
de las elipses, el instituto estar listo para iniciar la fase siguiente la cual
consiste en Efectuar el anlisis y la evaluacin del riesgo.
Conviene tener en cuenta que la ejecucin de las etapas estratgica y
tctica para determinar el alcance debe ser realizada por grupos
multidisciplinarios, compuestos por representantes de los procesos
organizacionales que se estn analizando. Esto es vital porque slo los
responsables de los procesos son los que ms conocimientos tienen
sobre la problemtica y la naturaleza de su proceso.
Adems hay algo muy importante: la dinmica de grupo que se va
desarrollando a lo largo de la metodologa de implementacin, hace que
se genere un espritu de equipo, el cual facilita de manera significativa la
implantacin y la aceptacin del Instituto.
Matriz para el despliegue de un SGSI la cual se muestra en la Tabla 1, es una
simple ayuda que permite focalizar al Instituto en sus procesos vitales. En seguida
a los procesos considerados crticos, habra que determinar su grado de criticidad
en relacin con su exposicin al riesgo de informacin.
Factores crticos
de xito

Nuevos productos
o servicios

Funcionario
competentes

Satisfaccin del
cliente

Nuevas
oportunidades de

Pgina 23 de 38

Bajos costos de
operacin

Total

Procesos
Misionales
Investigacin en
geociencias
bsicas
Investigacin y
evaluacin de
recursos
minerales
Investigacin,
evaluacin y
monitoreo
amenazas
geolgicas
Investigacin y
evaluacin de
recursos
hidrocarburferos
Investigacin y
caracterizacin de
materiales
geolgicos
Investigacin y
aplicacin de
tecnologas
nucleares
Gestin del
conocimiento
geocientfico
Control de
instalaciones y
desechos
radiactivos

negocio
*

Tabla N 1 Despliegue de un SGSI

5.2.1.3 F3 Efectuar un anlisis y evaluacin del Riesgo

En esta fase los aspectos que deben lograrse son la identificacin detallada de
todos los activos de informacin, comprendidos en el alcance del modelo en el
Instituto. Para conocer el impacto de cada activo de informacin, se debe tasar
cada activo con base en su confidencialidad, integridad y disponibilidad. Una
vez efectuada la tasacin, el Instituto decidir cules son aquellos activos de
informacin considerados importantes.
El paso que se debe seguir es iniciar el anlisis del riesgo para concluir con un
estimado de riesgo por cada activo de informacin. A los activos de
informacin que como resultado del anlisis del riesgo se les considere ms
crticos, se les efectuar una evaluacin de riesgo. El resultado de esa
evaluacin es identificar aquellos activos de informacin ms significativos.
Una vez concluidos el anlisis y la evaluacin de riesgo, es el momento ms
propicio para redactar la poltica y los objetivos de seguridad de informacin
requeridos por la clusula 4.2.1 (b). En este momento preciso, como producto
del anlisis y la evaluacin del riesgo, es cuando el Instituto tiene los insumos
relevantes para redactar una poltica de seguridad de informacin adecuada a
la realidad.

Pgina 24 de 38

El resultado de la evaluacin del riesgo permite al Instituto determinar aquellos

activos de informacin ms significativos. A partir de este momento, es cuando
empieza la etapa de Evaluar opciones para el tratamiento del riesgo. Se
debe decidir en relacin con el riesgo de los activos, cules son los que
reducir el riesgo. Estas son decisiones estratgicas que debe tomar el
Instituto, considerando los costos involucrados, la imagen y la cultura
organizacional.
Una vez determinadas las opciones para el tratamiento del riesgo, se deben
seleccionar los controles y los objetivos de control para aquellos activos de
informacin a los cuales se les desea reducir el riesgo. Los controles y
objetivos de control deben seleccionarse del Anexo A. la norma plantea que
los 133 controles no son exhaustivos, y el Instituto tienen la libertad de
documentar sus propias controles si no se pudiesen conseguir en ste anexo.
En este proceso se deben identificar los procedimientos y polticas necesarios
para implantar adecuadamente los controles seleccionados.
Una vez
seleccionados los controles y objetivos de control, se debe redactar la
declaracin de aplicabilidad, tal como lo exige la clusula 1.2.1 (j).
5.2.1.4 F4 Elaboracin del Plan de Continuidad de Negocio
El plan de continuidad de negocio y su metodologa son exigidos por el
modelo, mediante el control A.14.
Hacer un Plan de Continuidad de Negocio (PCN), implica seguir un proceso (O
Hehir, 2002; Heath, 2002; Hamilton, 2002; Cornish, 2002; Howe, 2002; Craig,
2002; Meredith, 2002).
Los distintos autores especializados en el tema plantean un ciclo de vida para
el desarrollo y el mantenimiento de un PCN, en el grfico siguiente, se ilustra el
proceso con sus distintas fases y para facilitar el mtodo de gestin del
proceso, se pormenorizan sus respectivos entregables en cada una de sus
etapas. A continuacin se hace una breve descripcin de cada una de ellas.

Pgina 25 de 38

Grfico N 4 Fases Plan Continuidad del Negocio

Fase 1, Business Impact Analysis (BIA)

BIA consiste en identificar aquellos procesos relacionados con apoyar la misin del
Instituto y analizar con muchos detalles los impactos en la gestin misional del
negocio, si esos procesos fuesen interrumpidos como resultado de un desastre.
El entregable consiste en identificar las reas del negocio que son crticas para el
alcance de la misin del Instituto, as como la magnitud potencial del impacto
operativo y financiero de una interrupcin en el desempeo del Instituto, y los
requerimientos de tiempo para la recuperacin de una interrupcin de negocio.
Fase 2, Gestin del riesgo
Las actividades de la gestin del riesgo evalan las amenazas de un desastre,
pormenorizan las vulnerabilidades existentes, los potenciales impactos de un
desastre, identifican e implementan los controles necesarios para prevenir o
reducir los riesgos de un desastre y terminan identificando escenarios de
amenazas para aquellos procesos considerados esenciales en el BIA.
El entregable de esta etapa es un Informe de Riesgo y Controles. Este documento
identifica las posibles amenazas potenciales de interrupciones del negocio y los
respectivos riesgos. Este informe puntualiza las recomendaciones para hacer el
Pgina 26 de 38

control de los riesgos que pudiesen alterar el normal desempeo de los procesos
esenciales del negocio.
Fase 3- Desarrollo de estrategias de un PCN
Aqu se evalan los requerimientos y se identifican las opciones para la
recuperacin de procesos crticos y sus recursos, en el escenario en que fuesen
interrumpidos por un desastre.
El entregable es un informe en donde se pormenoriza la identificacin de opciones
viables para la recuperacin de recursos y servicios, dada la posibilidad de que
fuesen impactados por una interrupcin del negocio. Por cada escenario de
amenazas se elaboran estrategias que contemplen los escenarios e amenazas
identificados.
Fase 4 Desarrollo del Plan de Reanudacin de Operaciones
Esta fase, desarrolla un plan para mantener la continuidad del desempeo del
negocio, basado en las fases previas, especficamente en la gestin del riesgo y
en el BIA, as como en los aspectos planteados en el desarrollo de la estrategia de
un PCN.
El entregable es un informe que contiene procedimientos y lineamientos concretos
para la recuperacin y el restablecimiento de los recursos daados, y los procesos
cuyo desempeo se ha interrumpido.
Fase 5 Ensayo del PCN
En esta fase se efecta el ensayo del plan, con miras a poder determinar su grado
de precisin y actualizacin.
El entregable son simplemente los registros que deben llenarse para demostrar a
terceros que se realizan los ensayos, as como las acciones correctivas que el
Instituto debe emprender para hacer el ajuste al Plan de Reanudacin de
Operaciones.
Fase 6 Mantenimiento del PCN
Se mantienen el PCN en un estado de preparacin constante para que en caso de
un desastre se pueda ejecutar minimizando las posibilidades de errores. El
entregable de esta fase son los registros y los procedimientos que aseguran que el
PCN est listo para ejecutarse, si se presenta una eventualidad.
La vida del ciclo del PCN comienza con el BIA, seguido de modo secuencial por la
denominada Gestin de Riesgo, en desarrollo de la estrategia del PCN, el
desarrollo del plan de reanudacin de operaciones y el ensayo del PCN. Los
resultados de cada fase son insumos de la siguiente. El mantenimiento del PCN
es una actividad constante que monitorea a personas, recursos y cambios
tecnolgicos.
Pgina 27 de 38

5.2.1.5 F5 Implementar y operar el SGSI

Esta fase se divide en las actividades siguientes:
Elaborar el plan de tratamiento del riesgo
Utilizando como insumos las decisiones de las opciones para el tratamiento del
riesgo y la seleccin de los controles y objetivos de control a implantar, se debe
elaborar el plan de tratamiento del riesgo. Este plan es una pormenorizacin
de las responsabilidades, los recursos, tiempos y mecanismos de control para
implantar las estrategias escogidas de tratamiento del riesgo.
Determinar la efectividad de los controles y la mtrica
Aqu se debe determinar la mtrica que se utilizar para identificar la
efectividad de los controles seleccionados y tambin definir cmo se van a
utilizar estas mediciones para evaluar la efectividad del control para producir
resultados comparables y reproducibles. La idea fundamental es el Instituto
defina sus indicadores para poder determinar con evidencias objetivas si los
controles seleccionados logran su propsito, y poder determinar si el
desempeo del SGSI es adecuado. Estos son requerimientos que se
encuentran plasmados en la clusula 4.2.2.
5.2.1.6 F6 Monitorear y Revisar el SGSI
Una vez el modelo est funcionando en el Instituto, es necesario haber
diseado los mecanismos para monitorear y revisar su desempeo, y poder
cerciorarse de que el SGSI opera como estaba planeado. Las actividades de
esta fase son las siguientes:
Deteccin de incidentes y eventos de seguridad:
El instituto debe tener los procedimientos respectivos para poder rpidamente
reportar incidentes de seguridad y detectar los eventos de seguridad, tomar
acciones y evitar que se conviertan en incidentes de seguridad. La norma ISO
27001:2005, en su seccin 3, denominada Trminos y definiciones, define
qu es un evento y qu es un incidente de seguridad. Los eventos de
seguridad no necesariamente causan dao, pero cuando se convierten en
incidentes de seguridad, la probabilidad de causar dao es muy alta.
Realizacin de las Revisiones Peridicas al SGSI:
Se deben desarrollar los procedimientos que aseguren que, de manera
peridica, se revisa el funcionamiento del SGSI y se verifica la efectividad de
los controles instaurados. Esta actividad est complementada y apoyada con
la clusula 7, la cual plantea los pormenores requeridos en las revisiones
gerenciales.

Pgina 28 de 38

5.2.1.7 F7 Mantener y Mejorar el SGSI

En esta fase, se deben establecer los mecanismos que permitan generar la
evidencia objetiva que el SGSI se mantiene y mejora constantemente, La
actividad de esta fase est relacionada directamente con las clusulas de la
norma 8.2 y 8.3.
Implementar las acciones Correctivas y Preventivas:
Se deben tener los respectivos procedimientos documentados (exigencia de la
norma), y haber generado en la cultura de la organizacin el hbito de estar
peridicamente revisando estadsticas, observar tendencia y, con base en esta
informacin, elaborar acciones preventivas.
5.2.1.8 F8 Desarrollo de Competencias Organizacionales
La implantacin del modelo ISO 27001:2005 exige que el Instituto tenga ciertas
competencias organizacionales, desarrolladas en el personal del instituto. En
esencia, se requiere tres competencias bsicas, las cuales conforman las tres
actividades de esta fase:
Entrenamiento en documentacin de un SGSI.
Es de vital importancia que el personal afectado por la implantacin del modelo
tenga las destrezas para poder documentar procedimientos, polticas,
instrucciones de trabajo y saber identificare registros del SGSI.
Un
entrenamiento formal es importante. Quizs esta actividad debiera ejecutarse
al inicio del proyecto.
Entrenamiento en manejo de la accin correctiva y preventiva.
Ante la ocurrencia de una no conformidad se debe iniciar una accin correctiva.
La clusula 8.2 es muy clara al respecto. Por otro lado el modelo exige al
instituto que recolecte datos de todas las ocurrencias de incidentes de
seguridad significativos del SGSI (clusula 4.3.3). El objetivo de este
requerimiento es que, con base en evidencias objetivas de ocurrencias, se
vean las tendencias y el Instituto desarrolle acciones preventivas para evitar
que la no conformidad se presente. Es de suma importancia que el personal
en el Instituto conozca la metodologa y las herramientas para el correcto
manejo de la accin correctiva o preventiva.
Entrenamiento en manejo de auditora interna.
La auditora interna, tal como lo exige la clusula 6 de la norma, requiere que el
instituto se audite a s misma para demostrar que su sistema se mantiene y
que busca nuevas oportunidades de mejora. Usualmente las empresas
deciden formar a personal interno como auditores internos, para cumplir con el
requerimiento de la clusula 5.2.2, el personal que ejecutar la funcin de
auditor interno debe cumplir con los requerimientos de tener las competencias.
La prctica internacional exige que las personas hayan sido capacitadas por
medio de un curso no menor de 16 horas.
Pgina 29 de 38

5.2.1.9 F9 Redaccin del Manual de Seguridad de Informacin

La actividad bsica de esta fase, es la redaccin del manual de seguridad de
informacin. ste manual debe estar guiado por los elementos de la clusula
4.3.1.
5.2.1.10 F10 Ejecucin de las Auditoras Internas
Para poder cumplir con los requerimientos de las auditoras internas, ellas
deben llevarse a cabo cumpliendo todas las exigencias de la clusula 6 de la
norma. Es una prctica internacional que, en 12 meses el Instituto haya
auditado la implantacin de todas las clusulas de la norma.
Realizacin de las auditoras internas. El instituto debe haber decidido si las
auditoras internas sern subcontratadas o realizadas por personal interno.
Bien sea una u otra opcin, las auditoras deben realizarse cumpliendo con
todas las exigencias de la clusula 6 de la norma y utilizando el lineamiento
ISO 19011:2002 para llevar a cabo la auditora interna.
5.2.1.11 F11 Obtencin de la certificacin internacional
La certificacin internacional debiera ser la culminacin de todo el esfuerzo
realizado en la implantacin de la norma en el Instituto. sta es un aval
importante para mostrar a terceros que se tiene un SGSI implantado de
conformidad con el estndar ISO 27001 y que una entidad acreditada para
dicho efecto da fe al respecto.
Uno de los organismos acreditador a nivel mundial en ISO 27001 es el United
Kingdom Accreditation Services (UKAS). En la actualidad el ISO / IEC
lineamiento 62 / EN 45012 se mantiene como el documento a utilizar para la
acreditacin de organismos, operando certificacin EA-7/03 ser convertido en
documento ISO y reemplazar el lineamiento 62.
Bsqueda de la empresa certificadora. Las instituciones certificadoras tienen
que estar acreditadas. Esa es la primera pregunta que habra que hacerse
cuando se buscan organizaciones certificadoras. Una fuente de informacin
muy confiable, para saber sobre empresas certificadores y conocer sobre
tendencias en la certificacin del ISO 27001, es el portal www.xisec.com
Realizacin de auditora por parte de la empresa certificadora. La auditora de
certificacin del ISO 27001, consta de dos fases. La primera es la revisin de
toda la documentacin realizada. Aqu es muy importante tener toda la
documentacin de la clusula 4.3.1 en un manual.
Prcticamente, toda la auditora de la primera fase gira sobre una revisin a los
documentos de la clusula 4.3.1. La segunda fase es la denominada auditora
de cumplimiento.
Pgina 30 de 38

En esta fase los auditores de la empresa certificadora acudirn al Instituto y

verificarn que todo lo documentado est implantado. De no encontrar
mayores no conformidades, se le otorga la certificacin al Instituto.
Obtencin de la certificacin. Una vez que el Instituto ha obtenido la
certificacin, sta tiene validez por tres aos, en los cuales el Instituto estar
sujeto a auditoras de seguimiento que consisten en visitas que realizan los
auditores de la empresa certificadora para constatar que el SGSI se mantiene.
Se realizarn cada seis o doce meses. Al finalizar los tres aos, el Instituto es
sujeto a una auditora completa para decidir si se le renueva la certificacin por
otros tres aos.

Pgina 31 de 38

GLOSARIO DE TRMINOS
ADMINISTRACIN DE INFORMACIN
Accin y efecto de ordenar, disponer, organizar, suministrar y controlar la
informacin.
ADQUISICIN DE INFORMACIN
Accin de conseguir datos mediante levantamientos en campo o en laboratorio o
procesamiento de otra informacin.
ALMACENAMIENTO DE DATOS
Accin de guardar informacin en medios digitales, fsicos o en infraestructuras
tecnolgicas de archivo.
ARCHIVO DE INFORMACIN
Accin y efecto de guardar documentos o informacin con el propsito de ser
conservados para futura consulta o referencia.
REAS ESTRATGICAS MINERAS (AEM)
reas mineras especiales delimitadas con el fin de que las mismas sean
otorgadas en contrato de concesin especial a travs de un proceso de seleccin
objetiva, en el cual la autoridad minera establecer en los trminos de referencia,
las contraprestaciones econmicas mnimas distintas de las regalas, que los
interesados deben ofrecer.
ARQUITECTURA EMPRESARIAL
Es una metodologa que, basada en una visin integral de las organizaciones,
permite alinear procesos, datos, aplicaciones e infraestructura tecnolgica con los
objetivos estratgicos del negocio o con la razn de ser de las entidades.
BANCO DE INFORMACIN MINERA
Organizacin institucional, que soportada en herramientas tecnolgicas, est
encargada de administrar la informacin tcnica de exploracin y produccin de
minerales del pas.
BANCO DE INFORMACIN PETROLERA BIPOrganizacin institucional donde se cataloga, almacena, preserva y administra la
informacin tcnica y geolgica de la exploracin y produccin de hidrocarburos
del pas. Est compuesto por 3 repositorios, el EPIS (magntico), la Cintoteca
donde se almacenan en fsico las cintas, informes y registros y la Litoteca que es
el repositorio de las muestras de roca.
CALIDAD
Conjunto de caractersticas de un producto o servicio que se relacionan con su
habilidad de satisfacer necesidades establecidas o implcitas. Incluye entre otros,
la siguiente:

- Calidad de los datos: Grado sobre el cual los datos satisfacen necesidades
establecidas o supuestas. Esto incluye informacin sobre la procedencia,
completitud, actualidad, consistencia lgica, precisin y rigurosidad cientfica.
- Calidad de los productos: Grado sobre el cual los productos de informacin
satisfacen las especificaciones de los mismos.
COMPILACIN DE INFORMACIN
Acopio organizado de informacin existente sobre un tema en zonas geogrficas
especficas.
CONJUNTO DE DATOS
Coleccin de datos de temas relacionados, los cuales pueden ser representados
por medio de consolidados o espacialmente, en formatos digitales o anlogos.
CONSERVACIN DE INFORMACIN
Accin y efecto de mantener la informacin o cuidar de su permanencia en medios
apropiados.
CONTROL DE CALIDAD
Evaluacin del cumplimiento de las especificaciones de un producto.
CUSTODIO DE INFORMACIN
Unidad organizacional o persona que observando las caractersticas establecidas
por los propietarios y las necesidades de uso, define los medios y mecanismos
para mantener la disponibilidad de la informacin y la trazabilidad de los accesos
requeridos.
DATO
Hecho verificable sobre la realidad; puede ser una medida, una ecuacin que
pueda ser verificada.
DATO OFICIAL
Es aquel que forma parte de un producto que ha surtido el procedimiento de
oficializacin.
DATO ABIERTO
Son aquellos datos primarios o sin procesar, que se encuentran en formatos
estndar e interoperables que facilitan su acceso y reutilizacin, los cuales estn
bajo la custodia del SGC y que una vez forman parte de un producto que ha
surtido el procedimiento de oficializacin son puestos a disposicin de cualquier
ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos.

DEPURACIN DE INFORMACIN
Accin y efecto de identificar y corregir errores de aquella informacin que no
cumple unos criterios mnimos de integridad, calidad y pertinencia.
DESCRIPTOR
Trmino o smbolo vlido y formalizado que se emplea para representar
inequvocamente los conceptos de un documento o de una bsqueda.
Descubrimiento de la informacin: Accin y efecto de hallar o encontrar
informacin que era desconocida.
DIFUSIN DE INFORMACIN
Proceso por el cual se transmite al usuario la informacin que necesita o se le
brinda la posibilidad de obtenerla.
DISPONIBILIDAD
Propiedad por la cual un dato, producto o servicio de informacin est lista para
ser utilizada.
DOCUMENTO
Escrito en que constan datos fidedignos o susceptibles de ser empleados como
tales para probar algo. Pueden ser Informes, informacin grfica (mapas
geolgicos, cuadrngulos, planchas, columnas), fotografas areas, libros,
publicaciones peridicas y seriadas, publicaciones especiales, revistas, boletines,
folletos, tesis de grado, discos compactos, DVDs, cintas, videos, muestras, entre
otros.
DOCUMENTO EN CONSTRUCCIN
Informacin preliminar y no definitiva, que no ha surtido el procedimiento de
oficializacin y que por ende no tiene el carcter de informacin pblica.
EISA - EXTENDED INDUSTRY STANDARD ARCHITECTURE
Arquitectura de Seguridad de Informacin en la Empresa, la cual es parte de la
arquitectura de la empresa que se centra en la seguridad de la informacin a lo
largo de la empresa
EPIS
Componente del Banco de Informacin Petrolera de Colombia, que est
encargado de administrar la informacin tcnica de exploracin y produccin de
hidrocarburos del pas, siendo la nica fuente oficial.
ESPECIFICACIN DE PRODUCTO DE DATOS
Descripcin detallada de las caractersticas o condiciones mnimas que debe
cumplir un conjunto de datos permitiendo la interoperabilidad con otros y
maximizando su calidad.

ESPECIFICACIN DE PRODUCTO DE INFORMACIN

Descripcin detallada de las caractersticas o condiciones mnimas que debe
cumplir un producto de informacin.
ESTNDAR
Norma publicada por un ente reconocido de carcter institucional, nacional o
internacional. Acuerdos documentados que contienen especificaciones tcnicas u
otros criterios precisos.
FONDOS DOCUMENTALES
Conjunto o coleccin de documentos existentes en un sitio determinado, con una
organizacin y unos procedimientos definidos para su utilizacin y
aprovechamiento, de acuerdo con la naturaleza de los documentos y su modo de
utilizacin
GARANTA DE CALIDAD
Conjunto de actividades planificadas y sistemticas aplicadas en un Sistema de
Calidad para que los requisitos de calidad de un producto o servicio sean
satisfechos.
GENERACIN DE INFORMACIN
Accin y efecto de producir conocimientos a partir de nuevos datos o de datos o
informacin ya disponibles.
GESTIN DE INFORMACIN
Proceso que involucra operaciones como planeacin, adquisicin, recibo,
generacin, administracin, depuracin, archivo, conservacin, uso y difusin de la
informacin geocientfica para el acceso y los permisos de uso sobre la misma.
GESTIN DOCUMENTAL
Conjunto de actividades administrativas y tcnicas tendientes a la ptima
planeacin, manejo y organizacin de la documentacin producida y recibida por
la entidad, desde su origen hasta su destino final con el objeto de facilitar su
utilizacin y conservacin.
INFORME TCNICO
Documento original que el Servicio Geolgico Colombiano produce con la
observacin de estndares tcnicos y cuya generacin ha sido controlada por
funcionarios de la entidad.
INFRAESTRUCTURA DE TIC
Conjunto de elementos que sirven de soporte para la prestacin de servicios
informticos. Est compuesta por servidores, computadores, sistemas de
almacenamiento, dispositivos de red, canales de comunicacin, sistemas de
digitalizacin, dispositivos de seguridad, entre otros.

INTEGRIDAD
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. Mantener con exactitud la informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no autorizados.
LEVANTAMIENTO DE INFORMACIN
Accin mediante la cual se adquiere nuevos datos sobre un territorio especfico.
Puede incluir el uso de instrumentos, observaciones directas, muestreos o
sensores remotos.
LICENCIAS DE USO
Autorizacin otorgada por el SGC de tipo no exclusivo y no transferible para usar,
reproducir y adaptar los datos para los propsitos del usuario bajo unas
condiciones especficas.
LICENCIADO
Usuario a quin se le concede el permiso de uso de la informacin.
MAPA
Representacin abstracta de las caractersticas geogrficas, fsicas y qumicas de
una porcin de la superficie de la Tierra desplegada grficamente en una
superficie plana. Despliegan signos, smbolos y relaciones espaciales entre las
caractersticas geogrficas.
METADATO
Conjunto organizado de descriptores, con una terminologa comn, que permite
identificar datos existentes. Es el dato sobre el dato.
METROLOGA
Ciencia de las mediciones y sus aplicaciones.
MUESTRA
Porcin representativa de material natural tomado de un sitio geogrfico
especfico, con el propsito de estimar sus propiedades o su composicin
mediante ensayos de laboratorio. Para el caso del SGC pueden ser rocas y
esquirlas, minerales, ncleos de perforacin, ripios, secciones pulidas y secciones
delgadas, sedimentos finos, concentrados, suelos, aguas y gases, entre otros.
NORMA TCNICA
Documento establecido por consenso y aprobado por el organismo nacional de
normalizacin, que suministra reglas, directrices o caractersticas para las
actividades o sus resultados, en un contexto dado.
PERFIL DE METADATO
Subconjunto de elementos que describe la aplicacin de la norma NTC 4611,
versin 2 o ISO 19115 o aquella que la modifique o sustituya, para una comunidad
especfica de usuarios.

PLANEACIN DE LA INFORMACIN
Proceso mediante el cual se define un conjunto de actividades que permite realizar
las labores de adquisicin, procesamiento y gestin de la informacin de manera
organizada y pertinente a las necesidades institucionales.
PROCEDIMIENTO DE OFICIALIZACIN
Conjunto de actividades de acompaamiento, control, verificacin y validacin
tcnica y de estndares que garantizan la completitud, idoneidad e integridad de
los productos de informacin y de datos, geocientficos institucionales.
PROCESAMIENTO DE DATOS
Accin de transformar o proveer mayor valor a conjuntos de datos mediante la
aplicacin sistemtica de una serie de operaciones sobre los mismos, para
explotar la informacin que representan.
PRODUCTO DE DATOS
Arreglo organizado y documentado de datos.
PRODUCTO DE INFORMACIN
Conjunto o serie de conjunto de datos, objeto escrito o audiovisual, que satisfacen
una especificacin.
PROCESO DE GESTIN DE INFORMACIN GEOCIENTFICA:
Conjunto de actividades organizadas para manejar la informacin geocientfica,
incluyendo la planeacin, la adquisicin, el recibo, la generacin, la administracin,
la depuracin, el archivo, la conservacin, el uso y la difusin.
PROPIETARIO DE LA INFORMACIN
Persona o personas que crean la informacin y establecen las condiciones de uso
y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto
de los flujos de informacin del proceso en el que participan.
RIGUROSIDAD CIENTFICA
Conjunto de acciones que garantizan que la generacin de datos y la calidad de
los mismos estn soportados por el cumplimiento del mtodo cientfico,
permitiendo as que los datos sean confiables y representen con un alto grado de
veracidad lo que se midi o describi.
SEGURIDAD DE LA INFORMACIN
Conjunto de medidas preventivas y reactivas de las organizaciones y de los
sistemas tecnolgicos que permiten resguardar y proteger la informacin
buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
SISTEMA DE INFORMACIN GEOGRFICA (SIG)
Integracin organizada de hardware, software y datos geogrficos diseada para
capturar, almacenar, operar, analizar y desplegar en todas sus formas la
informacin geogrficamente referenciada.

SISTEMA DE GESTIN DE INFORMACIN GEOCIENTFICA

Conjunto de actividades que permiten el manejo de la informacin geocientfica
orientado a generar conocimiento, basado en estndares, que soporta los
procesos de planeacin, adquisicin, recibo, generacin, administracin,
depuracin, archivo, conservacin, uso y difusin.
TESAURO
Es una lista controlada y estructurada de trminos, que guardan entre s
relaciones semnticas y funcionales para el anlisis temtico y la bsqueda de
documentos y publicaciones.
SUMINISTRO DE INFORMACIN
Accin de proveer la informacin necesaria para procesamientos adicionales o
para la toma de decisiones.
TIC
La abreviacin para referirse al uso de las Tecnologas de la Informacin y la
Comunicacin. Es el conjunto de recursos, procedimientos y tcnicas usadas en el
acceso, procesamiento, almacenamiento, produccin y transmisin de
informacin.
USO DE INFORMACIN
Ejecucin de acciones a partir de la manipulacin de insumos de informacin que
permiten la generacin de nuevo conocimiento, la planeacin, el desarrollo o la
toma de decisiones.
USUARIO
Persona natural o jurdica, pblica o privada que hace uso de los productos o
servicios de informacin.
VALIDACIN
Confirmacin mediante el suministro de evidencia objetiva de que se han cumplido
los requisitos para una utilizacin o aplicacin especfica prevista.
VERIFICACIN
Confirmacin, mediante la aportacin de evidencia objetiva, de que se han
cumplido los requisitos especificados.