1

ANALSIS DEL ESTADO ACTUAL DE AB CONFORT LTDA Y RECOMENDACIONES DE IMPLANTACIÓN PARA MEJORAR EL SGSI.

JORGE ENRIQUE FIERRO CASTELLANOS SERGIO ALEXANDER GARNICA ROCHA JOSÉ LIBARDO MARTÍNEZ ARCINIEGAS JOSSEP SNAIDER OCHOA CARDONA

VERÓNICA ANDREA RODRÍGUEZ BONILLA

COMPENSAR UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA FACULTAD DE INGENIERÍA

TECNOLOGÍA EN SOPORTE TÉCNICO DE HARDWARE Y SOFTWARE BOGOTÁ D.C

2012

2

ANALSIS DEL ESTADO ACTUAL DE AB CONFORT LTDA Y RECOMENDACIONES DE IMPLANTACIÓN PARA MEJORAR EL SGSI.

JORGE ENRIQUE FIERRO CASTELLANOS SERGIO ALEXANDER GARNICA ROCHA JOSÉ LIBARDO MARTÍNEZ ARCINIEGAS JOSSEP SNAIDER OCHOA CARDONA

VERÓNICA ANDREA RODRÍGUEZ BONILLA MONOGRAFÍA PARA OPTAR AL TITULO DE TECNÓLOGO PROFESIONAL EN

SOPORTE TÉCNICO DE HARDWARE Y SOFTWARE

ASESOR HERNÁN ALONSO LOTERO ROJAS DOCENTE ACADÉMICO

COMPENSAR UNIPANAMERICANA INSTITUCIÓN UNIVERSITARIA

FACULTAD DE INGENIERÍA TECNOLOGÍA EN SOPORTE TÉCNICO DE HARDWARE Y SOFTWARE

BOGOTÁ D.C 2012

3

Los autores certifican que el trabajo presentado es de su autoría, para su elaboración se han respetado las normas de citación de fuentes y ninguna copia textual supera las 500 palabras. Por tanto, no se ha incurrido en ninguna forma de plagio, ni por similitud ni por identidad. Los autores son responsables del contenido y de los juicios y opiniones emitidas. Es un texto totalmente editado frente a la norma ISO 2700.

Se autoriza a los interesados, a consultar y reproducir parcialmente el contenido del trabajo de investigación titulado: ESTADO ACTUAL DEL SGSI EN AB CONFORT LTDA Y RECOMENDACIONES DE IMPLANTACIÓN DE ACUERDO A LA NORMA ISO/IEC 27001, dirigido por: Ing. HERNÁN ALONSO LOTERO ROJAS, realizado por: VERONICA ANDREA RODRIGUEZ BONILLA, JOSSEP SNAIDER OCHOA CARDONA, SERGIO ALEXANDER GARNICA ROCHA, JORGE ENRRIQUE FIERRO CASTELLANOS y JOSÉ LIBARDO MARTINEZ ARCINIEGAS. Siempre que se haga la respectiva cita bibliográfica que de crédito al trabajo y a sus autores, según normas ICONTEC.

4

Nota de aceptación

Presidente del jurado

Jurado

Jurado

BOGOTA D.C 25- 06 - 2012

5

Dedicamos este trabajo a nuestros padres y a nosotros mismos por nuestro esfuerzo y dedicación diaria frente a los retos que la vida nos impone cada día.

6

AGRADECIMIENTOS

Nuestros agradecimientos están dirigidos a Dios en primer lugar por darnos la vida

y la oportunidad de tener retos tan maravillosos cada día para aprender mucho

más de las personas con las que nos relacionamos día a día y en especial a

nuestro tutor Hernán Alonso Lotero Rojas el cual asesoró este trabajo y aporto

sus conocimientos hacia todos nosotros para poder llevarlo a cabo también de

forma especial a la empresa AB CONFORT LTDA que sin su apoyo no sería

posible llevar a cabo este proyecto y etapa de aprendizaje que fortaleció y permitió

que los conociéramos un poco más y a las personas que de una forma directa de

la compañía brindaron su apoyo y nos abrieron sus puertas.

7

CONTENIDO.

Pag.

INTRODUCCIÓN.

1.1 Objetivo general. 14

1.2 Objetivos específicos. 14

1.3 Justificación 15

2. Plataforma estratégica. 16

2.1 Misión. 16

2.2 Visión. 16

2.3 Políticas. 16

2.4 Filosofía. 16

2.5 Quiénes somos. 16

2.6 Análisis de la plataforma estratégica 17

2.7 Historia de la empresa 17

3. Marco referencial. 19

3.1 Importancia de la norma ISO 27000 19

3.2 ¿Qué es un PHVA? 20

3.3 ¿Qué es la ISO 27000? 20

3.4 ¿Qué es un ISMS por sus siglas en español SGSI? 21

4. Aplicaciones de la norma ISO 27000. 22

4.1 Todo tipo de información es importante 22

4.1.1 ¿Alguna vez te has preguntado por qué es tan 22

importante?

8

4.2 Pilares de la ISO 27000. 23

5. Como establecer un análisis de riesgos. 25

5.1 Ciclo para tener en cuenta. 25

5.1.1 ¿Cómo se evitan riesgos en la información? 25

5.1.2 ¿Cómo hacerle frente a este tipo de amenazas? 26 5.2 Análisis de grafico. 26 5.2.1 Teniendo en cuenta todo esto debemos tener en cuenta los beneficios obtenidos como lo son. 27 6. Como proteger la información. 28

6.1 Pirámide de cómo se mide la información. 28

6.1.1 Identificar los riesgos. 28

6.1.2 Analizar y evaluar los riesgos. 29

6.1.3 Identificar y evaluar las distintas opciones De tratamiento de los riesgos para. 29

7. Comportamiento de riesgos. 30

7.1 Análisis de riesgos 30

7.1.1 Identificar los riesgos. 30

7.1.2 Analizar y evaluar los riesgos 31

7.1.3 Identificar y evaluar la distinta

De tratamiento.

7.1.4 Documentos de nivel 31

8. Método para evaluar los riesgos 33

8.1 Metodología de CRAMM. 33

8.1.1 Integridad 33

9

8.1.2 Confidencialidad 33

8.1.3 Disponibilidad. 33

8.1.4 Integridad y sus valores de impacto. 33

8.1.5 Confidencialidad y sus valores de impacto. 33

8.1.6 Disponibilidad y sus valores de impacto 34

9. Herramientas de recolección de datos 35

9.1 Auditorias. 35

9.1.1 Característica de la auditoria. 36

9.2 Encuestas. 38

10. Diseño metodológico. 42

10.1 Tipo de diseño 42

10.2 Hipótesis y variables 42

10.2.1 Hipótesis 42

10.2.2 Variables 42

10.2.2.1 Independiente: 42

10.2.2.2 Dependiente: 42

10.3 Población y muestra 45

10.3.1 Población 45

10.3.2 Muestra 45

10.4 Instrumentos 45

10.4.1 Estadio descriptivo. 46

10.4.2 Estadio comparativo. 46

10.4.3 Estadio interactivo 46

10.5 Administración del proyecto. 47

10

10.5.1 Recursos 47

10.5.2 Recursos económicos 47

10.5.3 Recursos humanos 47

10.5.4 Recursos tecnológicos 47

11. Resultados de la encuesta. 48

12. Conclusiones. 54

13. Recomendaciones 55

Bibliografía. 56

ANEXOS. 57

11

LISTA DE TABLAS.

Número y descripción de la Tabla. Pag.

Tabla No. 1 Análisis de activos ab confort 61.

Tabla No. 2 Análisis de encuestas. 63.

Tabla No. 3 Lista de chequeo. 65.

Tablas de encuestas 70.

12

LISTA DE FIGURAS.

Número y descripción de la figura. Pag.

Figura No. 1 Ciclo PHVA (Planificar, Hacer, Verificar, Actuar). 18.

Figura No. 2 Ciclo de Procesos ISO/IEC 27001. 20.

Figura No. 3 Pilares de la Norma ISO 27000. 21.

Figura No. 4 Ciclo Análisis de riesgos según la ISO 27000. 23.

Figura No. 5 Pirámide sobre los Niveles de la documentación. 25.

Figura No. 6 Análisis de Riesgos según la ISO 27000. 28

13

INTRODUCCIÓN.

En la actualidad las empresas colombianas buscan la competitividad a través de la tecnología de punta, mayor reconocimiento, aceptación y confianza de los clientes en sus procesos de información. Esto nos lleva a preguntarnos ¿Es el actual Sistema de Gestión de Seguridad de la Información (SGSI) de AB CONFORT LTDA el adecuado para suplir sus necesidades de protección para la información? El presente trabajo tiene como objetivo realizar un estudio del estado actual del SGSI en la empresa AB CONFORT LTDA, demostrar la importancia de la seguridad de la información y establecer los lineamientos y recomendaciones necesarias que conduzcan a su posterior certificación bajo la norma ISO 27000. Para ello se realizara un estudio de la plataforma estratégica de la empresa, el estado actual del sistema de gestión de la seguridad de la información (SGSI), y un análisis de riesgos; los cuales permitan elaborar un diagnostico para establecer el modelo del SGSI requerido por la empresa de tal manera que pueda optar por su certificación y posteriores mejoras del mismo. Una certificación en seguridad de la información permite a la empresa alcanzar reconocimiento y un valor agregado frente a sus competidores y proveedores; permitiéndole tener un control más eficiente de su información y la seguridad de brindarle a sus clientes tranquilidad en el manejo de la información que les compete. El estudio del estado actual del SGSI de la empresa le permitirá detectar oportunidades de mejoramiento del mismo, evaluarlo y realizar las acciones correctivas que garanticen la adecuada protección de los activos de información. En dicho proceso es importante involucrar e incentivar a todo el personal de la empresa.

14

1.1 OBJETIVO GENERAL. Realizar un análisis del estado actual del SGSI en la empresa AB CONFORT LTDA, que permita determinar de forma pertinente recomendaciones, que a futuro cambie y mejore el mismo sistema de una manera adecuada bajo los parámetros de la norma ISO 27000. 1.2 OBJETIVOS ESPECÍFICOS. 1.2.1 Observar la plataforma estratégica de la organización, para que permita direccionar de una manera correcta un buen SGSI de acuerdo a sus necesidades, metas y objetivos. Esto mediante entrevistas cara a cara y recopilación de información. 1.2.2 Realizar el inventario de los activos de información, que permitan determinar la prioridad e importancia de los mismos, de tal manera que las acciones se enfoquen sobre ellos, mediante encuestas personales diseñadas para los roles ejecutivos y operativos. 1.2.3 Diseñar un análisis de riesgos que determine las acciones de protección y mecanismos de control para minimizarlos. Para ello se aplicara la metodología

CRAMM (Risk Analysis and Management Method) por cuanto consideramos que

permite hacer un análisis cualitativo y cuantitativo de la situación actual de la compañía. 1.2.4 Definir el modelo del SGSI dimensionado a las necesidades de la organización que le permitan posteriormente alcanzar la certificación bajo los lineamientos de la norma ISO 27000.

15

1.3 JUSTIFICACIÓN.

Cuando se habla de cambio se determina que es un beneficio que se toma como un proceso útil para las organizaciones, en la actualidad, es clave que el gerente como líder de la misma, desarrolle habilidades que le permitan dirigir a su equipo de trabajo hacia un éxito seguro, involucrándolo en la toma de decisiones y en el desarrollo de las mismas. Al hablar de cambio se debe tener en cuenta ciertos factores de riesgo y resistencia, uno de ellos es el talento humano, no todos estarán dispuestos a dar ese paso, la estabilidad laboral, emocional y económica son puntos primordiales en la aplicación de nuestras estrategias de cambio a la alta competitividad y constantes cambios globales. Cada día se observa como el desarrollo de nuevas estrategias gerenciales generan un gran nivel de competitividad y reconocimiento ante los usuarios, las grandes empresas del mundo reconocen la importancia de generar cambios para alcanzar grandes logros. Los constantes avances tecnológicos y las crisis económicas, han desarrollado en las empresas cambios radicales. Por ello los beneficios que conlleva la realización de esta investigación son tanto de carácter teórico como profesional, ya que no solo se reunirá saberes para entender y agrupar los diferentes motivos de la importancia del cambio en la organización, sino reconocer que como profesionales nos encontramos en una sociedad que los exige constantemente, esto permitirá reconocer que hace falta para mejorar y optimizar las acciones de nuestro campo laborar para contribuir al cambio. Los alcances de esta investigación son plantear ideas, conceptos y en general una visión que sirva para ampliar y buscar una solución efectiva a las carencias actuales, además de incentivar nuevas investigaciones acerca de este tema.

16

2. PLATAFORMA ESTRATÉGICA AB CONFORT LTDA.

2.1 MISIÓN. Fomentamos el desarrollo de la confección y comercialización Colombiana con prendas de excelente calidad, que están a la vanguardia del mercado, apoyados en nuestro grupo de trabajo. 2.2 VISIÓN. En el año 2016, nuestra organización será reconocida a nivel nacional, por la calidad de sus productos, contando con un servicio oportuno que genere rentabilidad y lleve al crecimiento personal del grupo de trabajo en permanente innovación y actualización de los diseños. 2.3 POLÍTICAS. Desarrollar y mantener una alta cultura organizacional de calidad empresarial y productiva, maximizando en el rendimiento económico y la permanencia en el mercado nacional, mediante la mejora continua de los procesos de creación y producción, con personal competente y proveedores confiables. 2.4 FILOSOFÍA. Nuestro compromiso en entregar al cliente el mejor producto y servicio, encaminado a satisfacer plenamente las necesidades y requerimientos, mediante la innovación continua y un personal competente. 2.5 QUIÈNES SOMOS? Somos una organización especializada en el diseño producción y especialización de prendas de excelente calidad, a precios competitivos, que evoluciona con la necesidad de la moda. Mediante la investigación innovación y desarrollo de nuestros productos, estamos, comprometidos con la satisfacción de nuestros clientes, apoyados de un talento humano altamente calificativo y motivado, que hace parte fundamental del crecimiento de la empresa.

17

2.6 ANÁLISIS DE LA PLATAFORMA ESTRATÉGICA. Podemos identificar como los principales procesos de la empresa la Confección y Comercialización de productos textiles, la creación de diseños innovadores enfocados a las necesidades del público, complementado con una oportuna distribución y comercialización a todos sus clientes y sucursales. Este proyecto por tanto está dirigido fundamentalmente a la protección de la información del centro de datos donde se maneja la mayor parte de la información de la empresa, relacionada con los clientes, los diseños, proveedores, inventarios y comercialización entre otros, asegurando de esta manera la adecuada gestión y el flujo de la información en la compañía; e incentivando el mejoramiento continuo de los procesos actuales en materia de seguridad y disponibilidad.

2.7 HISTORIA DE LA EMPRESA AB CONFORT LTDA. En el año 1992, la familia Ochoa Ochoa, motivados por su espíritu emprendedor y su deseo de progreso, se trasladan de Guarne Antioquia hacia la ciudad de Bogotá, en busca de nuevas oportunidades. Son una pareja joven con dos hijas pequeñas. El fundador, es hijo de un artesano, ebanista y músico; y de una mujer de carácter fuerte e intuición comercial. Su fundadora es hija de un mecánico de telares y electricista de redes y de una modista acreditada del pueblo. A Bogotá llegan muy desubicados, pero con el apoyo de un hermano y la cuñada, comienza a descubrir el mundo del comercio, desempeñándose como vendedores en la calle, jefes de bodega, transportadores de mercancías y vigilantes del almacén entre otras actividades, hasta llegar con grandes dificultades económicas a formalizar una sociedad en un pequeño almacén ubicado en Bosa Piamonte, llamado el ''Rebajon de Bosa''. Motivados por la ilusión comercial, unos meses mas tarde liquidan la compañía con sus familiares, y dan inicio a una actividad comercial en la confección de pequeñas prendas deportivas, las cuales comercializaban en el mismo lugar de residencia. Es allí cuando descubren el buen gusto por la confección y apoyados por sus familiares, inician un intercambio comercial que da origen a la primera productora y comercializadora llamada Íntimos Alma Ltda., nombre promovido por el conocimiento que ya tenían en ropa interior, y Alma alusivo a los nombres de sus dos hijas.

18

Íntimos Alma Ltda., queda legalmente constituida en el año 1997. Un año más tarde, esta pequeña empresa sufre una crisis económica, causada por la falta de variedad en el diseño y en la atención a los clientes. Superada las dificultades con ayuda de capacitaciones y asesoría de algunos colegas y amigos, la empresa se fortalece, dando inicio en el año 2001 AB Confort Ltda, como empresa de confección, separando las actividades con Íntimos Alma Ltda, logrando año tras año el crecimiento de cada empresa y su control independiente. AB confort es creada con las iniciales de sus fundadores, siguiendo con la línea de ropa para niñas e implementando una nueva línea de ropa para dama. En el año 2003 se registra la marca Arequipe, nombre creado y diseñado por su fundador y en este mismo año, se abre un nuevo punto de venta ubicado en el barrio Casa Blanca. Gracias al impacto que tiene la marca, se bautiza los puntos de venta con el nombre Arequipe y en el año 2005 se crea el tercer punto de venta ubicado en Bosa la Libertad. En el año 2007 nace una sociedad con dos empleados de confianza llamada Inversiones 8A S.A., con dos nuevos puntos de venta ubicados en Deitana Boyacá y otro en el barrio 20 de Julio en Bogotá. El mismo año de crea una sociedad llamada Hnos Ochoa Sport Ltda. Con un nuevo punto de venta en el Barrio la Victoria en Bogotá. En la actualidad Arequipe cuenta con dos nuevos puntos de venta, uno en Sogamoso y otro en Tunja Boyacá. AB Confort Ltda, promueve su marca innovando, investigando y creando productos de excelente calidad, que dan identidad y reconocimiento a esta empresa a nivel nacional.

19

3. MARCO REFERENCIAL.

3.1 INTRODUCCIÒN A LA NORMA ISO 27000. Este Estándar Internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades, objetivos y requerimientos de seguridad para la compañía, teniendo en cuenta los procesos empleados para las diferentes áreas de gestión de la información. Se espera que la implementación de un SGSI se extienda en concordancia con las necesidades de la organización; por ejemplo, una situación simple requiere una solución SGSI simple. Para una correcta implementación de un SGSI se es recomendable tomar un enfoque de procesos guiados por unos estándares internacionales de forma que sus usuarios comprendan y entiendan la importancia de:

1. Entender y comprender los requerimientos de un SGSI de la Organización para así mismo establecer una política objetiva del manejo de la información.

2. Implementar y establecer controles para manejar y minimizar los riesgos en los manejos de la información.

3. Monitorear y revisar el desempeño y la efectividad del SGSI.

4. Esto también compromete al continuo mejoramiento en la base de los

objetivos planteados. El estándar internacional sugiere adoptar un modelo de procesos “Planear Hacer Chequear y Actuar” que contribuye a la aplicación de todos los procesos SGSI. En la figura se muestra el proceso adecuado para tomar los requerimientos y expectativas de la seguridad a través de acciones y procesos necesarios para obtener unos resultados satisfactorios y así cumplir con las expectativas.

20

CICLO SEGÚN LA NORMA ISO 27000.

1 3.2 ¿QUÈ ES UN PHVA?

Planificar: Es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados.

Hacer: Es una fase que envuelve la implantación y operación de los controles.

Verificar: Es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.

Actuar: En esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

3.3 ¿QUÉ ES UNA ISO?

ISO (LA organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (Organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de comités técnicos de ISO.

1 Figura Adoptada de autor del texto.

21

23.4 ¿QUÉ ES UN ISMS O POR SUS SIGLAS EN ESPAÑOL SGSI?

Sistema de Gestión de la seguridad de la Información (SGSI).El concepto clave de un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

2 Parte del tema adoptada de: http://webstore.iec.ch/preview/info_isoiec27001%7Bed1.0%7Den.pdf

22

4. APLICACIONES DE LA NORMA ISO 27000.

Aquí observaremos pautas para la realización del proyecto bajo el uso de la Norma ISO 27000. 4.1 TODO TIPO DE INFORMACIÒN ES IMPORTANTE. 4.1.1 3¿Alguna vez te has preguntado por qué es tan importante?

Aquí podrás ver por qué debemos darle importancia a la información de la compañía. ISMS es el concepto equivalente en idioma inglés, siglas de Información Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita. Puede ser:

Escrita. En imágenes Oral, Impresa en papel. Almacenada electrónicamente. Proyectada. Enviada por correo, fax o e-mail. Transmitida en conversaciones, etc.)

De su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

3 Pregunta formulada por los estudiantes para envolver el trabajo.

23

FIGURA DE PROCEDIMIENTOS ISO 27000. 4 “Análisis de la Figura anterior: En la figura podemos observar que todo los datos son supremamente importantes, para cualquier organización y que cada uno de ellos hacen parte de un mismo sistema de información y que junto con ellos se forma la estructura interna de la compañía ya que estos llevan un valor importante por medio de sus procedimientos para conformar la verdadera información que es la mas valiosa y que realmente al ser valiosos deben estar protegidos por un SGSI para evitar dolores de cabeza futuros. Adoptada de la lectura” 4.2 PILARES DE LA NORMA ISO 27000. Para llegar a tener un control excelente sistema SGSI en la empresa AB CONFORT LTDA debemos partir de los siguientes pilares o adoptarlos de una mejor manera. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

4 Figura Adoptada del texto de autor: http://www.iso27000.es/sgsi.html#section2a

24

Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Autenticidad: existe garantía de la identidad de los usuarios o procesos que tratan la información, y de la autoría de una determinada acción. Trazabilidad: es posible reproducir un histórico o secuencia de acciones sobre un determinado proceso y determinar quién ha sido el autor de cada acción.

5 “Los 5 pilares permiten mantener el SGSI ya que estos sea la verdadera base de este sistema y del buen funcionamiento de ellos se pude mantener, los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

5 Figura Adoptada de PDF Asignado por el tutor de la Introducción a la norma.

25

5. COMO ELABORAR UN ANALIS DE RIESGOS BAJO LA ISO 27000.

Aquí tomamos la norma como referencia para realizar un análisis de riesgos adecuado en AB CONFORT. Para ello se tomaran según la misma alguna de las siguientes recomendaciones que establece. 5.1 CICLO PARA TENER EN CUENTA.

6

75.1.1 ¿CÓMO SE EVITAN RIESGOS EN LA INFORMACIÓN? Para tener en cuenta. “Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas.”

6 Figura del Autor del texto: http://www.iso27000.es/sgsi.html#section2b

7 Pregunta Adoptada por los estudiantes según la lectura.

26

85.1.2 ¿CÓMO HACERLE FRENTE A ESTE TIPO DE AMENAZAS?

1. Como primera medida debemos tener en cuenta como prioridad la información que maneja nuestra compañía.

2. Identificar cuáles de las vulnerabilidades existentes, pueden someter a

activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo.

3. Proteger los equipos de los virus informáticos, el “hacking” o los

ataques de denegación de servicio son algunos ejemplos comunes y conocidos.

4. Considerar los riesgos de sufrir incidentes de seguridad causados

voluntaria o involuntariamente desde dentro de la propia organización. que pueden ser aquellos provocados accidentalmente por:

o Catástrofes naturales. o Fallos técnicos.

9Esto se tiene muy en cuenta para el máximo cumplimiento:

“El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones”

5.2 ANÁLISIS DE GRAFICO.

1. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo, para ello se debe tener en cuenta como establecemos un SGSI y detallar cada lugar por donde viaja la información para tener un mayor control cuando esta está en actividad dentro de la compañía.

2. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios.

8 Pregunta dada por la lecturas por los estudiantes

9 Tomado del texto de autor es en general.

27

3. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

5.2.1 TENIENDO EN CUENTA TODO ESTO DEBEMOS TENER E CUENTA LOS BENEFICIOS OBTENIDOS COMO LO SON:

1. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

2. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

3. Definir el alcance del SGSI en términos del negocio, la organización, su

localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.

4. Definir una política de seguridad que:

Incluya el marco general y los objetivos de seguridad de la información

de la organización. Considere requerimientos legales o contractuales relativos a la

seguridad de la información.

Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI.

Establezca los criterios con los que se va a evaluar el riesgo.

Esté aprobada por la dirección.

28

6. COMPORTAMIENTO DE LOS RIESGOS SEGÚN LA NORMA.

6.1 ANÁLISIS DE RIESGOS.

Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles, existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia. 6.1.1 IDENTIFICAR LOS RIESGOS:

Identificar los activos que están dentro del alcance del SGSI y a sus

responsables directos, denominados propietarios.

Identificar las amenazas en relación a los activos.

Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.

Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

29

6.1.2 ANALIZAR Y EVALUAR LOS RIESGOS:

Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información.

Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados.

Estimar los niveles de riesgo.

Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

6.1.3 IDENTIFICAR Y EVALUAR LAS DISTINTAS OPCIONES DE TRATAMIENTO DE LOS RIESGOS PARA:

Aplicar controles adecuados.

Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y

criterios establecidos para la aceptación de los riesgos.

Evitar el riesgo, por ejemplo: mediante el cese de las actividades que lo originan.

Transferir el riesgo a terceros, por ejemplo: compañías aseguradoras o proveedores de outsorsing.

7. COMO PROTEGER LA INFORMACION BAJO LA NORMA ISO 27000.

30

Todas las fases de la norma son muy importantes y en este caso se realizo un enfoque pensando en los documentos de AB CONFORT. 107.1 LA DOCUMENTACION ES UNA ESTRUCTURA Y PILAR IMPORTANTE DE LA EMPRESA.

Toda empresa para llevar a cabo un proceso de calidad eficiente debe tener en cuenta dentro de la estructura de documentación la gestión de la calidad según ISO 9001, la cual siempre se ha mostrado gráficamente como una pirámide de cuatro niveles. La cual es posible trasladar a modelo o Sistema de Gestión de la Seguridad de la Información (SGSI) basado en ISO 27001. Como la siguiente forma: 7.1.1 DOCUMENTOS DE NIVEL 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

117.1.2 DOCUMENTOS DE NIVEL 2

10 Tomado del texto de autor: http://www.iso27000.es/sgsi.html#section2c 11 Ibíd. http://www.iso27000.es/sgsi.html#section2c

31

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

7.1.3 DOCUMENTOS DE NIVEL 3

Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

7.1.4 DOCUMENTOS DE NIVEL 4

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.

Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organiza

Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

32

Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.

Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

127.1.5 CONTROL DE LA DOCUMENTACIÓN. Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para:

Aprobar documentos apropiados antes de su emisión.

Revisar y actualizar documentos cuando sea necesario y renovar su validez.

Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.

Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo.

Garantizar que los documentos se mantienen legibles y fácilmente identificables.>

Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación.

Garantizar que los documentos procedentes del exterior están identificados.

Garantizar que la distribución de documentos está controlada.

Prevenir la utilización de documentos obsoletos.

Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.

12 Ibíd. http://www.iso27000.es/sgsi.html#section2c

33

8. METODOS PARA EVALUAR LOS RIESGOS.

8.1 METODOLOGÍA DE CRAMM. 13La metodología CRAMM (Metodología de Análisis y Gestión de Riesgos) permite un análisis cualitativo y cuantitativo de la situación actual de la organización para lo cual se apoya en una matriz en donde las filas representan los diferentes “activos de información” y las columnas los riesgos que amenazan la integridad, confidencialidad y disponibilidad de estos activos. La metodología CRAMM cumple con ciertos aspectos que se rigen para su desarrollo.

8.1.1 INTEGRIDAD.

Se refiere a la precisión y suficiencia de la información así como su validez de acuerdo con los valores y expectativas.

8.1.2 CONFIDENCIALIDAD. Se refiere a la protección de información sensible contra la divulgación no autorizada.

8.1.3 DISPONIBILIDAD.

Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso del negocio ahora y en el futuro.

8.1.4 INTEGRIDAD Y SUS VALORES DE IMPACTO. El requerimiento de cumplimiento, precisión y resistencia a modificaciones no autorizadas. Cada custodio puede tener diferentes tipos de activos de información electrónica que necesita ser categorizada individualmente.

8.1.5 CONFIDENCIALIDAD Y SUS VALORES DE IMPACTO. Se identifica el requerimiento de protección a fin de que no la conozcan personas no autorizadas para así mantener su confidencialidad.

13 véase también el documento completo http://es.scribd.com/4n63l1qu3/d/59996282/27-

Metodologia-de-CRA

34

8.1.6 DISPONIBILIDAD Y SUS VALORES DE IMPACTO La habilidad para recuperar la información, en el caso de interrupción, a fin de seguir apoyando los procesos de la organización.

14 FIGURA CRAMM.

14

Figura adoptada del texto del autor: http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf

35

9. HERRAMIENTAS PARA LA RECOLECCION DE DATOS.

159.1 AUDITORÍA. Es el examen profesional, objetivo e independiente, de las operaciones financiera y/o Administrativas, que se realiza con posterioridad a su ejecución en las entidades públicas o privadas y cuyo producto final es un informe conteniendo opinión sobre la información financiera y/o administrativa auditada, así como conclusiones y recomendaciones tendientes a promover la economía, eficiencia y eficacia de la gestión empresarial o gerencial, sin perjuicio de verificar el cumplimiento de las leyes y regulaciones aplicables. 9.1.1 CARACTERÍSTICA DE LA AUDITORIA. La característica primordial es desarrollar un examen imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni políticas. En todo momento debe prevalecer el juicio del auditor, que estará sustentado por su capacidad profesional y conocimiento pleno de los hechos que refleja en su informe. - Las auditorías se desarrollan en: a) De acuerdo a quienes realizan el examen. Externa. Se define externa cuando el examen no lo practica el personal que labora en la la Entidad, es decir que el examen lo practica la Contraloría o Auditores independientes. En la empresa privada las auditorías solo la realizan auditores independientes. Interna. Se desarrolla cuando el examen lo practica el personal que labora dentro de la compañía (equipo de Auditoría de la Entidad).

15 Véase también el documento completo.

http://www.mailxmail.com/curso-elemental-auditoria/clasificacion-auditoria

36

Gubernamental. Cuando la practican auditores de la Contraloría General de la Republica, o auditores internos del sector público o firmas privadas que realizan auditorias en el Estado con el permiso de la Contraloría. b) De acuerdo al área examinada o a examinar las cuales son: Auditoría Financiera. 16Es un examen a los estados financieros que pretenden determinar si los estados financieros auditados presentan razonablemente la situación financiera de la empresa, de acuerdo a los Principios de Contabilidad Generalmente Aceptados (PCGA). El auditor financiero verifica si los estados financieros presentados por la gerencia se corresponden con los datos encontrados por él. Auditoría Operacional. La función es cumplir un examen objetivo, sistemático y profesional de evidencias, con el propósito de hacer una evaluación independiente sobre el desempeño de una entidad, programa o actividad, orientada a mejorar la efectividad, eficiencia y economía en el uso de los recursos humanos y materiales para facilitar la toma de decisiones. Auditoría Especial. Se desarrolla mediante un examen objetivo, profesional e independiente, que se realiza específicamente en un área determinada de la entidad, ya sea ésta financiera o administrativa, con el fin de verificar información suministrada o evaluar el desempeño. Ejemplo: Auditoría de Caja, Auditoría de Inversiones, Auditoría de Activos Fijos, examen a cheques emitidos durante una semana, etc.

16

Ibíd. http://www.mailxmail.com/curso-elemental-auditoria/clasificacion-auditoria

37

Auditoria de sistemas. 17La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

En el presente trabajo durante el estudio de la situación actual aplicaremos

elementos de la auditoria de sistemas en relación con la seguridad de la información en la empresa AB CONFORT LTDA. Se basará en el seguimiento que se realizara en cada uno de sus procesos de información, como se controlaran dentro de esta, si manejan una estructura de seguridad informática y de información adecuada o si por el contrario presentan vulnerabilidades, esto se desarrolla para presentarle a la empresa los parámetros que deben cumplir según las norma de seguridad de información ISO 27000, para que posterior puedan llegar a una certificación para la ISO 27001.

Auditoría Integral. 18Es un examen que proporciona una evaluación objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economías, eficacia y eficiencia.

17 Ibíd. http://www.mailxmail.com/curso-elemental-auditoria/clasificacion-auditoria

18 Ibíd. http://www.mailxmail.com/curso-elemental-auditoria/clasificacion-auditoria

38

Auditoría Ambiental. Es un examen a las medidas sobre el medio ambiente contenidas en las leyes del país y si se están cumpliendo adecuadamente. Auditoría de Gestión Ambiental. Se desarrolla mediante un examen que se le hace a las entidades responsables de hacer cumplir las leyes, normas y regulaciones relacionadas con el medio ambiente. Se lleva a cabo cuando se cree que la entidad rectora o responsable de hacer cumplir las leyes ambientales, no lo está haciendo adecuadamente. Auditoría de Recursos Humanos. Examen que se hace al área de personal, para evaluar su eficiencia y eficacia en el manejo del personal y los controles que se ejercen con los expedientes, asistencia y puntualidad, nóminas de pago, políticas de atención social y promociones, etc. Auditoria de Cumplimiento. Se realiza con el propósito de verificar si se están cumpliendo las metas y orientaciones de la gerencia y si se cumplen las leyes, las normas y los reglamentos aplicables a la entidad. Auditoria de Seguimiento. Esta desarrollado para verificar si se están cumpliendo las medidas y recomendaciones dejadas por la auditoria anterior.

39

9.2 ENCUESTA. 19Es un método de la investigación de mercados que sirve para obtener información específica de una muestra de la población mediante el uso de cuestionarios estructurados que se utilizan para obtener datos precisos de las personas encuestadas. Tipos de Encuesta Según el Medio. Tipos de encuesta que se dividen según el medio que se utiliza para realizar la encuesta. Encuestas basadas en entrevistas cara a cara o de profundidad Consisten en entrevistas directas o personales con cada encuestado. Tienen la ventaja de ser controladas y guiadas por el encuestador, además, se suele obtener más información que con otros medios (el teléfono y el correo). Sus principales desventajas son el tiempo que se tarda para la recolección de datos, su costo que es mas elevado que las encuestas telefónicas, por correo o internet (porque incluye viáticos, transporte, bonos y otros que se pagan a los encuestadores) y la posible limitación del expresión del entrevistador (por ejemplo, su apariencia, estilo de hacer preguntas y el lenguaje corporal que utiliza, todo lo cual, puede influir en las respuestas del encuestado).

Este tipo de encuestas según su especificaciones y desarrollo se aplico en consenso con nuestro grupo de trabajo, escogimos este tipo de encuesta para ejecutar en la empresa A.B CONFORT LTDA, ya que nos brinda la posibilidad de interactuar directamente con el personal, brindándoles ayuda a inquietudes que presenten los usuarios referente al significado de la preguntas. y así poder determinar una idea mas concreta con base a los datos de la seguridad informática que presenta esta.

Encuestas telefónicas. Este tipo de encuesta consiste en una entrevista vía telefónica con cada encuestado. Sus principales ventajas son:

19

Véase en : http://www.promonegocios.net/mercadotecnia/encuestas-tipos.html

40

1) Se puede abarcar un gran número de personas en menos tiempo que la entrevista personal.

2) Sus costos suelen ser bajos.

3) Es de fácil administración (hoy en día, existen software especializados para la gestión de encuestas telefónicas). Sin embargo, su principal desventaja es que el encuestador tiene un mínimo control sobre la entrevista, la cual, debe ser corta (para no molestar al encuestado).

Encuestas postales. Consiste en el envío de un “cuestionario" a los potenciales encuestados, pedirles que lo llenen y hacer que lo remitan a la empresa o a una casilla de correo. Para el envío del cuestionario existen dos medios:

1) El correo tradicional.

2) El correo electrónico (que ha cobrado mayor vigencia en los últimos años).

Ventajas: De este tipo de encuesta están relacionadas con la sinceridad con que suelen responder los encuestados (al no tener la presión directa que supone la presencia del encuestador), el bajo costo (en relación a la encuesta cara a cara y por teléfono) y la amplia cobertura a la que se puede llegar (siempre y cuando se disponga de una buena base de datos). Sus desventajas son: La baja tasa de respuesta y la falta de listas con información actualizada. Encuestas por Internet. Este tipo de encuesta consiste en "colocar" un cuestionario en una página web o en enviarlo a los correos electrónicos de un panel predefinido. Sus principales ventajas son: 1) la amplia cobertura a la que se puede llegar (incluso a miles de encuestados en varios países y al mismo tiempo). 2) el ahorro de tiempo (se puede obtener miles de encuestas respondidas en cuestión de horas), los bajos costos (que son menores a las encuestas cara a cara, por teléfono y postales) y la utilización de medios audiovisuales durante la encuesta. 3) Sus desventajas no siempre se puede verificar la identidad del encuestado y la interrogante que deja la muestra en cuanto a su representatividad del universo.

41

20Otros Tipos de Encuesta Encuesta en el punto de venta. Es aquella que es realizada en los pasillos de un establecimiento comercial y que consiste en interceptar a los compradores de ese momento para solicitarles que rellenen el cuestionario. Encuesta ómnibus. Consiste en un cuestionario cerrado multitemático, compuesto por varios módulos que recogen información de una misma muestra sobre diferentes temas, para distintos clientes, que se abonan al servicio y se benefician de un ahorro de costos, dado que éstos son compartidos por todos los suscriptores. El hecho de que se lleven a cabo con periodicidad semanal, mensual o trimestral las hace muy indicadas para estudios de seguimiento. Encuesta por suscripción. Es una encuesta de carácter único que es vendida a varios clientes interesados en ella y con necesidades parecidas.

20

Ibíd.: http://www.promonegocios.net/mercadotecnia/encuestas-tipos.html

42

10. DISEÑO METODOLOGICO.

10.1 TIPO DE DISEÑO

El proceso y análisis se realizaron mediante los lineamientos guiados bajo el

(SGSI) que maneja actualmente AB CONFORT LTDA, que para ellos es

conocido como algunas políticas de seguridad únicamente y con base a la norma

ISO 27000, se realizo una lista de chequeo hacia los activos, para esto se

desarrollaron encuestas para saber cuáles eran los mas importantes y que a su

ves nos arrojaron datos muy concretos que se pudieran medir mediante un

sistema de tabulación de porcentajes, identificando en que aspectos están fallando

para determinar recomendaciones y su respectivos controles mejorando para la

protección de los activos.

10.2 HIPOTESIS Y VARIABLES

10.2.1 HIPÓTESIS

Realizar un análisis del estado actual del SGSI en la empresa AB CONFORT LTDA, para brindar las respectivas recomendaciones de implantación. 10.2.2 VARIABLES

10.2.2.1 Independiente:

Análisis del estado actual del SGSI de la empresa AB CONFORT LTDA,

10.2.2.2 Dependiente:

Brindar las respectivas recomendaciones de implantación.

43

Definición de Variables:

Independiente:

21Análisis: se refiere a la mención a un examen de nivel cuantitativo y cualitativo

de determinados componentes de un mismo sistema.

22SGSI: un conjunto de políticas de administración de la información.

Dependiente:

23Implantación: Establecimiento de doctrinas, instituciones o costumbres para su

funcionamiento.

24Recomendaciones: Se refiere al de consejo, o en su defecto, una advertencia.

EJP: A pesar de las varias recomendaciones que le dimos respecto de la

peligrosidad de transitar por esa calle durante la noche.

Operacionalización de variables.

10.2.2.3 Independiente:

25Políticas: Conjunto de criterios generales que establecen el marco de referencia para

el desempeño de las actividades en materia de obra y servicios relacionados con la

misma.

26Administración: la administración es el proceso de planear, organizar, dirigir y

controlar el uso de los recursos para lograr los objetivos organizacionales.

21

Véase mas completo en: http://definicion.de/analisis/

22 Véase en: http://es.wikipedia.org/wiki/Sistema_de_Gesti%C3%B3n_de_la_Seguridad_de_la_Informaci%C3%B3n

23

Véase en: http://www.wordreference.com/definicion/implantaci%C3%B3n

24 Ver en: http://www.definicionabc.com/social/recomendacion.php

25 Ver en. http://info4.juridicas.unam.mx/unijus/obr/3/1.htm

26Consultar más en: http://www.promonegocios.net/administracion/definicion-

administracion.html

44

27Información: Se define como un grupo de datos ya supervisados y

ordenados, que sirven para construir un mensaje basado en un cierto fenómeno

o ente.

10.2.2.4 Dependiente:

28Doctrinas: es el conjunto de enseñanzas que se basa en un sistema de

creencias. Se trata de los principios existentes sobre una materia determinada.

29Funcionamiento: Se refiere a la ejecución de la función propia que despliega

una persona.

30Consejo: Es el parecer o la opinión que se emite o se recibe para hacer (o no

hacer) algo.

31Advertencia: Es la acción y efecto de advertir (llamar la atención sobre algo,

aconsejar, prevenir).

27 Ver en : http://definicion.de/informacion/

28 Ver mas información en: http://www.definicionabc.com/tecnologia/funcionamiento.php

29 Ver más en: http://www.definicionabc.com/tecnologia/funcionamiento.php

30 Comparar en: http://definicion.de/consejo/

31

Comparar en: http://definicion.de/advertencia/

45

10.3 POBLACIÓN Y MUESTRA La población son todos aquellas empresas las cuales manejan todo tipo de

información ya sea de una forma digital o física de la ciudad y que requieran

implementar o quieran contar con un SGSI dentro de su estructura.

10.3.2 MUESTRA

La muestra para este proyecto se tomo en AB CONFORT LTDA. Para el

desarrollo del proyecto.

10.4 INSTRUMENTOS

Para el desarrollo del análisis del estado actual de AB CONFORT LTDA y recomendaciones de implantación para mejorar el SGSI.se utilizaron herramientas como metodología CRAMM, la normas ISO/IEC 27000 como una de las mas importante y la asesoría del ingeniero Hernán Alonso Lotero Rojas las cuales se encuentran en la biblioteca universitaria y en el internet en foros y trabajos de otras universidades o en cometarios de empresas ya certificadas con la norma. Para realizar la recolección de datos se realizaron una serie de encuestas en la compañía que en principio se crearon para iniciar la investigación con los conocimientos adquiridos durante las tutorías para saber cuáles eran los parámetros mas importantes una vez identificados, se armaron con tipos de preguntas en algunos casos cerradas y en otros abiertas también se realizo una lista de checheo con los controles qué deberían cumplir bajo la norma y ahí evaluar con cuántos de estos estaban cumpliendo. Este proceso nos lleva finalmente a hacer una relación general de cuanto le falta a la compañía para llegar a obtener una certificación a futuro y especialmente en que gestiones deben enfocarse para ello; sin olvidar que como mínimo de cumplimiento deben tener el 80%. Se realizaron interacciones con distintos lugares

46

10.4.1 ESTADIO DESCRIPTIVO.

Durante el proceso de investigación, que se realizo en la empresa AB CONFORT

LTDA. , se buscaba realizar un análisis del estado actual del SGSI en la presente

compañía, que permitiera determinar de forma pertinente recomendaciones para

futuras mejoras con base a la norma ISO 27000, ya que actualmente el manejo de

información es realizada por elementos físicos y digitales los cuales no presentan

un control adecuado de acuerdo a la norma.

Los resultados obtenidos se adquirieron mediante entrevistas directas con los

gerentes y el ingeniero de sistemas de la compañía, la cual dio apertura a la

primera reunión, la cual permitió exponer la importancia de este proyecto, y poder

medir hasta donde se podía llegar con la investigación según sus respuestas, y de

la misma la manera darles a conocer la importancia y beneficios que presenta esta

para los activos de la compañía.

Este proyecto se desarrollo mediante la supervisión de un tutor y el compromiso

de los estudiantes, y por el apoyo de la compañía.

10.4.2 ESTADIO COMPARATIVO.

Al obtener la información que nos proporcionaron los administrativos DE AB

CONFORT LTDA, procedimos a realizar una encuesta, para medir algunos

parámetros que maneja la norma ISO 27000, para generar las respectivas

recomendaciones que debe tener la compañía para opten para una certificación

futura.

Una vez para la empresa AB CONFORT LTDA al haber obtenido las

recomendaciones es indispensable para ellos continuar con el proceso de

aplicación.

10.4.3 ESTADIO INTERACTIVO.

Con base a la norma ISO 27000 se determino que aspectos deben mejorar para la

empresa AB CONFORT LTA, después de presentarles las recomendaciones.

47

10.5 ADMINISTRACION DEL PROYECTO.

10.5.1 RECURSOS Para lograr el análisis del estado actual de AB CONFORT LTDA y recomendaciones de implantación para mejorar el SGSI. Es fundamental contar con recursos, económicos, humanos y tecnológicos para llevar a cabo esta acción. 10.5.2 RECURSOS ECONÓMICOS

Los recursos económicos para realizar el análisis del estado actual de AB

CONFORT LTDA y recomendaciones de implantación para mejorar el SGSI.

Fueron aportados por los propios integrantes del grupo. Estos fueron necesarios

para lograr el traslado hacia la compañía ubicada en la dirección: (Calle 6 c # 70-

80 Barrió Marsella la Nueva.) En Bogotá D.C, también para hacer efectivas las

tutorías sobre el tema y determinar los diferentes temas para el desarrollo del

trabajo.

10.5.3 RECURSOS HUMANOS

Los recursos Humanos para el desarrollo de este proyecto es conformado por las

siguientes personas: VERONICA ANDREA RODRIGUEZ BONILLA, JOSSEP

SNAIDER OCHOA CARDONA, SERGIO ALEXANDER GARNICA ROCHA,

JORGE ENRRIQUE FIERRO CASTELLANOS y JOSÉ LIBARDO MARTINEZ

ARCINIEGAS. Además de contar con el apoyo de un tutor asignado por la

universidad el Ing. HERNÁN ALONSO LOTERO ROJAS.

10.5.4 RECURSOS TECNOLÓGICOS

Para el desarrollo del proyecto fueron necesarios los recursos como: un

computador ya sea laptop o desktop que cuente con el software básico para

realizar tareas ofimáticas necesarias para diagramar y organizar la información

recolectada de una forma adecuada además para la realización del trabajo

utilizamos un procesador de textos online como lo es actualmente (Google Docs)

bajo la plataforma del correo institucional la cual permite trabajar esta aplicación.

También el conocimiento propio y adquirido por cada uno de los integrantes sobre

el tema y además de manejo informático en el uso de los sistemas.

48

11. RESULTADOS DE LA ENCUESTA.

1. ¿Conoce usted la política de seguridad de información de la compañía?

El 13 % de los encuestados si conoce la política de seguridad de la compañía,

pero el 87 % no presenta conocimiento.

2. ¿Le parecería importante que se implementara un sistema con políticas para la

seguridad de información?

El 100% de los encuestados menciona la importancia que se implementara

políticas para la seguridad de la información.

49

3. ¿Tiene usted conocimiento sobre el ITEM de confidencialidad incluido dentro

del contrato laboral?

El 33% del personal si tiene conocimiento sobre el ítem de confidencialidad, pero

el 67% desconoce el ítem de confidencialidad que esta presentado en el contrato

laboral.

4. ¿Cuáles son los medios que usa para envió e intercambio de información con

los demás empleados y proveedores?

El 18% de los encuestados usa como herramientas medios físicos e impresos

para el intercambio de información, el 32% usa el teléfono el fax y celular y el 50%

usa el email y el internet.

50

5. ¿Cuenta con alguna herramienta de comunicación interna con sus compañeros

de trabajo?

El 57% de los encuestados no cuentas con ninguna herramienta de comunicación interna con sus compañeros de trabajo y el 43% si cuenta con alguna herramienta de comunicación interna. 6. ¿Para las realizaciones de las funciones propias de su trabajo, cuál de las

siguientes herramientas son necesarias?

51

El 43% de los encuestados cree como herramienta necesaria para su trabajo el

Hotmail, el 27% Outlook, 17% Gmail y el 13% entre yahoo y skype.

10. ¿Tiene asignado responsabilidades y funciones en seguridad de la

información?

El 40% de los encuestados si presentan asignadas responsabilidades y funciones en seguridad e información, y el 60% dice no tener asignada ninguna responsabilidad.

11. ¿Hay un control para mantener el buen estado de los equipos de la compañía?

52

El 73% de los encuestados si conocen sobre el control para mantener el buen

estado de los equipos de la compañía, y el 27 % no tiene conocimiento.

12. ¿Su equipo cuenta con una buena protección de códigos malicioso(software

antivirus)?

El 53 % de los encuestados si cuenta con un software de antivirus optimo para su

equipo y el 47 % no cuenta con ninguna protección adecuada.

13. ¿La empresa cuenta con medidas de protección física contra incendio,

inundación, terremoto, explosión, otras formas de desastre natural o humano.?

53

Medición Individual teniendo en cuenta preguntas realizada a las personas de AB CONFORT LTDA.

no

40% si

60%

13. 1 La Empresa cuenta con las medida de

proteccion contra incendio.

No

20

%

si

80%

13.2 La Empresa cuenta con las medida de

proteccion contra inundacion.

54

no

47% si

53%

13. 3 La Empresa cuenta con las medida de

proteccion contra terremoto.

no

13%

si

87%

13.4 La Empresa cuenta con las medida

de proteccion contra explocion.

55

El 33% de los encuestados dicen conocer medidas de protección física frente a

desastres naturales (Incendio, inundación, terremoto, explosión etc.) o humano, y

el 67% no tiene conocimiento frente a medidas de protección.

La pregunta No 13 se edito nuevamente de una forma individual para obtener

mejores resultados……

no

66%

si

34%

13. 5 La Empresa cuenta con las medida de

proteccion contra descuida humano.

56

14. ¿Cada cuanto realiza copias de seguridad a su información?

El 42% no realiza copias de seguridad, el 21% realizan copias mensualmente, el

21% % realiza copias semanalmente y el 16% realiza copias de seguridad

diariamente.

15. ¿Cada cuanto cambia su contraseña?

57

El 71% de los encuestados nunca cambia su contraseña en sus equipos de

cómputo, mientras que el 29% si cambian su contraseña mensualmente.

12. CONCLUSIONES.

Se realizo un estudio del estado actual del SGSI en la empresa AB CONFORT LTDA, que permitió determinar de forma pertinente algunas recomendaciones, para que a futuro la compañía cambie y mejore el mismo sistema de una manera adecuada bajo los parámetros de la norma ISO 27000. Lo cual fue realizado bajo las siguientes herramientas como lo son: Se observo la plataforma estratégica de la organización, el cual permitió tener conocimiento de la misma y así poder con ello realizar las siguientes acciones como fueron: direccionar y crear de una manera correcta el SGSI acuerdo según sus necesidades, metas y objetivos. Esto se realizo mediante entrevistas cara a cara y la recopilación de información. En base a las encuestas.

Se realizo el inventario de los activos de información de AB CONFORT LTDA. Los cuales permitieron determinar la prioridad e importancia de los mismos, para que a futuro de tal manera que las acciones de cambio que se enfoquen sobre ellos no presenten daños y perjuicios a la compañía y solamente la beneficien. Se diseño un análisis de riesgos en AB CONFORT LTDA que determino las acciones de protección y mecanismos de control para que a futuro se pudiese minimizar los riesgos que tenían sus activos de información Para ello se aplico un

análisis bajo la metodología CRAMM (Risk Analysis and Management Method)

la cual consideramos que permite hacer un análisis cualitativo y cuantitativo de la situación actual de la compañía. Se definirá un modelo del SGSI el cual será dimensionado a las necesidades de la organización por medio de recomendaciones desacuerdo con la información recolectada y tabulada para que le permita posteriormente alcanzar la certificación bajo los lineamientos de la norma ISO 27000 a la empresa AB CONFORT LTDA. Se puede prever, que la certificación ISO 27000 será una obligación de cualquier empresa que desee competir en el mercado, la cual debe tener y exigirse niveles concretos y adecuados de seguridad informática para que NO sea afectado con un ataque hacia la documentación virtual. Este estándar conlleva a que las compañías sean cada vez mas exigentes y puedan cubrir todas estas posibles fallas que muchas veces pueden ser mínimas pero afectan bastante lo cual hace pensar sin ninguna duda que esta norma es muy importante para que las

58

empresas puedan competir con sus línea de productos en el mercado cibernético si preocupaciones de clonación y sin exponer sus infraestructuras de información a ataques no deseados, es por esto que ISO 27000 con sus herramientas y pautas es una muy buena solución de una manera solida.

13. RECOMENDACIONES.

POLITICAS DE SEGURIDAD

Como empresa se recomienda establecer un documento de políticas que

establezcan una mejor condición hacia la seguridad de sus activos de

información.

Aspectos organizativos de la seguridad

Es importante determinar un compromiso de la dirección con la seguridad

de información.

Establecer una coordinación de la seguridad de la información.

Realizar asignaciones y responsabilidades a la seguridad e la información.

Presentar controles frente al proceso de autorización de recursos para el

tratamiento de información.

Seguridad física y del entorno.

Generar controles físicos de entrada a áreas de trabajo.

Crear áreas de acceso público y de carga y descarga.

Disponer de una seguridad de los equipos fuera de las instalaciones.

Gestión de Comunicaciones y Operaciones

Controlar la supervisión y revisión de los servicios prestados por terceros.

Seguridad de las redes

Establecer mejoras con seguridad de los servicios de red.

Intercambio de información.

Cumplir con Políticas y procedimientos de intercambio de información.

Crear acuerdos de intercambio.

Establecer sistemas de información empresariales.

Supervisión

59

Establecer medidas de protección de información para minimizar registros.

Presentar un control frente a los registros de administración y operación.

CONTROL DE ACCESO.

Requisitos de negocio para el control de acceso.

Establecer una Política de control de acceso que sea conocida por el

personal y en especial por las personas autorizadas para el acceso

RESPONSABILIDADES DE USUARIO

Establecer una política que establezca que los documentos debe archivar

bajo llave. de la misma manera los archivos digitales deben ser guardados

en carpetas con seguridad de acceso.

Control de acceso a la red.

Supervisar por medio de programas remotos , los tipos de documentos que

están enviando a través de la red , ya que se sugiere ,uso de correo interno.

CONTROL DE ACCESO AL SISTEMA OPERATIVO

Configurar los equipos, que la clave de inicio después de cierto tiempo al no

estar interactuando con ellos pida nuevamente la clave.

Al conectarse al servidor de la compañía debe existir un una conexión

constante para trabajar adecuadamente, de lo contrario al pasar un tiempo

mínimo pedirá nuevamente la clave para conectarse al servidor.

60

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIÓN.

Requisitos de seguridad de los sistemas de información.

Conocer y aplicar cuales son los activos mas importantes de información,

para que se vean protegidos de acuerdo al SGSI.

Controles criptográficos.

Se deberá establecer un control de seguridad para las personas que

manejen información de impacto en la compañía.

La empresa deberá establecer un rango de tiempo para el cambio de

claves. para así evitar copia de información y demás.

Seguridad de los archivos de sistema

Controlar adecuadamente el uso de software desarrolladlo exclusivamente

para un fin de la empresa.

Bloquear las herramientas, que permitan bloquear el acceso a los códigos

de fuente de los programas por un software para que no sea modificado.

Debe quedar documentado, cualquier cabio que realice la compañía dentro

de su seguridad de los archivos del sistema.

Controlar las vulnerabilidades técnicas. Por medio de mantenimientos

preventivos a los equipos, y actualización de los antivirus.

GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

Notificación de eventos y puntos débiles de seguridad de la información.

Debe existir un documento en el cual muestre que existe alguna anomalía

en la seguridad de información de la empresa.

Establecer un documento que describa cuales son las vulnerabilidades que

presenta en sus activos de información, para llegar a minimizarlos

futuramente.

Gestión de incidentes y mejoras de seguridad de la información.

61

Asignar una persona responsable que documente fallas cundo estas se

presenten.

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

Aspectos de seguridad de la información en la gestión de la continuidad del

negocio.

Al presentar una política de seguridad definida, esta se beneficiara para el

buen manejo de sus activos y así establecer una optima continuidad del

negocio.

Cumplimiento de los requisitos legales.

Identificación de la legislación aplicable. Proceder al uso de leyes de la

legislación cuando dentro de esta se presente un delito informático.

Derechos de propiedad intelectual (DPI). Dentro de las políticas debe estar

establecido un ítem que proteja a las personas que manejan información,

en la cual no existe documentación física ni virtual.

De acuerdo con el análisis de las en cuentas realizadas al personal de AB

CONFORT LTDA sugerimos que se capacite a al personal sobre las políticas de

seguridad empleadas en la compañía y el correcto manejo de la información ya

que así mejoraremos el manejo dado a esta.

Se sugiere implementar controles en la seguridad física de aéreas de trabajo con

acceso restringido (personal no autorizado) de acuerdo con los activos importantes

de la compañía.

Se sugiere controlar y supervisar los servicios prestados por terceros para que

esto no afecte las políticas de seguridad en la compañía con fin de garantizar

confiablidad, integridad y disponibilidad de la información suministrada a ellos.

Se recomienda mantener en constante verificación y actualización el sistema de

PHVA en el cual plantearemos nuevos objetivos y continuaremos en el desarrollo

de nuevas políticas de nuestro sistema de seguridad de la información con el fin

de mejorar continuamente y así mantenernos siempre a la vanguardia.

62

BIBLIOGRAFIA.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN: ICONTEC: Norma técnica: NTC-ISO/IEC colombiana ISO 27000: técnicas de seguridad sistemas de gestión de la seguridad de la información (SGSI) requisitos, Bogotá: biblioteca fundación universitaria panamericana julio 5 2011: paginación (658.568 i57ant ejemplar 1)

Consultas en páginas web foros adoptados a la norma ISO 27001 lectura para tener una idea clara en lo que la norma se caracterizaba:

http://www.laflecha.net/canales/seguridad/articulos/metodologia-de-implantacion-y-certificacion-de-iso27001/

Portal interactivo norma ISO 27001. Y un SGSI de una forma muy detallada excelente herramienta de recomendación:

http://www.iso27000.es/sgsi.html#section2 Consultas y lecturas páginas web para tener como base el tipo de Auditorias que fueron tenidas en cuenta en este caso como lo es la de sistemas.

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html Consulta portales web para tener en cuenta los tipos de encuesta que se manejan a nivel general y cuál era la adecuada para el proyecto:

http://www.promonegocios.net/mercadotecnia/encuestas-tipos.html Material interactivo y PDF conformado por 5 Módulos de la norma ISO 27000 entregados como apoyo por parte del tutor Hernán Alonso Lotero Rojas. INGENIERO DE SISTEMAS FUNDACION UNIVERSITARIA PANAMERICANA.

63

ANEXOS.

CARTA DE VISITA

64

ANALISIS DE ACTIVOS AB CONFORT

Activos de la compañía Importancia

Sistema administrativo financiero (nomina, facturación, inventarios y contabilidad)

Alta

Programación e información de producción Alta

Sistema de información de pedidos y ventas Alta

sistema de información de tesorería Media

Servidores Alta

Equipos de computo personales Media

Portátiles Baja

Firewall Media

Redes y telecomunicaciones Alta

Sistemas de mensajería instantánea Baja

Correo electrónico Media

Internet Media

Pagina web Baja

Documentos de usuario Media

Equipos de la red cableada (rauter, Switch, etc.)

Equipos de la red inalámbrica (rauter, punto de

acceso, etc.)

Cortafuego

Servidores

Computadoras32

32

Ver Archivo anexo Excel CRAMM.

65

Portátiles

sistema administrativo financiero (nomina,

facturación, inventarios y contabilidad)

programación e información de producción

Programas de producción de datos

sistema de información de pedidos y ventas

Impresoras

Memorias portátiles

PBX (Sistema de telefonía convencional)

Celulares

Edificio (Oficinas, Recepción, Sala de espera, Sala de

reunión, Bodega, etc.)

33Documentos de usuario

33

Ver la CRAMM.

66

ANALISIS DE ENCUESTAS.

Si No Total

1 ¿Conoce usted la política de seguridad de información de la compañía?

2 13 15

2 ¿Le parecería importante que se implementara un sistema con políticas para la seguridad de su información?

15 0 15

3 ¿Tiene usted conocimiento sobre el ITEM de confidencialidad incluido dentro del contrato laboral?

5 10 15

6 ¿Cuenta con alguna herramienta de comunicación interna con sus compañeros de trabajo? ¿Cuál?

6 8 14

10 Tiene asignado responsabilidades y funciones en seguridad de la información

6 9 15

11 ¿Hay un control para mantener el buen estado de los equipos de la compañía?

11 4 15

12 su equipo cuenta con una buena protección de códigos malicioso(software antivirus)

8 7 15

13 ¿La empresa cuenta con medidas de protección física contra incendio, inundación, terremoto, explosión, otras formas de desastre natural o humano?

5 10 15

No

sabe Diario Semanal Mensual

14 ¿Cuáles son los medios que usa para envió e intercambio de información con los demás empleado y proveedores?

8 3 4 4

Nunca Mensual

15 ¿Cada cuanto cambia su contraseña? 10 4

67

LISTA DE CHEQUEO

POLÍTICA DE SEGURIDAD. CONFORME NO CONFORME

5.1 Política de seguridad de la información.

5.1.1 Documento de política de seguridad de la información. NO

5.1.2 Revisión de la política de seguridad de la información. NO

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.

6.1 Organización interna.

6.1.1 Compromiso de la Dirección con la seguridad de la información. SI

6.1.2 Coordinación de la seguridad de la información. SI

6.1.3 Asignación de responsabilidades relativas a la seguridad. De la información. NO

6.1.4 Proceso de autorización de recursos para el tratamiento de la información. NO

6.1.5 Acuerdos de confidencialidad. NO

6.1.6 Contacto con las autoridades. NO

6.1.7 Contacto con grupos de especial interés. NO

6.1.8 Revisión independiente de la seguridad de la información. NO

6.2 Terceros.

6.2.1 Identificación de los riesgos derivados del acceso de terceros. NO

6.2.2 Tratamiento de la seguridad en la relación con los clientes. NO

6.2.3 Tratamiento de la seguridad en contratos con terceros. NO

7. GESTIÓN DE ACTIVOS.

7.1 Responsabilidad sobre los activos.

7.1.1 Inventario de activos. SI

7.1.2 Propiedad de los activos. NO

7.1.3 Uso aceptable de los activos. NO

7.2 Clasificación de la información.

7.2.1 Directrices de clasificación. NO

68

7.2.2 Etiquetado y manipulado de la información. NO

8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.

8.1 Antes del empleo.

8.1.1 Funciones y responsabilidades. NO

8.1.2 Investigación de antecedentes. SI

8.1.3 Términos y condiciones de contratación. SI

8.2 Durante el empleo.

8.2.1 Responsabilidades de la Dirección. NO

8.2.2 Concienciación, formación y capacitación en seguridad. De la información. NO

8.2.3 Proceso disciplinario. NO

8.3 Cese del empleo o cambio de puesto de trabajo.

8.3.1 Responsabilidad del cese o cambio. NO

8.3.2 Devolución de activos. NO

8.3.3 Retirada de los derechos de acceso. NO

9. SEGURIDAD FÍSICA Y DEL ENTORNO.

9.1 Áreas seguras.

9.1.1 Perímetro de seguridad física. SI

9.1.2 Controles físicos de entrada. NO

9.1.3 Seguridad de oficinas, despachos e instalaciones. SI

9.1.4 Protección contra las amenazas externas y de origen ambiental. SI

9.1.5 Trabajo en áreas seguras. NO

9.1.6 Áreas de acceso público y de carga y descarga. NO

9.2 Seguridad de los equipos.

9.2.1 Emplazamiento y protección de equipos. NO

9.2.2 Instalaciones de suministro. SI

9.2.3 Seguridad del cableado. SI

9.2.4 Mantenimiento de los equipos. SI

9.2.5 Seguridad de los equipos fuera de las instalaciones. NO

9.2.6 Reutilización o retirada segura de equipos. NO

9.2.7 Retirada de materiales propiedad de la empresa. SI

10. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

10.1 Responsabilidades y procedimientos de operación.

10.1.1 Documentación de los procedimientos de operación. SI

10.1.2 Gestión de cambios. SI

10.1.3 Segregación de tareas. NO

10.1.4 Separación de los recursos de desarrollo, prueba y operación. NO

10.2 Gestión de la provisión de servicios por terceros.

69

10.2.1 Provisión de servicios. NO

10.2.2 Supervisión y revisión de los servicios prestados por terceros. NO

10.2.3 Gestión del cambio en los servicios prestados por terceros. NO

10.3 Planificación y aceptación del sistema.

10.3.1 Gestión de capacidades. SI

10.3.2 Aceptación del sistema. SI

10.4 Protección contra el código malicioso y descargable.

10.4.1 Controles contra el código malicioso. SI

10.4.2 Controles contra el código descargado en el cliente. SI

10.5 Copias de seguridad.

10.5.1 Copias de seguridad de la información. SI

10.6 Gestión de la seguridad de las redes.

10.6.1 Controles de red. SI

10.6.2 Seguridad de los servicios de red. NO

10.7 Manipulación de los soportes.

10.7.1 Gestión de soportes extraíbles. SI

10.7.2 Retirada de soportes. SI

10.7.3 Procedimientos de manipulación de la información. SI

10.7.4 Seguridad de la documentación del sistema. SI

10.8 Intercambio de información.

10.8.1 Políticas y procedimientos de intercambio de información. NO

10.8.2 Acuerdos de intercambio. NO

10.8.3 Soportes físicos en tránsito. NO

10.8.4 Mensajería electrónica. NO

10.8.5 Sistemas de información empresariales. NO

10.9 Servicios de comercio electrónico.

10.9.1 Comercio electrónico. SI

10.9.2 Transacciones en línea. SI

10.9.3 Información públicamente disponible. SI

10.10 Supervisión.

10.10.1 Registros de auditoría. NO

10.10.2 Supervisión del uso del sistema. NO

10.10.3 Protección de la información de los registros. NO

10.10.4 Registros de administración y operación. NO

10.10.5 Registro de fallos. SI

10.10.6 Sincronización del reloj. NO

11. CONTROL DE ACCESO.

11.1 Requisitos de negocio para el control de acceso.

11.1.1 Política de control de acceso. NO

70

11.2 Gestión de acceso de usuario.

11.2.1 Registro de usuario. SI

11.2.2 Gestión de privilegios. SI

11.2.3 Gestión de contraseñas de usuario. SI

11.2.4 Revisión de los derechos de acceso de usuario. SI

11.3 Responsabilidades de usuario.

11.3.1 Uso de contraseñas. SI

11.3.2 Equipo de usuario desatendido. SI

11.3.3 Política de puesto de trabajo despejado y pantalla limpia. NO

11.4 Control de acceso a la red.

11.4.1 Política de uso de los servicios en red. NO

11.4.2 Autenticación de usuario para conexiones externas. SI

11.4.3 Identificación de los equipos en las redes. SI

11.4.4 Protección de los puertos de diagnóstico y configuración remotos. SI

11.4.5 Segregación de las redes. SI

11.4.6 Control de la conexión a la red. SI

11.4.7 Control de encaminamiento (routing) de red. SI

11.5 Control de acceso al sistema operativo.

11.5.1 Procedimientos seguros de inicio de sesión. SI

11.5.2 Identificación y autenticación de usuario. SI

11.5.3 Sistema de gestión de contraseñas. SI

11.5.4 Uso de los recursos del sistema. SI

11.5.5 Desconexión automática de sesión. NO

11.5.6 Limitación del tiempo de conexión. NO

11.6 Control de acceso a las aplicaciones y a la información.

11.6.1 Restricción del acceso a la información. SI

11.6.2 Aislamiento de sistemas sensibles. SI

11.7 Ordenadores portátiles y teletrabajo.

11.7.1 Ordenadores portátiles y comunicaciones móviles. NO

11.7.2 Teletrabajo. NO

12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN.

12.1 Requisitos de seguridad de los sistemas de información.

12.1.1 Análisis y especificación de los requisitos de seguridad. NO

12.2 Tratamiento correcto de las aplicaciones.

12.2.1 Validación de los datos de entrada. SI

12.2.2 Control del procesamiento interno. SI

12.2.3 Integridad de los mensajes. SI

12.2.4 Validación de los datos de salida. SI

12.3 Controles criptográficos.

71

12.3.1 Política de uso de los controles criptográficos. NO

12.3.2 Gestión de claves. NO

12.4 Seguridad de los archivos de sistema.

12.4.1 Control del software en explotación. NO

12.4.2 Protección de los datos de prueba del sistema. SI

12.4.3 Control de acceso al código fuente de los programas. NO

12.5 Seguridad en los procesos de desarrollo y soporte.

12.5.1 Procedimientos de control de cambios. NO

12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. SI

12.5.3 Restricciones a los cambios en los paquetes de software. SI

12.5.4 Fugas de información. SI

12.5.5 Externalización del desarrollo de software. SI

12.6 Gestión de la vulnerabilidad técnica.

12.6.1 Control de las vulnerabilidades técnicas. NO

13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

13.1 Notificación de eventos y puntos débiles de seguridad de la información.

13.1.1 Notificación de los eventos de seguridad de la información. NO

13.1.2 Notificación de puntos débiles de seguridad. NO

13.2 Gestión de incidentes y mejoras de seguridad de la información.

13.2.1 Responsabilidades y procedimientos. NO

13.2.2 Aprendizaje de los incidentes de seguridad de la información. SI

13.2.3 Recopilación de evidencias. SI

14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio.

14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio. NO

14.1.2 Continuidad del negocio y evaluación de riesgos. NO

14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información. NO

14.1.4 Marco de referencia para la planificación de la cont. Del negocio. NO

14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad. NO

15. CUMPLIMIENTO.

15.1 Cumplimiento de los requisitos legales.

15.1.1 Identificación de la legislación aplicable. NO

15.1.2 Derechos de propiedad intelectual (DPI). NO

15.1.3 Protección de los documentos de la organización. SI

72

15.1.4 Protección de datos y privacidad de la información de carácter personal. SI

15.1.5 Prevención del uso indebido de recursos de tratamiento de la información. SI

15.1.6 Regulación de los controles criptográficos. NO

15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico.

15.2.1 Cumplimiento de las políticas y normas de seguridad. NO

15.2.2 Comprobación del cumplimiento técnico. NO

15.3 Consideraciones sobre las auditorías de los sistemas. De información.

15.3.1 Controles de auditoría de los sistemas de información. NO

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94