ANÁLISIS DE VIABILIDAD SOBRE LA IMPLEMENTACIÓN DE LA NORMA NTC-

ISO/IEC 27001 EN EL SERVICIO DE PRÉSTAMO DE COMPUTADORES

PORTÁTILES EN LA UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS

CALI

PROYECTO DE GRADO

SEMINARIO DE PROFUNDIZACIÓN EN SGSI ISO 27001 –

SGCN NTC 5722 – SG TI ISO 20000.

HERMES DUVAN URREA BETANCOURT

HEIDY NATALIA PAREDES PAZ

JOHN JAIRO PÉREZ PLAZA

Coordinador

ING. VICTOR DAVID MOSQUERA MAGISTER

Decano Facultad de Ingeniería

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERIA DE SISTEMAS

CALI

2019

TABLA DE CONTENIDO

Introducción ...........................................................................................................................6

1. Identificación del Problema ................................................................................................8

1.1 Planteamiento del Problema ..........................................................................................8

1.2. Formulación del Problema ........................................................................................ 10

2. Justificación ...................................................................................................................... 11

3. Objetivos .......................................................................................................................... 13

3.1 Objetivo General ......................................................................................................... 13

3.2 Objetivos Específicos .................................................................................................. 13

4. Marco de Referencia ......................................................................................................... 14

4.1 Marco Teórico Conceptual .......................................................................................... 14

4.1.1 Seguridad de la información.................................................................................. 14

4.1.1.1 Sistema de información. ..................................................................................... 15

4.1.1.2 Sistema de gestión de la seguridad de la información. ........................................ 15

4.1.2 Riesgos de seguridad............................................................................................. 16

4.1.3 Tratamiento de riesgos. ......................................................................................... 17

4.1.4 Evaluación de riesgos. .......................................................................................... 17

4.1.5 Gestión del riesgo. ................................................................................................ 18

4.1.6 Control de los procesos. ........................................................................................ 19

4.1.7 Vulnerabilidad sistemas de seguridad. ................................................................... 20

4.2 Marco Contextual ........................................................................................................ 21

4.3 Marco Legal ................................................................................................................ 24

5. Metodología .................................................................................................. 26

6. Programa de Auditoría ................................................................................... 27

6.1 Objetivos del programa de auditoria ............................................................................ 27

6.1.1 Objetivo General ................................................................................................... 27

6.1.2 Objetivos específicos ............................................................................................ 27

6.2 evaluación de los riesgos y oportunidades del programa de auditoria ........................... 27

7. Implementación del programa de auditoria ..................................................... 29

Tabla. Objetivos del Programa de auditoría ....................................................................... 30

Tabla. Métodos de auditoria .............................................................................................. 31

Asignación de responsabilidades al líder del equipo auditoria para una auditoria individual

................................................................................................................................................... 31

8. Informe de Resultados: Análisis Inicial del Nivel de Madurez del Servicio de Préstamo de

Equipos Portátiles Frente a la Seguridad de la Información........................................................ 33

9. Auditoría al Proceso de Préstamo de Computadores Portátiles en la Biblioteca de la

Universidad Cooperativa de Colombia sede Cali sur.................................................................. 36

9.1 Proceso de préstamo de computadores portátiles ......................................................... 36

9.2 Alcance ....................................................................................................................... 36

9.3 Seguridad del proceso ................................................................................................. 37

9.4 Determinación y evaluación de los riesgos y oportunidades del programa de auditoria 38

Tabla. Activos, amenazas, vulnerabilidades y controles ................................................. 39

Matrices de Evaluación de Riesgos / Impacto .................................................................... 40

Tabla. Matriz de Evaluación de Riesgos (Descripción) .................................................. 40

Tabla. Matriz de Evaluación de Riesgos (Valores) ......................................................... 41

10. Auditoría al Sistema de Gestión de Seguridad de la Información del Proceso de Préstamo

de Computadores Portátiles en la Biblioteca de la Universidad Cooperativa de Colombia sede Cali

sur. Respecto a la NTC ISO/IEC 27001:2013 ............................................................................ 45

11. Realización de las Actividades de Auditoría .................................................................... 45

11.1 Fase 1 Revisión Documental ..................................................................................... 46

11.1.1 Política de seguridad de la información. .............................................................. 46

11.2 fase 2 Auditoria de Campo ........................................................................................ 46

11.2.1 Programa de auditoria ......................................................................................... 46

Cronograma ...................................................................................................................... 47

de Auditoria ...................................................................................................................... 47

11.2.2 Preparación de las actividades de la auditoria.......................................................... 48

11.2.3 Listados de Auditoría.............................................................................................. 48

11.2.4 Diagnóstico implementación SGSI bajo la Norma NTC-ISO-IEC 27001:2013 ....... 50

11.2.5 Informe Verificación de Cumplimiento. .................................................................. 52

11.2.6. Seguimiento a los Planes de Mejora Derivados de la Auditoría Interna .................. 54

12. Resultados e impactos ..................................................................................................... 57

13. Conclusiones .................................................................................................................. 59

14. Recomendaciones ........................................................................................................... 60

15. Bibliografía..................................................................................................................... 61

Introducción

La información se ha convertido en uno de los activos más valiosos para cualquier entidad o

persona del natural, sobre todo cuando esta es expuesta a dispositivos como celulares,

computadores de uso público etc. en sitios, página de web, plataformas y/o aplicaciones a las que

muchas personas pueden tener acceso, puesto que a partir de datos de acceso a cuentas de usuario,

información personal y archivos confidenciales se puede cometer fraude, suplantación de

identidad, plagio, extorsión, etc.

ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) que permite el aseguramiento, la confidencialidad e integridad de los datos

y de la información, así como de los sistemas que la procesan. Esto lo hace investigando cuáles

son los potenciales problemas que podrían afectar la información (es decir, la evaluación de

riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan

(es decir, mitigación o tratamiento del riesgo).

El préstamo de computadores portátiles que brinda la biblioteca de la Universidad Cooperativa

de Colombia sede Cali – sur, es un servicio a través de cual se apoya a los estudiantes, docentes y

demás funcionarios de la institución en el desarrollo de actividades educativas; a partir de este, se

les facilita además de la disponibilidad de los portátiles, una diversidad de software necesario y

requerido para trabajar y conexión a una amplia red de internet. Este tipo de servicio, de una forma

u otra implica que se deban determinar aspectos importantes referentes a la seguridad de la

información de los usuarios al hacer uso de los equipos (accesos, cuentas de usuarios, archivos y

documentos, historial de navegación, etc.) y a su vez la integridad de los activos.

Por lo anterior, en el siguiente documento se plantea el análisis de viabilidad de implementar la

norma ISO 27001 para el servicio de préstamo de computadores portátiles en esta institución de

educación superior.

1. Identificación del Problema

1.1 Planteamiento del Problema

La Universidad Cooperativa de Colombia, es una institución privada de educación superior que

pertenece al sector de la economía solidaria; cuenta con 18 sedes a nivel nacional. El campus de

la ciudad de Cali (sede sur), Siempre ha sido identificado como un campus dedicado a la formación

profesionales integrales y competentes que contribuyan al desarrollo continuo del país.

Con el fin de apoyar constantemente el proceso de formación de sus estudiantes y el desarrollo

de actividades de docentes y demás funcionarios, desde hace varios años se ha brindado el servicio

de biblioteca que provee a la comunidad educativa el material bibliográfico de todas las áreas de

estudio, préstamo de computadores de mesa y portátiles para realizar consultas en la web,

desarrollar talleres u otra serie de actividades de índole educativo.

El préstamo de computadores portátiles en la biblioteca es un servicio que se ha buscado

mejorar desde hace tiempo, ofreciendo equipos de alta calidad, fácil acceso, buena conexión web

e instalación de software necesario y requerido para cada uno de sus usuarios en sus diferentes

perfiles. Este tipo de servicios, de una forma u otra implica que se determinen aspectos importantes

referentes a la seguridad de la información de los usuarios al hacer uso de los equipos (accesos,

cuentas de usuarios, archivos y documentos, historial de navegación, etc.) y a su vez la integridad

de los activos.

A pesar de que se han implementado medidas de seguridad para estructurar el servicio como

bloqueo de acceso a páginas inseguras, instalación de antivirus y monitoreo de los equipos para

evitar robos, el tema de la seguridad de la información no se ha abordado en su totalidad; se ha

logrado identificar vulnerabilidades con respecto al tiempo en que se realizan los mantenimiento

de los equipos, permanencia de archivos descargados y documentos creados, no hay una limpieza

constante de caché ni del historial de navegación, los usuarios se pueden conectar a redes abiertas

y externas del campus sin ninguna restricción operacional y los antivirus instalados no son

eficientes. Este tipo de vulnerabilidades dan lugar a riesgos de confidencialidad de datos por cada

usuario que utiliza los computadores, también se puede prestar para espionaje y vandalismo.

Teniendo en cuenta lo anterior, y el hecho de que el servicio de préstamo de computadores

portátiles no cuenta con un modelo de seguridad informativa a partir del cual se gestionan las

vulnerabilidades, riesgos y controles a implementar, este proyecto busca analizar a profundidad

cada una de las actividades ligadas a este servicio, con el fin de establecer la viabilidad de

implementar controles y políticas de la norma ISO 27001; ya que es de suma importancia

garantizar y asegurar la confidencialidad, integridad y disponibilidad de la información y de esta

forma contribuir a la mejora continua de la universidad manteniendo la confianza de los usuarios

en los servicios.

1.2. Formulación del Problema.

¿Cómo analizar y evaluar la viabilidad de implementar la norma técnica NTC-ISO IEC 27001

al servicio de préstamo de computadores portátiles de la Universidad Cooperativa de Colombia

sede Cali sur?

2. Justificación

Hoy en día la seguridad informática se ha convertido en un gran dolor de cabeza para las

organizaciones que hacen uso de las Tecnologías de la Información y Comunicación (TIC) para el

desarrollo de sus actividades; su implementación es cada vez más amplia, razón por la cual la

vulnerabilidad incrementa: revelación de información confidencial, robo de cuentas, espionaje,

entre otras. Por tal razón, en el área de Tecnologías de Información de las instituciones educativas,

se hace necesario identificar riesgos y con ello amenazas en contra de la información como cuentas

de correo, cuentas de acceso a diversos sistemas, documentos con datos privados y confidenciales.

buscando reducir impactos negativos en el desarrollo de las actividades diarias de los estudiantes,

docentes y demás funcionarios al mantener un alto nivel de seguridad y calidad de los servicios

ofrecidos.

De acuerdo a lo anterior, el planteamiento de una propuesta de viabilidad para implementar la

norma ISO 27001 al servicio de préstamo de computadores portátiles de la Universidad

Cooperativa de Colombia, permitirá al personal encargado de TI y directivos de la institución

conocer las políticas y controles que se deben aplicar para mitigar este tipo de riesgos y amenazas,

a su vez los beneficios que traen este tipo de acciones, en cuanto al aseguramiento de la

información y protección de activos, conllevando así a un mejoramiento en la calidad de los

servicios y generando sentimiento de confianza por parte de los estudiantes y funcionarios que

acceden a él.

La norma ISO 27001, al ser un estándar internacional para implementar Sistemas de Gestión

de Seguridad de la Información (SGSI) aportaría al servicio de préstamo de equipos portátiles

beneficios como: reducción de riesgos que produzcan pérdidas de información, revisión continua

de los riesgos, establecer una metodología para gestionar la seguridad de la información de manera

clara y concisa, implantar medidas más seguras, asemejar incidencias constantemente y de este

modo fomentar la mejora continua en el área de TI y Biblioteca.

3. Objetivos

3.1 Objetivo General

Analizar la viabilidad de implementar la norma ISO 27001 en el servicio de préstamo de

computadores portátiles de la Universidad Cooperativa de Colombia sede Cali sur.

3.2 Objetivos Específicos

Realizar un diagnóstico inicial del servicio de préstamo de computadores portátiles su proceso y

actividades asociadas.

Definir los métodos a partir de los cuales se evaluarán los riesgos y vulnerabilidades identificadas

con respecto a la seguridad de la información.

Identificar el nivel de madurez de seguridad de la información frente al servicio de préstamo de

computadores portátiles.

Reconocer la viabilidad de un plan de mejoramiento realizando recomendaciones.

4. Marco de Referencia

4.1 Marco Teórico Conceptual

4.1.1 Seguridad de la información.

La seguridad de la información está relacionada con las metodologías, procesos y

procedimientos para mantener salvaguardada la información y los datos confidenciales de una

organización. Los procesos se estructuran con el uso de estándares, normas, protocolos y

metodologías para mitigar y minimizar los riesgos asociados a la infraestructura tecnológica. Está

relacionada con las medidas preventivas aplicadas con el fin de salvaguardar y proteger la

información bajo la confidencialidad, disponibilidad e integridad. La información puede

presentarse en diversos formatos y medios tanto físicos, como electrónicos. Por lo tanto, las

organizaciones deben adoptar y adaptar metodologías para proteger los archivos y registros,

mantener en funcionamiento una infraestructura tecnológica adecuada que sirva para la custodia y

salvaguarda de la información. Para contrarrestar dichas amenazas, las organizaciones deben

generar un plan de acción frente a estas. Este plan de acción es conocido como Sistema de Gestión

de Seguridad de la Información (SGSI) y contiene los lineamientos que deben seguirse en la

organización, los responsables y la documentación (Jovanovic, 2008) necesaria para garantizar

que el SGSI sea aplicado y genere una retroalimentación. La definición de SGSI se hace de manera

formal en la norma ISO 27001 (Chi-Hsiang & Dwen-Ren, 2009), donde se recogen los estándares

y mejores prácticas de seguridad de la información.

4.1.1.1 Sistema de información.

Es un conjunto ordenado de mecanismos que tienen como fin la administración de datos y de

información, de manera que puedan ser recuperados y procesados fácil y rápidamente.

Todo sistema de información se compone de una serie de recursos interconectados y en

interacción, dispuestos del modo más conveniente en base al propósito informativo trazado, como

puede ser la información personal, procesar estadísticas, organizar archivo.

Los recursos pueden ser:

Recursos humanos: Personal de variada índole y destrezas.

Datos: Cualquier tipo de información masiva que precisa de organizarse.

Actividades: Procedimientos, pasos a seguir, estaciones de trabajo.

Recursos informáticos: Aquellos determinados por la tecnología.

4.1.1.2 Sistema de gestión de la seguridad de la información.

Conjunto de elementos interrelacionados o interactuantes (estructura organizacional, políticas,

planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza

una organización para establecer la política y los objetivos de Seguridad de la Información y

alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.

Tiene como propósito el establecimiento de los mecanismos de gestión para la confidencialidad,

integridad y disponibilidad de la información dentro de un conjunto de estándares previamente

determinados para evaluar la seguridad. El objetivo principal es identificar cada uno de los activos

y personas que apoyan los sistemas informáticos a través del proceso de gestión de riesgos

asociados a los procesos y servicios que presta la organización con apoyo de TI, además de

verificar la existencia de controles de seguridad que permitan integrarlos a las políticas y

procedimientos para mitigar los riesgos encontrados. Dentro de los activos informáticos se han

establecido dos categorías que permiten diferenciarlos de acuerdo con su naturaleza y existencia

física, la primera categoría agrupa los activos intangibles y la segunda los activos tangibles.

Dentro de los activos intangibles están los bienes inmateriales tales como: capacitaciones del

personal, las habilidades y motivación de los empleados, las bases de datos, las herramientas

tecnológicas, el conocimiento y la experiencia, y los procesos operativos. Los bienes tangibles son

los de naturaleza material como: mobiliario, infraestructura tecnológica, espacios físicos,

materiales y elementos de trabajo, equipos informáticos, hardware de redes, equipos de protección

eléctrica, cableado estructurado, teléfonos.

4.1.2 Riesgos de seguridad.

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una

pérdida o daño en un activo de información. Suele considerarse como una combinación de la

probabilidad de un evento y sus consecuencias, que afectan a las personas cuyos datos son tratados

y que se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el

daño causado por una utilización ilícita o fraudulenta de los mismos.

4.1.3 Tratamiento de riesgos.

Documento que define las acciones para gestionar los riesgos de Seguridad de la Información

inaceptables e implantar los controles necesarios para proteger la información.

Para contrarrestar dichas amenazas, las organizaciones deben generar un plan de acción frente

a estas. Este plan de acción es conocido como Sistema de Gestión de Seguridad de la Información

(SGSI) y contiene los lineamientos que deben seguirse en la organización, los responsables y la

documentación (Jovanovic, 2008) necesaria para garantizar que el SGSI sea aplicado y genere una

retroalimentación

4.1.4 Evaluación de riesgos.

Para la valoración de riesgos se toman como base dos variables: la probabilidad de ocurrencia

del riesgo y su impacto en caso de que se materialice. El análisis y evaluación de riesgos, la

verificación de la existencia de controles de seguridad existentes, las pruebas con software y el

monitoreo de los sistemas de información permiten establecer el estado actual de la organización,

identificar las causas de vulnerabilidades y proponer soluciones de control que permitan su

mitigación.

El objetivo de la evaluación del riesgo des la de identificar y evaluar los riesgos. Los riesgos

son calculados de una combinación de valores de activos y niveles de requerimientos de seguridad.

Confidencialidad: Mide el impacto que tendría para la pérdida de confidencialidad sobre los

activos de información, es decir, que sean conocidos por personas no autorizadas.

Integridad: Mide el impacto que tendría la pérdida de integridad, es decir, si la exactitud y

estado completo de los activos de información o sus métodos de procesamiento fueran alterados.

Disponibilidad: Mide el impacto que tendría la pérdida de disponibilidad, es decir, si los

usuarios autorizados no tuvieran acceso a los activos de información en el momento que lo

requieran.

La evaluación de riesgos envuelve la sistemática consideración de los siguientes aspectos:

Consecuencias: El daño al negocio como resultado de un incumplimiento de seguridad de

información considerando las potencias consecuencias de pérdidas o fallas de

confidencialidad, integridad y disponibilidad de información.

Probabilidad: La real posibilidad de que tal incumplimiento ocurra a la luz del reinado de

amenazas, vulnerabilidades y controles

Conocer el riesgo a los que están sometidos los activos es imprescindible para poder

gestionarlos, y por ello han surgido una multitud de guías informales, aproximaciones metódicas

y herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o

inseguros) están dichos activos y no llamarse a engaño (MAGERIT, 2005).

El riesgo es definido como la probabilidad que una amenaza pueda explotar una vulnerabilidad

en particular (Peltier, 2001).

4.1.5 Gestión del riesgo.

La gestión del riesgo, generalmente, contempla el cálculo del riesgo, la apreciación de su

impacto en el negocio y la probabilidad de ocurrencia (Hiles, 2004). Luego se derivan pasos para

reducir la frecuencia a un nivel considerado aceptable.

Si la empresa no conoce sobre el riesgo que corren sus activos de información, difícilmente

llegará a estar preparada para evitar su posible ocurrencia, de allí la importancia de conocerlo y

crear controles para disminuir o eliminar su posible ocurrencia.

La ISO 27001:2007 recomienda para llevar a cabo una gestión de riesgo, que se defina primero

el alcance del estándar en la empresa, y con base en ello, identificar todos los activos de

información. Los activos de información deben ser tasados para identificar su impacto en la

organización. Luego se debe realizar un análisis para determinar qué activos están bajo riesgo. Es

en ese momento que se deben tomar decisiones en relación con qué riesgos aceptará la

organización y qué controles serán implantados para mitigar el riesgo (Alberts y Dorofee, 2003).

A la gerencia le corresponde revisar los controles implantados a intervalos de tiempo regular para

asegurar su adecuación y eficacia. Se le exige a la gerencia que controle los niveles de riesgos

aceptados y el estado del riesgo residual (que es el riesgo que queda después del tratamiento del

riesgo).

El objetivo final de la gestión de riesgos es realizar un cálculo de las amenazas a los activos de

información, con vistas a seleccionar los controles ISO 27002:2007 o ISO 17799:2005 adecuados

para mitigar ese riesgo.

4.1.6 Control de los procesos.

Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para

mantener los riesgos de Seguridad de la Información por debajo del nivel de riesgo asumido. Es

utilizado como sinónimo de salvaguarda o contramedida que modifica el riesgo.

En este sentido, gestionar los archivos como un sistema tiene como objetivo el control

sistemático de los documentos archivísticos, desde su incorporación al sistema de gestión de

archivos hasta su disposición final; a través del establecimiento de los procedimientos que regulen

su organización, mantenimiento, almacenamiento, acceso, uso, transferencia o descarte. Por lo que

resulta indispensable la necesidad de gestionar todos los elementos que intervienen en este proceso

en las organizaciones.

Con la utilización y empleo de los sistemas de información y de gestión documental las

organizaciones, pueden gestionar sus procesos de planeación, organización, dirección y control, lo

que repercute en un mejor proceso de toma de decisiones y eleva la efectividad en el cumplimiento

de sus objetivos

4.1.7 Vulnerabilidad sistemas de seguridad.

Los conceptos de vulnerabilidad, amenaza y riesgo están relacionados entre sí haciendo parte

de la concepción de la seguridad en distintos ámbitos, que también han sido aplicados en referencia

a la seguridad informática y de la información. Se tomará las vulnerabilidades como las debilidades

del sistema o activo informático en cuanto a seguridad, las amenazas son los posibles ataques que

puede hacer una persona (interna o externa) aprovechando las vulnerabilidades o los ataques que

ya se han presentado, y los riesgos como las diversas maneras en que se presenta la amenaza y la

posibilidad de que ese ataque llegue a presentarse en una organización específica.

Actualmente los sistemas de información, los datos contenidos en ellas y la información son los

activos más valiosos para las organizaciones empresariales y se hace necesario brindarles una

protección adecuada frente a las posibles intrusiones derivadas de las vulnerabilidades existentes

en sus sistemas de seguridad. Una manera efectiva de descubrir estas vulnerabilidades y amenazas

existentes es iniciando los procesos diagnósticos que permitan establecer el estado actual de la

seguridad dentro de la organización, teniendo en cuenta la normatividad vigente y los procesos de

análisis y evaluación de riesgos.

Se hace el estudio de las vulnerabilidades, amenazas y riesgos para los procesos y sistemas

implementados actualmente en las organizaciones, que fueron objeto de la investigación. Para

recolectar la información se aplicaron las técnicas de la observación directa mediante visitas

programadas y entrevistas aplicadas a los profesionales de sistemas encargados de la

administración del área informática, la seguridad informática y usuarios de los sistemas. Con el

conocimiento claro del área o sistema auditado, se definen y describen las vulnerabilidades o

debilidades encontradas, las amenazas por parte de personal interno o externo al tratar de cometer

un ilícito o un ataque, y los riesgos naturales y no naturales a que está expuesta la organización.

4.2 Marco Contextual

La importancia de la tecnología debe ser tomada a conciencia por cualquier empresario que en

el campo donde va a competir, lo que les admitirá de manera eficiente optimizar costos,

estandarizar sistemas, tener información eficiente y oportuna. Por lo que tendrá que implementar

varias herramientas tecnológicas que le ayuden a mejorar su situación, control sobre su manejo y

operación empresarial, siendo de vital importancia para contar con mayores elementos que

contribuyan al fortalecimiento en la toma de decisiones (Villalobos Carmona, 2010; Zaini &

Masrek, 2013).

La información es el principal activo de muchas organizaciones y precisa ser protegida

adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la

actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con

riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden

dañar considerablemente tanto los sistemas de información como la información procesada y

almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles

adecuados que garanticen una gestión segura de los procesos del negocio, primando la protección

de la información. Para proteger la información de una manera coherente y eficaz es necesario

implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una

parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite

asegurar la información frente a la pérdida de:

• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.

• Integridad: la información será exacta y completa.

• Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de

seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo

los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.

Las normas ISO/IEC 27001 y la ISO/IEC 27002 especifican los requerimientos para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, además especifica los

requerimientos para la implementación de controles de seguridad frente a las necesidades de toda

la organización, frente a un proceso específico o un servicio, según el objetivo y los alcances del

SGSI que se haya definido.

Se puede afirmar que el tema de seguridad de la Información no es sólo un tema eminentemente

técnico, sino que también involucra procesos del negocio y actividades de gobierno corporativo,

que aseguren una continua gestión de los riesgos y aseguramiento de los niveles de seguridad

requeridos por la organización.

Dentro de los resultados generales más importantes de la aplicación de la metodología de

análisis y evaluación de riesgos, y los instrumentos diseñados están: Algunos de los problemas de

seguridad en las organizaciones evaluadas están relacionados principalmente con: el

desconocimiento sobre aplicación de las normas de seguridad de la información y las limitaciones

en la administración de seguridad informática y de la información que comprometen seriamente

la imagen Institucional. Las posibles causas origen de los problemas están: mínima cultura en el

tema de seguridad de información, la organización no formal del área informática, la no existencia

de responsables de la seguridad, no existencia o falta de cumplimiento de políticas y

procedimientos de seguridad dentro de la organización, falencias en el manejo de los inventarios

de activos informáticos, en general la competencia limitada del personal para proteger los activos

informáticos y de información frente a las amenazas y riesgos a que se ven enfrentadas.

Por objetivo apoyar de forma sostenible y continua a las organizaciones para mejorar su

competitividad, facilitando la información necesaria para la toma de decisiones.

Los procesos son una excelente opción para contribuir al avance y la competitividad de una

organización. Que se fundamenta en tomar decisiones adecuadas respecto a clientes, productos,

empleados, proveedores y procesos de negocio. Por lo tanto, es necesario tener mecanismos que

den soporte a una toma de decisiones eficiente.

En un mundo que está en un cambio constante y vertiginoso, es muy importante que una

empresa mantenga su versatilidad ante el cambio para poder mantenerse dentro de la

competitividad a nivel mundial. Este constante cambio obliga a las empresas a buscar nuevos

talentos y nuevas oportunidades. Cada área de una empresa maneja distintos volúmenes de

información los cuales aportan contenido a las bases de datos que deben ser utilizadas por estas

mismas áreas para poder actuar con antelación a distintos retos que presente la compañía, es por

eso que acceder de forma rápida y concisa a la información necesaria, debe convertirse en una

prioridad dentro de cada área, sin embargo el afán que lleva el constante cambio dentro del

mercado no se puede tardar la interacción con los datos que se necesitan para la toma de decisiones.

4.3 Marco Legal

La norma ISO 27001 auxilia a las empresas en el cumplimiento de los requisitos legales, los

cuales, tienen la finalidad de evitar la vulneración de la legislación o el incumplimiento de toda

obligación legal de las entidades de cualquier requisito de seguridad.

Pueden encontrarse sujetos a los requisitos legales o a los reglamentos contractuales de

seguridad tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión de

Seguridad de la Información.

Los requisitos correspondientes, tanto los requisitos legales como los reglamentos

contractuales, así como el enfoque seguido por la empresa para cumplirlos, tienen que encontrarse

definidos explícitamente, estar documentados e incluso mantenerse actualizados en cada Sistema

de Gestión de Seguridad de la Información basado en la norma ISO27001.

El desarrollo que se le da a los Sistemas de Gestión de Seguridad de la Información está sujeto

a los requisitos legales, las contractuales de seguridad y los reglamentos. Se debe determinar

procedimientos con el fin de cumplir la Ley de Protección Intelectual (LPI). Se tienen que

reconocer la totalidad de los activos que requieren protección de derechos de propiedad intelectual.

Se tiene que determinar los procedimientos necesarios para el cumplimiento de la Ley Orgánica

de Protección de Datos (LOPD). Se deben de reconocer todos los ficheros que contengan datos de

ámbito personal y establecer el nivel de protección que les corresponda.

La Seguridad de la Información basada en la ISO 27001 tiene que examinarse, estas revisiones

se realizan a través de diferentes políticas de seguridad y tiene que auditarse que las plataformas

técnicas y los sistemas de información satisfagan la totalidad de normas de implementación de

seguridad y controles de seguridad documentados que sean aplicables.

5. Metodología

El proyecto propuesto se desarrollará mediante el ejercicio de ingeniería aplicada, aborda un

diseño de investigación cualitativo, en donde la recolección de datos se realiza a partir de la

identificación de una problemática como es la vulnerabilidad ante amenazas de seguridad de la

información en el servicio de préstamo de computadores portátiles. En este sentido, es necesario

indagar en diversas fuentes de información relacionada con los procesos y actividades del servicio

y a su vez en políticas ya establecidas por la universidad para el cumplimiento de este.

La recopilación de información para dar un diagnóstico inicial se hará por medio de reuniones

y entrevistas al personal encargado del área de TI y Biblioteca, personas que hacen uso del servicio

y demás involucrados en su desarrollo e investigación. Para empezar con el análisis e identificación

del estado o nivel de madurez frente a la seguridad de la información, se requiere inventariar todos

los activos de información involucrados en el proceso susceptibles a ser atacados por diversas

amenazas (especialmente la información en servicios de red) y con esta acción dar valoración a

los riegos identificados, estimar su magnitud y evaluar la probabilidad e impacto de que se

materialicen las amenazas; para ello se utilizará la herramienta o instrumento de evaluación MSPI

Modelo de Seguridad y Privacidad de la Información de MinTic.

6. Programa de Auditoría

6.1 Objetivos del programa de auditoria

6.1.1 Objetivo General

Analizar la viabilidad de la implementación de la normal en el proceso de préstamo de equipos

de cómputo presentado por la universidad cooperativa de Colombia en su campus Cali sur

6.1.2 Objetivos específicos

Revisar los procesos que se llevan a cabo en el área de T.I. para el préstamo de equipos.

Revisar la documentación de los procesos que se llevan a cabo por el área de T.I.

Analizar los requisitos para un correcto préstamo del servicio.

Revisar el cumplimiento de actividades por parte de terceros.

Solicitar y analizar en el caso de que existan información sobre auditorias pasadas.

6.2 evaluación de los riesgos y oportunidades del programa de auditoria

Los siguientes son factores que puedes presentarse para retrasar o interrumpir el correcto

desarrollo de las actividades de auditoria.

Planificación:

Incumplimiento o inconsistencias en los horarios establecidos para las auditorias o reuniones

que podrían retrasar el proceso.

Recursos:

Mala determinación en los tiempos o periodos destinados para las auditorias.

Inadecuada asignación de recursos tanto económicos como digitales para el cumplimiento de la

auditoria.

Comunicación:

Ineficiencia en los canales de comunicación.

Control de la información documentada:

Determinación ineficaz de la información documentada necesaria requerida por los auditores y

las partes interesadas.

Disponibilidad y cooperación:

De las partes auditadas junto a la disponibilidad de evidencias a muestrear.

Establecimiento del programa de auditoria

Las personas responsables de la gestión del programa de auditoria deberán:

Establecer el alcance del programa de auditoria.

Asegurar la selección de los equipos auditores y la competencia generales para las actividades

de la auditoria.

Determinar y asegurar la provisión de todos los recursos necesarios.

Hacer el seguimiento, revisar y mejorar el programa de auditoria.

Comunicar el programa de auditoria al cliente.

7. Implementación del programa de auditoria.

Definir los objetivos y los criterios para cada auditoria

Nombre de tarea Comienzo Fin Nombres de los recursos

Analizar los activos, vulnerabilidades,

amenazas y riesgos del servicio 3/07/19 5/07/19 John Jairo Perez

Análisis de la documentación existente

en la organización para los procesos de

seguridad de la información.

10/07/19

14/07/19

John Jairo Perez

Definir los métodos a partir de los cuales se

evaluarán los riesgos y vulnerabilidades

identificadas respecto a la seguridad de la

información.

15/07/19

20/07/19

Hermes Duvan Urrea

Elegir y definir los métodos adecuados y

necesarios para evaluar los riesgos y

vulnerabilidades

22/07/19

25/07/19

Heidy Natalia Paredes

Identificar el nivel de madurez de

seguridad de la información frente al servicio

de préstamo de computadores portátiles.

30/07/19

02/08/19

John Jairo Perez

Documentar el resultado del análisis

realizado estableciendo el nivel de madurez 05/08/19 08/08/19 Heidy Natalia Paredes

Tabla. Objetivos del Programa de auditoría

P

Programar mantenimientos preventivos

Identificar los riesgos y peligros asociados al proceso

Programar revisión al cumplimiento de la política de seguridad de la información

H

Definir la política de seguridad de la información

Dar soporte técnico

Instalar y desinstalar equipos, aplicaciones y servicios de computo en fechas

programadas

Realizar mantenimientos preventivos y correctivos (según el evento)

Ejecutar las acciones de mitigación del riesgo

Reportar los incidentes, actos inseguros, condiciones peligrosas y accidentes de

trabajo y ambiental

Ejecutar procedimientos de contingencia y continuidad del negocio

Investigar nuevas tecnologías de hardware y software

Administrar los canales de telecomunicaciones e internet

Identificar y establecer parámetros para la adquisición de nuevas herramientas,

equipos y/o servicios tecnológicos

Elaborar y restaurar copias de seguridad

V

Cumplir la política de la seguridad de la información

Velar por el correcto funcionamiento de la infraestructura tecnológica

A

Ajustar las políticas de seguridad informática.

Formular acciones de mejora

Fuente: Autores

Tabla. Métodos de auditoria

Grado de involucramiento

entre el auditor y el auditado

Ubicación del auditor

En el lugar A distancia

Interacción humana Realizar entrevistas.

Completar listas de

verificación y cuestionarios

con la participación del

auditado.

Revisar los documentos con

la participación del

auditado.

A través de medios de

comunicación interactivos:

-realizar entrevistas

-observar el trabajo

realizado con un guía

remoto

-completar listas de

verificación y cuestionarios.

-revisar los documentos con

la participación del

auditado.

Sin interacción humana Revisión de documentos. Revisión de documentos. Observar el trabajo Observar el trabajo desempeñado. desempeñado a través de Realizar visitas al sitio. medios de vigilancia, Completar listas de considerando los requisitos verificación. sociales y legales. Analizar los datos.

Asignación de responsabilidades al líder del equipo auditoria para una auditoria individual

Gestión de los resultados del programa de auditoria

Revisar que la auditoria individual cumpla un objetivo del programa de auditoria.

La revisión de la eficacia de las acciones tomadas para tratar los hallazgos de auditoria.

La distribución de informes de auditoría a las partes interesadas pertinentes.

Gestión y mantenimiento de los registros del programa de auditoria.

Registros relacionados con el programa de auditoria tales como el cronograma de las auditorias

(pensar si tenemos más de una auditoria), los objetivos y alcances del programa de auditoria, los

registros de cada auditoria, los registros relacionados con el equipo auditor.

Seguimiento del programa de auditoria.

Cumplimiento de calendarios, cronogramas, cumplimiento de objetivos, desempeño del equipo

auditoria, hallazgos de la auditoria, eficacia de los planes de auditoria, los requisitos del cliente de

la auditoria.

Revisión y mejora del programa de auditoria.

Identificación de áreas y oportunidades para la mejora, cambios del programa de auditoria,

presentación de informes.

8. Informe de Resultados: Análisis Inicial del Nivel de Madurez del Servicio de Préstamo

de Equipos Portátiles Frente a la Seguridad de la Información

Para el proceso de análisis inicial del nivel de madurez se evaluó de principio a fin el proceso

de préstamo de portátiles, desde que el dispositivo es entregado al usuario, su uso, actividades

desarrolladas y devolución de este mismo; además se recopiló información de entrevistas al equipo

de funcionarios del área de TI y Biblioteca.

Con dicho análisis inicial y dando soporte particular a los requisitos de un sistema de gestión

de seguridad de la información de acuerdo con la norma NTC-ISO/IEC 27001, frente a la

viabilidad de implementación en el servicio de préstamo de computadores portátiles, se identificó

que es necesario implementar una serie de requisitos y controles para la mejora de los procesos y

servicios prestados; ya que se evidenciaron vulnerabilidades haciendo referencia a los tiempos

definidos para los mantenimientos de los equipos, permanencia de archivos descargados y

documentos creados, no hay una limpieza constante de caché ni del historial de navegación, los

usuarios se pueden conectar a redes abiertas y externas del campus sin ninguna restricción

operacional y los antivirus instalados no son eficientes. Este tipo de omisiones dan lugar a riesgos

de confidencialidad de datos por cada usuario que utiliza los computadores, espionaje, vandalismo,

pérdida de información, etc.

La universidad debería garantizar que los recursos para el tratamiento y valorización del riesgo

estén disponibles continuamente para revisar el riesgo, tratar las amenazas o vulnerabilidades

nuevas o con cambios y asesorar a la dirección según corresponda.

A continuación, se enlistan los controles que se deben aplicar para asegurar un mejoramiento

del proceso de préstamo de equipos portátiles:

-A.8.1 Responsabilidad por los activos.

-A.8.3 Manejo de medios.

-A.8.1.3 Se debe identificar, documentar e implementar reglas para el uso aceptable de

información y de activos asociados con la misma e instalaciones de procesamiento.

-A.8.3.1 Se deben implementar procedimientos para la gestión removibles, de acuerdo con el

esquema de clasificación adoptado por la organización.

-A.11.2 Equipos.

-A.11.2.5 Los equipos, información o software no se deben retirar de su sitio sin autorización

previa.

-A.11.2.6 Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de la

instalación de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de dichas

instalaciones.

-A.11.2.7 Se deben verificar todos los elementos de equipos que contengan medios de

almacenamiento para asegurar que cualquier dato confidencial o software licenciado haya sido

retirado o sobrescrito en forma segura antes de su disposición o rehusó.

-A.11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios de

almacenamiento removibles, y una política de pantalla limpia en las instalaciones de

procesamiento de información.

-A.16.1.1 Se deben establecer las responsabilidades y procedimientos de gestión para asegurar una

respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

-A.12.5 Control de software operacional.

-A.12.5.1 Se debe implementar procedimientos para controlar la instalación de software en

sistemas operativos.

-A.13.1 Gestión de la seguridad de las redes.

-A.13.1.1Las redes se deben gestionar y controlar para proteger la información en sistemas y

aplicaciones.

9. Auditoría al Proceso de Préstamo de Computadores Portátiles en la Biblioteca de la

Universidad Cooperativa de Colombia sede Cali sur.

9.1 Proceso de préstamo de computadores portátiles

La Universidad Cooperativa, con el fin de apoyar constantemente el proceso de formación de

sus estudiantes y el desarrollo de actividades de docentes y demás funcionarios, desde hace varios

años ha integrado al servicio de biblioteca el préstamo de computadores portátiles para que estos

cuenten con la oportunidad de realizar consultas en la web, desarrollar talleres u otra serie de

actividades de índole educativo.

El préstamo de computadores portátiles en la biblioteca es un servicio que se ha buscado

mejorar desde hace tiempo, ofreciendo equipos de alta calidad, fácil acceso, buena conexión web

e instalación de software necesario y requerido para cada uno de sus usuarios en sus diferentes

perfiles. Este tipo de servicios, de una forma u otra implica que se determinen aspectos importantes

referentes a la seguridad de la información de los usuarios al hacer uso de los equipos (accesos,

cuentas de usuarios, archivos y documentos, historial de navegación, etc.) y a su vez la integridad

de los activos; este, se convierte en un proceso de gran importancia, haciendo necesario conocer

su funcionamiento interno a fin de detectar posibles situaciones que se encuentren en contravía a

lo establecido por la Norma NTC-ISO-IEC 27001:2013.

9.2 Alcance

Para todas las actividades del proceso de préstamo de computadores portátiles, en cuanto al

manejo, control y clasificación de la información involucrada de forma directa o indirecta en el

uso de los equipos, de acuerdo con lo establecido en la política de seguridad de la información.

9.3 Seguridad del proceso

El proceso de préstamo de computadores portátiles en el tema de seguridad está a cargo del

personal de la biblioteca y el personal del área de TI.

Desde la biblioteca se realiza el registro de la persona que solicita el préstamo e información

asociada a la solicitud (id del computador, hora entrega y hora de devolución, estado del equipo

etc.) a través del software EsLibro; además se gestiona el control de entrega y devolución de los

equipos. El préstamo se realiza por máximo 3 horas con oportunidad de renovar el tiempo si se

requiere y este servicio sólo está disponible para personas integrantes de la comunidad

universitaria, y son invitados o personas externas, sólo se realiza si cuenta con una autorización

previa por escrito.

El personal de TI se encarga de configurar y controlar el acceso a internet, configurar los

computadores, instalación de antivirus, crear perfiles de usuario, instalación de software requerido,

entre otro tipo más de configuraciones.

Adicionalmente se ejecutan y controlan las siguientes actividades, en busca del aseguramiento

de calidad y seguridad del servicio:

La información registrada en los equipos como archivos creados y/o descargados, historial de

navegación, cuentas de acceso a diversas aplicaciones y plataformas, sólo se elimina cada que

culmina el semestre educativo.

El antivirus se actualiza cada que culmina el semestre educativo.

Sólo se permite la instalación de software a usuarios con perfil de administrador.

Cada uno de los computadores son monitoreados para controlar la posible salida de las

instalaciones de la universidad.

Se realiza el control de ancho de banda para el acceso a redes sociales, juegos y aplicaciones

de entretenimiento como YouTube.

Se permite la conexión a redes de internet externas a la universidad.

El bloqueo de páginas y contenidos web, la definición de reglas de administración, filtrado y

ver reportes de usuarios, grupos y dispositivos se realiza a través de los servicios que ofrece el

software Open DNS.

9.4 Determinación y evaluación de los riesgos y oportunidades del programa de auditoria

En la siguiente tabla se listan los activos identificados involucrados en el proceso de préstamos

de computadores portátiles; vulnerabilidades encontradas, amenazas y controles que se aplican en

la actualidad.

Adicionalmente, se establecen las matrices de impactos asociadas a las vulnerabilidades y

amenazas identificadas, en los aspectos organizacional, económico, legal e imagen para la

institución.

Tabla. Activos, amenazas, vulnerabilidades y controles

ACTIVOS/GRUPOS

AMENAZAS

VULNERABILIDADES

CONTROLES

EXISTENTES

HARDWARE

Polvo, corrosión,

congelamiento

Susceptibilidad a la humedad, el polvo y la suciedad

Protección adecuada del activo

físico

Hurto de medios o

documentos

Almacenamiento sin protección

Protección adecuada del activo

físico

Hurto de medios o

documentos

Copia no controlada

Controles de acceso a áreas de

riesgo

ESLIBRO

Abuso de los derechos Ausencia de terminación de sesión cuando se abandona

la estación de trabajo Cierre de sesión automático al

detectar inactividad

Abuso de los derechos

Asignación errada de los derechos de acceso

Verificación periódica de los perfiles de usuario

RED

Escucha encubierta

Trafico sensible sin protección Políticas y procedimientos de

transferencia de información

Escucha encubierta

Líneas de comunicación sin protección

Políticas y procedimientos de

transferencia de información

Espionaje remoto

Transferencias de contraseñas

Gestión de llaves

Uso no autorizado del

equipo

Conexiones de red pública sin protección

Controles de redes

SOFTWARE

Manipulación de

software

Descarga y uso no controlado de software

Restricciones sobre la

instalación de software

Error en el uso

Uso incorrecto de software y hardware

Instalación de software en

sistemas operativos

Abuso de los derechos

Ausencia de terminación de la sesión

Política de control de acceso

Abuso de los derechos

Disposición o reutilización de los medios de almacenamiento sin borrado adecuado

No permitir el uso de medios

Fuente: Autores

Matrices de Evaluación de Riesgos / Impacto

Tabla. Matriz de Evaluación de Riesgos (Descripción)

MATRIZ DE EVALUACIÓN DE RIESGOS

PROBABILIDAD

1 2 3 4 5

EXCEPCIONAL

MENTE

ALGUN

AS VECES

PROBABLEM

ENTE

REGULARM

ENTE

CONSTANTE

MENTE

Puede ocurrir solo

en casos muy

especiales

No se

espera que

ocurra

Puede ocurrir algunas veces

Ocurrirá en la mayoría de veces

Ocurre en todas las circunstancias

MODERADO MODER

ADO ALTO ALTO MUY ALTO

BAJO MODER ADO

MODERADO ALTO ALTO

BAJO MODER

ADO MODERADO MODERADO ALTO

BAJO BAJO MODERADO MODERADO MODERADO

BAJO BAJO BAJO BAJO MODERADO

Fuente: Autores

Tabla. Matriz de Evaluación de Riesgos (Valores)

MATRIZ DE EVALUACIÓN DE RIESGOS

PROBABILIDAD

1 2 3 4 5

EXCEPCION

ALMENTE

ALG

UNAS

VECES

PROBABL

EMENTE

REGULA

RMENTE

CONSTAN

TEMENTE

Puede ocurrir

solo en casos

muy especiales

No se

espera

que ocurra

Puede

ocurrir

algunas veces

Ocurrirá

en la mayoría

de veces

Ocurre en

todas las

circunstancias CLASIFICAC

IÓN

CATAST

ROFICO 5 10 15 20 25

MAYOR 4 8 12 16 20

GRAVE 3 6 9 12 15

MENOR 2 4 6 8 10

INSIGNIF

ICANTE 1 2 3 4 5

Fuente: Autores

ECONÓMICO I

M

P

A

C

T

O

PROBABILIDAD

ORGANIZACIONAL I

M

P

A

C

T

O

PROBABILIDAD

LEGAL I

M

P

A

C

T

O

PROBABILIDAD

IMAGEN I

M

P

A

C

T

O

PROBABILIDAD

5

4 X

3

2

1

1 2 3 4 5

5 X

4

3

2

1

1 2 3 4 5

5

4

3

2

1 X

1 2 3 4 5

5 X

4

3

2

1

1 2 3 4 5

A continuación, se establece la probabilidad de cada uno de los riesgos y el impacto frente al

factor organizacional, económico, legal e imagen:

Suplantación de roles debido a la falta de protocolos de seguridad de acceso de la red de

la Universidad afectando posible extracción de información de la base de datos de los

Estudiantes.

ORGANIZACIONAL I

M

P

A

C

T

O

PROBABILIDAD

ECONÓMICO I

M

P

A

C

T

O

PROBABILIDAD

LEGAL I

M

P

A

C

T

O

PROBABILIDAD

IMAGEN I

M

P

A

C

T

O

PROBABILIDAD

5 X

4

3

2

1

1 2 3 4 5

5 X

4

3

2

1

1 2 3 4 5

5

4

3

2

1 X

1 2 3 4 5

5 X

4

3

2

1

1 2 3 4 5

Eliminación de registros de usuario en la base de datos de estudiantes causado por un

error en el uso de la plataforma debido a la falta de documentación de esta.

ORGANIZACIONAL I

M

P

A

C

T

O

PROBABILIDAD

ECONÓMICO I

M

P

A

C

T

O

PROBABILIDAD

LEGAL I

M

P

A

C

T

O

PROBABILIDAD

IMAGEN I

M

P

A

C

T

O

PROBABILIDAD

5

4 X

3

2

1

1 2 3 4 5

5

4

3

2 X

1

1 2 3 4 5

5

4

3

2

1 X

1 2 3 4 5

5

4

3

2

1 X

1 2 3 4 5

Eliminación de la trazabilidad de los registros causado por la ausencia de perfiles de

acceso a la plataforma de ESLIBRO.

Plan de trabajo

Programa de auditoria

Ejecutar Procedimientos

Realizar pruebas

Recopilar Evidencia

Documentar papeles de

trabajo

Estructurar Observaciones

Evaluar evidencia

Estructurar observación

Validar información

Comunicar información

Conformar hallazgos

Analizar respuestas

Evaluar evidencias

Estructurar y evaluar

evidencias

Redactar

conclusiones

10. Auditoría al Sistema de Gestión de Seguridad de la Información del Proceso de

Préstamo de Computadores Portátiles en la Biblioteca de la Universidad Cooperativa de

Colombia sede Cali sur. Respecto a la NTC ISO/IEC 27001:2013

La norma NTC ISO/IEC 27001:2013 contiene los requisitos aplicables a un sistema de gestión

de seguridad de la información para poder ser objeto de certificación.

Debido al alcance de este proyecto se busca únicamente auditar el proceso, con el fin de realizar

recomendaciones acerca de la viabilidad de la aplicación de la norma.

También puede ser aplicado a cualquier otro proceso o empresa con el objetivo de lograr que

su sistema de gestión de seguridad de la información cumpla los requisitos de certificación de la

norma.

A continuación, se revisa la documentación de auditoria para este trabajo lo que permitirá

generar las conclusiones del informe final de auditoria que será entregado a la dirección del

proceso y la facultad de ingeniería.

11. Realización de las Actividades de Auditoría

En este punto se procede a llevar a cabo los programas de auditoría que ha dejado como parte

de los productos de la fase de la implementación del SGSI. En esta fase se lleva a cabo el trabajo

de campo para recopilar, analizar los datos y obtener evidencias suficientes, pertinentes, relevantes

y competentes que sustentarán el trabajo profesional del auditor, con base en las cuales se

formularán las opiniones, observaciones y conclusiones respecto al cumplimiento de los criterios

evaluados.

11.1 Fase 1 Revisión Documental

11.1.1 Política de seguridad de la información.

En la Universidad Cooperativa de Colombia Sede Cali no existe previamente un documento

denominado o relacionado con la política de seguridad de la información, en el cual se expongan

las normas y artículos que rigen los comportamientos frente a la manipulación y gestión de

documentación y aplicaciones en la organización.

Sin embargo, algunos sub-procesos son explicados de manera verbal por directores o personal

encargado, provocando riesgos que han llevado a unas directrices y correcciones que orientan al

uso adecuado, pero permiten errores en manipulación de información y el incorrecto uso de

aplicaciones.

11.2 fase 2 Auditoria de Campo

11.2.1 Programa de auditoria

Fuente: UNIVERSIDAD COOPERATIVA DE COLOMBIA SEDE CALI.

NORMA: ISO-27001-2013

OBJETIVO Verificar el cumplimiento de los requisitos de la norma

enunciada según la auditoria

ALCANCE Proceso de préstamo de equipos de computo

Cronograma de Auditoria

Nombre de tarea Comienzo Fin Nombres de los recursos

Entrevistar al personal encargado del

servicio de préstamo de computadores 1/07/19 2/07/19 Hermes Duvan Urrea

Analizar los activos, vulnerabilidades,

amenazas y riesgos del servicio 3/07/19 5/07/19 John Jairo Perez

Análisis de la documentación existente

en la organización para los procesos de

seguridad de la información.

10/07/19

14/07/19

John Jairo Perez

Definir los métodos a partir de los cuales se

evaluarán los riesgos y vulnerabilidades

identificadas respecto a la seguridad de la

información.

15/07/19

20/07/19

Hermes Duvan Urrea

Elegir y definir los métodos adecuados y

necesarios para evaluar los riesgos y

vulnerabilidades

22/07/19

25/07/19

Heidy Natalia Paredes

Identificar el nivel de madurez de

seguridad de la información frente al servicio

de préstamo de computadores portátiles.

30/07/19

02/08/19

John Jairo Perez

Documentar el resultado del análisis

realizado estableciendo el nivel de madurez 05/08/19 08/08/19 Heidy Natalia Paredes

11.2.2

Preparación de

las actividades

de la auditoria

Objetivo: Determinar el grado de cumplimiento del proceso de SGSI frente al préstamo de

equipos portátiles de la biblioteca de la universidad cooperativa de Colombia

Alcance: El proceso para el préstamo de equipos portátiles de la Universidad Cooperativa sede

Cali-sur

Criterios: Norma ISO 27001 (especificar requisitos o controles, políticas y procedimientos)

Auditor Lider:

Heidy Natalia Paredes Paz

Equipo Auditor:

John Jairo Pérez Plaza - Duvan Urrea

Reunión de apertura:

8:00 AM

Reunión Cierre

10:00 AM

Fecha

Hora

Proceso Actividad

Observaciones

Auditado

Auditor(es)

10:30 Entrevista

Entrevista con el jefe de proceso

Administración biblioteca

John Pérez - Duvan Urrea

Julio

201

9

11:00 Revisión Documentación del

proceso Administración

biblioteca John Pérez -

Duvan Urrea

12:30 Inspección Revisión del proceso Auxiliares

Biblioteca John Pérez -

Duvan Urrea

1:40

Verificación Comparación entre la documentación y la

ejecución del proceso

Administración biblioteca

John Pérez - Duvan Urrea

2:30

Análisis Hallazgos encontrados

durante la verificación del proceso

Auxiliares Biblioteca

John Pérez - Duvan Urrea

2:40

Resultados Entrega de informe final

con hallazgos y oportunidades de mejora

Administración biblioteca

John Pérez - Duvan Urrea

11.2.3 Listados de Auditoría

Los resultados de las actividades anteriores se plasman en los listados de auditoria los cuales se

anexan a este documento y se detallan en el presente informe final de auditoria.

49

Tabla. Listados de Auditoría

50

Fuente: Autores

11.2.4 Diagnóstico implementación SGSI bajo la Norma NTC-ISO-IEC 27001:2013

Ponderación de la Auditoría

La siguiente tabla muestra los porcentajes promedio de los controles aplicados según la norma,

para los dominios: auditoría de contexto, ciclo de vida, auditoría de la cadena de suministro,

preparación de los documentos de trabajo de auditoría y auditoría de actividades y ubicación

virtuales.

51

Tabla. Ponderación de la auditoría

ITEM

DOMINIOS

CONTROLES

META

OBJETIVOS DE CONTROL

NIVEL DE MADUREZ DEL DOMINIO

A.8

Auditoria de Contexto

89%

50%

27%

Adminsitrativo

A.8.1

A.8.1.3

A8.3

A.8.3.1

A.11

Ciclo de Vida

89%

50%

27%

Adminsitrativo A.11.2

A.11.2.7

A.11.2.9

A.12 Auditoria de la Cadena de Suministro

89%

50%

27%

Repetible A.12.5

A.12.5.1

A.13 Preparacion de los documentos de

trabajo de auditoria

89%

50%

27%

Adminsitrativo A.13.1

A.13.1.1

A.16.1.1 Auditoria de Actividades y Ubicaciones

Virtuales 89% 50% 27% Adminsitrativo

Fuente: Autores

52

11.2.5 Informe Verificación de Cumplimiento.

Santiago de Cali, septiembre 22 de 2019

Señores:

Universidad Cooperativa de Colombia - Biblioteca.

Atención: Sra. Alejandra González

Directora de Biblioteca

Cordial saludo.

Luego de haber permitido llegar a su área de trabajo con el firme propósito de analizar la

viabilidad acerca de la implementación de la norma de calidad NTC-ISO-IEC 27001:2013 en el

proceso de préstamo de equipos de cómputo para empleados y estudiantes vinculados a la

universidad, en el periodo comprendido entre el mes de Abril hasta Septiembre, nos permitimos

presentar el informe formal de lo observado en el proceso donde se contó con el apoyo del personal

de biblioteca y de algunos estudiantes que realizaron las solicitudes, además de toda su disposición

para la realización del ejercicio.

Datos generales

Fechas de la auditoria: 01 de Julio al 08 de agosto de 2019

Tipo de Auditoria: validación de cumplimiento de la Norma

Criterios Aplicados: Norma NTC ISO-IEC 27001:2013

Cliente de Auditoria: Biblioteca de la universidad cooperativa de Colombia

53

Objetivo de la Auditoria: Verificar el cumplimiento de los objetivos de control de la norma ISO

27002:2013

Alcance de la Auditoria: departamento de TIC y biblioteca de la universidad cooperativa de

Colombia sede Cali

Metodología: Visita en Sitio

El grupo auditor realizo varias visitas a la biblioteca de la universidad cooperativa de Colombia

sede Cali ubicada en la Carrera 73 # 2A - 80 con el objetivo de Analizar la viabilidad de

implementar la norma ISO 27001 en el servicio de préstamo de computadores portátiles. El equipo

auditor realizo una entrevista a los auxiliares encargados con respecto al proceso que se está

realizando, las cuales permitieron al equipo auditor enterarse de cómo actualmente se maneja el

proceso de préstamo de equipos portátiles en la universidad

El equipo auditor diseño un cuestionario que diligencio en compañía de los líderes del proceso

y procesos relacionados, estas preguntas realizadas serán los que arrojen una imagen del estado de

la seguridad de la información respecto a la norma NTC ISO-IEC 27001:2013, para asi poder hacer

el análisis de la viabilidad de aplicación de la norma.

1. ¿Dónde se ingresan los datos de los estudiantes que van a solicitar un préstamo de equipos

portátiles

2. Quienes son los encargados de recibir los equipos

3. Cada cuanto se borra la información que los estudiantes o docentes utilizan o descargan en los

equipos

4. Quien es la persona encargada de la toma de decisiones en caso de multas en la biblioteca

5. Que software manejan para el ingreso a la BD de los estudiantes o docentes que realizan los

prestamos

54

6. Cuánto tiempo puede un estudiante o docente tener un equipo en préstamo

7. Cuáles son los espacios donde los estudiante y docente pueden usar el equipo portátil en

préstamo

8. Qué tipo de multas aplican a los estudiantes que no cumplen con el reglamento de préstamo

9. ¿Tienen restricción de navegación?

10. ¿Tienen restricción para que los equipos no se conecten a redes diferentes a las de la

universidad?

11. ¿Los puertos USB de los equipos portátiles se encuentran abiertos?

12. Que antivirus manejan los equipos portátiles

13. ¿El software ESLIBRO es libre o se programó solo para la universidad?

14. ¿Qué controles tiene para el retiro de equipos de la biblioteca?

11.2.6. Seguimiento a los Planes de Mejora Derivados de la Auditoría Interna

Objetivo General

Determinar el cumplimiento y el estado de avance de las acciones establecidas en los planes de

mejoramiento frente al análisis de la viabilidad de la implementación de la norma ISO 270001,

producto de la auditoría realizada por los estudiantes de la Universidad Cooperativa de Colombia

sede Cali-sur.

Alcance

Confirmación de los avances logrados en la gestión de los planes de mejora, desarrollada entre

abril y septiembre del año 2019, según los soportes de cumplimiento aportados por la biblioteca y

el área de TI de la Universidad Cooperativa de Colombia.

55

DEPENDENCIAS PROVEEDORAS DE INFORMACIÓN

Oficina de Tecnologías de la Información y las Comunicaciones

Biblioteca de la Universidad Cooperativa de Colombia

Facultad de Ingeniería

Principales criterios

Matriz de seguimiento de planes de mejoramiento de auditorías internas, administrada por

Icontec internacional GTC ISO 19011:2018

Evidencias aportadas por cada dependencia responsable de planes de mejora

Resultados

Se observó que a la fecha de este seguimiento, en la biblioteca y el área de TI de la Universidad

Cooperativa de Colombia sede Cali-sur, aún se está POR DEFINIR el plan de acción (fechas,

responsables) conducente a la identificación, clasificación y administración de la información

sensible dentro de los equipos de cómputo y de los planes de acción referentes a las conexiones

inalámbricas a las que los equipos de cómputo se conectan sin ninguna supervisión; también se

está pendiente por aplicar el plan de acción referente a los antivirus y mantenimientos de los

equipos, ya que la problemática más notoria son las fechas de mantenimientos de los equipos

debido al grado de privacidad y nivel de riesgo, el cual debe ajustarse también al marco normativo

y estándares aplicables (entre éstos, NTC ISO 27001) debido a que la información queda abierta

para la manipulación por parte de docentes y estudiantes u otros usuarios del servicio de préstamo.

56

Como resultado de lo anterior, se identificó que continúa en ejecución las acciones de mejora,

cuyo avance es definido por la programación de las dependencias encargadas de la aplicación del

plan de auditoria.

57

12. Resultados e impactos

Para el proceso de análisis inicial del nivel de madurez se evaluó de principio a fin el proceso

de préstamo de portátiles, desde que el dispositivo es entregado al usuario, su uso, actividades

desarrolladas y devolución de este mismo; además se recopiló información de entrevistas al equipo

de funcionarios del área de TI y Biblioteca.

Con dicho análisis inicial y dando soporte particular a los requisitos de un sistema de gestión

de seguridad de la información de acuerdo con la norma NTC-ISO/IEC 27001, frente a la

viabilidad de implementación en el servicio de préstamo de computadores portátiles, se identificó

que es necesario implementar una serie de requisitos y controles para la mejora de los procesos y

servicios prestados; ya que se evidenciaron vulnerabilidades haciendo referencia a los tiempos

definidos para los mantenimientos de los equipos, permanencia de archivos descargados y

documentos creados, no hay una limpieza constante de caché ni del historial de navegación, los

usuarios se pueden conectar a redes abiertas y externas del campus sin ninguna restricción

operacional y los antivirus instalados no son eficientes. Este tipo de omisiones dan lugar a riesgos

de confidencialidad de datos por cada usuario que utiliza los computadores, espionaje, vandalismo,

pérdida de información, etc.

La universidad debería garantizar que los recursos para el tratamiento y valorización del riesgo

estén disponibles continuamente para revisar el riesgo, tratar las amenazas o vulnerabilidades

nuevas o con cambios y asesorar a la dirección según corresponda.

A continuación, se enlistan los controles que se deben aplicar para asegurar un mejoramiento

del proceso de préstamo de equipos portátiles:

A.8.1 Responsabilidad por los activos

58

A.8.3 Manejo de medios

A.8.1.3 Se debe identificar, documentar e implementar reglas para el uso aceptable de

información y de activos asociados con la misma e instalaciones de procesamiento.

A.8.3.1 Se deben implementar procedimientos para la gestión removibles, de acuerdo con el

esquema de clasificación adoptado por la organización

A.11.2 Equipos

A.11.2.5 Los equipos, información o software no se deben retirar de su sitio sin autorización

previa

A.11.2.6 Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de la

instalación de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de

dichas instalaciones

A.11.2.7 Se deben verificar todos los elementos de equipos que contengan medios de

almacenamiento para asegurar que cualquier dato confidencial o software licenciado haya sido

retirado o sobrescrito en forma segura antes de su disposición o rehusó

A.11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios de

almacenamiento removibles, y una política de pantalla limpia en las instalaciones de

procesamiento de información

A.16.1.1 Se deben establecer las responsabilidades y procedimientos de gestión para asegurar

una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información

A.12.5 Control de software operacional

A.12.5.1 Se debe implementar procedimientos para controlar la instalación de software en

sistemas operativos

A.13.1 Gestión de la seguridad de las redes

A.13.1.1Las redes se deben gestionar y controlar para proteger la información en sistemas y

aplicaciones

59

13. Conclusiones

En el análisis sobre la implementación de la norma NTC-ISO/IEC 27001 en el servicio de

préstamo de computadores portátiles, se identificó que la seguridad de la información está

relacionada directamente con las metodologías, procesos y procedimientos de dicho proceso;

debido a esto, se requiere realizar revisiones y seguimientos constantes a partir de la

implementación de diferentes políticas de seguridad, donde la plataforma técnica y los sistemas de

información satisfagan en su totalidad de normas de seguridad y controles documentados que sean

aplicables durante la auditoria, verificando el cumplimiento de los objetivos propuestos, los cuales

permiten detectar los puntos débiles que se deben mejorar.

El proceso se llevó a cabo con los encargados de TI, los directivos de la institución, auxiliares

y coordinadores de la biblioteca, contemplando las políticas y controles que se deben aplicar para

mitigar este tipo de riesgos y amenazas, a su vez los beneficios que traen este tipo de acciones, en

cuanto al aseguramiento de la información y protección de activos, conllevando así a un

mejoramiento en la calidad de los servicios y generando confianza por parte de los estudiantes y

demás que acceden a él.

La norma ISO 27001, al ser un estándar internacional aportaría al servicio de préstamo de

computadores portátiles beneficios como: reducción de riesgos que produzcan pérdidas de

información, revisión continua de los riesgos, establecer una metodología para gestionar la

seguridad de la información de manera clara y concisa, implantar medidas más seguras, asemejar

incidencias constantemente y de este modo fomentar la mejora continua en el área de TI y la

biblioteca.

60

14. Recomendaciones

Se recomienda al personal responsable de las actividades relacionadas con la seguridad de

información, asumir la tarea de brindar apoyo en todos los procesos relacionados con esta temática;

concientizando y capacitando al personal de TI y a todos auxiliares de la biblioteca de la

universidad Cooperativa de Colombia Cali, con el fin de ir implementado en su cultura

organizacional aspectos relacionados con la seguridad de la información y a su vez crear modos

de trabajo eficaces y de alta calidad.

Establecer un cronograma de auditorías internas de seguridad de la información de manera

semestral donde se evalúe el cumplimiento de los procesos basados en la norma ISO 27001, con

el fin de mejorar la continuidad de sistema y mitigar riesgos.

61

15. Bibliografía

Cardona Hernandez, L. M. (2016). Influencia del comportamiento de los usuarios en la seguridad

de la información personal y empresarial al utilizar tecnología móvil (Order No. 10251937).

Available from Materials Science & Engineering Collection; ProQuest Central. (1886460414).

Chaverra Mojica, J.J., Vélez, H. d., J.Restrepo, & García, ,J.F.P. (2015). El teletrabajo y la

seguridad de la información empresarial/Teleworking and security of business

information. Revista Cintex, 20(1), 111-121.

José, G. A., Ramón Armando, B. T., & Dewar Willmer, R. B. (2015). Implantación de un sistema

de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la

información. Tecnura, 19(46), 123-134.

los Ángeles Ruiz, María de, & Bas, A. B. (2014). La gestión documental y su impacto en el sector

empresarial cubano (document management and its impact on cuban enterprise

sector). GECONTEC, 2(1), 60-75

Torcoroma Velásquez Pérez, Andrés Mauricio, P. V., & Pérez Pérez, Y. M. (2015). Un enfoque

de buenas prácticas de gobierno corporativo de TI. Tecnura, 19, 159-169.

Translated by ContentEngine, L. L. C. (2019, Jan 10). El futuro en empresas de seguridad de la

información. CE Noticias Financieras

62

Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la implementación de un

sistema de gestión de seguridad de la información basado en la familia de normas ISO/IEC

27000. Revista Ibérica De Sistemas e Tecnologias De Informação, (22), 73-88.

Vanegas, A., & Pardo, C. J. (2014). Hacia un modelo para la gestión de riesgos de TI en MiPyMEs

: MOGRIT. Revista S&T, 12(30), 35–48.

ICONTEC. (2009). Norma Técnica Colombiana. NTC-ISO/IEC 27005. Tecnología de

Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.

Retrieved from https://tienda.icontec.org/wp-content/uploads/ pdfs/NTC-ISO-IEC27005.pdf.

Diaz, A. (2010). Sistema de Gestión de la Seguridad de la Información. Revista Calidad, (IV), 18–

20.

Duque, A. C. (2017). Metodología para la gestión de riesgos. Como integrar la seguridad a los

objetivos estratégicos de los negocios de una manera costobeneficiosa. Retrieved April 10, 2017,

from http://www.ridsso.com/documentos/ muro/207_1469148692_57916e1488c74.pdf

Matalobos Veiga, J. M. (2009). Análisis de riesgos de seguridad de la información. Tesis de grado.

Madrid: Universidad Politécnica de Madrid.

Fernández, J., y Alonso, E. F. (2013). Seguridad en Informática. Aprocal, 1, 3-5. Recuperado

de http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0.pdf

63

Castro, A. R., y Bayona, Z. O. (2011). Gestión de Riesgos tecnológicos basada en ISO 31000 e

ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2), 56–66.