DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA ...
Transcript of DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA ...
DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA SEREXCEL SERVICIOS FUNERARIOS.
WILLIAM ANDRÉS NUÑEZ VERGARA 20142678045
EDINSON ANDRÉS CHACÓN UMAÑA 20142678052
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA BOGOTÁ D.C.
2017
DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA SEREXCEL SERVICIOS FUNERARIOS.
EDINSON ANDRÉS CHACÓN UMAÑA 20142678052
WILLIAM ANDRÉS NUÑEZ VERGARA
20142678045
Proyecto realizado para optar por el título de Ingeniero en Telemática
PROYECTO DE PASANTÍA
Tutor. Miguel Ángel Leguizamón Páez
Ingeniero de sistemas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA TELEMÁTICA
BOGOTÁ D.C. 2017
Notas de aceptación
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
Firma jurado Jairo Hernández
___________________________________
Firma tutor Miguel Ángel Leguizamón
______________________________________
DEDICATORIAS
Edinson Andrés Chacón Umaña
Dedico este trabajo de grado a mi familia en especial a mis padres, hermanos
y pareja, quienes con su apoyo constante permitieron su realización.
William Andrés Núñez Vergara
Dedico este trabajo de grado a mis padres, esposa e hija, quienes con su
apoyo constante permitieron su realización.
AGRADECIMIENTOS
William Andrés Núñez Vergara
Agradezco a mis padres por su apoyo incondicional en todos los procesos de
mi vida tanto profesional como personal, mi esposa e hija quienes también
sacrificaron momentos de su vida para que yo culminara mi carrera, también
agradezco a mis compañeros por su benevolente colaboración.
Edinson Andrés Chacón Umaña
A Dios porque es la razón de mi existir heredándome el tesoro más valioso
que puede dársele a un hijo "Amor".
A mis padres quienes sin escatimar esfuerzo alguno sacrificaron gran parte
de su vida para educarme en el proceso de mi vida.
A mi pareja sentimental por la compañía que siempre me supo brindar. Con
cada palabra, con cada afecto y con mucho Amor.
A los docentes de la facultad tecnológica por fortalecer mis conocimientos
con las enseñanzas
Y a todas aquellas personas que comparten conmigo este triunfo.
Gracias
6
Contenido RESUMEN ......................................................................................................................................... 11
ABSTRACT ........................................................................................................................................ 12
INTRODUCCIÓN .............................................................................................................................. 13
1. ORGANIZACIÓN DEL PROYECTO ...................................................................................... 15
1.1. TITULO ............................................................................................................................... 15
1.2. TEMA .................................................................................................................................. 15
1.3. PLANTEAMIENTO DEL PROBLEMA ........................................................................... 15
1.3.1. Descripción ................................................................................................................ 15
1.3.2. Formulación ............................................................................................................... 16
1.4. OBJETIVOS ....................................................................................................................... 16
1.4.1. GENERAL .................................................................................................................. 16
1.4.2. ESPECÍFICOS .......................................................................................................... 16
1.5. ALCANCES Y DELIMITACIONES ................................................................................. 17
1.5.1. ALCANCES ................................................................................................................ 17
1.5.2. LIMITACIONES ......................................................................................................... 17
1.6. JUSTIFICACIÓN ............................................................................................................... 18
1.7. MARCOS DE REFERENCIA .......................................................................................... 19
1.7.1. MARCO HISTÓRICO ............................................................................................... 19
1.7.2. MARCO TEÓRICO ................................................................................................... 20
1.7.3. MARCO CONCEPTUAL .......................................................................................... 35
1.7.4. MARCO CONTEXTUAL .......................................................................................... 37
1.9 FACTIBILIDAD ....................................................................................................................... 39
1.7.5. FACTIBILIDAD TÉCNICA ........................................................................................ 39
1.7.6. FACTIBILIDAD OPERATIVA .................................................................................. 39
1.7.7. FACTIBILIDAD ECONÓMICA ................................................................................ 40
1.8. SOLUCIÓN TECNOLÓGICA .......................................................................................... 40
1.9. CRONOGRAMA ................................................................................................................ 41
2. ANÁLISIS DE LA SITUACIÓN ACTUAL ............................................................................... 42
2.1. SEGURIDAD DE LA INFORMACIÓN ........................................................................... 43
2.2. Diagnóstico Situación Problema ..................................................................................... 43
2.3. Infraestructura Tecnológica Actual ................................................................................. 54
2.3.1. Recursos Hardware .................................................................................................. 54
7
2.3.2. Diagrama Red ........................................................................................................... 56
2.4. La Organización ................................................................................................................ 57
2.4.1. Funciones por dependencia .................................................................................... 57
2.5. Análisis de trafico .............................................................................................................. 58
3. IDENTIFICACIÓN DE LOS ACTIVOS MÁS IMPORTANTES DE LA EMPRESA DE
SERVICIOS FUNERARIOS SEREXCEL. ..................................................................................... 59
3.1. PLANIFICACIÓN PARA LA VALORIZACIÓN DE ACTIVOS ..................................... 60
3.2. PLANIFICACIÓN PARA LA VALORIZACIÓN DE AMENAZAS HACIA LOS
ACTIVOS DEL INVENTARIO ..................................................................................................... 63
3.2.1. ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL
INVENTARIO ............................................................................................................................. 63
3.2.2. IDENTIFICACIÓN Y VALORACIÓN DE LAS AMENAZAS: ............................... 64
3.3. PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO ................................. 77
3.3.1. VALORACIÓN DE LOS RIESGOS. ....................................................................... 78
4. CONTROLES DE SEGURIDAD BAJO LA NORMA ISO 27001:2013 ................................. 93
4.1 ANÁLISIS GAP PARA ISO - 27001 ............................................................................. 116
4.2 PORCENTAJE DE IMPLEMENTACIÓN DE DOMINIOS ......................................... 123
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN .................................................... 124
6. CONCLUSIONES ....................................................................................................................... 125
6. RECOMENDACIONES .......................................................................................................... 126
8. BIBLIOGRAFÍA ........................................................................................................................... 127
ANEXOS .......................................................................................................................................... 128
ANEXO 1 ...................................................................................................................................... 129
ENCUESTA PARA EL PERSONAL DE LA EMPRESA SEREXCEL ............................. 129
ANEXO 2 ...................................................................................................................................... 133
ANÁLISIS DE TRÁFICO DE RED CON WIRESHARK DE LA RED DE LA EMPRESA
SEREXCEL .............................................................................................................................. 133
ANEXO 3 ...................................................................................................................................... 136
Encuesta acerca de Seguridad Informática dirigida al área de Sistemas .................................. 136
ANEXO 4 ...................................................................................................................................... 139
Entrevista dirigida al Departamento de Sistemas ..................................................................... 139
ANEXO 5 ...................................................................................................................................... 143
Encuesta acerca de Seguridad Informática dirigida al personal operativo ............................... 143
ANEXO 6 ...................................................................................................................................... 145
POLÍTICAS DE SEGURIDAD PARA LA EMPRESA ........................................................ 145
8
SEREXCEL LTDA. ................................................................................................................. 145
ANEXO 7 ...................................................................................................................................... 146
AMENAZAS Y RIESGOS ...................................................................................................... 146
Listado de tablas
Tabla 1. Factibilidad Técnica ................................................................................................................ 39
Tabla 2. Factibilidad Operativa ............................................................................................................ 40
Tabla 3. Factibilidad Económica .......................................................................................................... 40
Tabla 4 Recursos Hardware ................................................................................................................. 56
Tabla 5 Descripción Valor ................................................................................................................... 61
Tabla 6 Criterios de Valoración de los Activos ..................................................................................... 61
Tabla 7 Valoración cuantitativa de los Activos de Información .......................................................... 62
Tabla 8 Probabilidad de ocurrencia de una amenazas ........................................................................ 63
Tabla 9 Degradación de los Activos por Amenazas ............................................................................. 63
Tabla 10 Valoración Amenaza DataCenter .......................................................................................... 64
Tabla 11 Valoración Amenaza Inscripción de Pólizas Funerarias ........................................................ 64
Tabla 12 Valoración Amenaza Creación de productos Funerarios ..................................................... 64
Tabla 13 Valoración Amenaza Información de configuración ............................................................. 65
Tabla 14 Valoración Amenaza Código Fuente ..................................................................................... 65
Tabla 15 Valoración Amenaza Código ejecutable ............................................................................... 65
Tabla 16 Valoración Amenaza Copias de respaldo .............................................................................. 66
Tabla 17 Valoración Amenaza Datos de prueba .................................................................................. 66
Tabla 18 Valoración Amenaza Información de Usuarios ..................................................................... 67
Tabla 19 Valoración Amenaza Información de empresas asociadas ................................................... 67
Tabla 20 Valoración Amenaza Información de productos Funerarios ............................................... 68
Tabla 21 Valoración Amenaza SW Qt-Funerarias ................................................................................ 68
Tabla 22 Valoración Amenaza Navegador web ................................................................................... 68
Tabla 23 Valoración Amenaza Servidor de aplicaciones ..................................................................... 68
Tabla 24 Valoración Amenaza Sistema de gestión de bases de datos ................................................ 69
Tabla 25 Valoración Amenaza Ofimática ............................................................................................. 69
Tabla 26 Valoración Amenaza Anti-virus ............................................................................................. 69
Tabla 27 Valoración Amenaza Sistema operativo ............................................................................... 70
Tabla 28 Valoración Amenaza Herramientas de desarrollo ................................................................ 70
Tabla 29 Valoración Amenaza Computadores de pruebas ................................................................. 71
Tabla 30 Valoración Amenaza Computadores de desarrollo .............................................................. 71
Tabla 31 Valoración Amenaza Computadores de soporte .................................................................. 72
Tabla 32 Valoración Amenaza Cableado red de área local ................................................................. 72
Tabla 33 Valoración Amenaza Switch .................................................................................................. 73
Tabla 34 Valoración Amenaza Internet ............................................................................................... 73
Tabla 35 Valoración Amenaza Red telefónica ..................................................................................... 73
9
Tabla 36 Valoración Amenaza Red local ............................................................................................. 74
Tabla 37 Valoración Amenaza Documentos impresos. Contratos, Pólizas ......................................... 74
Tabla 38 Valoración Amenaza Oficina ................................................................................................. 75
Tabla 39 Valoración Amenaza Edificio ................................................................................................. 75
Tabla 40 Valoración Amenaza Administradores de sistemas .............................................................. 75
Tabla 41 Valoración Amenaza Desarrolladores ................................................................................... 76
Tabla 42 Valoración Amenaza Soporte ................................................................................................ 76
Tabla 43 Valoración Amenaza Comercial ............................................................................................ 76
Tabla 44 Valoración Amenaza Usuarios externos ............................................................................... 76
Tabla 45 Valoración Amenaza Usuarios internos ................................................................................ 77
Tabla 46 Criterios de Valoración del Impacto ..................................................................................... 78
Tabla 47 Criterios de Valoración del Riesgo ........................................................................................ 79
Tabla 48 Valoración Riesgo DataCenter .............................................................................................. 79
Tabla 49 Valoración Riesgo Inscripción Pólizas Funerarias ................................................................. 79
Tabla 50 Valoración Riesgo Inscripción empresas asociadas .............................................................. 79
Tabla 51 Valoración Riesgo Creación de productos Funerarios .......................................................... 80
Tabla 52 Valoración Riesgo Información de configuración ................................................................. 80
Tabla 53 Valoración Riesgo Código Fuente ......................................................................................... 81
Tabla 54 Valoración Riesgo Código ejecutable .................................................................................... 81
Tabla 55 Valoración Riesgo Copias de respaldo .................................................................................. 82
Tabla 56 Valoración Riesgo Datos de prueba ...................................................................................... 82
Tabla 57 Valoración Riesgo Información de clientes .......................................................................... 82
Tabla 58 Valoración Riesgo Información de empresas asociadas ....................................................... 83
Tabla 59 Valoración Riesgo Información de productos Funerararios ................................................. 83
Tabla 60 Valoración Riesgo Desarrollo propio Sw Qt -Funerarias ....................................................... 84
Tabla 61 Valoración Riesgo Navegador web ....................................................................................... 84
Tabla 62 Valoración Riesgo Servidor de aplicaciones .......................................................................... 84
Tabla 63 Valoración Riesgo Sistema de gestión de bases de datos .................................................... 84
Tabla 64 Valoración Riesgo Ofimática ................................................................................................. 85
Tabla 65 Valoración Riesgo Anti -virus ................................................................................................ 85
Tabla 66 Valoración Riesgo Sistema operativo.................................................................................... 85
Tabla 67 Valoración Riesgo Herramientas de desarrollo .................................................................... 86
Tabla 68 Valoración Riesgo Computadores de pruebas ...................................................................... 86
Tabla 69 Valoración Riesgo Computadores de desarrollo ................................................................... 87
Tabla 70 Valoración Riesgo Computadores de soporte ...................................................................... 88
Tabla 71 Valoración Riesgo Cableado red de área local ...................................................................... 88
Tabla 72 Valoración Riesgo Switch ..................................................................................................... 88
Tabla 73 Valoración Riesgo Internet ................................................................................................... 89
Tabla 74 Valoración Riesgo Red telefónica.......................................................................................... 89
Tabla 75 Valoración Riesgo Red local .................................................................................................. 90
Tabla 76 Valoración Riesgo Soportes de información ......................................................................... 90
Tabla 77 Valoración Riesgo Oficina ..................................................................................................... 90
Tabla 78 Valoración Riesgo Edificio ..................................................................................................... 91
Tabla 79 Valoración Riesgo Administradores de sistemas .................................................................. 91
10
Tabla 80 Valoración Riesgo Administrador base de datos .................................................................. 91
Tabla 81 Valoración Riesgo Desarrolladores ....................................................................................... 92
Tabla 82 Valoración Riesgo Soporte .................................................................................................... 92
Tabla 83 Valoración Riesgo Comercial ................................................................................................. 92
Tabla 84 Valoración Riesgo Usuarios externos .................................................................................... 92
Tabla 85 Valoración Riesgo Usuarios internos .................................................................................... 92
Tabla 86 Resumen de análisis diferencial .......................................................................................... 123
Listado de ilustraciones
Ilustración 1 Procesos .......................................................................................................................... 30
Ilustración 2 Ciclo PHVA....................................................................................................................... 33
Ilustración 3. Cronograma ................................................................................................................... 41
Ilustración 4 Diagrama Red .................................................................................................................. 56
Ilustración 5 Diagrama Organizacional ................................................................................................ 57
Ilustración 6 Riesgo en función del impacto y la probabilidad ............................................................ 78
Ilustración 7 Análisis GAP .................................................................................................................. 123
11
RESUMEN
Los riesgos están presentes en todo ámbito laboral y pueden provocar muchas pérdidas en el negocio si no son controladas a tiempo y de forma adecuada. Para ello existen procesos como es el caso de la gestión de los riesgos tecnológicos cuya finalidad es la protección de la información, conociendo las fortalezas y debilidades que pudiesen afectar durante todo el ciclo de vida del servicio.
En el presente trabajo se han descrito los conceptos relacionados con la gestión de los riesgos de la seguridad de la información, estándares, metodologías y herramientas que proporcionan las guías necesarias para reducir el nivel de vulnerabilidad que tienen los activos ante una amenaza. Es de vital importancia que una organización, dedicada a brindar servicios tecnológicos y mantener respaldada mucha información confidencial de forma segura, cuente con un plan de gestión de riesgos para garantizar la continuidad del negocio.
Por este motivo, se ha visto la necesidad de desarrollar un SGSI aplicado a las áreas que comprenden la empresa Serexcel servicios funerarios siguiendo la metodología MAGERIT. Primero se procede a describir la situación actual de la organización, luego a identificar los activos con sus respectivas amenazas, para proseguir a realizar la medición de riesgos existentes y sugerir las salvaguardas necesarias que podrían formar parte del plan de implantación.
Finalmente, la aportación de este estudio es identificar el nivel de riesgo en que se encuentran los activos mediante el nivel de madurez de la seguridad implementada y sobre todo incentivar al personal a seguir las respectivas normas y procedimientos referentes a la seguridad de la información y recursos.
12
ABSTRACT
The risks exist in any workplace and can cause considerable losses in business if they are not controlled at time and in a properly way.
For this reason, there are processes such as technological risk management whose purpose is the information protection, knowing the strengths and weaknesses that might affect the entire service lifecycle.
This paper describes the concepts related to information security risk management, standards, methodologies and tools that provide the guides to reduce the vulnerability level of the assets against a threat. It is important that an organization, dedicated to provide technology services and backup a lot of confidential information in a secure way, has a risk management plan to ensure business continuity.
For this reason, it has been necessary to develop a qualitative technological risk analysis applied at the area that manages and provides network services and systems, inside the Serexcel Services Funerary, following the MAGERIT methodology.
The first step consists on describing the current situation of the organization, then identifying the assets with their threats, performing the measurement of risks and suggesting the necessary safeguards that could be part of the implementation plan.
The results reflect the risk levels and potential, current and target impact using graphs. Finally, the contribution of this study is identifying the risk level for the assets, comparing the maturity level of security implemented and especially encouraging staff to follow the relevant rules and procedures concerning the security of information and resources.
13
INTRODUCCIÓN
Hoy en día, la información está definida como uno de los activos más valiosos y
primordiales para cualquier tipo de organización, la cual, sólo tiene sentido cuando
está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestión de sus recursos y activos de información con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la información.
El aseguramiento y la protección de la seguridad de la información de las
organizaciones y de los datos de carácter personal de los usuarios, representan un
reto al momento de pretender garantizar su confidencialidad, integridad,
disponibilidad y privacidad, razón por la cual, la seguridad de la información se ha
convertido en uno de los aspectos de mayor preocupación a nivel mundial.
Cualquier tipo de organización independiente de su tamaño y naturaleza, debe ser
consciente que la diversidad de amenazas existentes que actualmente atentan
contra la seguridad y privacidad de la información, representan un riesgo que al
materializarse no solo les puede acarrear costos económicos, sanciónales legales,
afectación de su imagen y reputación, sino que pueden afectar la continuidad y
supervivencia del negocio. Lo anterior, sumando a un entorno tecnológico en donde
cada día se hace más complejo de administrar y asegurar, genera que cada vez
más la seguridad de la información forme parte de los objetivos y planes
estratégicos de las organizaciones.
Por lo tanto, es indispensable que los responsables dentro de las organizaciones
encargados de velar por la protección y seguridad de sus recursos, infraestructura
e información, contantemente estén adoptando, implementando y mejorando
medidas de seguridad orientadas a prevenir y/o detectar los riesgos que pueden
llegar a comprometer la disponibilidad, integridad y confidencialidad de los activos
de información a través de los cuales se gestiona la información del negocio,
independientemente si está es de carácter organizacional o personal, o de tipo
pública o privada.
En la medida que la organización tenga una visión general de los riesgos que
pueden afectar la seguridad de la información, podrán establecer controles y
medidas efectivas, viables y transversales con el propósito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la información del negocio
como los datos de carácter personal de sus empleados y usuarios.
14
Es indispensable que las organizaciones realicen una adecuada identificación,
clasificación, valoración, gestión y tratamiento de los riegos que pueden afectar su
seguridad, con el propósito de implementar salvaguardas efectivas que les
permitan estar preparados ante situaciones adversas que puedan comprometer
tanto la seguridad física y lógica de sus instalaciones, personas, recursos y
sistemas, como la seguridad de su información.
Debido a los múltiples riesgos y amenazas que hoy en día atentan contra la
seguridad de la información y la protección y privacidad de los datos, es
fundamental que las organizaciones establezcan, implementen, mantengan y
mejoren continuamente un sistema de gestión de seguridad de la información
basado en los riesgos y a su vez, alineado con los objetivos estratégicos y
necesidades tanto del negocio como de sus partes interesadas.
15
1. ORGANIZACIÓN DEL PROYECTO
1.1. TITULO
DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA SEREXCEL SERVICIOS FUNERARIOS.
1.2. TEMA
Este proyecto está enfocado en el contexto de políticas de seguridad, el cual
va encaminado a contribuir en el resguardo y protección de la información,
dirigido a la entidad SEREXCEL SERVICIOS FUNERARIOS.
1.3. PLANTEAMIENTO DEL PROBLEMA
1.3.1. Descripción
La empresa Serexcel servicios funerarios, Sede Bogotá maneja información
calificada, que se utiliza a través del Sistema de datos, donde se lleva a
cabo todos los procesos de información de los diferentes servicios
funerarios, la cual necesita ser protegida.
El activo más significativo y vulnerable, así como también los componentes
de la infraestructura de TI que ponen a disposición de sus clientes. Se ha
identificado que están expuestas a ataques cibernéticos de diversa índole,
robo de información y fraudes informáticos debido a que no cumplen con
buenas prácticas y estándares de seguridad a la hora de tratar la
información, como consecuencia permitiendo accesos no autorizados y no
solo, por parte de agentes externos (hackers) sino también por los
empleados que generan, utilizan, procesan y acceden a la información para
la prestación de los servicios que entregan a los clientes.
16
1.3.2. Formulación
Es necesario que la organización cuente con una estrategia seguridad
basada en los riesgos y a su vez alineada con las necesidades del negocio,
con el objetivo de contar con un modelo de la Seguridad de la Información
que apoye y apalanque los objetivos estratégicos de la organización.
Se requiere diseñar un documento basado directamente en los riesgos para
el negocio, el manejo de la seguridad de la información evitando las
inversiones mal dirigidas, contrarrestando las amenazas presentes en el
entorno y dentro de la misma, implementación de controles proporcionado y
de un coste menos elevado con la siguiente información:
• La política de Gestión de Seguridad de la información.
• Definición del alcance de la Gestión de Seguridad de la Información.
• Análisis de Riegos.
• Gestión de Riegos.
• Selección de controles a implementar.
• Declaración de Aplicabilidad.
1.4. OBJETIVOS
1.4.1. GENERAL
Diseñar el sistema de gestión de seguridad de la información para la empresa
SEREXCEL Servicios Funerarios.
1.4.2. ESPECÍFICOS
• Realizar un análisis de la situación actual de la seguridad en la empresa SEREXCEL.
• Clasificar los activos informática de la empresa Serexcel e identificar las amenazas y vulnerabilidades que impactan a estos activos y realizar el análisis de riesgos.
• Establecer controles de seguridad según la norma ISO 27001:2013, que permitan mitigar o eliminar los riesgos a los que están expuestas los sistemas informáticos y la información de la empresa.
• Plantear políticas de seguridad para la empresa Serexcel, basadas en la norma ISO 27001:2013.
17
1.5. ALCANCES Y DELIMITACIONES
1.5.1. ALCANCES
El SGSI está diseñado específicamente para ayudar a cualquier empresa
dedicada a prestar servicios de TI, para que cuente con políticas y
estándares al momento de manipular cualquier activo dentro de la
organización brindando una mayor seguridad y minimizando el riesgo de que
estos se puedan ver afectados.
1.5.2. LIMITACIONES
Es conveniente resaltar que el desarrollo del presente proyecto no abarca temas
como los que se definen a continuación:
• La implementación del SGSI diseñado.
• No se realizará la implementación de los controles recomendados.
• El proyecto no contempla el seguimiento y medición de la aplicación de las
políticas y controles recomendados.
• No se elaborarán todos los documentos exigidos por la norma ISO
27001:2013
18
1.6. JUSTIFICACIÓN
Este proyecto se realiza con el fin de implementar un nuevo mecanismo, que
ayudara a la empresa SEREXCEL Servicios Funerarios al tener un mayor
control sobre la información, con la aparición de los sistemas informáticos y de
comunicación se permite la sistematización de la información facilitando su
rápido acceso, procesamiento, almacenamiento y transferencia de datos; estos
sistemas no garantizan que la información esté protegida ya que esta sigue
expuesta a diferentes ataques donde se puede ver afectada su integridad,
confidencialidad y disponibilidad.
La seguridad de la información es un componente crítico de la estrategia de
negocio de cualquier organización, la protección de datos, documentos y
control de acceso de éstos mismos es un tema que cada día toma más fuerza
debido a las diferentes especialidades de hackers y crackers que ponen en
riesgo información vital para la organización. Se entiende la seguridad como un
proceso que nunca termina ya que los riesgos nunca se eliminan en su
totalidad, de ahí la importancia y principalmente la necesidad de identificar y
gestionar los riesgos de negocio además de identificar los principios básicos en
el tratamiento de la información.
A través del Sistema de Gestión de la Seguridad de la Información (SGSI) se
busca que lidere en forma permanente la mejora continua en la Seguridad de la
Información, así como los componentes de la infraestructura de TI que ponen a
disposición de sus clientes. Un SGSI permite, establecer que la seguridad es
una característica esencial de cualquier sistema informático, proteger y
minimizar los riesgos de tener una pérdida o daño en la información, identificar
los activos de información que deben ser protegidos y en qué grado,
implementar controles y políticas de seguridad que definan e indiquen a las
personas cómo actuar frente a los recursos informáticos de la organización y
sobre todo, no como un conjunto de sanciones, sino más bien una descripción
de aquello valioso que se desea proteger.
19
1.7. MARCOS DE REFERENCIA
1.7.1. MARCO HISTÓRICO
La Seguridad de la información ha experimentado un profundo cambio en los
últimos años. Inversiones aisladas llevadas a cabo con el objetivo de
fortalecer la seguridad en puntos muy concretos han dado paso a
inversiones para asegurar el bien más valioso de la empresa, la información,
enfocando la seguridad hacia los procesos de negocio de la empresa Los
sistemas de información aparecen como una necesidad en el desarrollo de
las ciencias de la computación al tratar de integrar la administración y la
tecnología dentro de las organizaciones. Los sistemas de información van
creciendo continuamente siendo objeto de investigaciones para el estudio de
la administración.
Durante los años 80 y principios de los 90 la Seguridad Informática se
centraba en proteger los equipos de los usuarios, es decir, proporcionar
seguridad a los ordenadores y su sistema operativo. Esta seguridad lógica,
entendida como la seguridad de los equipos informáticos para evitar que
dejasen de funcionar correctamente, se centraba en la protección contra
virus informáticos.
En la actualidad con la aparición de Internet y su uso globalizado a nivel
empresarial la Seguridad Informática comenzó a enfocarse hacia la
conectividad de redes o networking, protegiendo los equipos servidores de
aplicaciones informáticas, y los equipos servidores accesibles públicamente
a través de Internet, y controlando la seguridad a nivel periférico a través de
dispositivos como Firewalls, con esto brinda la posibilidad que en la
compañía se obtenga grandes ventajas incrementando la capacidad
organizativa de la empresa y la vuelve más competitiva.
20
1.7.2. MARCO TEÓRICO
La seguridad de la información debe ser un componente crítico en la estrategia
de negocio para cualquier organización, adicionalmente debe ser manejada en
un proceso integral, que garantice “protección” en todos los aspectos (físicos,
lógicos, humanos), bajo esta visión en los últimos años en Colombia las
organizaciones tanto en el ámbito público como en el privado, vienen blindando
sus infraestructuras tecnológicas contra todo tipo de amenazas, en aras de
proteger su infraestructura crítica y por ende sus procesos vitales..
A la hora de hacer la implementación y desarrollo de un plan de SGSI, es
importante tener en cuenta los problemas con los que se va a encontrar,
teniendo en cuenta que se aplicará sobre una empresa que ya se encuentra
constituida y la implementación de estos planes precisan de cambios en
distintas áreas tales como manejo de personal, manejo de información, cambio
de políticas e inversión de recursos.
El tema de reglamentación de seguridad de la información en Colombia es
prácticamente inexistente, por lo que todo SGSI está fundamentado netamente
en la 27001 con los controles de la 27002.
Para implementar con éxito un SGSI se debe constituir un modelo normativo el
cual puede estructurarse mediante el documento de políticas, teniendo en
cuenta uno a uno todos los dominios y normas que complementen a la política y
que agrupen los objetivos de control existentes en la ISO 27002, obteniendo así
Políticas, y normas o más en busca de cubrir el “Modelo de Seguridad de la
Información”.
1.7.3 Amenazas
35 Es cualquier acción con el potencial de causar un impacto negativo sobre un activo de la empresa. Las amenazas aumentan todos los días, cada vez son más sofisticadas y sus daños más catastróficos.
Los sistemas informáticos y la información se encuentran en constante riesgo debido a amenazas de toda índole, manos criminales, desastres naturales, incendios, mal uso de tecnologías, errores humanos, problemas y errores propios de dispositivos, de acuerdo a esto podemos clasificarlas en 3 grupos:
• Amenaza criminal: El actor viola las normas y leyes establecidas para destruir, sustraer o modificar información, dispositivos o cualquier otro medio que la contenga, manipule o transmita para beneficio propio, de terceros o simplemente para causar daño.
• Eventos de origen físico: En esta categoría están los desastres naturales y aquellas que son propiciados por condiciones establecidas por un humano.
21
• Negligencia: Aquellos eventos que se dan por desconocimiento o falta de diligencia en la manipulación de los sistemas tecnológicos y/o sistemas de información. A continuación, se enumeran algunas amenazas: Ataques internos debido personal desleal o deshonesto, generando robo de secretos industriales, sabotaje, etc. Este tipo de amenazas se ve incrementado por el otorgamiento excesivo de permisos a usuarios, a la falta de procesos de auditoria y monitoreo sobre las actividades de los usuarios dentro de los sistemas de información, ausencia de controles de acceso a áreas de computo sensibles. Ingeniería social, conjunto de técnicas usadas por los hackers para apoderarse de información, dispositivos u otros medios aprovechando la ingenuidad, exagerada confianza o desconocimiento de empleados o personal con acceso legitimo a los sistemas.
Uso imprudente de redes públicas, los usuarios las usan sin ningún reparo hacia su seguridad para ingresar a la red de la empresa o para transferir datos empresariales. Robo o pérdida de dispositivos móviles. Los empleados son víctimas de robo o accidentalmente pierden memorias USB, celulares y portátiles que en muchas ocasiones almacenan datos sensibles de la organización o de ellos mismos que pueden ser usadas para que sean suplantados o para realizar ingeniería social. Navegación a sitios de alto riesgo dentro de la empresa. Un usuario que navega por sitios no relacionados con el negocio termina invitando a la red corporativa software malicioso. Esta amenaza se ve incrementada por la falta o desactualización de software antivirus en los equipos usados por los usuarios. Mala configuración de dispositivos hardware y/o software. Se utilizan configuraciones o claves de usuario por defecto, no se bloquean puertos o usuarios inutilizados. Estos datos son conocidos por todos y aprovechados por usuarios malintencionados. Sustracción, modificación y eliminación de información no autorizados por ataques externos. Esta amenaza se incrementa por múltiples causas como cuentas de usuarios y contraseñas débiles, sistemas mal configurados, falta de herramientas para detección de intrusos, ausencia de controles de acceso físico a las instalaciones de la empresa, virus y software malicioso, los cuales pueden causar la indisponibilidad del sistema. Desastres naturales, eventos como incendios, terremotos e inundaciones
pueden afectar las instalaciones y dejar inoperante todo el sistema. La
empresa debe poseer los medios necesarios para garantizar la seguridad en
22
los lugares donde se encuentren los sistemas informáticos y las medidas
necesarias para la rápida recuperación de sus sistemas ante este tipo de
eventualidades.
Solo se considera una amenaza si existe una vulnerabilidad que pueda ser
explotada por ésta, es decir, si hay una condición de debilidad que crea una
oportunidad para la explotación por parte de una o más amenazas. Si no hay
vulnerabilidades, no hay amenazas.
Las vulnerabilidades técnicas son las más fáciles de identificar. Los
creadores y proveedores de software y hardware suelen publicar boletines
de errores y vulnerabilidades, junto con parches que solucionan los errores
reportados en sus productos.
Las vulnerabilidades podrían surgir por deficiencias en la gestión de la
seguridad, por ejemplo, el personal de la organización podría ser insuficiente
para cubrir todas las responsabilidades de seguridad o podrían carecer de
una capacitación adecuada.
Otras vulnerabilidades podrían estar relacionadas con las operaciones de los
sistemas, por ejemplo, viejos discos con datos se disponen en la basura que
es accesible al público, sería fácil para cualquier persona recuperar datos
descartados.
Una vulnerabilidad puede ser eliminada o mitigada usando controles, que se
pueden definir como cualquier dispositivo o acción con la capacidad de
reducir la vulnerabilidad.
Son las medidas de protección que reducen el nivel de vulnerabilidad. Un
control vale la pena sólo si su costo puede ser justificado por la reducción del
nivel de riesgo.
No todos los costos pueden ser fáciles de identificar, los costos de hardware
y software son fáciles de estimar, pero otros como formación de personal,
tiempo, recursos humanos adicionales, y la implementación política son
difíciles de cuantificar.
1.7.4 Gestión de riesgos. Los riesgos implican la probabilidad de pérdida total o parcial de los sistemas de información debidas a fallas del hardware o software, errores humanos,
23
fraudes internos y externos, desastres naturales, etc. Igualmente involucran riesgos legales y riesgos en la credibilidad y confianza en la organización por fallas en la seguridad de los sistemas de información. La privacidad, las transacciones y la capacitación del personal que participan en las estrategias de gestión de riesgos de los sistemas de información. El análisis de riesgos brinda a la organización la información que necesita para tomar decisiones relativas a la seguridad de la información. El procedimiento identifica los controles existentes, calcula las vulnerabilidades, y evalúa el efecto de las amenazas en cada área. Se realiza el análisis de las probables consecuencias o riesgos asociados con las vulnerabilidades y proporciona la base para establecer un programa de seguridad acorde a las necesidades y presupuesto de la organización. En la mayoría de los casos, el procedimiento de análisis de riesgos intenta alcanzar un equilibrio económico entre el impacto de los riesgos y el costo de las soluciones de seguridad destinados para su gestión. En resumen, un análisis de riesgos de seguridad define el entorno actual y recomienda acciones correctivas si el riesgo residual es inaceptable. El proceso de análisis de riesgos debe ser llevado a cabo con suficiente regularidad, para garantizar que el enfoque de cada gestión al riesgo es una respuesta realista a los riesgos actuales. La administración debe decidir si acepta el riesgo residual o aplica las medidas recomendadas. Para la gestión de los riesgos la empresa debe hacer una evaluación de riesgos y desarrollar un plan de continuidad de negocio que pueda ayudarla a recuperarse ante un incidente, existen varias metodologías de análisis de riesgos desarrolladas por varias organizaciones que facilitan esta tarea, entre ellas tenemos 3:
1. Mehari: Es un método para el análisis y gestión de riesgos desarrollado por CLUSIF (Club de la Securit 'e de l'Información' Français), Francia.
2. Magerit: Es una metodología de análisis y gestión de riesgos de los sistemas de información desarrollados por CSAE de España.
3. NIST800-30: Es una guía de gestión de riesgos para los sistemas de información recomendadas por el Instituto Nacional de Estándar y Tecnología (NIST) de Estados Unidos.
4. Guía de Gestión de la Seguridad de Microsoft: Es la guía de la gestión de riesgos de seguridad desarrollado por Microsoft.
Para una gestión efectiva de riesgos se deben cumplir las siguientes fases:
24
Fases del análisis de riesgos. En general sin importar la metodología, todas cumplen con 3 fases básicas
• Identificación de activos: Conjunto de todos los elementos que sostienen las actividades de la organización y que requieran ser protegidos debido a su importancia. Es necesario identificar la información que se requiere proteger, su valor, y los elementos del sistema, llámese hardware, software, redes, procesos y personas que soportan el almacenamiento, procesamiento y transmisión de información, en otras palabras, todo el entorno de tecnologías de la información debe caracterizarse en términos de bienes, equipos, flujo de información, y personal.
• Evaluación de amenazas y vulnerabilidades: Proceso de identificación de las causas de la amenaza, los activos afectados y el cálculo de la probabilidad de que ocurra, detección de las vulnerabilidades o debilidades de los activos valorados. En esta fase la información detallada sobre el activo se utiliza para determinar la importancia de las vulnerabilidades. Esto incluye cómo es utilizado el activo, la sensibilidad de los datos, la criticidad de la misión, disponibilidad, etc. Por último, el impacto negativo o pérdida esperada para el activo, que se estima mediante el examen de varias combinaciones de amenazas y vulnerabilidades.
• Tratamiento del riesgo: Se analizan los costos para garantizar la seguridad versus costos de exposición a las amenazas, lo que se busca es tener un equilibrio coste beneficios, establecer controles que mitiguen el riesgo pero que a su vez sean viables y acordes a las necesidades de la empresa. La base de la selección de las medidas o controles de protección rentables es la suposición de que el costo de controlar cualquier riesgo no debe exceder la máxima pérdida asociada al riesgo. El objetivo final es llevar el riesgo a un nivel aceptable para la organización. El nivel de riesgo que queda después de la consideración de los controles,
los niveles de vulnerabilidad, y las amenazas relacionadas entre sí, se
conoce como riesgo residual. Existen muchas formas para determinar el
riesgo residual. Del mismo modo, la métrica para expresar el riesgo residual
puede variar de bueno/malo o alta/baja, valores numéricos, etc. Una vez se
ha determinado el riesgo residual el siguiente paso es identificar la manera
más eficaz y menos costosa de reducir el riesgo a un nivel aceptable. Pero,
al final, cualquier análisis de riesgos de seguridad debe indicar el nivel de
riesgo actual, las probables consecuencias, y qué hacer al respecto si el
riesgo residual es demasiado alto.
25
El proceso de reducción de ese riesgo es invertir estratégicamente los
recursos limitados para cambiar riesgos inaceptables en otros más
aceptables. La mitigación del riesgo puede ser una combinación de cambios
técnicos y no técnicos. Los primeros implican equipos de seguridad, como,
por ejemplo, controles de acceso, criptografía, cortafuegos, sistemas de
detección de intrusos, seguridad física, software antivirus, registros de
auditoría, copias de seguridad, etc.
Y la gestión de dichos equipos, cambios no técnicos, podrían incluir cambios
de política, capacitación y toma de conciencia de los usuarios. Teniendo en
cuenta el resultado del proceso de evaluación de riesgos, los riesgos pueden
ser aceptados o mitigados. Para mitigar un riesgo se cuenta con 3 opciones:
• Eliminar la causa del riesgo, eliminando la vulnerabilidad o la posibilidad de
la amenaza. Por ejemplo, las vulnerabilidades de software pueden
remediarse mediante la aplicación de los parches de actualización. Los
controles preventivos tratan de eliminar las vulnerabilidades y así evitar
ataques con éxito.
• Limitación del riesgo reduciéndolo a un nivel aceptable, por ejemplo,
mediante la implementación de controles para reducir el impacto o la
frecuencia esperada. Un ejemplo puede ser el endurecimiento en los
servidores de seguridad y controles de acceso para que sea más difícil para
los atacantes externos acceder a la red privada de la organización.
• Transferencia del riesgo, cuando asignamos el riesgo a otra parte o tercero.
El método más común es adquirir seguros, que permite a una organización
convertir el riesgo de pérdida potencialmente catastrófica a una pérdida fija
de mucho menos valor.
1.7.5 Metodologías para la gestión del riesgo. Entre las más reconocidas tenemos.
• ISO 27005: Forma parte de la familia de Normas ISO/IEC 27000, ofrece recomendaciones, métodos y técnicas para la gestión de riesgos con referencia a la seguridad informática, sirve de soporte para el diseño de un SGSI bajo la norma 27001 de la misma familia. La norma ISO 27005 define el riesgo como una potencial amenaza que explotará las vulnerabilidades de un activo o grupo de activos y por lo tanto causará daño a la organización. Bajo esta norma el proceso de gestión de riesgos incluye muchos pasos superpuestos y no muy bien diferenciados:
26
➢ Contexto
➢ Evaluación de riesgos
➢ Tratamiento del riesgo
➢ Aceptación de riesgos
➢ La comunicación de riesgos
➢ Monitoreo y revisión de riesgos
Lo que no aparece en esta norma es la medición del riesgo. La alternativa es
la estimación cuantitativa. La ISO 27005 indica que esto debe basarse en
datos de incidentes históricos, esto dificultad el trabajar con la norma si no
se tienen estos datos, además muchos expertos aseguran que la gestión de
nuevos riesgos y debilidades debería ser el objetivo de la gestión de riesgos.
• MAGERIT: Es una metodología desarrollada por el Ministerio de
Administraciones Públicas de España, dirigido especialmente para la
administración pública, debido su carácter abierto también se utiliza fuera de
la administración pública. En ésta encontramos fases para la estimación e
impacto de los riesgos que pueden afectar a los sistemas de información,
también la estimación de los tiempos y recursos que el tratamiento de los
riesgos conllevará. Las fases finales involucran la gestión de riesgos en sí,
se seleccionan soluciones a los riesgos detectados y mecanismos o
salvaguardas que implementen dichas soluciones.
La metodología busca alcanzar los siguientes objetivos:
• Hacer que los responsables de los sistemas de información sean
conscientes de la existencia de riesgos y de la necesidad de tratarlos a
tiempo.
• Ofrecer un método sistemático para el análisis de estos riesgos.
• Ayudar en la descripción y la planificación de las medidas adecuadas para
mantener los riesgos bajo control.
• Preparar a las organizaciones en los procesos de evaluación, auditoría,
certificación o acreditación.
MAGERIT está estructurado en tres libros:
• Libro I: Metodología. Describe los pasos y tareas básicas para llevar a cabo
➢ un proyecto de análisis y gestión de riesgos, la descripción del
proyecto, la
➢ aplicación para el desarrollo de sistemas de información, así como los
➢ fundamentos teóricos.
27
• Libro II: Catálogo. Proporciona elementos estándares y criterios para los
➢ sistemas de información y modelos de riesgo: las clases de activos,
las dimensiones de valoración, criterios de valoración, amenazas
típicas, y las
➢ garantías que deben considerarse, así mismo describe los informes
que
➢ contienen los resultados y conclusiones.
• Libro III: Técnicas. Describe las técnicas utilizadas para realizar proyectos
de análisis y gestión de riesgo tales como: tablas y análisis algorítmico,
árboles de amenazas, análisis de costo-beneficio, diagramas de flujo de
datos, diagramas de procesos, técnicas gráficas, planificación de proyectos,
sesiones de trabajo y análisis Delphi.
La aplicación de la metodología es compatible con el software PILAR/EAR,
que explota y aumenta su efectividad. PILAR es de uso exclusivo para la
Administración Pública Española. EAR es un producto comercial.
• OCTAVE:
Es un marco de seguridad desarrollado en 2001 por la Universidad Carnegie
Mellon para el Departamento de Defensa de los Estados Unidos para
determinar el nivel de riesgo y la planificación de las defensas contra
ataques cibernéticos.
Define una metodología para ayudar a las organizaciones a minimizar la
exposición a posibles amenazas, determinar las posibles consecuencias de
un ataque y hacer frente a los ataques que se presenten. Entre sus objetivos
principales están que la organización pueda gestionar sus evaluaciones de
riesgos, tomar decisiones basándose en estos, salvaguardar los activos de
información y comunicar de forma efectiva la información clave de seguridad.
La metodología define tres fases:
➢ Fase 1: Construir de amenazas de activos basada en perfiles.
➢ Fase 2: Identificar vulnerabilidades en la infraestructura.
➢ Fase 3: Desarrollo de estrategias y planes de seguridad.
Ha pasado por varias fases evolutivas, existen dos versiones: OCTAVE-S,
una metodología simplificada para organizaciones más pequeñas con
estructuras jerárquicas planas, y OCTAVE Allegro, versión más completa
para grandes organizaciones o con estructuras multinivel.
28
Se le considera una metodología compleja, y una de sus desventajas es el
hecho de que no produce un análisis cuantitativo detallado de la exposición
de la seguridad.
Un SGSI proporciona seguridad permanente ya que es un proceso, y no
acciones puntuales, gracias a esto las organizaciones deben definir una
estrategia de seguridad basada en el negocio y no sólo en la tecnología, el
enfoque debe ser integral. La confidencialidad, integridad y disponibilidad de
la información crítica pueden llegar a ser muy importantes para mantener los
niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
Entre los beneficios de implantación de un SGSI se pueden enumerar:
▪ Aspecto Humano: Concientización y definición de responsabilidades
del personal ante la seguridad en la organización.
▪ Aspecto Financiero: Menores costos vinculados a incidentes de
seguridad.
▪ Aspecto Organizacional: Demuestra que la organización está
preparada para afrontar incidentes de seguridad.
▪ Aspecto Funcional: Gestión de los riesgos.
▪ Aspecto Legal: Cumplimiento con leyes y regulaciones.
▪ Aspecto Comercial: Refuerza la credibilidad y confianza de socios y
clientes.
Estos beneficios deben sobrepasar los costos asociados al diseño e
implementación del SGSI, que muchas veces es considerado como un
obstáculo por las empresas para adoptar la norma. Uno de los interrogantes
más frecuentes es el costo que tendrá el lograr asegurar los activos de
información, para las directivas de la empresa surgen inquietudes con
respecto a la efectividad y retorno de la inversión, es tarea de los
encargados de la parte técnica hacer visibles los beneficios que trae el
mantener está función.
La familia de normas ISO/IEC 27000 especifica los requisitos para diseñar,
implementar, controlar, revisar y mantener un SGSI47, que sigue un enfoque
basado en procesos, lo que permite a la organización la flexibilidad de
operar los procesos que son apropiadas a la misma. Estos pueden incluir los
requisitos de seguridad de la información, establecer políticas apropiadas, la
gestión de salvaguardas adecuadas, monitoreo y revisión del rendimiento y
la eficacia del propio SGSI, y asegurar la mejora continua del sistema.
29
Estándares como la ISO 27001 y la ISO 9001 especifican intencionalmente
sólo los requisitos de un sistema de gestión. La ISO/IEC 27001 especifica
los requisitos necesarios para implantar un SGSI, su gestión,
responsabilidad de los involucrados, conforme a las normas 2700048. Sus
puntos más relevantes son la gestión de riesgos y la mejora continua,
basando su diseño y ejecución en el modelo PHVA (planear, hacer, verificar
y actuar) también conocido como ciclo de
Deming.
La ISO 27001 no es una norma técnica que describe el SGSI con detalles
técnicos, es muy general, está diseñada para ser aplicable a organizaciones
dispares, no se centra solo en la tecnología de información, sino también en
otros activos comerciales importantes, recursos y procesos de la
organización. La norma posee un enfoque integrado de la seguridad de la
información que requiere la evaluación de riesgos en todos los activos de la
organización, incluyendo hardware, software, documentación, personas,
proveedores, socios, etc., y la selección de los controles aplicables para
disminuir esos riesgos.
La ISO 27001 proporciona la metodología para la implementación de la
gestión de seguridad de la información en una organización, siguiendo una
serie de fases que corresponden a la implementación del SGSI.
La ilustración 1 muestra los procesos a realizar en cada fase necesaria para
la implementación del SGSI según la ISO 27001.
30
Ilustración 1 Procesos
La norma garantiza que se haga una evaluación del riesgo y que ésta se
utilice para seleccionar los controles correcto s. El anexo A de la norma ISO
27001:2013, es básicamente un catálogo de controles de seguridad, 114 en
total, no todos están relacionados con las tecnologías, lo que reafirma que
su adopción no debe ser vista como un proyecto solo tecnológico, si no
como un proyecto de toda la empresa, donde las personas relevantes de
todos las unidades de negocio deben participar: directivos, personal de
tecnologías, expertos legales, gestores de recursos humanos, personal de
seguridad física, la parte comercial de la empresa, etc.
A continuación, se listan los controles del anexo A en cada una de las 14
secciones que éste posee.
A.5 Políticas de seguridad, relacionados con la definición y revisión de las
políticas.
31
A.6 Organización de la seguridad de la información, los aplicados a
definición de responsabilidades, contacto con autoridades, teletrabajo y
dispositivos móviles.
A.7 Seguridad en los recursos humanos, definen los requisitos para la
contratación de nuevos empleados, su permanencia y luego de su retiro.
A.8 Gestión de activos, inventario de activos, uso aceptable de los mismos,
clasificación de la información y manejo de medios extraíbles.
A.9 Control de acceso, relacionados con el acceso y responsabilidades de
los usuarios, control de acceso a aplicaciones y sistemas.
A.10 Criptografía, cifrado de información y administración de claves.
A.11 Seguridad física y del entorno, definición de áreas seguras,
salvaguardas contra amenazas, seguridad de equipos, políticas de pantalla
limpia, entre otros.
A.12 Seguridad en las operaciones, controles relacionados con la gestión de
la infraestructura tecnológica, copias de seguridad, supervisión, etc.
A.13 Seguridad en las comunicaciones, relacionados con seguridad de
redes, transferencia de información, mensajería, etc.
A.14 Adquisición, desarrollo y mantenimiento de sistemas, definen requisitos
de seguridad en los procesos de desarrollo, mantenimiento y soporte de
sistemas.
A.15 Relaciones con proveedores, cómo definir y supervisar los acuerdos
con proveedores.
A.16 Gestión de incidentes de seguridad de la información, controles para
informar sobre eventos, asignación de responsabilidades, recopilación de
evidencias y procedimientos de respuesta.
A.17 Aspectos de seguridad de la información para la gestión de la
continuidad del negocio, controles garanticen la continuidad del negocio y la
recuperación ante incidentes.
Sistema de gestión de la seguridad de la información.
32
A.18 Cumplimiento, controles para el cumplimiento de requisitos legales,
contractuales y normatividad aplicable.
No todos los controles son obligatorios, cada empresa es libre de
seleccionar los que más se ajusten a sus objetivos, igualmente el anexo A
no da detalles sobre la implementación de los controles seleccionados por la
organización.
Una declaración de aplicabilidad documenta los controles aplicables y es un
documento flexible que, dependiendo de las vulnerabilidades y amenazas
identificadas, va a cambiar para afrontar los retos presentados por nuevos
riesgos.
Junto a la norma ISO 27001 existen otras de la misma familia que ayudan a
la implementación del SGSI.
A continuación, se enumeran otras normas de la familia ISO/IEC 27000:
✓ ISO/IEC 27002: Definición de buenas prácticas para la gestión de la
seguridad. Proporciona recomendaciones sobre qué medidas se
deben tomar para asegurar los sistemas de información.
✓ ISO/IEC 27003: Guía de implementación de SGSI e información
sobre el uso del modelo PHVA.
✓ ISO/IEC 27004: Establece las métricas aplicables para determinar la
eficacia de un SGSI.
✓ ISO/IEC 27005: Brinda recomendaciones, métodos y técnicas para
evaluación de riesgos de la seguridad de la información.
✓ ISO/IEC 27007: Guía sobre la auditoria de los SGSI conforme a las
normas 27000.
1.7.6 Ciclo de Deming
También conocido como el modelo PHVA (Planear, Hacer, Verificar, Actuar)
o ciclo PDCA por sus siglas en inglés, que traduce Plan, Do, Check y Act. S
e refiere a un método de gestión de cuatro fases que predica la mejora
continua. Utilizado junto a la norma ISO 27001 consiste en la revaluación
constante de los controles y políticas adoptados para garantizar la seguridad
de los sistemas informáticos y la información.
El concepto detrás de la mejora continua en la norma ISO 27001 es
asegurar la sostenibilidad de la seguridad de información a través del
tiempo, realizando actividades estratégicas como auditorías y revisiones
periódicas. El ciclo es un primer bucle de actividades que requieren una
mejora dinámica a través del tiempo, de igual forma la seguridad informática
es dinámica, la organización debe mantener el ritmo de sus cambios. La
siguiente figura presenta las fases que se siguen en el ciclo PHVA.
33
Ilustración 2 Ciclo PHVA
Planear: Es la fase en la cual se define el problema a resolver, se recolectan
datos y se reconocen las causas del problema. Este paso es donde
comienza el ciclo de vida de la ISO 27001. El foco principal en esta etapa es
establecer el marco ISO
27001 para la organización, en esta fase se realizan las siguientes tareas:
▪ Establecer el compromiso de los directivos de la empresa para llevar
a cabo el proyecto.
▪ Identificar y evaluar los sistemas informáticos que posee la empresa.
▪ Planear los objetivos, actividades, procesos y procedimientos relativos
a la gestión del riesgo.
▪ Para la norma ISO 27001 esta fase termina con la declaración de
aplicabilidad.
Hacer: En esta fase se desarrolla e implementa una solución, y se
seleccionan medidas para evaluar su eficacia. En ésta se da la transición
entre el diseño y las actividades del mundo real.
▪ Implementar y gestionar el SGSI de acuerdo con los objetivos
proyectados y trazados en la planeación.
▪ Definición de acciones preventivas y correctivas.
Verificar: Fase que se enfoca en evaluar los resultados de la solución
adoptada.
34
Mantener el rendimiento óptimo es imprescindible para asegurar el éxito de
cualquier proceso.
La implementación y el funcionamiento de la norma ISO 27001 deben
evaluarse para detectar debilidades que puedan corregirse, hacer más
eficiente las actividades, capturar nuevas vulnerabilidades y amenazas. La
evaluación de desempeño por lo general se lleva a cabo en forma de
auditorías, las cuales tienen como objetivo principal asegurar que el SGSI se
adhiera a la norma ISO 27001 de forma correcta, si existen diferencias entre
las prácticas actuales en comparación con el estándar, deben realizarse las
correcciones respectivas.
▪ Realizar mediciones y revisiones constantes de las prestaciones de
los procesos del SGSI con el objeto de analizar los resultados que se
van dando.
▪ Auditar el SGSI.
Actuar: Documentar los resultados, informar sobre cambios en el proceso, y
hacer recomendaciones para los problemas que se abordarán en el próximo
ciclo. Este paso es la mejora del ciclo, los resultados de la auditoría son las
referencias fundamentales para realizar las actividades de mejora.
▪ Por medio de acciones preventivas y correctivas apoyadas en
auditorías y revisiones alcanzar la mejora continua del SGSI, a través
de los resultados obtenidos, se sugieren y proponen acciones para
dar inicio nuevamente a las fases PHVA.
Desarrollos e investigaciones útiles para el aporte al proyecto:
-La Fundación Universitaria Konrad Lorenz entre su estudio de investigación por
parte de los estudiantes Andrés Fabián Díaz y Gloria Isabel Collazos, presentan
un proyecto titulado:
Implementación de un sistema de gestión de seguridad de la información
(sgsi) en la comunidad nuestra señora de gracia, alineado
tecnológicamente con la norma iso 27001.
Se trata de una investigación por parte de los estudiantes de ingeniería en
sistemas con el fin de implementar un SGSI en la Comunidad Nuestra Señora
de Gracia. Este sistema se basa en las directrices indicadas en la norma
35
ISO/IEC 27001, que permitió evidenciar un nivel de brechas significativo en la
mencionada Comunidad, en el cual se establecieron políticas y controles de
mejoramiento de los procesos de seguridad de la información y se definieron las
declaraciones de aplicabilidad que fortalecieron todo el análisis de riesgos.
-La Universidad del Atlántico mediante los proyectos de gestión de seguridad
presentó su estudio de SGSI:
Diseño y desarrollo de actividades para la implementación del sistema de
gestión de seguridad de la información en la universidad del atlántico⁵.
Un estudio que garantiza la seguridad de la información en la Gestión
Tecnológica y Comunicaciones en las sedes de la Universidad del Atlántico,
conforme a los requisitos de la Norma ISO/IEC 27001, tomando en cuenta los
criterios de confidencialidad, integridad y disponibilidad.
Servicios Funerarios:
Un negocio que brinda los servicios de velatorio y entierro a una familia y
de cremación para los fallecidos y servicios funerales y de velación para sus
familiares. Estos servicios pueden incluir la preparación del velatorio y el funeral,
y facilitar una capilla ardiente para el funeral, de acuerdo con los deseos de los
familiares y del fallecido. La funeraria usualmente se encarga del papeleo
necesario, permisos, y otros detalles, tales como hacer arreglos con
el cementerio, y preparar el obituario para los medios de comunicación,
adicional de una velación, el servicio funeral en la iglesia a la que asistía el
fallecido (o en la capilla mortuoria), y un servicio de inhumación.
1.7.3. MARCO CONCEPTUAL
Estándares y políticas de seguridad:
ISO 27000 contiene términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos técnicos y
de gestión¹.
SGSI: Es un “Sistema de Gestión de Seguridad de la Información”, en inglés
ISMS “Information Security Management System”. El SGSI se basa en un
conjunto de políticas orientadas a conseguir y a mantener la Disponibilidad,
Integridad, Confidencialidad, Autenticidad y Trazabilidad de la Información. En
un servicio informático que va a implantar un SGSI es importante diferenciar 2
36
conceptos de seguridad: - Seguridad Informática: Orientada en la protección de
la Infraestructura TIC que soporta al negocio. - Seguridad de la Información:
Orientada en la protección de los activos de la información fundamentales para
el negocio. El estándar de seguridad de la información ISO/IEC 27001, detalla
los requisitos para diseñar, implantar, mantener y mejorar un SGSI, basándose
en el ciclo de Deming (Planificar-Hacer-Revisar-Actuar) ².
Planificación Estratégica: Es una herramienta de gestión que permite apoyar
la toma de decisiones de las organizaciones en torno al que hacer actual y al
camino que deben recorrer en el futuro para adecuarse a los cambios y a las
demandas que les impone el entorno y lograr la mayor eficiencia, eficacia,
calidad en los bienes y servicios que se proveen. Debe ser entendida como el
dinamismo sistematizado para encauzar acciones y decisiones que pauten la
forma de alcanzar metas propuestas a partir de una situación dada³.
Plan Estratégico Corporativo: Presenta el direccionamiento estratégico de la
organización, que contiene las directrices, objetivos, estrategias, metas e
indicadores y los responsables de ejecutarlas. Su alcance engloba a la entidad
en su conjunto para un período de tiempo determinado.
Plan Estratégico de Sistemas: El plan estratégico de sistemas de los
hospitales tiene como finalidad asegurar la adecuación entre los objetivos
estratégicos de la organización para soportar dichos objetivos grandes. El plan
estratégico de sistemas en los hospitales actualmente sirve de herramienta para
acompañar a la alta dirección en la programación de inversiones en Tics y que
las acciones que se realicen en dicha área estén acordes a la estratégica
general de la entidad. Sin embargo, cuando ambos planes fueron diseñados no
se consideraron todos los escenarios de cada uno, por lo que hoy en día no se
tiene una articulación entre ambos planes, generándose en muchos casos la
doble ejecución de tareas que llegan a un mismo punto o en algunos casos no
se llega al objetivo deseado.
Herramientas de desarrollo de un sistema de información y metodología:
Php: Es uno de los lenguajes de lado del servidor más extendidos en la web.
Nacido en 1994, se trata de un lenguaje de creación relativamente creciente que
ha tenido una gran aceptación en la comunidad de web masters, debido sobre
todo a la potencia y simplicidad que lo caracterizan. Este lenguaje nos permite
embeber sus pequeños fragmentos de código dentro de la página HTML⁹.
PHVA: Es un ciclo dinámico que puede ser empleado dentro de los procesos de
una Organización. Es una herramienta de simple aplicación y, cuando se utiliza
adecuadamente, puede ayudar mucho en la realización de las actividades de
una manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo
Proporciona una guía básica para la gestión de las actividades y los procesos,
37
la estructura básica de un sistema, y es aplicable a cualquier organización. A
través del ciclo PHVA la organización planea, estableciendo objetivos,
definiendo los métodos para alcanzar los objetivos y definiendo los indicadores
para verificar que, en efecto, éstos fueron logrados. Luego, la organización
implementa y realiza todas sus actividades según los procedimientos,
monitoreando y controlando la calidad y el desempeño de los procesos clave¹°.
Base de datos relacional: Una base de datos es una colección de datos
interrelacionados en conjunto sin redundancias innecesarias; su finalidad es
servir a una aplicación o más, de la mejor manera posible; los datos se
almacenan de modo que resulten independientes de los programas que los
usan: se emplean métodos bien determinados para incluir nuevos datos y para
modificar o extraer los datos almacenados.
MySQL: Es un sistema de gestión de bases de datos relacional, licenciado bajo
la GPL de la GNU. Su diseño multihilo le permite soportar una gran carga de
forma muy eficiente. Este gestor de bases de datos es, probablemente, el gestor
más usado en el mundo del software libre, debido a su gran rapidez y facilidad
de uso. Esta gran aceptación es debida, en parte, a que existen infinidad de
librerías y otras herramientas que permiten su uso a través de gran cantidad de
lenguajes de programación, además de su fácil instalación y configuración¹¹.
1.7.4. MARCO CONTEXTUAL
Descripción de la empresa
La empresa Serexcel Ltda. brindamos a nuestros Afiliados y sus familias la tranquilidad de acceder a un servicio funerario digno, de excelente calidad y a un precio justo. Nuestra labor es promover la cultura de la previsión. Todo esto nos ubica como líderes en la prestación de servicios exequiales a nivel nacional.
Historia
Funeraria Serexcel Ltda. nació en la ciudad de Manizales hace 13 años gracias a la asociación de empresas cooperativas de la región, quienes vieron la necesidad de brindarle al departamento de Caldas la posibilidad de contar con una empresa de prestación de servicios funerarios con sentido humano.
Misión
Nuestra organización se soporta en un alto sentido de responsabilidad social para inculcar el espíritu de previsión como elemento de tranquilidad para el futuro, ofrecer soluciones exequiales en el manejo de las situaciones angustiantes de dolor ante la pérdida de un ser querido y brindar orientación profesional y humana a las familias en sus procesos de duelo.
38
Visión Consolidar nuestra posición de liderazgo a nivel nacional en el sector exequial basados en lograr la preferencia de las familias, el crecimiento en el número de personas vinculadas, el volumen de servicios y la infraestructura, la excelencia en los colaboradores, altos estándares de calidad e innovación de productos y servicios para crear valor de forma sostenible
1.8 METODOLOGÍA
Para el desarrollo de la propuesta del sistema de gestión de la seguridad de la
información se utilizará la metodología PHVA.
El ciclo PHVA constituye una de las principales herramientas de mejoramiento
continuo en las organizaciones, utilizada ampliamente por los sistemas de
gestión de la calidad (SGC) con el propósito de permitirle a las empresas una
mejora integral de la competitividad, de los productos ofrecidos, mejorado
permanentemente la calidad, también le facilita tener una mayor participación en
el mercado, una optimización en los costos y por supuesto una mejor
rentabilidad. Por su dinamismo puede ser utilizado en todos los procesos de la
organización y por su simple aplicación, que, si se hace de una forma
adecuada, aporta en la realización de actividades de forma organizada y eficaz⁷
.
A través de cada uno de los pasos del ciclo PHVA las empresas pueden:
Planificar: En esta etapa se definen los objetivos y cómo lograrlos, esto de
acuerdo con políticas organizacionales y necesidades de los clientes. Puede ser
de gran utilidad realizar grupos de trabajo, escuchar opiniones de los
trabajadores y utilizar herramientas de planificación como encuestas.
Para la implementación en la empresa SEREXCEL se Planea la generación de
información confiable, integra y oportuna para los clientes tanto internos como
externos, integrando la información de los diferentes procesos para la efectiva
toma de decisiones de los servicios funerarios.
Hacer: Es ejecutar lo planeado, en esta etapa es recomendable hacer pruebas
pilotos antes de implantar los procesos definidos. En su desarrollo se puede
evidenciar los problemas que se tienen en la implementación, se identifican las
oportunidades de mejora y su implementación.
Verificar: En esta etapa comprobamos que se hayan ejecutado los objetivos
previstos mediante el seguimiento y medición de los procesos, confirmando que
estos estén acordes con las políticas y a toda la planeación inicial.
39
Actuar: Mediante este paso se realizan las acciones para el mejoramiento del
desempeño de los procesos, se corrigen las desviaciones, se estandarizan los
cambios, se realiza la formación y capacitación requerida y se define como
monitorearlo.
Para la Implementación en la empresa SEREXCEL se planea el aplicativo en
los hospitales distritales para la medición de seguridad de la información en sus
procesos internos y la toma de decisiones frente a los hallazgos encontrados.
1.9 FACTIBILIDAD
1.7.5. FACTIBILIDAD TÉCNICA
Para la ejecución de este proyecto se necesita como mínimo la siguiente
descripción del recurso:
Recurso Descripción Valor Unitario Cantidad Total
Computadores
Equipos portátiles para el
desarrollo y las pruebas del
sistema.
Características de Hardware:
Procesador Intel Core 2 Duo -
Memoria RAM de 204n8 MB -
Disco Duro de 160 GB -
Computador portátil Compaq.
Características de Software:
Licencia PHP 5.0 - Licencia
MYSQL 5.0 - Licencia Windows 7
- Licencia Office 2007.
$ 1.4300.000 2 $
2.860.000
Total, Recursos Técnicos $
2.860.000
Tabla 1. Factibilidad Técnica Fuente: Autores
1.7.6. FACTIBILIDAD OPERATIVA
Recursos Humanos (se presenta las asesorías que se tendrán y los gastos de los desarrolladores)
40
Tipo Descripción Valor-
Hora
Cantida
d
Total
Tutor 1 Asesorías para la realización del
proyecto, referente a la
metodología.
$ 40.000 150
horas
$5.760.000
Desarrollado
res
Dos programadores que realicen
el diseño e implementación de la
solución.
$ 20.000 480
horas
$9.600.000
Total, Recursos Humanos $15.600.00
0
Tabla 2. Factibilidad Operativa Fuente: Autores
1.7.7. FACTIBILIDAD ECONÓMICA
Se determina que la realización de este proyecto es factible en todos los
aspectos puesto que el costo final es asequible y permite que se puedan
adquirir los recursos necesarios para llevar a cabo cada una de las tareas
que son indispensables para la creación de la propuesta del Sistema de
Gestión de la Seguridad de la Información.
En la tabla que se presentan a continuación se describe la factibilidad
económica Total del proyecto reuniendo los criterios de las anteriores tablas
presentadas.
Recurso Valor
Total Recursos Humanos $15.600.000
Total Recursos Técnicos $ 2.860.000
Total Otros recursos $ 400.000
Costos imprevistos (10%) $ 1.860.000
TOTAL COSTO $20.720.000
Tabla 3. Factibilidad Económica Fuente: Autores
1.8. SOLUCIÓN TECNOLÓGICA
Diseñar un documento basado directamente en los riesgos para el negocio, el
manejo de la seguridad de la información evitando las inversiones mal dirigidas,
contrarrestando las amenazas presentes en el entorno y dentro de la misma,
implementación de controles proporcionado y de un coste menos elevado.
41
A continuación, se listan los diferentes entregables del presente trabajo de
grado:
• La política de Gestión de Seguridad de la información.
• Definición del alcance de la Gestión de Seguridad de la Información.
• Análisis de Riegos.
• Gestión de Riegos.
• Selección de controles a implementar.
• Declaración de Aplicabilidad.
Para llevar a cabo esta solución se hará uso del ciclo PHVA (Planear - Hacer -
Verificar - Actuar) como metodología, la cual permite la realización de cada una
de las tareas teniendo en cuenta no solo la calidad sino el mejoramiento
continuo.
1.9. CRONOGRAMA
Ilustración 3. Cronograma
Fuente: Autores
42
2. ANÁLISIS DE LA SITUACIÓN ACTUAL
La organización dedicada a prestar servicios funerarios Serexcel cuenta con
diferentes áreas en donde cada persona cuenta con un cargo o rol definido
teniendo claridad de las actividades a realizar
Esto permite que personas que laboran en estas entidades, proveedores o
simplemente terceros puedan tener acceso a información delicada generando un
alto grado de riesgo hacia la empresa, lo cual implica que se tengan grandes
pérdidas, mala reputación y hasta el quiebre total ,con el fin de evaluar el estado de
la seguridad de la infraestructura tecnológica y con ello poder identificar su nivel
de exposición ante posibles ataques externos, para lo cual, se realizaron pruebas
de vulnerabilidades de tipo no intrusivas a una serie de servicios de TI, diagnóstico
físico y de infraestructura, gestión de vulnerabilidades, revisión de las políticas de
seguridad.
Otro de los inconvenientes que se encontraron dentro de la organización es la falta
de restricción para sacar los activo ya que no se maneja ningún tipo de autorización
previa; la libre conexión remota a equipos de la entidad; la libertad de navegación
en cualquier página web y facilidad de descarga de software ya que no se cuenta
con ningún tipo de firewall ni proxy que controle el ingreso a algunas páginas web;
también existe disponibilidad para el uso de los puertos usbs, unidades de cd; por
otro lado se detecta la falta de equipos que destruyan la documentación física que
ya no se requiere en la organización como contratos, hojas de vida, pólizas, la
organización cuenta con cámaras de vigilancia al igual que detectores de humo.
Resultado de estas pruebas realizadas a través de las diferentes encuestas y
diagnósticos de la red, proporcionó un nivel de exposición de la plataforma
tecnológica de la empresa ante ataques informáticos era alto y por ello el poder
generar una implementación con la metodología magerit de una serie de medidas y
controles de seguridad con el objetivo de cerrar las brechas encontradas y la
necesidad de que la entidad cuente con un modelo de seguridad de la información.
Describiendo las siguientes situaciones que causan una alto impacto en la
seguridad de la información, la falta de concienciación, apropiación y conocimiento
en temas de seguridad por parte de todos los funcionarios, no existe una
participación activa de toda la organización en la definición de controles de
seguridad basados en una evaluación de riesgos, los funcionarios no conciben la
diferencia entre seguridad informática y seguridad de la información, no se cuenta
con un sistema de información adecuado para la gestión de riesgos de seguridad, y
no existe una valoración de riesgos de seguridad, la política de seguridad no está
alineada con los objetivos del negocio.
43
2.1. SEGURIDAD DE LA INFORMACIÓN
El estado de la seguridad de la infraestructura tecnológica se encuentra con un
nivel alto de exposición ante ataques informáticos debido a los distintos puntos
vulnerables que tienen sus recursos tecnológicos a causa de la no existencia de un
sistema que apoye la gestión de riesgos de seguridad y la poca concienciación,
apropiación y conocimiento en temas de seguridad por parte de los funcionarios de
la empresa, debido a que en algunos casos no le dan la importancia a la protección
de la información por su intangibilidad, generando la poca efectividad de las
acciones que en materia de seguridad se realicen en la compañía.
Serexcel requiere asegurar sus activos de información con el propósito de proteger
su exactitud y totalidad con el fin de que los mismos solo sean accesibles por
aquellas personas que estén debidamente autorizadas. La empresa no cuenta con
una metodología para la identificación y clasificación de sus activos de información
y para la valoración y tratamiento de riesgos de seguridad de la información, lo que
implica, que no cuenta con una visión global del estado de su seguridad.
2.2. Diagnóstico Situación Problema
A continuación, se describen los diferentes factores que se presentan en la
empresa y que están asociados a cada una de las situaciones que se encontraron
gracias a las entrevistas y encuestas a las áreas y se realiza una comparación
frente al anexo a de la norma iso 27001.
Criterios de seguridad para las preguntas de entrevistas y encuestas en el
área de Sistemas
• Existencia del Manual de Política de Seguridad de la Información.
• Periodos d e actualización del Manual de Política de Seguridad de la Información
• Socialización del Manual de Política de Seguridad de la Información
• Existencia del área o responsable de seguridad informática
• Herramientas de seguridad implementadas
• Existencia de procedimientos e instructivos propios del área
• Periodos de actualización de los procedimientos e instructivos
• Participación y apoyo de las máximas autoridades de la empresa
• Concientización al personal acerca de temas de seguridad de la información
• Perfiles y roles de usuarios
• Clasificación de la información
• Controles y políticas de seguridad implementadas en la empresa
• Mecanismos de autenticación
44
• Gestión de contraseña en los diferentes aplicativos
• Infraestructura tecnológica
• Software Malicioso
• Mantenimientos en equipos tecnológicos
• Inventarios tecnológicos
• Respaldos de información
• Incidentes de seguridad
• Plan de contingencia
Criterios de seguridad para las preguntas de entrevistas y encuestas en
las demás áreas de la empresa
• Conocimiento acerca del tema de Seguridad de la información y seguridad informática.
• Existencia de Procedimientos e instructivos propios del área.
• Periodos de actualización de los procedimientos e instructivos.
• Conocimiento de un Responsable de Seguridad en la empresa.
• Identificación y categorías de los activos de información de cada área
• Incidentes o eventos de seguridad.
• Control de acceso mediante mecanismos como tarjetas de acceso, llaves entre otros.
• Responsables de solicitar accesos a los diferentes aplicativos y módulos de acuerdo con lo que se utilice en cada área.
• Concientización en temas de seguridad de la información
• Importancia de la aplicación de controles de seguridad dentro de la empresa
• Detección de vulnerabilidades de seguridad en los aplicativos
De acuerdo con las respuestas obtenidas en las diferentes entrevistas y encuestas realizadas a personal de Serexcel; así como la utilización de técnicas como la observación, consultas y revisión de documentación, se pudo identificar el estado actual de la empresa, referente a temas de seguridad de la información y seguridad informática, basado en los controles de la norma ISO/IEC 27001.
Políticas de seguridad
Serexcel no posee un manual de políticas de seguridad de la información, pero tienen implementados y documentados algunos controles de seguridad que permiten limitar accesos no autorizados a la información, los cuales no han sido actualizados desde su fecha de elaboración.
Además, la única persona que conoce en su totalidad la existencia de dicha la documentación es la Gerente de Sistemas, pues el resto del personal del área de Sistemas solo se limita a conocer la documentación y controles conforme a las funciones que desempeñan.
Organización de la seguridad de la información
45
Existe el compromiso adecuado de la máxima autoridad con temas relacionados a la tecnología e implementación de controles de seguridad.
La coordinación tanto de la seguridad de la información como de los sistemas de procesamientos de información son realizadas entre el personal de sistemas y el área de sistemas, solo en casos de que la actividad a realizar infiera en costos se informa a los altos directivos sobre lo que se va a implementar.
No existe un Comité de Gestión de Seguridad de la información que se encargue expresamente de la toma de decisiones referentes a implementaciones de controles y herramientas que permitan mejorar la seguridad de la información.
El encargado de la infraestructura de la seguridad de las redes y bases de datos, es además la responsable de la administración de accesos a los diferentes aplicativos que utilizan los funcionarios, por tal razón se la considera como la Responsable de Seguridad Informática, pero no realiza ninguna actividad acorde a la gestión de seguridad de la información, ni ninguna función propia de este cargo, no existen la definición de actividades a cumplir con respecto a seguridad de la información.
Los funcionarios tienen la certeza de que cuando se habla del área Seguridad Informática o Seguridad de la Información se están refiriendo al área de Sistemas, pues se piensa que ambas áreas realizan las mismas actividades, y lo único que cambia es el nombre.
La mayoría de funcionarios tiene la seguridad de que en la empresa existe un área de Seguridad Informática y Seguridad de la Información o al menos existe un Responsable de Seguridad Informática, por otro lado también existen funcionarios que desconocen si existe aquella área en la empresa.
Falta de un proceso formal donde se indique como se debe realizar la autorización de funcionamiento y uso de los nuevos medios de procesamiento de información, de tal forma que se establezcan responsabilidades de autorización, y se pueda evidenciar que el nuevo sistema está acorde a las necesidades de la empresa o área.
El área de Recursos Humanos incluye en el contrato de los funcionarios una cláusula que indica que el trabajador se compromete expresamente a guardar confidencialidad y reserva de la información, pero esta cláusula no tiene la relevancia suficiente pues los funcionarios no recuerdan que exista ese compromiso de confidencialidad de la información que están manejando.
Mantienen un apropiado registro de contactos con autoridades externas en caso de incidentes de seguridad de nivel mayor.
Por no existir una persona o área que se dedique exclusivamente a gestionar los temas de seguridad informática y seguridad de la información no se mantiene contacto con grupos o empresas que les aporten conocimientos, observaciones, entre otros referente a la seguridad de la información.
Todos los controles implementados actualmente no son objeto de monitoreo, mientras nadie reporte que está funcionando mal algún sistema, se asume que
46
todo funciona correctamente. Cuando ocurre un cambio significativo como actualizaciones o implementación de nuevos sistemas de procesamientos de información, el área de Sistemas se encarga de elaborar un manual de uso.
No se realiza ninguna acción que permita la identificación de riesgos en la información a la que tienen acceso proveedores o contratistas, por lo que no saben que controles podrían implementar referente a ese tema.
El área Sistemas es quien se encarga expresamente de la elección y contrato de personal externo (mantenimientos de equipos, entre otros), en el contrato realizado no se incluye un acuerdo de confidencialidad y no divulgación de la información que vaya a ser manejada proveedores o contratistas.
Gestión de Activos
Se cuenta con inventarios de equipos de computación y dispositivos de almacenamiento, lo cuales son actualizados por el área de Sistemas cada vez que se adquiere un nuevo equipo o dispositivo. Además poseen un documento donde se detallan las licencias utilizadas para cada servidor que poseen.
• Ninguna persona del área de Sistema pudo identificar exactamente cuántos sistemas operativos se están usando en la empresa; se conoce que actualmente el uso es de tres sistemas operativos Windows XP, Windows 7 y Windows 8.
• En lo referente a inventarios o documentación de propia de la empresa Serexcel el área de Recursos Humanos indico que no se tiene un organigrama que permita conocer claramente todos los departamentos existentes, los cargos y perfiles que corresponden a cada uno de ellos.
• No existe un documento formal donde se designen los propietarios
de la información y de los activos asociados con los medios de
procesamiento de la información.
• Únicamente el área de Sistemas es quién tiene establecido responsabilidades con respecto a los activos de equipos de cómputos, dispositivos almacenamientos, tóner por ser quién se encarga de la compra de esos suministros para toda la empresa.
• Poseen políticas referentes al uso de correo electrónico institucional, e internet, las cuales tienen restricciones conforme a las actividades que desempeña cada funcionario.
• Se tienen grupos de categorías definidos para el acceso al internet, aquellas políticas se encuentran documentadas, pero no se define en
47
ninguna de ellas, cuál será el uso correcto que deben darle los funcionarios y que se considera un uso incorrecto de aquellos activos.
• No se encuentran definidos criterios para la clasificación de la información y manejo de la información, por lo que las áreas no cuentan con un catálogo de clasificación de la información, el cual les permita determinar qué información es confidencial o de uso interno; los funcionarios no tienen claro a que se le puede considerar información confidencial y/o de uso interno.
Seguridad de los Recursos Humanos
El área de Recursos Humanos no posee documentación donde se defina las funciones y responsabilidades de los empleados, en los contratos solo se incluyen responsabilidades y obligaciones que tienen con la empresa.
El área de Recursos Humanos realiza el proceso de contratación de nuevos funcionarios siguiendo el proceso definido en base a la experiencia de la actual Jefe de área, no se tiene definido un proceso formal.
• En los contratos con empleados, contratistas y terceros solo se incluyen responsabilidades y obligaciones que se deben cumplir en el trabajo a realizar dentro de la empresa y acorde a las políticas de la misma, pero no se estable las responsabilidades y obligaciones que deben tener en referencia a la seguridad de la información.
• Conforme a los contratos firmados por empleados, contratistas y terceros se gestiona las responsabilidades que deben cumplir durante el tiempo de sus labores en la empresa; estas responsabilidades a cumplir están solamente enfocadas a políticas e la empresa y no a políticas de seguridad de la información.
• Desde las máximas autoridades hasta los usuarios finales no poseen conocimiento claro de los temas relacionados con seguridad de la información y seguridad informática, además no conocen si en la empresa existen controles de seguridad para mitigar algún incidente de seguridad.
• Los funcionarios nunca han recibido capacitaciones de temas relacionados con seguridad de la información, muchos creen que se trata de seguridad del empleado, y otros no tienen idea de que se trata.
• No existe un procedimiento que indique las sanciones en caso de faltas cometidas por los funcionarios en la seguridad de los sistemas de procesamiento de información o información física que manejan; en las políticas general de Serexcel se establece que establecerán sanciones que
48
conllevarán a la terminación de contrato laboral, pero no se define qué acciones son las que se consideran graves.
• Cuando los funcionarios terminan su contrato laboral con la empresa, es el jefe correspondiente quien se encarga de revisar que el funcionario haga la entrega de toda la información utilizada y generada durante sus actividades laborales además es quien procede a notificar al área de Sistemas para que se elimine o desactive los accesos a los diferentes aplicativos de los cuales hacía uso, no existe ninguna documentación formal donde se detalle el proceso antes mencionado.
Seguridad Física y Ambiental
La empresa alquila dos pisos del edifico en el que se encuentra, únicamente en el primer piso es donde se encuentra el área de recepción, por lo que el acceso del personal ajeno a la empresa que se dirige al segundo piso no es supervisado.
▪ El área de Sistemas es la única área que cuenta con un mecanismo de control de acceso por ser considerada un área restringida.
▪ No existen detectores de humo, ni alarmas contra incendios en la empresa. Hay un extintor en el pasillo de uno de los pisos, no existen extintores dentro de las oficinas.
▪ El sistema de cámaras no es propio de la empresa, lo maneja personal ajeno, pues el edificio en el que se encuentran no es propio, lo comparten con más empresas.
▪ El Rack de comunicaciones así como el UPS se encuentra dentro del área de Sistemas, en un espacio físico separado, las llaves las tiene únicamente la Especialista de Redes y Bases de datos, esta área solo cuenta con detector de humo como medida de protección contra alguna amenaza externa o ambiental (fuego, agua, entre otros). Las áreas no se pueden identificar fácilmente, pues no cuentan con el señalamiento apropiado. Así mismo el área donde está el Rack y UPS no cuenta con la señalética adecuada.
▪ Todos los equipos están ubicados dentro de las áreas, de esa forma intentan limitar los accesos no autorizados de personas ajenas a la empresa.
▪ Se cuenta con un UPS que les permite tener energía eléctrica 20 minutos después que ocurre el corte de energía, lo que les permite a los funcionarios guardar la información y apagar las computadoras para evitar daños.
▪ El área de Sistemas realiza dos veces al año mantenimientos en los equipos de procesamiento de información, pero no existe documentación donde se detallen qué tipos de mantenimientos se realizaron, los responsables, ni ninguna información que permita conocer detalles del trabajo realizado.
49
▪ Debido a que está prohibido sacar equipos de propiedad de la empresa, no se tiene implementado ningún control referente a la seguridad de equipos fuera de la empresa. Esa prohibición no se encuentra detallada en ninguna política de seguridad; los únicos autorizados para sacar equipos en este caso laptops son los altos directivos por temas de reuniones.
▪ No se realiza ningún procedimiento que permita la eliminación de información de las computadoras que fueron utilizados por funcionarios que ya no laboran en la empresa.
Gestión de las Comunicaciones y Operaciones
El área de Sistemas únicamente cuenta con documentación de respaldos, dejando a un lado los demás procedimiento de operación propia del área, como lo son mantenimientos, instructivos o procedimientos de manejo de errores, documentación de recuperación del sistema en caso de fallas, entre otros.
El área de Sistema realiza revisiones los cambios realizados a los sistemas y versiones que se actualicen.
Cada funcionario del área de Sistemas tiene claro cuáles son sus funciones y responsabilidades a cumplir de acuerdo al cargo que tienen y funciones adicionales que pueden ser encargadas por la Gerencia del área.
La Jefa de Desarrollo e implementación de sistemas es quien se encarga de designar al personal que debe participar en cada una de las fases de producción o actualización de un sistema.
No se encuentra documentado las actividades que deben realizarse en cada ambiente: Desarrollo, Pruebas, Capacitación y Producción, debido a que es el Coordinador de Desarrollo e Implementación de Sistemas quien se encarga de indicar al personal que actividades se deben realizar en cada fase(ambiente).
El área de Sistemas al encargarse de la contratación de los servicios de terceros, es quién define los términos que deben cumplir los proveedores y revisa que lo entregado esté acorde a lo requerido.
Nos se realizan revisiones regularmente de los servicios de terceros; actualmente mantienen contrato con una empresa externa que es quien les provee el servicio de desarrollo de la página web de la empresa y actualiza constantemente la información en la página, al ser una página web solo informativa no se consideran ningún tipo de monitoreo ni controles de seguridad mínimo que deba cumplir la empresa contratada para el manejo de aquella página.
El área de Sistemas no realiza ningún tipo de análisis de la capacidad de los recursos utilizados, pues solo consideran las necesidades actuales, más no proyecciones futuras, lo que genera un mayor costo en adquisiciones de nuevos recursos. No se tiene establecido criterios mínimos de seguridad en la aceptación y aprobación del uso de un sistema de información, los cuales deben
50
ser aplicados antes de la apuesta en producción de un nuevo servicio o actualización realizada en un servicio existente.
Se posee mecanismos para la detección de software malicioso en correos electrónicos entrantes que permiten detectar cuando se trata de un correo spam o con virus estos muestra un mensaje de alerta y no pueden ser recibidos por su destinatario final, de tal forma que evita que mediante correos electrónicos se instalen software malicioso en las computadoras. El área de Sistemas indica que todas las computadoras tienen instalado antivirus, pero no realizan monitoreo para garantizar que aquellos antivirus ese estén actualizando de acuerdo a la política implementada.
Existe la política de respaldos de información, en la cual detallan tres frecuencias de respaldos que se realizan y la información que se respalda en cada una de ellas. Todas las tareas de respaldos son registradas en el documento “Bitácora Procesos especiales”, en se detalla el responsable del respaldo, fecha, hora y observaciones en caso de que se llegue a presentar algún evento durante el proceso de respaldo de información.
• Se encuentran bloqueados los medios removibles en los computadores de los funcionarios, con el propósito de evitar la fuga de información, actualmente nos e realizan ningún tipo de monitoreo que permita garantizar que esta política esté funcionando correctamente.
• Inexistencia de controles de seguridad para el intercambio de información,
tanto de medios físicos como mensajería electrónica, no se tiene
implementado ningún control cuando un funcionario por temas
laborales requiere intercambiar información con otras entidades.
• La empresa cuenta con un equipo de mensajeros que son los responsables de llevar la documentación externa, asegurándose que la documentación enviada llega al destino indicado. Se lleva un registro donde constan las firmas de las personas externas que recibieron la documentación.
• No existe monitoreo de los registros de auditoría que producen las actividades realizadas en los sistemas, consideran que no es necesario revisar aquello.
Control de acceso
No existe una política que establezca controles de seguridad para el control de accesos.
El área de Sistemas es la encargada de dar acceso a los diferentes aplicativos que necesita utilizar el funcionario mediante el formulario de “solicitud de acceso a usuarios”, el cual fue creado recientemente en mayo de 2015.
51
En ninguna documentación se detalla que el aplicativo Financiero debe ser únicamente utilizado por el área de Contabilidad. El área de Sistemas no ha considerado importante que el aplicativo maneje el cambio de contraseña, pues como lo utilizan desde hace varios años las mismas personas y nunca ha ocurrido algún incidente de seguridad con este aplicativo, no ven factible implementar el cambio de contraseña.
El área de Recursos Humanos y el personal de Verificaciones telefónicas tienen acceso de modificación al módulo de “Datos Personales” de los funcionarios, lo que significa un alto riesgos de integridad de datos que debería ser de uso exclusivo del área de Recursos Humanos. No existe una evaluación correcta de los accesos y privilegios que deben tener cada área.
Debido a la alta demanda de bloqueo de las estaciones de trabajo, el área de Sistema delego a cada Supervisor de área, la actividad de desbloqueo, es decir que cada Supervisor para que puedan desbloquear a las estaciones de trabajo de los usuarios y que sigan inmediatamente con sus actividades normales.
No existe un mecanismo que permite bloquear automáticamente las estaciones de trabajo cuando se encuentran desatendidas. Son pocos los funcionarios que bloquean sus computadoras cuando necesitan salir de su puesto de trabajo
Se tiene establecido la utilización de mínimo 6 caracteres para la creación de las contraseñas en los aplicativos, la mayoría de funcionarios utiliza los parámetros de caracteres establecidos, pero no guardan la confidencialidad debida de sus contraseñas, pues de vez en cuando las comparten con sus compañeros.
Las áreas que almacenan información impresa confidencial no cuentan con la seguridad física requerida, pues la información se encuentra accesible para cualquier funcionario. Así mismo en los puestos de trabajo se observó que están llenos de documentación sin archivar y muchas veces son documentos confidenciales, a pesar de ello la mayoría de funcionarios considera que se guarda la información pertinente para evitar su daño o pérdida en los gabinetes con llaves.
La red de la empresa no se encuentra segmentada, cada usuario de la red puede acceder libremente a las IP’s de los servidores lo que ocasiona que pudiesen aprovecharse de una debilidad de configuración.
Existen redes inalámbricas (wifi) que es utilizado por la máxima autoridad, incluyendo Gerentes y Subgerentes, la cual está abierta sin ningún tipo de seguridad, cualquier funcionario que sepa la clave y usuario puede acceder a ella, sin quedar videncia alguna.
52
Gestión de incidentes en la seguridad de la información
En el documento de Política y procedimientos de Seguridad de Sistemas de Serexcel S. A, se indica “que ante la sospecha de que la contraseña que haya sido comprometida deberá notificar inmediatamente el incidente de seguridad al líder de seguridad o Gerencia de Sistemas, para proceder con el cambio de contraseña”, aquel párrafo es considerado como el único control en caso de un incidente de seguridad.
No existe un procedimiento formal para el manejo de incidentes de seguridad, por lo cual no se conoce que pasos se debe seguir ante la presencia de un incidente de seguridad menor y/o grave, en caso de que se llegue a presentar un incidente de seguridad mayor o grave la única persona que da las indicaciones de las acciones a tomar es la Gerente de Sistemas.
En el último año se han reportado al área de Sistemas dos casos de incidentes de seguridad, uno de ellos los reporto la Jefa de Recursos Humanos, la cual indicó que al ingresar al módulo de “Personal” detectó que había alteraciones en los nombres, apellidos y demás datos de un funcionario, se logró identificar que el causante de estas modificaciones había sido otro funcionario del área de Servicios Generales.
El segundo caso fue un problema que sucede cada vez que se va la luz, en esta ocasión la interrupción fue de 30 minutos, pero el sistema de ups que ellos poseen les permite estar con electricidad 20 minutos después de que sucede el corte de luz, es decir que en total estuvieron sin luz 10 minutos y 15 minutos más fueron perdidos pues es el tiempo que se tarda para que se restablezca los sistemas que utilizan, en total fueron 25 minutos de interrupción de actividades.
El incidente de seguridad que se presenta frecuentemente en las estaciones de trabajo es el bloqueo de las estaciones de trabajo, aunque en el último año no se han presentado tantos incidentes de seguridad sobre este caso.
Cuando ha presentado algún incidente de seguridad leve, muchos de los funcionarios se comunican directamente con el área de Sistemas para indicarle el problema, sin embargo otros prefieren comunicarle al Jefe inmediato para que sean ellos los encargados de resolver el inconveniente con el área pertinente.
No se tiene establecidas responsabilidades para la gestión de incidentes, además no se encuentra detalladas ni registradas las acciones correctivas que se realizan luego de un incidente de seguridad.
Gestión de la continuidad comercial
En la Gestión de continuidad de la empresa no se ha considerado la inclusión de la seguridad de la información., por lo que no se tiene identificado cuales son los eventos que causan o podrían causar interrupciones en procesos normales de la empresa, ni el impacto que puede tener la paralización de las actividades que conllevan a la realización de estos procesos; así como tampoco se tienen
53
considerado las consecuencias que podrían causar en la seguridad de la información.
El área de Sistemas realiza respaldo por demanda los cuales son para proteger información sensible, en caso de un daño mayor en el centro de datos, permitiendo de esa manera recuperarse en el menor tiempo posible y continuar con las actividades propias del negocio.
En caso de los servidores, se cuenta con el instructivo “contingencia servidores” el cual detalla los pasos a seguir ante un posible problema o daño en uno o varios servidores.
54
2.3. Infraestructura Tecnológica Actual
La infraestructura TI de la empresa se divide en tres grandes áreas:
1. Área de dirección, administración, financiera y oficina de proyectos gestionada
por su propia red y que se comunica con los servidores del departamento de
sistemas y con el exterior a través de su propio sistema de cortafuegos. Está
compuesto de equipos de escritorio y un equipo multifunción compartido.
2. Área comercial: compuesta por quince equipos de escritorio y un equipo
multifunción, acceden desde su propia red a los servicios del departamento de
sistemas y al exterior desde el router de la empresa.
3. Área de sistemas TI: es la más importante y en ella trabajan los responsables del
despliegue y servicios de la empresa y clientes. Disponen de varios servidores
donde albergan las aplicaciones e información empresarial. Además gestionan los
entornos de desarrollo y las actualizaciones de los sistemas.
2.3.1. Recursos Hardware
La infraestructura está compuesta de:
Tipo de Hardware Detalles del Modelo/Configuración Distribuidor No Equipos Localización
Servidor -Dos discos duros de 1 TB -2 GB de DRAM con un DIMM de 1 GB -Sistema Operativo Windows 7 -Interfaz vía web -Configuración de alarmas
DELL 1 Sala de equipos
Equipos Escritorio
-Un disco duro de 500 GB -1 GB de DRAM con un DIMM de 1 GB -Sistema Operativo Windows 7 - Interfaz vía web
DELL 8 Oficinas
Portátiles -Un disco duro de 500 GB -4 GB de DRAM con un DIMM de 1 GB -Sistema Operativo Windows 7 - Interfaz vía web - Configuración de alarmas
HP 7 Oficinas
55
Router Sistema IDS -Interfaz vía web -Puerto Ethernet a 1 Gbp -4 para la LAN -Puerto USB 2.0 o 3.0
Cisco 1 Sala de equipos
Switch -Referencia 5500G de 24 Puertos -4 puertos dual-personality 10BASE-T -VLAN-to-1 port mirroring -CLI via console or Telnet -Embedded web management interface -System configuration with SNMP v1, 2c and 3
TP-LINK 2 Sala de equipos
Firewall -Referencia 5520 -Memory: 512 MB -Output Maximum Peak: 190W -Firewall Throughput: Up to 450 Mbps -Dimensions (H x W x D): 1.75 x 17.5 x 13.2 inches
Cisco 1 Sala de equipos
Teléfono Acceso Básico (2B+D): se compones de 2 canales B de comunicación de alta velocidad (64 Kbits/s) que pueden utilizarse indistintamente para voz y datos, sólo para voz o sólo para datos y un canal de control de 16 Kbits/s. Es el utilizado por la RDSI-BE
Panasonic 2 Oficinas
Impresora Impresora de cartucho Puerto LAN
Epson 1 Oficinas
Multifuncional Impresión a Laser Cartuchos de tinta Puerto LAN
Hp 1 Oficinas
Servidor Servidor de servicios con Windows para DNS, LDAP, Mail, etc.
1 Oficinas
Servidor (Virtual)
Servidor de aplicaciones con Windows para trabajadores y usuarios externos que necesiten acceder a datos internos.
Oracle 1 Oficinas
Servidor (Virtual)
Servidor para dirección, administración y oficina de proyectos con Windows que contiene información y aplicaciones de estos departamentos. Servidor para
- 1 Oficinas
56
gestión documental con Windows y sistema con tecnología PHP para trabajo colaborativo y de documentación.
Cable UTP -Categoría 6
- 100 Oficinas / Salas Equipos
Tabla 4 Recursos Hardware
Fuente: Autores
2.3.2. Diagrama Red
Ilustración 4 Diagrama Red
Fuente: Autores
57
2.4. La Organización
Ilustración 5 Diagrama Organizacional Fuente: Autores
2.4.1. Funciones por dependencia
Gerente: Es quien dirige, controla y supervisa las actividades de la empresa.
Subgerente:
• Orientar la gestión del equipo comercial
• Administrar los recursos para controlar la generación de ventas con el fin
de cumplir con los objetivos establecidos por la Gerencia.
• Controlar el adecuado manejo de los activos de la empresa
Oficina Comercial: Está conformada por cinco (5) agentes comerciales
encargados de visitar a los clientes ya establecidos y clientes potenciales, con el
fin de dar a conocer el portafolio de servicios que presta la empresa.
Oficina Financiera: Está conformada por el contador y un auxiliar contable.
Esta oficina es la encargada de mantener al día la información contable
Financiera de la organización
Gerente
TI Oficina Comercial
Recursos Humanos
Oficina Financiera
Sub-Gerente
58
Oficina de Recursos Humanos: Conformada por un jefe de personal y dos
profesionales de nómina
• Se encarga de suplir cualquier puesto si es requerido.
• Gestión y pago de nómina de los empleados
• Velar por el bienestar de los empleados
• Velar por el cumplimiento de las normas fijadas por la empresa
• Realizar las labores administrativas
Adicionalmente la empresa cuenta con una secretaria y una persona de
servicios generales.
Fuentes de Información
Las personas a entrevistar durante el desarrollo de este proyecto serán:
• Cristian Andrés Riaño: Subgerente
• María Victoria Martínez: Contadora
• Ana Gutiérrez: Jefe Recursos Humanos
• Juan Carlos Rojas Castiblanco: Profesional de Nómina
• Pedro Pablo González Santos: Agente de seguros.
• Clemencia Martínez Jurado: Auxiliar contable.
• Pedro Núñez: Coordinador Desarrollo.
• Carlos Cadena: Analista Infraestructura.
Con el fin de identificar el estado actual de la organización en cuanto a la
Seguridad de la Información se realizaron entrevistas con los responsables de
los procesos, solicitando información y verificación de la documentación
existente en cuanto a seguridad de la información.
2.5. Análisis de trafico
El estado de tráfico en la red fue analizado por el software Wireshark un analizador de
protocolos open-source, para el estudio de las comunicaciones e información de la red
cuyo objetivo principal es servir de guía orientada para verificar el tráfico en la red, el cual
se menciona en el Anexo 2.
59
3. IDENTIFICACIÓN DE LOS ACTIVOS MÁS IMPORTANTES DE LA EMPRESA DE
SERVICIOS FUNERARIOS SEREXCEL.
Para la identificación de los activos se clasifican de la siguiente manera con ayuda de la
metodología Magerit1:
• Información
• Aplicaciones informáticas (Software)
• Equipos Informáticos (Hardware)
• Soportes de Información
• Equipamiento Auxiliar
• Redes de Comunicaciones
• Personas
• Intangibles
• Otros
En el siguiente cuadro se visualizan cada uno de los activos según su clasificación de
acuerdo a la investigación se ha encontrado los siguientes activos y se han tomado
referencia.
Tipo de activo Nombre Ref. Arquitectura Datacenter Dat
Datos Información Datos de carácter personal de los empleados, clientes y socios
Inf1
Código fuente Inf2
Contratos Inf3
Archivos Inf4
Manuales Inf5
Material de formación Inf6
Planes de continuidad Inf7
Licencias Inf8
Políticas Inf9
Software Aplicaciones de la Organización Sw1
Programas de desarrollo Sw2
Sistemas operativos Sw3
Antivirus Sw4
Motores de Bases de Datos Sw5
Hardware Servidores de Bases de Datos Hw1
Servidores Web Hw2
Servidores de archivos Hw3
Servidores de aplicaciones Hw4
Impresoras Hw5
Equipos portátiles Hw6
Equipos Sistemas Discos Duros Si1
1 MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
60
Servidores de backup Si2
Memorias USB Si3
CD/DVD Si4
Sistema de climatización de la sala de servidores
Si5
Cámaras de seguridad Si6
Teléfonos Si7
Dispositivos Móviles Si8
Comunicación y redes Infraestructura Red de Datos Rc1
Red eléctrica Rc2
Canaletas Rc3
Switches Rc4
Racks Rc5
Routers Rc6
Módems Rc7
Personal Empleados Ps1
Clientes Ps2
Proveedores Ps3
Instalaciones Imagen de la empresa It1
Reputación It2
Muebles Ot1
Planta física: Estructura física de la empresa Ot2 Tabla 4. Identificación de los activos
Fuente: Magerit V.3
3.1. PLANIFICACIÓN PARA LA VALORIZACIÓN DE ACTIVOS
La finalidad de la valoración de los activos es Identificar en qué dimensión es valioso el
activo y valorar el coste que para la organización supondría la destrucción del activo.
De esta tarea se obtiene el modelo de valor, informe que permite conocer la
importancia de los activos. El modelo de valor detalla los activos, sus dependencias,
las dimensiones en las que son valiosos y la estimación de su valor en cada
dimensión.
A continuación se presenta la valoración de cada uno de los activos identificados
anteriormente según su clasificación:
• Activos de Información
Este tipo de activo, es toda la información que la organización considera importante ya
que puede tener datos confidenciales los cuales si fuesen públicos pueden llegar a
afectar la organización.
Valor Descripción
61
D Disponibilidad
C Confidencialidad
I Integridad
A Autenticidad
T Trazabilidad Tabla 5 Descripción Valor
Fuente: Magerit V.3
Para este proceso se evaluará cada uno de los activos en cuanto a las tres
dimensiones más importantes expuestas por la metodología Magerit las cuales son:
Disponibilidad (D), Confidencialidad de la información (C) e Integridad de datos (I),
además se sacará un promedio con la valoración de las tres dimensiones para tener
un único valor por activo.
Se evalúa siguiendo los valores mencionados en la figura siguiente.
Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos Tabla 6 Criterios de Valoración de los Activos
Fuente: Magerit V.3
ACTIVO D C I A T Arquitectura Datacenter 8 10 8 8 8
Datos Información Datos de carácter personal de los empleados, clientes y socios
10 7 8 8 8
Código fuente 7 9 9 9 7
Contratos 5 8 7 6 7
Archivos 8 1 5 8 8
Manuales 7 4 7 9 9
Material de formación 9 5 9 7 8
Planes de continuidad 9 8 8 10 8
Licencias 8 5 9 8 7
Políticas 8 6 8 8 7 Software Aplicaciones de la
Organización 9 7 9 9 9
Programas de desarrollo 8 8 7 10 9
Sistemas operativos 7 8 8 8 7
62
Antivirus 7 7 6 7 7
Motores de Bases de Datos
9 9 9 8 8
Hardware Servidores de Bases de Datos
9 9 9 8 8
Servidores Web 9 9 9 8 8
Servidores de archivos 8 9 9 9 8
Servidores de aplicaciones
10 9 9 9 9
Impresoras 8 7 6 6 7
Equipos portátiles 9 9 8 9 9
Equipos Sistemas Discos Duros 9 5 2 4 4
Servidores de backup 9 5 3 5 5
Memorias USB 4 5 4 6 7
CD/DVD 7 6 5 4 2
Sistema de climatización de la sala de servidores
8 5 4 5 3
Cámaras de seguridad 8 4 4 4 5
Teléfonos 8 4 3 4 2
Dispositivos Móviles 8 9 9 9 9
Comunicación y redes Infraestructura
Red de Datos 3 2 2 2 2
Red eléctrica 4 3 3 3 4
Canaletas 1 2 2 2 1
Switches 5 2 4 2 2
Racks 5 2 4 3 3
Routers 5 2 3 3 3
Módems 1 2 2 2 2
Personal Empleados 7 7 7 7 8
Clientes 9 10 10 9 9
Proveedores 7 6 5 4 5
Instalaciones Imagen de la empresa 1 1 2 2 2
Reputación 8 8 8 8 8
Muebles 4 3 5 8 9
Planta física: Estructura física de la empresa
10 9 7 7 6
Tabla 7 Valoración cuantitativa de los Activos de Información Fuente: Magerit V.3
63
3.2. PLANIFICACIÓN PARA LA VALORIZACIÓN DE AMENAZAS HACIA LOS
ACTIVOS DEL INVENTARIO
El objetivo de este punto es determinar la degradación del activo; proceso que consiste
en evaluar el valor que pierde el activo (en porcentaje) en caso que se materialice una
amenaza.
3.2.1. ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL
INVENTARIO
Para el desarrollo es necesario tener presente los rangos dados en los siguientes
cuadros tanto de probabilidad como de degradación con el fin de determinar una
valoración de los activos identificados.
➢ Probabilidad
Posibilidades existentes de que una amenaza se materialice.
➢ Degradación
Clasificación que puede tener un activo al verse afectado su valor.
Valor Frecuencia Abreviatura Criterio
5 Muy frecuente MA A diario
4 Frecuente A Mensualmente
3 Normal M Una vez al año
2 Poco Frecuente B Cada varios años
1 Muy poco Frecuente
MB Siglos
Tabla 8 Probabilidad de ocurrencia de una amenazas Fuente: Magerit V.3
Valor Criterio Abreviación
100% Degradación MUY ALTA del activo MA
80% Degradación ALTA considerable del activo
A
50% Degradación MEDIANA del activo M
10% Degradación BAJA del activo B
1% Degradación MUY BAJA del activo MB Tabla 9 Degradación de los Activos por Amenazas
Fuente: Magerit V.3
64
3.2.2. IDENTIFICACIÓN Y VALORACIÓN DE LAS AMENAZAS:
A continuación se realiza una identificación de las posibles amenazas que puede afectar
los activos de la organización:
Activo: DataCenter
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua P A
[N.3] Terremotos P A Tabla 10 Valoración Amenaza DataCenter
Activo: Inscripción de Pólizas Funerarias
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios F A A A
[E.2] Errores del administrador P A A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto N M M M
[A.11] Acceso no autorizado P A A
[A.13] Repudio P A A
[A.18] Destrucción de información N A
[A.19] Divulgación de información P A
[A.24] Denegación de servicio P A Tabla 11 Valoración Amenaza Inscripción de Pólizas Funerarias
Activo: Creación de productos Funerarios
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios P A A A
[E.2] Errores del administrador P A A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A A A
[A.11] Acceso no autorizado P A A
[A.13] Repudio P A A
[A.18] Destrucción de información P A
[A.19] Divulgación de información P A
[A.24] Denegación de servicio P A Tabla 12 Valoración Amenaza Creación de productos Funerarios
Activo: Información de configuración
65
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios F M M A
[E.2] Errores del administrador N A A A
[E.4] Errores de configuración N A
[E.15] Alteración accidental de la información F M
[E.18] Destrucción de información F A
[E.19] Fugas de información P A
[A.5] Suplantación de la identidad del usuario P A A A Tabla 13 Valoración Amenaza Información de configuración
Activo: Código Fuente
Amenaza Frecuencia Dimensiones
D I C A T
[I.5] Avería de origen físico o lógico N B
[I.8] Fallo de servicios de comunicaciones N B
[E.3] Errores de monitorización P B B
[E.4] Errores de configuración N B B
[E.8] Difusión de software dañino P M M M
[E.19] Fugas de información P M
[E.20] Vulnerabilidades de los programas N M A A
[E.21]Errores de mantenimiento/actualización de programas P M M
[E.23] Errores de mantenimiento/actualización de equipos P B
[E.25] Pérdida de equipos P B
[E.28] Indisponibilidad del personal F M B B
[A.15] Modificación deliberada de la información P M
[A.18] Destrucción de información P A
[A.19] Divulgación de información P M
[A.23] Manipulación de los equipos P A A
[A.25] Robo P M A
[A.26] Ataque destructivo P M
[A.28] Indisponibilidad del personal F B
[A.30] Ingeniería social P M A A Tabla 14 Valoración Amenaza Código Fuente
Activo: Código ejecutable
Amenaza Frecuencia Dimensiones
D I C A T
[E.4] Errores de configuración N B M
[E.8] Difusión de software dañino N B M M M
[E.20] Vulnerabilidades de los programas P M M
[E.21]Errores de mantenimiento/actualización de programas N M M M M
[E.25] Pérdida de equipos P B
[A.23] Manipulación de los equipos N B B
[A.25] Robo P B M B Tabla 15 Valoración Amenaza Código ejecutable
66
Activo: Copias de respaldo
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[I.4] Contaminación electromagnética P MB
[I.5] Avería de origen físico o lógico P M
[I.7] Condiciones inadecuadas de temperatura o humedad P MB
[I.10] Degradación de los soportes de almacenamiento de la información P M M
[E.1] Errores de los usuarios N B B B
[E.2] Errores del administrador P M M M
[E.3] Errores de monitorización P M M
[E.4] Errores de configuración N M M M
[E.20] Vulnerabilidades de los programas P B M
[A.6] Abuso de privilegios de acceso P M M
[A.7] Uso no previsto P A
[A.11] Acceso no autorizado P A M
[A.15] Modificación deliberada de la información P M A M
[A.18] Destrucción de información P M M
[A.19] Divulgación de información P B A
[A.23] Manipulación de los equipos P M A M
[A.25] Robo P M A M
[A.26] Ataque destructivo P M M Tabla 16 Valoración Amenaza Copias de respaldo
Activo: Datos de prueba
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios F B
[E.2] Errores del administrador N M M B
[E.4] Errores de configuración N M
[E.19] Fugas de información P M
[E.25] Pérdida de equipos P M M
[A.5] Suplantación de la identidad del usuario P M
[A.6] Abuso de privilegios de acceso P M
[A.7] Uso no previsto P M
[A.11] Acceso no autorizado P M
[A.19] Divulgación de información P M
[A.25] Robo P M M
[A.26] Ataque destructivo P M M Tabla 17 Valoración Amenaza Datos de prueba
67
Activo: Información de Usuarios
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios N M A M
[E.2] Errores del administrador P M A A M
[E.4] Errores de configuración P A A
[E.19] Fugas de información P A
[E.25] Pérdida de equipos P A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A
[A.11] Acceso no autorizado P A A A
[A.19] Divulgación de información P A A
[A.25] Robo P A A A
[A.26] Ataque destructivo P A A A Tabla 18 Valoración Amenaza Información de Usuarios
Activo: Información de empresas asociadas
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios N M A M
[E.2] Errores del administrador P M A A M
[E.4] Errores de configuración P A A
[E.19] Fugas de información P A
[E.25] Pérdida de equipos P A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A
[A.11] Acceso no autorizado P A A A
[A.19] Divulgación de información P A A
[A.25] Robo P A A A
[A.26] Ataque destructivo P A A A Tabla 19 Valoración Amenaza Información de empresas asociadas
Activo: Información de productos Funerarios
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios N M A M
[E.2] Errores del administrador P M A A M
[E.4] Errores de configuración P A A
[E.19] Fugas de información P A
[E.25] Pérdida de equipos P A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A
68
[A.11] Acceso no autorizado P A A A
[A.19] Divulgación de información P A A
[A.25] Robo P A A A
[A.26] Ataque destructivo P A A A Tabla 20 Valoración Amenaza Información de productos Funerarios
Activo: SW Qt-Funerarias
Amenaza Frecuencia Dimensiones
D I C A T
[E.2] Errores del administrador P M
[E.4] Errores de configuración N M M
[E.21] Errores de mantenimiento actualización de programas N A A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P M
[A.5] Suplantación de la identidad del usuario P M M
[A.6] Abuso de privilegios de acceso P M A
[A.7] Uso no previsto P A
[A.11] Acceso no autorizado P A A
[A.15] Modificación deliberada de la información P M A
[A.18] Destrucción de información P M
[A.19] Divulgación de información P A Tabla 21 Valoración Amenaza SW Qt-Funerarias
Activo: Navegador web
Amenaza Frecuencia Dimensiones
D I C A T
[A.7] Uso no previsto N M
[E.8] Difusión de software dañino N M Tabla 22 Valoración Amenaza Navegador web
Activo: Servidor de aplicaciones
Amenaza Frecuencia Dimensiones
D I C A T
[E.2] Errores del administrador P M
[E.4] Errores de configuración P M
[E.21] Errores de mantenimiento / actualización de programas P A A
[E.23] Errores de mantenimiento / actualización de equipos P A
[E.24] Caída del sistema por agotamiento de recursos P A
[A.6] Abuso de privilegios de acceso P M A A
[A.11] Acceso no autorizado P A A A
[A.15] Modificación deliberada de la información P M A M
[A.19] Divulgación de información P A
[A.24] Denegación de servicio P A
[A.25] Robo P A A
[A.26] Ataque destructivo P A A Tabla 23 Valoración Amenaza Servidor de aplicaciones
69
Activo: Sistema de gestión de bases de datos
Amenaza Frecuencia Dimensiones
D I C A T
[E.2] Errores del administrador P A A A A A
[E.4] Errores de configuración P A A A A
[E.19] Fugas de información P A
[E.20] Vulnerabilidades de los programas N A M M A A
[E.21] Errores de mantenimiento / actualización de programas N M A
[E.23] Errores de mantenimiento / actualización de equipos P A
[E.24] Caída del sistema por agotamiento de recursos N A
[E.25] Pérdida de equipos P A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A A
[A.7] Uso no previsto P A A A
[A.11] Acceso no autorizado P A A A A
[A.15] Modificación deliberada de la información P A A
[A.18] Destrucción de información P A A A A
[A.19] Divulgación de información P A A A
[A.25] Robo P A A A
[A.26] Ataque destructivo P A A A A Tabla 24 Valoración Amenaza Sistema de gestión de bases de datos
Activo: Ofimática
Amenaza Frecuencia Dimensiones
D I C A T
[E.8] Difusión de software dañino N M M
[E.20] Vulnerabilidades de los programas N A M A A
[E.21] Errores de mantenimiento actualización de programas N M A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P A A
[A.7] Uso no previsto N M
[A.11] Acceso no autorizado P B M Tabla 25 Valoración Amenaza Ofimática
Activo: Anti-virus
Amenaza Frecuencia Dimensiones
D I C A T
[E.1] Errores de los usuarios N M A
[E.2] Errores del administrador P A A
[E.4] Errores de configuración P A M A
[A.11] Acceso no autorizado P A A A Tabla 26 Valoración Amenaza Anti-virus
70
Activo: Sistema operativo
Amenaza Frecuencia Dimensiones
D I C A T
[E.2] Errores del administrador P A A A
[E.4] Errores de configuración P A A A
[E.8] Difusión de software dañino P A A A
[E.19] Fugas de información P A A
[E.20] Vulnerabilidades de los programas N A M A A
[E.21] Errores de mantenimiento / actualización de programas N M A A A
[E.23] Errores de mantenimiento /actualización de equipos P A
[E.25] Pérdida de equipos P A A
[A.3] Manipulación de los registros de actividad P A A
[A.4] Manipulación de la configuración P A A A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A A
[A.11] Acceso no autorizado P A A A A
[A.15] Modificación deliberada de la información P A A
[A.18] Destrucción de información P A A A A
[A.19] Divulgación de información P A A A
[A.25] Robo P A A
[A.26] Ataque destructivo P A A Tabla 27 Valoración Amenaza Sistema operativo
Activo: Herramientas de desarrollo
Amenaza Frecuencia Dimensiones
D I C A T
[E.8] Difusión de software dañino P M M
[E.20] Vulnerabilidades de los programas N A M A A
[E.21] Errores de mantenimiento / actualización de programas N M A
[E.23] Errores de mantenimiento / N A
actualización de equipos
[E.25] Pérdida de equipos P A A
[A.11] Acceso no autorizado P B M Tabla 28 Valoración Amenaza Herramientas de desarrollo
Activo: Computadores de pruebas
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.3] Contaminación mecánica P A
71
[I.4] Contaminación electromagnética P A
[I.5] Avería de origen físico o lógico N A
[I.6] Corte del suministro eléctrico N A
[I.7] Condiciones inadecuadas temperatura o humedad P A
[I.11] Emanaciones electromagnéticas P A
[E.2] Errores del administrador N A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P A
[A.6] Abuso de privilegios de acceso P A M M
[A.7] Uso no previsto P A M M
[A.11] Acceso no autorizado P M M
[A.23] Manipulación de los equipos P A M
[A.25] Robo P A M
[A.26] Ataque destructivo P A Tabla 29 Valoración Amenaza Computadores de pruebas
Activo: Computadores de desarrollo
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.3] Contaminación mecánica P A
[I.4] Contaminación electromagnética P A
[I.5] Avería de origen físico o lógico N A
[I.6] Corte del suministro eléctrico N A
[I.7] Condiciones inadecuadas de temperatura o humedad P A
[I.11] Emanaciones electromagnéticas P A
[E.2] Errores del administrador N A
[E.23] Errores de mantenimiento / actualización de equipos N A
[E.25] Pérdida de equipos P A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A A A
[A.11] Acceso no autorizado P A A A
[A.23] Manipulación de los equipos P A A
[A.25] Robo P A A
[A.26] Ataque destructivo P A Tabla 30 Valoración Amenaza Computadores de desarrollo
72
Activo: Computadores de soporte
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.3] Contaminación mecánica P A
[I.4] Contaminación electromagnética P A
[I.5] Avería de origen físico o lógico N A
[I.6] Corte del suministro eléctrico N A
[I.7] Condiciones inadecuadas temperatura o humedad P A
[I.11] Emanaciones electromagnéticas P A
[E.2] Errores del administrador N A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P A
[A.6] Abuso de privilegios de acceso P A M M
[A.7] Uso no previsto P A M M
[A.11] Acceso no autorizado P M M
[A.23] Manipulación de los equipos P A M
[A.25] Robo P A M
[A.26] Ataque destructivo P A Tabla 31 Valoración Amenaza Computadores de soporte
Activo: Cableado red de área local
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.3] Contaminación mecánica P A
[I.5] Avería de origen físico o lógico N A
[I.7] Condiciones inadecuadas temperatura o humedad P A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P A
[A.23] Manipulación de los equipos P A
[A.25] Robo P A
[A.26] Ataque destructivo P A Tabla 32 Valoración Amenaza Cableado red de área local
73
Activo: Switch
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.3] Contaminación mecánica P A
[I.5] Avería de origen físico o lógico P A
[I.7] Condiciones inadecuadas temperatura o humedad P A
[E.23] Errores de mantenimiento actualización de equipos N A
[E.25] Pérdida de equipos P A
[A.23] Manipulación de los equipos P A
[A.25] Robo P A
[A.26] Ataque destructivo P A Tabla 33 Valoración Amenaza Switch
Activo: Internet
Amenaza Frecuencia Dimensiones
D I C A T
[I.8] Fallo de servicios de comunicaciones N A
[E.2] Errores del administrador N M M M
[E.9] Errores de [re-]encaminamiento P A
[E.10] Errores de secuencia P A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A A A
[A.10] Alteración de secuencia P A
[A.11] Acceso no autorizado P A A
[A.12] Análisis de tráfico P A
[A.14] Interceptación de información P A
[A.15] Modificación deliberada de la información P A Tabla 34 Valoración Amenaza Internet
Activo: Red telefónica
Amenaza Frecuencia Dimensiones
D I C A T
[I.8] Fallo de servicios de comunicaciones P A
[E.9] Errores de [re-]encaminamiento P A
[A.7] Uso no previsto P A A A
[A.10] Alteración de secuencia P A
[A.14] Interceptación de información P A Tabla 35 Valoración Amenaza Red telefónica
74
Activo: Red local
Amenaza Frecuencia Dimensiones
D I C A T
[I.8] Fallo de servicios de comunicaciones P A
[E.2] Errores del administrador N M M M
[E.9] Errores de [re-]encaminamiento P A
[E.10] Errores de secuencia P A
[A.5] Suplantación de la identidad del usuario P A A A
[A.6] Abuso de privilegios de acceso P A A A
[A.7] Uso no previsto P A A A
[A.10] Alteración de secuencia P A
[A.11] Acceso no autorizado P A A
[A.12] Análisis de tráfico P A
[A.14] Interceptación de información P A
[A.15] Modificación deliberada de la información P A
[Media] Soportes de información Tabla 36 Valoración Amenaza Red local
Activo: Documentos impresos. Contratos, Pólizas
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego P A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.7] Condiciones inadecuadas temperatura o humedad P A
[A.7] Uso no previsto P A A
[A.11] Acceso no autorizado P A
[A.18] Destrucción de información P A
[A.19] Divulgación de información P MA
[A.25] Robo P A MA
[A.26] Ataque destructivo P A Tabla 37 Valoración Amenaza Documentos impresos. Contratos, Pólizas
Activo: Oficina
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego p A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
75
[I.7] Condiciones inadecuadas de temperatura o humedad P A
[I.11] Emanaciones electromagnéticas P A
[E.15] Alteración accidental de la información P A
[E.18] Destrucción de información P A
[E.19] Fugas de información P A
[A.7] Uso no previsto P A A A
[A.11] Acceso no autorizado p A A
[A.15] Modificación deliberada de la información P A
[A.18] Destrucción de información P M
[A.19] Divulgación de información P A
[A.26] Ataque destructivo p A Tabla 38 Valoración Amenaza Oficina
Activo: Edificio
Amenaza Frecuencia Dimensiones
D I C A T
[N.1] Fuego p A
[N.2] Daños por agua MP A
[N.*] Desastres naturales P A
[I.1] Fuego P A
[I.2] Daños por agua P A
[I.*] Desastres industriales P A
[I.7] Condiciones inadecuadas de temperatura o humedad P A
[I.11] Emanaciones electromagnéticas P A
[E.15] Alteración accidental de la información P A
[E.18] Destrucción de información P A
[E.19] Fugas de información P A
[A.7] Uso no previsto P A A A
[A.11] Acceso no autorizado P A A
[A.15] Modificación deliberada de la información P A
[A.18] Destrucción de información P M
[A.19] Divulgación de información P A
[A.26] Ataque destructivo P A Tabla 39 Valoración Amenaza Edificio
Activo: Administradores de sistemas
Amenaza Frecuencia Dimensiones
D I C A T
[E.7] Deficiencias en la organización N B
[E.19] Fugas de información P M
[E.28] Indisponibilidad del personal N M
[A.28] Indisponibilidad del personal P M
[A.29] Extorsión P B A A
[A.30] Ingeniería social P B A A Tabla 40 Valoración Amenaza Administradores de sistemas
76
Activo: Desarrolladores
Amenaza Frecuencia Dimensiones
D I C A T
[E.7] Deficiencias en la organización P M
[E.19] Fugas de información P A
[E.28] Indisponibilidad del personal N A
[A.28] Indisponibilidad del personal P A
[A.29] Extorsión P B A A
[A.30] Ingeniería social P B A A Tabla 41 Valoración Amenaza Desarrolladores
Activo: Soporte
Amenaza Frecuencia Dimensiones
D I C A T
[E.7] Deficiencias en la organización P B
[E.19] Fugas de información P M
[E.28] Indisponibilidad del personal N A
[A.28] Indisponibilidad del personal P A
[A.29] Extorsión P B A A
[A.30] Ingeniería social P B A A Tabla 42 Valoración Amenaza Soporte
Activo: Comercial
Amenaza Frecuencia Dimensiones
D I C A T
[E.7] Deficiencias en la organización P B
[E.19] Fugas de información P M
[E.28] Indisponibilidad del personal N A
[A.28] Indisponibilidad del personal P A
[A.29] Extorsión P B M M
[A.30] Ingeniería social P B M M Tabla 43 Valoración Amenaza Comercial
Activo: Usuarios externos
Amenaza Frecuencia Dimensiones
D I C A T
[E.19] Fugas de información P M Tabla 44 Valoración Amenaza Usuarios externos
77
Activo: Usuarios internos
Amenaza Frecuencia Dimensiones
D I C A T
[E.7] Deficiencias en la organización P B
[E.19] Fugas de información P B
[E.28] Indisponibilidad del personal N A
[A.28] Indisponibilidad del personal P A
[A.29] Extorsión P B B B
[A.30] Ingeniería social P B M M Tabla 45 Valoración Amenaza Usuarios internos
3.3. PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO
Los riesgos son la probabilidad de daño sobre un activo, teniendo en cuenta su
frecuencia de ocurrencia versus la degradación que se pueda ocasionar sobre dicho
activo.
Con base en la metodología Magerit el nivel de riego se puede dividir en cuatro zonas:
➢ Zona 1: En este punto el nivel de riesgo es altísimo o crítico ya que son riesgos
muy probables y de muy alto impacto lo que realmente es preocupante ya que se
deben utilizar obligatoriamente salvaguardas para minimizarlos.
➢ Zona 2: El nivel de riesgo es medio en este punto por lo cual se debe considerar
implementar salvaguardas para minimizarlos ya que se cubre un rango de
situaciones tanto probables como improbables, frente a un impacto que puede ser
alto como bajo.
➢ Zona 3: El nivel de riesgo es bajo ya que la probabilidad de ocurrencia es mínima y
no existe un mayor impacto que pueda afectar los activos, por lo tanto se puede
emplear salvaguardas adicionales.
➢ Zona 4: El nivel de riesgo es alto ya que aunque existen muy poca probabilidad de
ocurrencia el impacto ocasionado sobre el activo es muy alto. Se debe utilizar
obligatoriamente salvaguardas o políticas de seguridad para minimizarlos o
evitarlos.
78
Ilustración 6 Riesgo en función del impacto y la probabilidad
Fuente: Magerit V.3
3.3.1. VALORACIÓN DE LOS RIESGOS.
Para el análisis del riesgo se establecieron los siguientes criterios de valoración para el
impacto repercutido sobre los activos y la probabilidad en que estos se puedan ver
afectados:
IMPACTO
Nivel Valoración
Muy Bajo 1
Bajo 2
Medio 3
Alto 4
Muy Alto 5 Tabla 46 Criterios de Valoración del Impacto
Fuente: Magerit V.3
La valoración del riesgo se determina con el producto del impacto y la probabilidad donde
se evidencia la zona de riesgo en el que se encuentra un activo que posee una amenaza,
la siguiente tabla determina el rango para el diagnóstico de la valoración del riesgo:
79
VALORACIÓN DEL RIESGO = IMPACTO x PROBABILIDAD
VALOR ZONA RIESGO
0 - 1,4 3 Bajo
1,5 - 2,4 2 Medio
2,5 - 3,5 4 Alto
3,6 - 5,0 1 Muy Alto Tabla 47 Criterios de Valoración del Riesgo
Fuente: Magerit V.3
Las siguientes tablas muestran las amenazas sobre los activos identificados y la
valoración de cada una de las dimensiones de los activos.
Activo: DataCenter Probabilidad Impacto Riesgo
[N.1] Fuego P M M
[N.2] Daños por agua P B B
[N.3] Terremotos P B B Tabla 48 Valoración Riesgo DataCenter
Activo: Inscripción Pólizas Funerarias Probabilidad Impacto Riesgo
[E.1]Errores de los usuarios F B M
[E.2]Errores del administrador P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto N M M
[A.11]Acceso no autorizado P A A
[A.13] Repudio P A A
[A.18] Destrucción de información M MA A
[A.19] Divulgación de información P A A
[A.24]Denegación de servicio P A A Tabla 49 Valoración Riesgo Inscripción Pólizas Funerarias
Activo: Inscripción empresas asociadas Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios F B M
[E.2]Errores del administrador P M B
[A.5] Suplantación de la identidad del usuario P M M
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P M M
[A.11]Acceso no autorizado P A A
[A.13] Repudio P B B
[A.18] Destrucción de información P A A
[A.19] Divulgación de información P M M
[A.24]Denegación de servicio P B B Tabla 50 Valoración Riesgo Inscripción empresas asociadas
80
Activo: Creación de productos Funerarios Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios P M M
[E.2]Errores del administrador P M M
Probabilidad Impacto Riesgo
[A.5] Suplantación de la identidad del usuario P M M
[A.6]Abuso de privilegios de acceso P M M
[A.7] Uso no previsto P B B
[A.11]Acceso no autorizado P M M
[A.13] Repudio P B B
[A.18] Destrucción de información P A A
[A.19] Divulgación de información P B B
[A.24]Denegación de servicio P B B Tabla 51 Valoración Riesgo Creación de productos Funerarios
Activo: Información de configuración Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios P B B
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P B B
[E.15] Alteración accidental de la información N M M
[E.18]Destrucción de información P A A
[E.19] Fugas de información P B B
[A.5] Suplantación de la identidad del usuario P M M Tabla 52 Valoración Riesgo Información de configuración
Activo: Código Fuente Probabilidad Impacto Riesgo
[I.5] Avería de origen físico o lógico N B B
[I.8] Fallo de servicios de comunicaciones N B B
[E.3]Errores de monitorización P B B
[E.4]Errores de configuración N B B
[E.8]Difusión de software dañino P M M
[E.19] Fugas de información P M M
[E.20] Vulnerabilidades de los programas N M M
[E.21]Errores de mantenimiento/actualización de programas
P M M
[E.23]Errores de mantenimiento/actualización de equipos P B B
[E.25] Pérdida de equipos P B B
[E.28] Indisponibilidad del personal F M A
[A.15]Modificación deliberada de la información P M M
[A.18]Destrucción de información P M M
[A.19]Divulgación de información P M M
[A.23] Manipulación de los equipos P M M
[A.25] Robo P M M
[A.26] Ataque destructivo P M M
81
[A.28] Indisponibilidad del personal F M A
[A.30] Ingeniería social P M M Tabla 53 Valoración Riesgo Código Fuente
Activo: Código ejecutable Probabilidad Impacto Riesgo
[E.4]Errores de configuración N B B
[E.8]Difusión de software dañino N B B
[E.20]Vulnerabilidades de los programas P M M
[E.21]Errores de mantenimiento/actualización de programas
N M M
[E.25] Pérdida de equipos P B B
[A.23] Manipulación de los equipos N B B
[A.25] Robo P B B Tabla 54 Valoración Riesgo Código ejecutable
Activo: Copias de respaldo Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[I.4]Contaminación electromagnética P MB MB
[I.5] Avería de origen físico o lógico P M M
[I.7]Condiciones inadecuadas de temperatura o humedad P MB MB
[I.10]Degradación de los soportes almacenamiento de la información
P M M
[E.1] Errores de los usuarios N B B
[E.2]Errores del administrador P M M
[E.3]Errores de monitorización P M M
[E.4]Errores de configuración N M M
[E.20] Vulnerabilidades de los programas P B B
[A.6]Abuso de privilegios de acceso P M M
[A.7] Uso no previsto P M M
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de información P M M
[A.18]Destrucción de información P M M
[A.19]Divulgación de información P A A
82
[A.23]Manipulación de los equipos P M M
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 55 Valoración Riesgo Copias de respaldo
Activo: Datos de prueba Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios P M M
[E.2]Errores del administrador N M M
[E.4]Errores de configuración N M M
[E.19] Fugas de información P M M
[E.25] Pérdida de equipos P M M
[A.5] Suplantación de la identidad del usuario P M M
[A.6] Abuso de privilegios de acceso P M M
[A.7] Uso no previsto P M M
[A.11] Acceso no autorizado P M M
[A.19]Divulgación de información P M M
[A.25] Robo P M M
[A.26]Ataque destructivo P M M Tabla 56 Valoración Riesgo Datos de prueba
Activo: Información de clientes Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios N M M
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P A A
[E.19]Fugas de información P A A
[E.25]Pérdida de equipos P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
[A.11] Acceso no autorizado P A A
[A.19]Divulgación de información P A A
[A.25] Robo P A A
[A.26] Ataque destructivo P A A Tabla 57 Valoración Riesgo Información de clientes
Activo: Información de empresas asociadas Probabilidad Impacto Riesgo
[E.1]Errores de los usuarios N M M
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P A A
[E.19] Fugas de información P A A
[E.25] Pérdida de equipos P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
83
[A.11] Acceso no autorizado P A A
[A.19]Divulgación de información P A A
[A.25] Robo P A A
[A.26] Ataque destructivo P A A Tabla 58 Valoración Riesgo Información de empresas asociadas
Activo: Información de productos Funerarios Probabilidad Impacto Riesgo
[E.1] Errores de los usuarios N M M
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P A A
[E.19] Fugas de información P A A
[E.25] Pérdida de equipos P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
[A.11] Acceso no autorizado P A A
[A.19]Divulgación de información P M M
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 59 Valoración Riesgo Información de productos Funerarios
Activo: Desarrollo propio Sw Qt -Funerarias Probabilidad Impacto Riesgo
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P A A
[E.19]Fugas de información P A A
[E.25]Pérdida de equipos P A A
[A.5] Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P M M
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P A A
[A.18]Destrucción de información P A A
[A.19]Divulgación de información P A A
[A.24]Denegación de servicio P A A
[A.25] Robo P A A
[A.26] Ataque destructivo P A A
[E.25]Pérdida de equipos P M M
[A.5]Suplantación de la identidad del usuario P M M
[A.6]Abuso de privilegios de acceso P M M
[A.7]Uso no previsto P M M
[A.11]Acceso no autorizado P M M
[A.15]Modificación deliberada de la información P M M
[A.18]Destrucción de información P M M
[A.19]Divulgación de información P M M
84
Tabla 60 Valoración Riesgo Desarrollo propio Sw Qt -Funerarias
Activo: Navegador web Probabilidad Impacto Riesgo
[A.7] Uso no previsto N B B
[E.8]Difusión de software dañino N M M Tabla 61 Valoración Riesgo Navegador web
Activo: Servidor de aplicaciones Probabilidad Impacto Riesgo
[E.2]Errores del administrador P M M
[E.4]Errores de configuración P M M
[E.21]Errores de mantenimiento / actualización de programas
P A A
[E.23]Errores de mantenimiento / actualización de equipos
P A A
[E.24] Caída del sistema por agotamiento de recursos P A A
[A.6]Abuso de privilegios de acceso P A A
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P M M
[A.19]Divulgación de información P M M
[A.24]Denegación de servicio P M M
[A.25]Robo P A A
[A.26]Ataque destructivo P A A Tabla 62 Valoración Riesgo Servidor de aplicaciones
Activo: Sistema de gestión de bases de datos Probabilidad Impacto Riesgo
[E.2]Errores del administrador P A A
[E.4]Errores de configuración P A A
[E.19]Fugas de información P A A
[E.20]Vulnerabilidades de los programas N A A
[E.21]Errores de mantenimiento / actualización de programas
N M M
[E.23]Errores de mantenimiento / actualización de equipos
P A A
[E.24]Caída del sistema por agotamiento de recursos N A A
[E.25]Pérdida de equipos P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7]Uso no previsto P A A
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P A A
[A.18]Destrucción de información P A A
[A.19]Divulgación de información P A A
[A.25]Robo P A A
[A.26]Ataque destructivo P A A Tabla 63 Valoración Riesgo Sistema de gestión de bases de datos
85
Activo: Ofimática Probabilidad Impacto Riesgo
[E.8]Difusión de software dañino N M M
[E.20]Vulnerabilidades de los programas N A A
[E.21]Errores de mantenimiento / actualización de programas
N M M
[E.23]Errores de mantenimiento / actualización de equipos
N A A
[E.25]Pérdida de equipos P A A
[A.7]Uso no previsto N M M
[A.11]Acceso no autorizado P B B Tabla 64 Valoración Riesgo Ofimática
Activo: Anti -virus Probabilidad Impacto Riesgo
[E.1]Errores de los usuarios N M M
[E.2]Errores del administrador P A A
[E.4]Errores de configuración P A A
[A.11]Acceso no autorizado P A A Tabla 65 Valoración Riesgo Anti -virus
Activo: Sistema operativo Probabilidad Impacto Riesgo
[E.2]Errores del administrador P A A
[E.4]Errores de configuración P A A
[E.8]Difusión de software dañino P A A
[E.19]Fugas de información P A A
[E.20]Vulnerabilidades de los programas N A A
[E.21]Errores de mantenimiento / actualización de programas
N M M
[E.23]Errores de mantenimiento / actualización de equipos
P A A
[E.25]Pérdida de equipos P A A
[A.3] Manipulación de los registros de actividad P A A
[A.4]Manipulación de la configuración P A A
[A.5]Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P A A
[A.18]Destrucción de información P A A
[A.19]Divulgación de información P A A
[A.25]Robo P A A
[A.26]Ataque destructivo P A A Tabla 66 Valoración Riesgo Sistema operativo
Activo: Herramientas de desarrollo Probabilidad Impacto Riesgo
[E.8]Difusión de software dañino P M M
[E.20]Vulnerabilidades de los programas N A A
86
[E.21]Errores de mantenimiento / actualización de programas
N M M
[E.23]Errores de mantenimiento / actualización de equipos
N M M
[E.25]Pérdida de equipos P B B
[A.11]Acceso no autorizado P B B Tabla 67 Valoración Riesgo Herramientas de desarrollo
Activo: Computadores de pruebas Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP B MB
[N.*]Desastres naturales P A A
[I.1]Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.3]Contaminación mecánica P M M
[I.4]Contaminación electromagnética P M M
[I.5] Avería de origen físico o lógico N M M
[I.6]Corte del suministro eléctrico N M M
[I.7]Condiciones inadecuadas de temperatura o humedad P M M
[I.11]Emanaciones electromagnéticas P M M
[E.2]Errores del administrador N M M
[E.23]Errores de mantenimiento / actualización de equipos
N M M
[E.25]Pérdida de equipos P M M
[A.6]Abuso de privilegios de acceso P M M
[A.7]Uso no previsto P M M
[A.11]Acceso no autorizado P M M
[A.23]Manipulación de los equipos P M M
[A.25]Robo P M M
[A.26]Ataque destructivo P M M Tabla 68 Valoración Riesgo Computadores de pruebas
Activo: Computadores de desarrollo Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.3]Contaminación mecánica P A A
[I.4]Contaminación electromagnética P A A
87
[I.5] Avería de origen físico o lógico N A A
[I.6]Corte del suministro eléctrico N A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[I.11]Emanaciones electromagnéticas P A A
[E.2]Errores del administrador N A A
[E.23]Errores de mantenimiento / actualización de equipos
N A A
[E.25]Pérdida de equipos P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
[A.11]Acceso no autorizado P A A
[A.23]Manipulación de los equipos P A A
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 69 Valoración Riesgo Computadores de desarrollo
Activo: Computadores de soporte Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.3]Contaminación mecánica P A A
[I.4]Contaminación electromagnética P A A
[I.5] Avería de origen físico o lógico N A A
[I.6]Corte del suministro eléctrico N A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[I.11]Emanaciones electromagnéticas P A A
[E.2]Errores del administrador N A A
[E.23]Errores de mantenimiento / actualización de equipos
N A A
[E.25]Pérdida de equipos P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
88
[A.11]Acceso no autorizado P A A
[A.23]Manipulación de los equipos P A A
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 70 Valoración Riesgo Computadores de soporte
Activo: Cableado red de área local Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.3]Contaminación mecánica P A A
[I.5] Avería de origen físico o lógico N A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[E.23]Errores de mantenimiento / actualización de equipos
N A A
[E.25]Pérdida de equipos P A A
[A.23]Manipulación de los equipos P A A
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 71 Valoración Riesgo Cableado red de área local
Activo: Switch Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.3]Contaminación mecánica P A A
[I.5] Avería de origen físico o lógico P A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[E.23]Errores de mantenimiento / actualización de equipos
N A A
[E.25]Pérdida de equipos P A A
[A.23]Manipulación de los equipos P A A
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 72 Valoración Riesgo Switch
Activo: Internet Probabilidad Impacto Riesgo
89
[I.8]Fallo de servicios de comunicaciones N A A
[E.2]Errores del administrador N M M
[E.9] Errores de [re-]encaminamiento P A A
[E.10]Errores de secuencia P A A
[A.5] Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
[A.10]Alteración de secuencia P A A
[A.11]Acceso no autorizado P A A
[A.12]Análisis de tráfico P A A
[A.14]Interceptación de información P A A
[A.15]Modificación deliberada de información P A A Tabla 73 Valoración Riesgo Internet
Activo: Red telefónica Probabilidad Impacto Riesgo
[I.8]Fallo de servicios de comunicaciones P A A
[E.9] Errores de [re-]encaminamiento P A A
[A.7] Uso no previsto P A A
[A.10]Alteración de secuencia P A A
[A.14]Interceptación de información P A A Tabla 74 Valoración Riesgo Red telefónica
Activo: Red local Probabilidad Impacto Riesgo
[I.8]Fallo de servicios de comunicaciones P A A
[E.2]Errores del administrador N M M
[E.9]Errores de [re-]encaminamiento P A A
[E.10]Errores de secuencia P A A
[A.5] Suplantación de la identidad del usuario P A A
[A.6]Abuso de privilegios de acceso P A A
[A.7] Uso no previsto P A A
[A.10]Alteración de secuencia P A A
[A.11]Acceso no autorizado P A A
[A.12]Análisis de tráfico P A A
90
[A.14] Interceptación de información P A A
[A.15]Modificación deliberada de la información P A A
Tabla 75 Valoración Riesgo Red local
Soportes de información Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[A.7] Uso no previsto P A A
[A.11]Acceso no autorizado P A A
[A.18] Destrucción de información P A A
[A.19] Divulgación de información P A A
[A.25] Robo P A A
[A.26]Ataque destructivo P A A Tabla 76 Valoración Riesgo Soportes de información
Activo: Oficina Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[I.11]Emanaciones electromagnéticas P M M
[E.15]Alteración accidental de la información P M M
[E.18] Destrucción de información P M M
[E.19]Fugas de información P M M
[A.7] Uso no previsto P A A
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P A A
[A.18] Destrucción de información P M M
[A.19] Divulgación de información P M M
[A.26]Ataque destructivo P A A Tabla 77 Valoración Riesgo Oficina
91
Activo: Edificio Probabilidad Impacto Riesgo
[N.1] Fuego P A A
[N.2] Daños por agua MP A M
[N.*]Desastres naturales P A A
[I.1] Fuego P A A
[I.2] Daños por agua P A A
[I.*]Desastres industriales P A A
[I.7]Condiciones inadecuadas de temperatura o humedad P A A
[I.11]Emanaciones electromagnéticas P A A
[E.15]Alteración accidental de la información P A A
[E.18] Destrucción de información P M M
[E.19]Fugas de información P A A
[A.7] Uso no previsto P A A
[A.11]Acceso no autorizado P A A
[A.15]Modificación deliberada de la información P A A
[A.18] Destrucción de información P M M
[A.19] Divulgación de información P M M
[A.26]Ataque destructivo P A A Tabla 78 Valoración Riesgo Edificio
Activo: Administradores de sistemas Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización N B B
[E.19] Fugas de información P M M
[E.28] Indisponibilidad del personal N M M
[A.28] Indisponibilidad del personal P M M
[A.29] Extorsión P B B
[A.30]Ingeniería social P B B Tabla 79 Valoración Riesgo Administradores de sistemas
Activo: Administrador base de datos Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización P B B
[E.19]Fugas de información P A A
[E.28] Indisponibilidad del personal N A A
[A.28] Indisponibilidad del personal P A A
[A.29] Extorsión P B B
[A.30]Ingeniería social P B B Tabla 80 Valoración Riesgo Administrador base de datos
Activo: Desarrolladores Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización P M M
[E.19]Fugas de información P A A
[E.28] Indisponibilidad del personal N A A
[A.28] Indisponibilidad del personal P A A
[A.29] Extorsión P B B
[A.30] Ingeniería social P B B
92
Tabla 81 Valoración Riesgo Desarrolladores
Activo: Soporte Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización P B B
[E.19]Fugas de información P B B
[E.28] Indisponibilidad del personal N A A
[A.28] Indisponibilidad del personal P A A
[A.29] Extorsión P B B
[A.30] Ingeniería social P B B Tabla 82 Valoración Riesgo Soporte
Activo: Comercial Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización P B B
[E.19]Fugas de información P B B
[E.28] Indisponibilidad del personal N A A
[A.28] Indisponibilidad del personal P A A
[A.29] Extorsión P B B
[A.30] Ingeniería social P B B Tabla 83 Valoración Riesgo Comercial
Activo: Usuarios externos Probabilidad Impacto Riesgo
[E.19] Fugas de información P M M Tabla 84 Valoración Riesgo Usuarios externos
Activo: Usuarios internos Probabilidad Impacto Riesgo
[E.7] Deficiencias en la organización P B B
[E.19]Fugas de información P B B
[E.28]Indisponibilidad del personal N A A
[A.28]Indisponibilidad del personal P A A
[A.29]Extorsión P B B
[A.30]Ingeniería social P B B Tabla 85 Valoración Riesgo Usuarios internos
93
4. CONTROLES DE SEGURIDAD BAJO LA NORMA ISO 27001:2013
Una vez evaluados los riesgos se sigue con la selección de los controles para mitigar o
eliminar dichos riesgos. La norma ISO 27001 versión 2013 tiene dentro de sus
documentos la declaración de aplicabilidad, que representa el vínculo entre la evaluación
de riesgos y el tratamiento y la puesta en práctica de la seguridad de la información, la
cual posee un listado de los controles que la empresa debería tener en cuenta para
cumplir con el estándar.
A 5. POLÍTICA DE SEGURIDAD
A 5.1 Política de Seguridad de la Información
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar control
SI NO RL OC RN AR
A 5.1.1
Políticas de seguridad
de la información
X Un documento de política de
seguridad de la información
ha sido aprobado por la
administración.
X
X
A 5.1.2
Revisión de las políticas
para seguridad de la
información
X Actualiza periódicamente:
La política formal y
documentada de conciencia y
entrenamiento en seguridad
de la información que incluye
el propósito, el alcance, roles,
responsabilidades,
compromiso de la
administración, coordinación
entre entidades
organizacionales y
cumplimiento
X
X
Tabla 89 Declaración de aplicabilidad Fuente: Autores
A 6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A 6.1 Organización Interna
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 6.1.1
Roles y
responsabilidades para la
seguridad de la
información
X Se debe designar un dueño
para gestionar la red. Las
responsabilidades por las
principales tareas de gestión
de red deben ser claramente
asignados a una o más
X
94
personas capaces, que
deben aceptar las
responsabilidades (incluidas
las los de la seguridad de la
información) relacionadas
con estas funciones.
A 6.1.2
Separación de deberes X El personal de la red debería
ser:
a) competente para operar
la red en condiciones
normales
b) capacitado para hacer
frente a errores, las
condiciones de excepción y
de emergencia
c) en número suficiente para
manejar la carga normal y
los picos de trabajo
X
A 6.1.3
Contacto con las
autoridades
X Se mantienen contactos con
las autoridades pertinentes.
X
A.6.2. Dispositivos móviles y Teletrabajo.
A 6.2.1
Política para dispositivos
móviles
X La entidad:
(a) Establece restricciones
para el uso y una guía de
implementación para los
dispositivos móviles y
portátiles.
(b) Autoriza, monitorea y
controla el acceso de los
dispositivos móviles a los
sistemas de información.
X
A 6.2.2
Teletrabajo
X La empresa autoriza,
monitorea y controla todo el
método de acceso por VPN al
sistema de información.
X
A 7. SEGURIDAD DE LOS RECURSOS HUMANOS
A 7.1 Antes de asumir el empleo
A 7.1.1
Selección
X La empresa define los cargos y
establece criterios para la
selección y contratación del
personal para dichos cargos.
La entidad revisa dichos cargos
con una frecuencia
establecida.
X
X
A 7.1.2
Términos y condiciones
del empleo
X La entidad establece acuerdos
de confidencialidad firmados
por los usuarios que requieren
X
X
95
acceder la información
organizacional y los sistemas
de información antes de
autorizar su acceso y efectúa
revisiones periódicas a dichos
acuerdos.
A 7.2 Durante la ejecución del empleo
A 7.2.1
Responsabilidades de la
dirección
X La administración exige a
empleados y contratistas la
lectura, aplicación de
documentos y controles para la
seguridad de la información.
X
X
A 7.2.2
Toma de conciencia,
educación y formación
en la seguridad de la
información
X La empresa suministra
entrenamiento básico a partir
de capacitaciones reuniones u
orientación en conciencia de
seguridad a todos los usuarios
de los sistemas de información
(incluyendo administradores y
ejecutivos) antes de autorizar
el acceso al sistema, cuando se
requiera por cambios en el
sistema o regularmente según
un período establecido.
X
X
A 7.2.3 Proceso disciplinario X La entidad adopta un proceso
disciplinario formal para el
personal que viole el
cumplimiento de las políticas y
procedimientos de seguridad
de la información.
X X
A 7.3 Terminación y Cambio de Empleo
A 7.3.1
Terminación o
cambio de
responsabilidades de
empleo
X La entidad retira el acceso a
los sistemas de información
antes de la terminación del
contrato laboral, realiza
entrevistas de retiro, gestiona
la devolución de activos y
autoriza al personal apropiado
para revisar los registros
creados en el sistema de
información por parte del
personal que se retira.
X
X
A 8. GESTIÓN DE ACTIVOS
A 8.1 Responsabilidad por los Activos
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
96
SI NO RL OC RN AR
A 8.1.1
Inventario de Activos
X Elaborar y mantener un
documento de
inventario de los
activos asociados a
las instalaciones de
procesamiento de la
información.
El Hardware y software
(incluyendo aplicaciones de
escritorio críticas) se deben
registrar en los inventarios
que especifican una única
descripción de hardware /
software en uso, junto con su
versión y la ubicación
X
A 8.1.2
Propiedad de los activos X Deberían existir
procedimientos
documentados para la
gestión de activos, que
incluyan:
a) la adquisición de software
y hardware
b) el licenciamiento de
software
c) el registro de activos en un
inventario (o equivalente)
d) el archivo de la
información importante
X
A 8.1.3
Uso aceptable de los
activos
X Se deben cumplir con los
requisitos escritos en el
licenciamiento para el uso
previsto del software y el
suministro de prueba de
propiedad del software
X
A 8.1.4 Devolución de activos X Los empleados y usuarios
externos deben devolver los
activos de la empresa que se
encuentren en su posesión a
la terminación de su
empleo, contrato o
acuerdo.
La información importante
debería ser retenida de
conformidad con los
requisitos jurídico y
reglamentarios
X
A 8.2 Clasificación de la Información
97
A 8.2.1
Clasificación de la
información
X Se debería aplicar un sistema
de clasificación de la
información en toda la
empresa que:
a) tenga en cuenta el
impacto potencial en el
negocio ante la pérdida de
confidencialidad de la
información
b) se utiliza para determinar
distintos niveles de
confidencialidad de la
información utilizando top
secret en confianza y pública
X
A 8.2.2
Etiquetado de la
información
X Se deben aprobar los
métodos de etiquetado de la
información clasificada para:
a) la información almacenada
en papel utilizando etiquetas
adhesivas.
b) la información
almacenada en formato
electrónico (por ejemplo,
marcas de agua electrónicas,
etiquetas de encabezados y
pies de página, uso de
convenciones para nombres
de archivo)
c)Comunicaciones
electrónicas utilizando la
firma digital e identificando
claramente la clasificación en
las cabeceras de los
mensajes de correo
electrónico
X
A 8.2.3
Manejo de activos
X Se elaborarán procedimientos
para el manejo de los activos
de acuerdo con el esquema
de clasificación de la
información documentada
por la empresa.
X
A 8.3 Manejo de Medios
A 8.3.1
Gestión de los medios
removibles
X La empresa desarrolla,
divulga, revisa y actualiza
periódicamente:
(a) una política formal y
X
98
documentada que
incluya el propósito,
alcance, roles,
responsabilidades,
compromiso de la
administración,
coordinación entre
entidades
organizacionales y
cumplimiento;
(b) Procedimientos
formales y
documentados para
facilitar la
implementación de la
política de protección
de los medios y los
controles
relacionados.
A 8.3.2
Disposición de los
medios
X La entidad restringe el
acceso a los medios del
sistema de información a
personal autorizado.
X
A 8.3.3
Transferencia de
medios físicos
X La entidad protege y
controla los medios del
sistema de información
durante el transporte
fuera de las áreas
controladas y restringe las
actividades relacionadas
con el transporte de los
medios sólo al personal
autorizado.
Mejoras al control:
(a) La entidad utiliza
mecanismos
automáticos realizados
por un software para
restringir el acceso a
las áreas de
almacenamiento de
los medios.
(b) La entidad documenta
las actividades
asociadas con el
transporte de los
X
99
medios del sistema de
información.
Tabla 90 organización de la seguridad de la información Fuente: Autores
A 9. CONTROL DE ACCESO
A 9.1 Requisitos del Negocio para el Control de Acceso
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 9.1.1
Política de control de
acceso
X La empresa desarrolla,
divulga, revisa y actualiza
periódicamente:
(a) una política de control de
acceso formal y
documentada, que
incluye el propósito,
alcance, roles,
responsabilidades,
compromiso de la
administración,
coordinación entre
entidades
organizacionales y
cumplimiento.
(b) Procedimientos formales,
documentados para
facilitar la
implementación de la
política de control de
acceso y controles
asociados.
X
A 9.1.2
Acceso a redes y a
servicios de red
X La empresa administra las
cuentas de acceso a los
sistemas de información y
servicios de TI e incluye el
establecer, activar, modificar,
revisar, desactivar y remover
cuentas por medio del LDAP.
La entidad revisa las cuentas
de los sistemas de
información según una
frecuencia definida, por lo
menos cada 6 meses.
X
A 9.2 Gestión del Acceso de Usuarios
100
A 9.2.1
Registro y cancelación
del registro de usuarios
X La empresa utiliza
mecanismos automatizados
del directorio Activo LDAP
para auditar las acciones de
creación, modificación,
desactivación y terminación
de cuentas y notifica a los
usuarios en la medida en que
se requiera.
Se desactivan
automáticamente las cuentas
temporales y de emergencia
después de un periodo de
tiempo definido para cada
tipo de cuenta. Se desactivan
automáticamente las cuentas
inactivas después de un
período de tiempo
establecido.
X
A 9.2.2
Suministro de acceso a
usuarios
X Hay un proceso del directorio
activo LDAD para asignar y
revocar derechos de acceso.
X
A 9.2.3
Gestión de derechos de
acceso privilegiado
X Se establece segregación de
funciones a través de
autorizaciones de acceso
asignadas.
X
A 9.2.4
Gestión de información
de autenticación secreta
de usuarios
X Existe un proceso del
directorio activo LDAD para la
asignación de la información
secreta de autenticación.
X
A 9.2.5
Revisión de los derechos
de acceso de usuarios
X Se establece el conjunto de
derechos y privilegios más
restrictivo o los accesos
mínimos necesarios de los
usuarios (o procesos
actuando en representación
de los usuarios) para el
desempeño de las tareas
específicas a través del
directorio Activo LDAD.
X
A 9.2.6
Retiro o ajuste de los
derechos de acceso
X La empresa administra las
cuentas de acceso a los
sistemas de información y
servicios de TI e incluye el
establecer, activar, modificar,
revisar, desactivar y remover
cuentas por medio del LDAP.
La entidad revisa las cuentas
X
101
de los sistemas de
información según una
frecuencia definida, por lo
menos cada 6 meses.
A 9.3 Responsabilidades de los Usuarios
A 9.3.1
Uso de información de
autenticación secreta
X Los usuarios deben seguir las
prácticas de la empresa en el
uso de las políticas de la
información descriptos en el
documento.
X
A 9.4 Control de Acceso a Sistemas y Aplicaciones
A 9.4.1
Restricción del acceso a
la información
X La empresa supervisa y revisa
las actividades de los usuarios
con respecto a reforzar y usar
los controles de acceso del
sistema de información y
servicios de TI.
Utilizando los servicios de
firewall
X
A 9.4.2
Procedimiento de
ingreso seguro
X Se notifica al usuario, la fecha
y la hora del último ingreso
exitoso, y el número de
intentos de ingreso fallidos
desde el último logon exitoso.
A través de mensaje desde
directorio activo LDAD
X
A 9.4.3
Sistema de gestión de
contraseñas
X La entidad administra las
cuentas de acceso a los
sistemas de información y
servicios de TI e incluye el
establecer según una
frecuencia definida, por lo
menos cada 2 meses desde el
Directorio activo enviando el
restablecimiento
X
A 9.4.4
Uso de programas
utilitarios privilegiados
X Se restringe el uso de
programas que puedan
anular los controles del
sistema.
X
9.4.5 Control de acceso al
código fuente de los
programas
X La empresa administra
cuentas en repositorio a
través de programas como
subversión SVN el dar el
acceso a los códigos fuentes
X X
Tabla 91 Control de Acceso Fuente: Autores
102
A 10. CRIPTOGRAFÍA
A 10.1 Controles Criptográficos
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 10.1.1
Política sobre el uso de
controles criptográficos
X Se implementará una política
sobre el uso de controles
criptográficos para la
protección de la información.
X
A 10.1.2
Gestión de llaves
X Se implementará una política
sobre el uso y protección de
las claves criptográficas.
X
A 11. SEGURIDAD FÍSICA Y DEL ENTORNO
A 11.1 Áreas Seguras
A 11.1.1 Perímetro de seguridad
física
X Deben existir normas y
procedimientos para la
protección física en las zonas
donde se alojan los servicios
de TI críticos dentro de la
organización. La utilización
de avisos visibles
X
X
A 11.1.2 Controles de acceso
físicos
X Los estándares y
procedimientos deben cubrir
la protección de:
a) Edificios contra el acceso
no autorizado, mediante el
uso de candados, los guardias
de seguridad y vigilancia por
vídeo
b) documentos importantes y
medios de almacenamiento
removible CD, DVD y USB de
memoria, contra el robo o
copiado
c) áreas de almacenamiento
donde se almacenan los
activos de la organización,
equipo y medios de
almacenamiento o
documentos importantes en
papel.
X X
A 11.1.3
Seguridad de oficinas,
recintos e instalaciones
X Se deben proteger el edificio
que albergan las instalaciones
de TI críticas contra acceso
no autorizado mediante:
a)suministro de cerraduras,
tornillos (o equivalente) en
X
X
103
puertas y ventanas
vulnerables
b) el empleo de guardias de
seguridad c) la instalación de
un circuito cerrado de
televisión (CCTV), o su
equivalente
A 11.1.4
Protección contra
amenazas externas y
ambientales
X Existen elementos de
protección física.
X
X
A 11.2 Equipos
A 11.2.1
Ubicación y protección
de los equipos
X Los equipos están protegidos
para reducir los riesgos de las
amenazas ambientales y de
acceso no autorizado.
X
A 11.2.2
Servicios de suministro X El equipo está protegido
contra fallos del suministro
eléctrico, utilización de UPS y
otros trastornos causados por
fallas en los servicios
públicos.
X
A 11.2.3
Seguridad del cableado X Proteger el cableado de
energía y de red contra daños
la utilización de canaletas
etiquetadas
X
A 11.2.4
Mantenimiento de los
equipos
X Existen procedimientos de
mantenimiento de equipos
realizados por un equipo de
personal encargado para
asegurar su disponibilidad e
integridad.
X
A 11.2.5 Retiro de activos X La entidad autoriza y controla
el ingreso y salida de los
ítems relacionados con el
sistema de información
dentro de las instalaciones y
mantiene registros
apropiados de dichos
eventos.
X
A 11.2.6 Seguridad de los
equipos fuera de las
instalaciones
X La entidad mantiene
controles administrativos,
operacionales y técnicos del
sistema de información en el
sitio alterno.
X
11.2.7 Disposición segura o
reutilización de equipos
X La entidad sanea los medios
del sistema de información
antes de su eliminación o
reutilización. Mejoras al
control:
X X
104
(a) La entidad registra,
documenta y verifica las
acciones de saneamiento y
eliminación de los medios.
(b) La entidad prueba
periódicamente el
saneamiento de los equipos y
los procedimientos para
verificar su correcto
desempeño.
11.2.8 Equipo de usuario
desatendido
X Existe una política para
bloquear el equipo ante la
ausencia de su operador. En
cada sistema del equipo
X
Tabla 92 Criptografía Fuente: Autores
A 12. SEGURIDAD DE LAS OPERACIONES
A 12.1 Procedimientos Operacionales y Responsabilidades
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 12.1.1
Procedimientos de
operación
documentados
X La entidad desarrolla, divulga,
revisa y actualiza
periódicamente:
(a) una política formal y
documentada de
mantenimiento del
sistema de información
que incluye el propósito,
alcance, roles,
responsabilidades,
compromiso de la
administración,
coordinación entre
entidades
organizacionales y
cumplimiento;
(b) procedimientos formales
y documentados para
facilitar la
implementación de la
política de
mantenimiento del
sistema de información y
los controles
relacionados.
X
X
105
A 12.1.2 Gestión de cambios X El proceso de gestión de
cambios debe estar
documentado e incluir:
a) la aprobación de los
cambios y las pruebas para
asegurarse de que no pongan
en peligro los controles de
seguridad
b) la realización de cambios y
su aprobación para
asegurarse de que se realizan
correctamente y de forma
segura
c) la revisión de los cambios
realizados para garantizar
que no se aplican cambios no
autorizados
X X
A 12.1.3 Gestión de la capacidad X Antes de que sean aplicados
los cambios al ambiente
productivo de la red se debe
considerar:
a) la documentación de las
solicitudes de cambio y la
aceptación por parte de las
personas autorizadas
b) los cambios deben ser
aprobados por el
representante del negocio
apropiado
c) se debe evaluar el impacto
potencial para el negocio de
los cambios a ser realizados
d) los cambios deben ser
probados
e) los cambios deben ser
revisados para garantizar que
no comprometan los
controles de seguridad
f) se debe realizar un copia de
respaldo de manera que se
pueda restaurar la red
después de cambios fallidos o
resultados inesperados
X X
A 12.2 Protección contra Códigos Maliciosos
A 12.2.1 Controles contra códigos
maliciosos
X Deben existir normas y
procedimientos
documentados relacionados
X
106
con la protección contra
software malicioso que
especifiquen:
a) los métodos para instalar y
configurar el software de
protección contra programas
maliciosos software de
protección antivirus
b) los mecanismos para la
actualización de software de
protección contra programas
maliciosos (incluyendo
actualizaciones automáticas).
A 12.3 Copias de Respaldo
A 12.3.1 Respaldo de la
información
X Las copias de respaldo de la
información y el software
importante se deben realizar
con la frecuencia necesaria
para satisfacer los
requerimientos del negocio
Las copias de respaldo deben
ser:
a) realizadas utilizando un
software de administración
de copias para reforzar la
seguridad de la información
b) cifradas para proteger la
información importante
c) grabados en un registro (o
equivalente), que incluye
detalles acerca de los datos
contenidos en la copia de
seguridad, la fecha y hora, y
el medio utilizado
d) verificadas para
comprobar su restauración
exitosa
X
A 12.4 Registro y Seguimiento
A 12.4.1 Registro de eventos X Se almacenan y revisan
periódicamente los registros
de actividades de usuarios,
excepciones, errores y
eventos sobre la seguridad
de la información. Con la
utilización del Software
X
107
A 12.4.2 Registros del
administrador y del
operador
X Las actividades del
administrador y el operador
del sistema deberán ser
registrados y sus registros
protegidos y revisados con
regularidad.
X
A 12.4.3 Sincronización de relojes X Los relojes de todos los
sistemas de procesamiento
de información deben estar
sincronizados a una sola
fuente de tiempo.
X
A 12.5 Control de Software Operacional
A 12.5.1 Instalación de software
en sistemas operativos
X La empresa
(a) Establece estándares de
configuración
obligatorios para los
productos de TI utilizados
en el sistema de
información;
(b) Configura los estándares
de seguridad al modo
más restrictivo posible
según los requisitos
operacionales;
X
A 12.6 Gestión de la Vulnerabilidad Técnica
A 12.6.1 Gestión de las
vulnerabilidades técnicas
X a) el escaneo de
vulnerabilidades para
servidores y dispositivos de
red usando productos
especializados Pingware
b) la verificación de
desactivación en los
dispositivos de red de los
comandos y utilitarios
innecesario
X
A 12.6.2 Restricción sobre la
instalación de software
X La entidad cumple con las
restricciones de uso del
software.
La entidad forzó al
cumplimiento de reglas
explicitas que gobiernan la
instalación de software por
parte de los usuarios.
X
A 12.7 Consideraciones sobre Auditorias de Sistemas de Información
A 12.7.1 Controles de auditorías
de sistemas de
información
X Las auditorías de las
actividades relacionadas con
los sistemas están
planificadas y acordadas para
minimizar las interrupciones a
X
108
los procesos de negocio.
A 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 Gestión de la Seguridad de las Redes
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 13.1.1 Controles de las redes X Las redes están gestionadas
y controladas, a través de
switch y router.
a) Que la red sea compatible
con otras redes utilizados por
la organización
b) que la red esté
configurada para hacer
frente a la evolución
previsible del uso de las TI en
la organización
X
A 13.1.2
Seguridad de los
servicios de red
X incluir el cifrado del acceso
administrativo a los
dispositivos de red firewalls
a) restringir el número de
puntos de entrada a la red
b) permitir la gestión de red
de extremo a extremo desde
una ubicación principal
X
A 13.1.3
Separación en las redes X Grupos de servicios de
información, los usuarios y
los sistemas de información
estarán separados en las
redes.
X
A 13.2 Transferencia de Información
A 13.2.1
Políticas y
procedimientos para el
intercambio de
información
X La empresa debe estar
apoyada por una función de
seguridad de la información
(o equivalente), que tiene la
responsabilidad para la
promoción de buenas
prácticas en seguridad de la
información en toda la
empresa. El jefe de la función
de seguridad de la
X
109
información debería tener
dedicación de tiempo
completo a la seguridad de la
información
A 13.2.2
Acuerdos
sobre
transferencia
de información
X La función de seguridad de la
información debería:
a) Desarrollar y mantener
una estrategia de seguridad
de la información
b) Coordinar la seguridad de
la información a través de la
organización
c) Definir un conjunto de
servicios de seguridad
servicio de identidad, que
proporcionan una gama
coherente de capacidades de
seguridad
d) Desarrollar normas,
procedimientos y guías de
seguridad de la información
e) proveer consejo
especializado en todos los
aspectos de la seguridad de
la información (por ejemplo,
información de análisis de
riesgos, la seguridad de la
información, administración
de incidentes y protección
contra malware)
X
A 13.2.3
Mensajería electrónica X Evaluar las implicaciones de
seguridad de las iniciativas
de negocio especializadas de
comercio electrónico y de
intercambio de información
X
A 13.2.4
Acuerdos de
confidencialidad o de no
divulgación
X Se identifican y documentan
los requisitos para los
acuerdos de confidencialidad
o de no divulgación que
reflejan las necesidades de la
empresa para la protección
de la información.
X
110
A 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
A 14.1 Requisitos de Seguridad de los Sistemas de Información
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 14.1.1
Análisis y especificación
de los requisitos de
seguridad de la
información
X La función de seguridad de la
información debería
monitorear:
a) las tendencias generales
de los negocios las
perspectivas de crecimiento,
nacional, el comercio
electrónico y la contratación
externa
b) Las amenazas nuevas y
emergentes del robo de
identidad, ataques de
phishing
c) nuevas soluciones de
seguridad de la información
la gestión de derechos
digitales y de prevención de
intrusiones
d) los estándares
emergentes de la industria
relacionada con la seguridad
de la información las Normas
de Buenas Prácticas ISO
27002
e) las nuevas leyes o
reglamentación relacionada
con la seguridad de la
información, a la privacidad
de los datos.
X
A 14.1.2
Seguridad de servicios
de las aplicaciones en
redes públicas
X La red debe ser diseñada
para:
a) ocultar los nombres de red
y topologías a partes
externas
b) restringir el tráfico de la
red externa a sólo
determinadas partes de la
red
X
A 14.1.3
Protección de
transacciones de los
servicios de las
aplicaciones
X La función de seguridad de la
información debería
monitorear:
X
111
(a) Los avances tecnológicos
(por ejemplo, la
tecnología basada en la
web, arquitectura
orientada a servicios
(SOA) y Voz sobre IP)
(b) Nuevas vulnerabilidades
en los principales
sistemas operativos,
aplicaciones y otros
programas utilizando los
sitios web de
proveedores y listas de
correo
A 14.2 Seguridad en los Procesos de Desarrollo y Soporte
A 14.2.1 Política de desarrollo
seguro
X Se establecen y aplican
reglas para el desarrollo de
software y sistemas dentro de
la empresa.
X
X
A 14.2.2 Procedimientos de
control de cambios en
sistemas
X Los cambios en los sistemas
deben realizarse mediante el
uso de procedimientos de
control de cambios.
X
X
A 14.2.3
Revisión técnica de las
aplicaciones después de
los cambios en la
plataforma de operación
X Cuando se cambian las
plataformas en
funcionamiento,
las aplicaciones deben
revisarse para asegurar que
no hay impacto adverso
sobre las operaciones de la
empresa.
X
A 14.2.4
Restricciones en los
cambios a los paquetes
de software
X Las modificaciones
necesarias a
los paquetes de software se
deben controlar de forma
estricta
X
A 14.2.5 Principios de
construcción de los
sistemas seguros
X Se establecerán principios de
ingeniería para sistemas
seguros documentados.
X
,
X
A 14.2.6 Ambiente de desarrollo
seguro
X Se establecen y protegen los
entornos de desarrollo.
X
A 14.2.7
Desarrollo contratado
externamente
X No se ha implementado.
X
A 14.2.8
Pruebas de seguridad de
sistemas
X Se llevan a cabo pruebas de
la funcionalidad de seguridad
durante el desarrollo.
X
A 14.2.9
Prueba de aceptación
del sistema
X
Se establecen pruebas de
aceptación para los nuevos
sistemas de información.
X
112
A 14.3 Datos de prueba
A 14.3.1
Protección de los datos
de prueba del sistema
X Los datos de prueba son
Cuidadosamente
seleccionados, protegidos y
controlados.
X
A 15. RELACIONES CON LOS PROVEEDORES
A 15.1 Seguridad de la Información en las Relaciones con los Proveedores
CONTROL
ISO
CONTROLES CUMPLE CONTROL / DESCRIPCIÓN Razones para
seleccionar
control
SI NO RL OC RN AR
A 15.1.1
Política de seguridad de
la información para las
relaciones con
proveedores
X Se deben establecer
acuerdos documentados con
todos los proveedores de
servicios internos y externos
Los acuerdos con los
proveedores de servicios
deben especificar:
a) las personas responsables
del servicio dentro de las dos
partes en el acuerdo
b) los requisitos de
capacidad, fechas y horarios
de los servicios de red que
son requeridos y los plazos
de tiempo críticos de la red
c) las restricciones en los
métodos de conexión y el
acceso a determinados
servicios
X
X
A 15.1.2
Cadena de suministro de
tecnología de
información y
comunicación
X Obtener una confirmación
independiente de los
controles de seguridad
aplicados por los
proveedores de servicios
para suministración de la
tecnología
X
X
A 15.2 Gestión de la Prestación del Servicios de Proveedores
A 15.2.1
Seguimiento y revisión
de los servicios de los
proveedores
X Los acuerdos con los
proveedores de servicios
deben especificar los
requisitos para:
a) garantizar la continuidad
del servicio
b) el parcheo de los
dispositivos de red
X
X
113
c) la protección de la
información confidencial en
tránsito
d) la separación de los
componentes de la red, tales
como líneas dedicadas para
el tráfico de red sensitivo
e) el desempeño de la
gestión de cambios y la
gestión de incidentes de
seguridad de la información
f) la detección de
interrupciones de servicio y la
recuperación de los mismos
g) las actividades de
instalación y mantenimiento
de las actividades
relacionadas con la red
A 15.2.2
Gestión cambios en los
servicios de los
proveedores
X El proceso de gestión de
cambios debe estar
documentado e incluir:
a) la aprobación de los
cambios y las pruebas para
asegurarse de que no pongan
en peligro los controles de
seguridad
b) la realización de cambios y
su aprobación para
asegurarse de que se realizan
correctamente y de forma
segura
c) la revisión de los cambios
realizados para garantizar
que no se aplican cambios no
autorizados
X
X
A 16. GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN
A 16.1 Gestión de los Incidentes y las mejoras en la Seguridad de la Información
A 16.1.1
Responsabilidades y
procedimientos
X Se establecen las
responsabilidades y los
procedimientos de gestión
para asegurar una respuesta
rápida, eficaz y ordenada a
los incidentes de seguridad
de la información.
X
114
A 16.1.2
Reporte sobre las
debilidades en la
seguridad
X Se requiere que los
empleados y contratistas
reporten cualquier deficiencia
de seguridad de información
detectada o sobre sospecha.
X
A 16.1.3
Respuesta a incidentes
de seguridad de la
información
X Los incidentes de seguridad
de la información deberán
recibir una respuesta de
acuerdo con los
procedimientos
documentados.
X
A 16.1.4
Recolección de
evidencias
X Se definen procedimientos
para la identificación,
recolección y conservación
de la información, que pueda
servir como prueba.
X
A 16.1.5 Evaluación de eventos
de seguridad de la
información y decisiones
sobre ellos
X Los eventos de seguridad de
la información deben ser
evaluados.
X
A 16.1.6 Aprendizaje obtenido de
los incidentes de
seguridad de la
información
X El conocimiento adquirido a
partir del análisis y solución
de los incidentes de
seguridad de la información
se utilizará para reducir la
probabilidad o el impacto de
los incidentes en el futuro.
X
A 17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD
DEL
NEA 17GO.1CIO Continuidad de Seguridad de la Información
CONTROL
ISO
CONTROLES CUMPLE CONTROL /
DESCRIPCIÓN
Razones para
seleccionar
control
SI NO RL OC RN AR
A 17.1.1
Planificación de la
continuidad de la
seguridad de la
información
X
Se determina los requisitos
de seguridad de la
información y la continuidad
de la gestión de seguridad
de la información en
situaciones adversas.
X
X
A 17.1.2
Implementación de la
continuidad de la
seguridad de la
información
X
Se establece, documenta,
implementa y mantienen
procedimientos y controles
para garantizar el nivel
necesario de continuidad de
la seguridad durante una
situación adversa.
X
X
A.17.2 Redundancias
A 17.2.1
Disponibilidad
de
instalaciones
de
X Las instalaciones de
procesamiento de
información tendrán la
redundancia suficiente para
X
115
procesamiento
de información
garantizar la disponibilidad.
18. CUMPLIMIENTO
A 18.1 Cumplimiento de los Requisitos Legales y Contractuales
A 18.1.1
Identificación de la
legislación aplicable y de
los requisitos
contractuales
X Todo lo pertinente al marco
legal, los requisitos
contractuales, y el enfoque de
la empresa para cumplir con
estos deben ser identificados,
documentados y actualizados.
X
X
X
A 18.1.2
Derechos de propiedad
intelectual (DPI)
X Se aplican procedimientos
para garantizar el
cumplimiento de los derechos
de propiedad intelectual.
X
X
A 18.1.3
Protección de registros X Se debe evitar pérdida,
destrucción, falsificación,
acceso no autorizado y
divulgación no autorizada.
X
A 18.1.4
Privacidad y protección
de información de
datos personales
X Los datos personales deben
asegurarse según la
legislación.
X
X
X
A 18.2 Revisiones de Seguridad de la Información
A 18.2.1
Revisión independiente
de
la seguridad de la
información
X Los sistemas de información
deben revisarse regularmente
para verificar el cumplimiento
de las políticas y normas de
seguridad de la información
de la empresa.
X
A 18.2.2
Cumplimiento con las políticas y las normas de seguridad
X Se comprobará
periódicamente el
cumplimiento de las políticas
de seguridad.
X
A 18.2.3
Revisión del
cumplimiento técnico
X Los sistemas de información
deben revisarse regularmente
para verificar el cumplimiento
de las políticas y normas de
seguridad de la información
de la empresa.
X
Tabla 93 Aspectos de seguridad de la información Fuente: Autores
116
4.1 ANÁLISIS GAP PARA ISO - 27001
A través del análisis de diferencias se logra identificar los dominios de control definidos
para la Red2
Con el fin de identificar el estado actual de la organización en cuanto a la Seguridad de la Información se realizaron entrevistas con los responsables de los procesos de cada unidad de negocio, solicitando información y verificación de la documentación existente en cuanto a seguridad de la información, a continuación se describe cada comparación de la empresa frente a el anexo A
2 ISO 27001. (2013). Statement of Applicability of ISO/IEC 27001 Annex A controls. Obtenido de www.ISO27001security.com
117
5. Política de Seguridad
5.1 Dirección de la gestión de seguridad de la información
5.1.1 Políticas de la seguridad de la información No cumple
5.1.2 Revisión de las políticas
de la seguridad de la información No cumple
6. Organización de la seguridad de la información
6.1 Organización interna
6.1.1 Funciones y responsabilidades de seguridad de información No cumple
6.1.2 Segregación de funciones No cumple
6.1.3 Contacto con las autoridades. Cumple
6.1.4 Contacto con grupos de interés especiales Cumple
6.1.5 Seguridad de la información en la gestión de proyectos No cumple
6.2 Dispositivos móviles y Teletrabajo
6.2.1 Política de dispositivos móviles Cumple
6.2.2 Teletrabajo No cumple
7. Seguridad de Recursos Humanos
7.1 Antes del empleo
7.1.1 Screening Cumple
7.1.2
Términos y condiciones de empleo Cumple
7.2 Durante el empleo
7.2.1 Responsabilidades de gestión Cumple
7.2.2 Conciencia de seguridad de la información, educación y entrenamiento
Cumple
7.2.3 Proceso disciplinario No cumple
7.3 Terminación y cambio de empleo
7.3.1 Terminación o cambio de las responsabilidades de empleo No cumple
8. Gestión de Activos 8.1 Responsabilidad de los activos
8.1.1 Inventario de Activos No cumple
118
8.1.2 Propiedad de los activos No cumple
8.1.3 Uso aceptable de los activos
No cumple
8.1.4 Retorno de los activos No cumple
8.2 Clasificación de la Información
8.2.1 Clasificación de la Información No cumple
8.2.2 Etiquetado de la Información
No cumple
8.2.3 Manejo de Activos No cumple
8.3 Manejo de Medios
8.3.1 Gestión de medios extraíbles No cumple
8.3.2 Eliminación de medios No cumple
8.3.3 Transferencia de medios físicos
No cumple
9. Control de Acceso 9.1 Business requirements of access control
9.1.1 Política de control acceso. No cumple
9.1.2 Acceso a las redes y servicios de red No cumple
9.2 Gestión de acceso de usuario
9.2.1 Registro de usuario y cancelación de registro
No cumple
9.2.2 Acceso aprovisionamiento del usuario No cumple
9.2.3 Gestión de derechos de accesos privilegiados No cumple
9.2.4 Gestión de la información de autenticación de secreto de los usuarios
No cumple
9.2.5 Revisión de los derechos de acceso de usuario No cumple
9.2.6 La eliminación o el ajuste de los derechos de acceso
No cumple
9.3 Responsabilidades del usuario
9.3.1 El uso de información secreta de autenticación
No cumple
9.4 Control del sistemas y acceso a las aplicaciones
9.4.1 Restricción de acceso Información No cumple
9.4.2 Procedimientos de inicio de sesión seguro No cumple
9.4.3 Sistema de gestión de contraseña No cumple
9.4.4 El uso de los programas de servicios públicos privilegiados
No cumple
119
9.4.5 Control de acceso al código fuente del programa
No cumple
10. Criptografía
10.1 Controles criptográficos
10.1.1 Política sobre el uso de controles criptográficos
No cumple
10.1.2 Gestión de claves No cumple
11 Seguridad física y ambiental 11.1 Áreas seguras
11.1.1 Perímetro de seguridad física No cumple
11.1.2 Controles de entrada físicas
No cumple
11.1.3 Asegurar oficinas, habitaciones e instalaciones
No cumple
11.1.4 La protección contra amenazas externas y ambientales
No cumple
11.1.5 Trabajar en zonas seguras No cumple
11.1.6 Zonas de entrega y carga No cumple
11.2 Equipo
11.2.1 Ubicación y protección del equipo
No cumple
11.2.2 Apoyo a los servicios públicos No cumple
11.2.3 seguridad cableado No cumple
11.2.4 Mantenimiento del equipo No cumple
11.2.5 Eliminación de los activos No cumple
11.2.6 Seguridad de equipo y activos fuera de las instalaciones
No cumple
11.2.7 Eliminación segura o la reutilización de los equipos
No cumple
11.2.8 Equipos de usuario desatendidos
No cumple
11.2.9 Escritorio limpio y política pantalla limpia No cumple
12. Operaciones de seguridad
12.1 Procedimientos y responsabilidades operacionales
12.1.1 Procedimientos operativos documentados
No cumple
12.1.2 Gestión del cambio No cumple
12.1.3 gestión de la capacidad No cumple
12.1.4 Separación de desarrollo, pruebas y entornos operativos
No cumple
12.2 Protección contra el malware
120
12.2.1 Controles contra el malware No cumple
12.3 Copias de seguridad
12.3.1 Copia de seguridad de la información No cumple
12.4 Registro y seguimiento
12.4.1 registro de eventos No cumple
12.4.2 Protección de la información de registro
No cumple
12.4.3 Registros de administrador y operador
No cumple
12.4.4 sincronización de reloj No cumple
12.5 El control de software operativo
12.5.1 La instalación del software en los sistemas operativos
No cumple
12.6 Técnico de gestión de vulnerabilidades
12.6.1 Gestión de vulnerabilidades técnicas
No cumple
12.6.2 Las restricciones a la instalación de software
No cumple
12.7 Sistemas de información consideraciones de auditoría
12.7.1 Sistemas de información controles de auditoría
No cumple
13. Seguridad de las comunicaciones 13.1 Gestión de la seguridad de red
13.1.1 Controles de red No cumple
13.1.2 Seguridad de los servicios de red No cumple
13.1.3 Segregación en redes No cumple
13.2 Transferencia de información
13.2.1 Las políticas y los procedimientos de transferencia de información
No cumple
13.2.2 acuerdos sobre la transferencia de información
No cumple
13.2.3 mensajería electrónica No cumple
13.2.4 acuerdos de confidencialidad o de no divulgación
No cumple
14. Sistema de adquisición, desarrollo y mantenimiento
14.1 Security requirements of information systems
14.1.1 Información de análisis de requisitos de seguridad y la especificación
No cumple
14.1.2 Asegurar los servicios de aplicaciones en las redes públicas
No cumple
14.1.3 protección de las transacciones de servicios de aplicaciones
No cumple
14.2 Seguridad en los procesos de desarrollo y de apoyo
14.2.1 política de desarrollo seguro
No cumple
14.2.2 Procedimientos de control de cambio de sistema
No cumple
121
14.2.3 Revisión técnica de aplicaciones después de la plataforma operativa
No cumple
14.2.4 restricciones a los cambios en los paquetes de software
No cumple
14.2.5 Principios de ingeniería de sistemas seguros
No cumple
14.2.6 Entorno de desarrollo seguro No cumple
14.2.7 Desarrollo outsource No cumple
14.2.8 Pruebas de seguridad Sistema
No cumple
14.2.9 Pruebas de aceptación del sistema No cumple
14.3 Datos de prueba
14.3.1 Protección de los datos de prueba
No cumple
15. Relaciones con los proveedores 15.1 Seguridad de la información en las relaciones con proveedores
15.1.1 política de seguridad de la información para relaciones con los proveedores
No cumple
15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores
No cumple
15.1.3 Cadena de información y tecnología de comunicación de suministro
No cumple
15.2 Gestión de la prestación de servicios de proveedores
15.2.1 seguimiento y la revisión de los servicios de proveedores
No cumple
15.2.2 Gestión de cambios en los servicios de proveedores
No cumple
16. Información de gestión de incidentes de seguridad
16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Responsabilidades y procedimientos No cumple
16.1.2 Presentación de informes de eventos de seguridad de información
No cumple
16.1.3 Informes debilidades de seguridad de información
No cumple
16.1.4 Evaluación y decisión sobre los eventos de seguridad de información
No cumple
16.1.5 Respuesta a incidentes de seguridad de la información
No cumple
16.1.6 Aprendiendo de los No cumple
122
Tabla 3. Valorización para las cláusulas y requisitos Fuente: Autores
incidentes de seguridad de la información
16.1.7 acopio de pruebas No cumple
17. Los aspectos de seguridad de información de la gestión de la continuidad del negocio 17.1 Información continuidad seguridad
17.1.1 Planificación información continuidad seguridad
No cumple
17.1.2 implementación de la información continuidad seguridad
No cumple
17.1.3 Verificar, revisar y evaluar la información de seguridad de continuidad
No cumple
17.2 Despidos
17.2.1 Disponibilidad de instalaciones de procesamiento de información
No cumple
18. Conformidad 18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificación de la legislación aplicable y los requisitos contractuales
No cumple
18.1.2 Derechos de propiedad intelectual No cumple
18.1.3 Protección de los Registros
No cumple
18.1.4 Privacidad y protección de datos personales No cumple
18.1.5 Reglamento de los controles criptográficos
No cumple
18.2 Revisiones de seguridad de información
18.2.1 Revisión independiente de seguridad de la Información
No cumple
18.2.2 El cumplimiento de las políticas y estándares de Seguridad
No cumple
18.2.3 Revisión de cumplimiento técnico No cumple
123
Dominio Cumple % No cumple %
A.5. Políticas de la Seguridad de la Información 0% 100%
A.6. Organización de la Seguridad de la Información 42.9% 57.1%
A.7. Seguridad de los Recursos Humanos 66.7% 33.3%
A.8. Gestión de Activos 5% 100%
A.9. Control de Acceso 0% 100%
A.10. Criptografía 10%
100%
A.11. Seguridad Física y del Ambiente 4% 100%
A.12. Seguridad de las Operaciones 7% 100%
A.13. Seguridad de las comunicaciones 0% 100%
A.14. Adquisición, desarrollo y mantenimiento de sistemas
8% 100%
A.15. Relaciones con los proveedores 0% 100%
A.16. Gestión de incidentes de seguridad de la información
6% 100%
A.17. Aspectos de seguridad de la información de la gestión de continuidad del negocio
8% 100%
A.18. Cumplimiento 0% 100%
Tabla 86 Resumen de análisis diferencial
Fuente: Autores
4.2 PORCENTAJE DE IMPLEMENTACIÓN DE DOMINIOS
Se presenta de forma más precisa la evaluación de cada dominio
Ilustración 7 Análisis GAP
Fuente: Autores
124
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Una vez evaluados los riesgos se sigue con la selección de los controles para mitigar o eliminar dichos riesgos. La norma ISO 27001 versión 2013 tiene dentro de sus documentos la declaración de aplicabilidad, que representa el vínculo entre la evaluación de riesgos y el tratamiento y la puesta en práctica de la seguridad de la información, la cual posee un listado de los controles que la empresa debería tener en cuenta para cumplir con el estándar. Las políticas de seguridad de la Información describen el marco para la gestión de la seguridad de la información dentro de la empresa. Definen normas, procesos y procedimientos que se aplican a todo el personal de la empresa y terceros que tienen acceso a la información y/o a los sistemas de información de la empresa. Las políticas de seguridad de la información se aplican a todas las formas de información que incluye: Entrevistas, conversaciones, comunicaciones telefónicas o vía radio, datos impresos o escritos en papel, información almacenada en archivadores físicos, información y comunicaciones enviadas por correo, mensajería, fax, correo electrónico, almacenada y procesada a través de servidores, computadores, portátiles, teléfonos móviles, PDA, almacenados en cualquier tipo de medios extraíbles, CD, DVD, cintas, dispositivos de memoria USB, cámaras digitales.
En el anexo 6 se describen las diferentes políticas que se deben implementar para poder contemplar la certificación que se desea obtener para la empresa Serexcel Ltda.
125
6. CONCLUSIONES
Como resultado de la investigación presentada es posible concluir:
• Los procedimientos de trabajo aparecen en detalles más técnicos y desarrollan los
objetivos marcados en las políticas de seguridad de la información con el fin de
reducir el riesgo y también el impacto o la probabilidad de ocurrencia.
• La construcción de un SGSI con base a la norma ISO 27001 es una herramienta que permite analizar y ordenar la estructura de los sistemas de información facilitando la definición de procedimientos, políticas y de controles que van a proteger a la organización frente amenazas y riesgos que pueden poner en peligro el cumplimiento de los objetivos de negocio y de los tres pilares de la seguridad; la confidencialidad, integridad y disponibilidad al interior de la empresa, ante los clientes y las distintas partes interesadas en el negocio, garantizando disminuir de forma significativa el impacto de los riesgos y la seguridad de toda la información.
• El diseño del Sistema de Gestión de Seguridad de la Información depende del Core del negocio, de los objetivos y necesidades de la organización, así como de su estructura. Estos elementos van a permitir definir el alcance de la implantación del sistema teniendo en cuenta las áreas que van a verse involucradas en el cambio
• La metodología MAGERIT permite hacer un análisis de riesgo para reducirlos de la mejor manera posible, logrando identificar, analizar y valorar los activos que una organización posee. No toda la información de la que disponen las organizaciones tienen el mismo valor o está sometida a los mismos riesgos, por eso es importante gestionar el análisis de riesgos determinando vulnerabilidades y controles para evitar que las amenazas sean materializadas.
• Las políticas que sientan las bases de la seguridad en la organización permiten especificar medidas, contemplando todos los aspectos orientados al acceso a la información, utilización de los activos físicos y lógicos, y el comportamiento que deben tener en caso de que ocurra un incidente. Su elaboración debe ser en un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la organización lo pueda entender. Durante esta definición se realiza un estudio de la situación de la organización desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en función de las necesidades detectadas.
126
6. RECOMENDACIONES
• Es imprescindible la revisión y actualización anual del documento de Políticas de Seguridad de la Información, esto debido a casos como: grandes incidentes de seguridad que se hayan presentado, después de una auditoría del sistema sin éxito o por cambios que afectan a la estructura de la organización.
• La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.
• Examinar "Directrices para la auditoría de los sistemas de gestión de la calidad y/o
ambiental" como fuente valiosa para la realización de auditorías internas del SGSI.
ISO19011 proporciona un marco excelente para crear un programa de auditorías
internas y contiene asimismo las cualificaciones del equipo de auditoría interna.
127
8. BIBLIOGRAFÍA
ISO 270000 (2013). Norma ISO. Madrid, Colombia: Portal norma ISO 27000 en español Disponible en: http://www.iso27000.es/
SGSI (2015). Sistema de Gestión de la Seguridad de la Información. Caracas Venezuela Disponible en: http:// sgsi.infocentro.gob.ve//
PHVA (2015). Introducción a Planificación Estratégica. Latinoamérica: Disponible en: http:// www.degerencia.com
SGSI (2015). Universidad Konrad Lorenz. Bogotá, Colombia: Artículos SGSI: Disponible en: http://www.konradlorenz.edu.co/images/stories/articulos/SGSI.pdf
SGSI (2016). Universidad Atlántico. Barranquilla, Colombia: Administrativa SGSI: Disponible en: http://www.uniatlantico.edu.co/uatlantico/administrativa/SGSI
SGSI (2015). Universidad Tecnológica Pereira. Pereira, Colombia. Archivo investigativoSGSI: Disponible en: http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4117.pdf
SGSI (2014). Universidad Distrital FJC. Bogotá, Colombia: Documentación Normatividad SGSI en la universidad. Disponible en: https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/
PHP (2016). Lenguaje de Código Abierto. Estados Unidos. Disponible en: http://php.net/manual/es/index.php
Planificar, Hacer, Verificar, Actuar (2014). Latinoamérica Disponible en: http://www.gerencie.com/
Sistema de gestión de la seguridad de la información. Disponible en
Internet:<http://www.iso27000.es/>
Sistema de gestión de seguridad de la seguridad de la información, ISO 27001.
Disponible en Internet: < http://www.ceeisec.com/nuevaweb/>
Universidad Politécnica de Madrid de España. Information Security enciclopedia -
Intypedia. Enciclopedia de la Seguridad de la Información. Disponible en Internet:
<http://www.intypedia.com/>
128
ANEXOS
129
ANEXO 1
ENCUESTA PARA EL PERSONAL DE LA EMPRESA SEREXCEL
Para la empresa Serexcel es importante contar con su participación para llenar la encuesta la cual servirá para identificar las fallas de seguridad informática más comunes, el manejo que se le da a la información dentro de la organización.
Esta encuesta dura aproximadamente 10 minutos:
Basándose en su propia experiencia:
Marque con una X su respuesta
¿Con que frecuencia se cambian las contraseñas del pc a su cargo?
____ a) Entre 1 y dos meses
____ b) Entre 2 y 6 meses
____ c) Entre 6 meses y 1 año
____ d) más de 1 año
¿Con que frecuencia utiliza internet?
____ a) Una vez al día
____ b) Dos a 10 veces en el día
____ c) Muchas veces en el día
____ a) Todo el tiempo
130
Los problemas más frecuentes que se presentan en el pc a su cargo son: Siendo 1= Siempre, 2= Algunas veces, 3= nunca
Afirmaciones: 1 2 3
a) El pc se bloquea
b) El pc presenta mensajes de error
c) El pc no se conecta a la red
El pc es lento
131
Valore las siguientes afirmaciones: Siendo 1= malo, 2= Aceptable, 3= Bueno, 4= Excelente
Afirmaciones: 1 2 3 4
a) Cambio de Contraseñas periódicamente
b) Actualización de Software permanente
c) Almacenamiento y manejo de copias de seguridad
d) información sobre la responsabilidades en cuanto al manejo de la información
e) Ubicación estratégica de los equipos y servidores para ser protegidos.
En general: ¿Ha tenido usted algún problema en el momento de utilizar el pc?
SI: ____ NO: ____
¿Las dificultades presentadas influyen en la calidad de atención al cliente?
SI: ____ NO: ____
¿Las dificultades presentadas en su pc influyen en el tiempo utilizado y en la calidad de su trabajo?
SI: ____ NO: ____
¿Cree usted que las medidas de seguridad utilizadas son suficientes para proteger la información y prevenir posibles incidentes?
132
SI: ____ NO: ____
¿Recomendaría usted adoptar políticas de seguridad encaminadas a proteger la información y evitar posibles daños de la información?
SI: ____ NO: ____
¿Recomendaría usted adoptar políticas de seguridad encaminadas a proteger la información y evitar posibles daños de la información?
SI: ____ NO: ____
Ilustración 5. Entrevista
133
ANEXO 2
ANÁLISIS DE TRÁFICO DE RED CON WIRESHARK DE LA RED DE LA
EMPRESA SEREXCEL
Whireshark es una herramienta utilizada para el análisis de tráfico de redes, que permite saber que sucede en la red, en la siguiente imagen se indica se puede observar los siguientes datos: El tiempo, la fuente, el destino, el protocolo utilizado, la longitud, las solicitudes que se realizan al servidor, los accesos a páginas de internet etc.
134
Whireshark captura todo lo que sucede en la red (todas las peticiones)
Se puede observar que el servidor se conectó a través de la petición DNS.
135
Al utilizar este programa podemos observar si se está generando tráfico no deseado como un virus que puede provocar lentitud.
Mediante este análisis se puede seleccionar un paquete y en panel de detalles de paquete se encuentra información adicional para cada paquete.
Ilustración 4. Trafico wiresshark
136
ANEXO 3
Encuesta acerca de Seguridad Informática dirigida al área de Sistemas
Nota: Marcar con una X sus respuestas
1. ¿Existe un área o persona responsable de seguridad informática y
seguridad de la información en la empresa?
Sí No
2. ¿Qué tipo de herramientas de seguridad tiene implementado en la
empresa? (se puede seleccionar varias alternativas)
Software ☐
Hardware ☐
No tiene ☐
Otros, indique cuáles ☐
3. ¿Tiene instalado antivirus en los equipos de computación?
Sí No (continuar con la pregunta 5)
4. ¿Qué software utiliza en la empresa para controlar software malicioso? (se puede
seleccionar varias alternativas)
Antivirus ☐ Anti-Spam ☐ Antispyware ☐ Cortafuegos/firewall
☐
Otros, indique cuáles ☐ ________________
5. ¿Cuáles de los siguientes mecanismos de autenticación utiliza en la empresa? (se
puede seleccionar varias alternativas)
Firma electrónica digital ☐ Clave de Acceso ☐ No tiene ☐
Otros, indique cuáles ☐ _____________________
137
6. ¿Se realiza un mantenimiento periódico en los sistemas de procesamiento de
información y equipos informáticos?
Sí No (continuar con la pregunta 8)
7. ¿Cada cuánto tiempo realizan mantenimientos en los sistemas de procesamiento
de información? (se puede seleccionar varias alternativas)
Trimestral ☐ Semestral ☐ Mensual ☐
Otros, Indique el período ☐ ____________________
8. ¿De cuántos computadores dispone su empresa?
20 – 40 40 – 60 60 o más
9. ¿Disponen de servidores centrales de datos en la empresa?
Sí No
10. Si su empresa tiene conexión WIFI, ¿existen restricciones de seguridad para el
acceso de dichas conexiones?
Sí No
11. ¿Se realizan respaldo de la información de la empresa?
Sí No (continuar en 13)
12. ¿En caso de que se realice respaldo de información, con qué frecuencia lo
realizan? (se puede seleccionar varias alternativas)
Diaria ☐ Semanal ☐ Mensual ☐
Otros, indique el período ☐ ___________________________
13. ¿Se utilizan mecanismos de bloqueo automático de las estaciones de trabajo
para cuando se encuentran desatendidos?
Sí No
14. ¿Existen equipos que provean de energía ininterrumpida a los servidores y
computadores de los funcionarios?
Sí No
138
15. ¿Qué servicios y sistemas considera más críticos en términos de disponibilidad?
(se puede seleccionar varias alternativas)
De almacenamiento de datos ☐ Servicios de comunicación ☐
Sistemas de procesamiento de datos ☐ Otros, indique cuáles ☐ __________
16. ¿Dónde se encuentran almacenados los medios de respaldos? (se puede
seleccionar varias alternativas)
Dentro del área de sistemas ☐ Dentro de la empresa, pero
fuera del área de sistemas ☐ Fuera de la empresa
☐ No se realizan almacenamientos. ☐ Otros, indique cuáles
☐
17. ¿Durante el último año tuvieron algún incidente de seguridad grave de la
información?
Sí No Desconoce
18. ¿Se mantiene un registro de fallas cuando ocurre algún evento en los sistemas
de procesamiento de información (servidores, computadores, redes, etc.)?
Sí No
19. ¿El acceso a internet en la empresa es limitado por? (se puede seleccionar
varias alternativas)
Cargo ☐
Usuario ☐
Indique el mecanismo ☐
Ninguna ☐
20. ¿Posee un plan de contingencia vigente en caso de desastres naturales?
Sí No Desconoce
139
ANEXO 4
Entrevista dirigida al Departamento de Sistemas
1. ¿La empresa cuenta con un Manual de Política de Seguridad de la Información?
Si _____ (continuar con la pregunta 2)
No ____ (continuar con la pregunta 4)
2. ¿Cada que tiempo actualiza el Manual de Política Seguridad de la Información?
3. ¿El Manual de Política de Seguridad de la Información se encuentran socializadas
a todo el personal de la empresa?
4. ¿Se actualizan periódicamente los procedimientos e instructivos
establecidos en el área?
Si (continuar con la pregunta 6)
No (continuar con la pregunta 5)
5. ¿Por qué no se actualizan los procedimientos e instructivos del área?
No es necesario
modificable
No se dispone de
suficiente personal
No lo considera
importante
Otra
6. ¿Existe el apoyo necesario de las máximas autoridades en temas de tecnología?
Si
No
7. ¿Se realizan campañas periódicamente para dar a conocer temas relacionados
con seguridad de la información?
Si (continuar con la pregunta 9)
No (continuar con la pregunta 8)
8. Describa la razón del porqué no se realizan campañas referentes a seguridad de
la información
140
9. ¿Se tiene establecido perfiles de usuarios de acuerdo con los roles,
responsabilidades para otorgar acceso a los funcionarios?
Si
No
10. ¿Existen criterios para la clasificación de la información?
Si
No
11. ¿Existen controles de seguridad implementados en los aplicativos
utilizados en la empresa?
Number de Control
Si/ No
Forma de Implementación
Se encuentra documentado
Intervalo de actualización
Medios extraíbles de datos
Control de Accesos: Creación y Eliminación de privilegios de usuarios
Clasificación de la información
Traslado de Propiedad
Gestión de cambio
Control contra software malicioso
Gestión en la entrega de servicios de terceros
Respaldo de información
141
Control de Acceso a Internet
Control de Acceso a correo
Control de Acceso/Seguridad de redes alámbricas e inalámbricas
Aceptación del Sistema
Gestion de Incidentes
Derecho de Propiedad Intelectual
12. ¿Existe una infraestructura adecuada donde se disponen equipos como ups,
rack?
13. ¿Poseen inventarios de tecnología?
Si ___
Inventario Intervalo de actualización
Software Licencias
Suite ofimática
Sistemas Operativos
Aplicativos del Negocio
142
Equipos móviles
Hardware
Equipos de computación
Equipos de red
Dispositivos de almacenamiento
Otros
No ___
14. ¿Cuál es el motivo de no realizar un inventario de los activos de software y
hardware?
15. En caso de haber ocurrido un incidente de seguridad en el último año, describa
lo ocurrido
17. Describa el plan de contingencia en casos de incidentes graves o desastres
naturales
143
ANEXO 5
Encuesta acerca de Seguridad Informática dirigida al personal operativo
Nota: Marcar con una X sus respuestas
1. ¿Conoce de qué se trata el tema de Seguridad Informática y Seguridad de la
Información?
Sí No Desconoce
2. ¿Conoce si en la empresa existe un responsable o área encargada de la seguridad
informática y seguridad de la información?
Sí No Desconoce
3. ¿Qué área considera que debe ser responsable de la seguridad de la informática y
de la información? (se puede seleccionar varias alternativas)
Sistemas ☐ Administrativo ☐ Todas las áreas ☐
Otra, ¿cuál? ☐
4. ¿Cuántas capacitaciones ha recibido acerca de temas seguridad de la
información en el último año?
Más de 5 Menos de 5 Nunca ha recibido
5. ¿Las contraseñas que utiliza tiene combinación de números, letras y es de más de
10 caracteres?
Solo Números y más de 8 caracteres ☒
Solo letras y más de 8 caracteres ☐
Números y letras, más de 8 caracteres ☐
¿Otras, describa?
6. ¿Ha ocurrido algún incidente de seguridad en su puesto de trabajo en el último
año? (bloqueo de la computadora, pérdida de documentos, daño de computadora,
entre otros)
Sí No Desconoce
7. ¿Se le bloquea automáticamente su computadora cuando no la está
utilizando?
Sí No Desconoce
8. ¿Guarda en un lugar seguro (caja fuerte, gabinetes con llave) los documentos
confidenciales cuando ya no los está utilizando?
Siempre A veces Casi Nunca Nunca
9. ¿Cuándo tiene algún incidente de seguridad (falla de equipo, bloqueo de
contraseña, pérdida de información) a quién lo notifica? (se puede seleccionar
varias alternativas)
Gerente de Sistemas ☐ Jefe Inmediato ☐
Altos Directivos ☐ No notifica ☐
Otros, ¿cuál? ☐ _____________
10. ¿Cree que es necesario aplicar controles de seguridad para evitar robo o
daño de información importante para la empresa?
Totalmente de acuerdo ☐ De acuerdo ☐
¿Ni de acuerdo ni en desacuerdo ☐ ¿En desacuerdo, por qué? ☐
11. ¿Qué documentos que maneja, considera usted que son catalogados como
confidencial o de acceso restringido?
Todos Algunos Ninguno
12. ¿Conoce si existe en la empresa áreas restringidas a las cuales solo pueden
acceder personal autorizado?
Sí No Desconoce
145
ANEXO 6
POLÍTICAS DE SEGURIDAD PARA LA EMPRESA
SEREXCEL LTDA. Anexo en CD
146
ANEXO 7
AMENAZAS Y RIESGOS
Anexo en CD