PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE...

PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN PARA ENTIDADES DEDICADAS AL SERVICIO DE

OUTSOURCING DE TI.

DIANA MARCELA GUERRERO

JUAN CAMILO MARTÍNEZ DÍAZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA TELEMÁTICA

BOGOTA D.C

2016

PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN PARA ENTIDADES DEDICADAS AL SERVICIO DE

OUTSOURCING DE TI.

DIANA MARCELA GUERRERO

Código: 20141678034

JUAN CAMILO MARTÍNEZ DÍAZ

Código: 20142678014

Trabajo de tesis para optar al título de:

INGENIERO EN TELEMÁTICA

Proyecto en modalidad: MONOGRAFÍA

Tutor:

ING. MIGUEL ANGEL LEGUIZAMON PÁEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA TELEMÁTICA

BOGOTA D.C

2016

3

CONTENIDO

Pág.

INTRODUCCIÓN ................................................................................................... 10

1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ............................................ 12

1.1 TÍTULO ........................................................................................................... 12

1.2 TEMA .............................................................................................................. 12

1.3 PLANTEAMIENTO DEL PROBLEMA ............................................................. 12

1.4 ALCANCES Y LIMITACIONES ....................................................................... 13

1.4.1 ALCANCES ........................................................................................... 13

1.4.2 LIMITACIONES ..................................................................................... 13

1.5 OBJETIVOS ................................................................................................... 14

1.5.1 OBJETIVO GENERAL ........................................................................... 14

1.5.2 OBJETIVOS ESPECÍFICOS ................................................................. 14

1.6 JUSTIFICACIÓN ............................................................................................ 14

1.7 MARCO TEÓRICO (ESTADO DEL ARTE) .................................................... 16

1.8 SOLUCIÓN TECNOLÓGICA ......................................................................... 21

1.9 METODOLOGÍA ............................................................................................ 22

1.10 PRESUPUESTO Y FUENTES DE FINANCIACIÓN .................................... 23

1.11 CRONOGRAMA .......................................................................................... 25

2. ANÁLISIS DE LA SITUACIÓN ACTUAL .......................................................... 26

3. ANÁLISIS Y GESTIÓN DE RIESGOS ............................................................. 30

3.1 IDENTIFICAR LOS ACTIVOS MÁS IMPORTANTES DE LAS EMPRESAS DE

SERVICIOS DE OUTSOURCING DE TI. .............................................................. 30

3.2 PLANIFICACIÓN PARA LA VALORACIÓN DE ACTIVOS ............................. 32

3.2.1 VALORACIÓN DE ACTIVOS ....................................................................... 35

4

3.3 PLANIFICACIÓN PARA LA VALORACIÓN DE AMENAZAS HACIA LOS

ACTIVOS DEL INVENTARIO ................................................................................ 40

3.3.1 ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL

INVENTARIO ......................................................................................................... 41

3.3.2 IDENTIFICACIÓN DE LAS AMENAZAS: ..................................................... 42

3.3.3 VALORACIÓN DE LAS AMENAZAS: .......................................................... 42

3.4 PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO ....................... 50

3.4.1 VALORACIÓN DE LOS RIESGOS .............................................................. 51

4. PLAN DE SEGURIDAD ................................................................................... 53

4.1 DEFINICIÓN DEL SGSI .................................................................................. 53

4.2 ALCANCE DEL SISTEMA .............................................................................. 53

4.3 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN .................................. 54

4.4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN. .................................. 55

5. CONTROLES Y/O SALVAGUARDAS ............................................................. 60

5.1 TIPOS DE PROTECCIÓN .............................................................................. 60

5.2 IDENTIFICACIÓN DE LOS CONTROLES Y/O SALVAGUARDAS ................ 62

5.3 OBJETIVOS DE CONTROL ........................................................................... 64

6. CONCLUSIONES ............................................................................................ 74

7. RECOMENDACIONES ................................................................................... 76

8. BIBLIOGRAFÍA ............................................................................................... 77

ANEXOS ................................................................................................................ 79

5

LISTA DE TABLAS

Pág.

TABLA 1. FACTIBILIDAD ECONÓMICA RECURSOS HUMANOS ......................................... 23

TABLA 2. FACTIBILIDAD ECONÓMICA RECURSOS TÉCNICOS ......................................... 24

TABLA 3. FACTIBILIDAD ECONÓMICA COSTO TOTAL ..................................................... 24

TABLA 4. IDENTIFICACIÓN DE LOS ACTIVOS ................................................................. 31

TABLA 5. CRITERIOS DE VALORACIÓN DE LOS ACTIVOS ............................................... 35

TABLA 6. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE INFORMACIÓN ...................... 35

TABLA 7. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS SOFTWARE .............................. 36

TABLA 8. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE HARDWARE ......................... 37

TABLA 9. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE SOPORTE DE INFORMACIÓN .. 37

TABLA 10. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE REDES DE COMUNICACIONES

........................................................................................................................ 38

TABLA 11. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS INTANGIBLES .......................... 38

TABLA 12. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS PERSONAS ............................. 39

TABLA 13. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS OTROS .................................. 39

TABLA 14. PROBABILIDAD DE OCURRENCIA DE UNA AMENAZAS ..................................... 41

TABLA 15. DEGRADACIÓN DE LOS ACTIVOS POR AMENAZAS ......................................... 41

TABLA 16. IDENTIFICACIÓN DE LAS AMENAZAS ............................................................ 42

TABLA 17. VALORACIÓN AMENAZA ERRORES DE LOS USUARIOS .................................. 43

TABLA 18. VALORACIÓN AMENAZA ERRORES DEL ADMINISTRADOR .............................. 43

TABLA 19. VALORACIÓN AMENAZA ERRORES DE CONFIGURACIÓN ............................... 43

TABLA 20. VALORACIÓN AMENAZA ESCAPES DE INFORMACIÓN .................................... 44

TABLA 21. VALORACIÓN AMENAZA DESTRUCCIÓN DE INFORMACIÓN ............................. 44

TABLA 22. VALORACIÓN AMENAZA ACCESO NO AUTORIZADO ...................................... 44

TABLA 23. VALORACIÓN AMENAZA MODIFICACIÓN DE LA INFORMACIÓN ........................ 45

TABLA 24. VALORACIÓN AMENAZA VULNERABILIDADES DE LOS PROGRAMAS ................. 45

TABLA 25. VALORACIÓN AMENAZA SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO ........ 45

TABLA 26. VALORACIÓN AMENAZA DIFUSIÓN DE SOFTWARE DAÑINO ............................ 46

TABLA 27. VALORACIÓN AMENAZA DENEGACIÓN DE SERVICIOS ................................... 46

TABLA 28. VALORACIÓN AMENAZA DESASTRES NATURALES ........................................ 46

TABLA 29. VALORACIÓN AMENAZA AVERÍA DE ORIGEN FÍSICO O LÓGICO ...................... 47

TABLA 30. VALORACIÓN AMENAZA FALLO DE SERVICIOS DE COMUNICACIONES ............. 47

TABLA 31. VALORACIÓN AMENAZA MANIPULACIÓN DE CONFIGURACIÓN ........................ 47

TABLA 32. VALORACIÓN AMENAZA FUEGO.................................................................. 48

TABLA 33. VALORACIÓN AMENAZA DAÑOS POR AGUA ................................................. 48

6

TABLA 34. VALORACIÓN AMENAZA ERRORES DE MANTENIMIENTO/ACTUALIZACIÓN DE

EQUIPOS ........................................................................................................... 48

TABLA 35. VALORACIÓN AMENAZA MANIPULACIÓN DE LOS EQUIPOS ............................. 49

TABLA 36. VALORACIÓN AMENAZA DEFICIENCIA EN LA ORGANIZACIÓN ......................... 49

TABLA 37. VALORACIÓN AMENAZA ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN ........ 49

TABLA 38. CRITERIOS DE VALORACIÓN DEL IMPACTO .................................................. 51

TABLA 39. CRITERIOS DE VALORACIÓN DE PROBABILIDAD ........................................... 52

TABLA 40. CRITERIOS DE VALORACIÓN DEL RIESGO .................................................... 52

TABLA 41. FALTAS GRAVÍSIMAS DE SEGURIDAD DE LA INFORMACIÓN ............................ 56

TABLA 42. FALTAS GRAVES DE SEGURIDAD DE LA INFORMACIÓN ................................. 57

TABLA 43. FALTAS LEVES DE SEGURIDAD DE LA INFORMACIÓN .................................... 58

TABLA 44. IDENTIFICACIÓN DE CONTROLES Y/O SALVAGUARDAS .................................. 62

TABLA 45. OBJETIVO DE CONTROL - POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN ... 64

TABLA 46. OBJETIVO DE CONTROL - ORGANIZACIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN .................................................................................................... 65

TABLA 47. OBJETIVO DE CONTROL - SEGURIDAD DE RECURSOS HUMANOS .................. 66

TABLA 48. OBJETIVO DE CONTROL - GESTIÓN DE ACTIVOS .......................................... 66

TABLA 49. OBJETIVO DE CONTROL - CONTROL DE ACCESO ......................................... 67

TABLA 50. OBJETIVO DE CONTROL - CRIPTOGRAFÍA .................................................... 67

TABLA 51. OBJETIVO DE CONTROL – SEGURIDAD FÍSICA Y DEL ENTORNO ..................... 68

TABLA 52. OBJETIVO DE CONTROL – SEGURIDAD DE LAS OPERACIONES ....................... 69

TABLA 53. OBJETIVO DE CONTROL – SEGURIDAD DE LAS COMUNICACIONES ................. 70

TABLA 54. OBJETIVO DE CONTROL – ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE

SISTEMAS ......................................................................................................... 70

TABLA 55. OBJETIVO DE CONTROL – RELACIONES CON LOS PROVEEDORES .................. 71

TABLA 56. OBJETIVO DE CONTROL – GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN .................................................................................................... 71

TABLA 57. OBJETIVO DE CONTROL - CONTINUIDAD DEL NEGOCIO................................. 72

TABLA 58. OBJETIVO DE CONTROL - CUMPLIMIENTO ................................................... 72

7

LISTA DE GRÁFICAS

Pág.

GRÁFICA 1. CRONOGRAMA ........................................................................................ 25

GRÁFICA 2. SERVIDORES Y USUARIOS ....................................................................... 27

GRÁFICA 3. UPS ...................................................................................................... 28

GRÁFICA 4. RIESGO EN FUNCIÓN DEL IMPACTO Y LA PROBABILIDAD ............................... 51

8

RESUMEN

El presente trabajo de grado es una propuesta de un sistema de seguridad de

gestión de la Información (SGSI) para entidades dedicas a prestar servicios de

outsourcing de TI, basado en la norma ISO27001 usando como guía la

metodología Magerit. El documento está estructurado de la siguiente manera:

Definición, Planeación y Organización: En este capítulo se define la planeación

del proyecto. Se realiza un planteamiento del problema donde se especifica los

inconvenientes que una empresa dedicada a prestar servicios de Outsourcing de

TI puede tener por falta de un sistema de gestión de la información (SGSI),

además se definen una serie de objetivos que permiten mostrar el cumplimiento

del desarrollo de la solución al problema mencionado anteriormente.

Análisis de la Situación Actual: Este capítulo se realiza un caso estudio de la

situación actual que puede tener una organización que se dedica a prestar

servicios de Outsourcing de TI.

Análisis y Gestión de Riesgos: En este capítulo se hace una identificación y

valoración de acuerdo a la integridad, disponibilidad y confidencialidad de los

activos más importantes tanto tangibles como intangibles para la organización; de

igual manera se realiza una identificación y valoración de las posibles amenazas a

las que están expuestos cada uno de esos activos, permitiendo determinar y

realizar un análisis de riesgos de forma detallada con el fin de poder dar un

adecuado tratamiento a dichos riesgos.

Plan de Seguridad: En este capítulo se realiza la definición del SGSI y los

objetivos de seguridad de la información donde se plantea una serie de políticas

de seguridad de la información las cuales son normas que permiten comunicarse

con todos los empleados y terceros relacionados a la organización para dar pautas

de buenas prácticas para el manejo de la información que se maneje.

Controles y/o Salvaguardas: En este capítulo se proponen una serie de

controles detallando su objetivo los cuales pueden ser implementados como

procedimientos o mecanismos que permiten reducir el riesgo de forma significativa

al que están expuestos los activos de estas organizaciones.

9

ABSTRACT

The present degree paper is a proposal of an Information Management Security

System (ISMS) for entities dedicated to the IT outsourcing service, based on the

ISO27001 standard and using the Magerit methodology as a guide. The document

is structured as follows:

Definition, Planning and Organization: This chapter defines project planning. It

is made an approach of the problem where it specifies the disadvantages that a

company dedicated to providing services of Outsourcing of IT may have for lack of

an information management system (ISMS), in addition they define a series of

objectives that allow to show the fulfillment of the development of the solution to

the above-mentioned problem.

Current Situation Analysis: This chapter conducts a case study of the current

situation that an organization that is dedicated to providing IT Outsourcing services

can have.

Risk Analysis and Management: This chapter identifies and assesses the

integrity, availability and confidentiality of the most important assets, both tangible

and intangible to the organization; In the same way an identification and valuation

of the possible threats to which each of these assets are exposed, making possible

to determine and carry out a risk analysis in a detailed way in order to be able to

give an adequate treatment to those risks.

Security Plan: This chapter defines the ISMS and information security objectives

where a series of information security policies are proposed, which are standards

that allow communication with all employees and third parties related to the

organization To give guidelines of good practices for the management of the

information that is handled.

Controls and/or Safeguards: This chapter proposes a series of controls detailing

its objective which can be implemented as procedures or mechanisms that allow

the significant risk reduction to which the assets of these organizations are

exposed.

10

INTRODUCCIÓN

Actualmente, para las organizaciones la información es considerada como uno de

los activos más valiosos y primordiales que se puede tener; este activo debe tener

unas características como lo es la disponibilidad en todo momento, la integridad y

la confidencialidad, lo que implica, que es necesario que toda organización cuente

con una adecuada gestión de sus recursos y activos con el fin de asegurar y

controlar el debido acceso, tratamiento y uso de la información.

Una de las mayores preocupaciones que toda organización tiene es el manejo de

la seguridad de la información; este es uno de los mayores desafíos a los que las

entidades cada día se tienen que enfrentar para disminuir la posibilidad de que

alguna amenaza se materialice afectando uno o más activos, lo que puede

ocasionar grandes pérdidas, mala reputación y hasta la afectación en la

continuidad del negocio.

Además, con la aparición de las nuevas tecnologías de la información y la

comunicación, se hace mucho más complejo la administración y gestión de los

riesgos a los que todas las organizaciones están expuestas. Por lo tanto es

necesario que dentro de las empresas exista no solo un alto conocimiento sobre la

importancia de la seguridad de la información sino que también se tengan

herramientas que ayuden a controlar y prevenir que se materialicen amenazas en

cualquiera de las áreas con las que cuenta la organización, de esta manera cada

uno de los activos tendrá un alto grado de seguridad en cuanto a integridad,

confidencialidad y disponibilidad de la información, que como se había

mencionado antes, es uno de los activos más importantes dentro de cualquier

compañía.

Las organizaciones dedicas a prestar servicios de outsourcing de tecnologías de la

información de acuerdo a sus procesos diarios, deben contar con un buen plan en

cuanto al manejo de riesgos y amenazas garantizando a sus clientes los mejores

servicios en cuanto a calidad, seguridad y confianza.

Debido a lo anterior, el objetivo de este trabajo de grado es crear y proponer un

Sistema de Gestión de la Seguridad de la Información (SGSI) para empresas que

se dedican a prestar servicios de outsourcing de TI teniendo en cuenta la

11

metodología Magerit, la cual detalla un análisis de riesgos completo, desde la

identificación y valoración de los activos, hasta la determinación de salvaguardas

y/o controles con el fin de minimizar las vulnerabilidades a los que está expuesta

la información y cada uno de los activos con los que cuenta una organización de

este índole, mejorando significativamente cada una de las actividades y procesos

del negocio.

12

1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN

1.1 TÍTULO

Propuesta de un Sistema de Gestión de la Seguridad de la Información para

entidades dedicadas al Servicio de Outsourcing de TI.

1.2 TEMA

Este proyecto está enfocado en el contexto de políticas de seguridad, el cual va

encaminado a contribuir en el resguardo y protección de la información, dirigido a

todas las entidades dedicadas a servicios de Outsourcing de TI.

1.3 PLANTEAMIENTO DEL PROBLEMA

Las empresas dedicadas al Servicio de Outsourcing de TI a diario están expuestas

a riesgos que amenazan con la integridad, confidencialidad y disponibilidad de la

información y con ello la viabilidad del negocio.

Para las empresas de servicios de outsourcing de TI la información es el activo

más significativo y vulnerable, así como también los componentes de la

infraestructura de TI que ponen a disposición de sus clientes. Se ha identificado

que están expuestas a ataques cibernéticos de diversa índole, robo de información

y fraudes informáticos debido a que no cumplen con buenas prácticas y

estándares de seguridad a la hora de tratar la información, como consecuencia

permitiendo accesos no autorizados y no solo, por parte de agentes externos

(hackers) sino también por los empleados que generan, utilizan, procesan y

acceden a la información para la prestación de los servicios que entregan a los

clientes.

Como las empresas de outsourcing de TI son proveedores de servicios TI, su

responsabilidad en el tratamiento de la información no es sólo la referente a su

13

negocio sino también a la de sus clientes, ya sea porque está en su propia

infraestructura o porque opera en la infraestructura del cliente donde se encuentra

almacenada, presentando así un grado de vulnerabilidad e inseguridad dado a que

su activo más importante queda expuesto a un gran conjunto de personas que

administran y gestionan la información. Lo anterior conlleva a graves

consecuencias en la operación de los procesos del negocio afectando la calidad,

cantidad y relevancia de la información en general como también a los clientes a

quienes se les presta el servicio.

¿Cómo apoyar a las entidades dedicadas a los servicios de Outsourcing de TI a

mitigar el riesgo en la alteración o pérdida de la información de la mejor manera

posible?

1.4 ALCANCES Y LIMITACIONES

1.4.1 ALCANCES

El SGSI está diseñado específicamente para ayudar a cualquier empresa

dedicada a prestar servicios de outsourcing de TI, para que cuente con políticas y

estándares al momento de manipular cualquier activo dentro de la organización

brindando una mayor seguridad y minimizando el riesgo de que estos se puedan

ver afectados.

1.4.2 LIMITACIONES

Este proyecto podrá ser usado únicamente por organizaciones dedicadas a

prestar servicios de outsourcing de TI ya que la identificación de los activos, la

evaluación de riesgo y amenazas, además de las salvaguardas propuestas en

este SGSI corresponden a este tipo de empresas.

14

1.5 OBJETIVOS

1.5.1 OBJETIVO GENERAL

Crear una propuesta de un sistema de gestión de la seguridad de la información

en donde se describen políticas y estándares de seguridad, disminuyendo los

posibles riesgos a los que están expuestas las entidades dedicadas a servicios de

outsourcing de tecnologías de la información.

1.5.2 OBJETIVOS ESPECÍFICOS

Analizar el estado actual de las empresas de servicios de outsourcing de TI con respecto a la gestión de la seguridad de la información.

Identificar los activos más importantes de las empresas de servicios de outsourcing de TI.

Analizar los riesgos y amenazas a los que están expuestas las empresas de servicios de outsourcing de TI con base en la metodología Magerit.

Generar un documento con políticas y estándares de seguridad que busquen disminuir el riesgo al manipular la información tomando como referencia la norma ISO/IEC 27000.

Identificar controles y/o salvaguardas que minimicen la vulnerabilidad de la información en empresas de servicios de outsourcing de TI.

1.6 JUSTIFICACIÓN

Hasta la aparición y expansión de los sistemas informáticos, toda la información

de importancia para una organización se guardaba en papel y se almacenaba en

grandes archivadores como datos de clientes, proveedores y empleados de la

organización, generando así muchos problemas en cuanto a su almacenamiento,

acceso, procesamiento, entre otros.

15

Hoy en día, con la aparición de los sistemas informáticos y de comunicación se

permite la sistematización de la información facilitando su rápido acceso,

procesamiento, almacenamiento y transferencia de datos; estos sistemas no

garantizan que la información esté protegida ya que esta sigue expuesta a

diferentes ataques donde se puede ver afectada su integridad, confidencialidad y

disponibilidad.

La seguridad de la información es un componente crítico de la estrategia de

negocio de cualquier organización, la protección de datos, documentos y control

de acceso de éstos mismos es un tema que cada día toma más fuerza debido a

las diferentes especialidades de hackers y crackers que ponen en riesgo

información vital para la organización. Se entiende la seguridad como un proceso

que nunca termina ya que los riesgos nunca se eliminan en su totalidad, de ahí la

importancia y principalmente la necesidad de identificar y gestionar los riesgos de

negocio además de identificar los principios básicos en el tratamiento de la

información.

Para las organizaciones que prestan el servicio de outsourcing de TI, la

información que administran y los conocimientos de valor estratégico deben ser

gestionados con el propósito de preservar su confidencialidad, integridad y

disponibilidad en forma continua. En una organización todos son responsables de

la seguridad de la información que generan, utilizan, procesan y acceden para la

prestación de los servicios que entregan a sus clientes, esta responsabilidad

también se extiende a las empresas colaboradoras.

A través del Sistema de Gestión de la Seguridad de la Información (SGSI) se

busca que cualquier organización que preste un servicio de Outsourcing de TI

pueda liderar en forma permanente la mejora continua en la Seguridad de la

Información así como los componentes de la infraestructura de TI que ponen a

disposición de sus clientes. Un SGSI permite, establecer que la seguridad es una

característica esencial de cualquier sistema informático, proteger y minimizar los

riesgos de tener una pérdida o daño en la información, identificar los activos de

información que deben ser protegidos y en qué grado, implementar controles y

políticas de seguridad que definan e indiquen a las personas cómo actuar frente a

los recursos informáticos de la organización y sobre todo, no como un conjunto de

sanciones, sino más bien una descripción de aquello valioso que se desea

proteger.

16

1.7 MARCO DE REFERENCIA

1.7.1 MARCO HISTORICO (ESTADO DEL ARTE)

La información es un recurso intangible fundamental para una organización y

todos sus niveles jerárquicos, pues es necesaria para la toma de decisiones, el

uso de sus servicios o productos y para la competitividad.1

Con base en lo anterior, se puede determinar la importancia de proporcionar

seguridad a toda la información que maneja una organización, puesto que esto

evita un alto grado de vulnerabilidad en la misma.

Para la realización de esta propuesta se toma como referencia el trabajo de grado

titulado:

“Diseño de un sistema de gestión de seguridad de la información para

una entidad financiera de segundo piso” en donde se expone como

problema un inadecuado modelo de gestión de seguridad de la información

con sus respectivos factores causantes y como solución el diseño de un

SGSI para la empresa IGM S.A., tomando como referencia la norma NTC-

ISO-IEC 27001:2013 en donde se evidencia el análisis de la necesidad y

requerimientos determinado por la entidad a la que se le diseña el SGSI,

inventario de los activos de información, informe de evaluación de riesgos,

plan de tratamiento de riesgos, manual de políticas de seguridad de la

información, entre otros; dicho trabajo de grado se realiza bajo la

metodología PHVA.2

1 Docout, Soluciones de ingenieria deocumenta, La importancia de la información en las empresas,

Actualizado el 26 de marzo de 2015, Disponible en: http://www.docout.es/2015/03/la-importancia-de-la-informacion-en-las-empresas/ [Consultado: 14 de marzo de 2016] 2 Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De Gestión De Seguridad De La

Información Para Una Entidad Financiera De Segundo Piso. Bogotá, Disponible en: http://repository.poligran.edu.co/bitstream/10823/746/1/Proyecto%20de%20Grado%20SGSI%20-%20IGM-%20CarlosGuzman%20(FINAL).pdf [Consultado: 14 de marzo de 2016]

http://www.docout.es/2015/03/la-importancia-de-la-informacion-en-las-empresas/


http://repository.poligran.edu.co/bitstream/10823/746/1/Proyecto%20de%20Grado%20SGSI%20-%20IGM-%20CarlosGuzman%20(FINAL).pdf

http://repository.poligran.edu.co/bitstream/10823/746/1/Proyecto%20de%20Grado%20SGSI%20-%20IGM-%20CarlosGuzman%20(FINAL).pdf

17

El proyecto mencionado anteriormente evidencia falencias que actualmente

presenta la empresa IGM S.A., lo cual permite que no se cometan los mismos

errores y se realice un mejor análisis en cuanto a la determinación de las políticas

y salvaguardas que se van a implementar en la propuesta del SGSI para

organizaciones dedicadas a prestar el servicio de Outsorcing de TI.

“Implementación SGSI empresa pollos pachito S.A” se toma como

referencia el trabajo de maestría, el cual tiene como objetivo implementar

un sistema de gestión de seguridad de la información certificado, que

permite brindar a los clientes nacionales y extranjeros confianza por el

tratamiento de los datos que la empresa gestiona, garantizando la

implementación de controles eficientes que protejan la información3.

Este proyecto permite analizar los diferentes controles que se pueden tener en

cuenta para brindar una mayor calidad en la propuesta del sistema de gestión de

la seguridad de la información para organizaciones dedicadas al servicio de

outsourcing de tecnologías de la información.

“Metodología para implantar un SGSI en un grupo empresarial

jerárquico” se toma como guía la tesis en la cual se presenta una

metodología tomando como referencia las normas internacionales ISO/IEC

27000, también se basa en el ciclo PHVA que se aplica en la norma

ISO/IEC 27001.4

3 Robinson Ruiz Muñoz. (2015). Elaboración de un plan de implementación de la ISO/IEC

27001:2013 Para la empresa Pollos Pachito. Disponible en: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43110/1/rruizmutfm0615.pdf [Consultado: 14 de marzo de 2016] 4 Gustavo Pallas Mega . (2009). Metodología de Implantación de un SGSI en un grupo empresarial

jerárquico. Uruguay. Disponible en: http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf [Consultado: 14 de marzo de 2016]

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43110/1/rruizmutfm0615.pdf

http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf

http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf

18

1.7.2 MARCO TEÓRICO

Normas, metodologías y conceptos que se utilizaron para el desarrollo del

proyecto:

ISO 270005

Contiene términos y definiciones que se emplean en toda la serie 27000. La

aplicación de cualquier estándar necesita de un vocabulario claramente definido,

que evite distintas interpretaciones de conceptos técnicos y de gestión.

ISO 270016

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene

los requisitos del sistema de gestión de seguridad de la información. Tiene su

origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por

auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,

habiéndose establecido unas condiciones de transición para aquellas empresas

certificadas en esta última. En su Anexo A, enumera en forma de resumen los

objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva

numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean

seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no

ser obligatoria la implementación de todos los controles enumerados en dicho

anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los

controles no implementados

SGSI7

Es un “Sistema de Gestión de Seguridad de la Información”, en inglés ISMS

“Information Security Management System”. El SGSI se basa en un conjunto de

políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad,

5 ISO 27000, La serie 27000, disponible en:

http://www.iso27000.es/download/doc_iso27000_all.pdf [Consultado: 03 de abril de 2016] 6 Ibid.

7 Ingenia. Ingeniería e Integración Avanzadas. Implantación de un SGSI con e-PULPO. 03 de abril

de 2016, de e-pulpo, disponible en: https://www.e-pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-pulpo_v1.00.pdf [Consultado: 03 de abril de 2016]

https://www.e-pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-pulpo_v1.00.pdf


19

Confidencialidad, Autenticidad y Trazabilidad de la Información.

En un servicio informático que va a implantar un SGSI es importante diferenciar 2

conceptos de seguridad:

Seguridad Informática: Orientada en la protección de la Infraestructura TIC

que soporta al negocio.

Seguridad de la Información: Orientada en la protección de los activos de la

información fundamentales para el negocio.

El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos

para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de

Deming “Plan-Do-Check-Act” (Planificar-Hacer-Revisar-Actuar).

MAGERIT8

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el

Consejo Superior de Administración Electrónica, como respuesta a la percepción

de que la Administración, y, en general, toda la sociedad, dependen de forma

creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización

del uso de las tecnologías de la información, que supone unos beneficios

evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben

minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y

sistemas informáticos para tratarla. Si dicha información, o los servicios que se

prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor

está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos

los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos.

Con MAGERIT se persigue una aproximación metódica que no deje lugar a la

improvisación, ni dependa de la arbitrariedad del analista.

8 Ladministracionelectronica, Pae Portal Administración electrónica, MAGERIT v.3 : Metodología de

Análisis y Gestión de Riesgos de los Sistemas de Información, disponible en:

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mager

it.html#.Vwb4RJzhAdV [Consultado: 03 de abril de 2016]

20

CICLO PHVA9

Es un ciclo dinámico que puede ser empleado dentro de los procesos de una

Organización. Es una herramienta de simple aplicación y, cuando se utiliza

adecuadamente, puede ayudar mucho en la realización de las actividades de una

manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo

Proporciona una guía básica para la gestión de las actividades y los procesos, la

estructura básica de un sistema, y es aplicable a cualquier organización. A través

del ciclo PHVA la organización planea, estableciendo objetivos, definiendo los

métodos para alcanzar los objetivos y definiendo los indicadores para verificar que

en efecto, éstos fueron logrados. Luego, la organización implementa y realiza

todas sus actividades según los procedimientos y conforme a los requisitos de los

clientes y a las normas técnicas establecidas, comprobando, monitoreando y

controlando la calidad de los productos y el desempeño de todos los procesos

clave.

Outsorcing10

El término outsourcing, también conocido como tercerización, refiere al proceso

que ocurre cuando una organización contrata a otra para que realice parte de su

producción, preste sus servicios o se encargue de algunas actividades que le son

propias. Las organizaciones recurren al outsourcing para abaratar costos, mejorar

la eficiencia y concentrarse en aquellas actividades que dominan mejor y

constituyen la base de su negocio.

El outsourcing abarca una amplia gama de áreas pero actualmente es más en

común en recursos humanos (manejo de nóminas), atención al cliente,

contabilidad, telemarketing, diseño gráfico, generación de contenido, manufactura

e ingeniería. Por lo general, involucra especialidades ajenas a las funciones

fundamentales de la organización contratante.

9 Glosario Sistemas de Gestión, ImagenWorld disponible en:

http://www.imagenworld.com/html/downloads/VARIOS/GLOSARIO%20SISTEMAS%20DE%20GESTION.pdf [Consultado: 03 de abril de 2016] 10

Degerencia, Outsorcing, disponible en: http://www.degerencia.com/tema/outsourcing [Consultado: 04 de abril de 2016]

http://www.degerencia.com/tema/outsourcing

21

En el outsourcing la organización cede al proveedor el control de los procesos

necesarios para la prestación del servicio. En cambio, cuando una empresa se

relaciona con otra bajo la figura de la contratación externa, mantiene injerencia en

todos y cada uno de los detalles de la actividad requerida.

1.8 SOLUCIÓN TECNOLÓGICA

Para la solución de minimizar las vulnerabilidades que presenta la información en

las entidades dedicadas a prestar servicios de outsourcing de tecnologías de la

información se determina realizar una serie de actividades como:

Analizar el estado actual de la seguridad de la información en este tipo de

empresas.

Identificar y valorar los activos más significativos.

Identificar las amenazas que se presentan actualmente y/o posibles amenazas

que se puedan presentar.

Realizar un análisis de riesgos por cada uno de los activos y amenazas que se

pueden presentar.

Identificar los controles que minimizan las posibles amenazas identificadas.

Con la realización de las actividades mencionadas anteriormente se creará un

documento con políticas y estándares de seguridad de la información tomando

como referencia la metodología Magerit la cual permite analizar y gestionar los

riesgos de los sistemas de información que se puedan presentar en cada una de

las empresas dedicadas a los servicios de outsourcing de TI.

Para llevar a cabo esta solución se hará uso del ciclo PHVA (Planear - Hacer -

Verificar - Actuar) como metodología, la cual permite la realización de cada una de

las tareas teniendo en cuenta no solo la calidad sino el mejoramiento continuo.

22

1.9 METODOLOGÍA

Para el desarrollo de la propuesta del sistema de gestión de la seguridad de la

información se utilizará la metodología PHVA.

El ciclo PHVA constituye una de las principales herramientas de mejoramiento

continuo en las organizaciones, utilizada ampliamente por los sistemas de gestión

de la calidad (SGC) con el propósito de permitirle a las empresas una mejora

integral de la competitividad, de los productos ofrecidos, mejorando

permanentemente la calidad, también le facilita tener una mayor participación en el

mercado, una optimización en los costos y por supuesto una mejor rentabilidad.

Por su dinamismo puede ser utilizado en todos los procesos de la organización y

por su simple aplicación, que si se hace de una forma adecuada, aporta en la

realización de actividades de forma organizada y eficaz.

A través de cada uno de los pasos del ciclo PHVA las empresas pueden:

Planificar: En esta etapa se definen los objetivos y cómo lograrlos, esto de

acuerdo a políticas organizacionales y necesidades de los clientes. Puede ser de

gran utilidad realizar grupos de trabajo, escuchar opiniones de los trabajadores y

utilizar herramientas de planificación como encuestas.

Hacer: Es ejecutar lo planeado, en esta etapa es recomendable hacer pruebas

pilotos antes de implantar los procesos definidos. En su desarrollo se puede

evidenciar los problemas que se tienen en la implementación, se identifican las

oportunidades de mejora.

Verificar: En esta etapa comprobamos que se hayan ejecutado los objetivos

previstos mediante el seguimiento y medición de los procesos, confirmando que

estos estén acorde con las políticas y a toda la planeación inicial.

23

Actuar: Mediante este paso se realizan las acciones para el mejoramiento del

desempeño de los procesos, se corrigen las desviaciones, se estandarizan los

cambios, se realiza la formación y capacitación requerida y se define como

monitorearlo.11

1.10 PRESUPUESTO Y FUENTES DE FINANCIACIÓN

Se determina que la realización de este proyecto es factible en todos los aspectos

puesto que el costo final es asequible y permite que se puedan adquirir los

recursos necesarios para llevar a cabo cada una de las tareas que son

indispensables para la creación de la propuesta del Sistema de Gestión de la

Seguridad de la Información.

En las tablas que se presentan a continuación se describe la factibilidad

económica, dividida en tres aspectos: recursos humanos, recursos técnicos y

otros recursos; identificando los costos de papelería, hardware, software y

recursos humanos necesarios para la realización del proyecto de investigación

que se propone.

Tabla 1. Factibilidad Económica Recursos Humanos

Tipo Descripción Valor Hora Cantidad Total

Tutor 1

Asesorías para

la realización

del proyecto,

referente a la

metodología.

$40.000

150 horas

$5.760.000

Analistas

Dos analistas

que realicen la

implementación

de la solución.

$ 20.000

480 horas

$9.600.000

Total Recursos Humanos $15.600.000

Fuente: Autores

11

gerencie, Ciclo PHVA, disponible en: http://www.gerencie.com/ciclo-phva.html [Consultado: 03 de abril de 2016]

http://www.gerencie.com/ciclo-phva.html

24

Tabla 2. Factibilidad Económica Recursos Técnicos

Recurso Descripción Valor

Unitario

Cantidad Total

Computadores

Equipos portátiles

para el desarrollo y

las pruebas del

sistema.

Características

de Hardware:

Procesador Intel

Core 2 Duo -

Memoria RAM de

204n8 MB - Disco

Duro de 160 GB -

Computador

portátil Compaq.

$ 1.430.000

2

$ 2.860.000

Total Recursos Técnicos $2.860.000

Fuente: Autores

Tabla 3. Factibilidad Económica Costo Total

Recurso Valor

Total Recursos Humanos $15.600.000

Total Recursos Técnicos $2.860.000

Total Otros recursos $ 400.000

Costos imprevistos (10%) $1.860.000

Total Costo $20.720.000

Fuente: Autores

25

1.11 CRONOGRAMA

Gráfica 1. Cronograma

Fuente: Autores

26

2. ANÁLISIS DE LA SITUACIÓN ACTUAL

La organización dedicada a prestar servicios de outsourcing de tecnologías de la

información cuenta con diferentes áreas en donde cada persona cuenta con un

cargo o rol definido teniendo claridad de las actividades a realizar, entre ellas se

encuentra:

Gerencia General

Gerencia de Proyectos

Gerencia de TI

Departamento Administrativo

Departamento de Logística

Departamento de Ventas

Departamento de TI (Área de Desarrollo, Área de Mantenimiento,

Área de Infraestructura)

Actualmente en ninguna de sus áreas se evidencia que se cuente con una

metodología o documentación que gestione los riesgos a los que se están

expuestos, no solo la información sino cada uno de los activos con los que la

organización cuenta. Esto permite que personas que laboran en estas entidades,

proveedores o simplemente terceros puedan tener acceso a información delicada

generando un alto grado de riesgo hacia la empresa, lo cual implica que se tengan

grandes pérdidas, mala reputación y hasta el quiebre total. Además no se cuenta

con una inducción y/o capacitaciones constantes que permitan que los empleados

tanto nuevos como antiguos conozcan las normas y políticas de seguridad con las

que la organización cuenta.

Por otro lado, se evidencia que la entidad no cuenta con normas de seguridad

básicas como lo son la prevención y protección contra inundaciones, fallas

eléctricas y/o desastres naturales; además no cuenta con un plan de contingencia

el cual le permita la continuidad de las operaciones diarias en caso de que algunas

de las amenazas nombradas anteriormente se llegue a materializar.

27

La organización cuenta con cámaras de vigilancia al igual que detectores de humo

los cuales permiten dar aviso a posibles robos o incendios para poder actuar a

tiempo en caso de que ocurra alguno de los anteriores sucesos.

Otro de los inconvenientes que se hallaron dentro de la organización es la falta de

restricción para sacar los activo ya que no se maneja ningún tipo de autorización

previa; la libre conexión remota a equipos de la entidad; la libertad de navegación

en cualquier página web y facilidad de descarga de software ya que no se cuenta

con ningún tipo de firewall ni proxy que controle el ingreso a algunas páginas web;

también existe disponibilidad para el uso de los puertos USBs, unidades de CD;

por otro lado se detecta la falta de equipos que destruyan la documentación física

que ya no se requiere en la organización como contratos, hojas de vida, pólizas,

etc.

La infraestructura de la red activa debidamente administrada por empleados

idóneos en la organización cuenta actualmente con 12 servidores que permiten el

almacenamiento y procesamiento de información distribuidos como se muestra en

la gráfica 2.

Gráfica 2. Servidores y Usuarios

Fuente: Autores

28

También se evidencia que la organización posee una infraestructura de cableado

estructurado categoría 5 y tendido de fibra óptica multimodo entre los centros de

cableado lo cual permite unas buenas características para la velocidad y

transmisión de información.

Se cuenta con 2 canales de internet:

Primario: Proveedor Claro, 12 Megas de bajada y 6 de subida, fibra óptica.

Secundario: Proveedor UNE, 5 Megas de bajada y 1 Mega de subida,

cobre. Es un canal de contingencia cuando el primario no está disponible.

Se cuenta con una UPS (Ver gráfica 3) que brinda una autonomía necesaria para

la infraestructura de 30 minutos; tiempo suficiente para que se realice las copias

de seguridad del trabajo realizado.

Gráfica 3. UPS

Fuente: Autores

Los dispositivos de comunicaciones están ubicados en el primer piso en el

Datacenter donde se evidencia la falta de control en el acceso, ya que cuenta con

una puerta de fácil ingreso lo que permite que cualquier persona pueda ingresar

fácilmente a los diferentes equipos como servidores de aplicaciones, servidores de

bases de datos, equipos de backups, routers, switches, UPS, etc; permitiendo así

no solo la manipulación de estos equipos sino la configuración de la red tanto

física como lógica; por otro lado se evidencia desorden en cuanto al cableado de

29

red; de igual manera se evidencia que el data center no cuenta con una ventilación

adecuada para la refrigeración de todos los equipos que allí se encuentra.

En cuanto a los equipos de cada empleado se evidencia que cuentan con las

últimas tecnologías en cuanto a sistemas operativos (Windows 10 Enterprise),

capacidad de almacenamiento (1 Tera), procesador (Intel Core i5 sexta

generación) y RAM (8 Gb). Además cada equipo cuenta con su respectivo

antivirus y antispyware (Eset Nod 32) los cuales son de vital importancia para

evitar daños a los diferentes archivos y para la protección contra intrusos.

La organización cuenta con una red backbone entre el Switch y los servidores, el

Switch de Comunicaciones y el Switch que comunica los equipos de los Usuarios.

Este Backbone fue implementado sobre interfaz Gigabit Ethernet con cable UTP

categoría 6.

Para finalizar, uno de los percances más significativos a la hora de manejar

información es la falta de capacitación constante a los empleados sobre los

riesgos que se pueden presentar al interior de la organización; ya que ellos son los

principales involucrados en la manipulación de la información lo cual permite que

muchas veces por desconocimiento se realicen ataques en donde se vulnera la

información.

30

3. ANÁLISIS Y GESTIÓN DE RIESGOS

El análisis y gestión de Riesgos es un método que permite determinar el riesgo

que se puede presentar en una organización a través de una serie de pasos:

Determinar y valorar los activos más importantes para la organización.

Determinar y valorar a que amenazas están expuestos aquellos activos.

Determinar y valorar los posibles riesgos.

Determinar los controles que se pueden implementar para minimizar los

riesgos.

3.1 IDENTIFICAR LOS ACTIVOS MÁS IMPORTANTES DE LAS EMPRESAS

DE SERVICIOS DE OUTSOURCING DE TI

Para la identificación de los activos se clasifican de la siguiente manera con ayuda

de la metodología Magerit:

Información

Aplicaciones informáticas (Software)

Equipos Informáticos (Hardware)

Soportes de Información

Equipamiento Auxiliar

Redes de Comunicaciones

Personas

Intangibles

Otros

En el siguiente cuadro se visualizan cada uno de los activos según su

clasificación.

31

Tabla 4. Identificación de los Activos

Clasificación Activo Ref.

Información

Datos de carácter personal de los empleados,

clientes y socios

Inf1

Código fuente Inf2

Contratos Inf3

Archivos Inf4

Manuales Inf5

Material de formación Inf6

Planes de continuidad Inf7

Licencias Inf8

Políticas Inf9

Software

Aplicaciones de la Organización Sw1

Programas de desarrollo Sw2

Sistemas operativos Sw3

Antivirus Sw4

Motores de Bases de Datos Sw5

Hardware

Servidores de Bases de Datos Hw1

Servidores Web Hw2

Servidores de archivos Hw3

Servidores de aplicaciones Hw4

Impresoras Hw5

Equipos portátiles Hw6

Soportes de

Información

Discos Duros Si1

Servidores de backup Si2

Memorias USB Si3

CD/DVD Si4

Sistema de climatización de la sala de servidores Si5

Cámaras de seguridad Si6

Teléfonos Si7

Dispositivos Móviles Si8

Redes de

Comunicaciones

Red de Datos Rc1

Red eléctrica Rc2

Canaletas Rc3

Switches Rc4

Racks Rc5

32

Routers Rc6

Modems Rc7

Personas

Empleados Ps1

Clientes Ps2

Proveedores Ps3

Intangibles Imagen de la empresa It1

Reputación It2

Otros Muebles Ot1

Planta física: Estructura física de la empresa Ot2

Fuente: Autores

3.2 PLANIFICACIÓN PARA LA VALORACIÓN DE ACTIVOS

La finalidad de la valoración de los activos es Identificar en qué dimensión es

valioso el activo y valorar el coste que para la organización supondría la

destrucción del activo. De esta tarea se obtiene el modelo de valor, informe que

permite conocer la importancia de los activos. El modelo de valor detalla los

activos, sus dependencias, las dimensiones en las que son valiosos y la

estimación de su valor en cada dimensión.

Las dimensiones de valoración que la metodología Magerit expone son:

Disponibilidad

Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.

¿Qué importancia tendría que el activo no estuviera disponible?

Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando sí

una amenaza afectará a su disponibilidad, las consecuencias serían graves. Y

recíprocamente, un activo carece de un valor apreciable desde el punto de vista

de disponibilidad cuando puede no estar disponible frecuentemente y durante

largos periodos de tiempo sin por ello causar mayor daño.

33

La disponibilidad es una característica que afecta a todo tipo de activos. A menudo

la disponibilidad requiere un tratamiento por escalones pues el coste de la

indisponibilidad aumenta de forma no lineal con la duración de la interrupción,

desde breves interrupciones sin importancia, pasando por interrupciones que

causan daños considerables y llegando a interrupciones que no admiten

recuperación: la organización está acabada.

Integridad de los Datos

Propiedad o característica consistente en que el activo de información no ha sido

alterado de manera no autorizada.

¿Qué importancia tendría que los datos fueran modificados fuera de control?

Los datos reciben una alta valoración desde el punto de vista de integridad cuando

su alteración, voluntaria o intencionada, causaría graves daños a la organización.

Y, recíprocamente, los datos carecen de un valor apreciable desde el punto de

vista de integridad cuando su alteración no supone preocupación alguna.

Confidencialidad de la información

Propiedad o característica consistente en que la información ni se pone a

disposición, ni se revela a individuos, entidades o procesos no autorizados.

¿Qué importancia tendría que el dato fuera conocido por personas no

autorizadas?

Los datos reciben una alta valoración desde el punto de vista de confidencialidad

cuando su revelación causaría graves daños a la organización. Y, recíprocamente,

los datos carecen de un valor apreciable desde el punto de vista de

confidencialidad cuando su conocimiento por cualquiera no supone preocupación

alguna.

34

Autenticidad

Propiedad o característica consistente en que una entidad es quien dice ser o bien

que garantiza la fuente de la que proceden los datos.

¿Qué importancia tendría que quien accede al servicio no sea realmente quien se

cree?

La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de

fraude o uso no autorizado de un servicio. Así, un servicio recibe una elevada

valoración desde el punto de vista de autenticidad cuando su prestación a falsos

usuarios supondría un grave perjuicio para la organización. Y, recíprocamente, un

servicio carece de un valor apreciable desde el punto de vista de autenticidad

cuando su acceso por cualquiera no supone preocupación alguna.

¿Qué importancia tendría que los datos no fueran realmente imputables a quien se

cree?

Los datos reciben una elevada valoración desde el punto de vista de autenticidad

del origen cuando un defecto de imputación causaría graves quebrantos a la

organización. Típicamente, se habilita la oportunidad de repudio. Y,

recíprocamente, los datos carecen de un valor apreciable desde el punto de vista

de autenticidad del origen cuando ignorar la fuente es irrelevante.

Trazabilidad

Propiedad o característica consistente en que las actuaciones de una entidad

pueden ser imputadas exclusivamente a dicha entidad.

¿Qué importancia tendría que no quedara constancia fehaciente del uso del

servicio y/o del acceso a los datos?

Abriría las puertas al fraude, incapacitaría a la Organización para perseguir delitos

y podría suponer el incumplimiento de obligaciones legales.

35

3.2.1 VALORACIÓN DE ACTIVOS

Para este proceso se evaluará cada uno de los activos en cuanto a las tres

dimensiones más importantes expuestas por la metodología Magerit las cuales

son: Disponibilidad (D), Confidencialidad de la información (C) e Integridad de

datos (I), además se sacará un promedio con la valoración de las tres dimensiones

para tener un único valor por activo. Se evalúa siguiendo los valores mencionados

en la figura siguiente.

Tabla 5. Criterios de Valoración de los Activos

Valor Criterio

10 Extremo Daño extremadamente grave

9 Muy Alto Daño muy grave

6-8 Alto Daño grave

3-5 Medio Daño importante

1-2 Bajo Daño menor

0 Despreciable Irrelevante a efectos prácticos

Fuente: Magerit V.3

A continuación se presenta la valoración de cada uno de los activos identificados

anteriormente según su clasificación:

Activos de Información

Este tipo de activo, es toda la información que la organización considera

importante ya que puede tener datos confidenciales los cuales si fuesen públicos

pueden llegar a afectar la organización.

Tabla 6. Valoración cuantitativa de los Activos de Información

ACTIVO D C I VALOR TOTAL

Datos de carácter personal de los

empleados, clientes y socios 8 10 8 8.66

Código fuente 10 7 8 8.33

Contratos 7 9 9 8.33

Archivos 5 8 7 6.66

Manuales 8 1 5 4.66

36

Material de formación 7 4 7 6

Planes de continuidad 9 5 9 7.66

Licencias 9 8 8 8.33

Políticas 8 5 9 7.33

Fuente: Autores

Activos Software

Los activos clasificados como software son todas las aplicaciones que generan

valor para la productividad dentro de la organización ya que con ellas se interactúa

constantemente para llevar a cabo las operaciones diarias a las que la entidad se

dedica, en caso de verse afectado algún activo clasificado como software se

puede parar la productividad afectando la organización de forma monetaria

significativamente.

Tabla 7. Valoración cuantitativa de los Activos Software


Aplicaciones de la Organización 8 10 8 8.66

Programas de desarrollo 10 7 8 8.33

Sistemas operativos 9 7 8 8

Antivirus 10 6 10 8.66

Motores de Bases de Datos 7 10 10 9

Fuente: Autores

Activos Hardware

Los activos clasificados como hardware son los equipos que generan valor para la

productividad dentro de la organización ya que con ellos se interactúa

constantemente para llevar a cabo las operaciones diarias a las que la entidad se

dedica, en caso de verse afectado algún activo clasificado como hardware se

puede parar la productividad afectando la organización de forma monetaria.

37

Tabla 8. Valoración cuantitativa de los Activos de Hardware


Servidores de Bases de Datos 10 10 10 10

Servidores Web 10 10 10 10

Servidores de archivos 8 10 8 8.66

Servidores de aplicaciones 10 10 10 10

Impresoras 5 5 2 4

Equipos portátiles 10 7 10 9

Fuente: Autores

Activos Soporte de Información

Los activos clasificados como soporte de información son todos los equipos que

almacenan datos o hacen parte de la emisión y recepción de información dentro

de la organización, los cuales son de gran importancia ya que en caso de

presentarse inconsistencias o pérdida de información se puede recuperar y/o

revisar ya que se encuentran almacenados en algún activo clasificado como

soporte de información, generando así consistencia en los datos dentro de la

organización.

Tabla 9. Valoración cuantitativa de los Activos de Soporte de Información


Discos Duros 6 10 8 8

Servidores de Backus 9 10 8 9

Memorias USB 8 8 10 8.66

CD/DVD 8 8 10 8.66

Sistema de climatización de la sala de

servidores 9 8 9 8.66

Cámaras de Seguridad 9 7 9 8.33

Teléfonos 8 4 8 6.66

Dispositivos Móviles 8 4 8 6.66

Fuente: Autores

38

Activos Redes de Comunicaciones

Los activos clasificados como redes de comunicaciones son todos los recursos

que hacen parte de la infraestructura de la organización, los cuales son de suma

importancia ya que son parte fundamental para el correcto funcionamiento de los

activos clasificados como hardware, en caso de verse afectado algún activo

clasificado como redes de comunicación se puede parar la producción de la

organización causando grandes pérdidas.

Tabla 10. Valoración cuantitativa de los Activos de Redes de Comunicaciones


Red de Datos 9 10 10 9.66

Red eléctrica 9 10 10 9.66

Canaletas 9 0 9 6

Switches 8 8 8 8

Racks 8 8 8 8

Routers 8 8 8 8

Módems 8 8 8 8

Fuente: Autores

Activos Intangibles

Los activos clasificados como intangibles son como su nombre lo dice no

tangibles, pero que pueden afectar a una organización de forma significativa ya

que si se ve afectado algún activo de esta clasificación, la entidad puede llegar a

tener grandes pérdidas llegando así a la liquidación total.

Tabla 11. Valoración cuantitativa de los Activos Intangibles


Imagen de la empresa 8 0 10 6

Reputación 8 0 10 6

Fuente: Autores

39

Activos Personas

Los activos clasificados como Personas son todos los individuos que tienen

relación con la organización. La afectación de este activo puede ocasionar

pérdidas mínimas dentro de la entidad dependiendo el volumen de falta de

disponibilidad de cada uno de estos activos.

Tabla 12. Valoración cuantitativa de los Activos Personas


Empleados 5 0 0 1.66

Clientes 5 0 0 1.66

Proveedores 5 0 0 1.66

Fuente: Autores

Activos Otros

Los activos clasificados como Otros son todos los recursos que no están en otra

clasificación y que son parte importante para la productividad de la organización,

puesto que si se ve afectado algún activo de esta clasificación, la entidad puede

tener dificultades en las operaciones diarias ocasionando pérdidas significativas

para la organización.

Tabla 13. Valoración cuantitativa de los Activos Otros


Muebles 8 5 8 7

Planta física: Estructura física de la

empresa. 8 5 8 7

Fuente: Autores

40

3.3 PLANIFICACIÓN PARA LA VALORACIÓN DE AMENAZAS HACIA LOS

ACTIVOS DEL INVENTARIO

El objetivo de este punto es determinar la degradación del activo; proceso que

consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se

materialice una amenaza.

El catálogo de posibles amenazas sobre los activos que la metodología Magerit

expone son:

Desastres Naturales

Sucesos que pueden ocurrir sin intervención de los seres humanos como causa

directa o indirecta.

De Origen Industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad

humana de tipo industrial. Estas amenazas pueden darse de forma accidental o

deliberada.

Errores y Fallos No Intencionados

Fallos no intencionales causados por las personas. La numeración no es

consecutiva, sino que está alineada con los ataques deliberados, muchas veces

de naturaleza similar a los errores no intencionados, difiriendo únicamente en el

propósito del sujeto.

Ataques Intencionados

Fallos deliberados causados por las personas.

La numeración no es consecutiva para coordinarla con los errores no

intencionados, muchas veces de naturaleza similar a los ataques deliberados,

difiriendo únicamente en el propósito del sujeto.

41

3.3.1 ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL

INVENTARIO

Para el desarrollo es necesario tener presente los rangos dados en los siguientes

cuadros tanto de probabilidad como de degradación con el fin de determinar una

valoración de los activos identificados.

Probabilidad

Posibilidades existentes de que una amenaza se materialice.

Degradación

Clasificación que puede tener un activo al verse afectado su valor.

Tabla 14. Probabilidad de ocurrencia de una amenazas

Valor Frecuencia Abreviatura Criterio

5 Muy frecuente MA A diario

4 Frecuente A Mensualmente

3 Normal M Una vez al año

2 Poco Frecuente B Cada varios años

1 Muy poco

Frecuente MB Siglos

Fuente: Magerit V.3

Tabla 15. Degradación de los Activos por Amenazas

Valor Criterio Abreviación

100% Degradación MUY ALTA del activo MA

80% Degradación ALTA considerable del

activo A

50% Degradación MEDIANA del activo M

10% Degradación BAJA del activo B

1% Degradación MUY BAJA del activo MB

Fuente: Magerit V.3

42

3.3.2 IDENTIFICACIÓN DE LAS AMENAZAS:

A continuación se realiza una identificación de las posibles amenazas que puede

afectar los activos de una organización dedicada a prestar servicios de

outsourcing.

Tabla 16. Identificación de las Amenazas

Amenaza Ref.

Errores de los usuarios Amz1

Errores del Administrador Amz2

Errores de Configuración Amz3

Escapes de Información Amz4

Destrucción de Información Amz5

Acceso No Autorizado Amz6

Modificación de la Información Amz7

Vulnerabilidades de los Programas Amz8

Suplantación de la Identidad del usuario Amz9

Difusión de Software Dañino Amz10

Denegación de Servicios Amz11

Desastres Naturales Amz12

Avería de Origen Físico o Lógico Amz13

Fallo de Servicios de Comunicaciones Amz14

Manipulación de Configuración Amz15

Fuego Amz16

Daños Por Agua Amz17

Errores de Mantenimiento/Actualización de Equipos Amz18

Manipulación de los Equipos Amz19

Deficiencia en la Organización Amz20

Alteración Accidental de la Información Amz21

Fuente: Autores

3.3.3 VALORACIÓN DE LAS AMENAZAS:

Errores de los usuarios: Tipo de amenaza que es provocada por los usuarios de

forma accidental al manipular un activo por desconocimiento en la manejo del

mismo.

43

Tabla 17. Valoración Amenaza Errores de los Usuarios

Activos Dimensiones Frecuencia Degradación

Información

Software

Hardware

Disponibilidad

Integridad

A MA

Fuente: Autores

Errores del Administrador: Tipo de amenaza que es provocada por el personal

encargado de gestionar y conservar los activos al tomar malas decisiones.

Tabla 18. Valoración Amenaza Errores del Administrador


Información

Software

Hardware

Redes de Comunicación


Personas

Disponibilidad

Integridad

Confidencialidad

M A

Fuente: Autores

Errores de Configuración: Tipo de amenaza que es provocada en el momento

de la configuración de algún activo en donde puede quedar con un alto grado de

vulnerabilidad.

Tabla 19. Valoración Amenaza Errores de Configuración


Información

Software

Hardware

Redes de Comunicación


Disponibilidad

Integridad

Confidencialidad

A A

Fuente: Autores

44

Escapes de Información: Tipo de amenaza que ocurre en el momento en que la

información es conocida por personas que no deberían tener conocimiento sobre

esta.

Tabla 20. Valoración Amenaza Escapes de Información


Información

Software


Confidencialidad B A

Fuente: Autores

Destrucción de Información: Tipo de amenaza en donde se pierde la

información de manera accidental.

Tabla 21. Valoración Amenaza Destrucción de Información


Información


Disponibilidad

B MA

Fuente: Autores

Acceso No Autorizado: Tipo de amenaza que ocurre en el momento en que un

atacante es capaz de obtener los recursos de la organización sin una autorización.

Tabla 22. Valoración Amenaza Acceso No Autorizado


Información

Software

Hardware



Otros

Confidencialidad

Integridad

M MA

Fuente: Autores

45

Modificación de la Información: Tipo de amenaza que ocurre en el momento en

que la información es manipulada.

Tabla 23. Valoración Amenaza Modificación de la Información


Información

Software


Integridad

B MA

Fuente: Autores

Vulnerabilidades de los Programas: Tipo de amenaza que ocurre en el

momento en que un programa cuenta con poca seguridad lo que permite que se

vea afectada su integridad.

Tabla 24. Valoración Amenaza Vulnerabilidades de los Programas


Software

Integridad B MA

Fuente: Autores

Suplantación de la Identidad del usuario: Tipo de amenaza que ocurre en el

momento en que una persona es capaza de hacerse pasar por otra, disfrutando de

todos los permisos.

Tabla 25. Valoración Amenaza Suplantación de la Identidad del Usuario


Información

Software



Otros

Confidencialidad

Integridad

M MA

Fuente: Autores

46

Difusión de Software Dañino: Tipo de amenaza que se presenta al filtrarse

aplicaciones con propósitos de robar, alterar y/o eliminar información.

Tabla 26. Valoración Amenaza Difusión de Software Dañino


Software Disponibilidad

Confidencialidad

Integridad

M MA

Fuente: Autores

Denegación de Servicios: Tipo de amenaza que ocurre en el momento en no es

posible acceder a los servicios por saturación.

Tabla 27. Valoración Amenaza Denegación de Servicios


Software

Hardware


Disponibilidad B MA

Fuente: Autores

Desastres Naturales: Tipo de amenaza que ocurre sin intervención de personas.

Tabla 28. Valoración Amenaza Desastres Naturales


Información

Hardware



Otros

Disponibilidad B MA

Fuente: Autores

47

Avería de Origen Físico o Lógico: Tipo de amenaza que ocurre cuando se

presenta una imperfección en el funcionamiento del sistema.

Tabla 29. Valoración Amenaza Avería de Origen Físico o Lógico


Software

Hardware


Disponibilidad B A

Fuente: Autores

Fallo de Servicios de Comunicaciones: Tipo de amenaza que ocurre ya sea por

el deterioro o la poca capacidad en la transmisión de datos.

Tabla 30. Valoración Amenaza Fallo de Servicios de Comunicaciones


Redes de Comunicaciones Disponibilidad B A

Fuente: Autores

Manipulación de Configuración: Tipo de amenaza que ocurre en la

configuración de cualquier activo, al otorgar privilegios de forma equivocada o al

realizar configuraciones inadecuadas.

Tabla 31. Valoración Amenaza Manipulación de Configuración


Información

Software

Hardware



Integridad

Disponibilidad

Confidencialidad

B A

Fuente: Autores

48

Fuego: Tipo de amenaza que ocurre en el momento en que se presenta un

incendio afectando los activos de la organización.

Tabla 32. Valoración Amenaza Fuego


Información

Hardware



Otros

Disponibilidad B MA

Fuente: Autores

Daños Por Agua: Tipo de amenaza que ocurre en el momento de una inundación

afectando los activos de la organización.

Tabla 33. Valoración Amenaza Daños por Agua


Información

Hardware



Otros

Disponibilidad B MA

Fuente: Autores

Errores de Mantenimiento/Actualización de Equipos: Tipo de amenaza que

ocurre al momento de realizar un mantenimiento o actualización de forma

inadecuada a los equipos.

Tabla 34. Valoración Amenaza Errores de Mantenimiento/Actualización de

Equipos


Hardware Disponibilidad

Integridad

B M

Fuente: Autores

49

Manipulación de los Equipos: Tipo de amenaza que ocurre al momento de

alterar el funcionamiento de los equipos para beneficios del atacante.

Tabla 35. Valoración Amenaza Manipulación de los Equipos


Hardware



Disponibilidad

Confidencialidad

B A

Fuente: Autores

Deficiencia en la Organización: Tipo de amenaza que ocurre cuando no existe la

claridad de los procesos y las actividades a realizar dentro de la organización (falta

de capacitación a los empleados).

Tabla 36. Valoración Amenaza Deficiencia en la Organización


Personas Disponibilidad B M

Fuente: Autores

Alteración Accidental de la Información: Tipo de amenaza que ocurre en el

momento de modificar accidentalmente la información ocasionando que se afecten

los datos de la organización.

Tabla 37. Valoración Amenaza Alteración Accidental de la Información


Información

Software



Integridad B A

Fuente: Autores

50

3.4 PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO

Los riesgos son la probabilidad de daño sobre un activo, teniendo en cuenta su

frecuencia de ocurrencia versus la degradación que se pueda ocasionar sobre

dicho activo.

Con base en la metodología Magerit el nivel de riego se puede dividir en cuatro

zonas:

Zona 1: En este punto el nivel de riesgo es altísimo o crítico ya que son

riesgos muy probables y de muy alto impacto lo que realmente es preocupante

ya que se deben utilizar obligatoriamente salvaguardas para minimizarlos.

Zona 2: El nivel de riesgo es medio en este punto por lo cual se debe

considerar implementar salvaguardas para minimizarlos ya que se cubre un

rango de situaciones tanto probables como improbables, frente a un impacto

que puede ser alto como bajo.

Zona 3: El nivel de riesgo es bajo ya que la probabilidad de ocurrencia es

mínima y no existe un mayor impacto que pueda afectar los activos, por lo

tanto se puede emplear salvaguardas adicionales.

Zona 4: El nivel de riesgo es alto ya que aunque existen muy poca

probabilidad de ocurrencia el impacto ocasionado sobre el activo es muy alto.

Se debe utilizar obligatoriamente salvaguardas o políticas de seguridad para

minimizarlos o evitarlos.

51

Gráfica 4. Riesgo en función del impacto y la probabilidad

Fuente: Magerit V.3

3.4.1 VALORACIÓN DE LOS RIESGOS

Para el análisis del riesgo se establecieron los siguientes criterios de valoración

para el impacto repercutido sobre los activos y la probabilidad en que estos se

puedan ver afectados:

Tabla 38. Criterios de Valoración del Impacto

IMPACTO

Nivel Valoración

Muy Bajo 1

Bajo 2

Medio 3

Alto 4

Muy Alto 5

Fuente: Autores

52

Tabla 39. Criterios de Valoración de Probabilidad

PROBABILIDAD

Nivel Valoración

Muy poco Frecuente 0 - 0,1

Poco Frecuente 0,2 - 0,4

Normal 0,5 - 0,6

Frecuente 0,7 - 0,9

Muy frecuente 1

Fuente: Autores

La valoración del riesgo se determina con el producto del impacto y la probabilidad

donde se evidencia la zona de riesgo en el que se encuentra un activo que posee

una amenaza, la siguiente tabla determina el rango para el diagnostico de la

valoración del riesgo:

Tabla 40. Criterios de Valoración del Riesgo

VALORACIÓN DEL RIESGO = IMPACTO x PROBABILIDAD

VALOR ZONA RIESGO

0 - 1,4 3 Bajo

1,5 - 2,4 2 Medio

2,5 - 3,5 4 Alto

3,6 - 5,0 1 Muy Alto

Fuente: Autores

En el archivo Valoración de Riesgos ubicado en la carpeta Anexos dentro del CD,

se puede observar el análisis de la valoración de los riesgos determinados tanto

por activo como por amenaza. Esta valoración de riesgos es ubicada en una zona,

dependiendo la probabilidad de ocurrencia y el impacto repercutido sobre los

activos.

53

4. PLAN DE SEGURIDAD

El plan de seguridad constituye un documento fundamental que sirve como guía

para la seguridad de la información. Este plan de seguridad debe darse a conocer

a todos los empleados de las organizaciones dedicadas a prestar servicios de

Outsourcing de TI quienes son los principales involucrados en la manipulación de

la información.

4.1 DEFINICIÓN DEL SGSI

Con el SGSI se busca que las organizaciones dedicadas a prestar servicios de

outsourcing de tecnologías de la información sean más competitivas, para ello es

necesario contar con un sistema de seguridad con el fin de regular los principios

de la seguridad y brindar a sus clientes confiabilidad, disponibilidad e integridad en

la información que allí se maneja ya que este es uno de los activos más

importante de las compañías. Para ello es de gran importancia contar con la

colaboración de cada uno de los empleados que laboran dentro de este tipo de

organizaciones, ya que son los principales involucrados en la manipulación de la

información tanto de la propia organización como la de los clientes a quienes les

prestan los servicios.

4.2 ALCANCE DEL SISTEMA

Tras el análisis de las partes involucradas en el SGSI: las organizaciones

dedicadas a prestar servicios de outsourcing de tecnologías de la información se

determina que se deben establecer políticas que aplican a todo el personal que

laboran en este tipos de organización y tiene injerencia sobre todos los sistemas

que respaldan los servicios de soporte que prestan a sus clientes, incluyendo la

actualización del mismo modelo, además de los procedimientos establecidos para

operar en momentos de contingencia:

Habilidad de dar soluciones logísticas y estratégicas personalizadas del

más alto nivel.

54

Disponer de expertos en el área con capacidad de plantear e implementar

soluciones de una manera óptima.

El aporte metodológico para poder crear sistemas sostenibles de mejora.

Normas y políticas que controlen y regulen la información relevante de la

empresa.

Proveer de soluciones integrales, aportando valor diferenciador mediante el

apoyo especializado.

4.3 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN

El objetivo principal del Sistema de gestión de seguridad de la información es

mantener un ambiente razonablemente seguro que permita proteger cada uno de

los activos que componen las líneas de negocio de las organizaciones dedicadas

a prestar servicios de outsourcing de tecnologías de la información para asegurar

credibilidad y confianza no solo a los clientes sino a todo el todo el equipo de

trabajo.

Como objetivos estratégicos del Modelo SGSI se plantea lo siguiente:

Establecer un documento para manejar todos los aspectos de seguridad

que afecten los servicios de la empresa, su estructura de operación y

gestión.

Definir guías para asegurar toda la información que se maneje dentro de la

organización con el fin de que esté protegida contra el riesgo de

divulgación, fraude y modificación.

Proteger los recursos de la empresa del uso indebido del personal durante

el desempeño de sus funciones.

Proteger las operaciones de procesamiento de información de incidentes de

hardware, software o fallas de red como resultado de uso indebido

accidental por falta de capacitación o intencional de los sistemas y aspectos

tecnológicos que componen la infraestructura de la empresa.

55

Proteger a los clientes que hacen uso de los productos y servicios de la

empresa, ante un evento que comprometa la seguridad de los activos de

información o ante un desastre.

Proteger la información transmitida o almacenada dentro de la empresa

contra pérdida o modificación. Se deben implementar mecanismos para

prevenir que usuarios y atacantes manipulen la información del servicio

almacenada en su estación de trabajo con el fin de obtener algún beneficio.

4.4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.

Las políticas de seguridad son una forma de comunicarse con los directivos,

empleados y terceros que laboren o tengan una relación con la organización,

indicando a las personas y a todos los procesos cómo actuar frente a los recursos

informáticos de la organización a través de un conjunto de lineamientos que

establecen un compromiso de la organización para actuar de manera apropiada

en situaciones que vulneren la seguridad de la información.

Antes de establecer las políticas de seguridad de la información se tiene en cuenta

el análisis en la valoración de los riesgos y amenazas que pueden afectar la

seguridad de los recursos físicos, lógicos y de servicios. A partir de ahí se hace

una clasificación de las faltas a las que frecuentemente están expuestas las

organizaciones y se categorizan como faltas gravísimas, graves y leves que la

misma organización puede tener en cuenta para una posible sanción de acuerdo a

la gravedad como por ejemplo terminación del contrato, una suspensión

disciplinaria o un llamado de atención.

56

Faltas Gravísimas de Seguridad de la Información

Tabla 41. Faltas Gravísimas de Seguridad de la Información

NUMERO FALTAS DE SEGURIDAD DE LA INFORMACIÓN

1 Revelar información confidencial a terceros sin

autorización.

2

Robo, venta, transmisión de información como (Bases de

Datos, documentos físicos y/o lógicos en general) sin

previa autorización.

3 Alterar y/o modificar la información.

4 No realizar las copias de seguridad al servidor.

5 Scanning o pruebas no autorizadas en la red.

6 Alterar y/o modificar los equipos de cómputo.

7 Ataques intencionales para denegar servicios.

8 Daños intencionales realizados a un sistema.

9 Infección maliciosa a través de virus.

10 Ataques a uno o varios componentes de la red.

11

Utilizar para fines personales las aplicaciones y

desarrollos realizados en la organización.

12

Saltar y/o modificar los filtros y restricciones de los

sistemas de información como (Control de acceso,

internet, control de antivirus, control USB), todo permiso

que sea impuesto por la organización.

Fuente: Autores

57

Faltas Graves de Seguridad de la Información

Tabla 42. Faltas Graves de Seguridad de la Información


1 Asignación de roles y permisos a las aplicaciones sin

autorización.

2 Bloquear, desbloquear, crear y eliminar cuentas sin

autorización.

3 Compartir, transferir o generar contraseñas predecibles.

4 Intentar ingresar a través de la cuenta de otro funcionario.

5

No notificar cualquier hecho que atente contra la

confidencialidad, integridad o disponibilidad de la

información de la organización.

6

Dar a conocer debilidades en los filtros y restricciones de

los sistemas de información como (Control de acceso,

internet, control de antivirus, control USB) a otros

funcionarios.

7

No informar inmediatamente cuando se presenten

incidentes de robo y pérdida de información confidencial,

elementos o dispositivos que puedan contenerla.

8 Desactivar el sistema de antivirus.

9 No reportar los incidentes de seguridad.

10

Instalar o desinstalar software sin licencia o que no esté

autorizado.

11

No realizar pruebas de restauración a las copias realizadas

al servidor.

12 Incumplir con el acuerdo de confidencialidad firmado.

13 Fumar, comer o tomar bebidas en habitaciones donde se

ubiquen equipos computacionales.

14

Utilizar cámaras de video, cámara de fotografía, equipos

de grabación y medios removibles personales en el

perímetro de seguridad.

Fuente: Autores

58

Faltas Leves de Seguridad de la Información

Tabla 43. Faltas Leves de Seguridad de la Información


1

Utilizar para propósitos personales los sistemas de

información tales como correo electrónico, internet y en

general sistemas que pertenezcan a la organización.

2 Almacenar música, videos y demás recursos que

impliquen violación de derechos de autor.

3 Hacer caso omiso ante sospechas de virus en los

computadores.

4 Implementar aplicaciones sin el visto bueno de servicios

compartidos y seguridad informática.

5 No mantener los equipos y servidores en condiciones

ambientales adecuadas.

6 No bloquear la sesión del equipo cuando no está

presente.

7

Dejar abandonados elementos y/o documentos que

contengan información sensible para la organización en

los escritorios y/o áreas de trabajo, quedando al alcance

de personas mal intencionadas.

8 Ingresar a áreas no permitidas sin autorización.

9

Los colaboradores deberán asegurar el cierre de las

puertas de la oficina cuando no estén en uso.

10

Prestar el carnet de identificación de la empresa a una

persona diferente permitiendo con esto suplantar la

identidad del empleado.

Fuente: Autores

59

Con base en esta clasificación de faltas, en la norma NTC-ISO-IEC 27001:2013 se

especifica los requisitos para establecer, implementar, mantener y mejorar

continuamente un sistema de gestión de la seguridad de la información dentro del

contexto de la organización.

Las políticas de seguridad que se plantean en el Anexo 1 de este documento se

estructuran con ayuda del Anexo A (Normativo) Objetivos de Control y Controles

de Referencia de la norma NTC-ISO-IEC 27001:2013 el cual se utiliza como

referencia para la implementación de medidas de protección de la información.

60

5. CONTROLES Y/O SALVAGUARDAS

Según lo presenta la metodología Magerit, los controles y/o salvaguardas, son

aquellos procedimientos o mecanismos tecnológicos que permiten reducir

significativamente el riesgo al que está expuesto cada uno de los activos.

El efecto de los controles y/o salvaguardas es por un lado reducir la probabilidad

de que las amenazas se puedan materializar, las cuales se llaman salvaguardas

preventivas. Por otro lado existen las salvaguardas que limitan el daño que ya se

causó, es decir, la amenaza ya fue materializada pero se limita la degradación y

en algunos casos se puede tener una pronta recuperación del activo.

5.1 TIPOS DE PROTECCIÓN

Existen diferentes tipos de protección, así lo plantea Magerit:

Prevención

Una salvaguarda es preventiva cuando reduce las oportunidades de que un

incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son

los mismos.

Disuasión

Una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que

estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas

que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero

que no tienen influencia sobre los daños causados caso de que el atacante

realmente se atreva.

61

Eliminación

Una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son

salvaguardas que actúan antes de que el incidente se haya producido. No reducen

los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a

ocurrir.

Minimización del impacto / limitación del impacto

Una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de

un incidente.

Corrección

Una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara.

Son salvaguardas que actúan después de que el incidente se haya producido y

por tanto reducen los daños.

Recuperación

Una salvaguarda ofrece recuperación cuando permite regresar al estado anterior

al incidente. Son salvaguardas que no reducen las probabilidades del incidente,

pero acotan los daños a un periodo de tiempo.

Monitorización

Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que

ha ocurrido. Si se detectan cosas en tiempo real, se puede reaccionar atajando el

incidente para limitar el impacto; si se detectan cosas a posteriori, se puede

aprender del incidente y mejorar el sistema de controles o salvaguardas de cara al

futuro.

62

Detección

Una salvaguarda funciona detectando un ataque cuando informa de que el ataque

está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación

otras medidas que atajen la progresión del ataque, minimizando daños.

Concienciación

Son las actividades de formación de las personas anexas al sistema que pueden

tener una influencia sobre él. La formación reduce los errores de los usuarios, lo

cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo

pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o,

al menos, no menoscabándolo por una mala operación.

Administración

Se refiere a las salvaguardas relacionadas con los componentes de seguridad del

sistema. Una buena administración evita el desconocimiento de lo que hay y por

tanto impide que haya puertas desconocidas por las que pudiera tener éxito un

ataque. En general pueden considerarse medidas de tipo preventivo.

5.2 IDENTIFICACIÓN DE LOS CONTROLES Y/O SALVAGUARDAS

En la siguiente tabla se proponen controles y/o salvaguardas los cuales son

identificados para disminuir la posibilidad de que las amenazas lleguen a

materializarse.

Tabla 44. Identificación de Controles y/o Salvaguardas

Tipo Control y/o Salvaguarda Ref.

Concienciación

Inducción para el personal nuevo CO1

Capacitaciones constantes CO2

Cifrado de información confidencial CO3

Administración Análisis de Riesgos AD1

63

Planes de Continuidad AD2

Asignación de Roles a los empleados AD3

Asignación de Responsabilidades AD4

Contar con un administrador de Red AD5

Lineamientos en cada procesos AD6

Lineamientos Acceso proveedores AD7

Acuerdos de confidencialidad AD8

Documentación, normatividad legal y reglamentación de la organización vigente

AD9

Recuperación Backups RE1

Copias de Seguridad RE2

Monitorización

Historial de actividades MO1

Solicitud de autorización de actividades con alto grado de riesgo

MO2

Solicitud de autorización de extracción de activos

MO3

Inventario de Activos MO4

Registro de Actividades y Supervisión MO5

Auditorias MO6

Minimización del Impacto

Desconectar los equipos MI1

Seguros MI2

Detección

Anti-virus DE1

Anti-phishing DE2

Anti-pharming DE3

Cámaras DE4

Alarmas DE5

Canales de detección de incidentes DE6

Detectores de humo y/o fuego DE7

Prevención

Corta papeles PR1

Solicitud de Accesos PR2

Planeación de actividades PR3

Requisas PR4

Celaduría PR5

Candados PR6

Portabilidad del carnet de la organización PR7

Restricción de descargas PR8

Des-habilitación de puertos de los equipos PR9

Revisión de los procesos a realizar PR10

Implementación y documentación de políticas de seguridad

PR11

Restricción a la información de códigos fuentes PR12

64

de programas

Implementación control criptográfico PR13

Extintores PR14

Protocolos de seguridad PR15

Pruebas PR16

Gestión de Claves PR17

Corrección

Redundancia en la red CR1

Servicios de internet alternativos CR2

Plantas (Ups) CR3

Equipos secundarios CR4

Valoración y Tratamiento de incidentes de seguridad de la información

CR5

Fuente: Autores

5.3 OBJETIVOS DE CONTROL

Con base en el anexo A “Objetivos de Control y Controles” de la norma ISO

270001:2013 se clasifican los controles identificados anteriormente de acuerdo a

cada una de las políticas con una breve descripción y definiendo si ese control

aplica o no dentro de la organización para ser implementado o si por el contrario el

control ya se cumple dentro de la entidad.

Política de la Seguridad de la Información

Por parte de la dirección se debe brindar orientación y soporte para que se

garantice la seguridad de la información de acuerdo a los objetivos de la

organización teniendo en cuenta los reglamentos pertinentes.

Tabla 45. Objetivo de Control - Política de la Seguridad de la Información

Política de la Seguridad De La Información

Control Aplica

Descripción SI NO

PR10 X

Se deben realizar una revisión de cada uno de los procesos que se vayan a realizar ya que esto evita que se desarrollen errores los cuales pueden abrir brechas de vulnerabilidad

65

PR11 X

Todos los empleados deberán conocer las políticas de seguridad que se implementen, estas deben estar documentadas de forma clara y concisa con el fin de dar a conocer la importancia que tiene el manejo de la información

Fuente: Autores

Organización de la Seguridad de la Información

Establecer un modelo de referencia de gestión para controlar todas las

operaciones que se llevan a cabo dentro de la organización en cuanto a la

seguridad de la información.

Tabla 46. Objetivo de Control - Organización de la Seguridad de la Información

Organización de la Seguridad de la Información

Control Aplica

Descripción SI NO

AD1 X

La organización debe contar con un análisis de riesgos en donde se tenga claridad de las nuevas amenazas que se puedan presentar y de los nuevos controles a implementar

AD3 X Cada empleado debe contar con un rol dentro de la organización para que haya una claridad de las actividades a desempeñar.

PR3 X Se debe emplear una planeación de actividades teniendo en cuenta las brechas de seguridad que se puedan presentar

PR4 X Al ingresar o salir una persona de las instalaciones se hace necesario revisar los elementos que porta para evitar perdida de activos

PR5 X

La organización debe contar con celaduría las 24 horas del día los 7 días de la semana, con el fin de que proteja todo lo que se encuentra en interior de las instalaciones

MO2 X

Cada actividad que posea un alto grado de riesgo para la organización debe ser autorizada por personas idóneas las cuales determinen si la actividad se puede llevar a cabo o no

Fuente: Autores

66

Seguridad de Recursos Humanos

Los empleados deben tener claridad en cuanto a sus responsabilidades dentro de

la organización.

Tabla 47. Objetivo de Control - Seguridad de Recursos Humanos

Seguridad de Recursos Humanos

Control Aplica

Descripción SI NO

AD2 X

En caso de presentarse una falla que impida la realización de los procesos se debe contar con planes de continuidad donde se puedan restablecer las actividades.

AD8 X Debe existir acuerdos de confidencialidad para evitar que empleados hagan uso indebido de la información de la organización

MO1 X Se debe contar con un historial de actividades que permita tener una trazabilidad en cada uno de los procesos que se realizan

PR7 X Cada persona dentro de la organización debe portar en un lugar visible el carnet empresarial que lo identifique como empleado

Fuente: Autores

Gestión de Activos

Tener claridad de los activos que la organización maneja y por consiguiente

considerar una protección adecuada para cada uno de estos activos.

Tabla 48. Objetivo de Control - Gestión de Activos

Gestión de Activos

Control Aplica

Descripción SI NO

MO4 X Se debe contar con un inventario de todos los activos que la organización maneja

PR1 X Cuando un activo de información tangible ya no se requiere se debe destruir de forma adecuada evitando que no se pueda recuperar la información destruida

Fuente: Autores

67

Control de Acceso

Evitar el ingreso a zonas o equipos que no son permitidos por el alto grado de

confidencialidad de la información que se maneja.

Tabla 49. Objetivo de Control - Control de Acceso

Control de Acceso

Control Aplica

Descripción SI NO

PR2 X

Se debe contar con controles que permitan tener una solicitud de acceso como por ejemplo puertas con huella dactilar, claves de seguridad, permisos de ingresos, etc.

PR6 X Se debe contar con candados de gran seguridad que permitan evitar que los activos sean retirados de la organización

PR8 X Debe existir proxys que no permitan el ingreso a paginas de descargas o páginas que tengan algún tipo de riesgo para la organización

PR9 X Los equipos deben tener deshabilitados los puertos USB y unidades de cd para evitar la extracción de información confidencial

PR12 X Según el rol del empleado debe existir una restricción en los códigos fuentes de los programas y en el acceso a programas según su cargo

Fuente: Autores

Criptografía

Para proteger la información más delicada hay que asegurar el uso de

mecanismos de cifrado con lo cual se otorga un mayor grado de seguridad a la

información

Tabla 50. Objetivo de Control - Criptografía

Criptografía

Control Aplica

Descripción SI NO

PR13 X La organización debe contar con mecanismos de cifrado para la información que es más delicada

68

PR17 X Las claves que se manejen dentro de la organización debe tener una caducidad la cual permita estar realizando el cambio de clave periódicamente

CO3 X La información confidencial que se requiera enviar debe ir debidamente comprimida y protegida con una contraseña segura.

Fuente: Autores

Seguridad Física y del Entorno

Desarrollar controles de seguridad para el acceso físico donde se encuentren

ubicados los equipos informáticos y la información de la empresa, al igual que toda

el área perimetral de la estructura física de la organización.

Tabla 51. Objetivo de Control – Seguridad Física y del Entorno

Seguridad Física y del Entorno

Control Aplica

Descripción SI NO

MI2 X

La organización debe contar con pólizas de seguros en donde cubra cada uno de los activos de la organización para que en caso que suceda una catástrofe o un accidentes con alguno se tengan asegurados amparado

DE4 X La organización debe contar con cámaras para el monitoreo de las actividades al interior y alrededores de la organización

DE5 X La organización debe contar con alarmas que den alerta a cualquier tipo de amenaza que se presente

DE7 X Dentro de las instalaciones debe existir mecanismos que permitan detectar humo y/o fuego

PR14 X Cada departamento o área debe contar con implementos como extintores en caso de incendio

Fuente: Autores

69

Seguridad de las Operaciones

Garantizar la seguridad de las operaciones y procesos para el correcto

funcionamiento de los recursos de la información, comunicación y operaciones de

la organización.

Tabla 52. Objetivo de Control – Seguridad de las Operaciones

Seguridad de las Operaciones

Control Aplica

Descripción SI NO

DE1 X Cada equipo de la organización debe contar con programas que eviten que se filtren virus y por consiguientes dañen los equipos

DE2 X Cada equipo de la organización debe contar con programas que eviten la suplantación de identidad y por consiguiente alteración o robo de la información

DE3 X Cada equipo de la organización debe contar con programas que eviten el fraude en línea

AD4 X Cada área que posee la organización deberá contar con un responsable para la gestión y operación de los equipos de procesamiento.

RE1 X Se deben tener backups de toda la información para que en caso de pérdida de la información se pueda recuperar

RE2 X Se debe contar con copias de respaldo para que en caso de que suceda algún tipo de perjuicio con la información se tenga posibilidad de recuperación

MO5 X

Se debe contar con un registro de las actividades que se realizan diariamente con el fin de tener un control en cuanto a las personas que realizan dichas actividades, con su respectiva hora y fecha

MO6 X Se deben realizar al menos una auditoria al mes sobre cómo se están llevando a cabo los procesos y de qué manera se están realizando

Fuente: Autores

70

Seguridad de las Comunicaciones

Garantizar la protección de la información en las redes e instalaciones en el

procesamiento de información.

Tabla 53. Objetivo de Control – Seguridad de las Comunicaciones

Seguridad de las Comunicaciones

Control Aplica

Descripción SI NO

AD5 X La red de la organización debe estar controlada y administrada por personas calificadas.

MO3 X

En caso de requerir sacar algún equipo de comunicación de la organización se hace necesario realizar una autorización en donde se hagan una serie de especificaciones como responsable, fecha, artículo a retirar, etc.

Fuente: Autores

Adquisición, Desarrollo y Mantenimiento de Sistemas

Garantizar que la seguridad de la información sea una parte integral de los

sistemas de información durante todo el ciclo de vida.

Tabla 54. Objetivo de Control – Adquisición, Desarrollo y Mantenimiento de

Sistemas

Adquisición, Desarrollo y Mantenimiento de Sistemas

Control Aplica

Descripción SI NO

PR15 X

Deben existir una serie de protocolos en la manipulación y/o mantenimiento de los equipos lo cual permita la confiabilidad, integridad y disponibilidad del mismo

AD6 X Se debe contar con una estandarización y lineamientos para cada uno de los procesos que se realicen

PR16 X Cada procesos que se lleve a cabo debe contar con una serie de pruebas documentadas las cuales permitan diagnosticar fallas

Fuente: Autores

71

Relaciones con los Proveedores

Garantizar la seguridad de la información de cada uno de los activos de la

organización los cuales son accesibles a terceros.

Tabla 55. Objetivo de Control – Relaciones con los proveedores

Relaciones con los proveedores

Control Aplica

Descripción SI NO

AD7 X

Debe existir una documentación en donde se especifiquen lineamientos respecto al ingreso y restricciones que los proveedores tiene al interior de la organización

AD8 X Debe existir acuerdos de confidencialidad para evitar que proveedores o terceros hagan uso indebido de la información de la organización

Fuente: Autores

Gestión de Incidentes de Seguridad de la Información

Garantizar un enfoque coherente y eficaz para la gestión de incidentes de

seguridad de la información, incluida la comunicación sobre eventos de seguridad

y debilidades.

Tabla 56. Objetivo de Control – Gestión de Incidentes de Seguridad de la

información

Gestión de Incidentes de Seguridad de la Información

Control Aplica

Descripción SI NO

CR5 X Cada incidente de seguridad de la información debe ser priorizado para determinar el tratamiento que se le debe hacer conforme a su criticidad

DE6 X Se debe garantizar que haya canales de detección de incidentes para poder dar un tratamiento a tiempo

Fuente: Autores

72

Continuidad del Negocio

Garantizar un enfoque coherente y eficaz para la gestión de incidentes de

seguridad de la información, incluida la comunicación sobre eventos de seguridad

y debilidades.

Tabla 57. Objetivo de Control - Continuidad del Negocio

Continuidad del Negocio

Control Aplica

Descripción SI NO

MI1 X Para evitar daños en los equipos debe existir una buena práctica de desconexión de los equipos cuando sea requerido

CR1 X Debe existir redundancia en la red con el fin de que si existe un falla en uno de los equipos entre en funcionamiento el otro

CR2 X La organización debe contar con diferentes proveedores de internet para que si en uno de ellos existe una falla entre en funcionamiento el otro

CR3 X Se debe contar con plantas las cuales den continuidad al negocio en caso de fallas eléctricas

CR4 X Se debe contar con equipos secundarias para en caso de que existan fallas en unos puedan entrar en funcionamiento otro y se garanticen los procesos

Fuente: Autores

Cumplimiento

Evitar el incumplimiento de las obligaciones legales, estatutarias, de

reglamentación o contractuales relacionadas con seguridad de la información y de

cualquier requisito de seguridad.

Tabla 58. Objetivo de Control - Cumplimiento

Cumplimiento

Control Aplica

Descripción SI NO

AD9 X La organización debe contar con toda la documentación que es requerida por los entes de control

73

CO1 X Cada empleado nuevo debe contar con una inducción en la que se le explique cada uno de sus roles dentro de la organización

CO2 X

La organización deberá realizar capacitaciones constantes donde se explique la importancia de la seguridad de la información y donde se hagan conocer las políticas de seguridad para dar cumplimiento a estas

Fuente: Autores

74

6. CONCLUSIONES

Como resultado de la investigación presentada es posible concluir:

El diseño del Sistema de Gestión de Seguridad de la Información depende del Core del negocio, de los objetivos y necesidades de la organización, así como de su estructura. Estos elementos van a permitir definir el alcance de la implantación del sistema teniendo en cuenta las áreas que van a verse involucradas en el cambio.

La construcción de un SGSI con base a la norma ISO 27001 es una herramienta que permite analizar y ordenar la estructura de los sistemas de información facilitando la definición de procedimientos, políticas y de controles que van a proteger a la organización frente amenazas y riesgos que pueden poner en peligro el cumplimiento de los objetivos de negocio y de los tres pilares de la seguridad; la confidencialidad, integridad y disponibilidad al interior de la empresa, ante los clientes y las distintas partes interesadas en el negocio, garantizando disminuir de forma significativa el impacto de los riesgos y la seguridad de toda la información.

La metodología MAGERIT permite hacer un análisis de riesgo para reducirlos de la mejor manera posible, logrando identificar, analizar y valorar los activos que una organización posee. No toda la información de la que disponen las organizaciones tienen el mismo valor o está sometida a los mismos riesgos, por eso es importante gestionar el análisis de riesgos determinando vulnerabilidades y controles para evitar que las amenazas sean materializadas.

Con el resultado obtenido en el análisis y la gestión de riesgos se establecen unos controles y/o salvaguardas para los activos, orientados a mitigar los riesgos encontrados de manera que se encuentren por debajo del riesgo asumido por la organización. Estos se contemplan sobre la protección tanto físicas como lógica donde se encuentran los activos de información.

Las políticas que sientan las bases de la seguridad en la organización permiten especificar medidas, contemplando todos los aspectos orientados al acceso a la información, utilización de los activos físicos y lógicos, y el comportamiento que deben tener en caso de que ocurra un incidente. Su

75

elaboración debe ser en un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la organización lo pueda entender. Durante esta definición se realiza un estudio de la situación de la organización desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en función de las necesidades detectadas.

Los procedimientos de trabajo aparecen en detalles más técnicos y desarrollan los objetivos marcados en las políticas de seguridad de la información con el fin de reducir el riesgo y también el impacto o la probabilidad de ocurrencia. Estos deben ser conocidos por aquellas personas que lo requieran para el desarrollo de sus funciones.

76

7. RECOMENDACIONES

Es necesario considerar el ciclo de vida de la información, ya que lo que hoy puede ser crítico para la organización puede dejar de tener importancia con el tiempo.

Es imprescindible la revisión y actualización anual del documento de Políticas de Seguridad de la Información, esto debido a casos como: grandes incidentes de seguridad que se hayan presentado, después de una auditoría del sistema sin éxito o por cambios que afectan a la estructura de la organización.

La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.

Es importante considerar la opción de acudir a consultores y/o auditores especializados para que se realice los estudios pertinentes para el análisis del funcionamiento de la organización, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad.

77

8. BIBLIOGRAFÍA

Docout, Soluciones de ingeniería documenta, La importancia de la

información en las empresas, Actualizado el 26 de marzo de 2015,

disponible en: http://www.docout.es/2015/03/la-importancia-de-la-

informacion-en-las-empresas/ [Consultado: 14 de marzo de 2016]

Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De

Gestión De Seguridad De La Información Para Una Entidad Financiera De

Segundo Piso. Bogotá

Robinson Ruiz Muñoz. (2015). Elaboración de un plan de

implementación de la ISO/IEC 27001:2013 Para la empresa Pollos Pachito.

Gustavo Pallas Mega. (2009). Metodología de Implantación de un

SGSI en un grupo empresarial jerárquico. Uruguay

ISO 27000, La serie 27000, disponible en:

http://www.iso27000.es/download/doc_iso27000_all.pdf [Consultado: 03 de

abril de 2016]

Ingenia. Ingeniería e Integración Avanzadas. Implantación de un

SGSI con e-PULPO. 03 de abril de 2016, de e-pulpo, disponible en:

https://www.e-pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-

pulpo_v1.00.pdf [Consultado: 03 de abril de 2016]

ISO 27000, El portal de ISO 27001 en Español, ¿Qué es un SGSI?,

2012, disponible en: http://www.iso27000.es/sgsi.html [Consultado: 03 de

abril de 2016]

administracionelectronica, Pae Portal Administración electrónica,

MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información, disponible en:

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae

_Metodolog/pae_Magerit.html#.Vwb4RJzhAdV [Consultado: 03 de abril de

2016]





78

Glosario Sistemas de Gestión, ImagenWorld disponible en:

http://www.imagenworld.com/html/downloads/VARIOS/GLOSARIO%20SIST

EMAS%20DE%20GESTION.pdf [Consultado: 03 de abril de 2016]

gerencie, Ciclo PHVA, disponible en: http://www.gerencie.com/ciclo-

phva.html [Consultado: 03 de abril de 2016]

degerencia, Outsorcing, disponible en:

http://www.degerencia.com/tema/outsourcing [Consultado: 04 de abril de

2016]



http://www.degerencia.com/tema/outsourcing

79

ANEXOS

80

ANEXO 1

POLITICAS DE SEGURIDAD

Introducción

Un Sistema de Gestión de Seguridad de la Información es una decisión estratégica que debe involucrar a toda la organización, aunque en ocasiones sólo puede ser necesario en un departamento, una sede o área de negocio en específico y debe ser dirigida desde la dirección. Su diseño dependerá de los objetivos y necesidades de la organización, así como de su estructura. Asegurando que la selección de los controles de seguridad protejan los activos de información de manera apropiada y brinde las acciones de tratamiento de los incidentes de seguridad de la información a medida que se presenten. Propósito El principal propósito es agrupar las directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la organización. Teniendo en cuenta la protección de la información y la de sus clientes, relacionada con el soporte y entrega de los servicios de Outsourcing de TI. Explica qué es lo que está permitido y qué no; determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan e identifica los riesgos a los que está sometida la organización Alcance

El documento delimita lo qué se tiene que proteger, de quién y por qué a través de una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización que presta servicio Servicios de Outsourcing de TI. Está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas. Las políticas de seguridad que se plantean, se basan en un análisis estratégico considerando que la seguridad de la información es importante para garantizar la prestación de servicios de Outsourcing de TI, el cual representa directrices generales de alto nivel que deben ser adoptadas por todos los participantes en las líneas de negocio.

81

POLÍTICAS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer las políticas de seguridad con base a los objetivos de la organización, la misión y visión del negocio que permita garantizar la seguridad de la información con el propósito de preservar su confidencialidad, integridad y disponibilidad en forma continúa. Alcance: Deben ser conocidas, entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos. Mediante la implementación de buenas prácticas, preservar la

confidencialidad, integridad y disponibilidad de la información misional de la organización de acuerdo a las responsabilidades asignadas para la satisfacción de los clientes y la protección de la información contra amenazas internas y externas.

Las políticas de seguridad de la información se diseñan a partir de 6 principios

fundamentales:

Responsabilidad individual: Este principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos, aun si tiene o no conciencia de las consecuencias.

Autorización: Este principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida de seguridad, también facilita el soporte y mantenimiento de los sistemas.

Separación de obligaciones: Este principio indica que las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado.

Auditoría: Este principio permite verificar que las actividades que se realizan, las personas involucradas en ellos, así como las herramientas instaladas y su configuración son acordes al esquema de seguridad realizado y si éste es conveniente a la seguridad requerida por la organización.

82

Redundancia: Este principio trata sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos. Otros aspectos como la energía eléctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operación cuando el primario sufra una avería.

Las políticas de seguridad deben ser revisadas periódicamente de acuerdo al tiempo establecido en el momento de su aprobación o en caso de producirse cambios significativos para garantizar que son las adecuadas y suficientes.

Con el objetivo de que cualquier funcionario de la organización pueda interpretar de manera correcta las políticas, éstas deben ser documentadas en un lenguaje claro y sencillo.

Responsables: La Gerencia General: Asume el compromiso en forma permanente en la aprobación y mejora continua del Sistema de Gestión de la Seguridad de la Información. Vigencia: La presente política entrará en vigencia al momento de ser publicada. Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

83

A.6. POLÍTICA PARA LA ORGANIZACIÓN INTERNA DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer una estructura que permita administrar la gestión de la

seguridad de la información a través de un organización apropiada de las áreas,

equipos e individuos de trabajo.

Alcance: Definir los roles y las responsabilidades del personal de acuerdo a la función asignada que permitan gestionar y controlar la seguridad de la información. Política: Roles y responsabilidades:

El Gerente General: Busca la cooperación y colaboración de todos el personal involucrado en la seguridad de la información. - Tiene toda la responsabilidad, compromiso y autoridad para impulsar los

temas estratégicos respecto a la seguridad de la información.

- Asegura que se establezcan, implementen y mantengan los controles necesarios para el SGSI.

- Debe aprobar el documento de Políticas de Seguridad de la Información y socializarlo a toda la organización de manera oportuna y accesible.

Comité de Seguridad de la Información: Es un equipo de trabajo encargado de asegurar que exista dirección y apoyo gerencial para establecer, implementar y monitorear los planes y controles de Seguridad de la Información que requiera la organización. - Aprueban el Manual de Seguridad de la Información de la organización y el

presupuesto para desarrollar los planes de acción que permitan materializar las estrategias definidas.

Responsable de Seguridad de la Información: Es un equipo de trabajo donde el encargado debe ser un asesor especialista en temas de Seguridad de la Información para el Comité de Seguridad de la Información. - Son responsables de analizar los riesgos y las vulnerabilidades de los

activos de información de la organización y de los clientes.

84

- Proponer medidas tecnológicas y de gestión a implantar para materializar la

estrategia de Seguridad de la Información.

- Mantener contacto apropiado con autoridades pertinentes y grupos especializados en Seguridad de la Información en caso de encontrar incumplimiento a la presente política de seguridad de la información.

- Son encargados de comunicar y realizar las capacitaciones a todos los empleados y contratistas de la organización sobre los controles y las políticas de seguridad establecidas.

- Delegar funciones de seguridad a los usuarios de las diferentes áreas de la organización de acuerdo a la clasificación de la información.

Responsables: Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización. Dueños de Procesos: Cumplir las disposiciones de esta política. Oficina Calidad: Velar por el mantenimiento del presente documento y su posterior actualización. Vigencia: La presente política entrará en vigencia al momento de ser publicada. Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

85

A.7. POLÍTICA DE SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Objetivo: Asegurar que durante la selección del recurso humano, los candidatos sean aptos para las funciones a desarrollar, que conozcan y entiendan cuáles son sus responsabilidades, reduciendo el riesgo de robo, fraude y mal uso de las instalaciones y medios. Alcance: Definir de forma clara los lineamientos para el manejo y control de los aspectos mínimos de seguridad de la información relacionados con la actividad laboral de los empleados de la organización y/o terceros que tengan acceso a recursos de información. Políticas:

Antes de la contratación

- Los candidatos deben ser investigados, usando los contactos de referencia de empresas anteriores en la hoja de vida, verificando los antecedentes judiciales, disciplinarios y fiscales. Este proceso deberá buscar veracidad de la hoja de vida, confirmación de certificaciones académicas y profesionales, así como de los documentos de identidad presentados.

- Las responsabilidades de la seguridad se deben definir antes de la contratación laboral mediante la asignación clave de acceso, contrato de confidencialidad, aplicativa con inducción, las funciones, términos y condiciones del empleo.

Durante la contratación

- Asegurar que los empleados, contratistas y usuarios de terceras partes conozcan y cumplan con las responsabilidades que adquieren para proteger la información, garantizar la seguridad y el buen uso, así como mantener confidencialidad de la información a la que tienen acceso.

- Los empleados, contratistas y usuarios de terceras partes deben firmar las cláusulas contractuales para el cumplimiento de sus funciones, y responsabilidades que tiene sobre los activos que utilizará, entre otros.

86

- En cuanto a las condiciones de la seguridad de la información deberán ser comunicadas a cada empleado de la organización a través del acuerdo de confidencialidad.

- Todo el personal que ingrese vinculado de manera temporal y/o indefinida a

la organización deben asistir de manera obligatoria durante su inducción a la capacitación en Seguridad de la Información.

- Los empleados y contratistas están obligados a participar en la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. Todos los empleados y/ contratistas tendrán acceso permanente a las políticas.

- Los Responsables de Seguridad de la Información realizarán las capacitaciones a todos los empleados y contratistas de la organización de sensibilización, educación y formación adecuada y actualizaciones periódicas en las políticas y procedimientos de la organización, que sea relevante para su función laboral.

- La responsabilidad de la información deberá estar a cargo de una sola persona para evitar conflicto en cuanto a responsabilidades. Cumplir las disposiciones de esta política.

- Se aplicaran sanciones disciplinarias al empleado que haya cometido una violación de la seguridad de la información.

Terminación o cambio de puesto de trabajo

- Es responsabilidad de la Coordinación de Talento Humano asegurar que en el evento de la terminación del contrato y/o cambio de cargo al interior de la organización, el proceso de finalización sea formalizado para que el empleado realice la devolución de todos los activos de información y elementos asignados durante su relación.

- La vigencia de los derechos de acceso y su revocatoria, debe estar relacionados con la terminación contractual del empleado y/o cambio del rol en la organización.

- Es necesario reconsiderar los derechos de acceso en un cambio de rol, estos deberán ser modificados, incluyendo acceso físico y lógico, llaves, tarjetas de identificación.

87

Responsables:

Área de Recursos Humanos: Responsable de la gestión de los recursos humanos de la organización.

Dueños de Procesos: Cumplir las disposiciones de esta política.

Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.

Vigencia: La presente política entrará en vigencia al momento de ser publicada.

Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

88

A.8. POLÍTICA PARA LA GESTIÓN DE ACTIVOS Objetivo: Identificar y proteger adecuadamente los activos de información contra las diferentes amenazas a las que puede estar expuesta la organización. Alcance: Todos los activos de información serán clasificados según el contenido y su importancia, así como identificar a los propietarios de los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. Políticas: Responsabilidad sobre los activos

- Los activos deben ser identificados, tener asignado un responsable, tener

una clasificación respecto a la seguridad y ubicación vigente (frente a pérdida o daño).

Las responsabilidades son las siguientes:

Propietario del Activo: Es la persona o área responsable del activo, de valorar su criticidad y garantizar su seguridad. Administrador de Seguridad del Activo: Es la persona o área encargada de la instalación y mantenimiento de los controles necesarios para proteger la información de acuerdo con el nivel de protección asignado por el Propietario.

Gestor del Activo: Es la persona o área encargada de verificar la implantación de las medidas de seguridad y controles adoptados.

- Para establecer la salvaguarda de un activo de información se debe tener

en cuenta el tipo de activo: Hardware, software, información, red, equipamiento auxiliar, instalación, servicios y de personal.

- Los activos de información de la organización deben ser utilizados únicamente para propósitos del negocio.

- Para los casos en que se requiera usar equipos como portátiles y teléfonos móviles por fuera de las instalaciones de la organización se deberá proporcionar la seguridad física, el control de acceso, copias de respaldo y

89

la protección de antivirus, necesarias para asegurarse que no pone en riesgo la información.

- Todos los usuarios con un vínculo laboral deben tener un adecuado y aceptable uso de la información y de los activos asociados a dichas actividades, incluyendo el uso adecuado del correo electrónico, el uso controlado de Internet y el uso adecuado del teléfono.

Inventario de activos

- Los activos de información deben clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.

- Los activos relacionados con la información y las instalaciones de procesamiento de información deben ser identificados y registrados dentro del inventario de activos de la organización.

- Los empleados y contratistas deberán devolver los activos de la organización que tenían en su poder a la terminación de su empleo, contrato o acuerdo.

Clasificación de la información

Criterios de Clasificación: Sirven para valorar los activos de información Autenticidad: Establece el grado de identidad del origen y destino, y asegura que sea quién dice ser. Confidencialidad: Garantiza que la información sólo sea revelada por y a las personas autorizadas. Integridad: Previene que la información sea modificada o destruida por personas no autorizadas. Disponibilidad: Garantiza que los usuarios autorizados tengan acceso a la información cuando lo necesiten. Físicos: Conformado por todo elemento físico que sostenga la información de la red, como computadores, impresoras, routers, servidores, switches, entre otros.

90

Lógicos: Son todos aquellos recursos que contienen la información de la organización, como Bases de Datos, listados, inventarios, documentos entre otros. Servicios: Son principalmente programas o aplicaciones que nos permite realizar algún tipo de trabajo, como el correo electrónico o los procesadores de texto, entre otros. Documentos: Es la información impresa que por requisitos definidos necesita ser verificable físicamente.

- Todos los activos de información identificados y listados en un inventario deben ser etiquetados de acuerdo a la clasificación según su contenido y la importancia que le haya dado la organización, esta clasificación será realizada por el responsable del activo de información.

- La información se clasificará con base al nivel de riesgo a que está expuesta, a los requisitos legales, su privacidad, la criticidad y sensibilidad a la divulgación o modificación no autorizada.

- Cada nivel de clasificación tendrá un conjunto de controles determinados por la organización para proporcionar un nivel de protección de la Información apropiado y consistente sin importar el medio, formato o lugar donde se encuentre el activo.

Manejo de los soportes de almacenamiento extraíbles

Proteger la información almacenada dentro de los servicios de la organización contra pérdida o corrupción intencional.

- Los puertos USB y unidades de DVD no deben permitir la copia de archivos.

- El intercambio de información entre empleados se debe realizar por medio de la carpeta pública de la red.

- En el caso de requerir transportar información específica a las instalaciones

de un cliente, se debe pedir autorización de copiado de información al área de seguridad.

91

Responsables:

Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.





92

A.9. POLÍTICA DE CONTROL DE ACCESO Objetivo: Establecer controles de seguridad para el acceso físico y lógico, y preservación de los activos de información. Alcance: Establecer controles de acceso para asegurar los entornos abiertos y cerrados evitando el acceso no autorizado a los activos de información y controlar las condiciones medioambientales requeridas para el funcionamiento de la infraestructura tecnológica que soporten los Servicios de Outsourcing de TI de la organización.

Políticas: Requisitos de negocio para el Control de acceso

Controlar el acceso no autorizado a las instalaciones de la organización:

- Se debe implementar procedimientos formales para controlar la asignación de autorización de acceso a los sistemas y servicios de información.

- Los responsables de las áreas seguras tienen la obligación de vigilar y

garantizar que se cumplan las siguientes medidas de seguridad: - El acceso a áreas seguras requieren de un esquema de control de

acceso, como tarjetas, llaves o candados. - El responsable de un área segura debe asegurar que no ingresen

cámaras fotográficas y/o de video, y teléfonos móviles con cámara. - Se debe utilizar planillas para registrar la entrada y salida del personal. - Si en las áreas seguras hay puntos de acceso inalámbricos, puertas de

enlace a redes y terminales de red se debe restringir el acceso.

Control de acceso a las redes y servicios asociados

- Se debe establecer mecanismos de autenticación apropiados para usuarios y equipos.

93

- La identidad de cada usuario es única y el usuario es responsable por sus acciones mientras utiliza cualquier recurso de información, así que por ninguna circunstancia podrá compartir el usuario y password que se le ha asignado para que terceros puedan acceder. El incumpliendo a este lineamiento será tratado como una violación de la seguridad de la información y asumirá la falta.

- Se debe controlar el acceso a los servicios de red tanto internos como externos.

- Los empleados de la organización no deben utilizar herramientas para obtener información de la red como detección de puertos y servicios.

Gestión de acceso de usuario

- Establecer procedimientos formales para el registro y eliminación de usuarios, que permita otorgar y quitar los derechos de accesos a los sistemas y servicios de información.

- Solo el responsable de la información está autorizado a solicitar la creación de un usuario, este identificador de usuario debe ser asociado a un único individuo. La solicitud debe estar relacionada con los tipos de permiso y acceso a las aplicaciones, y los recursos a los cuales no va a tener acceso.

- Cuando un empleado haya finalizado su relación contractual con la organización la eliminación de la cuenta de usuario debe ser realizada inmediatamente.

- Definir un único Id de usuario con la estructura (Nombre. Apellido) de manera que se pueda vincular y hacer responsables a los usuarios por sus acciones.

- Se debe revisar regularmente los derechos de acceso otorgados a los usuarios.

- Cada usuario tiene que identificarse y autenticarse antes de acceder a un recurso de tecnología por medio de un usuario y una contraseña.

- Los usuarios sólo podrán acceder a los recursos a los cuales están autorizados.

94

- Los eventos de ingreso y autenticación de usuarios serán registrados y monitoreados por los responsables de la información.

- Periódicamente verificar y cancelar las cuentas de usuarios que ya no se encuentran activos.

Responsabilidades del usuario

- El empleado recibirá una contraseña junto con la cuenta de usuario para

acceder a los recursos informáticos de la organización.

- Los empleados no deberán utilizar contraseñas que resulten predecibles o fácil de adivinar como contraseñas en blanco, secuencias comunes de caracteres y datos personales. Debe mezclar minúsculas y mayúsculas, mezclar letras con números, signos de puntuación y símbolos especiales como $ % &”.

- Las contraseñas no deberán ser escritas o almacenadas en lugares visibles

o cerca de los sistemas a los cuales permiten el acceso.

- Se prohíbe compartir la contraseña, esta es personal e intransferible.

- Todos los empleados de la organización deben dejar siempre sus equipos bloqueados en caso de no estar en su lugar de trabajo.

Control de acceso al sistema y aplicaciones

- Debe ser obligatorio el cambio de la contraseña en el primer ingreso

garantizando así su responsabilidad y único conocimiento sobre la misma.

- La contraseña debe tener una longitud mínima de 8 (ocho) caracteres alfanuméricos.

- El usuario será bloqueado si en treinta días no registran ninguna actividad.

- Después de tres intentos no exitosos de digitar la contraseña el usuario será bloqueado de manera inmediata y deberá solicitar el desbloqueo al área de sistemas.

95

- Se debe establecer controles para restringir la instalación de programas y aplicaciones que podrían ser capaces de anular el sistema.

- Para otorgar los permisos de trabajo remoto a empleados de la organización, antes se debe firmar un acuerdo de confidencialidad que proteja la información sensible de la organización.

Responsables:





Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que sea encontrado realizando actividades que incumplan estas políticas podrá ser investigado y puede ser causal de sanciones, sin perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

96

A.10. POLÍTICA PARA EL USO DE CIFRADO Objetivo: Establecer los controles para el uso adecuado y efectivo de la criptografía para proteger los procesos que implican el manejo de información crítica dentro de la organización y la comunicación hacia redes externas por medios inseguros. Alcance: Definir en forma clara los controles criptográficos a ser utilizados para la protección de la información crítica y garantizar la confidencialidad, integridad y disponibilidad.

Políticas: Uso de Controles Criptográficos

- Se utilizarán controles criptográficos para la protección de claves de acceso a sistemas, datos y servicios.

- La información confidencial enviada fuera de la organización debe ir en

archivo comprimido y protegido con una contraseña segura.

- Para la Información que se considera crítica, confidencial o restringida,

debe estudiarse la posibilidad de ser resguardada en forma cifrada a través de aplicaciones del mismo sistema operativo.

- Se utilizarán protocolos de cifrado de la información basados en herramientas comerciales como Microsoft para intercambio de información en archivos de Word y Excel.

- Establecer controles criptográficos para los equipos de cómputo portátiles de los colaboradores, con el fin de garantizar la confidencialidad de la información allí contenida.

Gestión de claves

- El uso, protección y duración de las claves criptográficas se realiza a través

del directorio activo durante todo su ciclo de vida.

97

- La clave para abrir el archivo se deberá brindar al destinatario final por medio del canal de comunicación establecido entre las partes.

Responsables:



Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Seguridad: Establecen cuales son las funciones y obligaciones del responsable de Seguridad


Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que sea encontrado realizando actividades que incumplan estas políticas podrá ser investigado y puede ser causal de sanciones, sin perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

98

A.11. POLÍTICA PARA LA SEGURIDAD FÍSICA Y AMBIENTAL Objetivo: Establecer controles de seguridad para el acceso físico donde se encuentren ubicados los equipos informáticos y la información de la empresa, al igual que toda el área perimetral de la estructura física de la organización. Alcance: Definir los controles de acceso a las instalaciones físicas de la organización por el mismo personal y por el personal externo, así como la protección contra incidentes naturales y/o industriales. Políticas: Áreas seguras

- Las áreas seguras se deben proteger mediante controles físicos de entrada apropiados para garantizar el acceso por personas no autorizadas, divulgación, daño, modificación o robo de información.

- El perímetro de las áreas que protegen y contienen los activos de

información y sus instalaciones de procesamiento deben tener solidez física, las puertas exteriores con el control de accesos, mecanismos de control, alarmas, cámaras y las puertas siempre deben permanecer cerradas.

Controles de acceso físico

- Las oficinas e instalaciones donde haya acceso a terceros (visitas) no

deben permanecer abiertas cuando los funcionarios se levantan de sus puestos de trabajo, así sea por periodos cortos de tiempo.

- Todo el personal mientras permanezca en las instalaciones deben portar el carnet que los identifica como funcionarios y/o contratistas de la organización.

- Los visitantes que ingresan a la organización deben portar la identificación, ser recibidos y estar siempre acompañados por la persona a quien visitan durante su permanencia en las instalaciones de la organización.

99

Protección contra las amenazas externas y ambientales

- El grupo responsable de la Seguridad de la Información debe monitorear las variables de temperatura y humedad de las áreas de procesamiento de datos.

- Se debe utilizar un sistema de aire acondicionado para mantener los niveles de temperatura y humedad del lugar donde estarán ubicados los equipos de procesamiento de la información.

- Los equipos de procesamiento de la información deben estar ubicados en lugares que los proteja del riesgo de accesos no autorizados y de amenazas como fuego, inundaciones, terremotos, explosiones y otras formas de desastres naturales.

- Los equipos de procesamiento de información deben protegerse de acuerdo al nivel de sensibilidad que tengan asignado, de fallas y otras interrupciones causadas por falta de mantenimiento de los equipos de soporte, cortes de energía eléctrica y variaciones de voltaje.

El trabajo en áreas seguras

- Se debe instalar el número suficiente de detectores de humo en los centros

de procesamiento para detectar indicio de incendios.

- Se debe tener extintores vigentes debidamente aprovisionados y con capacidad de detener fuego generado por equipos eléctricos, papel o químicos especiales.

- El cableado de energía y lógico deben estar protegidos de interferencias electromagnéticas producidas por equipos eléctricos.

- Los cables de potencia deben estar separados de los cables de

comunicación, siguiendo normas técnicas.

- La instalación y el mantenimiento de cables de energía y líneas de telecomunicaciones, se realizará por personal capacitado y certificado que cumpla con los estándares de calidad y seguridad de la industria.

100

- Se debe realizar mantenimiento sobre los equipos de acuerdo a las recomendaciones del fabricante y se debe realizar únicamente por soporte técnico o personal autorizado.

- Se debe hacer mantenimiento y uso correcto de las UPS de tal forma que se garanticen su operación el suficiente tiempo para realizar las funciones de respaldo en servidores y aplicaciones.

Seguridad de los Equipos - Los equipos, la información o el software no saldrán de las instalaciones de

la organización sin previa autorización.

- Los equipos de cómputo deben tener un correcto mantenimiento para asegurar su continua disponibilidad e integridad.

- Se debe aplicar medidas de seguridad para los activos de información que utilicen para trabajar fuera de las instalaciones de la organización, teniendo en cuenta los diferentes riesgos.

- Todos los medios de almacenamiento o equipos que sean dados de baja o reutilizados deben ser revisados para garantizar que cualquier dato sensible y licencias de software sean eliminados de forma segura.

- Los puestos de trabajo deben estar limpios de papeles, soportes de almacenamiento extraíbles.

- Todos los computadores usados para procesar información sensible, se deben bloquear o apagar cuando no estén en uso.

- Debe estar prohibido comer, beber, y fumar mientras se hace uso y/o está cerca de los computadores, impresoras, fotocopiadoras, quemadores de CD o DVD, o algún equipo de comunicación.

- Los dispositivos utilizados para imprimir o copiar información sensible como impresoras, fotocopiadoras o máquinas de fax, deben ubicarse dentro de áreas seguras o bajo la supervisión de un empleado designado.

101

Responsables:



Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados. Área de Recursos Humanos: Responsable de la gestión de los recursos humanos de la organización.



102

A.12. POLÍTICA DE PROCEDIMIENTOS Y RESPONSABILIDADES PARA LA OPERACIÓN Objetivo: Establecer procedimientos y responsabilidad para asegurar el correcto y seguro funcionamiento de los recursos de la información, comunicaciones y operaciones de la organización. Alcance: La gestión de la seguridad lógica y física a través de los procedimientos operativos para la administración de la infraestructura y los procesos que soporten los Servicios de Outsourcing TI de la organización.

Políticas: Responsabilidades y Procedimientos de operación

- Se establecerán responsabilidades y procedimientos formales para la

gestión y operación de los equipos de procesamiento de información.

- Los procedimientos de operación deberán ser documentados y puestos a disposición de los usuarios que los necesiten.

- Se debe garantizar la actualización del documento de los procedimientos relacionados con la operación y administración de la plataforma tecnológica.

- Los responsables de la seguridad de la información deben proveer a los funcionarios los manuales de configuración y operación de los sistemas operativos, bases de datos, servicios de red y sistemas de información y de todos los componentes de la plataforma tecnológica de la organización.

- Los responsables de los activos de información tecnológicos y recursos informáticos deben solicitar formalmente los requerimientos de nuevas funcionalidades, servicios o modificaciones sobre los sistemas de información.

- Se debe asegurar que todo cambio realizado en los activos de información tecnológicos y los recursos informáticos como modificación de accesos, mantenimiento de software, actualización de versiones o modificación de parámetros están soportados por las solicitudes realizadas por los responsables de los activos, es controlado por los responsables de la seguridad de la información, es debidamente autorizado y mantiene los niveles de seguridad.

103

Protección contra código malicioso

- Por protección se debe emplear controles y medidas de detección, prevención y recuperación en contra el código malicioso, abarcando al menos servidores, computadores portátiles y estaciones de trabajo.

- Se debe garantizar que el software utilizado para mitigar los virus informáticos cuenta con las licencias respectivas, garantizando su autenticidad y su periódica actualización.

- Los responsables de los activos de información tecnológicos y recursos informáticos deben garantizar que las descargas de archivos adjuntos de los correos electrónicos o descargas de internet, provienen de fuentes conocidas y seguras.

- Los responsables de los activos de información tecnológicos y recursos informáticos deben ejecutar el software antivirus sobre archivos y/o documentos que son abiertos y/o ejecutados por primera vez.

- Se debe socializar y concientizar al personal acerca de los riesgos a los que se exponen los activos de información por los virus falsos y de qué hacer al recibirlos.

Copias de seguridad de la información - Se deben realizar periódicamente copias de seguridad de la información.

- Las copias de seguridad de la información deben ser almacenadas y

respaldadas interna y/o externamente a la organización de tal forma que se garantice su disponibilidad.

- Se debe establecer procedimientos para respaldar la información, de manera que ésta pueda ser recuperada de manera oportuna en caso de presentarse un desastre o falla de los dispositivos.

- Los responsables de los activos de información tecnológicos y recursos informáticos deben velar por el cumplimiento de los procedimientos de respaldo de la información.

- Se debe probar periódicamente los medios de resguardo con el fin de

garantizar la confiabilidad de los mismos en caso de una eventualidad.

104

- Se debe verificar y probar periódicamente los procedimientos de restauración para garantizar su eficacia y cumplimiento dentro del tiempo asignado en la recuperación en los procedimientos operativos.

Registro de actividad y supervisión

- Se debe llevar los registros de eventos que se graban de las actividades del personal, excepciones, fallas y eventos de seguridad de la información. Estos registros se deben verificar regularmente y deben ser protegidos.

- Los relojes de todos los sistemas de informática debe ser sincronizados a una fuente de tiempo de referencia única.

- Se debe registrar las fallas comunicadas por los responsables de los activos de información, con respecto a problemas con el procesamiento de la información o los sistemas de comunicaciones y estas deben ser revisadas para garantizar que fueron resueltas satisfactoriamente.

- Se debe implementar procedimientos para controlar la instalación de software en los sistemas operativos garantizando su integridad.

Consideraciones de las auditorías de los sistemas de información - Se debe establecer medidas para minimizar el impacto de las actividades

de auditoría en los sistemas operativos.

- La organización se debe apoyar en el área encargada del control interno y a través del procedimiento de auditoría interna verificar el cumplimiento de los requisitos las normas ISO, la normatividad legal vigente, los requisitos internos del proceso y los procedimientos.

- Los requisitos de auditoría y las actividades relacionadas con la verificación de los sistemas operativos deben ser planificados y acordados para reducir al mínimo las interrupciones de los procesos.

105

Responsables:



Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados. Área de Control Interno: Vigilar los acuerdos con las normas legales vigentes.



106

A.13. POLÍTICA PARA LA SEGURIDAD EN TELECOMUNICACIONES Objetivo: Definir los controles y medidas para administrar la infraestructura y proteger la información crítica que viaja por las redes. Alcance: Garantizar la seguridad de la información en las redes y sus instalaciones de apoyo de procesamiento de información de los servicios de Outsourcing TI de la organización.

Políticas: Gestión de la seguridad en las redes

- Las redes deben ser controladas y administradas para proteger la información en los sistemas y aplicaciones.

- Se debe establecer los procedimientos y responsabilidades para la administración del equipamiento remoto.

- El área de sistemas debe proponer restricciones de acceso a ciertos servicios que mejoren el rendimiento de la red.

- Los recursos disponibles a través de la red deben ser de uso exclusivo para actividades de la organización.

- Se debe actualizar la documentación como los mapas topológicos de red donde enmarque los puntos de red y su interconexión, puntos de enlaces, velocidades, dispositivos, nivel de ancho de banda.

- Se debe controlar y regular los intercambios de información y software con otras organizaciones de acuerdo a la legislación vigente, con el fin de evitar la pérdida, modificación o mal uso.

- Se debe plantear la opción de que la plataforma tecnológica de la organización que soporta los sistemas de Información este separada en segmentos de red físicos y lógicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet.

107

- Los administradores de los recursos tecnológicos son responsables de garantizar que los puertos físicos y lógicos estén siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.

Intercambio de información con partes externas

- Se debe establecer procedimientos para mantener la seguridad de la

información al momento de ser transferida, comunicada a un tercero o al salir de sus instalaciones según necesidad de la actividad o proceso particular a través del uso de todo tipo de instalaciones de comunicación dentro de la organización.

- Se debe realizar con base en estándares y utilizando mecanismos criptográficos de clave pública, el intercambio electrónico de información utilizando el canal de internet institucional que garanticen la integridad, confidencialidad, autenticidad y aceptación de la información.

- Los responsables del intercambio de información con entidades externas

deben definir en compañía de los responsables de la seguridad de la información la correcta gestión e intercambio seguro de la misma.

- Se debe revisar, identificar y documentar periódicamente los diferentes requisitos para los acuerdos de confidencialidad que reflejen las necesidades de la organización para la protección de la información.

- No se debe dejar información crítica en las impresoras, fotocopiadoras y fax, ya que a estas puede acceder personal no autorizado.

- El uso de procedimientos de monitoreo son necesarios para asegurar que los usuarios realicen actividades solamente autorizadas.

- Se deben separar los ambientes de desarrollo, producción y soporte para prevenir el riesgo de accesos o cambios no autorizados a los sistemas que se encuentran en operación.

108

Responsables:





Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que realice cualquier tipo de acción o comportamiento que vaya en contra de la seguridad física y/o lógica de los recursos asociados a la red, podrá acarrear sanciones disciplinarias, civiles y/o penales. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________

109

A.14. POLÍTICA PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Objetivo: Definir los controles y medidas para asegurar una adecuada protección en el desarrollo, mantenimiento y adquisición de los programas de aplicación de la organización que se utilizan en el soporte de las funciones críticas del negocio. Alcance: Garantizar que la seguridad informática es una parte integral de los sistemas de información a través de todo el ciclo de vida.

Políticas: Requisitos de seguridad de los sistemas de información

- La organización debe velar porque los aspectos relacionados con la

seguridad de la información sean incluidos en los requerimientos para los nuevos sistemas de información o mejoras a los sistemas de información existentes, esto incluye la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por el usuario.

- Los responsables de suministrar soluciones deben crear y mantener una metodología que controle el ciclo completo de adquisición, desarrollo, mantenimiento y disposición seguro de soluciones de información e infraestructura.

- Los requerimientos de seguridad de la Información deben ser identificados antes del diseño de soluciones de información e infraestructura.

- Se debe preservar la confiabilidad de la información tratada por las aplicaciones aprobadas por la organización desde su ingreso, transformación y entrega al negocio.

- Se deben prevenir pérdidas, modificaciones o mal uso de los datos de usuarios en las aplicaciones de los sistemas, utilizando controles y seguimientos de auditorías o registros de actividad.

- Debe ser protegida la información relacionada en las transacciones de servicios de aplicación para prevenir mal enrutamiento, transmisión incompleta, alteración, divulgación y reproducción no autorizada del mensaje.

110

Seguridad en los procesos de desarrollo y soporte

- Se debe establecer y aplicar reglas para el desarrollo de software de la organización.

- Los cambios en los sistemas dentro del ciclo de desarrollo deben cumplir con los procedimientos formales de control de cambios.

- Se debe establecer estándares para las metodologías de desarrollo y para los lenguajes de programación.

- Todos los proyectos de desarrollo de sistemas realizados con personal interno o solicitados a terceros, deben ser programados con los lenguajes aprobados y definidos en los estándares de programación de la organización.

- Se debe revisar y probar que no haya impacto negativo en las operaciones de la organización o de la seguridad cuando se cambian las plataformas de operación y/o las aplicaciones críticas.

- Se debe definir responsabilidades de supervisión y monitoreo por la organización sobre el desarrollo de software a través de Outsourcing.

- Se deben aplicar los principios para ingeniería de sistemas segura, se

documentara y aplicara en la implementación de cualquier sistema de información.

- Se debe planificar y organizar la utilización de los recursos alineándolos con los requerimientos del negocio, para un uso eficiente y responsable.

- Se debe definir y establecer formalmente la documentación requerida en las diferentes etapas de ciclo de vida de los sistemas.

- Se debe contar con un grupo de personas el cual debe autorizar la creación, adaptación o adquisición de software.

- Se deben llevar a cabo las pruebas de la funcionalidad durante el desarrollo del sistema.

- Se debe cumplir con los formatos y el procedimiento del sistema de calidad para la realización y documentación de las pruebas.

111

Datos de prueba

- Se debe seleccionar detenidamente los datos de prueba, en caso de seleccionar datos reales estos deben ser protegidos y controlados.

Responsables:






112

A.15. POLÍTICA DE SEGURIDAD DE RELACIONES CON SUMINISTRADORES Objetivo: Establecer los procedimientos de seguridad de la información para asegurar la protección de los activos de la organización que tengan acceso por parte de los proveedores. Alcance: Garantizar la protección de los activos de información de la organización que sean accesibles por los proveedores o terceros.

Políticas: Seguridad de la información en relación con los proveedores

- Se debe acordar con el proveedor y documentar los requerimientos de

seguridad de la información para mitigar los riesgos asociados con el acceso del proveedor a los activos de la organización.

- La organización debe velar porque todos los requerimientos de seguridad estén identificados e incorporados en la evaluación y contratación de proveedores antes de proporcionar acceso a la información.

- Los controles de seguridad, definiciones de servicio y ANS relacionados con los acuerdos de servicio con terceros se deben implementar, mantener y operar durante la vigencia de la prestación del servicio.

Gestión de la prestación de servicios por proveedores - Cada servicio con un proveedor debe tener un supervisor encargado de

revisar y auditar la prestación de servicios de proveedores.

- Se debe revisar con regularidad los acuerdos de confidencialidad establecidos con terceros en caso de que existan cambios en la prestación de servicios por parte de los proveedores, para asegurar que se cumple con las políticas, estándares y procedimientos definidos en la organización teniendo en cuenta la criticidad de la información, sistemas y procesos que intervienen y re-evaluación de los riesgos.

113

Responsables:






114

A.16. POLÍTICA PARA LA GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer los procesos relacionados con el tratamiento de los incidentes de Seguridad de la Información. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.

Políticas: Gestión de incidentes de seguridad de la información y mejoras

- La priorización del tratamiento de los incidentes se realiza conforme a la

criticidad de la Información.

- El responsable de la información debe definir los eventos considerados como críticos junto con sus respectivas alertas y registros de seguridad de la información.

- El grupo de Gestión de Incidentes de la organización debe restaurar la operación normal de los Servicios de Outsourcing de TI, con tanta rapidez como sea posible y minimizar el impacto adverso a las operaciones críticas del negocio, asegurando así que se mantenga el mejor nivel posible de calidad y disponibilidad.

- La responsabilidad y el procedimiento de manejo para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información está a cargo de los responsables de la seguridad de la información.

- Se debe implementar canales para la notificación de eventos e incidentes de Seguridad de la Información.

- Los funcionarios y contratistas que utilizan los sistemas y servicios de información deben observar y reportar cualquier debilidad de autenticidad, confidencialidad, integridad, disponibilidad o auditabilidad de la información observada o sospechada en los sistemas o servicios.

115

- Se debe implementar procedimientos y otros controles capaces de detectar y dar respuesta a los incidentes de seguridad.

- Los incidentes de seguridad de información deben recibir una respuesta de conformidad con los procedimientos documentados.

- Se deben utilizar los conocimientos adquiridos a partir del análisis y la resolución de incidentes de seguridad de información, para reducir la probabilidad o el impacto de los incidentes en el futuro.

Responsables:






116

A.17. POLÍTICA PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Objetivo: Establecer los procedimientos y medidas que permita mitigar las interrupciones en las actividades de negocio de la organización y proteger los procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.

Políticas: Continuidad de la seguridad de la Información

- Se debe definir e implementar un proceso para reducir la interrupción

causada por desastres naturales, accidentes y fallos de seguridad por medio de la combinación de controles preventivos y de recuperación.

- Se debe preparar, actualizar y probar periódicamente los planes de recuperación ante incidentes de sistemas.

- Se debe contar con una estrategia de recuperación alineada con los

objetivos de negocio, formalmente documentada y con procedimientos perfectamente probados para asegurar la restauración de los procesos críticos del negocio, ante el evento de una contingencia.

- Se debe manejar estándares para desarrollar, mantener y documentar los

planes de continuidad de la seguridad de información y los planes de contingencia.

- Los empleados tienen el deber de apoyar los procesos de restauración a las actividades normales de operación, después de producido un desastre, según las responsabilidades asignadas en los planes de contingencia.

- Se deben revisar y actualizar al menos anualmente los roles y responsabilidades de los planes de contingencia y de recuperación.

- Se debe considerar la contratación de seguros que formen parte del proceso de continuidad.

117

- Se debe revisar y preparar periódicamente una evaluación del grado de criticidad de todos los sistemas multiusuario.

- El análisis de riesgos debe estar enfocado específicamente en valorar el

impacto de incidentes que comprometen la continuidad del negocio teniendo en cuenta que este impacto será mayor cuanto más dure el incidente.

- Se debe verificar la información de continuidad de los controles de seguridad establecidos y aplicados a intervalos regulares con el fin de asegurar de que son válidos y eficaces en situaciones adversas.

Disponibilidad de instalaciones para el procesamiento de la información - Las instalaciones de la organización deben contar con la suficiente

redundancia para satisfacer los requisitos de disponibilidad para el procesamiento de información.

Responsables:



Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Vigencia: La presente política entrará en vigencia al momento de ser publicada.


118

A.18. POLÍTICA PARA LA GESTIÓN DEL CUMPLIMIENTO Objetivo: Definir los procedimientos generales para supervisar en forma periódica el cumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la seguridad de la información de la organización. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.

Políticas: Cumplimiento de los requisitos legales y contractuales

- Las situaciones o acciones que incumplan la presente Política deben ser

detectadas, registradas, analizadas, resueltas y reportadas de manera inmediata a través de los canales definidos.

- El área de Recursos Humanos debe indicar y advertir a los nuevos colaboradores que ingresen a la organización, la ubicación del Manual, de las políticas de seguridad de información y su obligación de conocerlos y aplicarlos.

- Se debe evaluar periódicamente el cumplimiento de los requerimientos de seguridad por parte de los funcionarios y contratistas.

- El área Jurídica es la encargada de verificar la normatividad legal y reglamentaria de la organización.

- El área de Auditoría Interna de la organización es la encargada de verificar el cumplimiento normativo ISO 27001.

- Todos los requisitos pertinentes, legislativos estatutarios, reglamentarios y contractuales, y la propuesta de la organización para cumplir con estos requisitos deberán estar explícitamente identificados, documentados y protegidos al día para cada sistema de información.

119

- Se deben establecerse procedimientos apropiados para asegurar el cumplimiento con las restricciones de carácter legal en el uso de material que puede estar sujeto a derechos de propiedad intelectual tales como derechos de autor y derechos de diseño.

- Los registros deben estar protegidos contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de conformidad con los requisitos de legalidad, reglamentarias, contractuales y comerciales.

- Se debe garantizar la privacidad y la protección de la información de identificación personal a lo dispuesto en la legislación y la reglamentación pertinente en su caso.

- Los controles criptográficos serán utilizados en cumplimiento a todos los acuerdos pertinentes, la legislación y los reglamentos.

Revisiones de la seguridad de la información

- Los especialistas del área de seguridad informática deben realizar con la

ayuda de herramientas automáticas, un reporte técnico que evidencie el resultado del comportamiento de la infraestructura, para su posterior interpretación por parte de los dueños de proceso.

- Los sistemas de información deben ser revisados regularmente para cerciorarse que se da cumplimiento a las políticas y normas de seguridad de la información de la entidad.

- Los requerimientos de auditoría y las actividades que impliquen revisiones de los sistemas de información deben ser planificados y acordados por el área a cargo de los sistemas auditados, con la finalidad de minimizar el riesgo de interrupciones en la continuidad del negocio.

- Si se requiriere de un acceso que va más a allá de lo permitido será sólo sobre copias previamente autorizadas y validadas por el encargado del área, las cuales serán borradas apenas acabe el uso por parte de la auditoria.

120

Responsables:






121

ANEXO 2

VALORACIÓN DE RIESGOS

1. ACTIVOS DE INFORMACIÓN

Activo Ref.

Datos de carácter personal de los empleados, clientes y socios Inf1

Código fuente Inf2

Contratos Inf3

Archivos Inf4

Manuales Inf5

Material de formación Inf6

Planes de continuidad Inf7

Licencias Inf8

Políticas Inf9

Aplicaciones de la Organización Sw1

Programas de desarrollo Sw2

Sistemas operativos Sw3

Antivirus Sw4

Motores de Bases de Datos Sw5

Servidores de Bases de Datos Hw1

Servidores Web Hw2

Servidores de archivos Hw3

Servidores de aplicaciones Hw4

Impresoras Hw5

Equipos portátiles Hw6

Discos Duros Si1

Servidores de backup Si2

Memorias USB Si3

CD/DVD Si4

Sistema de climatización de la sala de servidores Si5

Cámaras de seguridad Si6

Teléfonos Si7

Dispositivos Móviles Si8

Red de Datos Rc1

Red eléctrica Rc2

Canaletas Rc3

122

Switches Rc4

Racks Rc5

Routers Rc6

Modems Rc7

Empleados Ps1

Clientes Ps2

Proveedores Ps3

Imagen de la empresa It1

Reputación It2

Muebles Ot1

Planta física: Estructura física de la empresa Ot2

2. AMENAZAS

Amenaza Ref.

Errores de los usuarios Amz1

Errores del Administrador Amz2

Errores de Configuración Amz3

Escapes de Información Amz4

Destrucción de Información Amz5

Acceso No Autorizado Amz6

Modificación de la Información Amz7

Vulnerabilidades de los Programas Amz8

Suplantación de la Identidad del usuario Amz9

Difusión de Software Dañino Amz10

Denegación de Servicios Amz11

Desastres Naturales Amz12

Avería de Origen Físico o Lógico Amz13

Fallo de Servicios de Comunicaciones Amz14

Manipulación de Configuración Amz15

Fuego Amz16

Daños Por Agua Amz17

Errores de Mantenimiento/Actualización de Equipos Amz18

Manipulación de los Equipos Amz19

Deficiencia en la Organización Amz20

Alteración Accidental de la Información Amz21

123

3. VALORACION DE RIESGOS

Activo Amenaza Riesgo

Valoración Riesgo Zona Probabilidad Impacto

Inf1 Amz4 0,2 3 0,6 Bajo

Inf1 Amz5 0,4 4 1,6 Medio

Inf1 Amz7 0,4 5 2 Medio






















Inf4 Amz1 0,7 4 2,8 Alto


Inf4 Amz5 0,2 5 1 Bajo

Inf4 Amz7 0,8 5 4 Muy Alto





124













Inf7 Amz5 0,2 5 1 Bajo














Sw1 Amz3 0,6 4 2,4 Medio

Sw1 Amz4 0,4 5 2 Medio



Sw1 Amz9 0,2 5 1 Bajo



Sw1 Amz15 0,7 4 2,8 Alto



125

Sw2 Amz3 0,4 3 1,2 Bajo


Sw2 Amz8 0,8 5 4 Muy Alto

Sw2 Amz10 0,7 5 3,5 Alto

Sw2 Amz13 0,2 5 1 Bajo


Sw2 Amz16 0,1 5 0,5 Bajo

Sw3 Amz1 0,4 3 1,2 Bajo




Sw3 Amz13 0,1 5 0,5 Bajo

Sw3 Amz15 1 2 2 Medio



Sw4 Amz13 0,1 4 0,4 Bajo

Sw4 Amz15 0,3 4 1,2 Bajo

Sw5 Amz1 0,8 4 3,2 Alto


Sw5 Amz4 0,5 5 2,5 Alto



Sw5 Amz13 0,1 5 0,5 Bajo

Sw5 Amz15 0,7 4 2,8 Alto


Hw1 Amz2 0,4 5 2 Medio


Hw1 Amz6 0,1 5 0,5 Bajo

Hw1 Amz11 0,4 4 1,6 Medio

Hw1 Amz12 0,1 5 0,5 Bajo

Hw1 Amz13 0,1 5 0,5 Bajo

Hw1 Amz15 0,5 5 2,5 Alto

Hw1 Amz16 0,1 5 0,5 Bajo

Hw1 Amz17 0,1 5 0,5 Bajo

Hw1 Amz18 0,7 5 3,5 Alto


126



Hw2 Amz6 0,1 5 0,5 Bajo


Hw2 Amz12 0,1 5 0,5 Bajo

Hw2 Amz13 0,1 5 0,5 Bajo

Hw2 Amz15 0,5 5 2,5 Alto

Hw2 Amz16 0,1 5 0,5 Bajo

Hw2 Amz17 0,1 5 0,5 Bajo

Hw2 Amz18 0,7 5 3,5 Alto




Hw3 Amz6 0,1 5 0,5 Bajo


Hw3 Amz12 0,1 5 0,5 Bajo

Hw3 Amz13 0,1 5 0,5 Bajo

Hw3 Amz15 0,5 5 2,5 Alto

Hw3 Amz16 0,1 5 0,5 Bajo

Hw3 Amz17 0,1 5 0,5 Bajo

Hw3 Amz18 0,7 5 3,5 Alto




Hw4 Amz6 0,1 5 0,5 Bajo


Hw4 Amz12 0,1 5 0,5 Bajo

Hw4 Amz13 0,1 5 0,5 Bajo

Hw4 Amz15 0,5 5 2,5 Alto

Hw4 Amz16 0,1 5 0,5 Bajo

Hw4 Amz17 0,1 5 0,5 Bajo

Hw4 Amz18 0,7 5 3,5 Alto


Hw5 Amz1 0,4 3 1,2 Bajo

Hw5 Amz3 0,4 3 1,2 Bajo

Hw5 Amz12 0,1 5 0,5 Bajo

127


Hw5 Amz16 0,1 5 0,5 Bajo

Hw5 Amz17 0,1 5 0,5 Bajo

Hw5 Amz19 0,7 1 0,7 Bajo




Hw6 Amz12 0,1 5 0,5 Bajo

Hw6 Amz13 0,1 5 0,5 Bajo

Hw6 Amz15 0,7 2 1,4 Bajo

Hw6 Amz16 0,1 5 0,5 Bajo

Hw6 Amz17 0,1 5 0,5 Bajo

Hw6 Amz18 0,7 5 3,5 Alto

Hw6 Amz19 1 4 4 Muy Alto

Si1 Amz4 0,4 4 1,6 Medio

Si1 Amz5 0,2 5 1 Bajo

Si1 Amz6 0,1 4 0,4 Bajo

Si1 Amz7 0,1 5 0,5 Bajo

Si1 Amz12 0,1 5 0,5 Bajo


Si1 Amz16 0,1 5 0,5 Bajo

Si1 Amz17 0,1 5 0,5 Bajo


Si1 Amz21 0,5 5 2,5 Alto



Si2 Amz4 0,1 5 0,5 Bajo

Si2 Amz5 0,1 5 0,5 Bajo

Si2 Amz6 0,2 4 0,8 Bajo

Si2 Amz7 0,5 5 2,5 Alto

Si2 Amz12 0,1 5 0,5 Bajo

Si2 Amz13 0,1 5 0,5 Bajo

Si2 Amz15 0,5 4 2 Medio

Si2 Amz16 0,1 5 0,5 Bajo

Si2 Amz17 0,1 5 0,5 Bajo


128

Si2 Amz21 0,2 4 0,8 Bajo



Si3 Amz6 0,1 4 0,4 Bajo

Si3 Amz7 0,1 5 0,5 Bajo

Si3 Amz12 0,1 5 0,5 Bajo


Si3 Amz16 0,1 5 0,5 Bajo

Si3 Amz17 0,1 5 0,5 Bajo


Si3 Amz21 0,5 5 2,5 Alto



Si4 Amz6 0,1 4 0,4 Bajo

Si4 Amz7 0,1 5 0,5 Bajo

Si4 Amz12 0,1 5 0,5 Bajo


Si4 Amz16 0,1 5 0,5 Bajo

Si4 Amz17 0,1 5 0,5 Bajo


Si4 Amz21 0,5 5 2,5 Alto

Si5 Amz2 0,2 3 0,6 Bajo


Si5 Amz12 0,1 5 0,5 Bajo

Si5 Amz16 0,1 5 0,5 Bajo

Si5 Amz17 0,1 5 0,5 Bajo

Si6 Amz3 0,1 4 0,4 Bajo


Si6 Amz7 0,1 4 0,4 Bajo

Si6 Amz12 0,1 5 0,5 Bajo



Si6 Amz16 0,1 5 0,5 Bajo

Si6 Amz17 0,1 5 0,5 Bajo

Si7 Amz3 0,5 1 0,5 Bajo

Si7 Amz12 0,1 5 0,5 Bajo

129

Si7 Amz13 0,1 2 0,2 Bajo

Si7 Amz16 0,1 5 0,5 Bajo

Si7 Amz17 0,1 5 0,5 Bajo

Si8 Amz3 0,5 1 0,5 Bajo

Si8 Amz12 0,1 5 0,5 Bajo

Si8 Amz13 0,1 2 0,2 Bajo

Si8 Amz16 0,1 5 0,5 Bajo

Si8 Amz17 0,1 5 0,5 Bajo

Rc1 Amz2 0,4 5 2 Medio


Rc1 Amz6 0,1 5 0,5 Bajo


Rc1 Amz12 0,1 5 0,5 Bajo



Rc1 Amz16 0,1 5 0,5 Bajo

Rc1 Amz17 0,1 5 0,5 Bajo



Rc2 Amz6 0,1 5 0,5 Bajo


Rc2 Amz12 0,1 5 0,5 Bajo



Rc2 Amz16 0,1 5 0,5 Bajo

Rc2 Amz17 0,1 5 0,5 Bajo

Rc3 Amz12 0,1 5 0,5 Bajo

Rc3 Amz16 0,1 5 0,5 Bajo

Rc3 Amz17 0,1 5 0,5 Bajo

Rc4 Amz2 0,3 4 1,2 Bajo

Rc4 Amz3 0,3 4 1,2 Bajo

Rc4 Amz6 0,1 5 0,5 Bajo

Rc4 Amz12 0,1 5 0,5 Bajo

Rc4 Amz15 0,6 5 3 Alto

Rc4 Amz16 0,1 5 0,5 Bajo

Rc4 Amz17 0,1 5 0,5 Bajo

130

Rc5 Amz12 0,1 5 0,5 Bajo

Rc5 Amz16 0,1 5 0,5 Bajo

Rc5 Amz17 0,1 5 0,5 Bajo

Rc6 Amz2 0,3 4 1,2 Bajo

Rc6 Amz3 0,3 4 1,2 Bajo

Rc6 Amz6 0,1 5 0,5 Bajo

Rc6 Amz12 0,1 5 0,5 Bajo


Rc6 Amz16 0,1 5 0,5 Bajo

Rc6 Amz17 0,1 5 0,5 Bajo

Rc7 Amz2 0,3 4 1,2 Bajo

Rc7 Amz3 0,3 4 1,2 Bajo

Rc7 Amz6 0,1 5 0,5 Bajo

Rc7 Amz12 0,1 5 0,5 Bajo


Rc7 Amz16 0,1 5 0,5 Bajo

Rc7 Amz17 0,1 5 0,5 Bajo

Ps1 Amz2 0,4 3 1,2 Bajo

Ps1 Amz20 0,5 5 2,5 Alto

Ps2 Amz20 0,5 5 2,5 Alto

Ot1 Amz12 0,1 5 0,5 Bajo

Ot1 Amz16 0,1 5 0,5 Bajo

Ot1 Amz17 0,1 5 0,5 Bajo

Ot2 Amz6 0,1 5 0,5 Bajo

Ot2 Amz12 0,1 5 0,5 Bajo

Ot2 Amz16 0,1 5 0,5 Bajo

Ot2 Amz17 0,1 5 0,5 Bajo

131

4. CRITERIOS DE VALORACION DE RIESGOS

IMPACTO

Nivel Valoración

Muy Bajo 1

Bajo 2

Medio 3

Alto 4

Muy Alto 5

PROBABILIDAD

Nivel Valoración

Muy poco Frecuente 0 - 0,1

Poco Frecuente 0,2 - 0,4

Normal 0,5 - 0,6

Frecuente 0,7 - 0,9

Muy frecuente 1

VALORACIÓN DEL RIESGO = IMPACTO x PROBABILIDAD

VALOR ZONA RIESGO

0 - 1,4 3 Bajo

1,5 - 2,4 2 Medio

2,5 - 3,5 4 Alto

3,6 - 5,0 1 Muy Alto

132

ANEXO 3

Articulo EEE

Propuesta De Un Sistema de Gestión De La

Seguridad De La Información Para Entidades

Dedicadas Al Servicio De Outsourcing De TI Diana Marcela Guerrero, Juan Camilo Martínez

Universidad Distrital Francisco José de Caldas, Bogotá, Colombia 2016

Resumen – Este articulo muestra una

descripción del desarrollo de cada uno de los

capítulos presentados en el proyecto de grado

titulado “Propuesta de un Sistema de Gestión de

la Seguridad de la Información para Entidades

Dedicadas al Servicio de Outsourcing de TI”,

donde se inicia con la definición, planeación y

organización del proyecto.

Luego se procede a detallar el resumen

ejecutivo donde se encuentra el propósito del

proyecto y la situación actual de la

organización.

También se describe como se realiza el análisis

de riesgos, el cual es primordial para determinar

el plan de seguridad y los controles o

salvaguardas a proponer en este proyecto.

Palabras Claves – Amenaza, Activo, Riesgo,

Controles.

Abstract – This article shows a description of

the development of each of the chapters

presented in the draft degree entitled "Proposal

of an Information Security Management System

for Entities Dedicated to the IT Outsourcing

Planning and organization of the project. Then

proceed to detail the executive summary where

the purpose of the project and the current

situation of the organization.

It also describes how the risk analysis is

performed, which is essential to determine the

safety plan and the controls or safeguards to be

proposed in this project.

Keywords – Threat, Active, Risk, Controls

I. INTRODUCCIÓN

Dentro de las empresas dedicas a prestar

servicios de outsourcing de TI se hace

necesario tener una propuesta de un sistema de

gestión de seguridad de la información el cual

brinde una protección a cada uno de los activos

que hacen parte de estas organizaciones

haciendo uso de controles preventivos,

detectivos y correctivos.

Por medio de este artículo se busca dar a

conocer la estructura del proyecto de grado

titulado “Propuesta de un Sistema de

Gestión de la Seguridad de la Información para

133

Service", which begins with the definition,

Entidades Dedicadas al Servicio de Outsourcing

de TI” donde se identifican cada uno de los

activos más importante para este tipo de

organizaciones y se valora a nivel de

disponibilidad, integridad y confidencialidad.

De igual manera se busca realizar una

descripción en el desarrollo de la identificación

y valoración de cada una de las amenazas que

puedan afectar los activos identificados, lo cual

permite realizar un análisis de riesgos detallado,

para determinar una serie de políticas y

controles que ayudan a disminuir la

probabilidad de que se vean afectados algún

activo y por consiguiente la organización.

II. DESARROLLO

La propuesta del sistema de gestión de la

seguridad de la información para entidades

dedicadas al servicio de outsourcing de TI está

dividida de la siguiente manera.

A. Definición, planeación y

Organización

En este capítulo se determina cual es el

problema que se tiene en las organizaciones

dedicadas a prestar servicios de outsourcing de

TI respecto a la seguridad de la información.

Para determinar la solución a este problema es

necesario establecer un objetivo general y unos

objetivos específicos los cuales permiten tener

la claridad del desarrollo de esta propuesta.

Además es necesario realizar un marco teórico

el cual referencia proyectos de seguridad de la

información permitiendo tener un amplio

conocimiento sobre esta temática.

Por otro lado, para la solución propuesta se

determina trabajar con una metodología

utilizada ampliamente por los sistemas de

calidad como lo es el ciclo PHVA[1] (Planear–

Hacer – Verifica - Actuar) y posteriormente

utilizar la metodología magerit como guía en el

detalle completo en el análisis de riesgos.

Para finalizar este capítulo se realiza un

presupuesto y fuentes de financiación para

determinar el costo del proyecto y también un

cronograma de cada una de las actividades a

realizar.

B. Resumen Ejecutivo

En este capítulo se describe el propósito del

proyecto, los beneficios de la solución y por

consiguiente la situación actual que puede

tener una organización dedicada a prestar

servicios de outsourcing de TI en donde se

determinan las áreas organizacionales y cada

una de las fallas que se tienen al interior de la

organización en cuanto a la seguridad de la

información en cada uno de los activos que la

organización posee.

C. Análisis de Riesgos

En este capítulo se realiza la identificación y

valoración de los activos más importantes para

la organización; esta valoración se realiza

mediante las tres dimensiones más importantes

que propone la metodología magerit[2] que son

la integridad, confidencialidad y

disponibilidad.

134

Para la valoración de cada uno de los activos se

hace mediante unos criterios de valoración

como se muestra en la Tabla 1.

Tabla 1.

Criterios de Valoración de los Activos

Valor Criterio

10 Extremo

Daño

extremadamente

grave

9 Muy Alto Daño muy grave

6-8 Alto Daño grave

3-5 Medio Daño importante

1-2 Bajo Daño menor

0 Despreciable Irrelevante a

efectos prácticos

También se realiza la identificación y

valoración de las amenazas que pueden llegar a

afectar cada uno de los activos que se

identificaron previamente.

Para la valoración de las amenazas se hace

mediante los criterios de probabilidad de

ocurrencia de una amenaza como se muestra en

la Tabla 2 y la degradación que el activo puede

tener como se muestra en la Tabla 3.

Tabla 2.

Probabilidad de Ocurrencia de una Amenaza

Frecuencia Abreviatura Criterio

Muy frecuente MA A diario

Frecuente A Mensualme

nte

Normal M Una vez al

año

Poco

Frecuente B

Cada varios

años

Muy poco

Frecuente MB Siglos

Tabla 3.

Degradación de los Activos por Amenaza

Criterio Abreviación

Degradación MUY ALTA

del activo MA

Degradación ALTA

considerable del activo A

Degradación MEDIANA

del activo M

Degradación BAJA del

activo B

Degradación MUY BAJA

del activo MB

Para finalizar el capítulo se realiza la

valoración del riesgo en donde se

determina una zona de riesgo que se

calcula a partir del producto de la

probabilidad y el impacto que pueda tener

un activo si se materializa una amenaza.

Esto permite ubicar el riesgo en una zona

como se muestra en la Figura 1 y así

determinar las salvaguardas y/o controles a

implementar.

La zona 1 es la de mayor impacto por

ende es donde obligatoriamente se deben

colocar controles; la zona 2 es un nivel

medio donde se debe considerar

implementar salvaguardas; la zona 3 al

tener un nivel de impacto y probabilidad

muy bajo se puede implementar

salvaguardas adicionales si se quiere; y la

zona 4 al tener un impacto muy alto se

debe implementar controles así la

probabilidad de ocurrencia sea mínima.

135

Figura 1. Riesgo en función de impacto y

probabilidad

D. Plan de Seguridad

En este capítulo se define el SGSI, el alcance

los objetivos de seguridad de la información y

por consiguiente se establecen una serie de

políticas las cuales si se cumplen ayudan a

disminuir el riesgo al que cada activo está

expuesto.

E. Controles y/o Salvaguardas

En este capítulo se describen los tipos de

protección que existen para luego hacer la

identificación de los controles necesarios para

mitigar el riesgo de que alguna amenaza se

materialice en alguno de los activos.

III. CONCLUSIONES

La propuesta de un sistema de gestión de la

seguridad de la información para entidades

dedicadas al servicio de outsourcing de TI es

una herramienta que permite analizar y ordenar

la estructura de los sistemas de información

facilitando la definición de procedimientos,

políticas y de controles que van a proteger a la

organización frente amenazas y riesgos que

pueden poner en peligro el cumplimiento de

los objetivos de negocio y de los tres pilares de

la seguridad; la confidencialidad, integridad y

disponibilidad de cada uno de los activos al

interior de la organización.

IV. REFERENCIAS

[1] gerencie, Ciclo PHVA, disponible en:


[Consultado: 03 de abril de 2016]

2] administracionelectronica, Pae Portal

Administración electrónica, MAGERIT v.3 :

Metodología de Análisis y Gestión de Riesgos

de los Sistemas de Información, disponible en:

http://administracionelectronica.gob.es/pae_H

ome/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.Vwb4RJzhAdV[Consultado:

14 de Noviembre de 2016]

PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE...

Documents

Transcript of PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE...