View
213
Download
0
Category
Preview:
Citation preview
1
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S
JONATHAN EFREY GUARNIZO ARIAS
EDWARD JONATHAN PRIETO SARMIENTO
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
FACULTAD TECNOLOGICA
INGENIERIA EN TELEMATICA
BOGOTA
2016
2
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S
JONATHAN EFREY GUARNIZO ARIAS CODIGO: 20142678013
EDWARD JONATHAN PRIETO SARMIENTO CODIGO: 20142678036
DOCENTE:
ING. MIGUEL ANGEL LEGUIZAMON PAEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
FACULTAD TECNOLOGICA
INGENIERIA EN TELEMATICA
BOGOTA
2016
3
AGRADECIMIENTOS
En el presente proyecto primeramente nos gustaría agradecer a DIOS por bendecirnos para llegar hasta donde hemos llegado. A nuestras familias que sin su apoyo en momentos críticos quizás no hubiésemos salido adelante y que gracias a los consejos de nuestros padres a ellos principalmente les damos las gracias ya que sin su apoyo este objetivo no se habría cumplido. Queremos de gran manera agradecer a la UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS por darnos la oportunidad de ser mejores personas. A nuestro director de proyecto, Ing. Miguel Ángel Leguizamón por su esfuerzo y dedicación, por sus conocimientos, su experiencia, su paciencia y su motivación. También nos gustaría agradecer a nuestros profesores durante toda nuestra carrera porque todos han aportado con un granito de arena a nuestra formación. Gracias a nuestros amigos y novias que nos apoyaron a lo largo de nuestra vida universitaria y en el transcurso del desarrollo del proyecto que de nuestra parte siempre tendrán a alguien incondicional. Para todos: Muchas gracias y que Dios los bendiga.
4
RESUMEN Los sistemas de información están expuestos cada vez a un mayor número de amenazas que constituyen un riesgo sobre uno de los activos más críticos y vulnerables de las organizaciones como la información. Asegurar la disponibilidad, la confidencialidad y la conservación de los datos, es un servicio que debe brindar la organización por lo que la gestión de la seguridad de la información debe realizarse mediante un proceso documentado y conocido. Este proyecto describe un diseño metodológico para la implementación de un sistema de seguridad de la información SGSI en el sector de marketing que garantice el nivel de seguridad y permita obtener la certificación. Finalmente, se concluye que la seguridad es un proceso de implantación que exige un cambio cultural y organizativo en las empresas.
5
ABSTRACT
The information systems are exposed every time to a major number of threats that constitute a risk on one of the most critical and vulnerable assets of the organizations, the information. To assure the availability, the confidentiality and the conservation of the information, it is a service that the organization must offer, It is why the management of the safety of the information must be realized by a documented and known process. This project describes a methodological design for the implementation of a safety system of the information SGSI in marketing, which guarantees the safety level and allows to obtain the certification. Finally, one concludes that the safety is a process of implantation that demands a cultural and organizational change in the companies.
6
INTRODUCCION
La continua evolución, crecimiento y sofisticación de la tecnología, al igual que los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad de adoptar medidas y controles que permitan proteger a los activos informáticos de amenazas y así poder garantizar su confidencialidad, integridad y disponibilidad. En Agility S.A.S la información está definida como uno de los activos más valiosos y primordiales, la cual, sólo tiene sentido cuando está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y segura, lo que implica, que es necesario que la organización tenga una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar y controlar el debido acceso, tratamiento y uso de la información. En este sentido, el proyecto pretende hacer un diagnóstico del estado de la seguridad de la información en la empresa Agility, que permita identificar las vulnerabilidades, amenazas y riesgos a las que se encuentran expuestos los activos. De esta manera se hace necesario diseñar un sistema de gestión de seguridad de la información que permita salvaguardar los recursos informáticos, ayudando a cumplir los objetivos corporativos. La gestión para la seguridad debe ser conocida por toda la organización y así garantizar que los riesgos sean identificados, asumidos, gestionados y minimizados de una forma documentada, sistemática, estructurada, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Finalmente, este documento detalla el modelo de gestión de seguridad de la información SGSI, que será parte de la estructura planteada y que se integra al ciclo de vida PHVA y así ser un mecanismo de cumplimiento del modelo que le permita a Agility S.A.S ceñirse a sus políticas, objetivos, controles planteados, y de esta forma, mejorar su nivel de seguridad de la información, para ser una empresa competitiva y al mismo tiempo generar mayor confianza a sus clientes que hacen uso de productos y servicios.
7
CONTENIDO
1. Organización, Definición y Análisis .............................................................................. 12
1.1. Tema ........................................................................................................................ 12
1.2. Titulo ........................................................................................................................ 12
1.3. Objetivos .................................................................................................................. 12
1.3.1. Objetivo General ................................................................................................ 12
1.3.2. Objetivos Específicos ......................................................................................... 12
1.4. Descripción del Problema ......................................................................................... 13
1.5. Formulación Problema ............................................................................................. 13
1.6. Justificación .............................................................................................................. 13
1.7 Marco de Referencia. ................................................................................................ 14
1.7.1 Marco Teórico ..................................................................................................... 14
1.7.1.1 Vulnerabilidad Informática ................................................................................ 14
1.7.1.2 Amenazas Informática ...................................................................................... 15
1.7.1.3 Riesgos Informáticos ........................................................................................ 17
1.7.1.4 Seguridad de la Información ............................................................................. 18
1.7.1.5 SGSI ................................................................................................................ 19
1.7.1.6 Análisis de Riesgos Informáticos ...................................................................... 20
1.7.1.7 Control de Gestión ........................................................................................... 20
1.7.1.8 Mapa Estratégico ............................................................................................. 21
1.7.1.9 Auditoría........................................................................................................... 21
1.7.2 Marco Conceptual ............................................................................................... 22
1.7.3. Marco Legal. ...................................................................................................... 23
1.7.3.1 Ley 1273 de 2009. ........................................................................................... 24
1.7.3.2 La serie ISO 27000. ......................................................................................... 25
1.8 Estado del Arte .......................................................................................................... 25
1.9 Metodología ............................................................................................................... 27
1.10 Alcances y Delimitaciones ...................................................................................... 32
1.10.1. Alcance ............................................................................................................ 32
1.10.2. Delimitaciones .................................................................................................. 32
1.10.2.1. Técnica ......................................................................................................... 32
1.10.2.2. Temporal ....................................................................................................... 32
1.10.2.3. Geográfica .................................................................................................... 32
1.11 Factibilidad .............................................................................................................. 32
8
1.11.1. Factibilidad Técnica ......................................................................................... 32
1.11.2. Factibilidad Operativa....................................................................................... 33
1.11.3. Factibilidad Económica .................................................................................... 34
1.11.4. Factibilidad Legal ............................................................................................. 34
2. Situación Actual de la Empresa Agility S.A.S. .............................................................. 37
2.1 Enfoque Empresarial ................................................................................................. 37
2.2 Seguridad de la Información ...................................................................................... 37
2.3 Diagnóstico Situación Problema. ............................................................................... 37
3. Desarrollo de los objetivos planteados ......................................................................... 40
3.1. Alcance del SGSI. ................................................................................................. 40
3.1.1. Política del SGSI. ............................................................................................... 40
3.1.2. OBJETIVOS DEL SGSI ...................................................................................... 41
3.2. Identificación de los Activos .................................................................................. 41
3.2.1. Valoración de activos ......................................................................................... 45
3.3. Identificación y Valoración de las Vulnerabilidades ............................................... 51
3.4. Caracterización y valoración de las amenazas ...................................................... 56
3.4.1. Frecuencia de Amenazas ................................................................................... 56
3.4.2. Degradación de las Amenazas ........................................................................... 57
3.4.3. Identificación y Valoración de las Amenazas: ..................................................... 57
3.5. Identificación del Riesgo ....................................................................................... 62
3.5.1 Análisis de Riesgos. ............................................................................................ 64
3.5.2. Evaluación de riesgos. ....................................................................................... 67
3.5.3. Tratamiento del riesgo........................................................................................ 68
3.6. Selección de Controles ......................................................................................... 68
3.7. Definición de políticas de seguridad ...................................................................... 76
3.7.1 Política de Asignación de recursos y uso de los mismos ..................................... 76
3.7.2. Política de Seguridad en la Información ............................................................. 77
3.7.3. Política de Mantenimiento e infraestructura ........................................................ 77
3.7.4. Política de la instalación de equipo de cómputo. ................................................ 78
3.7.5. Política de mantenimiento de equipo de cómputo .............................................. 79
3.7.6. Política de la reubicación del equipo de cómputo. .............................................. 79
3.7.7. Política de acceso a áreas críticas. .................................................................... 80
3.7.8. Política de acceso al equipo de cómputo ........................................................... 80
3.7.9. Política de control de acceso local a la red. ........................................................ 81
3.7.10. Política de la adquisición de software. .............................................................. 81
3.7.11. Política de la instalación de software. ............................................................... 82
9
3.7.12. Política de la auditoría de software instalado. .................................................. 83
3.7.13. Política para el software propiedad de la compañía. ........................................ 83
3.9. Procedimientos Según el Sistema de Gestión ....................................................... 85
3.9.1. Procedimiento para verificar que las políticas y controles de seguridad de la
información están siendo aplicados ............................................................................. 85
3.9.2. Procedimiento para capacitar sobre las políticas y controles de seguridad de la
información y sus actualizaciones ................................................................................ 87
3.9.3. Procedimiento para aplicar sanciones por infracción sobre alguna política de
seguridad de la empresa. ............................................................................................. 89
4. Modulo Web………………………………………………………………………………………89
5. CONCLUSIONES………………………………………………………………………………..91
6. RECOMENDACIONES………………………………………………………………………….92
BIBLIOGRAFIA……………………………………………………………………………………...93
10
LISTADO DE FIGURAS
FIGURA 1 FLUJOS DE PHVA ............................................................................................ 28
FIGURA 2 MODELO MAGERIT .......................................................................................... 29
FIGURA 3 MARCO DE TRABAJO PARA LA GESTIÓN DE RIESGOS. ............................. 30
FIGURA 4 CRONOGRAMA DE ACTIVIDADES. ................................................................. 36
FIGURA 5 IDENTIFICACIÓN SITUACIÓN PROBLEMA ..................................................... 38
FIGURA 6 MATRÍZ DE PRIORIZACIÓN. ............................................................................ 65
FIGURA 7 AVG ................................................................................................................... 69
FIGURA 8 LECTOR DE HUELLAS. .................................................................................... 72
FIGURA 9 EXTINTOR. ....................................................................................................... 73
FIGURA 10 FIREWALL. ...................................................................................................... 74
FIGURA 11 DESTRUCTORA DE DOCUMENTOS. ............................................................ 75
11
LISTADO DE TABLAS
TABLA 1. FACTIBILIDAD ECONÓMICA. ............................................................................ 34
TABLA 2. FACTORES EMPRESA. ..................................................................................... 39
TABLA 3. ESCALAS DE VALORACIÓN. ............................................................................ 46
TABLA 4. LISTADO DE MOTIVOS. .................................................................................... 46
TABLA 5. ESCALAS ESTÁNDAR. ...................................................................................... 49
TABLA 6. VALORACIÓN ACTIVOS. ................................................................................... 50
TABLA 7. ESCALAS DE PROBABILIDAD DE EVALUACIÓN. ............................................ 51
TABLA 8. DETECCIÓN DE VULNERABILIDADES DE APLICACIONES INFORMÁTICAS. 52
TABLA 9. DETECCIÓN DE VULNERABILIDADES DE SERVICIOS. .................................. 53
TABLA 10. DETECCIÓN DE VULNERABILIDADES DE COMUNICACIONES. .................. 54
TABLA 11. DETECCIÓN DE VULNERABILIDADES DE EQUIPAMIENTO
INFORMÁTICO. ........................................................................................................... 55
TABLA 12. DETECCIÓN DE VULNERABILIDADES DE PERSONAL. ................................ 56
TABLA 13. FRECUENCIA DE AMENAZAS. ....................................................................... 56
TABLA 14. DEGRADACIÓN DE AMENAZAS. .................................................................... 57
TABLA 15. VALORACIÓN DE AMENAZAS SOBRE APLICACIONES INFORMÁTICAS. ... 58
TABLA 16. VALORACIÓN DE AMENAZAS SOBRE SERVICIOS....................................... 59
TABLA 17. VALORACIÓN DE AMENAZAS SOBRE COMUNICACIONES. ........................ 60
TABLA 18. VALORACIÓN DE AMENAZAS SOBRE EQUIPAMIENTO INFORMÁTICO. .... 61
TABLA 19. VALORACIÓN DE AMENAZAS SOBRE PERSONAL....................................... 62
TABLA 20. IDENTIFICACIÓN DE RIESGOS. ..................................................................... 64
TABLA 21. ANÁLISIS DE RIESGOS. .................................................................................. 66
TABLA 22. CRITERIOS DE EVALUACIÓN DE RIESGO. ................................................... 67
TABLA 23. EVALUACIÓN DE RIESGOS. ........................................................................... 68
12
1. Organización, Definición y Análisis
1.1. Tema
El proyecto se centra en la creación de una propuesta para el diseño de un Sistema
de Gestión de Seguridad de la Información SGSI el cual ofrece la oportunidad de
optimizar las áreas, dentro de la organización, relacionadas con la información que
más le importan a la alta dirección de la empresa.
1.2. Titulo
Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para la
Empresa Agility S.A.S
1.3. Objetivos
1.3.1. Objetivo General
Diseñar un Sistema de Gestión de Seguridad de la Información para la empresa Agility
S.A.S, que busque mejorar la seguridad informática y la protección de la información.
1.3.2. Objetivos Específicos
● Recolectar información sobre las vulnerabilidades, amenazas y riesgos que
permitan conocer el estado actual de la seguridad en la empresa.
● Establecer la política, alcance y objetivos del Sistema de Gestión de Seguridad
de la información.
● Identificar los activos de la información para su clasificación y valoración en el
análisis de riesgo.
● Definir controles, políticas y planes de mejoramiento que permitan mitigar las
causas que originan los riesgos de seguridad que se presentan en la empresa.
● Desarrollar un módulo web para el control y seguimiento del correcto
funcionamiento del SGSI.
13
1.4. Descripción del Problema
Actualmente la empresa Agility S.A.S se desempeña en el campo de publicidad y
mercadeo ofreciendo servicios de Eventos Empresariales, Diseño Gráfico
Corporativo, Material POP, Regalos Empresariales, Papelería Comercial e Impresión
Digital, ha venido experimentando un alto grado de pérdida y alteración de
información propia del negocio debido a la falta de controles, políticas, sistemas de
firewall, antivirus adecuados y actualizados, y en general falta una infraestructura de
protección acorde a las necesidades que tiene la organización, para detectar a tiempo
algunas vulnerabilidades, amenazas y riesgos informáticos que afectan la integridad,
confidencialidad y disponibilidad de los datos.
En consecuencia se pueden encontrar activas las amenazas informáticas, las cuales
son eventualidades que pueden producir un daño sobre los elementos del sistema,
generando costos y pérdidas de tipo parcial o total del negocio, causando un mal
funcionamiento de la empresa. A la vez la falta de información y desconocimiento de
los principios y procedimientos básicos de seguridad son las principales causas de
los inconvenientes que se están presentando, produciendo una vulneración en el
manejo de la información de la compañía, generando resultados como la pérdida de
la confianza de los clientes, de la marca, pérdida de negocio y, en algunos casos
hasta sanciones civiles.
1.5. Formulación Problema
¿Cómo un Sistema de Gestión de Seguridad de la Información permitirá mejorar la
seguridad informática y tratamiento de los riesgos asociados al uso de la información
de la empresa Agility S.A.S?
1.6. Justificación
Los cambios tecnológicos y de negocios que han surgido y que surgirán en la
empresa, requieren el fortalecimiento de la auditoría y la seguridad informática, por lo
tanto se debe invertir en su adecuada protección, para de esta forma estar en
capacidad de garantizar Confidencialidad, Integridad y Disponibilidad.
El diseño de un Sistema de Gestión de Seguridad de la Información demuestra el
compromiso de la organización hacia la Seguridad de la Información y provee los
elementos requeridos para gestionar de manera eficiente los riesgos que puedan
atentar con la seguridad de su información, lo cual genera confianza en sus clientes
que es fundamental para el crecimiento y la sostenibilidad de la entidad.
14
Un SGSI le permitirá a la empresa estar compuesto por una estructura organizacional
con roles y responsabilidades y un conjunto coherente de políticas, procesos y
procedimientos, con el objetivo de forjar, promover y extender una cultura de
seguridad en todos los niveles de la organización y de esta forma gestionar de manera
adecuada la seguridad de su información.
1.7 Marco de Referencia.
1.7.1 Marco Teórico
En la actualidad la información se ha convertido en el activo más valioso de las
empresas, es por esto que se debe implementar estrategias, no solo a nivel lógico,
como la protección de las bases de datos y archivos de gestión, si no que se debe
complementar con la contratación de personal calificado, con alto grado de
pertenencia institucional y ética profesional.
1.7.1.1 Vulnerabilidad Informática
Son las posibilidades del mismo ambiente, en el cual las características proporcionan
y se vuelve susceptible a una potencial amenaza, por lo tanto se puede considerar
como la capacidad de reaccionar ante la presencia de una amenaza o un daño.
Se es vulnerable a cualquier evento, sin importar su naturaleza, sea esta interna o
externa, pero aplicando los controles adecuados es posible minimizar las
posibilidades de que estas se materialicen, por lo tanto los tipos de vulnerabilidades
son:
❖ Vulnerabilidad Física: Es la vulnerabilidad del entorno físico del sistema de
información, equipos de cómputo y servidores, debido a que algún hacker ha
violentado el acceso a la información de manera persuasiva para robar,
modificar o eliminar información confidencial.
❖ Vulnerabilidad Natural: Son las ocasionadas por los desastres o eventos
fortuitos en el medio ambiente, el cual ocasiona daños en los sistemas de
cómputo por medio de los picos eléctricos, inundaciones, terremotos,
temperatura alta y todos aquellos desastres naturales que son ocasionados
por las variaciones atmosféricas y rozamiento de las placas tectónicas.
❖ Vulnerabilidad del hardware y del software
➢ Hardware: Las vulnerabilidades de hardware, hace referencia a las
probabilidades de que las piezas físicas y/o dispositivos presenten fallas
15
por descuido, mal uso o por que se ha dejado desprotegido los equipos
de cómputo sin la seguridad adecuada para su manipulación.
➢ Software: Son conocidas como bugs del sistema o errores del software,
el cual permite acceder a la funcionalidad y aplicación sin mayor
esfuerzo por parte del hacker, ya que conoce el código fuente, tiene un
mal diseño el software o ha encontrado una puerta trasera para
adherirse y conseguir información.
❖ Vulnerabilidad humana: Las vulnerabilidades humanas radican en la falta de
conocimiento sobre los métodos para proteger los datos y el acceso completo
a las configuraciones del sistema informático, sin tener las restricciones
adecuadas para identificar por medio de roles y usuarios el acceso conforme a
la auditoría de cambio en el sistema.
1.7.1.2 Amenazas Informática
Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante
de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas
de información, por lo tanto se puede clasificar en:
➔ Amenaza criminal: son aquellas acciones en las que intervienen seres
humanos violando las normas y las leyes.
➔ Sucesos de origen físico: son los eventos naturales que se pueden
presentar, o aquellos eventos en los que el ser humano propicia las
condiciones para determinar un hecho físico.
➔ Negligencia: son las omisiones, decisiones o acciones que pueden
presentar algunas personas por desconocimiento, falta de
capacitación y/o abuso de autoridad porque tienen influencia sobre los
sistemas de información, algunos porque no tienen ética para el desarrollo
de la profesión.
Las amenazas a los sistemas de información están latentes cada que se
interactúa con los mismos, desde la utilización de dispositivos de
almacenamiento externos, hasta el ingreso a sitios web, o la inconformidad de
empleados insatisfechos dentro de la misma compañía, por lo tanto los tipos de
amenazas según el efecto causado en el sistema:
16
❖ Intercepción: Es cuando un hacker o grupo de personas, logran ingresar
a los sistemas de información sin autorización para escuchar, visualizar
y copiar archivos confidenciales de las empresas, organizaciones y/o Pymes.
❖ Modificación: Es cuando un hacker o grupo de personas, han logrado ingresar
al sistema de información y además pueden modificar los archivos y/o
líneas de código del software para ocasionar pérdida de información, mal
funcionamiento de los equipos de cómputo o programar cambios en los
contenidos de las bases de datos.
❖ Interrupción: La interrupción se da cuando los sistemas de información
son saturados por medio de inyección SQL, código malicioso, virus, troyanos,
gusanos y todas las aplicaciones que pueden ocasionar entorpecimiento
en el sistema de información para un mal funcionamiento.
❖ Generación: La generación de amenazas se da cuando se añade información
en las bases de datos, registros y programas confidenciales, ocasionando
daños internos y externos en los equipos de cómputo y prestación del servicio,
ya que introduce mensajes no autorizados en cada uno de los comandos,
registros y datos requeridos para un buen funcionamiento.
❖ Amenazas Involuntarias: Las amenazas involuntarias son aquellas
que se producen por desconocimiento sobre las medidas de seguridad
mínimas que se deben tener al manipular cualquier tipo de información,
asimismo los casos más comunes se encuentran en la eliminación de
archivos básicos del sistema sin darse cuenta, dejar la contraseña de
acceso en lugares visibles o simplemente no bloquean el equipo cuando
salen de la oficina o se desplazan a otro lugar por alguna razón.
❖ Amenazas Naturales o Físicas: Las amenazas naturales son aquellas que
se producen por los efectos naturales y cambios ambientales en el entorno,
ocasionando un desastre tales como el polvo, las inundaciones, terremotos,
etc.
❖ Amenazas Intencionadas: Las amenazas intencionadas son aquellas en la
cual un grupo de hackers o una sola persona quiere conocer, modificar,
eliminar y/o robar información para sus fines personales, por lo tanto se puede
clasificar en dos tipos:
➢ Intencionadas internas: Las amenazas intencionadas internas, se
dan por personas que en algún momento trabajaron en la empresa,
Pyme u organización y se quieren vengar porque ya no tienen trabajo,
o se encuentran descontento del trabajo o quieren su propio beneficio
al sacar información confidencial.
17
➢ Intencionadas externas: Las amenazas intencionadas externas, se
dan cuando un grupo de hackers y/o hacker a través de los
conocimientos informáticos, aprovecha las fallas del software o
conexiones de red para ingresar al sistema de manera no autorizada
para obtener la información requerida, o pueden ingresar a las oficinas
sin ser detectados.
1.7.1.3 Riesgos Informáticos
Los riesgos informáticos son problemas potenciales, que pueden afectar a los
sistemas de información u ordenadores, si no se poseen las medidas
adecuadas para salvaguardar los datos, dichos riesgos informáticos se pueden
presentar por las vulnerabilidades y amenazas en cualquier momento, por lo
tanto los riesgos se pueden clasificar en:
❖ Riesgos de integridad: Son aquellos que se relacionan con el acceso,
autorización y procesamiento de las aplicaciones que integran los reportes
de las organizaciones, aplicados en cada uno de sus sistemas de
operaciones como por ejemplo:
➢ Interfaz del usuario
➢ Procesamiento, procesamiento de errores
➢ Interfaz
➢ Administración de cambios
➢ Información
❖ Riesgos de relación: Son aquellos que se relacionan con la toma de
decisiones de manera oportuna a partir de la información recolectada y en
momento preciso, integrada a través de las aplicaciones para tomar
decisiones.
❖ Riesgos de acceso: Son aquellos que por una inadecuada configuración del
sistema, en el cual no se poseen las metodologías apropiadas para
salvaguardar la integridad y confidencialidad de la información, los datos
podrían estar expuestos y son vulnerables a cualquier hacker, dependiendo
del nivel de estructura en el cual se encuentra la seguridad de la
información, de los cuales se pueden mencionar:
➢ Procesos de negocio
➢ Aplicación
➢ Administración de la información
18
➢ Entorno de procesamiento
➢ Redes
➢ Nivel físico
❖ Riesgos de utilidad: Los riesgos de utilidad se enfocan desde 3 sectores, en
primer lugar se tienen los backups y/o planes de contingencia para la
seguridad informática, en segundo lugar se tiene las técnicas para recuperar
el sistema cuando existen caídas de los sistemas operativos y en tercer lugar
los procesos que acompañan las posibles problemáticas debido al entorno
para mitigar o minimizar la ocurrencia del hecho (amenaza y/o vulnerabilidad
informática).
❖ Riesgo de infraestructura: Son aquellos que no poseen una estructura
tecnológica efectiva a la hora de enfrentar alguna eventualidad en sus
sistemas de información, en el cual el software, hardware, personal,
procesos, redes y canales de comunicación son los elementos que soportan
las necesidades de operación, desarrollo, mantenimiento y procesamiento
de la información de una organización, los cuales se deben determinar a
partir de:
➢ Planeación organizacional
➢ Definición de las aplicaciones
➢ Administración de seguridad
➢ Operaciones de red y operaciones computacionales
➢ Administración de sistemas de bases de datos
➢ Información / Negocio
➢ Riesgos de seguridad general
➢ Riesgos de choque de eléctrico
➢ Riesgos de incendio
➢ Riesgos de niveles inadecuados de energía eléctrica
➢ Riesgos de radiaciones
➢ Riesgos mecánicos
1.7.1.4 Seguridad de la Información
La seguridad de la información es un agregado de medidas preventivas, con el fin de
salvaguardar y proteger la información bajo la confidencialidad, disponibilidad
e integridad, en este sentido la información se puede presentar en diferentes
características; no solamente en los medios electrónicos, sino también en los
medios físicos.
19
En consecuencia la información se ha convertido en el activo más valioso para las
compañías, donde se ejecutan metodologías para proteger los registros y mantener
una infraestructura adecuada para la custodia y salvaguardar la información, por
consiguiente la seguridad de la información abre el campo a la auditoría
informática y a muchas áreas afines que apoyan la seguridad de los datos
manteniendo los principios de la seguridad.
❖ Integridad: La integridad garantiza la modificación, manipulación, borrado
y almacenamiento de archivos solo por el personal autorizado de
forma controlada, en este sentido provee metodologías de seguridad por
niveles y logs de auditoría para salvaguardar la información de las
organizaciones, Pymes, empresas y/o compañías. Igualmente el sistema
de información, proporcionara accesos a las configuraciones, conforme a los
roles o privilegios otorgados por los administradores del sistema.
❖ Disponibilidad: Es la capacidad del sistema de información para mantener
el acceso en cualquier instante de tiempo, por lo tanto se controla los
intentos de eliminar archivos o modificar registros, por medio de la
identificación de usuario y clave de acceso.
❖ Confidencialidad: La confidencialidad provee las garantías, para identificar
los usuarios que acceden al sistema de información, identificando la hora y
fecha a través de los controles adecuados.
1.7.1.5 SGSI
Un sistema de gestión de la seguridad informática es el enfoque sistemático,
con el propósito de establecer los mecanismos de gestión, para la
confidencialidad integridad y disponibilidad de la información dentro de un
conjunto de estándares seguros, teniendo como objetivo identificar cada una de las
personas que apoyan los sistemas informáticos a través del proceso de gestión
de riesgos asociados a la compañía. De esta manera se pueden establecer
controles de seguridad de manera adecuada para cada componente y/o elemento
que conforma los activos informáticos tangibles e intangibles.
★ Activos intangibles: Son los bienes inmateriales como:
○ Relaciones inter-empresas
○ Capacitaciones empresariales
○ Habilidades y motivación de los empleados y/o trabajadores
○ Bases de datos, Herramientas tecnológicas
○ Procesos operativos
20
★ Activos tangibles: Son los bienes de naturaleza material, los cuales son
perceptibles a la vista del ser humano, como:
○ Mobiliario, capital
○ Infraestructura y área de terreno
○ Material, elementos de trabajo
○ Equipos informáticos
○ Teléfonos, cableado de red
○ Entre otros.
1.7.1.6 Análisis de Riesgos Informáticos
Es el proceso mediante el cual se identifican los activos informáticos de una
organización o Pyme, la cual permite indagar sobre las posibles
vulnerabilidades y amenazas a las cuales se puede encontrar expuesta una
empresa grande o pequeña, por lo tanto se identifica la probabilidad de
ocurrencia y el impacto de cada una, con el fin de implementar los controles y medidas
preventivas necesarias para aceptar, transferir, evitar, o mitigar el riesgo
identificado. Asimismo se podrá realizar una presunción o estimación del impacto a
través de la matriz de riesgo, con el fin de identificar el riesgo total por medio
de la fórmula:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
1.7.1.7 Control de Gestión
Es el proceso que permite organizar y guiar la gestión de las actividades
empresariales, el cual inicia con el planteamiento de un objetivo para ser
evaluado y medido a través del tiempo. De esta manera se centra en la
verificación constante de cada proceso dentro de la organización, asimismo se podrá
implementar los principios de control, los cuales pueden ser:
● Control por responsabilidades
● Desarrollo económico
● Integración de sistemas informáticos
● Control de excepciones
● Indicadores de gestión
● Medidas de comparación
● Entre otras
21
1.7.1.8 Mapa Estratégico
Un mapa estratégico, es el que determina a través de una ruta de navegación el
camino a seguir durante cada uno de los instantes del tiempo, en el cual se
establecen: a) objetivos estratégicos, b) perspectivas, c) líneas o temas estratégicos
y d) relación de causa efecto (matriz DOFA). Así mismo permite comunicar y
permear a toda la organización los procedimientos, procesos y actividades que
se llevan a cabo para el mejoramiento continuo.
1.7.1.9 Auditoría
La auditoría es la herramienta para diagnosticar el sistema de información de
una empresa y/o Pyme, el cual proporciona metodologías en la toma de
decisiones sobre los sistemas auditados, por lo tanto se debe tener en cuenta que no
todas las empresas manejan y manipulan la información de la misma manera,
esto quiere decir que la auditoría puede diagnosticar y examinar diferentes
aspectos conforme al área a inspeccionar.
❖ Auditoría Interna: Según el Instituto de Auditores Internos (The Institute of
Internal Auditors - IIA), definieron la auditoría interna como “La actividad
independiente y objetiva de aseguramiento y consulta concebida para
agregar valor y mejorar las operaciones de una organización. Ayuda a
una organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno”
❖ Auditoría Externa: La auditoría externa son los métodos utilizados por
una empresa ajena para examinar sistemáticamente las herramientas que
soportan la gestión de la empresa, como por ejemplo: el sistema de
información administrativo, el sistema de información contable y aquellos
sistemas que soportan algún procedimiento que pueda ser auditado para
determinar la integridad del estado actual de los documentos, expedientes
e información que ocasionó el ingreso de información. Como resultado se
emite un concepto independiente sobre los sistemas de información y se
realizarán sugerencias conforme a los hallazgos y evidencias encontradas, con
el objetivo de:
➢ Dar fe pública sobre el procedimiento desarrollado para examinar
los procesos.
➢ Validar las evidencias ante terceros.
➢ Formular los procedimientos de mejora continua.
22
1.7.2 Marco Conceptual
❖ Activo de información: aquello que es de alta validez y que contiene
información vital de la empresa que debe ser protegida.
❖ Amenaza Informática: Vulnerabilidades que se pueden presentar en un
sistema de información, donde una mala configuración y un mal
funcionamiento del sistema de control pueden denegar o no detectar las
causas potenciales que pueden afectar la infraestructura.
❖ Confidencialidad Informática: Medidas y herramientas que permiten a los
sistemas de información, evitar el acceso de personas no autorizadas, con el
fin de custodiar la información contenida en sus bases de datos.
❖ Disponibilidad Informática: Es la técnica para que los sistemas de
información se puedan recuperar de fallos tecnológicos, con el propósito de
mantener el acceso a las funcionalidades en la gran mayoría del tiempo.
❖ Integridad Informática: Medidas y herramientas que permiten asegurar la
procedencia de la información, los cuales se identifican como datos seguros
porque no se ha producido ninguna modificación o cambio desde su emisión y
es exactamente igual al dato o información original.
❖ Gestión de Incidentes: Conjunto de procesos con el fin de gestionar cada uno
de los incidentes hallados, para recuperar el sistema y minimizar el impacto
negativo en las empresas.
❖ Normas: Conjunto de elementos constituidos por reglas y pautas con el fin de
ser ajustadas a un protocolo o procedimiento establecido por las
organizaciones internacionales que lo rigen, estableciendo un orden de valores
los cuales proporcionan una regulación entre los diversos comportamientos y
estados que se pueden presentar dentro de una organización.
❖ Vulnerabilidad: Debilidad de un activo o grupo de activos de información que
puede ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por
ausencia en controles de seguridad que permite ser explotada.
❖ Riesgo: Representa el potencial de perjuicios que se pueden presentar en una
organización, por la falta de una estrategia de seguridad, asociándose al
peligro o daño de un acontecimiento, a través de la probabilidad de ocurrencia
dentro de un instante de tiempo.
23
❖ Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la
ejecución de ningún control.
❖ Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicación
de medidas de seguridad sobre el activo.
❖ Administración del riesgo: Es la capacidad que tiene la Entidad para
emprender acciones necesarias que le permitan el manejo de los eventos que
puedan afectar negativamente el logro de los objetivos institucionales,
protegerla de los efectos ocasionados por su ocurrencia.
❖ Gestión del riesgo: Actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo.
❖ Análisis del riesgo: El uso sistemático de información disponible para
determinar con qué frecuencia un determinado evento puede ocurrir y la
magnitud de sus consecuencias.
❖ Control: Medida que modifica el riesgo.
❖ Control Preventivo: aquellos que actúan para eliminar las causas del riesgo
para prevenir su ocurrencia o materialización.
❖ Control Correctivo: Aquellos que permiten el restablecimiento de actividad,
después de ser detectado un evento no deseable; también la modificación de
las acciones que propiciaron su ocurrencia.
❖ Mejora continua: Acción permanente realizada, con el fin de aumentar la
capacidad para cumplir los requisitos y optimizar el desempeño.
1.7.3. Marco Legal.
El uso de herramientas de la Web 2.0 donde existe un intercambio de información
constante permite tener como base la Ley de TIC que constituye el reconocimiento
por parte del Estado que la promoción del acceso, uso y apropiación de las
tecnologías de la información y las comunicaciones, el despliegue y uso eficiente de
la infraestructura, el desarrollo de contenidos y aplicaciones, la protección a los
usuarios, la formación de talento humano en estas tecnologías y su carácter
transversal son pilares para la consolidación de las sociedades de la información y
del conocimiento e impactan en el mejoramiento de la inclusión social y de la
competitividad del país.
24
Con base a esta información el marco de referencia del entorno jurídico de los
servicios de tecnologías en Colombia es:
➔ Constitución Política de Colombia Ley estatutaria No. 1581 del 17 de octubre
de 2012.
➔ Circular 05 del 9 de octubre de 2001.
➔ Dirección Nacional de Derecho de Autor DNDA Ley 23 del 28 de enero de
1982.
➔ Artículo 3 de la Decisión Andina 351 de 1993.
1.7.3.1 Ley 1273 de 2009.
Los tres principios fundamentales de la seguridad son la confidencialidad, la
integridad y la disponibilidad, por lo tanto para preservar estos principios el 5 de enero
de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio
del cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado,
denominado “De la Protección de la información y de los datos” , que pretende
proteger la información, los datos y la preservación integral de los sistemas que
utilicen tecnologías de la información y las comunicaciones.
La ley en su primer capítulo tiene en cuenta los siguientes artículos, que son los más
esenciales y directos con la información:
➔ Acceso abusivo a un sistema informático.
➔ Obstaculización ilegítima de sistema informático o red de telecomunicación.
➔ Interceptación de datos informáticos.
➔ Daño informático.
➔ Uso de software malicioso.
➔ Violación a datos personales.
➔ Suplantación de sitios web para capturar datos personales.
➔ Circunstancias de agravación punitiva.
25
Esta ley es de gran importancia como un apoyo legal para proteger la información de
las organizaciones o personas, ya que no están exentas a estos problemas. Además,
conocer las multas y penas de estas violaciones, posibilitan un mecanismo de
respuesta rápido de las organizaciones o personas para defender su activo más
importante que es la información.
1.7.3.2 La serie ISO 27000.
La ISO 27000 es un conjunto de estándares desarrollados que explican cómo
implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La
implantación de una ISO 27000 en una organización permite proteger la información
de ésta de la forma más fiable posible. Se persiguen 3 objetivos:
1. Preservar la confidencialidad de los datos de la empresa
2. Conservar la integridad de estos datos
3. Hacer que la información protegida se encuentre disponible
A continuación, se relacionan algunas de las normas que están relacionadas con el
proyecto:
ISO 27001: La norma es certificable y contiene los requisitos para la implantación del
Sistema de Gestión de Seguridad de la Información.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en la seguridad de la información.
ISO 27005: Establece las directrices para la Gestión del riesgo en la seguridad de la
información.
ISO 27034: Es una guía de seguridad en aplicaciones.
1.8 Estado del Arte
Para enfocar la investigación sobre el diseño de un sistema de Gestión de Seguridad
de Información, se tomaron los siguientes proyectos a nivel nacional e internacional,
con el propósito de identificar los avances y los hallazgos encontrados.
Diseño de un sistema de gestión de la seguridad informática para empresas del
área textil en las ciudades de Itagüí, Medellín
En abril de 2015 fue presentado en la facultad de ingeniería de la universidad Nacional
Abierta a Distancia, el trabajo especial de grado por Alexander Guzmán García y
26
Carlos Alberto Taborda Bedoya como requisito para optar por el título de ingeniería
de sistemas y computación. La investigación trata de diseñar un SGSI para el grupo
empresarial la Ofrenda del área textil la cual busca generar una herramienta que le
permita a esta mejora los niveles de seguridad de sus activos de información y
posteriormente lograr la certificación correspondiente a la seguridad de la información.
Este trabajo aporta experiencia en el diseño de un SGSI para el proyecto que se está
realizando, con elementos funcionales que permiten tener un mejor panorama acerca
de este tipo de investigación (Guzmán & Taborda, 2015).
Diseño de un sistema de gestión de seguridad de la información para una
entidad financiera.
En Febrero de 2015 fue presentado en la facultad de especialización del Institución
Universitaria Politécnico Gran-colombiano, el trabajo de grado es de Carlos Alberto
Guzmán Silva como requisito para optar por la Especialización en seguridad de la
información. El proyecto presenta el diseño de un SGSI que permite gestionar la
seguridad de los activos de información que interviene en diferentes procesos
financieros, además sirve como guía para evidenciar la manera de afrontar las
diferentes etapas de un SGSI, las técnicas utilizadas para la identificación de
vulnerabilidades y riesgos, y la manera de definir controles a los diferentes hallazgos
(Silva, 2015).
Planeación y diseño de un sistema de gestión de seguridad de la información,
basado en la norma ISO/IEC 27001 – 27002.
En diciembre de 2013, es presentado en la universidad Politécnica de Perú en la
facultad de ingeniería, el proyecto como trabajo de grado por Buenaño Quintana José
Luis, Granada Luces Marcelo Alfonso, para optar por el título de Ingeniero de
Sistemas. El proyecto se enmarca en el diseño de un SGSI basado en la norma ISO
27000 y enfocado a las necesidades directas de las mismas Universidad, en ella
describe todas las etapas realizadas desde la necesidad puntual de tener un sistema
que mejore la seguridad de la información, hasta los controles aplicables a los riesgos
y vulnerabilidades hallados.
Es un aporte que permite indicar y adentrarse en el manejo y la aplicabilidad de la
norma ISO 27000, como base de diseño de un SGSI, con todas sus recomendaciones
y buenas Prácticas, para obtener a través de los análisis, el más adecuado resultado
con información de los riesgos encontrados y los controles que se pueden aplicar a
estos (Silva, 2015).
27
Implementación de un Sistema de Gestión de Seguridad de la Información, en
el Ecuador
En este artículo se presenta un resumen de la metodología general de
implementación del modelo de gestión de seguridad de información y su certificación
para un proveedor de servicios de telecomunicaciones. Aunque da un amplio espectro
sobre la totalidad de la metodología empleada para alcanzar este logro, se hace un
énfasis particular en las tareas llevadas a cabo para el análisis y evaluación del riesgo,
siendo este un esfuerzo multidisciplinario y bajo un enfoque cualitativo puesto que se
pudo abarcar todos los activos con mayor facilidad. Una de las conclusiones
particulares que este trabajo arrojó, se refiere a las personas como el eslabón más
débil de la cadena recomendando por tanto dentro del análisis y evaluación del riesgo
del SGSI dar el énfasis necesario para considerar este tipo de amenazas (Pincay,
2005).
1.9 Metodología
Ciclo PHVA
La metodología PHVA es un elemento fundamental, ya que proporciona una solución
sistemática de los problemas y mejora de procesos, asegurando la reducción de
costes de la no calidad y manteniendo la eficacia y eficiencia de las organizaciones.
Además, contribuye a generar una sinergia interdepartamental en beneficio de la
satisfacción del cliente, posibilitando la participación de los empleados en los
procesos de transformación. El ciclo PHVA "Es la concepción básica que dinamiza la
relación entre las personas y los procesos y entre los procesos y los resultados".
Dentro del contexto de un sistema de gestión de calidad el PHVA es un ciclo dinámico
que puede desarrollarse dentro de cada proceso de la organización, y en el sistema
de procesos como un todo. Está íntimamente asociado con la planificación,
implementación, control y mejora continua, tanto en la realización del producto como
en otros procesos del sistema de gestión de calidad.
El ciclo de mejora continua PHVA, desarrollado por Shewhart y popularizado por
Deming, es una de las principales herramientas para el mejoramiento continuo de la
calidad dentro de las empresas, el cual consiste en una serie lógica de cuatro pasos
repetidos que se deben llevar a cabo consecutivamente, los cuales se detallan a
continuación:
Planear: Consiste en desarrollar objetivos, establecer los planes de implementación
y definir los métodos que sean necesarios para conseguir resultados de acuerdo con
los requisitos del cliente y las políticas de la organización.
28
En esta fase se debe planificar la gestión de calidad, asegurando la política de calidad,
la definición y cumplimiento de los objetivos de calidad, la asignación de recursos de
acuerdo a un horizonte estratégico que dé prioridad a la competitividad de la empresa.
Hacer: Consiste en hacer las actividades previstas para los procesos según lo
planificado, a partir de la toma de conciencia sobre la importancia de estar enfocados
hacia el cliente y cumplir los requisitos, la asignación de responsabilidades y niveles
de autoridad, la formación y el entrenamiento, la administración de la documentación
y los registros, la gestión efectiva de las comunicaciones internas y externas, y el
control sobre las variables críticas relacionadas con las características críticas de la
calidad de productos y procesos.
Verificar: Consiste en comparar y comprobar los resultados obtenidos con los
esperados, analizando las causas de las desviaciones. Se realiza el seguimiento de
los procesos y los productos respecto a los objetivos, las políticas y los requisitos para
el producto e informar sobre los resultados. Se verifica los resultados contra lo
planeado, considerando el monitoreo y la medición, la auditoría sobre los procesos
del SGC, el control de las no conformidades, el control de las mediciones y el
seguimiento al cumplimiento de los objetivos.
Actuar: Consiste en eliminar las causas de rendimiento insatisfactorio e
institucionalizar los rendimientos óptimos, así como volver a planificar acciones sobre
resultados indeseables todavía existentes. Se mantiene y mejora el desempeño,
mediante el desarrollo de las acciones necesarias para atacar los problemas tanto en
su efecto e impacto, como en su causa o riesgo.
Figura 1. Flujos de PHVA
Fuente: Pérez, P. E. V. & Múnera, F. N. V. Reflexiones para implementar un sistema de gestión de calidad (p.52). Bogotá, Colombia, 2007. Editorial Universidad Cooperativa de Colombia.
29
Para la ejecución de la presente etapa del Hacer del Ciclo de PHVA se selecciona a
Magerit V3 como metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información.
MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información”.
Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior
de Administración Electrónica ha elaborado y promueve como respuesta a la
percepción de la Administración (y en general toda la sociedad) depende de forma
creciente de las tecnologías de la información para la consecución de sus objetivos
de servicio. La razón de ser de Magerit está directamente relacionada con la
generalización del uso de los medios electrónicos, informáticos y telemáticos, que
supone unos beneficios evidentes para los ciudadanos; pero también da lugar a
ciertos riesgos que deben minimizarse con medidas de seguridad que generen
confianza en el uso de tales medios. El análisis de riesgos se ha consolidado como
paso necesario para la gestión de la seguridad. Así se recoge claramente en las guías
de la OCDE que, en su principio dice “Evaluación del riesgo. Los participantes deben
llevar a cabo evaluaciones de riesgo”.
Conocer los riesgos al que están sometidos los sistemas de información con los que
se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud
de guías informales para la realización del análisis y gestión de riesgos,
aproximaciones metódicas y herramientas de soporte.
Todas estas guías (informales, metódicas) buscan poder evaluar cuánto de seguros
(o inseguros) están los sistemas de información, para evitar llevarse a engaño. Una
aproximación metódica no dejar lugar a la improvisación, como es el caso de Magerit,
no depende de la arbitrariedad del analista.
Figura 2. Modelo Magerit
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita
Ministerio de Hacienda y Administraciones Públicas
30
Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se
denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la
Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras,
MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de
trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los
riesgos derivados del uso de tecnologías de la información.
Figura 3. Marco de trabajo para la gestión de riesgos.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita
Ministerio de Hacienda y Administraciones Públicas
Hay varias aproximaciones al problema de analizar los riesgos soportados por los
sistemas TIC: guías informales, aproximaciones metódicas y herramientas de
soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o
inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas
aproximaciones es la complejidad del problema al que se enfrentan; complejidad en
el sentido de que hay muchos elementos que considerar y que, si no se es riguroso,
las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una
aproximación metódica que no deje lugar a la improvisación, ni dependa de la
arbitrariedad del analista.
Magerit persigue los siguientes objetivos:
31
● Directos:
1. concienciar a los responsables de los sistemas de información de la
existencia de riesgos y de la necesidad de atajarlos a tiempo.
2. ofrecer un método sistemático para analizar tales riesgos.
3. ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
● Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación
A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y
las conclusiones de un proyecto de análisis y gestión de riesgos. También se ha
buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones
de las actividades de análisis y gestión de riesgos:
Modelo de valor: Caracterización del valor que representan los activos para la
Organización así como de las dependencias entre los diferentes activos.
Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.
Declaración de aplicabilidad. Para un conjunto de salvaguardas, se indica sin son de
aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de
sentido.
Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas
existentes en relación al riesgo que afrontan.
Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por
lo que puede pasar tomando en consideración las salvaguardas desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen
como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las
vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los
que las amenazas podrían materializarse.
Cumplimiento de normativa: Satisfacción de unos requisitos. Declaración de que se
ajusta y es conforme a la normativa correspondiente.
Plan de seguridad: Conjunto de proyectos de seguridad que permiten materializar
las decisiones de tratamiento de riesgos.
32
1.10 Alcances y Delimitaciones
1.10.1. Alcance
El alcance del proyecto abarca el diseño un Sistema de Gestión de Seguridad de la
información para la empresa Agility S.A.S , el cual está orientado a cubrir la primera
fase de la implantación de un Sistema de Gestión de Seguridad de la Información,
que corresponde a la etapa de planeación.
1.10.2. Delimitaciones
1.10.2.1. Técnica
El proyecto no abarca las fases de implementación, mantenimiento y mejora del
Sistema de Gestión de Seguridad de la Información. Se entregará la documentación
para su puesta en marcha y control.
1.10.2.2. Temporal
El desarrollo del SGSI, se ha proyectado a un tiempo de (6) meses, a partir de abril
del 2016.
1.10.2.3. Geográfica
El proyecto se realizará en la ciudad de Bogotá, para la empresa Agility S.A.S.
1.11 Factibilidad
1.11.1. Factibilidad Técnica
Para el presente proyecto se requiere experiencia y conocimientos en los siguientes
temas: SGSI, Gestión de vulnerabilidades y riesgos amenazas y riesgos en una
organización, Normas ISO/IEC 27000 y metodología Magerit. Estos conocimientos
fueron adquiridos durante el proceso de formación profesional como Ingeniero en
Telemática y las asesorías correspondientes se realizarán en conjunto con el jurado
del proyecto y docentes de plantas de la universidad.
33
Para la Realización del proyecto en cuanto a recurso se requiere lo siguiente:
❖ HARDWARE
➢ Portatil Acer E5-411-P74S
➢ Procesador: intel Core i5 5200u
➢ Pantalla: 14" HD,LED, Delgada
➢ Ram: 4GB
➢ Disco Duro: 500GB
➢ LAN: Gigabit Ethernet
➢ Unidad de DVD Super Multi
➢ Puerto HDMI Acer CineCrystal™ LED-backlit
➢ Lector multitarjeta Wireless
➢ Web Cam HD, 802.11 b/g/n
➢ Sistema Operativo: Windows
❖ SOFTWARE
➢ Dominios de Internet y alojamiento WEB
➢ XAMPP para Windows v5.6.23 (PHP 5.6.23)
➢ MySQL Workbench 6.3
➢ Bootstrap Currently v3.3.7
➢ CodeIgniter Version 3.1.0
1.11.2. Factibilidad Operativa
El grupo de desarrollo del proyecto cuenta con el siguiente personal humano:
❖ Estudiantes de la Universidad Distrital Francisco José de Caldas, Ingeniería en
Telemática.
➢ Jonathan Efrey Guarnizo Arias
➢ Edward Jonathan Prieto Sarmiento
❖ Director del proyecto.
➢ Miguel Ángel Leguizamón Páez
❖ Representante de la Empresa.
➢ Danny Javier Díaz
34
1.11.3. Factibilidad Económica
En el estudio de la Factibilidad Económica, se determinó el presupuesto de costos de
los recursos técnicos y materiales tanto para el desarrollo como para la implantación.
Además nos ayudará a realizar el análisis costo-beneficio de nuestro sistema, el
mismo que nos permitirá determinar si es factible a desarrollar económicamente el
proyecto.
A continuación, se describe los costos del recurso necesario para el desarrollo de
nuestro Sistema de Información:
Tabla 1. Factibilidad económica.
Fuente: Autores
1.11.4. Factibilidad Legal
Cuando se piensa en la implementación de un sistema de gestión, en este caso el de
seguridad informática, es necesario y obligatorio tener en cuenta desde el diseño,
que se cumplan todas las leyes, decretos, normas, entre otras que apliquen
durante el desarrollo de las actividades, buscando establecer la manera
adecuada de proteger a las organizaciones y sus activos, sus colaboradores,
a terceros, y a las personas en general de cualquier delito, infracción, proceso,
procedimiento o acto mal ejecutado, que vulnere sus derechos, y ponga en
riesgo su integridad, su buen nombre, sus activos y cualquier otro bien al que
tengan pertenencia.
Durante el diseño del SGSI , se debe tener en cuenta que elementos de
infraestructura hardware y software, políticas, sistemas y metodologías de
gestión del riesgo, procesos, procedimientos, planes de seguridad y demás
elementos serán necesarios para la implementación de SGSI, estos elementos
durante su aplicación o implementación son susceptibles a que se pueda
omitir el cumplimiento de alguna ley, y tener consecuencias sobre la organización
35
o sobre una o más personas en particular, por eso es necesario conocer algunas
leyes, decretos y normas que rigen sobre estos elementos buscando la
protección del bien individual o colectivo, algunas de estas leyes, decretos o normas
son:
❖ “Decreto 1360 de 1989, donde se reglamenta el soporte lógico
(software) en el registro nacional del derecho de autor, considerando al
software como una creación del dominio literario en conformidad a la ley 23 de
1982 sobre derechos de autor”
❖ “Ley 527 de 1999, que establece y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrónico y las firmas digitales, además
de establecer las entidades de certificación y otras disposiciones”
❖ “Decreto 1747 de 2000, que reglamenta parcialmente la ley 527 de 1999,
con lo relacionado a las entidades de certificación, los certificados y las firmas
digitales”
❖ “Resolución 26930 de 2000, la cual fija los estándares para la
autorización y el funcionamiento de las entidades de certificación y sus
auditores”
❖ “Ley estatutaria 1266 de 2008, que establece las disposiciones
generales del hábeas data y regula el manejo de la información que se contiene
en las bases de datos personales, especialmente la financiera, crediticia,
comercial, de servicios y la proveniente de terceros países”
❖ “Ley 1273 de 2009, con la que se modifica el código penal, se crea u
nuevo bien jurídico denominado "de la protección de la información y de los
datos", y se preservan integralmente los sistemas que utilicen las
tecnologías de información y de comunicaciones”
37
2. Situación Actual de la Empresa Agility S.A.S.
2.1 Enfoque Empresarial
Agility S.A.S es una empresa colombiana, constituida por profesionales en Publicidad
y Mercadeo, que ofrece servicios para Eventos Empresariales, Diseño Gráfico
Corporativo, Material POP, Regalos Empresariales, Papelería Comercial, Impresión
Digital.
La empresa cuenta con clientes como Adidas Colombia Ltda., Digicom System
Corporation S.A., Softmanagement S.A., Processa S.A.S, entre otros, con los cuales
ha hecho diferentes campañas publicitarias, eventos y proyectos de marketing,
siempre manteniendo óptimas condiciones de Creatividad, Calidad y Cumplimiento.
2.2 Seguridad de la Información
El estado de la seguridad de la infraestructura tecnológica se encuentra con un nivel
alto de exposición ante ataques informáticos debido a los distintos puntos vulnerables
que tienen sus recursos tecnológicos a causa de la no existencia de un sistema que
apoye la gestión de riesgos de seguridad y la poca concienciación, apropiación y
conocimiento en temas de seguridad por parte de los funcionarios de la empresa,
debido a que en algunos casos no le dan la importancia a la protección de la
información por su intangibilidad, generando la poca efectividad de las acciones que
en materia de seguridad se realicen en la compañía.
Agility S.A.S requiere asegurar sus activos de información con el propósito de
proteger su exactitud y totalidad con el fin de que los mismos solo sean accesibles
por aquellas personas que estén debidamente autorizadas. La empresa no cuenta
con una metodología para la identificación y clasificación de sus activos de
información y para la valoración y tratamiento de riesgos de seguridad de la
información, lo que implica, que no cuenta con una visión global del estado de su
seguridad.
2.3 Diagnóstico Situación Problema.
Con base en el análisis del estado de la seguridad de la compañía y la identificación
de situaciones que de alguna forma afectan su seguridad, la siguiente figura ilustra la
identificación de la situación problema:
38
Figura 5. Identificación Situación Problema
Fuente: Autores
A continuación, se describen los diferentes factores que se presentan en la empresa
y que están asociados a cada una de las situaciones que generan el problema:
39
Situación Factores
No existe una cultura de seguridad de la
información en la Entidad.
• Falta de concienciación y conocimiento
en temas de seguridad por parte de los
empleados.
• No hay prácticas de mejora continua
para seguridad.
• No existe una participación activa de
toda la organización con relación a la
definición de procedimientos adecuados
y a la planeación e identificación de
controles de seguridad basados en una
evaluación de riesgos.
No existe un modelo para la gestión de
riesgos.
•No existe una valoración e identificación
de riesgos de seguridad de los activos de
la información.
•Falta de clasificación de los activos
para poder determinar los controles
necesarios.
•La empresa no cuenta con una visión
global del estado de su seguridad, y por
lo tanto no tiene presente sus
vulnerabilidades.
Falta de políticas y medidas de
seguridad alineadas con los objetivos del
negocio.
•La dirección de tecnología no ha
definido políticas de seguridad.
•No se encuentran separadas las
funciones para la seguridad informática y
seguridad de la información.
Tabla 2. Factores Empresa.
Fuentes: Autores
Con base en las anteriores situaciones, se puede determinar que el problema
corresponde a falta de un Sistema de Gestión de Seguridad de la Información en
Agility S.A.S.
40
3. Desarrollo de los objetivos planteados
Este capítulo corresponde al desarrollo de las diferentes etapas que se definieron
para el diseño del Sistema de Gestión de Seguridad de la Información de la empresa
Agility S.A.S, las cuales contemplan una serie de actividad cuya ejecución permite
alcanzar los objetivos específicos establecidos para el logro del objetivo general del
presente trabajo de grado.
A lo largo de este capítulo, se relaciona los diferentes elementos, datos recolectados
y valoraciones para el desarrollo de cada una de las actividades de las etapas de la
metodología definida para el diseño del SGSI de la empresa Agility.
3.1. Alcance del SGSI.
El alcance del sistema de gestión de la seguridad de la información (SGSI) abarca
el proceso de gestión de riesgos, vulnerabilidades y amenazas asociadas a la
empresa AGILITY S.A.S mediante los respectivos controles y enmarcados en la
política de seguridad para establecer las mejores prácticas.
El Sistema de Gestión de la Seguridad de la información aplica para la sede principal
de la compañía, ubicada en la ciudad de Bogotá, en función de los procesos core del
negocio, activos, tecnología y actividades que se desarrollan en esta sede.
3.1.1. Política del SGSI.
La política del Sistema de Gestión de Seguridad de la información de la empresa
Agility S.A.S estará enfocada en promover el progreso sostenible de su negocio, en
cumplimiento de su misión, visión y objetivo estratégico, y para satisfacer las
necesidades de sus clientes, empleados y accionistas, estableciendo la función de
Seguridad de la Información en la Entidad, con el objetivo de:
❖ Garantizar la continuidad de los servicios y la seguridad de la información.
❖ Fortalecer la cultura de seguridad de la información en los empleados de la
compañía.
❖ Mantener buenas prácticas de seguridad de la información que garantizan la
Disponibilidad, Integridad y Confidencialidad de la información, proporcionando
confianza en los clientes.
41
❖ Cumplir con los requerimientos legales y reglamentarios aplicables a la
empresa y al Sistema de Gestión de Seguridad de la Información.
La política aplica a toda la compañía, sus clientes, proveedores y terceros, con el fin
de lograr establecer una adecuada seguridad de la información encaminada a que
todos los recursos relacionados con el manejo de la información sean cuidados y
aprovechados de la manera más eficiente, por todos los empleados, con niveles de
seguridad acordes a los recursos tecnológicos, a los requisitos legales y a las
obligaciones de seguridad contractuales.
3.1.2. OBJETIVOS DEL SGSI
El objetivo principal del Sistema de gestión de seguridad de la información es
mantener un ambiente razonablemente seguro que permita proteger los activos de
información que componen las líneas de negocio de Agility para asegurar credibilidad
y confianza en los clientes y en general todo el equipo de trabajo.
Como objetivos estratégicos del Modelo SGSI se plantean los siguientes:
● Mantener la integridad de la información de la organización, teniendo en cuenta
los requisitos de seguridad aplicables y los resultados de la valoración y el
tratamiento de los riesgos identificados.
● Asegurar que la información de AGILITY S.A.S esté disponible para los
usuarios autorizados y procesos en el momento en que así lo requieran.
● Proteger los recursos de la empresa del uso indebido del personal durante el
desempeño de sus funciones.
● Garantizar el acceso a la información de AGILITY S.A.S de acuerdo con los
niveles de la organización y criterios de seguridad que establezca la empresa.
● Cuidar la información transmitida o almacenada dentro de la empresa contra
pérdida o modificación, mediante mecanismos para prevenir que usuarios y
atacantes manipulen la información.
3.2. Identificación de los Activos
Se denominan activos a los recursos vitales de la empresa AGILITY S.A.S, los cuales
son necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
42
El activo esencial es la información que maneja la empresa; o sea los datos. Y
alrededor de estos datos se pueden identificar otros activos relevantes:
● Bases de datos
● Servidores
● Switches
● Routers
● Información de clientes
● Clientes
● Equipos de cómputo (PC’S)
● Aplicaciones
● Recurso Humano
● Capital Financiero
● Imagen empresarial
● Sistemas periféricos.
● Cableado estructurado
● Software (Programas ofimática, Sistemas operativos, etc.)
Los datos y la información es lo que se pretende proteger en última instancia, es por
esto que la información merece ser un poco más detallada para su conocimiento e
identificación dentro de la organización.
Datos/ Información
● Datos de carácter personal
● De interés comercial
● Administración pública
● Administración interna
● De Configuración
● Código Fuente
● Registros
● Datos de prueba
Los datos pueden ser de varios tipos según la clasificación de confidencialidad la cual
sea otorgada:
● Secretos
● Reservados
● Confidenciales
● Sin clasificar
43
Activos de AGILITY S.A.S
➢ Servicios: Los servicios son activos importantes porque contribuyen a un aumento
en ingresos o utilidades por medio de su empleo en el ente económico, a la vez
brindan ventajas de competencia.
Implementación.
Capacitación.
Bases de conocimiento (Comunidad).
Asesorías.
BPO outsourcing.
➢ Información: La información es el activo más valioso e importante para la empresa
porque es la base para la toma de decisiones y definición de nuevas estrategias de
negocios.
Información de clientes.
Información propietaria.
Información del personal.
Información en inteligencia de negocios.
➢ Aplicaciones: Las aplicaciones son activos importantes para la empresa porque
hacen parte del core del negocio y son mediante las cuales se manejan los procesos
de la organización.
Toodledo: Es una aplicación web que permite organizar las listas de tareas por
prioridad y favoritas, con la flexibilidad de organización (por carpetas,
subcarpetas, etiquetas, contextos), posibilidad de aplicar un tiempo estimado
que llevará a finalizar la tarea, añadir notas en cualquier momento y posibilidad
de compartirlas con amigos o compañeros de trabajo y acceder a ellas desde
dispositivos móviles.
Expensify: Es una aplicación web, en la que se puede agregar gatos y revisar
en una lista los registros que se han hecho. De igual modo, se podrán clasificar
y generar reportes con todos los gastos. Así, estos se sumarán automáticamente
y la aplicación mostrará totales por cada categoría.
Evernote: Es una aplicación informática cuyo objetivo es la organización de
información personal mediante el archivo de notas. Para la versión de
empresas se potencia el uso compartido tanto de libros, de notas como de
documentación corporativa y pueden tenerse también carpetas privadas para
la información o notas que así quieran mantenerse.
44
CloudOn: Es una completa suite de ofimática en la nube, sincronizada con los
principales servicios de almacenamiento en nube como Dropbox, Box y Google
Drive. Con esta aplicación se puede crear y reproducir archivos de Word,
Excel, PowerPoint, así como pdf e imágenes.
World Office: Es un programa integrado que trabaja en ambiente Windows
multiusuario para el manejo de la información contable y financiera de la
empresa, con una sencilla interfaz que permite sacar el mejor provecho de sus
múltiples funciones para mostrar la información de manera sencilla y agradable
por medio de gráficos.
Suite de Microsoft office: Es una suite ofimática que abarca el mercado
completo en Internet e interrelaciona aplicaciones de escritorio, servidores y
servicios para los sistemas operativos Microsoft Windows y Mac OS X.
➢ Software Base: El software base es un activo valioso para la empresa porque es
el medio del funcionamiento correcto de las aplicaciones y equipos de la organización.
Microsoft SQL Server: Es un sistema de administración y análisis de bases de
datos relacionales de Microsoft para soluciones de comercio electrónico, línea
de negocio y almacenamiento de datos.
Sistema operativo (Windows 10 Pro): Es el último sistema
operativo desarrollado por Microsoft como parte de la familia de sistemas
operativos Windows NT, con un enfoque en la armonización de experiencias
de usuario y funcionalidad entre diferentes tipos de dispositivos.
➢ Equipamientos: Los equipamientos son activos valiosos e importantes para la
empresa porque se utilizan para el funcionamiento correcto de la operación diaria de
la compañía.
Servidor de Datos.
Servidor Web.
Servidor de ficheros.
Impresoras.
Computadoras.
Switches.
Red de área local (LAN).
Firewall.
Sistema de alimentación.
Sistema de alimentación cuarto de servidores.
Sistema de climatización.
Periféricos (Cámaras, Huellero).
45
3.2.1. Valoración de activos
Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que
se averiguo en la empresa Agility S.AS para poderlos proteger de las distintas
incidencias a las que estuvieran expuestos los activos.
Cada activo tiene una valoración distinta en la empresa Agility, puesto que cada uno
cumple una función diferente, La metodología Magerit contempla dos tipos de
valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un
valor a través de una escala cualitativa donde se valora el activo de acuerdo al
impacto que puede causar en la empresa su daño o pérdida y la segunda hace
referencia a una cantidad numérica.
A la vez se utilizan unas dimensiones que son las características o atributos que
hacen valioso un activo, con el fin de valorar las consecuencias de la materialización
de una amenaza. La valoración que recibe un activo en cierta dimensión es la
medida del perjuicio para la organización si el activo se ve dañado con respecto a
dicho aspecto, Las dimensiones que se van a valorar para AGILITY S.A.S son las
siguientes:
❖ Disponibilidad [D]. - Disposición de los servicios a ser usados cuando
sea necesario. La carencia de disponibilidad supone una interrupción del
servicio. La disponibilidad afecta directamente a la productividad de las
organizaciones.
❖ Integridad [I].- Mantenimiento de las características de completitud y
corrección de los datos. Contra la integridad, la información puede
aparecer manipulada, corrupta o incompleta. La integridad afecta
directamente al correcto desempeño de las funciones de una Organización.
❖ Confidencialidad [C].- Que la información llegue solamente a las
personas autorizadas. Contra la confidencialidad o secreto pueden darse
fugas y filtraciones de información, así como accesos no
autorizados. La confidencialidad es una propiedad de difícil recuperación,
pudiendo minar la confianza de los demás en la organización que
no es diligente en el mantenimiento del secreto, y pudiendo suponer el
incumplimiento de leyes y compromisos contractuales relativos a la custodia
de los datos.
En la empresa AGILITY S.A.S se ha elegido emplear una escala detallada de diez
valores, dejando el valor 0 como determinante de lo que sería un valor despreciable
(a efectos de riesgo):
46
VALOR CRITERIO
10 Muy Alto Daño muy grave a la organización.
7 a 9 Alto Daño grave a la organización.
4 a 6 Medio Daño importante a la organización.
1 a 3 Bajo Daño menor a la organización.
0 Ninguno Irrelevante a efectos prácticos.
Tabla 3. Escalas de valoración.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,
España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas
Las siguientes tablas permiten valorar con más detalle de forma homogénea los
activos cuyo valor es importante por diferentes motivos.
Sigla Nombre
olm Operaciones
si Seguridad
lpo Obligaciones legales
cei Intereses comerciales o económicos
da Interrupción del servicio
adm Administración y gestión
lg Pérdida de confianza (reputación)
lbl Información clasificada
pi Información de carácter personal
Tabla 4. Listado de Motivos.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,
España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas
47
VALOR CRITERIO
10
Olm Probablemente cause un daño excepcionalmente serio a la
eficacia o seguridad de la misión operativa o logística.
Si
Probablemente sea causa de un incidente
excepcionalmente serio de seguridad o dificulte la
investigación de incidentes excepcionalmente serios.
9
Si Probablemente sea causa de un serio incidente de
seguridad o dificulte la investigación de incidentes serios.
cei.a Causa de muy significativas ganancias o ventajas para
individuos u organizaciones.
da Probablemente cause una interrupción excepcionalmente
seria de las actividades propias de la Organización.
olm Probablemente cause un daño serio a la eficacia o
seguridad de la misión operativa o logística.
adm Probablemente impediría seriamente la operación efectiva
de la Organización, pudiendo llegar a su cierre.
lg.a Probablemente causaría una publicidad negativa
generalizada por afectar de forma excepcionalmente grave
a las relaciones a las relaciones con otras organizaciones.
lg.b Probablemente causaría una publicidad negativa
generalizada por afectar de forma excepcionalmente grave
a las relaciones a las relaciones con el público en general.
8 lbl Datos clasificados como confidenciales.
7
lpo Probablemente cause un incumplimiento grave de una ley
o regulación.
si Probablemente sea causa de un grave incidente de
seguridad o dificulte la investigación de incidentes graves.
cei.a Causa de graves pérdidas económicas.
da
Probablemente cause una interrupción seria de las
actividades propias de la Organización con un impacto
significativo en otras organizaciones.
48
olm Probablemente perjudique la eficacia o seguridad de la
misión operativa o logística.
adm Probablemente impediría la operación efectiva de la
Organización.
lg.a Probablemente causaría una publicidad negativa
generalizada por afectar gravemente a las relaciones con
otras organizaciones.
lg.b Probablemente causaría una publicidad negativa
generalizada por afectar gravemente a las relaciones con
el público en general.
6
pi.a Probablemente afecte gravemente a un grupo de
individuos.
pi.b Probablemente quebrante seriamente la ley o algún
reglamento de protección de información personal.
5
pi.a Probablemente afecta gravemente a un individuo.
da.a Probablemente cause la interrupción de actividades
propias de la Organización con impacto en otras
organizaciones.
da.b Probablemente cause un cierto impacto en otras
organizaciones.
adm Probablemente impediría la operación efectiva de más de
una parte de la Organización.
lg.a Probablemente sea causa una cierta publicidad negativa
por afectar negativamente a las relaciones con el público.
4
pi.a Probablemente afecte a un grupo de individuos.
pi.b Probablemente quebrante leyes o regulaciones.
3
cei.a Causa de pérdidas financieras o merma de ingresos.
da Probablemente cause la interrupción de actividades
propias de la Organización.
olm Probablemente merme la eficacia o seguridad de la misión
operativa o logística (alcance local).
49
adm Probablemente impediría la operación efectiva de una
parte de la Organización.
Lg Probablemente afecte negativamente a las relaciones
internas o externas de la Organización.
2
pi.a Pudiera causar molestias a un individuo.
pi.b Pudiera quebrantar de forma leve leyes o regulaciones.
cei.a De bajo interés para la competencia.
lg Probablemente cause una pérdida menor de la confianza
dentro de la Organización.
1
si Pudiera causar una merma en la seguridad o dificultar la
investigación de un incidente.
da Pudiera causar la interrupción de actividades propias de la
Organización.
olm Pudiera mermar la eficacia o seguridad de la misión
operativa o logística (alcance local).
lg Pudiera causar una pérdida menor de la confianza dentro
de la Organización.
Tabla 5. Escalas Estándar.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,
España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas
La valoración de los activos identificados de la empresa AGILITY S.A.S se encuentra
en la siguiente tabla:
ACTIVO
Disponibilidad
Integridad
Confidencialidad
Valor Criterio Valor Criterio Valor Criterio
Capacitación de
usuarios.
2 [pi.b]
2 [lg] 2 [lg]
Bases de Datos. 7 [da],[si] 6 [pi.b] 8 [lbl]
50
Asesorías. 2 [pi.a] 3 [cei.a],[adm] 3 [lg]
BPO Outsourcing. 3 [da] 3 [cei.a] 2 [lg]
Información de clientes. 7 [adm],[da] 8 [lbl] 9 [lg.b]
Información propietaria. 7 [da],[adm] 7 [lpo] 8 [lbl]
Información del personal 7 [adm,[da 7 [lpo 8 [lbl]
Información inteligencia
de negocios.
7 [da],[adm] 9 [olm] 8 [lbl]
Código Fuente. 9 [cei.a],[da] 9 [si],[olm] 8 [lbl]
Microsoft SQL Server. 9 [da] 9 [si] 8 [lbl]
Sistema Operativo. 9 [adm,[da] 4 [pi.a] 2 [lg]
Servidor de Datos. 9 [da],[olm] 9 [si] 8 [lbl]
Servidor Web. 9 [olm] 9 [si] 8 [lbl]
Servidor de ficheros. 6 [pi.a] 6 [pi.b] 5 [da.b],[lg.a]
Impresoras. 3 [da] 2 [pi.a] 3 [olm]
Computadoras. 9 [adm],[da] 4 [pi.a] 5 [da.a],[pi.a]
Switches. 7 [adm] 7 [si] 7 [lg.b]
Red de área local. 9 [da] 7 [olm] 8 [lbl]
Sistema de alimentación 9 [da] 7 [olm] 8 [lbl]
Sistema de alimentación
cuarto de servidores
9 [da] 7 [si] 8 [lbl]
Toodledo 9 [da] 7 [olm],[cei.a] 8 [lbl]
Expensify 9 [da] 7 [cei.a],[olm] 7 [lg.a]
Evernote 9 [da] 7 [olm],[cei.a] 8 [lbl]
CloudOn 9 [adm] 7 [olm],[cei.a] 8 [lbl]
World Office 9 [adm] 7 [olm] 8 [lbl]
Suite de microsoft office 9 [adm] 7 [olm] 8 [lbl]
Tabla 6. Valoración Activos.
Fuente: Autores
51
Los activos con mayor valor en la valoración de los activos son de vital importancia
dentro del enfoque de negocio y son los pilares para llevar a cabo el objetivo de
negocio de la empresa AGILITY S.A.S.
3.3. Identificación y Valoración de las Vulnerabilidades
El objetivo de este punto es determinar las debilidades de los activos que pueden ser
explotados por amenazas. Es necesario conocer de forma detallada las debilidades y
medidas de protección, que pueden facilitar el éxito a las amenazas potenciales.
Probabilidad de
ocurrencia
Descripción Valor
Muy Frecuente
(MF)
A diario 75% - 100% Critico
Frecuente (F) Una vez al mes 50% - 75% Alto
Frecuencia Normal
(FN)
Una vez al año 25% - 50% Medio
Poco Frecuente
(PF)
Cada varios Años 0 - 25% Bajo
Tabla 7. Escalas de Probabilidad de Evaluación.
Fuente: Medina Javier. Evaluación de vulnerabilidades. Laderas del Campillo, Murcia, Julio 2014.
Editorial sg6.es.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse,
en donde se describe claramente los criterios y la frecuencia de ocurrencia, a
continuación, se agrupan las vulnerabilidades de acuerdo a algunas características
de AGILITY S.A.S.
❖ Vulnerabilidades de Aplicaciones Informáticas
Las vulnerabilidades detectadas que se presentan en este grupo son la extracción de
información y la manipulación inadecuada de los datos.
52
Vulnerabilidad Probabilidad de
Ocurrencia
Valoración de la
Vulnerabilidad
Exposición al público de
documentos o datos
FN Medio
Falla en los datos respaldados. PF Bajo
Corrupción de datos. FN Medio
Almacenamiento inadecuado o
impropio.
F Alto
Exposición a intercepción
visual auditiva o
electromagnética.
PF Bajo
Control de acceso inadecuado. MF Critico
Capacitación inadecuada. F Alto
Falta en tiempo de
sincronización.
F Alto
Control de configuración
inadecuado.
MF Critico
Conexión de equipo no
autorizado.
MF Critico
Tabla 8. Detección de vulnerabilidades de Aplicaciones Informáticas.
Fuente: Autores
❖ Vulnerabilidades de Servicios
Las vulnerabilidades detectadas en este grupo van con el uso, mantenimiento y
administración de los servicios.
Vulnerabilidad Probabilidad de
Ocurrencia
Valoración
Interface de usuario
inadecuada o complicada.
PF Bajo
Control de acceso
inadecuado.
FN Medio
53
Control inadecuado de
versión.
PF Bajo
Uso impropio y no
controlado.
FN Medio
Contraseñas no protegidas. F Alto
Administración periódica de
contraseña.
FN Medio
Incompatibilidad Software. PF Bajo
Falta de documentación. F Alto
Falta de protección contra
virus y código malicioso.
FN Medio
Administración de
configuración inadecuada.
FN Medio
Tabla 9. Detección de vulnerabilidades de Servicios.
Fuente: Autores
❖ Vulnerabilidades de Comunicaciones
Las vulnerabilidades relacionadas en este grupo tienen que ver con el sistema de
comunicación.
Vulnerabilidad Probabilidad de
Ocurrencia
Valoración
Líneas de comunicación no
protegidas.
PF Bajo
Uniones de cables y conexiones
deficientes.
FN Medio
Transferencia de información de
forma inadecuada.
MF Critico
Accesos no controlados. FN Medio
Protección inadecuada de
tráfico.
MF Critico
54
Administración de red
inadecuada.
PF Bajo
Protección inadecuada para
acceso público.
FN Medio
Comunicaciones inadecuadas
para móviles.
FN Medio
Capacidad inadecuada de red. PF Bajo
Tabla 10. Detección de vulnerabilidades de Comunicaciones.
Fuente: Autores
❖ Vulnerabilidades de Equipamiento Informático
Las vulnerabilidades ligadas a este grupo son todas aquellas relacionadas a la
infraestructura y el medio ambiente que rodea al sistema
Vulnerabilidad Probabilidad de Ocurrencia Valoración
Protección física
inadecuada.
FN Medio
Protección física
inadecuada de los equipos
tecnológicos.
FN Medio
Control de acceso
inadecuado a la
infraestructura.
PF Bajo
Control de acceso
inadecuado de los equipos
tecnológicos.
PF Bajo
Abastecimiento de energía
eléctrica inestable.
FN Medio
Desastres naturales. PF Bajo
Desastre provocado por el
hombre.
FN Medio
Monitoreo de medidas de
seguridad.
FN Medio
55
Mantenimiento a la
infraestructura.
PF Bajo
Inadecuada prevención
contra incendio/detección.
PF Bajo
Disponibilidad de Servicios
de Topografía.
FN Medio
Disponibilidad de red
topográfica.
FN Medio
Capacidad adecuada del
suministro eléctrico.
FN Medio
Tabla 11. Detección de vulnerabilidades de equipamiento informático.
Fuente: Autores
❖ Vulnerabilidades de Personal
Las vulnerabilidades identificadas en este grupo son todas aquellas ligadas al
personal que trabaja en AGILITY S.A.S.
Vulnerabilidad Probabilidad de Ocurrencia Valoración
Ausentismo personal
insuficiente.
PF Bajo
Control inadecuado de
reclutamiento.
FN Medio
Falta de conciencia de
seguridad.
FN Medio
Falta de capacitación de
trabajo.
PF Medio
Falta de mecanismos de
monitoreo.
FN Medio
Falta de políticas,
normas, procedimientos.
F Alto
Falta de los deberes por
circunstancias
personales.
FN Medio
56
Falta de delegación,
participación y sucesión
PF Bajo
Empleados molestos. FN Medio
Manipulación de usuarios
legítimos.
PF Bajo
Falta de capacitación
específica, para
trabajadores.
FN Medio
Tabla 12. Detección de vulnerabilidades de Personal.
Fuente: Autores
3.4. Caracterización y valoración de las amenazas
El objetivo de este punto es determinar la degradación del activo; proceso que
consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se
materialice una amenaza. Para el desarrollo fue necesario tener presente los rangos
dados en los siguientes cuadros tanto de frecuencia como de degradación.
3.4.1. Frecuencia de Amenazas
Valor Frecuencia Abreviatura Criterio
4 Muy Frecuente MF A diario
3 Frecuente F Mensualmente
2 Normal FN Una vez al año
1 Poco Frecuente PF Cada varios años
Tabla 13. Frecuencia de Amenazas.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,
España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas
57
3.4.2. Degradación de las Amenazas
Valor Criterio Abreviación
100% Degradación MUY ALTA del activo MA
80% Degradación ALTA considerable del activo A
50% Degradación MEDIANA del activo M
10% Degradación BAJA del activo B
1% Degradación MUY BAJA del activo MB
Tabla 14. Degradación de Amenazas.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,
España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas
3.4.3. Identificación y Valoración de las Amenazas:
Tipo: Aplicaciones Informáticas
➢ A.1 Errores de los usuarios: Se considera que este tipo de amenaza llegue a
presentarse frecuentemente debido a que los usuarios o personal nuevo no es
capacitado adecuadamente en el uso de los activos “aplicaciones informáticas”
y su degradación es considerada de muy alto impacto en la dimensión de
Disponibilidad porque dichos activos están directamente relacionados con los
servicios y el modelo de negocio de la empresa Agility; en caso de
materializarse esta amenaza se tendrá una paralización de casi el 90% de los
servicios.
➢ A.2 Errores del administrador: Se da un valor Alto, ya que si llegase a presentar
un error por parte del administrador, la disponibilidad de las aplicaciones y
servicios se verá seriamente afectada y debido a que el personal encargado
de la administración de estos servidores es altamente calificado; la
probabilidad de ocurrencia es Poco Frecuente.
➢ A.3 Errores de configuración: Se valora como de Alta degradación porque
debido a una mala configuración en las aplicaciones informáticas llevaría a
ataques como intrusión, denegación de servicios, robo de información, etc.
➢ A.4 Escapes de información: Se considera que la afectación sería Alta para la
dimensión de Confidencialidad, ya que si hay escape de información esta
58
puede ser modificada o usada para beneficios propios llevando a pérdida de
confianza empresarial.
➢ A.5 Destrucción de información: Dado el caso de llegarse a presentar esta
amenaza las dimensiones más afectadas son la Disponibilidad y la
Confidencialidad, porque las aplicaciones informáticas guardan toda la
información que se maneja a diario dentro de los procesos de la empresa.
➢ A.6 Acceso no autorizado: La dimensión que afecta directamente es la
Disponibilidad y se considera muy alta porque al presentarse una intrusión
desencadenaría la materialización de las amenazas [A.4], [A.5] y [A.7] entre
otras.
➢ A.7 Modificación de la información: Afectará directamente la dimensión de
integridad en un nivel muy alto, porque de presentarse ataques de modificación
de información se van a ver alterados los datos almacenados en los activos,
causando un caos informático y arrojando datos erróneos a la hora de las
consultas y transacciones en cada uno de los procesos normalizados dentro
de las labores diarias.
Amenaza Frecuencia Degradación
[A.1] Errores de los usuarios F MA
[A.2] Errores del administrador FN A
[A.3] Errores de configuración FN A
[A.4] Escapes de información PF A
[A.5] Destrucción de información PF MA
[A.6] Acceso no autorizado FN MA
[A.7] Modificación de la información PF MA
Tabla 15. Valoración de Amenazas sobre Aplicaciones Informáticas.
Fuente: Autores
Tipo: Servicios.
➢ A.8 Suplantación de la identidad del usuario: Este es quizá una de las mayores
amenazas visibles dentro de la empresa debido a que no se han implementado
normativas para el uso de contraseñas fuertes para el acceso a los equipos y
servicios, por lo que se puede presentar con mucha frecuencia.
59
➢ A.9 Difusión de Software dañino: Esta amenaza es considerada de alto grado
de degradación y que pudiese presentar en un nivel de frecuencia normal ; con
afectación directa a la disponibilidad; debido a la gran cantidad de equipos de
cómputo que están destinados para los empleados y por la falta de
concientización que hay sobre el uso de software licenciado.
➢ A.10 Denegación de Servicio: Se ha valorado de muy alta degradación en la
dimensión de disponibilidad, porque se pueden llegar a presentar errores de
programación que no permiten a usuarios autorizados acceder al sistema. Esta
amenaza puede ser causa de una reacción en cadena con otras amenazas;
pero con poca frecuencia de ocurrencia.
Amenaza Frecuencia Degradación
[A.8] Suplantación de la identidad del usuario FN A
[A.8] Difusión de Software dañino FN A
[A.10] Denegación de Servicios PF MA
Tabla 16. Valoración de Amenazas sobre servicios.
Fuente: Autores
Tipo: Redes de Comunicaciones
➢ A.11 Desastres Naturales: Se puede llegar a presentar y la disponibilidad de
los activos de redes de comunicaciones tendría un deterioro muy alto porque
se caerían todos los servicios llevando a una paralización total de las
actividades en los procesos.
➢ A.12 Avería de origen físico o lógico: Se considera que afecta la disponibilidad
en un nivel Muy Alto porque las zonas (lugares) donde se han ubicado no
fueron los más adecuados físicamente para su protección o por el contrario el
proceso de instalación y/o configuración no fue el adecuado por mala
manipulación.
➢ A.13 Fallo de Servicio de comunicaciones: El activo de redes de
comunicaciones se ha calificado con grado de afectación en la disponibilidad
de nivel Alto porque se han presentado casos en que por algún fallo en las
redes del proveedor de servicios de internet se ha visto seriamente afectado
los demás servicios configurados y administrados internamente dentro de la
empresa.
60
➢ A.14 Manipulación de Configuración: Este ítem está ligado directamente con el
numeral y las razones expuestas anteriormente en A.2.
Amenaza Frecuencia Degradación
[A.11]Desastres Naturales PF MA
[A.12] Avería de origen físico o lógico PN MA
[A.13] Fallo de Servicio de comunicaciones PF A
[A.14] Manipulación de Configuración. PF A
Tabla 17. Valoración de Amenazas sobre comunicaciones.
Fuente: Autores
Tipo: Equipamiento Informático
➢ A.15 Fuego: Se consideró de muy alto impacto en todas las dimensiones
(disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad) porque
al llegarse a presentar fuego como desastre natural, se perdería todo el
equipamiento informático que es el soporte de los demás activos de
información como los relacionados en aplicaciones informáticas, servicios,
redes de comunicaciones.
➢ A.16 Daños por Inundaciones: La degradación se consideró como alta en
disponibilidad y de poca frecuencia porque el equipamiento informático se
encuentra ubicado sin ninguna precaución.
➢ A.17 Errores de mantenimiento / actualización de equipos (hardware): La
disponibilidad por errores de mantenimiento o actualización de equipos
(hardware) es valorada como de Alto impacto porque a pesar de contar con
personal capacitado para realizar esta tarea no siempre se cuenta con el
tiempo suficiente y se han presentado casos en que no es posible ejecutar esta
actividad de manera completa.
➢ A.18 Acceso no Autorizado: La confidencialidad para este ítem dentro del
equipamiento informático es alto debido a que no se tienen implementados
normas estrictas de seguridad para el acceso a los centros de datos.
➢ A.19 Manipulación de los equipos: Se considera que el grado de degradación
que se puede llegar a experimentar es alto en la dimensión de confidencialidad
especialmente en los equipos de cómputo porque no se han tomado medidas
61
de seguridad que concienticen a los usuarios en el uso exclusivo del personal
contratado en la empresa y del uso de contraseñas parame-trizadas. Pudiendo
dar pie a accesos no autorizados a información y a extracción de partes
hardware de los equipos.
Amenaza Frecuencia Degradación
[A.15] Fuego. PF MA
[A.16] Daños por Inundaciones PF MA
[A.17] Errores de mantenimiento/actualización
de equipos (hardware).
FN A
[A.18] Acceso no autorizado. FN A
[A.19] Manipulación de los equipos. FN A
Tabla 18. Valoración de Amenazas sobre equipamiento informático.
Fuente: Autores
Tipo: Personal
➢ A.20 Deficiencia en la organización: Se valora como frecuencia normal y de
degradación de disponibilidad como Alta porque las directivas de la compañía
no contratan el personal suficiente para implementar el SGSI necesario dentro
de la empresa y lograr minimizar todas estas amenazas encontradas.
➢ A.21 Alteración accidental de la información: Se puede llegar a materializar la
amenaza de alteración accidental de la información por el personal debido a la
falta de capacitación y la mala comunicación que existe internamente en la
empresa, ya se ha mencionado que el personal nuevo que ingresa no es
capacitado adecuadamente en sus labores y mucho menos en base al tema
de seguridad de la información. Por esta razón se puede ver afectada
altamente la confidencialidad e integridad de los datos.
➢ A.22 Ingeniería Social: Hasta el momento la empresa no ha tenido ningún tipo
de inconveniente relacionado con la ingeniería social en el activo de personal,
pero es una amenaza latente enlazada con las razones dadas en A.21, y la
falta de concientización del personal en las mejores prácticas de seguridad de
la información. Llevando a una afectación Alta en la dimensión de
confidencialidad.
62
Amenaza Frecuencia Degradación
[A.20] Deficiencia en la Organización. FN A
[A.21] Alteración accidental de la información FN A
[A.22] Ingeniería Social PF A
Tabla 19. Valoración de Amenazas sobre Personal.
Fuente: Autores
3.5. Identificación del Riesgo
En la siguiente tabla se establecen todos los potenciales riesgos, por los cuales se
podría ver afectada la operatividad de AGILITY S.A.S. La identificación incluye los
riesgos independientemente de que estén bajo control o no en la organización.
ID Tipo de riesgo Riesgo Descripción Consecuencias
1 Externo/Interno Corte de energía
Falla red eléctrica,
que alimenta a los
equipo.
Inoperatividad de
los equipos de
comunicaciones y
de acceso.
2 Interno Falla en la UPS
Falla equipo de
respaldo eléctrico
Interrupción del
servicio de
interconexión
momentáneamente
3 Interno
Falla en equipos
de ventilación
Temperatura no
adecuada
Baja el desempeño
de los equipos de
comunicaciones a
la red
4 Externo/Interno Inundaciones
Agua en las
instalaciones
Daño total del
equipamiento.
5 Externo Terremotos Eventos naturales
Daño total del
equipamiento.
6 Externo/Interno Incendios
Fuego en las
instalaciones
Daño total del
equipamiento.
63
7 Interno
Desconexión
física hacia
proveedor
principal
Corte cable, cable
desconectado o en
mal estado
Desconexión de la
red
8 Interno
Desconexión
física hacia
proveedor de
respaldo
Corte cable, cable
desconectado o en
mal estado
No hay
desconexión, pero
enlace principal
queda sin respaldo
9 Interno
Corte de servicio
en servidores
internos
Servicios no
disponibles
Usuarios no
obtendrán el
acceso a servicios
internos ni tampoco
a intranet.
10 Interno
Corte de servicio
en servidores
externos
Servicios Web y
DNS no disponibles
Usuarios externos
no tendrán acceso
web y pérdida de
navegación web
para usuarios
internos.
11 Interno
Interrupción de
servicio
Callmanager
Servidor de
enrutamiento de
llamadas deja de
funcionar
Interrupción del
servicio telefónico
12 Interno
Falla sobre
equipos de
comunicaciones
Desperfecto eléctrico
o cualquier problema
interno los equipos
de comunicaciones.
Desconexión de la
red
13 Interno
Saturación en el
equipos de
comunicaciones
Problemas en
memoria,
procesamiento entre
otras
Pérdida de
desempeño hasta
posible
desconexión de la
red
14 Externo
Interrupción
servicio de
Internet
Falla en el acceso al
servicio de internet
Operaciones que
necesiten internet
para efectuarse se
ven afectadas.
64
15 Externo/Interno
Interrupción
Firewall
Falla en el equipo de
filtraje
Desconexión hacia
servidores y hacia
Internet
16 Interno
Acceso no
autorizado a
equipos de
comunicaciones
Acceso no
autorizado equipos
de comunicaciones
Desconexión de la
red
17 Interno
Seguridad de los
procesos de la
información del
negocio
Es las
Confidencialidad,
Integridad,
Disponibilidad,
Autenticación o
autentificación en la
gestión de la
información.
Retraso y pérdida
en las operaciones
de los usuarios
18 Interno
Administración
de la
información local
y pública por los
usuarios
Los procesos deben
estar diseñados para
asegurar la
información y reducir
el potencial de
redundancia.
Retraso y pérdida
en las operaciones
de los usuarios
Tabla 20. Identificación de riesgos.
Fuente: Autores
3.5.1 Análisis de Riesgos.
Se debe tener un total entendimiento y comprensión de los riesgos, para poder
determinar cómo deben ser tratados de manera costo-efectiva.
Involucra:
● La probabilidad de ocurrencia.
● La determinación de su impacto potencial (consecuencias).
● Análisis de riesgos, mediante una combinación de Impacto y su probabilidad
de ocurrencia.
65
La Magnitud del Riesgo:
La Magnitud de un riesgo se determina por su probabilidad de ocurrencia y sus
consecuencias o impactos asociados.
Magnitud = Probabilidad x Impacto
Matriz de Priorización:
El riesgo se debe medir de acuerdo al impacto y la probabilidad y se debe ubicar en
la Matriz de Priorización.
Probabilidad: Frecuencia que podría presentar el riesgo.
ALTA: Es muy factible que el riesgo se presente
MEDIA: Es factible que el riesgo se presente
BAJA: Es muy poco factible que el riesgo se presente
Impacto: Forma en la cual el riesgo podría afectar los resultados del proceso.
ALTO: afecta en alto grado la disponibilidad del servicio
MEDIO: afecta en grado medio la disponibilidad del servicio
BAJO: afecta en grado bajo la disponibilidad del servicio
A continuación se presenta la Matriz de Priorización, con la cual se clasificarán los
riesgos de acuerdo a su Magnitud, donde:
Magnitud A: Nivel Alto de riesgo
Magnitud B: Nivel Medio de riesgo
Magnitud C: Nivel Bajo de riesgo
Figura 6. Matriz de Priorización.
Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernandez. Recuperado de
https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/
66
En la siguiente tabla, primordialmente se entrega información sobre la magnitud de
los riesgos analizados. La cual será de suma importancia para la etapa de evaluación,
en donde serán priorizados o clasificados según los criterios definidos.
ID Riesgo Probabilidad Impacto Magnitud
1 Corte de energía Baja Medio B
2 Falla en la UPS Baja Alto B
3 Falla en equipos de ventilación Baja Bajo C
4 Inundaciones Baja Alto B
5 Terremotos Baja Alto B
6 Incendios Baja Alto B
7 Desconexión física hacia proveedor
principal
Baja Alto B
8 Desconexión física hacia proveedor de
respaldo
Baja Medio B
9 Corte de servicio en servidores internos Baja Alto B
10 Corte de servicio en servidores externos Baja Medio B
11 Interrupción de servicio Callmanager Baja Bajo C
12 Falla sobre equipos de comunicaciones Media Alto A
13 Saturación en el equipos de
comunicaciones
Media Alto A
14 Interrupción servicio de Internet Media Alto A
15 Interrupción Firewall Media Alto A
16 Acceso no autorizado a equipos de
comunicaciones
Baja Alto B
17 Seguridad de los procesos de la
información del negocio
Media Alto A
18 Administración de la información local y
pública por los usuarios
Media Alto A
Tabla 21. Análisis de riesgos.
Fuente: Autores
67
3.5.2. Evaluación de riesgos.
El propósito de la evaluación de riesgos es tomar decisiones basadas en los
resultados del análisis de riesgos, identificar cuáles deben ser tratados y la prioridad
para su tratamiento.
Riesgos con Magnitud alta (A), sin controles efectivos, requieren acciones
preventivas inmediatas
Riesgos con Magnitud alta (A) y media (B) con controles no efectivos, requieren
acciones de preventivas
Magnitud alta (A) y media (B) con controles efectivos, pero no documentados,
requieren acciones preventivas
Riesgos con priorización baja (C) o alta (A) y media (B) que tienen controles
documentados y efectivos, Requieren seguimiento
Tabla 22. Criterios de evaluación de riesgo.
Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernandez. Recuperado de
https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/
A continuación, se relaciona la tabla de los riesgos y la determinación del tratamiento,
a la vez se establece la prioridad de cada riesgo.
ID Riesgo Criterio Tratar
Riesgo
1 Corte de energía 4 NO
2 Falla en la UPS 3 SI
3 Falla en equipos de ventilación 4 NO
4 Inundaciones 3 NO
5 Terremotos 2 SI
6 Incendios 2 SI
7 Desconexión física hacia proveedor principal 4 NO
8 Desconexión física hacia proveedor de respaldo 4 NO
9 Corte de servicio en servidores internos 3 SI
68
10 Corte de servicio en servidores externos 3 SI
11 Interrupción de servicio Callmanager 4 NO
12 Falla sobre equipos de comunicaciones 1 SI
13 Saturación en equipos de comunicaciones 1 SI
14 Interrupción servicio de Internet 2 SI
15 Interrupción Firewall 2 SI
16 Acceso no autorizado a equipos de comunicaciones 4 NO
17 Seguridad de los procesos de la información del
negocio
2 SI
18 Administración de la información local y pública por
los usuarios
2 SI
Tabla 23. Evaluación de riesgos.
Fuente: Autores
3.5.3. Tratamiento del riesgo
La gestión de los riesgos es un proceso en el cual se implementan las medidas
técnicas y organizativas necesarias para impedir, reducir o controlar los riesgos
analizados e identificados, de forma que las consecuencias que puedan generar sean
eliminadas o, si esto no es posible, se puedan reducir lo máximo posible. El objetivo
es reducir los riesgos que estén por encima de los niveles aceptables, a niveles
que puedan ser asumidos por AGILITY S.A.S.
Una vez se han analizado y conocido los riesgos de la organización, se determinó el
tratamiento que deben recibir los activos, que es mitigación del riesgo para de esta
forma reducir el riesgo hasta un nivel aceptable mediante la selección e implantación
de controles.
3.6. Selección de Controles
Los controles para la empresa Agility se seleccionaron e implementaron para
minimizar los riesgos detectados en el análisis de riesgos de manera que se
encuentren por debajo del riesgo asumido por la empresa. Es aconsejable revisar
periódicamente los controles implantados para validar si cumplen con el
funcionamiento esperado.
69
Se tuvieron en cuenta diferentes factores y restricciones en el momento de la
selección de los controles como son el costo de la implementación y
mantenimiento del control, la disponibilidad, la ayuda que se debe brindar a los
colaboradores para desempeñar el control y su aplicabilidad con respecto a los
riesgos que se han detectado.
A continuación se relacionan los controles implementados:
3.6.1. Antivirus y Spyware
En la actualidad, es prácticamente imposible navegar la web sin tener una protección
ante las amenazas agazapadas detrás de cada sitio que se visita. Los engaños son
muchos, y las probabilidades de ser víctimas de un ataque de virus o malware
también. Es por ello que una de las mejores tácticas de prevención es la utilización
de un buen antivirus.
Por lo anterior, se ha escogido como solución primordial los servicios que ofrece AVG
(AVG Internet Security Business Edition), en la cual brinda protección de la siguiente
manera y a un costo/ beneficio esencial.
Figura 7. AVG
Fuente: www.avg.com
● Antimalware (Protección Residente AVG)
Funciona en segundo plano y brinda protección continua al analizar archivos de
sistema y ayuda a detectar, eliminar y prevenir la propagación de virus, gusanos y
troyanos.
● AVG Anti-Spyware
Ayuda a proteger su identidad del spyware que rastrean la información personal,
también protege las contraseñas y los números de tarjetas de crédito.
70
● AVG Anti-Rootkit
Ayuda a detectar y eliminar software de rootkits peligrosos que esconden otro
software malicioso que busca tomar el control del equipo.
Detección avanzada:
● Detección de irrupciones en tiempo real
Tecnología de detección de irrupciones basada en la nube para ayudar a identificar
incluso las variantes de malware más recientes y las irrupciones en tiempo real.
● Detección de IA
Inteligencia artificial avanzada en la PC, diseñada para identificar proactivamente las
muestras de malware que aún no fueron catalogadas por el equipo de AVG Threat
Labs. La Detección con Inteligencia Artificial se entrena constantemente a través de
los datos de telemetría de los usuarios.
Seguridad de Servidor de Correos Electrónicos:
● Protección para servidores de correos electrónicos AVG
Ayuda a mantener el servidor de correo electrónico de Windows sin basura y seguro
frente al malware y los virus, reduciendo así el tiempo de inactividad y las
distracciones del usuario y el equipo.
● AVG Anti-Spam
Ayuda a evitar que los spammers y estafadores lleguen a los datos personales o
empresariales, al analizar y verificar los correos electrónicos en busca de códigos
sospechosos.
● Analizador de correos electrónicos AVG
Ayuda a detectar los archivos adjuntos infectados del correo entrante antes de que
puedan dañar o ralentizar los equipos.
71
También funciona como complemento para las aplicaciones de correo electrónico,
como Microsoft Outlook, o como un analizador para las cuentas de correo electrónico
POP3, SMTP e IMAP.
3.6.2. Sistema de detección de intrusos (IDS)
El sistema de protección perimetral integrará un módulo de detección y prevención
contra intrusos, este módulo protegerá de posibles intentos de acceso no autorizado
desde Internet y también está activo en la red inalámbrica para proteger el acceso de
los servicios y aplicaciones en las dimensiones de Confidencialidad, Integridad,
Autenticidad y Disponibilidad, para esto se utilizara Dragón - Enterasys Networks.
El IDS de Enterasys Networks, Dragón, toma información sobre actividades
sospechosas de un sensor denominado Dragón Sensor y de un módulo llamado
Dragón Squire que se encarga de monitorizar los logs de los firewalls y otros sistemas.
Esta información es enviada a un producto denominado Dragón Server para
posteriores análisis y correlaciones. Cada componente tiene ventajas que compensan
con debilidades de otro, por ejemplo, el sensor Dragón Sensor es incapaz de
interpretar tráfico codificado de una sesión web SSL, pero el producto Dragón Squire
es capaz de reconocer los logs del servidor web y pasarlos a la máquina de análisis.
Veamos un poco más en detalle cada uno de estos componentes
El sensor de Dragón monitoriza una red en busca de evidencias de actividades
hostiles. Cuando éstas ocurren, envía informes junto con un registro de análisis
forense al servidor Dragón, el cual lo analiza y lo almacena durante largo tiempo.
Características del sensor:
● Detección de actividades sospechosas tanto mediante firmas como mediante
técnicas basadas en anomalías.
● Decodificación robusta a nivel de aplicación: el sensor tiene un conocimiento
avanzado de los protocolos a nivel de aplicación, evitando muchos falsos que
los atacantes utilizan para burlar los IDS
● Incorporación de filtros para disminuir los falsos positivos.
● Monitorización de redes de alta velocidad (100 Mb/s)
72
3.6.3. Lector De Huellas Ep 300 Control De Asistencia Anviz Colombia
Figura 8. Lector de Huellas.
Fuente: anvizcolombia.com.co
Los cuartos de comunicaciones y servidores se resguardarán mediante el empleo del
lector de huellas Ep 300, para establecer un control de acceso físico, a fin de permitir
el ingreso sólo al personal autorizado.
EP300 es un dispositivo de control equipado con un rápido algoritmo de lectura de
huella, el sensor de lectura de huella es a prueba de rayones, de agua y de polvo,
convirtiéndose en una excelente solución para el control de asistencia.
Su diseño lo hace amigable y fácil de usar para empleados y administradores. En el
momento que requiera los datos de entrada y salida de los empleados puede
obtenerlos a través del USB (no requiere driver) o mediante la salida TCP/IP. Además,
la carcasa del EP300 ha sido hecha con material reciclado de carbón y no tiene pintura
en su superficie.
Especificaciones:
● Diseño agradable
● Procesador de alta velocidad de 32 bits Texas Instruments con bajo consumo
de energía
● Algoritmo del núcleo biométrico BioNANO V10 de alta velocidad y estabilidad
● Transferencia de datos en tiempo real y rastreo desde la Web
● Sensor completamente sellado, a prueba de agua y polvo AFOS300
● Indicador de voz claro para todas las operaciones
● Conexión mediante USB "Plug & Play". No requiere drivers
● Se carga mediante USB o DC 5V
73
● Métodos de autenticación de empleado: ID + clave, ID + huella, huella
únicamente
● Rápida lectura de huella en menos de 0.5 segundos
● 16 estados de asistencia personalizados
3.6.4. Extintores portátiles
Figura 9. Extintor.
Fuente: seguridadportalweb.com
En la organización de un plan de protección contra incendios en un centro de trabajo
merece especial importancia la elección de los elementos materiales más adecuados
y eficaces. Si se tiene en cuenta que el extintor es el primer elemento que se usa en
los primeros minutos de iniciación de un fuego se puede afirmar que de él depende
que la propagación del fuego se aborte o no.
Elegir un buen extintor significa conocer qué agente extintor es el más adecuado y
que tipo y eficacia de extintor conviene. Además la efectividad de su uso depende de
que se efectúe la actuación según lo recomendado por las entidades de reconocido
prestigio en la lucha contra incendios y de que su mantenimiento y ubicación sea el
correcto según la reglamentación o normativa correspondiente.
Por eso Segmatic posee una gama de soluciones para cada cliente y ambiente. Lo
cual contamos con Agentes extintores como son:
1. Polvo Químico
2. Hidrocarburos Halogenados
3. Agua a Chorro
4. Espuma Física
74
3.6.5. Firewall - Sonic WALL NSA 3600.
Figura 10. Firewall.
Fuente: www.sonicwall.com
● Seguridad y control centralizados
El firewall de próxima generación (NGFW) Sonic WALL ™ Network Security Appliance
(NSA) 3600 consolida la prevención de intrusiones, el antivirus y antispyware para la
puerta de enlace, la protección contra malware basada en la red y la inteligencia y el
control de aplicaciones. Además, puede agregar la administración del ancho de
banda, el bloqueo de aplicaciones y capacidades de conectividad y seguridad, como
VPN SSL, VPN IPSec, filtrado de contenido, antivirus y anti spam.
● Protección contra amenazas emergentes
Proteger a la empresa durante todo el día con las capacidades sofisticadas de
seguridad del firewall NSA 3600. El motor RFDPI™ inspecciona cada byte de cada
paquete y analiza todo el tráfico de la red, independientemente del puerto o el
protocolo. La inspección y el descifrado SSL en tiempo real le permite visualizar y
controlar el tráfico de las aplicaciones a medida que cruzan la red, y el firewall NSA
3600 tiene acceso a una base de datos actualizada en la nube que cuenta con más
de 12,6 millones de variantes de malware para proteger a la empresa de amenazas
emergentes.
● Seguridad simplificada y costos más bajos
Reduce el costo total de propiedad (TCO) con fácil implementación, configuración y
mantenimiento. El diseño intuitivo y la eficiencia superior en energía del firewall NSA
3600 facilitan el logro de la seguridad profunda.
75
3.6.6. Destructora de documentos, Ref. SC170 – GBC
Figura 11. Destructora de documentos.
Fuente: www.megaoffice.com
Tipo de corte recto (5.8 mm), capacidad de corte de 12 hojas por pasada, nivel de
seguridad 2, diseño ergonómico que facilita la entrada de las hojas, destruye grapas,
clips y tarjetas de crédito, incluye botón de modo reversa para eliminar atascos,
ventana indicadora en el cesto para notar cuando esté llena, capacidad del cesto de
22 litros (180 hojas), tiempo de trabajo 4 minutos, auto apagado después de
permanecer sin utilizarse, operación silenciosa. Uso personal.
3.6.7. Sistema de Administración de Contraseñas
El sistema de administración de contraseñas sugerirá el uso de contraseñas
individuales para determinar responsabilidades, permitir que los usuarios seleccionen
y cambien sus propias contraseñas e incluir un procedimiento de confirmación para
contemplar los errores de ingreso, obligar a los usuarios a cambiar las contraseñas
provisorias en su primer procedimiento de identificación, en los casos en que ellos
seleccionen sus contraseñas, evitar mostrar las contraseñas en pantalla, cuando son
ingresadas, almacenar en forma separada los archivos de contraseñas y los datos de
sistemas de aplicación, almacenar las contraseñas utilizando un algoritmo de cifrado.
3.6.8. Control de Acceso a las Aplicaciones
Restricción del Acceso a la Información: Los usuarios de los sistemas de aplicación,
tendrán acceso a la información y a las funciones de los sistemas de aplicación de
conformidad con la política de control de acceso definida, sobre la base de los
requerimientos de cada aplicación, y conforme a los permisos otorgados de acuerdo
al perfil solicitado por cada coordinador de área, administradores o responsables de
los Sistemas de Información.
76
Validación de Datos de Entrada: Se validará durante la etapa de diseño los controles
que aseguren la validez de los datos ingresados, tan cerca del punto de origen como
sea posible, controlando también datos permanentes y tablas de parámetros.
3.7. Definición de políticas de seguridad
Las políticas de seguridad que se plantean a continuación para la empresa Agility, se
basan en el análisis de riesgos, las cuales representan directrices generales de alto
nivel que deben ser adoptadas por todos los participantes en las líneas de negocio.
3.7.1 Política de Asignación de recursos y uso de los mismos
➢ Área Encargada: Infraestructura
➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,
Gerente General y Usuarios.
➢ Descripción:
1. La persona encargada del área de infraestructura (Gerente de infraestructura)
asigna a cada empleado un equipo de cómputo en el cual debe ser asignado
un usuario y clave para su uso pertinente.
2. Los usuarios deben hacer uso adecuado de los recursos informáticos
(Computadoras, impresoras, programas, correo, etc.) y el área de
infraestructura debe realizar un monitoreo para el cumplimiento de la misma.
Además, todo el personal (Usuarios) deberá informar al área de infraestructura
sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su
adecuado seguimiento.
3. Cada usuario tendrá una cuenta de correo electrónico empresarial, que les
permitirá recibir y enviar información indispensable para sus actividades
laborales. Estas cuentas de correo son de uso exclusivo de la empresa.
4. El uso de internet queda reservado solo para las actividades laborales que se
requieran. por lo cual cada vez que el usuario ingrese a internet deberá estar
logueado con un usuario y clave que se defina por el área de infraestructura.
77
3.7.2. Política de Seguridad en la Información
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,
Gerente General y Usuarios.
➢ Descripción:
1. Diariamente se realizan backups automáticos a la base de datos y el tiempo
establecido para hacer estos procesos se realizan después de la jornada
laboral diaria.
2. Los equipos de cómputo tendrán salvapantallas, protegido por clave personal
y con un tiempo de espera de 2 minutos para evitar los accesos no
autorizados.
3. Los usuarios no pueden dejar sus claves de acceso en lugares visibles.
4. El área de infraestructura designará periódicamente nuevas claves (Cada 6
meses) para el acceso a su entorno de trabajo.
5. Todos los equipos deben estar restringidos al uso de dispositivos externos
(Memorias USB, Medios magnéticos (CD’S, DVD’S), etc.), en caso de ser
necesario su usabilidad se deberá informar al área de infraestructura.
3.7.3. Política de Mantenimiento e infraestructura
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,
Gerente General y Usuarios.
➢ Descripción:
1. Una vez al año se realizará una revisión en la red para detectar desperfectos
y dar así mantenimiento a la organización.
2. Periódicamente, por espacio de 4 meses, se realizará una limpieza física a
toda la infraestructura de equipo de cómputo por parte del personal de
infraestructura.
78
3. Toda actividad elaborada por el equipo de infraestructura deberá de estar
debidamente documentada para darle seguimiento y que sirva como evidencia
en los procesos de auditoría interna.
4. El servidor y la máquina principal del área administrativa deberán conectarse
a un equipo no-break para evitar la pérdida de información en los equipos por
variaciones o fallas de energías.
3.7.4. Política de la instalación de equipo de cómputo.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura, Gerente General y Usuarios.
➢ Descripción:
1. Todo el equipo de cómputo (computadoras, estaciones de trabajo,
supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red
Agility Net, o aquel que en forma autónoma se tenga y que sea propiedad de
la compañía debe de sujetarse a las normas y procedimientos de instalación
que emite el departamento de sistemas y/o redes.
2. El departamento de infraestructura deberá tener un registro de todos los
equipos propiedad de Agility S.A.S.
3. El equipo de la compañía que sea de propósito específico y tenga una misión
crítica asignada, requiere estar ubicado en un área que cumpla con los
requerimientos de: seguridad física, las condiciones ambientales, la
alimentación eléctrica, su acceso que el departamento de infraestructura de la
empresa Agility tiene establecido en su normatividad de este tipo.
4. Los responsables de las áreas de apoyo interno de los departamentos deberán
en conjunción con el departamento de infraestructura dar cabal cumplimiento
con las normas de instalación, y notificaciones correspondientes de
actualización, reubicación, reasignación, y todo aquello que implique
movimientos en su ubicación, de adjudicación, sistema y misión.
5. La protección física de los equipos corresponde a quienes en un principio se le
asigna, y corresponde notificar los movimientos en caso de que existan, a las
autoridades correspondientes (área de infraestructura).
79
3.7.5. Política de mantenimiento de equipo de cómputo
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura.
➢ Descripción:
1. Al departamento de infraestructura corresponde la realización del
mantenimiento preventivo y correctivo de los equipos, la conservación de su
instalación, la verificación de la seguridad física, y su acondicionamiento
específico.
2. En el caso de los equipos atendidos por terceros, el departamento de
infraestructura deberá informar al respecto de ello.
3. El personal técnico de apoyo interno de los departamentos se regirá los
requerimientos establecidos en las normas y procedimientos que el
departamento de infraestructura emita.
4. Los responsables de las áreas de Cómputo de un departamento pueden
otorgar mantenimiento preventivo y correctivo, a partir del momento en que
sean autorizados por el departamento de infraestructura.
5. Corresponde al departamento de infraestructura dar a conocer las listas de las
personas, que puedan tener acceso a los equipos y brindar los servicios de
mantenimiento básico, a excepción de los atendidos por terceros.
3.7.6. Política de la reubicación del equipo de cómputo.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura y usuarios.
➢ Descripción:
1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y
procedimientos que el departamento de infraestructura emita para ello.
2. En caso de existir personal técnico de apoyo de los departamentos, éste
notificará de los cambios tanto físicos como de software de red que realice al
departamento de infraestructura, y en su caso si cambia de responsable (el
80
equipo). Notificando también los cambios de equipo inventariado (cambio de
monitores, de impresoras etc.).
3. El equipo de cómputo a reubicar sea propiedad de Agility o bien externo se
hará únicamente bajo la autorización del responsable contando el lugar a
donde se hará la ubicación con los medios necesarios para la instalación del
equipo.
3.7.7. Política de acceso a áreas críticas.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura.
➢ Descripción:
1. El acceso de personal se llevará a cabo de acuerdo a las normas y
procedimientos que dicta el departamento infraestructura.
2. En concordancia con la política de la compañía y debido a la naturaleza de
estas áreas se llevará un registro permanente del tráfico de personal, sin
excepción.
3. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el
acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las
autoridades superiores de la compañía.
3.7.8. Política de acceso al equipo de cómputo
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura.
➢ Descripción:
1. Todos y cada uno de los equipos son asignados a un responsable, por lo que
es de su competencia hacer buen uso de los mismos.
2. Las áreas donde se tiene equipo de propósito general cuya misión es crítica
estarán sujetas a los requerimientos que el departamento de infraestructura
emita.
81
3. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo
propósito reúna características de imprescindible y de misión crítica, deberán
sujetarse también a las normas que establezca el área de infraestructura.
4. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la
red, el área de infraestructura tiene la facultad de acceder a cualquier equipo
de cómputo que no estén bajo su supervisión.
3.7.9. Política de control de acceso local a la red.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura.
➢ Descripción:
1. El área de infraestructura es responsable de proporcionar a los usuarios el
acceso a los recursos informáticos.
2. El área de infraestructura es el responsable de difundir el reglamento para el
uso de la red y de procurar su cumplimiento.
3. Dado el carácter unipersonal del acceso a la red local Agility Net, el área de
infraestructura verificará el uso responsable, de acuerdo al Reglamento para
el uso de la red.
4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores,
bases de datos, equipo de súper cómputo centralizado y distribuido, etc.)
conectado a la red es administrado por el área de infraestructura.
5. Todo el equipo de cómputo que esté o sea conectado a la red local Agility Net,
o aquellas que en forma autónoma se tengan y que sean propiedad de la
compañía, debe de sujetarse a los procedimientos de acceso que emite el área
de infraestructura.
3.7.10. Política de la adquisición de software.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura y Gerente General.
82
➢ Descripción:
1. En concordancia con la política de la institución, el área de infraestructura es
el organismo oficial de la compañía para establecer los mecanismos de
procuración de sistemas informáticos.
2. Corresponderá al área de infraestructura emitir las normas para el tipo de
licenciamiento, cobertura, transferibilidad, certificación y vigencia.
3. De acuerdo a los objetivos globales del área de infraestructura se deberá
propiciar la adquisición y asesoramiento en cuanto a software de vanguardia.
4. El área de infraestructura promoverá y propiciará que la adquisición de
software de dominio público provenga de sitios oficiales y seguros.
5. El área de infraestructura deberá promover el uso de sistemas programáticos
que redunden en la independencia de la institución con los proveedores.
3.7.11. Política de la instalación de software.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura, usuarios.
➢ Descripción:
1. Corresponde al área de infraestructura emitir las normas y procedimientos para
la instalación y supervisión del software básico para cualquier tipo de equipo.
2. En los equipos de cómputo únicamente se permitirá la instalación de software
con licenciamiento apropiado y de acorde a la propiedad intelectual.
3. El área de infraestructura es el responsable de brindar asesoría y supervisión
para la instalación de software informático.
4. La instalación de software que desde el punto de vista del área de
infraestructura pudiera poner en riesgo los recursos de la institución no está
permitida.
5. Con el propósito de proteger la integridad de los sistemas informáticos y de
telecomunicaciones, es imprescindible que todos y cada uno de los equipos
83
involucrados dispongan de software de seguridad (antivirus, vacunas,
privilegios de acceso, y otros que se apliquen).
6. La protección lógica de los sistemas corresponde a quienes en un principio se
les asigna y les compete notificar cualquier movimiento al área de
infraestructura.
3.7.12. Política de la auditoría de software instalado.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura y Gerente general.
➢ Descripción:
1. El área de infraestructura es el responsable de realizar revisiones periódicas
para asegurar que sólo programación con licencia esté instalada en las
computadoras de la institución.
2. El área de infraestructura propiciará la conformación de un grupo especializado
en auditoría de sistemas de cómputo y sistemas de información.
3. Corresponderá al grupo especializado dictar las normas, procedimientos y
calendarios de auditoría.
3.7.13. Política para el software propiedad de la compañía.
➢ Área Encargada: Infraestructura.
➢ Personas Involucradas: Jefe de infraestructura y Gerente general.
➢ Descripción:
1. Toda la programática adquirida por la compañía es propiedad de ella misma y
mantendrá los derechos que la ley de propiedad intelectual le confiera.
2. El área de infraestructura deberá tener un registro de todos los paquetes de
programación y/o programas propiedad de Agility S.A.S.
3. Todos los sistemas programáticos (programas, bases de datos, sistemas
operativos, interfaces) desarrollados con o a través de los recursos de Agility
se mantendrán como propiedad de la compañía respetando la propiedad
intelectual del mismo.
84
4. Es obligación de todos los usuarios que manejen información masiva,
mantener el respaldo correspondiente de la misma ya que se considera como
un activo de la compañía que debe preservarse.
5. Los datos, las bases de datos, la información generada por el personal y los
recursos informáticos de la compañía deben estar resguardados.
6. Corresponderá al área de infraestructura promover y difundir los mecanismos
de respaldo y salvaguarda de los datos y de los sistemas programáticos.
7. El área de infraestructura propiciará la gestión de patentes y derechos de
creación de software propiedad de la institución.
8. El área de infraestructura administra los diferentes tipos de licencias de
software y vigilará su vigencia en concordancia con la política informática.
3.8. Planes de Mejoramiento.
Prevención:
● La empresa Agility debe buscar ser preventiva antes que reactiva, por esta
razón debe realizar procesos de verificación para la manipulación de bases de
datos, y la realización de pruebas por parte del equipo a cargo.
● Las instalaciones debe contar con sensores de humo, movimiento y cámaras
de vigilancia, que permitan determinar posibles causantes de problemas en la
planta física fácilmente.
● Realizar áreas de mantenimiento preventivo al equipamiento, de acuerdo con
los intervalos de servicio y especificaciones recomendados por el comité de
sistemas.
● Realizar el montaje de un sistema de copias de seguridad automatizado
basado en un NAS (Network Attached Storage) para la información que se
catalogue y organice de acuerdo a la criticidad y que será definida por el
administrador de bases de datos, iniciando con pruebas para las copias de
seguridad de servidores y bases de datos, luego para el resto de información
que administre cada funcionario.
● Realizar actualizaciones al software y hardware de servidores y equipos de red
para evitar colapsos de infraestructura.
85
Disuasión:
● Realizar listados de sitios y direcciones ip que representan potenciales
amenazas a la seguridad de los equipos locales, se restringe el acceso y se
guarda en logs para su estudio de forma automática.
Recuperación:
● La recuperación de la información en caso de desastre no está implementada
para equipos terminal lo cual supone un riesgo de seguridad por la pérdida de
información, por lo tanto se debe contar con la herramienta Apache Subversion
(SVN) y repositorios de respaldo que no permitan la pérdida.
Monitorización:
● Realizar monitoreo constante de flujo de información y acceso a internet de
forma automática, para determinar qué usuario accedió a que sitio web en
determinada fecha y a determinada hora.
Detección:
● Una vez se realiza la detección de una posible infección o comportamiento
anormal por parte de un equipo terminal, aislar el equipo de forma automática
denegando el acceso a internet y a recursos locales hasta su verificación de
forma manual.
Concienciación:
● Concientizar a los usuarios de abstenerse de intentar acceder a sitios web no
autorizados.
3.9. Procedimientos Según el Sistema de Gestión
3.9.1. Procedimiento para verificar que las políticas y controles de seguridad
de la información están siendo aplicados
❖ Objetivo:
Verificar que las políticas y controles de seguridad de información instalados
en la empresa estén siendo aplicados y mediante los mismos se mantenga el
desenvolvimiento de AGILITY S.A.S.
86
❖ Alcance:
La empresa AGILITY S.A.S. debe a los empleados, contratistas y usuarios de
terceras partes aplicar la seguridad en concordancia con las políticas y los
controles establecidos de la organización. La aplicación y cumplimiento de éste
procedimiento es responsabilidad del departamento de Recursos Humanos.
❖ Descripción del Procedimiento
➢ Necesidades de Verificación de Aplicabilidad de Seguridades: Las
razones por la cuales se podría considerar que se necesite de realizar
verificación de la aplicabilidad de las políticas y controles de seguridad
son:
■ Infringir alguna de las políticas de seguridad que cree dificultades
graves dentro de la organización.
■ Seguimiento de la aplicabilidad de las seguridades.
■ Cumplir el seguimiento a la aplicabilidad de las políticas y
procedimientos de seguridad.
■ Sugerencias de los empleados.
Cualquier requerimiento para verificación de aplicabilidad del personal puede
ser canalizado por escrito.
❖ Plan de Verificación de Aplicabilidad de Seguridades:
➢ Al inicio de cada año elabora el “Plan de Verificación de Aplicabilidad de
Seguridades” en la planilla correspondiente al plan a elaborar, el cual
debe ser aprobado.
➢ En caso de que se hubieran detectado Necesidades de Verificaciones
de Aplicabilidad por cualquiera de los puntos indicados, estas deben ser
consideradas por “Actualización del Plan de Verificación de
Aplicabilidad de Seguridades”.
➢ El Plan de Verificación de Aplicabilidad prevé aplicar el formulario de
verificación de aplicabilidad de las políticas de seguridad que incluye
serie de preguntas acerca de las seguridades implementadas en la
empresa y como es aplicada por el cuestionado.
87
➢ Serán informados sobre la ejecución del Plan de Verificación de
Aplicabilidad mediante un boletín de información publicado en la
cartelera de AGILITY S.A.S.
➢ No se permitirán faltas ni atraso durante la ejecución del Plan de
Verificación, sin importancia de índoles. Cualquier empleado que no
cumpla con lo estipulado, será considerado para sanción, según
procedimientos disciplinarios.
❖ Actualización del Plan de Verificación de Aplicabilidad de Seguridades:
Si se presentan actividades que se consideren como necesidades de verificación de
aplicabilidad adicionales a las previstas en el Plan de Verificación de Aplicabilidad,
estas se ingresarán mediante solicitud escrita. Dicha verificación de aplicabilidad
deberá ser aprobada por la AGILITY S.A.S.
3.9.2. Procedimiento para capacitar sobre las políticas y controles de seguridad
de la información y sus actualizaciones.
❖ Objetivo:
Comunicar las políticas y procedimientos de seguridad de información
instalados en la empresa, a través de capacitaciones pertinentes para ser
aplicadas en el desarrollo de las actividades diarias.
❖ Alcance:
La Dirección debería capacitar a empleados, contratistas y usuarios de
terceras partes acerca de la seguridad en concordancia con las políticas y los
controles establecidos de la organización. La aplicación y cumplimiento de éste
procedimiento es responsabilidad del departamento de Recursos Humanos.
❖ Descripción del Procedimiento.
Las razones por la cuales se podría considerar que se necesite de capacitación
son:
➢ Infringir alguna de las políticas de seguridad por desconocimiento de la
misma.
88
➢ Desarrollar conciencia con respecto a la seguridad de la información.
➢ Calificación del personal que indique necesidad de capacitación.
➢ Se considera que los empleados desconocen sobre las políticas y los
procedimientos de seguridad.
➢ Sugerencias de los empleados.
Cualquier requerimiento para capacitación del personal debe ser canalizado
por escrito.
❖ Plan de Capacitación: Seguridad de la Información
➢ Al inicio de cada año elabora el “Plan de Capacitación: Seguridad de
Información” en la planilla correspondiente al plan a elaborar, el cual
debe ser aprobado.
➢ En caso de que se hubieran detectado Necesidades de Capacitación
por cualquiera de los puntos indicados, estas deben ser consideradas
para “Actualización del Plan de Capacitación: Seguridad de la
Información”.
➢ El Plan de Capacitación incluye la información referente a: tema,
participantes, horas, y fechas aproximadas.
➢ Serán informados del inicio de una capacitación con un tiempo prudente,
mediante carta de convocatoria.
➢ No se permitirán faltas ni atraso para ninguna capacitación, sin
importancia de índoles, siempre y cuando el empleado haya sido
convocado.
❖ Actualización del Plan de Capacitación: Seguridad de la Información.
Si se presentan actividades de capacitación adicionales a las previstas en el
Plan de Capacitación, estas se ingresarán mediante solicitud escrita. Dicha
capacitación deberá ser aprobada por la Gerencia. Esto se aplica
principalmente cuando se requiere de capacitaciones externas.
89
3.9.3. Procedimiento para aplicar sanciones por infracción sobre alguna política
de seguridad de la empresa.
❖ Objetivo:
Aplicar sanciones por infracción o violación de alguna política de seguridad que
rige en la empresa, por parte del personal que ha sido capacitado, a través, de
distintos procedimientos disciplinarios.
❖ Alcance:
Debería existir un proceso formal disciplinario para empleados que produzcan
brechas en la seguridad.
❖ Descripción del Procedimiento
➢ Tipos de Infracciones o Violaciones a las Políticas de Seguridad:
Algunos tipos de infracción o violaciones a las políticas de seguridad por
la cuales se podría considerar aplicar procedimiento disciplinario son:
■ Alteración, destrucción, divulgación y cambio de ubicación de
información.
■ (Dentro y fuera de la compañía).
■ Uso inapropiado de los diferentes recursos (Acceso no
autorizado).
■ Usurpación de identidad.
■ Manipulación de credenciales de acceso (Ingreso del trabajo).
■ Manipulación de la configuración de los aplicativos de las
estaciones de trabajo.
■ Errores de administración aplicados a los aplicativos.
■ Abuso de privilegios de acceso.
■ Desconocimiento de sus funciones y responsabilidades dentro de
la empresa.
■ Extorsión.
❖ Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de
Políticas de Seguridad
Todas las infracciones se verán afectadas por el siguiente flujo:
90
➢ Cualquier violación a las políticas y normas de seguridad deberá ser
sancionada de acuerdo al reglamento emitido por el área de
infraestructura.
➢ Las sanciones pueden ser desde una llamada de atención o informar al
usuario hasta la suspensión del servicio dependiendo de la gravedad de
la falta y de la malicia o perversidad que ésta manifiesta.
➢ Corresponderá al área de infraestructura, hacer las propuestas finales
sobre las sanciones a quienes violen las disposiciones en materia de
informática de la compañía.
➢ Todas las acciones en las que se comprometa la seguridad de la red
Agility Net y que no estén previstas en las políticas, deberán ser
revisadas por la Dirección General para dictar una resolución
sujetándose al estado de derecho.
➢ Cada política de seguridad deberá seguir un proceso de actualización
periódica sujeto a los cambios organizacionales relevantes: crecimiento
de la planta de personal, cambio en la infraestructura computacional,
desarrollo de nuevos servicios, entre otros.
❖ Actualización de los Procedimientos Disciplinarios:
Si se presentan infracciones o violaciones a políticas de seguridad que se
consideran relevantes y que se realicen por primera vez, se debe adjuntar a
los Tipos de Infracciones y Violaciones de Políticas de Seguridad.
4. Modulo Web
Para visualizar el funcionamiento del módulo web desarrollado, dirigirse al anexo del
manual de usuario, el cual se encuentra en el CD adjunto al documento.
91
5. CONCLUSIONES
Identificando los riesgos, amenazas y vulnerabilidades de la empresa
Agility mediante la aplicación de instrumentos de recolección de
información (entrevistas, encuestas y lista de verificación de buenas
prácticas), se evidencio el desconocimiento de metodologías y procesos
para gestionar la seguridad de la información por parte del personal, y
el grado de desprotección en que se encontraban los activos en la
organización.
Se identificó cada uno de los activos informáticos que tiene la empresa
Agility, determinando su valoración con respecto a cada uno de los
pilares de la seguridad de la información como lo son Disponibilidad,
Integridad y Confidencialidad, permitiendo de esta forma conocer los
activos que son de vital importancia dentro del Core del negocio y el
impacto que puede causar en la empresa su daño o perdida.
Con los resultados obtenidos durante la etapa de identificación, se logró
definir los controles y políticas que mitiguen el riesgo en la empresa
Agility, implementando el desarrollo de acciones preventivas y
correctivas en cada uno de las áreas seleccionadas para garantizar en
un porcentaje alto un óptimo funcionamiento de la organización con
respecto a la seguridad de la información.
Se realizó una aplicación web, la cual se centra en el inventario y control
de los activos informáticos de la empresa, teniendo en cuenta el diseño
del SGSI se determinó que es adecuada como una versión inicial, pero
es a criterio del usuario si requiere realizar versiones posteriores que se
centren en necesidades más concretas.
El diseño del Sistema de Gestión de la Seguridad de la Información en
la empresa Agility proporcionara herramientas para cada uno de los
activos, recursos humanos y aquellas áreas que por sus actividades
requieren de la utilización e implementación de las tecnologías de la
información (TI) para desarrollar la gestión de cada uno de sus
procesos, utilizando controles y estándares que permitan proporcionar
herramientas que mitiguen el riesgo y dar un mayor grado de
confiabilidad a la dirección, clientes y proveedores.
92
6. RECOMENDACIONES
Complementar la versión inicial del módulo web, adicionando el uso de imágenes para visualizar los activos y así tener una descripción más detallada para el usuario, el formato de las imágenes podría ser JPG previamente optimizado para no afectar el rendimiento de la aplicación.
Perfeccionar el funcionamiento del módulo web con la generación de informes y tener la posibilidad de exportar los mismos.
Implementar el modelo de referencia COSO, que permita extender la gestión de los riesgos a un sistema de control interno que abarque a la organización desde su planteamiento estratégico hasta procesos de autoevaluación, con el fin de minimizar el nivel de riesgo.
Se recomienda a la Universidad apoyar este tipo de proyecto como opción de grado ya que permite reforzar los conocimientos adquiridos durante la carrera y desarrollar las competencias académicas y profesionales, generando la posibilidad de construir un conocimiento colectivo con futuros trabajos.
93
BIBLIOGRAFIA
[1]. Buenaño & Granada (2013). Planeación y diseño de un sistema de gestión de seguridad de la información [en línea] [Consultado el 01/08/2016]. Disponible en Internet: http://www.dpace.epol.edu.ec/bitstream/123456789/6962/8/Tesis%20de%20
[2]. Pincay, F. (2005). Implementación del Primer Sistema de Gestión de Seguridad de la Información, en el Ecuador, Certificado bajo la Norma.
[3]. Gestión de calidad por procesos [en línea]. Cali, Universidad Libre. [Consultado el 09/07/2016]. Disponible en Internet: http://www.unilibre.edu.co/Ingenieria/ingIndustrial/GuiasIngIndustrial/LABORATORIOS/VIII%20SEMESTRE/GESTI%C3%93N%20DE%20CALIDAD/GESTI%C3%93N%20DE%20CALIDAD-LABGU%C3%8DA.pdf [4]. Magerit-versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I-Método, [en línea] [Consultado el 04/08/2016]. Disponible en Internet: https://www.ccn-cert.cni.es/publico/heramienta/pilar5/magerit, Pág. 5
[5]. Calidad y seguridad de la información y auditoría informática, [en línea]
[Consultado el 14/06/2016]. Disponible en internet
en: http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jse
ssionid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1
[6]. Jihong Song, Guiying Hu Y Quansheng Xu.(2009). Operating System Security
and Host Vulnerability Evaluation [Version electronica]. Management and Service
Science, 2009. MASS '09. International Conference on, IEEE.
[7]. La auditoría interna como una herramienta para establecer controles internos
eficientes en las pequeñas y medianas empresas ferreteras de la Ciudad de San
Miguel, [en línea] [Consultado el 17/07/2016]. Disponible en internet
en:http://168.243.33.153/infolib/tesis/50107386.pdf
[8]. Hallberg, J.; Hunstad, A.; Peterson, M. (2005). A framework for system security
assessment [Version electronica]. Information Assurance Workshop, 2005. IAW '05.
Proceedings from the Sixth Annual IEEE SMC.
94
[9]. De la seguridad informática a la seguridad de la información, María Jesús Recio,
[en línea] [Consultado el 14/08/2016]. Disponible en internet en:
http://www.aec.es/c/document_library/get_file?uuid=e25028ca-cb3b-4ffd-ada0-
4ce2efa86f80&groupId=10128
[10]. Anwar, M.M.; ICCC, Islamabad ; Zafar, M.F.; Ahmed, Z. (2007). A Proposed
Preventive Information Security System [Version electronica]. Electrical Engineering,
2007. ICEE '07. International Conference on
[11]. ISO 27001, [en línea] [Consultado el 14/06/2016]. Disponible en internet
en:http://www.iso27000.es/sgsi.html
[12]. Shames, I.; Dept. of Electr. & Electron. Eng., Univ. of Melbourne, Melbourne, VIC,
Australia; Teixeira, A.M.H.; Sandberg, H. ; Johansson, K.H..(2012).Fault Detection
and Mitigation in Kirchhoff Networks [Version electronica]. Signal Processing Letters,
IEEE (Volumen: 19, Issue: 11).
[13]. Metodología que Integra Seguridad en ITIL Evolucionada y Orientada a la
Normalización, [en línea] [Consultado el 12/07/2016]. Disponible en internet
en:http://e-spacio.uned.es:8080/fedora/get/tesisuned:IngInf-Eruiz/Documento.pdf
Recommended