DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA ...repository.udistrital.edu.co/bitstream/11349/7343/1/PotesPlazasOsc… · los sistemas de información están expuestos a amenazas

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN ORIENTADO A ORGANIZACIONES QUE PRESTAN

SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN (IT)

OSCAR GIOVANY POTES PLAZAS

EDWIN EDISON SICHACA GUZMAN

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDASFACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICABOGOTÁ D.C.

2016

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN ORIENTADO A ORGANIZACIONES QUE PRESTAN


OSCAR GIOVANY POTES PLAZAS(20141678017)

[email protected]

EDWIN EDISON SICHACA GUZMAN(20141678039)

[email protected]

PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR EL TÍTULO DEINGENIERO EN TELEMÁTICA

TutorMIGUEL ANGEL LEGUIZAMON PAEZ

INGENIERO DE SISTEMAS

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDASFACULTAD TECNOLÓGICA

INGENIERIA EN TELEMATICABOGOTÁ D.C.

2016

Nota de aceptación

__________________

__________________

__________________

__________________Presidente del Jurado

__________________Jurado

Bogotá D.C. Febrero de 2016

AGRADECIMIENTOS

El más sincero agradecimiento a las personas que de alguna u otra formaayudaron a el desarrollo de este proyecto de grado de Ingeniería en Telemática.

Especial agradecimiento a:

● Al Ingeniero Miguel Ángel Leguizamón Páez, tutor de proyecto de gradotipo monografía, quien fue el que nos ayudó y nos aportó en elmejoramiento del proyecto de una forma eficaz y confiable.

● Al ingeniero Darín Jairo Mosquera Palacios, jurado de proyecto de grado,quien nos guió por las pautas y conocimientos apropiados para laculminación del proyecto.

● A la Universidad Distrital Francisco José de Caldas, quien fue la que nosarmo como personas profesionales y con buenos valores para desarrollarnuestras metas y propósitos futuros.

● A todas las personas y amigos que de una u otra forma nos ayudaron ynos incentivaron en la realización de este proyecto, el cual servirá comoguía para futuras generaciones.

TABLA DE CONTENIDO

RESUMEN .................................................................................................................... 12

ABSTRACT.................................................................................................................... 13

INTRODUCCIÓN ........................................................................................................... 14

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ........................................... 15

1.1. TÍTULO DEL TRABAJO ..............................................................................................15

1.2. PLANTEAMIENTO DEL PROYECTO ............................................................................151.2.1. DESCRIPCIÓN.............................................................................................................................151.2.2. FORMULACIÓN ..........................................................................................................................15

1.3. ALCANCES Y LIMITACIONES .....................................................................................161.3.1. ALCANCES ..................................................................................................................................161.3.2. DELIMITACIONES .......................................................................................................................16

1.4. OBJETIVOS ..............................................................................................................181.4.1. OBJETIVO GENERAL ...................................................................................................................181.4.2. OBJETIVOS ESPECÍFICOS ............................................................................................................18

1.5. JUSTIFICACIÓN ........................................................................................................19

1.6. SOLUCIÓN TECNOLÓGICA ........................................................................................19

1.7. MARCO DE REFERENCIA ..........................................................................................201.7.1. MARCO HISTORICO ...................................................................................................................201.7.2. MARCO TEORICO.......................................................................................................................211.7.3. MARCO CONCEPTUAL ...............................................................................................................30

1.8. FACTIBILIDAD (TÉCNICA, OPERATIVA, ECONÓMICA Y LEGAL)....................................361.8.1. FACTIBILIDAD TÉCNICA..............................................................................................................361.8.2. FACTIBILIDAD OPERATIVA .........................................................................................................371.8.3. FACTIBILIDAD LEGAL..................................................................................................................371.8.4. FACTIBILIDAD ECONÓMICO.......................................................................................................37

1.9. CRONOGRAMA DE ACTIVIDADES .............................................................................40

DESARROLLO DEL PROYECTO ....................................................................................... 41

2. DISEÑO METODOLÓGICO...................................................................................... 41

2.1. CONOCIMIENTO DEL ENTORNO ...............................................................................412.1.1. CONOCIMIENTO DEL ENTORNO ................................................................................................41

2.2. CONTROL Y SUPERVISIÓN DE LA INFORMACIÓN ......................................................442.2.1. Definición de procesos, organización y relaciones TI ................................................................44

2.2.1.1. Marco de trabajo de los procesos TI................................................................................442.2.1.2. Clasificación de la estructura organizacional de la información ......................................442.2.1.3. Aseguramiento de calidad identificando niveles de criticidad ........................................47

2.2.2. Identificación del Riesgo con seguridad y cumplimiento ..........................................................482.2.2.1. Tipos de riesgos ...............................................................................................................48

2.2.3. Acreditar soluciones y estimación del Riesgo ...........................................................................522.2.3.1. Probabilidad de materialización para la planeación el cambio .......................................522.2.3.2. Revisión de Impacto implantado .....................................................................................52

2.2.4. Administración y Evaluación Del Riesgo de operación..............................................................532.2.5. Mantenimiento y Tratamiento Del Riesgo ................................................................................542.2.6. Monitoreo y Revisión del riesgo................................................................................................54

2.2.6.1. Identificación de cambios ................................................................................................542.2.6.2. Análisis de incidentes de seguridad .................................................................................54

2.3. ACTIVOS DE INFORMACIÓN OBJETO DE ANÁLISIS ....................................................552.3.1. Análisis de Activos .....................................................................................................................552.3.2. Departamento Comercial y Área Administrativa ......................................................................562.3.3. Gerencia de TI............................................................................................................................562.3.4. Departamento Operaciones ......................................................................................................56

2.4. INVENTARIO DE ACTIVOS ........................................................................................562.4.1. Responsabilidad por los activos ................................................................................................582.4.2. Inventario de los activos............................................................................................................582.4.3. Propiedad de los activos............................................................................................................592.4.4. Clasificación de la información..................................................................................................612.4.5. Lineamientos de clasificación....................................................................................................612.4.6. Etiquetado de los Activos ..........................................................................................................62

3. IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN(SGSI) .......................................................................................................................... 63

3.1. ESTABLECER EL SGSI (PLANIFICAR) ...........................................................................64

3.2. IMPLEMENTACION Y OPERACIÓN (HACER)...............................................................66

3.3. MONITOREAR Y REVISAR (VERIFICAR)......................................................................67

3.4. MANTENER Y MEJORAR (ACTUAR)...........................................................................67

3.5. REQUISITOS DE DOCUMENTACIÓN ..........................................................................68

4. NORMATIVA DE SEGURIDAD Y PRIORIZACIÓN ...................................................... 70

4.1. IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS ............................................704.1.1. Vulnerabilidades........................................................................................................................704.1.2. Amenazas ..................................................................................................................................71

4.2. MATRIZ DE RIESGOS................................................................................................71

4.3. CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO..............................................724.3.1. Controles ...................................................................................................................................72

4.4. PRIORIZACIÓN Y ACTUALIZACIÓN DEL INVENTARIO DE LA TECNOLOGIA DE LAINFORMACIÓN....................................................................................................................73

4.4.1. Ciclo 1: Reconocimiento de activos ...........................................................................................734.4.2. Ciclo 2: Determinación y seguimiento de nuevos activos .........................................................75

4.4.3. Ciclo 3: Actualización de activos nuevos ...................................................................................75

5. EJECUCIÓN DE POLITICAS, CONTROL Y SEGUIMIENTO DE LA INFORMACIÓN .......... 75

5.1. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN................................................755.1.1. Propósito de Seguridad Respecto al Etiquetado de Equipos de Cómputo................................755.1.2. Consolidación del Etiquetado de Equipos de Cómputo ............................................................765.1.3. Definir Activos a Etiquetar.........................................................................................................765.1.4. Información Registrada en el Inventario de Activos .................................................................765.1.5. Recaudo de información Adicional............................................................................................765.1.6. Diseño de la Etiqueta de Marcado ............................................................................................775.1.7. Muestra de Resultados..............................................................................................................77

5.2. POLÍTICAS DE SEGURIDAD .......................................................................................775.2.1. Políticas de Seguridad de la Información ..................................................................................775.2.2. Políticas Generales ....................................................................................................................77

5.2.2.1. Privacidad de las telecomunicaciones .............................................................................775.2.2.2. Protección de la información confidencial ......................................................................785.2.2.3. Selección y protección de claves de acceso .....................................................................795.2.2.4. Responsabilidad de la información..................................................................................795.2.2.5. Protección contra virus ....................................................................................................795.2.2.6. Intercambio de información ............................................................................................805.2.2.7. Acceso a la red .................................................................................................................80

5.2.3. Políticas Específicas ...................................................................................................................805.2.3.1. A nivel de Software ..........................................................................................................815.2.3.2. A nivel de Hardware.........................................................................................................81

5.3. CONTROL Y SEGUIMIENTO ......................................................................................815.3.1. Seguimiento ..............................................................................................................................815.3.2. Estimación Cronológica y Económica Para la Ejecución ............................................................82

CONCLUSIONES............................................................................................................ 83

RECOMENDACIONES.................................................................................................... 84

BIBLIOGRAFÍA.............................................................................................................. 85

INFOGRAFÍA ................................................................................................................ 86

LISTA DE TABLAS

Tabla 1 Delimitación técnica del proyecto. ................................................................... 18

Tabla 2 Factibilidad Técnica ........................................................................................ 36

Tabla 3 Factibilidad Legal............................................................................................ 37

Tabla 4 Factibilidad Económica Recursos humanos...................................................... 38

Tabla 5 Factibilidad Económica Recursos Técnicos........................................................ 38

Tabla 6 Factibilidad Económica Otros imprevistos ........................................................ 38

Tabla 7 Factibilidad Económica Costo Total .................................................................. 39

Tabla 8 Factibilidad de los activos de información ........................................................ 45

Tabla 9 Ejemplo de Criticidad de la confidencialidad .................................................... 47

Tabla 10 Ejemplo de Criticidad de la Integridad............................................................ 47

Tabla 11 Ejemplo de Criticidad de la Disponibilidad ...................................................... 48

Tabla 12 Riesgos presentes ......................................................................................... 48

Tabla 13 Escala de probabilidad .................................................................................. 52

Tabla 14 Escala de impacto.......................................................................................... 52

Tabla 15 Probabilidad y Impacto en los diferentes riesgos ............................................ 53

Tabla 16 Matriz Probabilidad vs Impacto .................................................................... 54

Tabla 17 Activos Responsabilidad de los activos ........................................................... 57

Tabla 18 Activos Clasificación de la información .......................................................... 57

Tabla 19 Ejemplo Activos fuera de uso ........................................................................ 74

Tabla 20 Ejemplo Activos adquiridos ........................................................................... 75

LISTA DE FIGURAS

Figura 1 Fases de desarrollo de políticas de seguridad.................................................. 23

Figura 2 Anillos de seguridad ....................................................................................... 25

Figura 3 Marco de trabajo COBIT ................................................................................. 28

Figura 4 Pasos de las Políticas de Seguridad ................................................................. 33

Figura 5 Esquema de Metodología PHVA ..................................................................... 35

Figura 6 Esquema de seguridad de la información........................................................ 44

Figura 7 Esquema de clasificación de la confidencialidad.............................................. 45

Figura 8 Esquema de clasificación de la integridad ....................................................... 46

Figura 9 Esquema de clasificación de la disponibilidad ................................................. 46

Figura 10 Diagrama de implementación del SGSI ......................................................... 63

Figura 11 Estructura documental del SGSI .................................................................... 68

Figura 12 Esquema tipos de vulnerabilidades ............................................................... 70

Figura 13 Esquema de reconocimiento de activos ......................................................... 74

LISTA DE ANEXOS

Anexo A: Controles y políticas de seguridad.

Anexo B: Formato de responsabilidades y de entregables.

Anexo C: Formato de activos.

Anexo D: Manual de Instalación del gestor documental.

Anexo E: Manual de Usuario.

12

RESUMEN

La información junto a los procesos que hacen uso de la información, son activosmuy importantes dentro de la organización, por ello se debe contar conparámetros a tener en cuenta como lo son: la confidencialidad, integridad ydisponibilidad de la información para así tener unos niveles de competitividad,rentabilidad, conformidad e imagen empresarial suficientes para lograr losobjetivos de la entidad.

Se considera importante, implementar la actualización del SGSI ya que día a díalos sistemas de información están expuestos a amenazas que aprovechandocualquiera de las vulnerabilidades existentes pueden someter a activos críticos deinformación a diversas formas de fraude, espionaje, sabotaje o vandalismo que nolleva a nada bueno a las empresas que no se rigen bajo un estándar de seguridad.

Por ello, el seguimiento y control de la seguridad de la información, como lo es elárea de seguridad informática y demás áreas de información administrativa debenestablecer uno niveles de seguridad que generen a lo más posible un 100 % enlos activos de toda una empresa.

13

ABSTRACT

The information with processes that make use of the information, are veryimportant assets within the organization, so there must be parameters to considersuch as: confidentiality, integrity and availability of information in order to have alevels of competitiveness, profitability, compliance and corporate image enough toachieve the objectives of the entity.

It is considered important to deploy the update of the ISMS as daily informationsystems are exposed to threats exploiting any of the vulnerabilities may besubjected to critical information assets to various forms of fraud, espionage,sabotage or vandalism that leads to no good companies which are not governedunder a safety standard.

Therefore, monitoring and control of information security, as is the area of securityand other areas should establish one administrative information security levels thatcan generate at most 100% of the assets of an enterprise.

14

INTRODUCCIÓN

En la era de las tecnologías de la información (IT), el factor más importante es lainformación, podemos decir que el activo de la compañía gira en torno a esta, porello han surgido compañías que se encargan del manejo especializado de esastecnologías y que se especializan, tanto en el Core, el cual consiste en laprestación de servicios IT, estas empresas piensan en sus clientes a nivel deinfraestructura, equipos, respaldo de información, soporte técnicos, seguridad,entre otros aspectos referentes a IT, también deben procurar prestar atenciónsobre sí mismas y aplicar estos conceptos en su propio Core y sedes; por lo cualun aspectos de gran relevancia el Sistema de Gestión de Seguridad de laInformación, nos permite hacer un estudio y análisis de la empresa determinandoqué riesgos pueden afectarla, como prevenir y controlarlos.

Este tema abarca gran parte del foco del proyecto, un SGSI no es solo riesgos,hay que entenderlo como un Sistema General, que abarca todos los aspectos dela empresa, y por lo que es importante enfocarse y comprender el Core, y lascaracterísticas generales de la compañía, que permitan reducir las fallas yfortalecer las buenas características de la compañía.

Como el proceso está enfocado a la gestión de la seguridad de la información, sepuede enfocar en normas de gestión de calidad, este proyecto muestra y reflejalos conocimientos que se adquirieron durante la carrera de ingeniería entelemática, entendiendo que el enfoque de la carrera puede tener varios puntos devista y uno de ellos es la gestión de proyecto enfocados a la seguridad, y comoproceso de monografía, nuestro resultado final es el documento, que refleje unMarco de Referencia, para el SGSI de una empresa de servicios IT.

15

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN

1.1. TÍTULO DEL TRABAJO

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNORIENTADO A ORGANIZACIONES QUE PRESTAN SERVICIOS DETECNOLOGÍAS DE LA INFORMACIÓN (IT)

1.2. PLANTEAMIENTO DEL PROYECTO

Las políticas de seguridad son leyes, reglas y prácticas reflejadas en documentosde alto nivel que denotan el compromiso de la gerencia con la seguridad de lainformación. Estos contienen todo el desarrollo corporativo y administrativo de losprocesos de red que están conectados de una u otra forma con la productividad dela empresa. Toda la documentación debe estar fácilmente accesible de forma quelos empleados estén al tanto de su existencia y entiendan su contenido.

1.2.1. DESCRIPCIÓN

El proyecto de un Sistema de Gestión de Seguridad de la Información (SGSI)orientado a organizaciones que prestan servicios Tecnologías de la Información(IT), consiste en el desarrollo del análisis de una empresa dedicada a la prestaciónde servicios de información, esto implica que su fuerte sea el manejo de equipos ypersonal especializado para las tecnologías de la información y comunicación, porlo que la empresa seleccionada para análisis inicial y estudio de la conformaciónde la red, es CDS – Consulting Data Systems SAS, en la cual se podrá determinargeneralidades y especificidades de la empresa del sector de Servicios Tecnologíade la Información, estableciendo los análisis y planteamientos requeridos paraproponer y generar un documento enfocado a la Seguridad de la Información ysiguiendo lineamientos que abarca el nivel de riesgos, controles, aspectosadministrativos y sobre todo la calidad de la red en sus normativas para el uso delos datos.

1.2.2. FORMULACIÓN

Este proyecto pretende demostrar los conocimientos obtenidos en la carrera, peroademás dejar una guía que sirva de marco de referencia para SGSI similares, quemanejan una metodología enfocada en el proceso Deming para los procesos, conlo cual se requiere establecer de manera correcta todo el manejo de sistema deseguridad de la información para obtener como resultado final un documento guía

16

o Marco de referencia para las empresas prestadoras de servicios Tecnologías dela Información (IT) establecido en un gestor documental el cual genere de unaforma rápida y clara el aprendizaje de estas normas a todos los integrantes de laorganización.

Con las observaciones previas en la compañía en referencia, se observa queaunque sea lo más importante los servicios de Tecnología de la Información (IT),se ha descuidado la infraestructura y la administración de la red interna de lamisma, por lo tanto, se hace necesario realizar un documento que se adecue almanejo interno en donde se puedan establecer los lineamientos generales delSistema de Gestión de la Seguridad de la Información (SGSI), para que seconvierta en una guía en el manejo de los datos por la toda red.

1.3. ALCANCES Y LIMITACIONES

1.3.1. ALCANCES

El proyecto cumplirá con la creación de un documento que refleje el análisis ytodos los procesos de generación de un Sistema de Gestión de Seguridad deInformación, cumplirá con la finalización de este documento.

Se incluirá la creación de un gestor documental tipo wiki, donde se refleja eldocumento y donde se entregará como repositorio.

Se alcanzará primordialmente una estructura organizacional controlada pornormas y atributos que garanticen el comportamiento adecuado de cada uno delos procesos que conforman la empresa, así como la parte de esquematizaciónde los métodos y funciones asignadas a cada rol conectado por todo el sistema dered.

1.3.2. DELIMITACIONES

Temática

El desarrollo del Sistema de Información se basa en las siguientes temáticas:● Análisis del ambiente de red física y lógica, actual y del ambiente de red

ideal para una red de este tipo, en cuanto a dispositivos, cableado,tecnología, protocolos, entre otros.

17

● Análisis, identificación y gestión de amenazas y riesgos, que puedenocurrir en las empresas de este sector.

● Desarrollo de buenas prácticas para los empleados en manejo de loselementos físicos y lógicos de TI, que pueden manejar.

● Desarrollo de políticas de seguridad, en el ámbito IT, que ofrecen a estetipo de empresas un nivel de seguridad de la información óptimo.

● Desarrollo de elementos y restricciones, tales como roles, accesos,dominios, estándares de nombres, entre otros, que permitan controlar la redde la compañía.

● Con la información suministrada generar un documento SGSI, que muestrelo realizado y que ofrezca una guía para cualquier empresa del sector deservicios TI.

Geográfica

El diseño de un sistema de gestión de seguridad de la información orientado aorganizaciones que prestan servicios de tecnologías de la información (IT), serádesarrollado con base a la información adquirida en la empresa CDS – ConsultingData Systems SAS, con sede en la ciudad de Bogotá, con sucursales en las sedesde las principales de Colombia, se enfoca principalmente en el área de Tecnologíade la Información.

CDS – Consulting Data Systems SAS, es una empresa dedicada a ofrecersoluciones integrales de TI a sus clientes, se enfoca en tres aspectosfundamentales, para sus servicios ofrecidos:

● Integración de Soluciones IT.● Tercerización de procesos y servicios.● Consultoría y proyectos de investigación.

Se escogió esta empresa, como una empresa base y ejemplo de tipo de empresade prestación de servicios IT; esta empresa no se interviene directamente, pero sise toman los datos para armar el Sistema de Gestión Seguridad de Información(SGSI), y se procede a tomar datos que son comunes a la generalidad de lasempresas de ese sector.

18

Técnica

Tabla 1 Delimitación técnica del proyecto.NOMBRE CARACTERISTICAS

Sistema operativo 1. Windows 72. Windows 10

Plataforma tecnológicaRedmine (Gestor Documental)

Áreas y estándares guías deseguridad de la información.

1. COBIT2. ISO 270053. ISO 270354. Metodología PHVA

Navegadores Web deinvestigación

1. Internet Explorer2. Mozilla Firefox 13. Google Chrome

Temporal

El tiempo estimado para la elaboración del proyecto es de seis (6) mesescomenzando en octubre de 2015 y terminando en marzo de 2016.

1.4. OBJETIVOS

1.4.1. OBJETIVO GENERAL

Diseñar un Sistema de Gestión de la Seguridad de la Información (SGSI) queincorpore estándares de seguridad basado en la ISO 27005 e ISO 27035 a partirdel estudio de metodologías de mejores prácticas COBIT enfocadas a laprestación de servicio de las Tecnologías de la Información (IT).

1.4.2. OBJETIVOS ESPECÍFICOS

● Establecer el estado actual de la empresa Consulting Data Systems encuanto al desarrollo de sistema de seguridad y manipulación de lainformación.

● Identificar las mejores prácticas de los Objetivos de Control paraInformación y Tecnologías Relacionadas (COBIT) con un enfoque decontrol y supervisión a la Información.

19

● Diseñar normativas de seguridad de la información que sirva como marcode referencia para empresas enfocadas a la prestación de servicios deTecnología de la Información.

● Implementar un gestor documental que permita la visualización einteracción de las personas en la documentación y el estudio realizadodurante todo el ciclo de red.

● Aplicar el desarrollo de un marco de referencia enfocado en la metodologíade Planear, Hacer, Verificar y Actuar (PHVA) la cual servirá de guía para eldesarrollo el proyecto.

1.5. JUSTIFICACIÓN

Las organizaciones dependen parcialmente de sus sistemas informáticos, estohace necesario prestar mayor atención a la disponibilidad, confidencialidad eintegridad de los mismos, garantizando la continua prestación de sus servicios, yque se cuente con la seguridad de la información y sus sistemas protegidos.

Por consiguiente, se hace necesario contar con estrategias y medidas deseguridad de la información, para garantizar el funcionamiento adecuado de todoslos sistemas, y para que en un momento dado, se puedan aplicar los correctivosnecesarios en caso de un eventual ataque o desastre, que impliquen la pérdida dela información y los sistemas informáticos.

Es importante para las empresas contar con políticas claramente definidas para elmanejo de la información y de los datos, así como de sus sistemas de informacióny el respaldo necesario de éstos. Con este proyecto, queremos aportar unareferencia a las empresas del sector de servicios TI; y conociendo en lascompañías donde trabajamos y en empresas de todos los sectores que manejansistematización, el tema primordial la seguridad de la información.

1.6. SOLUCIÓN TECNOLÓGICA

El análisis, planteamiento y gestión de la manipulación de la información por todaslas personas de una organización es importante para el crecimiento y la confianzaen los datos enviados bien sea a nivel local o remoto, por lo que este proyectotendrá como resultado un documento con la implementación de un Sistema deGestión de la Seguridad de la Información (SGSI) en la entidad de referencia en el

20

cual se especificarán las políticas de seguridad, los controles y el análisis deriesgos encontrados.

Todo esto a partir de un estudio previo, análisis y documentación del estado actualde la organización y de los trámites de los procesos internos. Como el elemento amostrar la documentación generada al finalizar el presente proyecto se montará enun gestor documental, teniendo en cuenta que el SGSI pueda que no se puedeimplementar de manera inmediata por la posible consecución e inversión ennuevos equipos, por lo tanto este proyecto de monografía, será el documento dereferencia y guía para gestión de SGSI en entidades relacionadas a prestación deservicios de Tecnologías de la Información (IT).

Este desarrollo de proyecto será empleado como la documentación guía para quela empresa inicie su proceso de implementación de este Sistema de Gestión deSeguridad de la Información a nivel interno de la organización, los resultadosservirán tanto para los estudiantes, como para la universidad, para demostrar lascapacidades aprendidas en la carrera y demostrar que los ingenieros enTelemática, tenemos un campo de acción en la parte de seguridad y administrativaen el control de la información.

1.7. MARCO DE REFERENCIA

Nuestro proyecto estará ligado a los siguientes marcos de referencia:

1.7.1. MARCO HISTORICO

Un estándar seguridad es una regla que especifica una acción o respuesta quedebe seguir una situación dada, por lo tanto, son procesos que orientan y hacencumplir cada una de las políticas de seguridad diseñadas para la implementaciónde cada uno de los proyectos que forman a la empresa. Una mejor práctica deseguridad debe estar especificada dentro de cada uno de los sistemas deinformación involucrados, para así lograr un enfoque efectivo en lascaracterísticas, configuraciones y administración de cada sistema.

Según un artículo del diario el Tiempo del día 9 de Enero del 2015, se indica queel aumento de creación de empresas en el 2014, específicamente se puedeobservar que en el área de interés que son las empresas del sector de la

21

información y comunicaciones, creció un 5,2%,1 por este aumento aceleradoalgunas empresas del sector de servicios IT, no cuentan con un sistema depolíticas de seguridad que se generan a partir de estudios detallados que dencumplimiento con los procesos desarrollados en todos los módulos quecomprende la empresa, un caso en particular que será el objeto de estudio, es laempresa CDS Consulting Data Systems SAS, que a pesar de ser del sector IT, nocuenta con buenas prácticas dentro de su propia red, y se evidencia falencias enalgunos aspectos de seguridad, sobre todo a nivel físico, y que de la mismamanera puede suceder con otras entidades o empresas que estén en el mismosector, de la empresa estudiada; para lo cual cada proceso vinculado a la empresadebe estar establecido de forma escrita o digital en los formatos principales de lasempresas para así llevar un control fijo sobre sus normativas y sistemas deseguridad que involucran un número de procesos en el avance de la organización.Los procesos realizados deben generarse en módulos de información que denlugar a los puntos claves para contemplar cualquier plan de seguridad dentro delas normativas profesionales de la empresa relacionada. Las políticas seránelaboradas con el fin de aplicarlas en cada uno de estos mecanismos a largoplazo y que guíen el desarrollo de reglas y criterios más específicos que abordenlos temas y las situaciones más concretamente con un nivel de seguridad másproductivo.

Las organizaciones dependen parcialmente de sus sistemas informáticos, estohace necesario prestar mayor atención a la disponibilidad, confidencialidad eintegridad de los mismos, garantizando la continua prestación de sus servicios, yque se cuente con la seguridad de la información y sus sistemas protegidos.

1.7.2. MARCO TEORICO

Política de seguridad: Guía de elaboración2

Es frecuente que las personas involucradas con seguridad informática tengan unavisión estrecha de lo que significa desarrollar las políticas de seguridad, pues nobasta con escribirlas y pretender ponerlas en práctica. En ocasiones se incluye laasignación de responsables, se realizan actividades para dar a conocerlas y,

1Artículo de sector de la información y las telecomunicaciones: http://www.eltiempo.com/economia/empresas/creacion-de-

empresas-/150711002 Guía de elaboración de políticas de seguridad:[<http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf>][Citado: Junio de 2010]

22

quizá, se supervise su cumplimiento; pero esto tampoco basta. Muchas políticasde seguridad informática fallan ya que se desconoce lo que implica realmentedesarrollarlas.

Es importante resaltar que una política de seguridad tiene un ciclo de vidacompleto mientras está vigente. Este ciclo de vida incluye un esfuerzo deinvestigación, la labor de escribirla, lograr que las directivas de la organización laacepten, conseguir que sea aprobada, lograr que sea diseminada a través de laempresa, concienciar a los usuarios de la importancia de la política, conseguirque la acaten, hacerle seguimiento, garantizar que esté actualizada y, finalmente,suprimir cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vidase corre el riesgo de desarrollar políticas que sean poco tenidas en cuenta,incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas,superfluas o irrelevantes. Este documento presenta algunos puntos que debentenerse en cuenta al desarrollar algún tipo de política de seguridad informática.

Por qué tener políticas escritas

Existen varias razones por las cuales es recomendable tener políticas escritas enuna organización como la Universidad Nacional de Colombia. La siguiente es unalista de algunas de estas razones.

1. Para cumplir con regulaciones legales o técnicas.2. Como guía para el comportamiento profesional y personal.3. Permite unificar la forma de trabajo de personas en diferentes lugares o

momentos que tengan responsabilidades y tareas similares.4. Permiten recoger comentarios y observaciones que buscan atender

situaciones anormales en el trabajo.5. Permite encontrar las mejores prácticas en el trabajo.6. Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (lo

concreto)

23

Etapas de desarrollo de una política

Figura 1 Fases de desarrollo de políticas de seguridad

Hay 11 etapas que deben realizarse a través de “la vida” de una política. Estas 11etapas pueden ser agrupadas en 4 fases.

1. Fase de desarrollo: durante esta fase la política es creada, revisada yaprobada.

2. Fase de implementación: en esta fase la política es comunicada y acatada(o no cumplida por alguna excepción).

3. Fase de mantenimiento: los usuarios deben ser conscientes de laimportancia de la política, su cumplimiento debe ser monitoreado, se debegarantizar su cumplimiento y se le debe dar mantenimiento (actualizarla).

4. Fase de eliminación: La política se retira cuando no se requiera más.

Política de seguridad según el estándar RFC3

Una Política de Seguridad es un conjunto de requisitos definidos por losresponsables de un sistema, que indica en términos generales que está y que noestá permitido en el área de seguridad durante la operación general del sistema.

La RFC 1244 define Política de Seguridad como: una declaración de intencionesde alto nivel que cubre la seguridad de los sistemas informáticos y queproporciona las bases para definir y delimitar responsabilidades para las diversasactuaciones técnicas y organizativas que se requerirán.

3 Políticas de Seguridad en estándar RFC:[<https://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+Inform%C3%A1tica>][Citado: Actualmente en el 2016]

24

La política se refleja en una serie de normas, reglamentos y protocolos a seguir,donde se definen las medidas a tomar para proteger la seguridad del sistema;pero ante todo, una política de seguridad es una forma de comunicarse con losusuarios... Siempre hay que tener en cuenta que la seguridad comienza y terminacon personas y debe:

● Ser holística (cubrir todos los aspectos relacionados con la misma). Notiene sentido proteger el acceso con una puerta blindada si a esta no se laha cerrado con llave.

● Adecuarse a las necesidades y recursos. No tiene sentido adquirir una cajafuerte para proteger un lápiz.

● Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia yeficiencia.

● Definir estrategias y criterios generales a adoptar en distintas funciones yactividades, donde se conocen las alternativas ante circunstanciasrepetidas.

Cualquier política de seguridad ha de contemplar los elementos claves deseguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y,adicionalmente, Control, Autenticidad y Utilidad.

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni deuna expresión legal que involucre sanciones a conductas de los empleados. Esmás bien una descripción de los que deseamos proteger y el porqué de ello.

¿QUÉ SON LOS ANILLOS DE SEGURIDAD?4

Los anillos de seguridad hacen referencia a los mecanismos de protección dedatos que están presentes ante un fallo o comportamiento malicioso. Es por estoque los sistemas operativos proporcionan diferentes niveles de acceso a losrecursos.

4 Anillos de seguridad de la información:[<https://es.wikipedia.org/wiki/Anillo_%28seguridad_inform%C3%A1tica%29 >][Citado: 28 deNoviembre de 2015]

25

¿Por qué se implementan diferentes anillos de seguridad?

La idea de múltiples anillos de protección nació con el sistema operativo Multics,predecesor de la actual familia Unix, el cual implementaba 8 anillos. Y en laactualidad la familia Windows (Windows 8 y sus predecesores) utilizan sólo dosanillos que corresponde a los modos disponibles, el anillo 0 correspondiente almodo núcleo y el anillo de 3 correspondiente al modo de usuario.

Disponibilidad y privilegios de acceso a la red

Los anillos están dispuestas en una jerarquía desde los más privilegiados (de másconfianza), usualmente numerado cero, hasta el menos privilegiado (de menosconfianza), usualmente con el mayor número de anillo. En la mayoría de sistemasoperativos, el anillo 0 es el nivel con la mayoría de los privilegios e interactúa másdirectamente con el hardware físico, como el CPU y la memoria.

Se proporcionan puertas especiales entre los anillos para permitir a un anilloexterior acceder a los recursos de un anillo interior de una manera predefinida, envez de permitir un uso arbitrario. El correcto acceso por puertas entre los anillospuede mejorar la seguridad previniendo que los programas de un anillo o nivel deprivilegio, mal usen los recursos destinados a los programas en otro anillo. Porejemplo, se debe evitar que el spyware corriendo como un programa de usuario enel anillo 3 encienda una cámara web sin informar al usuario, puesto que el accesoal hardware debe ser una función reservada del anillo 1 para los controladores dedispositivos. Los programas como navegadores web corriendo en los anillos denúmeros más altos, deben solicitar el acceso a la red, un recurso restringido a unanillo de numeración inferior.

Figura 2 Anillos de seguridad

26

La topología Anillo conecta cada nodo a través de dos conexiones. Esto crea unaestructura de anillo donde cada nodo es accesible al otro, bien sea directamente através de uno de sus vecinos cercanos o indirectamente a través del anillo físico.Las redes Token Ring, FDDI y SONET son conectadas de esta forma (con FDDIutilizando una técnica de anillo dual); sin embargo, no hay conexiones Ethernetcomunes usando esta topología física, por lo tanto los anillos no son utilizadoscomúnmente excepto en configuraciones hereditarias o institucionales con unagran base de nodos instalados (por ejemplo, una universidad).

● El sistema provee un acceso equitativo para todas las computadoras.● El rendimiento no decae cuando muchos usuarios utilizan la red.● Arquitectura muy sólida.● Si un dispositivo o computadora falla, la dirección de la información puede

cambiar de sentido para que llegue a los demás dispositivos (en casosespeciales).

COBIT5

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, eninglés: Control Objectives for Information and related Technology) es una guía demejores prácticas presentado como framework, dirigida al control y supervisión detecnología de la información (TI). Mantenido por ISACA (en inglés: InformationSystems Audit and Control Association) y el IT GI (en inglés: IT GovernanceInstitute), tiene una serie de recursos que pueden servir de modelo de referenciapara la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos decontrol, mapas de auditoría, herramientas para su implementación yprincipalmente, una guía de técnicas de gestión.COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos odetallados) clasificados en cuatro dominios:

● Planificación y Organización (Plan and Organize))● Adquisición e Implantación (Acquire and Implement)● Entrega y Soporte (Deliver and Support)● Supervisión y Evaluación (Monitor and Evaluate)

5 COBIT Tecnología de la Información: [<http://www.itservice.com.co/fundamentoscobit5 >][Citado:25 de marzo de 2013]

27

Beneficios

COBIT ayuda a empresas de todos los tamaños a:● Optimizar los servicios el coste de las TI y la tecnología● Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y

las políticas● Gestión de nuevas tecnologías de información

COBIT para la seguridad de la información

Proporciona una guía práctica en la seguridad de la empresa, en todos sus nivelesprácticos. COBIT para seguridad de la información puede ayudar a las empresas areducir sus perfiles de riesgo a través de la adecuada administración de laseguridad. La información específica y las tecnologías relacionadas son cada vezmás esenciales para las organizaciones, pero la seguridad de la información esesencial para la confianza de los accionistas.

Misión de COBIT

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjuntode objetivos de control generalmente aceptados para las tecnologías de lainformación que sean autorizados (dados por alguien con autoridad), actualizados,e internacionales para el uso del día a día de los gestores de negocios (tambiéndirectivos) y auditores". Gestores, auditores, y usuarios se benefician deldesarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (otecnologías de la información) y decidir el nivel de seguridad y control que esnecesario para proteger los activos de sus compañías mediante el desarrollo deun modelo de administración de las tecnologías de la información.

¿Para qué COBIT?

● Alineación de objetivos de TI y del negocio.● Establecer una orientación a procesos.● Ser consistente con las mejores prácticas y estándares control y de TI,

independiente de tecnologías específicas.● Proporcionar un lenguaje común para todos los interesados.

28

COMO SATISFACE COBIT LAS NECESIDADES6

Figura 3 Marco de trabajo COBIT

1. Orientado al negocio2. Procesos orientados3. Basado en controles4. Generador de mediciones

ORIENTADO AL NEGOCIO

Es el tema principal de COBIT. Está diseñado para ser utilizado no solo porproveedores de servicios, usuarios y auditores de TI, sino también yprincipalmente, como guía integral para la gerencia y para los propietarios de losprocesos de negocio.

PROCESOS ORIENTADOS COBIT

Define las actividades de TI en un modelo genérico de procesos en cuatrodominios. Estos dominios son:

● Planear y Organizar● Adquirir e Implementar,● Entregar y Dar Soporte● Monitorear y Evaluar

6 Como satisfacer las necesidades COBIT: [<http://cobitlinuxsop2ujmd.blogspot.com.co/p/como-satisface-cobit-las-necesidades.html>][Citado:]

29

BASADO EN CONTROLES CONTROL

Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonableque los objetivos serán alcanzados OBJETIVOS DE CONTROL DE COBIT: sonlos requerimientos mínimos para un control efectivo de cada proceso de ITademás brinda un modelo genérico de procesos que representa todos losprocesos que normalmente se encuentran en las funciones de TI.

GENERADORES DE MEDICIÓN

Una necesidad básica de toda empresa es entender el estado de sus propiossistemas de TI y decidir qué nivel de administración y control debe proporcionar laempresa.

ISO/IEC 27000-SERIES7

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por laOrganización Internacional para la Estandarización (ISO) y la ComisiónElectrotécnica Internacional (IEC).La serie contiene las mejores prácticas recomendadas en Seguridad de lainformación para desarrollar, implementar y mantener Especificaciones para losSistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría deestas normas se encuentran en preparación e incluyen:

ISO/IEC 27005

Trata la gestión de riesgos en seguridad de la información. Es la que proporcionarecomendaciones y lineamientos de métodos y técnicas de evaluación de riesgosde Seguridad en la Información, en soporte del proceso de gestión de riesgos dela norma ISO/IEC 27001.

ISO/IEC 27035:2011

Seguridad de la información, técnicas de seguridad y Gestión de Incidentes deSeguridad. Este estándar hace foco en las actividades de detección, reporte yevaluación de incidentes de seguridad y sus vulnerabilidades.

7 ISO/IEC 27000 - Series: [<http://www.iso27000.es/download/doc_iso27000_all.pdf>][Citado: 21de Noviembre de 2015]

30

ITIL8

La Gestión de la Seguridad de la Información se remonta al albor de los tiempos.La criptología o la ciencia de la confidencialidad de la información se remontan alinicio de nuestra civilización y ha ocupado algunas de las mentes matemáticasmás brillantes de la historia, especialmente (y desafortunadamente) en tiempos deguerra.

Sin embargo, desde el advenimiento de la ubicación redes de comunicación y enespecial Internet los problemas asociados a la seguridad de la información se hanagravado considerablemente y nos afectan prácticamente a todos. Que levante lamano el que no haya sido víctima de algún virus informático en su ordenador, delspam (ya sea por correo electrónico o teléfono) por una deficiente protección desus datos personales o, aún peor, del robo del número de su tarjeta de crédito.

La información es consustancial al negocio y su correcta gestión debe apoyarseen tres pilares fundamentales:

● Confidencialidad: la información debe ser sólo accesible a sus destinatariospredeterminados.

● Integridad: la información debe ser correcta y completa.● Disponibilidad: debemos de tener acceso a la información cuando la

necesitamos.La Gestión de la Seguridad debe, por tanto, velar por que la información seacorrecta y completa, esté siempre a disposición del negocio y sea utilizada sólopor aquellos que tienen autorización para hacerlo.

1.7.3. MARCO CONCEPTUAL

● PolíticaDeclaración general de principios que presenta la posición de la administraciónpara un área de control definida. Las políticas se elaboran con el fin de quetengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios másespecíficos que aborden situaciones concretas. Las políticas son desplegadas y

8 Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)[<http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php>][Citado: 16 de octubre de 2012]

31

soportadas por estándares, mejores prácticas, procedimientos y guías. Laspolíticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas yaprobadas por las directivas de la universidad, y deben ofrecer direccionamientosa toda la organización o a un conjunto importante de dependencias. Por definición,las políticas son obligatorias y la incapacidad o imposibilidad para cumplir unapolítica exige que se apruebe una excepción.

● EstándarRegla que especifica una acción o respuesta que se debe seguir a una situacióndada. Los estándares son orientaciones obligatorias que buscan hacer cumplir laspolíticas. Los estándares sirven como especificaciones para la implementación delas políticas: son diseñados para promover la implementación de las políticas dealto nivel de la organización antes que crear nuevas políticas.

● Mejor prácticaEs una regla de seguridad específica a una plataforma que es aceptada a travésde la industria al proporcionar el enfoque más efectivo a una implementación deseguridad concreta. Las mejores prácticas son establecidas para asegurar que lascaracterísticas de seguridad de sistemas utilizados con regularidad esténconfigurados y administrados de manera uniforme, garantizando un nivelconsistente de seguridad a través de la organización.

● GuíaUna guía es una declaración general utilizada para recomendar o sugerir unenfoque para implementar políticas, estándares y buenas prácticas. Las guías son,esencialmente, recomendaciones que deben considerarse al implementar laseguridad. Aunque no son obligatorias, serán seguidas a menos que existanargumentos documentados y aprobados para no hacerlo.

● ProcedimientoLos procedimientos definen específicamente cómo las políticas, estándares,mejores prácticas y guías serán implementados en una situación dada.Los procedimientos son dependientes de la tecnología o de los procesos y serefieren a plataformas, aplicaciones o procesos específicos. Son utilizados paradelinear los pasos que deben ser seguidos por una dependencia para implementarla seguridad relacionada a dicho proceso o sistema específico. Generalmente losprocedimientos son desarrollados, implementados y supervisados por el dueño del

32

proceso o del sistema. Los procedimientos seguirán las políticas de laorganización, los estándares, las mejores prácticas y las guías tan cerca como lessea posible, y a la vez se ajustarán a los requerimientos procedimentales otécnicos establecidos dentro de la dependencia donde ellos se aplican.

● Política de seguridadUna política de seguridad en el ámbito de la criptografía de clave pública o PKI esun plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas parael mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desdebuenas prácticas para la seguridad de un solo ordenador, reglas de una empresao edificio, hasta las directrices de seguridad de un país entero.

La política de seguridad es un documento de alto nivel que denota el compromisode la gerencia con la seguridad de la información. Contiene la definición de laseguridad de la información desde el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta,objetivos de seguridad, procedimientos (véase referencias más adelante). Debeestar fácilmente accesible de forma que los empleados estén al tanto de suexistencia y entiendan su contenido. Puede ser también un documento único oinserto en un manual de seguridad. Se debe designar un propietario que será elresponsable de su mantenimiento y su actualización a cualquier cambio que serequiera.

● Seguridad de un sistema informáticoLo primero que hemos de hacer es un análisis de las posibles amenazas quepuede sufrir el sistema informático, una estimación de las pérdidas que esasamenazas podrían suponer y un estudio de las probabilidades de que ocurran.

A partir de este análisis habrá que diseñar una política de seguridad en la que seestablezcan las responsabilidades y reglas a seguir para evitar esas amenazas ominimizar los efectos si se llegan a producir. Definimos Política de seguridad comoun “documento sencillo que define las directrices organizativas en materia deseguridad”.

La política de seguridad se implementa mediante una serie de mecanismos deseguridad que constituyen las herramientas para la protección del sistema. Estos

33

mecanismos normalmente se apoyan en normativas que cubren áreas másespecíficas.

Esquemáticamente:

Figura 4 Pasos de las Políticas de Seguridad

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevención:

Evitan desviaciones respecto a la política de seguridad.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posibleatacante capture (y entienda) información en un sistema de red.

2. Detección:

Detectan las desviaciones si se producen, violaciones o intentos de violación de laseguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

3. Recuperación:

Se aplican cuando se ha detectado una violación de la seguridad del sistema pararecuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos:

● Mecanismos de identificación y autenticaciónPermiten identificar de forma única 'entidades' del sistema. El proceso siguiente esla autenticación, es decir, comprobar que la entidad es quien dice ser.

Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

34

En concreto los sistemas de identificación y autenticación de los usuarios son losmecanismos más utilizados.

● Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de controlde acceso que establecen los tipos de acceso al objeto por parte de cualquierentidad del sistema.

● Mecanismos de separación

Si el sistema dispone de diferentes niveles de seguridad se deben implementarmecanismos que permitan separar los objetos dentro de cada nivel.

Los mecanismos de separación, en función de cómo separan los objetos, sedividen en los grupos siguientes: separación física, temporal, lógica, criptográfica yfragmentación.

● Mecanismos de seguridad en las comunicaciones

La protección de la información (integridad y privacidad) cuando viaja por la red esespecialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSHo Kerberos, que cifran el tráfico por la red.

METODOLOGÍA

Este proyecto de DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DELA INFORMACIÓN ORIENTADO A ORGANIZACIONES QUE PRESTANSERVICIOS IT, se hará uso de la metodología PHVA9 ya que es un ciclo queconstituye una de las principales herramientas de mejoramiento continuo en lasorganizaciones, utilizada ampliamente por los sistemas de gestión de la calidad(SGC) con el propósito de permitir a las empresas una mejora integral de lacompetitividad, de los productos ofrecidos, mejorado permanentemente la calidad;por lo que facilita tener una mayor participación en el mercado, una optimizaciónen los costos y una mejor rentabilidad. Por lo anterior, esta metodología cuentacon unos pasos claves para el desarrollo del proyecto, estos son:

9 Metodología PHVA: [<http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/>][Citado: Junio de 2015]

35

Figura 5 Esquema de Metodología PHVA

PLANIFICAR: En esta etapa se definen los objetivos de todo el SGSI y cómolograrlos, esto de acuerdo a políticas organizacionales y necesidades de losclientes, abarcando todas sus áreas funcionales, la planeación debe enfocarse ala seguridad y control definido de la información. Aquí se debe tener en cuenta losprocesos, personas, información y demás elementos que afectar el proyecto, sedebe establecer algunos tiempos estándares de ejecución para las actividadesdesignadas y la afectación que pueden provocar en la empresa.

HACER: Es ejecutar lo planeado, en esta etapa es recomendable hacer pruebaspilotos antes de implantar los procesos definidos. En su desarrollo se puedeevidenciar los riesgos que se puede llegar a tener cuando se hace un estudiogeneral de esta empresa.

VERIFICAR: En esta etapa comprobamos que se hayan ejecutado los objetivosprevistos mediante el seguimiento y medición de los procesos, confirmando queestos estén acorde con las políticas y a toda la planeación inicial dependiendo delestudio realizado, algunos procesos deben estar en constante verificación ymedidos para evitar riesgos a futuro.

ACTUAR: Mediante este paso se realizan las acciones para el mejoramiento deldesempeño y rendimiento de los procesos, se corrigen las desviaciones, se

36

estandarizan los cambios y se debe dejar por escrito la documentación requeridapara información de la empresa.

Es importante contar con esta metodología de PHVA, ya que es en este nivel endonde se deben buscar las estrategias que le permita a las empresas liderar elmercado, ser auto-sostenibles y rentables ante las competencias.

1.8. FACTIBILIDAD (TÉCNICA, OPERATIVA, ECONÓMICA Y LEGAL)

1.8.1. FACTIBILIDAD TÉCNICA

● Recursos De Hardware.

El proyecto será desarrollado con equipos propias de nosotros, los cuales tienenlas siguientes característica:

Tabla 2 Factibilidad Técnica

NOMBRE CARACTERISTICA

Marca Toshiba, Samsung

Modelo Toshiba, Samsung

Procesadores Core i7

Memoria RAM de 4 GB

Discos Duros 1 TB

Tarjetas de Red Gigabyte Ethernet Broadconm NetXtreme

Teclado Genius, USB, Latinoamericano

Mouse Genius, USB, óptico

● Recursos De Software

Entre los recursos de software más importantes se encuentran:

1. Sistema Operativo Windows 7 Profesional

2. Microsoft Office

3. Notepad 6.1.34. Filezilla

37

1.8.2. FACTIBILIDAD OPERATIVA

En la actualidad, los sistema de gestión de seguridad de la información orientado aorganizaciones que prestan servicios de tecnologías de la información (IT), sonmuy importantes para la parte operacional de los datos dentro de un sistema, yaque cumplen un papel importante tanto en el envío y recepción de la informaciónpor todo el sistema de red. La seguridad es un tema operativo que va a serrevisado en este proyecto y dependiendo del grado de complejidad que se tengaen cada área, se instalarán políticas de seguridad que den fiabilidad sobres losdatos manejados por los empleados dentro de la empresa.

1.8.3. FACTIBILIDAD LEGAL

En esta tabla se contemplan todos los precios de licenciamientos y demásrecursos que ayudarán a establecer legalmente el proyecto.

Tabla 3 Factibilidad LegalSoftware ValorLicencia Sistema Windows $320.000Licencia de Office $135.000Licencia de software de programación (libre) $0TOTAL COSTO $455.000

1.8.4. FACTIBILIDAD ECONÓMICO

La factibilidad económica que se describe a continuación serán las herramientasque nos permitirán generar mejor los procesos y desarrollos establecidos en elproyecto, estos son:

Se dividió en tres aspectos, recursos humanos, recursos técnicos y otros recursos,la distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad deRecursos Humanos.

38

Tabla 4 Factibilidad Económica Recursos humanosTipo Descripción Valor Cantidad Total

Creadores delProyecto

Dos analistas y/o diseñadoresque realicen laimplementación de todos losprocesos en el proyecto.

$ 40.000por día.

(120 días) *(2) = 240días

$ 9’600.000

Tutor Tutor asignado para lasasesorías

31000 pordía.

150 días $ 4´650.000

TOTAL 14´250.000

Los gastos mostrados fueron realizados acorde al tiempo y costo de laelaboración.

Tabla 5 Factibilidad Económica Recursos TécnicosTipo Descripción Valor Cantidad Total

Computadores Equipos de escritoriopara el desarrollo delSistema de Gestión dela Seguridad de laInformación.

$ 1800000Cada equipo 2 PC $ 3’600.000

TOTAL $3´600.000

Tabla 6 Factibilidad Económica Otros imprevistosTipo Descripción Valor Cantidad Total

Otros Papelería, lapiceros,cuadernos y demás.

$ 200000 Útiles $ 200.000

Imprevistos Actividades imprevistas.(15%) N/A $ 2’010.000

TOTAL $2´210.000

39

A continuación se mostrará el total de los recursos para el desarrollo y el análisisdel proyecto:

Tabla 7 Factibilidad Económica Costo TotalRecurso ValorTotal Recursos Humanos $14.250.000 en totalidadTotal Recursos Técnicos $ 3´600.000Costos imprevistos (15%) y Otros. $ 2.210.000TOTAL COSTO $20.060.000

Los costos se realizarán por medio de financiación propia, de los ejecutores delproyecto, los tiempos los costos relacionados a la ejecución de estos soncosteados por las personas participantes; en cuanto a equipos y recursos técnicosse realizarán con los equipos propios de los ejecutores, pero de igual manera seindica el costo de los mismos, al igual que el tiempo de los ejecutores.

Los costos del tutor, son responsabilidad de la universidad, quien presta esteservicio de tutoría y quien cubre con estos costos, pero de igual manera se tieneen cuenta para englobar el proyecto, en el aspecto financiero.

40

1.9. CRONOGRAMA DE ACTIVIDADES

41

DESARROLLO DEL PROYECTO

2. DISEÑO METODOLÓGICO

En siguiente proyecto se hará énfasis en temas de gran relevancia para unSistema de Seguridad de la Información (SGSI) en este caso enfocado hacia lasTecnologías de la Información, por ello este proyecto abarca temas como laspolíticas de seguridad, organización de la seguridad de la información, gestión deactivos, control de acceso, seguridad de los recursos humanos, cumplimiento,seguridad física y del entorno, adquisición, desarrollo y mantenimiento de sistemasde información, gestión de las comunicaciones y operaciones, gestión de lacontinuidad del negocio y ante todo gestión de incidentes de seguridad de lainformación involucrados por todo el sistema de red. Con base en esto siguiendolas recomendaciones de la Norma ISO/27001 y la metodología para gestión delriesgo MAGERIT, por ello se empezará con el desarrollo de cada uno de lossiguientes ítems.

2.1. CONOCIMIENTO DEL ENTORNO

Como se habló en algunos apartados de la unidad anterior, este proyecto tienecomo enfoque las compañías con Core de negocio, la prestación de servicios IT,comprendemos que pueden ser distintas entre sí, pero de una u otra formaguardan sus similitudes, a ellas es que queremos acercarnos, para ello comocompañía de referencia, hemos seleccionado una de este sector, esto quiere decirque sobre ella haremos un análisis y estudio de su situación actual, y con base enesto, realizaremos una guía SGSI, para empresas de este sector, lo cual noinvolucra que se vaya a intervenir la empresa de una forma distinta a un estudio.

2.1.1. CONOCIMIENTO DEL ENTORNO

La empresa seleccionada es CDS, “Consulting Data Systems”, una empresa delsector de servicios de TI, y como su eslogan los indica “Soluciones que integrantecnologías de información”, donde encontramos:

MisiónOfrecer soluciones integrales de tecnología y tercerización de procesos, con unalto grado de optimización y eficiencia de nuestro portafolio de servicios, cuyopropósito final es la satisfacción del cliente, así como la socialización debeneficios para los colaboradores y accionistas de CDS SAS.

42

Visión

Consolidar la empresa y aumentar su participación en el mercado nacional através de soluciones de valor e integración de tecnologías verdes, generando a lavez mayor bienestar para sus colaboradores y asociados, haciendo de ConsultingData Systems CDS SAS un gran lugar para trabajar.

Valores Compromiso con nuestros clientes y colaboradores Cumplimiento de los compromisos Pensamiento social Relevancia del trabajo en equipo Fe en lo que se hace

Portafolio

Integración Soluciones TI: Como integrador de sistemas, CDS SAS se especializaen el dimensionamiento de soluciones de tecnologías de información queoptimizan las operaciones de su organización. Nuestra compañía ha realizadoalianzas con los principales fabricantes de hardware y software, lo cual le permiteofrecer un portafolio de productos para cubrir las necesidades tecnológicas de susclientes. Ofrecemos equipos eficientes, con altos niveles de calidad y soporte anivel nacional, pensando siempre en que sean amigables con el medio ambiente.

Tercerización Procesos y Servicios: La competitividad es pieza clave dentro de laestrategia gerencial de toda organización que piense en mantenerse con índicesadecuados de utilidad y participación en el mercado, y a la vez avanzar en sucrecimiento hacia el futuro; es por ello que la tercerización de procesos esindispensable para la eficiencia de las compañías y su viabilidad en el tiempo.Pensando en esto integramos en nuestro portafolio la unidad de servicios deOutsourcing, ofreciendo soluciones y servicios a la medida de sus necesidades.

Consultoría y Proyectos Investigación: Los servicios de consultoría ofrecidos porConsulting Data Systems,, están enfocados en dos áreas específicas del mercado:la integración de soluciones tecnológicas y los procesos de contratación estatal.Nuestros asociados cuentan con más de 15 años en el manejo de gruposcomerciales con enfoque consultivo en tecnologías de información y las

43

comunicaciones (TIC´s). Durante ese mismo tiempo, como empleados oconsultores externos han asesorado múltiples procesos de contratación con elsector público, acumulando conocimientos y competencias que hoy ponen adisposición de las organizaciones a través de procesos de consultoría.

CDS, es una compañía con su sede principal, en la ciudad de Bogotá, su sedeconsta de dos pisos, en donde, concurren las áreas de la compañía, que son, ypara facilidad del análisis se distribuyen así:

● Departamento Comercial y Área Administrativa.● Gerencia de TI.● Departamento de Sistemas de Información.● Departamento de Planeación Tecnológica.● Departamento de Operaciones.

Toda la conexiones hacia internet, de los equipos de la compañía, se realizan pormedio de una red inalámbrica, claro está que para los gerentes hay una redinalámbrica dedicada, los datos corporativos del personal de la compañía sonalmacenados en los equipos de trabajo de los mismos, la información másrelevante se guarda en una unidad NAS, pero esta se usa para guardar sobre todolicencias de software, inventarios o backup de equipos.

La compañía posee un solo proveedor de internet, que es ETB, los equipos deconectividad constan de los equipos provistos por la compañía proveedora delservicio y de un router y un switch, propios de CDS, es una mirada rápida seobserva deficiencias en la seguridad de estos quipos de comunicación,inicialmente se encuentras al lado de un baño, lo cual puede generarse enhumedades, y afectación de los equipos de comunicación; además se observaque no hay un control de acceso adecuado a estos equipos; por otra parte a nivellógico, se observa que no se posee un dominio creado, para los equipos de la red(Ni siquiera grupos de trabajo), no se maneja información cifrada o encriptado,entre otros elementos de configuración de seguridad, que por el momento no esnecesario hablar, pero que en el desarrollo de este proyecto se irán destacando.

44

2.2. CONTROL Y SUPERVISIÓN DE LA INFORMACIÓN

2.2.1. Definición de procesos, organización y relaciones TI

Figura 6 Esquema de seguridad de la información

2.2.1.1. Marco de trabajo de los procesos TI

El establecimiento del alcance de los procesos es un paso muy importante alemprender cualquier actividad que tenga como objetivo gestionar el riesgo sobreun grupo de activos pertenecientes a un proceso organizacional, ya que el alcancees el que nos establecerá cuál será el rango de acción sobre el cual se deberáninvertir esfuerzos para minimizar el riesgo de materialización de un incidente quepueda afectar nuestros activos de información respecto a su confidencialidad,integridad, disponibilidad y trazabilidad; por lo que se debe mitigar el riesgo sobreactivos que no tengan tanta relevancia para la organización y así determinar elalcance frente a inversiones de recursos y esfuerzo para que cumplan el objetivopropuesto y minimizar el riesgo sobre los activos de información que seencuentren involucrados dentro del alcance del proyecto.

2.2.1.2. Clasificación de la estructura organizacional de lainformación

El sistema de clasificación es fundamental para la construcción del inventario deactivos debido a que el inventario es el recurso en el cual servirá de guía para laadministración de los activos.

45

a) Confidencialidad:

Tabla 8 Factibilidad de los activos de información

NIVEL DESCRIPCIÓN DETALLADA DEL NIVEL

ALTO En este nivel se verán impactados los objetivosestratégicos de la empresa.

MEDIO En este nivel se verán impactados los clientes yconsultores involucrados en el manejo de lainformación.

BAJO En este nivel se verá reflejado el impacto sobre todoslos procesos que componen a la empresa.

MUY BAJO En este nivel los procesos serán impactados de formanegativa.

Teniendo en cuenta estos niveles de valoración de la información se estableceránlos modelos de información y lineamientos de acuerdo a la siguiente clasificaciónde confidencialidad:

Figura 7 Esquema de clasificación de la confidencialidad

b) Integridad

Con respecto a la integridad tomaremos como base los controles básicos que sedeben seguir en la protección de los activos de la información dependiendo de sufidelidad y alteración.

46

Figura 8 Esquema de clasificación de la integridad

c) Disponibilidad

En la parte de la disponibilidad se proporcionan los controles básicos paragarantizar que los activos estén disponibles en todo momento.

Figura 9 Esquema de clasificación de la disponibilidad

47

2.2.1.3. Aseguramiento de calidad identificando niveles de criticidad

En este paso hacemos referencia al grado de importancia que tiene un activorespecto a factores de confidencialidad, integridad, disponibilidad y trazabilidad.

a) Confidencialidad

Con los niveles de valoración descritos anteriormente en la clasificación de lainformación, en la confidencialidad se establecerá un inventario de activos decriticidad que nos de una forma más organizada de plantear la informaciónrecogida a lo largo del trámite de un proceso, para ello se hará uso del siguienteformato:

Tabla 9 Ejemplo de Criticidad de la confidencialidad

NOMBRE DESCRIPCIÓN CRITICIDAD

Administrador deClientes

Es una activo de carácter restringido de manejo deinformación del cliente, donde se componen deinformaciones de líneas telefónicas, móviles, y todas suscaracterísticas respectivas.

Alto

Gestión PQR Es la aplicación de carácter público donde se gestionanlas peticiones y quejas de los clientes sobre las líneas ysu funcionamiento.

Baja

b) Integridad

La criticidad de la integridad debe realizarse dependiendo de la informaciónadquirida respecto a cada activo, por lo que se determinará un nivel deresponsabilidad respecto a su criticidad, para ello se establecerá el siguientecuadro:

Tabla 10 Ejemplo de Criticidad de la Integridad


Ingreso Portalempresarial

Es una activo con integración que si deja de funcionarocasiona pérdidas económicas en cada proyecto.

Alto

Gestión deconsultas

La integridad de este activo no representa cambiosimportantes dentro del funcionamiento de los procesos.

Baja

48

c) Disponibilidad

La criticidad de la disponibilidad hace referencia a los procesos que estándisponibles y que son más importantes para la empresa, el siguiente esquemaevidencia la información ingresada para el control de la información disponible enun sistema:

Tabla 11 Ejemplo de Criticidad de la Disponibilidad


Ambiente deProducción

La disponibilidad del activo es de mucha importancia paralos procesos de la empresa.

Alto

Impresora La disponibilidad es relevante, ya que si una no funciona seactiva la otra para la impresión.

Muy bajo

2.2.2. Identificación del Riesgo con seguridad y cumplimiento

En este proceso se harán las entrevistas con cada uno de los mandos de cadadepartamento involucrado en la empresa y así saber la activos de información queson más importantes y de mayor responsabilidad para ser incluidos en una matrizde riesgos y realizar su correspondiente nivel de valoración y criticidad frente a lainformación adquirida.

2.2.2.1. Tipos de riesgosLos tipos de riesgos involucrados en la empresa CDS – Consulting Data SystemsSAS, respecto a su confidencialidad, integridad, disponibilidad y trazabilidad seránreflejados en el siguiente cuadro:

Tabla 12 Riesgos presentes

RIESGOS DESCRIPCIÓN CAUSAS CONSECUENCIASPOTENCIALES

Insuficiencia deRecursos

Carencia de recursosfinancieros, humanos y/otécnicos en el momentoque se requieran para lamejora y/o prestación deun servicio óptimo y debuena calidad

Implementación denuevas leyes y políticas.

Falta de estimación derecursos.

Aparición de

Falla en la prestaciónde soporte a nivel desoftware y hardware.

Incumplimiento de losacuerdos de niveles deservicio establecidos.

49


Imprevistos frente anuevas necesidades.

PlanificaciónTecnológica apresuraday no detallada.

Procedimientosinnecesarios, entreáreas.

Problemas en ladisponibilidad de losservicios.

Plataforma tecnológicay softwaredesactualizados.

Pérdida de calidad en elservicio prestado.

Costos nocontemplados.

Errores y manejo derecursos inadecuadopor personal nocapacitado.

Deficiencia enla prestación delos servicios

No suministro de losservicios y/o productosen los momentos en quelos demanda el usuario,falla en las aplicaciones.

No disponibilidad derecursos técnicos yhumanos.

Falla en compromisoscontratados.

Mantenimientosirregulares o falta deestos.

Equipos de centros decómputo deficientes.

No contemplación detemas legales.

Cargos a personas, que

Incumplimiento de losacuerdos de niveles deservicio establecidos.

Tiempos extra nocontemplados enprocesos y resultados.

Indicadores decumplimiento nocumplidos.

Pérdida de información,calidad y recursos.

Intrusiones nodeseadas.

50


no poseen el perfiladecuado eincompatibilidad entresoftware y Hardware.

Pérdida dedisponibilidad,integridad yconfidencialidadde lainformación

No preservación yadministración de laconfidencialidad,integridad ydisponibilidad de lainformación, además deotras propiedades talescomo la autenticidad,responsabilidad, norepudio y confiabilidad dela información.

Falta de educacióntecnológica enseguridad.

Procedimientosinadecuados o nocontemplados.

Mantenimientosirregulares o falta deestos.

No priorización de lasaplicaciones críticas.

Tráfico de red, nocontemplado y/ocontrolado.

Cargos a personas, queno poseen el perfiladecuado.

Uso inadecuado de lainformación.

Procedimientosinnecesarios, entreáreas.


Vulnerabilidades de lasidentidades.

Información que esconfidencial quedaabierta o pública.

Fraude, sabotaje ypérdida de información.

Antivirus no funcional.

51


Planeación yadquisición deHardware ySoftware errada

Equivocación o error enla toma de decisiones, noverificación decompatibilidad, elecciónpor costos menores, notener claro lasnecesidades requeridas.

PlanificaciónTecnológica apresuraday no detallada.

Desconocimiento de lassoluciones existentes.

NO tener claridad de lasnecesidades.

Cargos a personas, queno poseen el perfiladecuado.

Constante cambio depersonal.

Recortespresupuestales.

Resultados noadecuados o noesperados.


Vida útil y/o licencias,por períodosinadecuados.

Mal funcionamiento deHardware y Software.

Rendimiento de la redy/o plataformasinsuficiente.

Productividad noadecuada.

Tiempo de respuestademasiados altos.

Tiempos de procesosdemasiado altos.

Reprocesos de lasactividades.

Incompatibilidad deherramientas.

52

2.2.3. Acreditar soluciones y estimación del Riesgo

Los riesgos nacen de los factores anteriormente descritos, ya que lasvulnerabilidades y amenazas se pueden materializar en un riesgo si no se tiene unprevio control sobre él, por ello las consecuencias se deben tener en cuenta entérminos económicos, operacionales, legales y sobre todo con énfasis a losclientes los cuales son el elemento que le da supervivencia a el desarrollo de laempresa.

2.2.3.1. Probabilidad de materialización para la planeación el cambioA continuación mostramos la escala generada para tener control sobre un posibleriesgo que se materialice de acuerdo a su nivel:

Tabla 13 Escala de probabilidad

PROBABILIDAD CARACTERISTICA ESCALA

Raro El resultado más esperado. 1 (0-15 %)

Improbable Completamente posible. 2 (16-35 %)

Moderado Una consecuencia rara pero posible que suceda. 3 (36-55 %)

Probable Coincidencia muy rara, pero ha ocurrido alguna vez. 4 (56-74 %)

Certeza Prácticamente imposible jamás ha ocurrido. 5 (75-100 %)

2.2.3.2. Revisión de Impacto implantadoLa escala de impacto se determinará de acuerdo a afectaciones operativas, decredibilidad de imagen, de parte legal y económicas:

Tabla 14 Escala de impacto

NIVEL CARACTERISTICA ESCALA

Muy Alto Impacta de forma leve el modelo de negocio. 5

Alto Impacta algunas de las operaciones y procesos. 4

Moderado Impacta la información del proyecto. 3

Bajo Impacta tanto a la empresa como a los proveedores. 2

Insignificante Impacta de forma leve la información 1

53

A continuación mostraremos una escala entre la probabilidad y el impacto quegeneraría un riesgo si se llegara a materializar:

Tabla 15 Probabilidad y Impacto en los diferentes riesgos

RIESGOCALIFICACIÓN TIPO

IMPACTOEVALUACION

ZONA DERIESGO

MEDIDAS DERESPUESTA

PROBABILIDAD IMPACTO

Insuficiencia deRecursos

3 2 Operativo Zona deRiesgoModerada

Reducir ycompartir elRiesgo

Deficiencia enla prestación delos servicios

3 3 Credibilidadde Imageny/uOperativo

Zona deRiesgo Alta

Asumir yreducir elRiesgo

Pérdida dedisponibilidad,integridad yconfidencialidadde lainformación

3 2 Legal,Imagen y/uOperativo

Zona deRiesgoModerada

Asumir yreducir elRiesgo

Planeación yadquisición deHardware ySoftware errada

3 3 Operativo Zona deRiesgo Alta

Asumir elRiesgo

2.2.4. Administración y Evaluación Del Riesgo de operación

Los controles y las mejoras sobre los riesgos es una parte fundamental para laempresa, por lo que el nivel de aceptación de cada uno de los activos deinformación y demás procesos que forman parte de la empresa serándeterminados de forma continua para reducir a lo más mínimo el índice dematerialización de un riesgo.

54

Tabla 16 Matriz Probabilidad vs Impacto

2.2.5. Mantenimiento y Tratamiento Del Riesgo

La identificación de opciones o medidas para el tratamiento del riesgo parte delanálisis de las vulnerabilidades y necesidades que perciba la organizaciónrespecto a mantener la seguridad de sus activos de información, la elección demedidas de seguridad luego de realizado el análisis de vulnerabilidades se vesoportado por varios controles los cuales serán mostrados en el Anexo A:Controles y políticas de seguridad.

2.2.6. Monitoreo y Revisión del riesgo

2.2.6.1. Identificación de cambiosLos cambios identificados en los activos de la información afectan de una u otraforma múltiples variables las cuales podrían desencadenar situaciones de riesgoen la seguridad de la información, por lo cual el monitoreo y la revisión de losincidentes que se identifican a tiempo permiten prevenir riesgos que afecten laintegridad de la empresa y los activos principales de la información.

2.2.6.2. Análisis de incidentes de seguridadEl análisis de los incidentes permite fortalecer la confianza respecto a la seguridadde la información, ya que las organizaciones pueden dar retroalimentación y tomarmedidas de los incidentes que podrían prevenir en un futuro.

55

Todo esto incluye el cumplimiento de controles sobre los activos principales de laempresa que serán tratados más adelante a lo largo del proyecto, allí se veránreflejados las responsabilidades, los dominios y las estructuras que definen eldominio de la gestión de control.

2.3. ACTIVOS DE INFORMACIÓN OBJETO DE ANÁLISIS

Para una compañía es de vital importancia conocer e identificar qué activos sonesenciales, importantes y que generan valor a sí misma, el análisis permiteidentificar de manera eficiente esos activos, los cuales e pueden clasificar para laconveniencia de la compañía, los grandes grupos que podemos clasificarlo son:

Departamento Comercial y Área Administrativa. Gerencia de TI. Departamento de Sistemas de Información. Departamento de Planeación Tecnológica. Departamento de Operaciones.

Una vez se identifican los activos de información se debe realizar lacorrespondiente actualizaciones del inventario de activos, y su correspondienteasignación e identificación de niveles de responsabilidad, riesgo, protección, entreotros.

A continuación se presenta una compilación de las características de las áreas dela compañía.

2.3.1. Análisis de Activos

Al hacer el análisis de activos, y registrarlos en el inventarios, podemos determinary analizar las cantidad de dichos activos, su tipo, para asi medir y asignar losniveles de protección, responsabilidad, criticidad, afectación, de los mismos, y asipoder expresarlos en cuadros que permita tener estadísticas, para poder tener uncontrol efectivo de los mismos.

Para cada una de las áreas de la compañía, se debe analizar y especificar en losdocumentos específicos de inventarios, los siguientes aspectos:

Número de activos. Especificado por tipo de activos.

56

Valor de criticidad de cada activo. (Muy Alto - Alto - Medio - Bajo -Muy Bajo), se puede generar gráficos correspondientes.

Riesgos asociados a los activos, matriz de riesgos. Responsabilidades de los activos.

2.3.2. Departamento Comercial y Área Administrativa

A esta área corresponde los activos, que están en las áreas de tipo administrativo,y del área comercial, donde la criticidad se enfoca a la parte contable y la parte decompras y gestión de los valores de la compañía, y el inventario correspondiente alos valores de los mismos activos.

2.3.3. Gerencia de TI

Aquí en esta se representa también las dos áreas siguientes DepartamentoSistemas de Información y Departamento Planeación Tecnológica, Es elcorrespondiente a los activos que manejan la infraestructura propia de lacompañía, todos los componentes de comunicación, y tecnología relacionados,Aquellos que se representan en bases de datos y repositorios de información. Esdecir todo aquello que es responsabilidad de la gerencia de IT.

2.3.4. Departamento Operaciones

Aquí se representa todos los activos correspondientes a la operación de lacompañía y los servicios que presta esta, esta es quizás la que representa mayorcambio, porque aquí están representados los activos que se llevan a los clientes,que son vendidos, pero que en la compañía cumplen un proceso.

2.4. INVENTARIO DE ACTIVOS

Para una organización es de vital importancia la gestión y control de sus activos,porque con ellos es que procede a la ejecución de todas las labores, de lacompañía, de la implementación de la gestión de activos, consiste en el desarrollode los controles asociados a cada objetivo de control, este desarrollo se debellevar a cabo mediante ciertos procesos asociados a cada control, teniendo encuenta que los objetivo de control y controles asociados a este dominio sondescrito de adecuadamente.

57

Tabla 17 Activos Responsabilidad de los activos1. Gerencia de Activos1.1. Responsabilidad de los Activos.Objetivo: Para alcanzar y mantener la protección apropiada de activosde organización.1.1.1 Inventario de

Activos.Todos los activos serán identificados y uninventario de todos los activosimportantes elaborados y será mantenidoclaramente.

1.1.2 Propiedad deActivos.

Toda la información y activos asociadosa las instalaciones del tratamiento de lainformación serán poseídos, por unaparte específica de la organización.

1.1.3 Uso aceptablede Activos.

Las reglas para el uso aceptable de lainformación y de los activos asociados alas instalaciones del tratamiento de lainformación serán identificadas,documentados y puestos en ejecución.

Tabla 18 Activos Clasificación de la información1. Gerencia de Activos1.2. Clasificación de la informaciónObjetivo: Para asegurarse de que la información reciba un nivelapropiado de protección.1.2.1 Pautas de la

clasificación.La información será clasificada entérminos de su valor, requerimientoslegales, sensibilidad y criticidad de laorganización.

1.2.2 Informaciónque etiqueta yque dirige.

Un sistema apropiado de losprocedimientos para la información queetiqueta y que dirige será desarrollado ypuesto en ejecución de acuerdo con elesquema de la clasificación adoptado porla organización.

58

2.4.1. Responsabilidad por los activos

Objetivo: Lograr y mantener una apropiada protección de los activosorganizacionales.

Todos los activos debieran ser inventariados y contar con un propietario nombradoy/o una persona responsable de dicho activo.

Los propietarios debieran identificar todos los activos y se debiera asignar laresponsabilidad por el mantenimiento de los controles apropiados. Laimplementación de controles específicos puede ser delegada por el propietarioconforme sea apropiado, pero el propietario sigue siendo responsable por laprotección apropiada de los activos.

2.4.2. Inventario de los activos

Se debieran identificar todos los activos, elaborar y mantener un inventario detodos los activos importantes y documentar la importancia de estos activos. Elinventario de los activos debe incluir información necesaria para poderrecuperarse en caso de desastre; incluyendo el tipo de activo, formato, ubicación,información de respaldo, información de licencias y un valor comercial.

El inventario no debiera duplicar innecesariamente otros inventarios, pero sedebiera asegurar que el contenido esté alineado. Además, se debiera acordar ydocumentar la propiedad y la clasificación de la propiedad para cada uno de losactivos.

Basados en la importancia del activo, su valor comercial y su clasificación deseguridad, se debieran identificar los niveles de protección que se conmensuracon la importancia de los activos.

Para una empresa, es importante clasificar e identificar claramente cada activos,en unas categorías específicas que permite, así dar el manejo necesario y dar susniveles de protección, recuperación e importancia dentro de la compañía.Entre los más importantes para nuestro caso podemos tener:

59

● Activos de Información: Bases de datos y archivos de data, contratos yacuerdos, documentación del sistema, información de investigaciones,manuales del usuario, material de capacitación, procedimientosoperacionales o de soporte, planes de continuidad del negocio, acuerdospara contingencias, rastros de auditoría e información archivada.

● Activos de software: Software de aplicación, software del sistema,herramientas de desarrollo y utilidades.

● Activos físicos: Equipo de cómputo, equipo de comunicación, infraestructurade red, medios removibles y otro equipo.

● Activos de Servicios: servicios de computación y comunicación, serviciosgeneral, todos aquello relacionado con la correcta prestación de losservicios existentes en la compañía, como por ejemplo: Servicios públicos,electricidad, refrigeración, entre otros.

● Activo Humano: Personas, y sus calificaciones, capacidades, experiencia ysobre todo el conocimiento que la persona tiene sobre el negocio de lacompañía y como este ayuda a la resolución de tareas y problemas de lacompañía.

● Activos Intangibles, tales como la reputación y la imagen de la organización.Aquello que no vemos pero que le puede generar valor a la empresa.

Ya teniendo los inventarios de los activos, estos nos ayudan a asegurar:

● Niveles de protección de los activos.● Poder ofrecer a los clientes claramente los servicios y productos.● Gestión de propósitos comerciales.

El proceso de compilar un inventario de activos es un pre-requisito importante dela gestión del riesgo.

2.4.3. Propiedad de los activos

Toda la información y los activos asociados con los medios de procesamiento deinformación debieran ser propiedad de una parte designada de la organización, ydentro de esta asumir los roles de responsabilidades adecuadas, bien sea comopropietario, prestamista o custodio entre otros.

60

El propietario del activo debiera ser responsable de:

● Asegurar que la información y los activos asociados con los medios deprocesamiento de la información sean clasificados apropiadamente.

● Definir y revisar periódicamente las restricciones y clasificaciones deacceso, tomando en cuenta las políticas de control de acceso aplicables.

La propiedad del activo puede ser asignada a:

● Un proceso comercial.● Un conjunto de actividades definido.● Una aplicación.● Un conjunto de data definido.

El término “propietario” identifica una persona o entidad que cuenta con laresponsabilidad gerencial aprobada de controlar la producción, desarrollo,mantenimiento, uso y seguridad de los activos. El término “propietario” no significaque la persona en realidad tenga algún derecho de propiedad sobre el activo.

Se debieran identificar, documentar e implementar reglas para el uso aceptable dela información y los activos asociados con los medios del procesamiento de lainformación. Todos los empleados, contratistas y terceros debieran seguir lasreglas para el uso aceptable de la información y los activos asociados con losmedios del procesamiento de la información, incluyendo:

● Reglas para la utilización del correo electrónico e Internet.● Lineamientos para el uso de dispositivos móviles, dentro y fuera de la

empresa (Movies corporativos), o los cuales contengan información desensible de la compañía.

La gerencia de tecnología deberá proporcionar reglas específicas. Los empleados,contratistas y terceros que usan o tienen acceso a los activos de la organizacióndebieran estar al tanto de los límites existentes para su uso de la información y losactivos asociados con los medios y recursos del procesamiento de la informaciónde la organización. Ellos debieran ser responsables por el uso que le den acualquier recurso de procesamiento de información, y de cualquier uso realizadobajo su responsabilidad.

61

2.4.4. Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.

La información debiera ser clasificada para indicar la necesidad, prioridades ygrado de protección esperado cuando se maneja la información. La informacióntiene diversos grados de confidencialidad e importancia. Algunos ítems puedenrequerir un nivel de protección adicional o manejo especial. Se debiera utilizar unesquema de clasificación de información para definir un conjunto apropiado deniveles de protección y comunicar la necesidad de medidas de uso especiales.

2.4.5. Lineamientos de clasificación

Se debiera clasificar la información en términos de su valor, requerimientoslegales, sensibilidad y grado crítico para la organización.

Las clasificaciones y los controles de protección asociados para la informacióndebieran tomar en cuenta las necesidades comerciales de intercambiar o restringirinformación y los impactos comerciales asociados con dichas necesidades. Loslineamientos de clasificación debieran incluir protocolos para la clasificación inicialy la reclasificación a lo largo del tiempo; en concordancia con alguna políticapredeterminada de control de acceso.

Debiera ser responsabilidad del propietario del activo, definir la clasificación de unactivo, revisar periódicamente y asegurarse que se mantenga actualizada y en elnivel apropiado. Se debiera tener en consideración el número de categorías declasificación y los beneficios a obtenerse con su uso. Los esquemas demasiadocomplejos pueden volverse engorrosos y anti-económicos de utilizar o puedenvolverse poco prácticos. Se debiera tener cuidado al interpretar los encabezadosde la clasificación en los documentos de otras organizaciones, los cuales puedentener definiciones diferentes para encabezados con el mismo nombre o nombresimilares.

Se puede evaluar el nivel de protección analizando la confidencialidad, integridady disponibilidad, y cualquier otro requerimiento para la información considerada.Con frecuencia, la información deja de ser sensible o crítica después de cierto

62

período de tiempo, por ejemplo, cuando la información se ha hecho pública. Sedebieran tomar en cuenta estos aspectos, ya que la sobre-clasificación puedellevar a la implementación de controles innecesarios resultando en un gastoadicional.

Agrupar documentos con requerimientos de seguridad similares cuando seasignan niveles de clasificación podría ayudar a simplificar la tarea declasificación. En general, la clasificación dada a la información es una manerarápida para determinar cómo se está manejando y protegiendo la información.

2.4.6. Etiquetado de los Activos

Se debiera desarrollar e implementar un conjunto apropiado de procedimientospara el etiquetado y manejo de la información en concordancia con el esquema declasificación adoptado por la organización. Los procedimientos para el etiquetadode la información necesitan abarcar los activos de información en formatos físicosy electrónicos. El output de los sistemas de conteniendo información que esclasificada como sensible o crítica debiera llevar la etiqueta de clasificaciónapropiada. El etiquetado debiera reflejar la clasificación de acuerdo a las reglasestablecidas.

Para cada nivel de clasificación, se debiera definir los procedimientos de manejoseguros; incluyendo el procesamiento, almacenaje, transmisión, de clasificación ydestrucción. Esto también debiera incluir los procedimientos de la cadena decustodia y el registro de cualquier incidente de seguridad relevante. Los acuerdoscon otras organizaciones que incluyen intercambio de información debieran incluirprocedimientos para identificar la clasificación de esa información e interpretar lasetiquetas de clasificación de otras organizaciones.

El etiquetado y el manejo seguro de la información clasificada es un requerimientoclave para los acuerdos de intercambio de información. Las etiquetas físicas sonuna forma común de etiquetado. Sin embargo, algunos archivos de información,como documentos en forma electrónica, no pueden ser etiquetados físicamente yse necesitan medios electrónicos para el etiquetado. Por ejemplo, la etiqueta denotificación puede aparecer en la pantalla. Cuando no es factible el etiquetado, sepueden aplicar otros medios para designar la clasificación de la información; porejemplo, mediante procedimientos o meta-data.

63

3. IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LAINFORMACIÓN (SGSI)

La administración de las seguridad dentro de la compañía, requiere que serealicen actividades que garanticen la anulación o mitigación de los riesgos, quese puedan presentar para los activos de información y en general para lacompañía, y con ello poder conocerlos, gestionarlos, documentarlos, tramitar sufinalización, que permitan proceder en caso de nuevas presentación de losmismos riesgos, en conclusión controlarlos de la manera adecuada.

El estándar ISO/IEC 27001:2005, sigue un enfoque por procesos el cual a medidaque avanza permite que el Sistema sea perfeccionando a través de la mejoracontinua.

Esta mejora continua cumple con un ciclo iterativo, que conlleva cuatro fases,como se muestra en el siguiente diagrama:

Figura 10 Diagrama de implementación del SGSI

Este ciclo se conoce con las siglas o ciclo Deming el cual fue descritoanteriormente en este documento.

64

3.1. ESTABLECER EL SGSI (PLANIFICAR)

Definir el alcance del SGSI: La compañía debe definir el ámbito de aplicación delSGSI, el cual se detalla en el ítem Requisitos de Documentación del presentedocumento.

Definir la política de Seguridad de la información: La Política que orienta laforma en cómo la compañía debe gestionar la seguridad de sus activos deinformación, para todos los niveles de la compañía. Especificación en el ítemGestión de Auditorías Internas.

Definir un enfoque sistémico hacia la evaluación del riesgo: La compañía debedesarrollar un marco para la administración del riesgo dentro de su sistema degestión orientado a materializar la Política de Seguridad de la Información, dadaslas numerosas amenazas y vulnerabilidades que pueden afectar los activos de lacompañía. Es importante que en cada uno de los procesos que son desarrolladosen la organización se conozcan claramente los riesgos a los cuales estánexpuestos sus activos y determinar con criterios claros y objetivos las opcionespara su tratamiento.

Gestionar adecuadamente los riesgos requiere considerar varios elementosrelacionados con los activos, analizar los riesgos proporciona un modelo delsistema en términos de activos, amenazas y salvaguardas y es la piedra angularpara controlar todas las actividades con fundamento. La gestión de riesgos es laestructuración de las acciones de seguridad para satisfacer las necesidadesdetectadas por el análisis.

Identificar riesgos: Teniendo en cuenta la Política de Seguridad de la Información yel alcance del SGSI, cada responsable de proceso de identificación de activos enla cual se detalla el tipo de activo, dueño, formato, ubicación, información derespaldo e información de licencia. Y de igual manera se debe aplicar unametodología para Gestión de Riesgos que identifica las amenazas yvulnerabilidades a las cuales están expuestos cada uno de los activos.

Analizar y evaluar los riesgos: Se debe realizar un proceso sistemático paraestimar la magnitud de los riesgos a que está expuesta la compañía, igualmentese debe identificar los requisitos de seguridad y buscar equilibrar el costo encontroles con el posible impacto económico resultante de los fallos de seguridad.

65

La evaluación de riesgos se debe realizar de manera periódicamente (se aconsejauna vez al año) teniendo en cuenta cualquier cambio que pueda influir en losresultados de la evaluación.

Identificar y evaluar las opciones de tratamiento de riesgos: En la metodologíapara gestión de riesgos seleccionada, están establecidos los criterios deaceptación de riesgos y se plantean mecanismos que permiten identificar lasopciones de tratamiento a los riegos identificados.

Seleccionar los objetivos de control y los controles que se van a implementar: Paramantener los riesgos en un nivel aceptable; teniendo en cuenta los resultados dela evaluación de riesgos y las opciones de tratamiento a los mismos, seseleccionan los controles y se debe realizar un mapa de controles a implementar,donde se desarrollan las medidas necesarias para cubrir los requerimientos deseguridad identificados. Debe identificarse igualmente, los proyectos que lacompañía debe llevar a cabo para aumentar sus niveles de seguridad, es decir losnuevos proyectos que sean necesarios, para llevar a la compañía a esos nivelesde seguridad aceptables u óptimos.

Obtener la aprobación de los riesgos residuales propuestos por la dirección:Realizado el análisis y la valoración de riesgos, la dirección de la compañía y uncomité de seguridad, que si no se posee se debe crear, aprueban mediante acta laaceptación de los riesgos residuales (Es aquel riesgo que subsiste, después dehaber implementado controles).

Obtener la autorización para implementar y operar el SGSI: La Dirección de lacompañía debe autorizar mediante acta la implementación y operación del SGSIen la compañía, y por lo tanto esta debe contener los términos y condiciones, enlos cuales se debe realizar la implementación y operación del SGSI.

Preparar una declaración de aplicabilidad: La declaración de aplicabilidad o SOA(Statement of Applicability), debe describir los objetivos de control, controlesrelevantes y aplicables según el alcance del SGSI, que se quiera implementar, enfunción de la política y conclusiones del proceso de evaluación y tratamiento delriesgo.

66

3.2. IMPLEMENTACION Y OPERACIÓN (HACER)

Formular el plan de tratamiento de riesgos: Como resultado del proceso sistémicode evaluación de riesgos, que la compañía debe realizar, se debe definir quémedidas adopta para mitigarlos y administrarlos, lo cual será establecido a travésde un plan, identificando los recursos necesarios y planteamiento de tareas,subtareas, responsables, fechas críticas y sistema de seguimiento.

Implementar el plan de tratamiento de riesgos: Una vez definido el plan detratamiento de riesgos y asignados los responsables de la ejecución de cada unade las tareas, se aborda la implementación del plan de tratamiento de riesgoscomo un proyecto, y además se debe llevar un seguimiento por un grupo decalidad, quienes generan reportes de avance al comité de seguridad y a la altadirección de la compañía.

Implementar los controles seleccionados: Teniendo en cuenta los resultados de laevaluación de riesgos y las opciones de tratamiento a los mismos, se seleccionanlos controles del mapa de controles a implementar, el cual ya en Planeación sedebe haber realizado.

Definir cómo medir la eficacia de los controles: El proyecto que se plantea paraimplementar el plan de tratamiento de riesgos, debe definir los indicadores deeficiencia y eficacia de cada uno de los controles implementados, los cuales debenser monitoreados por el encargado del área de seguridad, y que pertenece alcomité de seguridad Informática, y es quien informa al comité de seguridad sobredesviaciones que no estén en los parámetros establecidos.

Dar formación adecuada al personal afectado: Se debe promover la cultura de laseguridad informática, generando un entorno en el cual cada uno de loscolaboradores internos y terceros de la compañía, deben generar consciencia delos riesgos a los cuales están expuestos los activos de la compañía y aplicanprácticas de seguridad acordes a las políticas establecidas o que se quierenestablecer, recordar que todo es un conjunto, que debe trabajar para el biencomún de la compañía, y para ellos se debe diseñar un plan de comunicación, sino se tiene, que es implementado en toda la organización, con especial énfasis enaquellos procesos identificados dentro del alcance de implementación del SGSI, elcual permite que la comunicaciones dentro de la compañía sean integras y en lostiempos adecuados.

67

Gestionar la operación del SGSI: La estructura organizacional para gestionar elSGSI se debe definir como lo establece en el ítem Organización de la seguridadde la información del presente manual.

Gestionar los recursos para el SGSI: la compañía debe a través del comité deseguridad y la alta dirección tomar las medidas necesarias y asigna los recursospara la ejecución de las actividades descritas en el plan de tratamiento de riesgosy los recursos necesarios para implementar el SGSI, los cuales deben estar yaplanificados. Para la gestión de la información, Ver anexo E: Manual de Usuario.

3.3. MONITOREAR Y REVISAR (VERIFICAR)

Actividades como implementar procedimientos de monitoreo, definir y analizarindicadores de alarma, permiten detectar eventos de Seguridad de forma proactivay evitar así los incidentes de seguridad que puedan afectar el SGSI.

Es así como la compañía, debe de adoptar una estructura organizacional (Hacereferencia a la forma como se organizarán los roles y responsabilidades paragestionar el SGSI) para gestionar la seguridad en la cual se asignan roles yresponsabilidades para garantizar que esta actividad es realizadapermanentemente.

Los objetivos de control, controles implementados, y en general los requerimientosdel estándar ISO/IEC 27001, se deben revisar a intervalos planeados y acordadosde acuerdo a las necesidades propias de la compañía, para garantizar quefuncionan de forma adecuada, para lo cual un grupo especial dentro de lacompañía, debe generar planes y programas de auditoría al SGSI.

Esencialmente esta etapa es un proceso continuo que debe contemplar latotalidad del sistema, por tanto, se busca realizar auditorías integrales de lossistemas de gestión de la compañía.

3.4. MANTENER Y MEJORAR (ACTUAR)

En general el SGSI y los resultados de las auditorias deben ser revisadosperiódicamente (al menos una vez al año) por la alta dirección de la compañía,para determinar las mejoras que se realizarán al SGSI, promoviendo así elmejoramiento continuo.

68

3.5. REQUISITOS DE DOCUMENTACIÓN

En el marco de los requerimientos establecidos en la norma ISO 9001, lacompañía debe apoyarse y definir su estructura documental por niveles, por locual es importante trasladar ese modelo al SGSI basado en ISO/IEC 27001 de unaforma adecuada que se integre con la estructura de la compañía y en sí mismocon ese dinamismo de la compañía, que puede ser de la siguiente manera:

Figura 11 Estructura documental del SGSI

Esta estructura nos permite tener una visión de la documentación de cada uno delos estándares, lo cual facilita la operación integral del sistema de gestión que lacompañía, si no lo tiene debe realizarlo.A continuación se realiza la descripción de los documentos teniendo en cuenta elestándar ISO/IEC 27001:

Manual de seguridad de la información: Documento que inspira y dirige todoel sistema, expone y determina las intenciones, alcance,objetivos, responsabilidades, políticas y directrices principales, etc., delSGSI.

Políticas de procesos: Documento que contiene los lineamientos generalesque rigen los procesos del SGSI.

POLITICA DE SEGURIDAD DE LA INFORMACIÓNSGSI.

POLITICAS DE SEGURIDAD, CARCATERIZACIONES,MANUALES DE POLITICAS, PROCEDIMIENTOS,

DOCUMENTOS EXTERNOS.

INSTRUCTIVOS.

REGISTROS.

69

Procedimientos: Representación gráfica y secuencial de las actividades deun proceso. Incluye las interacciones entre los distintos procedimientosentradas, salidas, objetivo, alcance, áreas y responsable de la ejecución decada tarea o actividad.

Caracterizaciones de procesos: Documento que describe de manerageneral los procesos de la organización, definiendo las principalesactividades y la interacción existente entre los mismos.

Documentos de origen externo: Con el fin de lograr los resultadosesperados, la organización debe identificar los documentos de origenexterno, los cuales debe controlar y mantenerlos en un repositorio, estosdocumentos deben ser principalmente.

Documentos suministrados por los clientes: Son incorporados directamentea la prestación del servicio cuando contractualmente se pacta con el cliente,cuando se trata de cumplir con legislación de importaciones oexportaciones, financieras y de tipo cambiario entre otros, estosdocumentos deben ser principalmente.

Licencias de software: Son un tipo de documento que da derecho a unaorganización para explotar un invento, una marca o una tecnologíadeterminada. La organización adquiere la licencia a través del pago de unmonto a la persona natural o jurídica a cuyo nombre debe estar inscrito elinvento de activos de la compañía, la marca o tecnología. Todas laslicencias de software y sus soportes son controladas por el personalencargado del área de IT.

Instructivos: Describen la realización de actividades complejas con altocontenido técnico, generalmente son desarrolladas por un solo responsableo área organizacional y están relacionadas con la seguridad de lainformación.

Registros: Son la prueba documental y objetiva del sistema de seguridad dela Información. Estos documentos sirven para demostrar que las exigenciasdel SGSI son satisfechas, establecidas y mantenidas para proporcionarevidencia de la conformidad con los requisitos de los productos y serviciosque desarrolla la organización, así como la eficacia del SGSI.

Los documentos antes relacionados han de ser oficializados, controlados ypublicados en la Intranet o en un repositorio dentro de la misma, paraconocimiento de toda la organización, estos debe incluirse en las políticas de lacomunicación de la compañía.

70

4. NORMATIVA DE SEGURIDAD Y PRIORIZACIÓN

4.1. IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS

4.1.1. Vulnerabilidades

Las vulnerabilidades son falencias que pueden estar presentes en diferentesprocesos de tecnología, procedimientos, recurso humano, entre otros; los cualeshacen que una empresa no esté segura en el manejo de la información, para ellose deben establecer los siguientes ítems para tener el control sobre algunavulnerabilidad encontrada:

● Los activos de información son los más importantes a la hora de encontrarvulnerabilidades, ya que allí es donde se encuentra como esta compuestala empresa y se hace vulnerable ante algún riesgo que se pueda encontrar.

● La responsabilidad sobre la protección de la información es otro factorencontrado ante el riesgo, ya que cada persona es responsable por elactivo que se le entrega ya sea en hardware o software.

● La identificación oportuna del riesgo es una ventaja en el tiempo, ya que sepueden colocar salvaguardas que mejoren la seguridad en los sistemas quese manejan información importante para la empresa.

Figura 12 Esquema tipos de vulnerabilidades

71

4.1.2. Amenazas

En las amenazas hay que tener en cuenta las vulnerabilidades encontradas, yaque si no se controlan adecuadamente podrían materializar en un riesgo quepodría perjudicar un sistema o la empresa completa. Por consiguientepresentamos las amenazas encontradas en la empresa CDS – Consulting DataSystems SAS las cuales según la investigación hecha y lo percibido en el trabajode cada día se tendrían que tener en cuenta:

● Los procesos ejecutados en la empresa, ya que son servicios quesatisfacen una necesidad de la empresa.

● En la parte tecnológica, las herramientas de software y hardware soncontrolados por cada uno de los empleados para dar soporte de lainformación suministrada.

● Los factor recurso humano juega un papel importante en el análisis de lasamenazas, ya que bien sea personas internas o externas a la empresapueden ocasionar daños irreparables sobre el activo de la información.

4.2. MATRIZ DE RIESGOS

La Guía para la identificación de los peligros y la valoración de los riesgosde la empresa, es el estudio de la información y determinación estructural de lainformación, por lo que la matriz de riesgos nos combina términos yprobabilidades de que ocurra algún suceso dentro de la red de la empresa.

Estos sucesos consisten en reconocer los activos que van hacer parte de la matrizInventario de activos de información y determinar la clasificación en términos devalor, confidencialidad, integridad y disponibilidad para así identificar laimportancia del negocio en la empresa.

Todas las tareas deben ser realizadas por cada proceso de la empresa paraidentificar o incluir nuevos activos de información teniendo en cuenta la tabla de"riesgos presentes" descrita anteriormente en este documento.

El procedimiento de definición de activos de información tiene mucha relación alos siguientes temas.

Los activos clasificados deben ser controlados para:

a) Prevenir acceso no autorizado.

b) Asistir en investigaciones ante cualquier brecha de seguridad.

72

c) Reforzar los principios de “confidencialidad, Integridad y Disponibilidad”.

Para mantener controles más efectivos sobre los activos de información esnecesario contar con el sistema de gestión documental ya que le permite a laempresa determinar:

a) Que activos de información tienen.

b) Donde debe estar o ser encontrado.

c) Quien tienen acceso a él o lo tenía.

Por ello la empresa al confiar sus activos de información a otra, debe establecerlos controles necesarios para asegurar la integridad del mismo y que seaprotegido de la misma forma.

4.3. CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO

En la gestión efectiva de la seguridad de la información debe tomar parte activa dela toda la organización, en donde este modelo debe contemplar unosprocedimientos adecuados y la planificación e implantación de controles deseguridad basados en la evaluación de los riesgos.

● La implementación de un SGSI, nos ofrece beneficios como:● Reducción de los riesgos de seguridad de la Información● Reducción de la probabilidad e impacto de los incidentes de seguridad.● Pro actividad frente a posibles riesgos.● Obtener una certificación de un estándar internacional.● Focaliza el gasto en seguridad de la información donde produce mayor

ventaja.

Aunque, también hay que tener en mente la involucración de los demás áreas dela compañía y sus planes de ejecución de actividades, lo cual implica interactuarcon las demás áreas como la de infraestructura o desarrollo; Pues, se debetrabajar en un diseño, desarrollo, pruebas e implementación y asi lograr hacervisitas de seguimiento, operación y mantenimiento en curso.

4.3.1. Controles

El uso apropiado de los activos de la información y demás responsabilidadesconcernientes a los controles establecidos dentro de un plan de gestión, están

73

presentes en todos los elementos de la empresa, por lo que cada integrante de laempresa tiene control y acceso sobre cada uno de los procesos adquiridos.

Entre los principales controles para obtener una mejor proyección están:

● Uso adecuado de los activos de la informaciónEs un control en el que la empresa puede formar criterios de disposición respectoa la seguridad de los activos de información y la manera en la cual estos debentratarse.

● Responsabilidades al cambioEste control sirve para controlar los cambios realizados por un usuario ya sea ensus acceso o un proceso desarrollado que involucre la revisión por parte de losjefes de cada departamento.

● Restricción en el acceso a la informaciónEste control se realiza dependiendo el nivel de acceso y de rol de cada persona enla empresa, por lo que se debe gestionar la información suministrada para cadadepartamento y área involucrada.

Los demás controles serán detallados y desglosados en el Anexo A: Controles ypolíticas de seguridad.

4.4. PRIORIZACIÓN Y ACTUALIZACIÓN DEL INVENTARIO DE LATECNOLOGIA DE LA INFORMACIÓN

La actualización de activos de la información se determina según el uso de vida decada uno de los elementos utilizados dentro de la empresa, por lo que se debegenerar un control sobre el riesgo en el que pueden estar los activos dentro de loscompromisos de confidencialidad, integridad, disponibilidad y trazabilidad.

Una forma muy detallada de hacer el uso de un sistema de actualización deactivos de información dentro de la empresa se vería de la siguiente manera:

4.4.1. Ciclo 1: Reconocimiento de activos

En este proceso se identifica, se valora, se comprueban todos los elementos einformación que representa la empresa y se realiza un análisis de riesgo descritoanteriormente en este proyecto.

74

Figura 13 Esquema de reconocimiento de activos

El activo de información requiere cuidados especiales como:

● Mantenimiento.● Almacenar en medios especiales como cajas fuertes o entornos con

temperaturas controladas.● Monitoreo continuo.● Acceso restringido.

Una vez reconocidos los elementos y activos de información se apartan de los quesí sirven para que no genere riesgos en las actividades de la empresa.

Tabla 19 Ejemplo Activos fuera de uso

CÓDIGO EVENTUALIDAD

GC1 El activo fue eliminado de la lista por robo.

GC2 El activo se perdió.

GC3 Se terminó el ciclo de vida

Para revisar mejor las características principales de la composición de cada activover Anexo D: Formato de activos.

75

4.4.2. Ciclo 2: Determinación y seguimiento de nuevos activos

Los activos seleccionados en el primer proceso son examinados colocando nivelesde criticidad bien definidos para no sufrir algún cambio en el transcurso del tiempo.

En este proceso también se evidencia la ubicación ya sea física o lógica del activotratado, por lo que es asignado a alguna persona responsable para su correctofuncionamiento.

4.4.3. Ciclo 3: Actualización de activos nuevos

En este proceso se realiza el análisis de los elementos y actividades involucradoen cada activo, dando importancia sobre los nuevos activos de información quehan sido clasificados para la aprobación de la empresa.

Tabla 20 Ejemplo Activos adquiridos

CÓDIGO TIPO DE INCORPORACIÓN

A1 El activo fue comprado.

A2 El adiciono activo de información en lascarpetas.

A3 Se alquila el activo.

Para revisar mejor las características principales de la composición de cada activover Anexo D: Formato de activos.

5. EJECUCIÓN DE POLITICAS, CONTROL Y SEGUIMIENTO DE LAINFORMACIÓN

5.1. USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN

5.1.1. Propósito de Seguridad Respecto al Etiquetado de Equipos deCómputo

El propósito de seguridad con el cual se sugiere el etiquetado de los equipos decómputo, es que a partir de la etiqueta de marcado que se disponga sobre losequipos de cómputo estos puedan ser identificables respecto a su relevancia ycriticidad que estos tienen para la organización, ubicacion, e incluso qué tipo deinformación maneja, por ello el nivel de importancia del adecuado etiquetado y que

76

este se maneje con unas reglas propias, para ser identificado y clasificado demanera sencilla.

5.1.2. Consolidación del Etiquetado de Equipos de Cómputo

Al interior de este numeral se contemplan las acciones que deben ser adelantadasa fin de poder construir la etiqueta de marcado, es decir las reglas que se debenseguir para el etiquetado, por ende si procedemos a asignar códigos a las sedesde una compañía o a las áreas de las mismas, y que se reflejen en la etiqueta, o siprocedemos a identificar la criticidad del activo con letras, como por ejemplo lacriticidad corresponde al último carácter de la etiqueta y decimos que los de mayorcriticidad serán marcados con la letra “A” se entenderá entonces al encontrar unactivo con esta característica, y se sabrá también cual es un nivel de protección.Por ende esto debe ser estándar para toda la compañía.

5.1.3. Definir Activos a Etiquetar

El punto que se presenta consiste en determinar qué activos de información van ahacer dispuestos para el correspondiente etiquetado y poder conocer conanterioridad la información asociada al equipo para luego poder vincular la mismaa la etiqueta de marcado. Por ende no todos los activos tienen que ser marcados,lo van a ser aquellos que la compañía identifica como relevantes para elprocesamiento de la información, eso no quiere decir que si se desea etiquetar losotros activos no se pueda hacer.

5.1.4. Información Registrada en el Inventario de Activos

En el inventario, se debe incluir toda aquella información que represente“información” relevante sobre el activo, todos aquellos datos que me daninformación concluyente y que me permite determinar características propias delactivo.

5.1.5. Recaudo de información Adicional

Aquí se presenta toda aquella información relacionada al activo pero que no merepresenta más que información adicional, pero que para mi core de negociopuede ser no necesaria, pero para otras labores se puede necesitar.

77

5.1.6. Diseño de la Etiqueta de Marcado

En el diseño de la etiqueta se debe tener en cuenta que cumpla con lascaracterísticas que nos den información al leerlas y facilidad al entenderlas,también debe mostrar los logos de la compañía a la que pertenece y como esconcerniente no toda la información del activo se puede presentar allí, se indicaráun código que se puede consultar en la BD para tener la información completa delactivo.

5.1.7. Muestra de Resultados

Se debe llevar control sobre los elementos etiquetados y registrados en elinventario, se debe permitir tener estadísticas o poder verificar la información demanera fácil y agradable, para poder determinar si esos resultados son acertadoso incorrectos.

5.2. POLÍTICAS DE SEGURIDAD

5.2.1. Políticas de Seguridad de la Información

Las políticas de seguridad son el conjunto de normas y procedimientosestablecidos por una organización para regular el uso de la información y de lossistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o accesono autorizado a la misma.

5.2.2. Políticas Generales

Entre las principales políticas de seguridad que ayudarán a tener un mejor controlen los activos de la información se verán reflejadas en los siguientes ítems:

5.2.2.1. Privacidad de las telecomunicacionesLa privacidad de las comunicaciones es el principio fundamental que rige a laempresa, ya que en ello va la confianza para el acceso con los clientes.

Hoy en día, la responsabilidad de preservar esta privacidad concierne en lastransmisiones de datos que se adquieren a mayor importancia ante el constante yrápido aumento del volumen de datos transmitidos en la red.

78

Las reglas en materia de privacidad son simples, porque son extremadamentelógicas; e inflexibles, porque su violación puede afectar gravemente la reputación yla de los clientes que la rodean.

5.2.2.2. Protección de la información confidencialUno de los bienes principales de la compañía es su propiedad intelectual. Es decir,la información relacionada con los negocios pasados, presentes y futuros, lainformación competitiva, las investigaciones de mercado y de tecnología, lainformación privada confiada a la compañía por sus clientes, la relacionada consus empleados, sus programas de sistematización, archivo documentario, etc.Esta propiedad intelectual debe protegerse como cualquier otro tipo de bienes.La información confidencial o privilegiada incluye toda la información que es deimportancia para el manejo de los negocios, es de naturaleza sensitiva o tienevalor inherente, o cuya revelación o mal uso puede causar daño a la Compañía, asus accionistas, empleados, clientes o a otras personas u organizaciones con lascuales la Compañía tenga relaciones. Los empleados reconocen que parteesencial de los documentos y los datos que se mantienen y se procesan dentro dela Compañía están dentro de esta categoría.

Según el estudio realizado se tendrán en cuenta las siguientes reglas para el usoadecuado de la información:

● El acceso a información interna está limitado a quienes tienen necesidad deconocerla.

● En términos generales, está prohibido solicitar, recibir o entregarinformación confidencial a terceras personas. En casos justificados, podráproporcionarse información confidencial a terceros previa autorización de lapersona o el área designada para dicho efecto por la empresa.

● Si una persona revela inadvertidamente cualquier información confidenciala sus familiares o conocidos, o a un tercero, deberá dar aviso inmediato dedicha circunstancia a su superior inmediato y tomar todas las precaucionesnecesarias para garantizar que dichas personas no hagan uso de lainformación.

● En caso de que alguna autoridad gubernamental solicite u ordene larevelación o entrega de cualquier información, dicha circunstancia deberáhacerse del conocimiento de los altos mandos.

79

5.2.2.3. Selección y protección de claves de acceso

El acceso controlado a estos sistemas mediante la utilización de claves de accesoproporciona una de las primeras defensas contra robo, abuso, daño o pérdida dedicha información.

Una clave de acceso determina si el empleado está autorizado a entrar en elsistema, cuáles son sus privilegios de acceso y qué nivel de control posee elempleado sobre la capacidad de otros para acceder a dicha información.

Dentro de las políticas de seguridad se recomienda una clave de 10 dígitosincluyendo letras mayúsculas y debe ter una vigencia de 30 días para el cambiode clave.

5.2.2.4. Responsabilidad de la información

El efectuar un respaldo (backup) frecuente de los archivos electrónicos quecontienen información confidencial, puede evitar horas de esfuerzos, tiempo ydinero perdidos y proteger dicha información contra pérdida; por eso, esresponsabilidad de cada empleado hacer un respaldo (back up) a los archivos desu computador por lo menos cada 30 días.

5.2.2.5. Protección contra virus

Un virus es un ataque de software que infecta al computador y los sistemas deinformación. En caso de que un computador que esté conectado a la red de datosse infecte, el virus puede entrar en todo el sistema de la empresa y generarpérdidas de información. Los programas que corren lento, programas que nofuncionan, actividad no explicada en el computador, reducción inexplicable de lamemoria disponible, comportamiento inusual de la pantalla y detención oreiniciación del sistema operativo inexplicables, son los principales problemasinformáticos, por lo que es aconsejable generar reportes hacia el coordinador de laempresa para así poder prevenir sobre algún mal funcionamiento que estépasando o está a punto de suceder.

80

5.2.2.6. Intercambio de información

La Información Confidencial o Privilegiada puede intercambiarse interna oexternamente, ya sea mediante medios tangibles (papel, cintas magnéticas, etc.) omedios intangibles (correo electrónico, correo de voz o datos).

No importa la forma en que se transmita sino que esta puede ser susceptible derobo, daño o pérdida de información. por lo que quien origina la Informaciónconfidencial es responsable de su protección y decide quién tiene acceso a ella. Almismo tiempo, quien recibe dicha información es responsable por su protección yseguridad mientras esté a su cargo.

5.2.2.7. Acceso a la red

La red es esencial para cualquier situación de la vida cotidiana, por lo que se lespuede dar acceso a la red de internet para temas como asistencia en la búsqueday desarrollo, esfuerzo promocional, comunicaciones generales y cualquier otroasunto relacionado con el trabajo. Por lo que se debe tener en cuenta el usoadecuado de la información entre las personas que se comparte.

5.2.3. Políticas Específicas

Con el fin de establecer los lineamientos relacionados con la seguridad de lainformación, se debe contar con el apoyo del comité de seguridad, el cual estádefinido bajo políticas específicas ajustadas al estándar ISO/IEC 27001:2005 yISO/IEC 27002:2005.

Las políticas sobre los controles generados en la empresa CDS – Consulting DataSystems SAS se establecen de la siguiente manera:

● Control de Roles, administración y uso adecuado de recursos.● Asignación y aceptación de responsabilidad de los recursos.● Respaldo y recuperación de la información.● Protección de la red y uso adecuado de la misma, mail, intranet e internet.● Desarrollar, mantener y adquirir sistemas de información.● Uso adecuado de contraseñas y llaves criptográficas.● Gestionar incidentes de seguridad.● Administrar la continuidad de negocio.

81

A continuación se describen las principales políticas que se manejan en lacompañía:

5.2.3.1. A nivel de Software

● Realizar periódicamente las actualizaciones para mantener al día losdistintos programas y Sistemas Operativos.

● Para facilitar el almacenamiento, accesibilidad y seguridad de los datos,toda la información de los usuarios estará centralizada es una base dedatos, con sus respectivos respaldos.

● Solo se autoriza el software brindado y adquirido por la empresa, dado queeste ya se ha revisado por informática y tiene aprobación.

● El uso de las contraseñas con las condiciones adecuadas.● Reportar ante cualquier irregularidad los inconvenientes presentados, para

hacer el proceso necesario de adecuación.● Generación de copias de Backus, para la información más relevante y

asegurar la privacidad de esta información.

5.2.3.2. A nivel de Hardware

● Los equipos servidores deben encontrarse en lugares adecuados, para suseguridad, integridad y funcionamiento adecuado.

● Disponer de dispositivos y equipos de respaldo para prevenir daño deequipos.

● Uso de la corriente regulada de las sedes de la compañía para loselementos importantes y que no se deben interrumpir el flujo energético.

● Uso adecuado de los equipos, evitando poner en riesgo los mismos, conlíquidos y/u otro elemento que pueda perjudicar o dañar los elementos.

5.3. CONTROL Y SEGUIMIENTO

5.3.1. Seguimiento

La documentación como factor importante de control debe establecerse yconocerse para los empleados de la compañía especialmente la que se refiere aprocesos, con un orden secuencial, como por ejemplo la realización de Backupsde la información relevante para la compañía, todo estos proceso deben estar

82

documentados y en caso de ser necesario en la actualización de los proceso, yespecíficamente los referentes a la seguridad de la información.Con la finalidad de poder desarrollar un proceso de seguimiento exitoso sepropone el desarrollo de las siguientes actividades:

● Realizar una encuesta entre los empleados que asistieron al desarrollo delas actividades involucradas en el plan de sensibilización, con el fin deconstatar que tan efectivo consideran ellos que fue el proceso desensibilización.

● Realizar un análisis de los incidentes y eventos de seguridad inscritos luegode desarrollarse el plan de sensibilización, con la finalidad si hubo unincremento o decremento de estos sucesos y poder determinar si alguno deestos tuvo relación con la temática desarrollada en el plan desensibilización y de esta manera poder medir la efectividad del plan desensibilización.

● Tomar una muestra poblacional del grupo de empleados que asistió aldesarrollo del plan de sensibilización y realizar un test que permita conocersi los conocimientos y recomendaciones dadas en el desarrollo del plan desensibilización perduraron en el tiempo.

5.3.2. Estimación Cronológica y Económica Para la Ejecución

La estimación se realiza de acuerdo a el periodo de ejecución de cada actividadrealizada por la empresa, siguiendo todos los estándares de seguridad descritosanteriormente en este proyecto.

La parte de los costos dependen especialmente de las personas encargadas en elmodelo de estrategia planeado para la concientización de los procesos ejecutadospor cada área, por lo que se deben tomar métricas de riesgos y control paraobtener un mejor resultado.

La estimación de los controles y demás características se ven en Anexo A:Controles y políticas de seguridad.

83

CONCLUSIONES

● Los Sistemas de Gestión de Seguridad de la Información (SGSI) son unconjunto de políticas que nos ayudan a gestionar y tener un controladecuado sobre la información que se maneja en una empresa, además delos activos de información y elementos que la conforman.

● La información es el principal activo que toda empresa debe tener paraestar al día legalmente, este proyecto se centró principalmente a laintervención de un sistema de riesgos, controles y políticas de seguridadpara la mejora continua de los objetivos, visión y misión de la empresa.

● Este proyecto ha contribuido como guía para la elaboración de nuevosproyectos enfocados al análisis y el control de la información dentro de loslineamientos de una empresa.

● Las medidas llevadas a cabo para la correcta implementación de lainformación es uno de los principales reconocimientos que debe tener unaempresa; así como la confidencialidad, la integridad, la disponibilidad yotros factores que la hacen indispensable para cada proceso desarrolladoen cada área.

● Cada área tiene sus propios procesos y desarrollo de actividades dentro dela empresa, por lo que todos los procesos están conectados y deben seguiralguno de los lineamientos descritos en el proyecto así como el proceso decontrol.

● El control de la información debe ser manejado por personas con un perfilalto y responsable de la empresa, para que se le dé un adecuado uso a lainformación más importante.

84

RECOMENDACIONES

● Hacer uso adecuado de la información generada en este proyecto de gradoy que sea de gran ayuda para futuros desarrollos en proyectos similaresque vinculen la formación de Sistemas de Gestión de Seguridad de laInformación.

● Controlar el flujo de información obtenida dentro del documento, ya que enalgunas ocasiones los proceso y sistemas de gestión son confusos y sedeben tratar con medidas apropiadas para su ejecución.

● El cumplimiento de los objetivos desarrollados en este proyecto de gradotipo monografía, se enfoca a parámetros de manejo de la información quedebe tener una empresa en el manejo de conexiones y activos deinformación sobre la red de una empresa.

● Mantener copias de seguridad de la información con todos los lineamientosevidenciados en este proyecto.

● Proteger y manejar formatos de seguimiento sobre el debido manejo que sele deben dar a los recursos físicos y de información de cada área en laempresa.

85

BIBLIOGRAFÍA

● Seguridad Informática por Fabián Portantier: Aprenda como implementarsoluciones desde la visión del experto, 2012.

● Guía para elaboración de políticas de seguridad elaborado por laUniversidad Nacional de Colombia, 2011.

● Network Security Hacks for Andrew Lockhard: Tips & tools for protectingyour privacy, 2013.

● Diseño de un Sistema de Gestión de Seguridad de Información, Alexander,Alberto G, 2007.

● NTC-ISO-IEC 27001. Tecnología de la información. Técnicas de seguridad.Sistemas de gestión de la seguridad de la información. Requisitos, 2013.

● Sistema de Gestión de la Seguridad de la Información (SGSI), 2011.

86

INFOGRAFÍA

● Funciones y definiciones de las políticas de seguridad, disponible enInternet: http://www.segu-info.com.ar/politicas/polseginf.htm

● Desarrollo de lenguajes de programación, disponible en Internet:http://www.desarrolloweb.com/

● Tutorial de Jquery, terminologías, descargas, disponible en Internet:http://docs.jquery.com/Tutorials

● Norma de certificación para los protocolos de páginas web, disponible enInternet:: http://www.w3.org/

● ALBERTO G. Alexander, ph.D, CBRP, auditor SGSI certificado IRCAanálisis del Riesgo y el Sistema de Gestión de Seguridad de Información: ElEnfoque ISO 27001:2005. Disponible en Internet:http://www.libreriainteramericana.com/pdf/analisis_riesgo_y_sgsi.pdf

● Normas ITIL, disponible en: itilv3.osiatis.es

● Metodología PHVA, ciclos y pasos, disponible en Internet:http://es.slideshare.net/mriveros/ciclo-phva-20287932

● Definición de la metodología PHVA: disponible en Internet:https://es.wikipedia.org/wiki/C%C3%ADrculo_de_Deming

● Gestión del riesgo, disponible en Internet::http://es.scribd.com/doc/149691797/Iso-27005-Gestion-Del-Riesgo-Informatico#scribd

● Gestor Documental Redmine: disponible en Internet:http://www.redmine.org/

87

ANEXOS

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ORIENTADO A ORGANIZACIONES QUE PRESTAN




UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA BOGOTÁ D.C.

2016



OSCAR GIOVANY POTES PLAZAS (20141678017)

[email protected]

EDWIN EDISON SICHACA GUZMAN (20141678039)

[email protected]

ANEXO A CONTROLES Y POLITICAS DE SEGURIDAD

Tutor MIGUEL ANGEL LEGUIZAMON PAEZ



INGENIERIA EN TELEMATICA BOGOTÁ D.C.

2016

TABLA DE CONTENIDO

1. CONTROLES DE SEGURIDAD .................................................................................... 6

1.1. PROTECCIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .................................................. 6

1.2. POLÍTICAS ESPECIFICAS PARA LA SEGURIDAD DE LA INFORMACIÓN .............................. 7

2. POLÍTICAS DE SEGURIDAD ...................................................................................... 8

LISTA DE TABLAS

1. CLASIFICAR Y ADMINISTRAR LA INFORMACIÓN .......................................................... 8

2.GARANTIZAR LA ASIGNACIÓN Y PROTECCIÓN DE EQUIPOS DE CÓMPUTO PERSONAL ... 9

3. RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN .................................................. 10

4. GARANTIZAR LA PROTECCIÓN DE REDES ................................................................... 11

5. GARANTIZAR LA AUTENTICACIÓN Y CONTROL DE ACCESOS A LOS SERVICIOS DE

INFORMACIÓN ............................................................................................................. 13

6. DESARROLLAR, MANTENER Y ADQUIRIR SISTEMAS DE INFORMACIÓN ...................... 13

7. ADMINISTRACIÓN DE LLAVES CRIPTOGRAFICAS ........................................................ 15

8. ADMINISTRAR CAMBIOS PARA LOS SISTEMAS DE INFORMACIÓN ............................. 15

9. GESTIONAR MONITOREO DE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN ............ 16

10. ADMINISTRAR DISPONIBILIDAD DE LOS SERVICIOS ................................................. 16

6

1. CONTROLES DE SEGURIDAD

1.1. PROTECCIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Uno de los bienes principales de la empresa es su propiedad intelectual. Es decir, la información relacionada con los negocios pasados, presentes y futuros, la información competitiva, las investigaciones de mercado y de tecnología, la información privada confiada a la compañía por sus clientes, la relacionada con sus empleados, sus programas de sistematización, archivo documentario, etc. Esta propiedad intelectual debe protegerse como cualquier otro tipo de bienes. La información confidencial o privilegiada incluye toda la información que es de importancia para el manejo de los negocios, es de naturaleza sensitiva o tiene valor inherente, o cuya revelación o mal uso puede causar daño a la empresa, a sus accionistas, empleados, clientes o a otras personas u organizaciones con las cuales se tenga relación. Para ello, debemos observar las siguientes reglas:

• El acceso a información interna está limitado a quienes tienen necesidad de conocerla.

• En términos generales, está prohibido solicitar, recibir o entregar información confidencial a terceras personas. En casos justificados, podrá proporcionarse información confidencial a terceros previa autorización de la persona o el área designada para dicho efecto por la empresa, sujeto en todo caso a los procedimientos establecidos para ello.

• Si una persona revela inadvertidamente cualquier información confidencial a sus familiares o conocidos, o a un tercero, deberá dar aviso inmediato de dicha circunstancia a su superior inmediato y tomar todas las precauciones necesarias para garantizar que dichas personas no hagan uso de la información.

• Si como resultado de nuestro trabajo obtenemos información confidencial de otra persona—incluyendo cualquier competidor, cliente, proveedor o autoridad gubernamental— debemos respetar y proteger dicha confidencialidad en términos de los criterios anteriores.

7

1.2. POLÍTICAS ESPECIFICAS PARA LA SEGURIDAD DE LA INFORMACIÓN

Con el fin de establecer los lineamientos relacionados con la seguridad de la información, la lata dirección con el apoyo del comité de seguridad, ha definido políticas específicas ajustadas al estándar ISO/TEC 27001:2005 y ISO/TEC 27002:2005. Las políticas sobre los controles generados se establecen de la siguiente manera:

• Control de Roles, administración y uso adecuado de recursos. • Asignación y aceptación de responsabilidad de los recursos. • Respaldo y recuperación de la información. • Protección de la red y uso adecuado de la misma, mail, intranet e internet. • Desarrollar, mantener y adquirir sistemas de información. • Uso adecuado de contraseñas y llaves criptográficas. • Gestionar incidentes de seguridad. • Administrar la continuidad de negocio.

8

2. POLÍTICAS DE SEGURIDAD Políticas de Seguridad de la Información - Gestionar la seguridad, continuidad y riesgo del negocio.

Dominio ISO/IEC 27001

Controles Cubiertos Existe Sugerencias

ADMINISTRAR LA SEGURIDAD DE LA INFORMACIÓN

1. CLASIFICAR Y ADMINISTRAR LA INFORMACIÓN

1.1. Manejo de la información

1.1 Manejo de la información

La compañía se reserva el derecho de conocer, revisar, monitorear y examinar, entre otros, la totalidad de la información que se encuentre en el computador. En ningún momento debe permanecer documentación confidencial o reservada en las impresoras de manera desatendida.

1.2 Responsabilidades sobre la protección de la información

Todos los empleados y terceros con acceso a la información están obligados a: Acatar las normas de manejo y cuidado de la información de la empresa

Reforzar el control en dispositivos de impresión, para documentos con información relevante y confidencial.

1.3 Resguardo de la información

Se debe considerar documentos físicos y lógicos, sistemas de información, equipos de cómputo, correo electrónico, equipos de fax, impresoras que manejen y/o procesan información confidencial u uso interno.

1.4 Intercambio de información

Se debe tener por escrito un acuerdo de confidencialidad (Contrato), se debe considerar como intercambio de información todo aquello que puede ser realizado a través del uso de los diferentes tipos de infraestructura de comunicación, incluyendo Internet, correo electrónico, fax, CD’s, DVD’s, medios removibles de almacenamiento de información, audio, video y medios impresos.

1.5 Criterios de clasificación de la información

La información debe ser clasificada en términos de su valor y criticidad.

9

Políticas de Seguridad de la Información - Gestionar la seguridad, continuidad y riesgo del negocio.



1.6 Protección de registros de la información

Según la clasificación de la información debe tener medidas de protección, en especial la confidencial y la de uso interno.

1.7 Entrega de información a entes judiciales y gubernamentales

Se debe contactar con las gerencias jurídica y de gerencia de relaciones institucionales, para verificación de procesos, además se debe realizar mediante solicitud escrita en formato establecido, la entrega de información debe estar autorizada por los altos mandos.

Administración de activos

1.8. Inventario de activos.

Se debe llevar un inventario de los activos de información, y los mecanismos de control de este inventario, además de procesos establecidos para mantenimiento y actualización, y debe llevar la mayor información relevante del activo.

1.9 Propiedad de los activos.

Todos los activos son propiedad de cada empleado y debe tener la responsabilidad de cuidarlos.

La asignación de activos debe tener seguimiento del personal de inventarios.

1.10 Etiquetado y manejo de la información

Se debe tener una serie de códigos establecidos para el nombramiento de activos, siendo de manera secuencial, los códigos según el tipo.

Administración de la seguridad

1.11 Procedimientos de manejo de la información.

Se debe tener control sobre la confidencialidad de la información.

1.12 Políticas y procedimientos de información y software.

Políticas establecidas para la mejora de la seguridad de los documentos.

1.13 Protección de los registros de información de la empresa.

Protección de cada proceso y registro establecido en la empresa.

2.GARANTIZAR LA ASIGNACIÓN Y PROTECCIÓN DE EQUIPOS DE CÓMPUTO PERSONAL

Organización de Seguridad de la Información

2.1 Proceso de autorización para los medios de procesamiento de

10




información

2.2 Autorización sobre el uso de equipos de cómputo personal y Telefonía en los puestos de trabajo.

No está permitido el ingreso a las áreas de trabajo con equipos de cómputo personal, dispositivos de almacenamiento externo propiedad de personal directo, terceros o en prestación de sus servicios.

2.3 Asignación y entrega de equipos de cómputo personal.

Definir las necesidades de equipos de cómputo personal que se requieran para la operación.

2.4 Protección y ubicación de equipos de cómputo personal.

Los usuarios deben velar por la protección de los equipos de cómputo personal de riesgos del medio ambiente, tales como: polvo, incendios, inundaciones, etc.

2.5 Instalación y configuración de seguridad.

Los usuario de los equipos de computo no deben tener privilegios de Administrador.

2.6 Administración de medios

Está prohibido extraer la información de los sistemas y repositorios de la empresa, en dispositivos externos, sin una autorización de la gerencia responsable.

Gestión de Activos 2.7 Inventario de activos. Se debe llevar un inventario de los activos de información, y los mecanismos de control de este inventario, además de procesos establecidos para mantenimiento y actualización.

2.8 Uso aceptable de los activos

El personal que trabaja en la empresa son responsables de seguir las reglas existes para el buen uso de la información y activos.

Gestión de Comunicaciones

2.9 Respaldo de la información.

La información debe estar en Backups de seguridad restringida.

Control de Acceso 2.10 Ingreso y logueo a las módulos.

EL ingreso a cada proceso de la empresa debe ser controlado por políticas establecidas.

3. RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN

11




Administración de operaciones.

3.1 Respaldo de información

Esta política aplica para todos los sistemas de información (Sistemas operativos, Bases de Datos y aplicaciones) formalizados, mediante solicitud expresa del responsable de la aplicación.

Generar Backups de información.

3.2 Auditoría a los equipos de cómputo

El área que solicite respaldo de datos debe realizar la solicitud formal de la información a ser respaldada.

3.3 Datos que se deben respaldar

Toda la información de valor se debe respaldar como: Información reservada y confidencial.

3.4 Periodicidad de los respaldos

Los respaldos incrementales son realizados según programación, en el horario convenido con el área solicitante.

3.5 Cifrado de la información

Se debe considerar el uso de controles criptográficos en el respaldo de información para los casos en donde la confidencialidad de la información es de importancia relevante o hace referencia a información de tipo “confidencial”.

4. GARANTIZAR LA PROTECCIÓN DE REDES

La presente política aplica a los responsables de la gestión de la red y de servicios con los clientes de la empresa.

Protección de redes 4.1 Seguridad en redes Los usuarios de servicios de la red son responsables del uso de esta y debe ser sólo para efectos de la operación dentro del sistema. Las áreas de producción de ITS y operación Backbone, serán las encargadas de la administración de la red de servicios a los clientes respectivamente.

4.2 Configuración, administración y actualización de la red

Los equipos conectados a la red interna deben estar configurados según la línea base definida por Seguridad Informática, los dispositivos de red deben contar con las actualizaciones y condiciones necesarias hacia un cambio.

4.3 Responsabilidades de la administración de la red

Los responsables de la gestión de la red debe contar con un inventario de todos los componentes de red y todos los sistemas,

12




aplicaciones y activos de información.

4.4 Monitoreo de la red Se debe contar con un monitoreo de seguridad constante de la red, que permita detectar actividades anormales en la red. Los administradores de los elementos y servicios de red, deben definir actividades de control que permitan detectar, analizar y notificar brechas de seguridad, documentando los incidentes presentados.

4.5 Servicios de protección de la red

La transferencia de información debe hacerse de manera segura.

4.6 Direccionamiento de equipos en la red

Verificar la autorización del uso de dirección de red, el direccionamiento debe ser asignado con base en la configuración de dispositivos de red.

4.7 Redes Inalámbricas El usuario que requiera acceso a la red WIFI de invitados, debe solicitar formalmente en help desk con los formatos necesarios; No se deben conectar ni instalar equipos de conexión inalámbrica a la red de

Control de acceso 4.8 Políticas del uso del servicio de red

La red de servicios debe ser controlada de confidencial.

4.9 Autenticación de conexiones externas

4.10 Diagnostico remoto y configuración segura de puertos

Revisión de los puertos instalados.

4.11 Segmentación de la red

Lineamientos de la red

4.12 Control de conexiones de red

4.13 Control de enrutamiento de la red

Enrutamiento adecuado para cada sub área de la empresa.

Administración y Operación de

4.14 Controles contra código malicioso

13




comunicaciones 4.15 Políticas y procedimientos del intercambio de información.

5. GARANTIZAR LA AUTENTICACIÓN Y CONTROL DE ACCESOS A LOS SERVICIOS DE INFORMACIÓN

La presente política aplica para todos los colaboradores directos, terceros o en prestación de sus servicios de la empresa que utilicen diferentes plataformas tecnológicas.

Autenticación y Control de accesos.

5.1 Registro de usuarios. Deben existir procedimientos formales establecidos para el registro de usuarios en los cuales se otorguen y revoquen accesos a las plataformas tecnológicas; Cualquier sistema de Información y base de datos debe ser integrada a las herramientas de gestión de identidades y roles, y por medio de ella permitir el envío de datos confidenciales.

5.2 Administración de privilegios.

Se debe tener documentado todos los privilegios a las diferentes plataformas tecnológicas.

5.3 Administración de usuarios y contraseñas.

Todas las cuentas de usuarios, deben tener un ID único, y se debe tener las autorizaciones adecuadas.

5.4 Revisión de derechos de acceso.

Los derechos de acceso a cuentas privilegiadas deben ser revisados semestralmente y cuando existan cambios, se deberá reportar formalmente de acuerdo al procedimiento establecido.

6. DESARROLLAR, MANTENER Y ADQUIRIR SISTEMAS DE INF ORMACIÓN

La presente política aplica a todas las áreas de la empresa, así como a los sistemas que desarrollen y/o adquieran administración de sistemas.

14




Manejo sobre los sistemas de información.

6.1 Responsabilidades. Actividades encaminadas a proporcionar sistemas informáticos que cubran las expectativas de los clientes internos y externos, deberá llevar un adecuado control del desarrollo, mantenimiento y adquisición de sistemas e identificar y eliminar las posibles vulnerabilidades de los sistemas relacionados con la programación de los mismos.

6.2 Desarrollo y mantenimiento de sistemas.

Toda área que desarrolle y/o adquiera software es responsable de verificar que los sistemas cuenten con los lineamientos de seguridad adecuados durante su desarrollo, implementación y mantenimiento establecidos en la presente política. El análisis de seguridad debe tratarse en los procesos de nuevos proyectos y su correctas documentación.

6.3 Segregación de funciones.

En el diseño de un nuevo sistema se tiene que asegurar que la segregación de funciones sea mantenida en ambientes controlados.

6.4 Separación de ambientes de desarrollo, de calidad y de producción.

Cada ambiente debe estar separado y disponible en todo momento.

6.5 Control de software desarrollado.

Se debe considerar el contar con herramientas manuales y/o automatizadas, que permitían el control de versiones, verificar la versiones para no poner en riesgo la operación.

6.6 Control de vulnerabilidades

Cada área deberá identificar las posibles vulnerabilidades en el desarrollo de sistemas.

6.7 Requerimientos de seguridad en el desarrollo de sistemas

Se deben especificar las necesidades de seguridad con base en el tipo de información que se va manejar.

6.8 Criterios de aceptación de nuevos sistemas y cambios a los existentes

Los criterios de aceptación de sistemas deben ser establecidos para incluir requisitos de seguridad y para garantizar que las pruebas apropiadas se ejecutaron, las cuales deberán ser realizadas antes de la aceptación de los sistemas.

15




6.9 Responsabilidad del software y licencias.

La Responsabilidad de la administración y custodia del software y licencias de la empresa estará a cargo de la Gerencia de Redes.

Adquisición, desarrollo y mantenimiento de sistemas

6.10 Lineamientos para la adquisición, desarrollo y mantenimiento de sistemas.

Los sistemas deben estar controlados en una forma correcta para los accesos y procesos de producción.

Cumplimiento con Requerimientos legales

6.11 Derechos de propiedad intelectual.

Los derechos de propiedad deben ser asignados a cada persona involucrada en un suceso de la empresa.

7. ADMINISTRACIÓN DE LLAVES CRIPTOGRAFICAS

La presente política aplica para todas las personas involucradas en el envío y/o almacenamiento de la información confidencial

Administrar llaves Criptográficas

7.1. Uso de controles criptográficos.

Definir los mecanismos tecnológicos de cifrado de información, para minimizar los riesgos en el proceso de envío y almacenamiento de la misma.

7.2 Administración de llaves.

La llaves de cifrado y de descifrado deben estar separadas, y deben manejarse cifradas, se deben hacer pruebas de validez de las llaves en cada ciclo.

7.3 Regulación de controles criptográficos .

Control adecuado de la llave de seguridad criptográfica adquirida.

8. ADMINISTRAR CAMBIOS PARA LOS SISTEMAS DE INFORMA CIÓN

Esta política aplica para todas las áreas de la empresa que administran sistemas de información e infraestructura de TI.

Gestión de operaciones y

8.1 Gestión de cambio. Todos los cambios son prevenidos y revisados a tiempo.

16




comunicaciones 8.2 Manejar los cambios en los servicios de terceros.

Los cambios de personas del exterior deben ser analizados de forma segura y confidencial.

9. GESTIONAR MONITOREO DE EVENTOS DE SEGURIDAD DE L A INFORMACIÓN

Esta política contempla el monitoreo de eventos de seguridad en el perímetro de la red, así como en redes internas.

Monitoreo de Seguridad

9.1. Monitoreo de seguridad.

Se debe llevarse a cabo por las áreas responsables; Proporcionar un reporte periódico mensual de los incidentes de seguridad identificados.

9.2. Monitoreo del uso de los sistemas.

El uso de los sistemas debe ser monitoreado con el objetivo de identificar algún intento de intrusión.

9.3. Controles en las auditorías de sistemas de información.

Los registros de auditoría deben ser respaldados con base en la Política de Respaldo de Información. La Gerencia Seguridad Informática debe asignar los periodos de resguardo con base en el nivel de riesgo de los sistemas auditados.

Administración de incidentes de seguridad

9.4 Reporte de incidentes de seguridad.

Reporte de todos los sucesos e incidentes involucrado en los eventos de mantenimiento de información.

10. ADMINISTRAR DISPONIBILIDAD DE LOS SERVICIOS

Administrar disponibilidad

10.1 Administrar la disponibilidad

El plan de disponibilidad de cada servicio debe mantenerse actualizado; Se debe crear y mantener un seguimiento al plan de disponibilidad.

10.2 Plan de disponibilidad

El proceso de Administrar Disponibilidad debe ser revisado al menos una vez al año según lineamientos del proceso de Gestión auditoría interna de ISO 9001; El seguimiento de las actividades de mejora continua del proceso de administración será responsabilidad de Coordinación de Calidad y Mejoramiento de la información.

17




Administración de la continuidad y disponibilidad del servicio

10.3 Requisitos de disponibilidad.

Los requisitos de disponibilidad y de continuidad de los servicios deben ser manejados de forma correcta e identificados a tiempo.

10.4 Disponibilidad y desarrollo.

Los planes de disponibilidad y continuidad del servicio deben ser desarrollados y revisados al menos una vez al año, para asegurar que los requisitos son cumplidos.

10.5 Gestión de cambio El proceso de gestión del cambio debe evaluar el impacto de cualquier cambio sobre los planes de disponibilidad y de continuidad del servicio.

10.6 Gestión de disponibilidad de la información

Toda la documentación del proceso de Administrar Disponibilidad debe estar documentada, publicada y disponible para todas las áreas de productividad de la empresa.







2016




[email protected]


[email protected]

ANEXO B FORMATO DE RESPONSABILIDADES Y DE ENTREGABLES





2016

FORMATO DE RESPONSABILIDADES Y DE ENTREGABLES

A continuación mostramos el formato propuesto el cual hace referencia a los activos físicos y de información que la empresa debe llevar a cabo para tener un mejor control sobre cada modulo de información entregado a cada usuario de la empresa.

FORMATO DE DELEGACIÓN DE RESPONSABILIDADES Código:

Fecha:

Descripción de problemas

Este formato es un soporte documental sobre las responsabilidades que el usuario como empleado tiene a cargo a la hora de iniciar a laborar con la empresa, esto con el objetivo de que cada individuo se responsabilice con el material entregado y la información recibida.

Datos personales del empleado Nombre completo del empleado

CC: Teléfono: Dirección: Datos del funcionario a Cargo

Nombre del funcionario responsable Cargo: Teléfono: Firma:

Asignación de Responsabilidades

Activo recibido

Descripción Privilegios de

acceso Observaciones SI NO

Derechos de autor Firma:







2016




[email protected]


[email protected]

ANEXO C FORMATO DE ACTIVOS





2016

FORMATO DE ACTIVOS

El siguiente cuadro representa el formato de registro de activos recibido por cada empleado nuevo en la empresa, en donde se le asignan varias herramientas y controles de acceso a diferentes ambientes.

FORMATO DE CONTROL DE EQUIPOS Código: Fecha:

Descripción de problemas

Este formato es una esquema de control que garantiza que a cada empleado se le asignen los activos necesarios para comenzar a desarrollar el modulo propuesto sobre un área de red en especifico. La información entregada y las capacitaciones generadas quedaran por escrito en este documento.

Datos personales del empleado

Nombre completo del empleado

CC: Teléfono: Dirección:

Asignación de Activos

Activo recibido Descripción Calidad del activo

Observaciones Buena Mala

Firma del responsable de entrega:

Firma del empleado:







2016




[email protected]


[email protected]

ANEXO D MANUAL DE INSTALACIÓN DEL GESTOR DOCUMENTAL





2016

TABLA DE CONTENIDO

PROCESO DE INSTALACIÓN REDMINE 1 .......................................................................... 5

Requisitos del Sistema: .................................................................................................. 5

1. Instalacion de Ruby ........................................................................................................ 5

2. Instalación de RubyGems: ............................................................................................... 6

3. Creación de la base de datos para Redmine: .................................................................... 6

4. Dependencias de instalación: .......................................................................................... 7

5. Colocar en marcha el servidor desde la raíz de la aplicación Redmine: ............................. 8

PROCESO DE INSTALACIÓN REDMINE 2 .......................................................................... 9

Componente Bitnami .............................................................................................................. 9

PROCESO DE INSTALACIÓN REDMINE 1

Requisitos del Sistema:

• Sistema operativo Windows. • Mysql Server • Mysql Workbench 5.2 CE • Apache

1. Instalacion de Ruby

Abrir CMD y escribir Ruby –v.

2. Instalación de RubyGems:

Obtener un packete de Redmine de algún repositorio en donde la versión de Redmine sea compatible con la versión Ruby previamente instalada.

3. Creación de la base de datos para Redmine:

Abrir Mysql Workbench y ejecutar un SQL Query.

create database redmine character set utf8; create user 'redmineUser'@'localhost' identified b y 'myPassword'; grant all privileges on redmine.* to 'redmineUser' @'localhost';

Cambiar el usuario y la contraseña al gusto del usuario.

Entrar a Redmine/config/

Y crear un archivo igual al de database.yml.example cambiándole el nombre por database.yml y editarlo.

Production: adapter: mysql database: redmine host: localhost username: redmine password: my_password Cambiar los datos de usuario y contraseña por los datos suministrados en el script de Mysql Workbench.

4. Dependencias de instalación:

Instalar el packete de dependencias de Gem para la compatibilidad con Ruby. gem install bundler bundle install --without development test rmagick

5. Colocar en marcha el servidor desde la raíz de l a aplicación Redmine:

bundle exec rake generate_secret_token

Migración de la base de datos Redmine:

set RAILS_ENV=production bundle exec rake db:migrate

Configuracion default de la base de datos Redmine: RAILS_ENV=production bundle exec rake redmine:load _default_data set RAILS_ENV=production set REDMINE_LANG=es bundle exec rake redmine:load_default_data

Inicio del servidor de Redmine:

bundle exec rails server webrick -e production

Inicio de la aplicación:

PROCESO DE INSTALACIÓN REDMINE 2

Componente Bitnami

Inicio del proceso de instalación

Selección del lenguaje

Inicio de instalación

Carpeta de alojamiento de Redmine

Configuración de usuario administrador

Instalación de componentes

Inicio de sesión de Redmine







2016




[email protected]


[email protected]

ANEXO E MANUAL DE USUARIO





2016

CONTENIDO

REDMINE ....................................................................................................................... 5

1. CARACTERÍSTICAS REDMINE ................................................................................... 5

2. INGRESO A LA APLICACIÓN ..................................................................................... 5

3. CREACIÓN DE PROYECTO ........................................................................................ 7

4. ASIGNACIÓN DE USUARIOS AL PROYECTO .............................................................. 8

5. CREACIÓN DE PERFILES DE USUARIO ....................................................................... 8

6. GRUPOS DE USUARIO ........................................................................................... 11

7. AUTENTICACIÓN LDAP .......................................................................................... 12

8. PETICIONES .......................................................................................................... 14

REDMINE

1. CARACTERÍSTICAS REDMINE

Redmine es un gestor de proyecto escrito en Ruby on Rails que nos permitirá administrar los usuarios del proyecto, los errores con un sistema de tickets, wiki, calendario, entre otros; permitiéndonos tener un control en el manejo y acceso a la información conectada en toda la red de la empresa.

• Multiproyectos y subproyectos. • Proyectos públicos o privados. • Manejo personalizado de roles y permisos para el acceso a los diferentes

proyectos de la red. • Calendario y diagrama de Gantt. • Control de tiempo. • Noticias. • Administrador de peticiones

2. INGRESO A LA APLICACIÓN

Al instalar el sistema Redmine muestra por primera vez la pantalla de bienvenida en donde al oprimir en iniciar sesión nos muestra un formulario con el logueo al sistema con el usuario y contrasella configurados como perfil de administrador a la hora de instalación.

Al iniciar sesión ingresamos a la parte de Administración para configurar nuestro perfil y página de inicio.

3. CREACIÓN DE PROYECTO

En la creación de proyectos ingresamos a Administración y pulsamos en Proyectos. En la página de Proyectos aparece una lista de los proyectos que gestiona Redmine, en esta caso no muestra nada porque no hay proyectos, para crear un proyecto pulsar en el Nuevo proyecto y comenzamos con la previa configuración de este.

Ingresamos los datos solicitados y creamos el proyecto.

4. ASIGNACIÓN DE USUARIOS AL PROYECTO

Al crear el proyecto oprimimos sobre en donde nos mostrara varias pestañas de configuración del proyecto. Ingresar al apartado Configuración y luego a la pestaña Miembros, en donde a partir de allí se comienza con la asignación de usuarios con deferentes permisos para el acceso al proyecto.

5. CREACIÓN DE PERFILES DE USUARIO

Si se quiere ver todos los perfiles disponibles y los permisos de cada perfil. Pulsamos en la opción Administración, Perfiles y permisos. Se mostraran todos los perfiles disponibles e incluso podremos crear nuevos perfiles pulsando en Nuevo perfil, si pulsamos en informes de permisos.

Ingresamos al perfil Jefe de proyectos y seleccionamos los permisos a adquirir dentro de los proyectos asignados:

6. GRUPOS DE USUARIO

En los grupos de usuario se pueden incluir varios miembros con las mismas características para ser asignados a un mismo proyecto con los mismos accesos y privilegios previamente configurados.

7. AUTENTICACIÓN LDAP

Redmine soporta autenticación por medio de un servidor de directorios LDAP, utilizando uno o varios directorios. Estos se pueden configurar de acuerdo al sistema de red que se esté usando en la empresa, por lo que se configuran los siguientes campos:

• Nombre : nombre del directorio • Anfitrión : nombre del host en donde está el LDAP • Puerto : puerto en el que funciona el LDAP. Por defecto esta el 389. • LDAPS : indica si el LDAP tiene conexión segura. • Cuenta : nombre de usuario de alguna cuenta en el LDAP. Si el LDAP se

puede leer de • Manera anónima, se debe dejar en blanco. • Contraseña : contraseña de la cuenta. • DN base : el nivel DN superior del árbol de nuestro directorio. • Creación de usuario al vuelo : de habilitar esta opción, cualquier usuario

8. PETICIONES

Permitir relacionar peticiones de distintos proyectos hace que las relaciones entre peticiones se pueda realizar entre proyectos distintos. El valor por defecto es no, por lo que al mostrar por defecto peticiones de proyectos secundarios en el principal Hace que las relaciones entre peticiones de subproyectos aparezcan también en el proyecto principal, por lo que el usuario con varias peticiones puede tener acceso a los documentos que estén involucrados tanto en el proyecto principal como en el secundario.

Crear el nuevo tipo de petición con los valores correspondientes para el proyecto a asociar.

Documents

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA ...repository.udistrital.edu.co/bitstream/11349/7343/1/PotesPlazasOsc… · los sistemas de información están expuestos a amenazas