Embed Size (px)
Citation preview
1
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICADA A ENTIDADES BANCARIAS UNIVERSIDAD DISTRTAL FRANCISCO JOSE DE
CALDAS
FACULTAD TECNOLOGICA
2017
2
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A
ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA BOGOTÁ
2017
3
MODELO DE UN SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
Proyecto presentado como requisito para optar al título de Ingeniería en Telemática
TUTOR: JOSE VICENTE REYES Ingeniero en Sistemas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA BOGOTÁ
2017
4
Nota de aceptación
Tutor
Jurado
Bogotá D.C. ___Febrero de 2017
5
TABLA DE CONTENIDO
AGRADECIMIENTOS ..................................................................................... 12
RESUMEN ...................................................................................................... 13
ABSTRACT ..................................................................................................... 14
INTRODUCCIÓN ............................................................................................ 15
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ................... 18
1.1. TITULO .............................................................................................. 18
1.2. PLANTEAMIENTO DEL PROBLEMA ................................................ 18
1.3. OBJETIVOS ....................................................................................... 19
1.3.1. Objetivo General ......................................................................... 19
1.3.2. Objetivo Específicos .................................................................... 19
1.4. SOLUCIÓN TECNOLÓGICA ............................................................. 19
1.5. MARCO DE REFERENCIA ............................................................... 20
1.5.1. Marco teórico .............................................................................. 20
1.5.2. Antecedentes .............................................................................. 21
Norma ISO/IEC 27005 ............................................................................. 22
1.5.3. Marco Metodológico .................................................................... 29
1.6. CRONOGRAMA ................................................................................ 30
1.7. FACTIBILIDAD ECONÓMICA ........................................................... 31
1.7.1. Factibilidad Económica: Factor Humano ..................................... 31
1.7.2. Factibilidad Económica: Factor Técnico ...................................... 31
1.7.3. Total Factibilidad Económica ...................................................... 31
2. Situación De La Red Actual ..................................................................... 33
2.1. CASO ESTUDIO ................................................................................ 33
2.2. INFORMACIÓN TÉCNICA ................................................................. 34
2.2.1. Plataforma Tecnológica ............................................................... 34
2.2.2. Caracterización de la infraestructura ........................................... 35
2.2.3. Caracterización Infraestructura Actual ........................................ 35
3. Etapa De Planificación ............................................................................. 37
6
3.1. MATRIZ DOFA .................................................................................. 37
3.1.1. Matriz Dofa .................................................................................. 37
3.2. DECLARACIÓN DE APLICABILIDAD ............................................... 38
3.3. ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO .................... 39
4. Análisis De Riesgos ................................................................................. 41
4.1. METODOLOGÍA A USAR .................................................................. 42
4.1.1. Análisis de focus group para el análisis de riesgos. .................... 42
4.1.2. Tipos De Activos ......................................................................... 43
4.1.3. Codificación O Etiquetación De Los Activos ............................... 43
4.1.4. Caracterización de Activos .......................................................... 43
4.1.5. Criterios De Valoración De Activos ............................................ 47
4.1.6. Criterios de Valoración de Activos II............................................ 48
4.1.7. Caracterización de amenazas ..................................................... 49
4.1.8. Relación entre Impacto, Probabilidad y Riesgo ........................... 50
4.1.9. Matriz de Riesgo ......................................................................... 50
4.1.10. Tipos De Impacto Y Riesgo (Amenazas) ................................. 51
4.1.11. Modelo Descripción Amenaza ................................................. 51
4.1.12. Criterios De Valoración Del Riesgo .......................................... 51
4.1.13. Criterios De Valoración De Impacto ......................................... 51
4.1.14. Criterios de Valoración de Impacto .......................................... 51
4.1.15. Criterios de Valoración del Riesgo ........................................... 52
4.1.16. Criterios De Valoración De Probabilidad Del Riesgo ............... 52
4.1.17. Criterios de Valoración Probabilidad de Riesgo ....................... 52
4.1.18. Criterios De Valoración De Vulnerabilidades ........................... 52
4.1.19. Criterios De Calificación Del Control ........................................ 52
4.1.20. Criterios de Calificación del Control ......................................... 53
5. Políticas Y Controles De Seguridad ......................................................... 54
5.1. CONTROLES O SALVAGUARDAS................................................... 55
5.1.1. Selección de las salvaguardas .................................................... 55
5.1.2. ........................................................................................................ 56
5.1.3. Caracterización De Las Salvaguardas ........................................ 56
7
5.2. POLÍTICAS DE SEGURIDAD ............................................................ 58
6. CONCLUSIONES .................................................................................... 60
7. RECOMENDACIONES ............................................................................ 61
8. Anexos ..................................................................................................... 63
8.1. Valoración De Activos ........................................................................ 63
8.2. Identificación De Amenazas Por Tipo De Activo ................................ 67
8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) ............ 71
8.2.2. Amenaza – AMZ002 (Accidente Importante) .............................. 71
8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) ...................... 71
8.2.4. Amenaza – AMZ004 (Código mal Intencionado) ......................... 72
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) .............. 72
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) .......................... 72
8.2.7. Amenaza – AMZ007 (Daño por Agua) ........................................ 73
8.2.8. Amenaza – AMZ008 (Daño por Fuego) ...................................... 73
8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) . 73
8.2.10. Amenaza – AMZ0010 (Error en el Uso) ................................... 73
8.2.11. Amenaza – AMZ011 (Error en el Sistema) .............................. 74
8.2.12. Amenaza – AMZ0012 (Falla del Equipo) ................................. 74
8.2.13. Amenaza – AMZ013 (Hurto de Información) ............................ 74
8.2.14. Amenaza – AMZ014 (Hurto de Equipo) ................................... 75
8.2.15. Amenaza – AMZ015 (Impulsos Electromagnéticos) ................ 75
8.2.16. Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del
Personal) 75
8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del
Sistema de Información) .......................................................................... 76
8.2.18. Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)... 76
8.2.19. Amenaza – AMZ019 (Accesos Forzados al Sistema) .............. 76
8.2.20. Amenaza – AMZ020 (Mal Funcionamiento del Equipo) ........... 77
8.2.21. Amenaza – AMZ021 (Mal Funcionamiento del Software) ........ 77
8.2.22. Amenaza – AMZ022 (Manipulación con Hardware) ................. 77
8.2.23. Amenaza – AMZ023 (Manipulación con Software) .................. 77
8.2.24. Amenaza – AMZ024 (Manipulación del Sistema) .................... 78
8
8.2.25. Amenaza – AMZ025 (Perdida de Suministro de Energía) ....... 78
8.2.26. Amenaza – AMZ026 (Perdida de Suministro de Energía) ....... 78
8.2.27. Amenaza – AMZ027 (Perdida de Suministro de Energía) ....... 79
8.2.28. Amenaza – AMZ028 (Recuperación de Medios Reciclados o
Desechados) ............................................................................................ 79
8.2.29. Amenaza – AMZ029 (Saturación del Sistema de Información) 79
8.2.30. Amenaza – AMZ030 (Suplantación de Identidad) .................... 79
8.2.31. Amenaza – AMZ031 (Uso de Software Falso o Copiado) ....... 80
8.2.32. Amenaza – AMZ032 (Uso no Autorizado del Equipo) .............. 80
8.2.33. Amenaza – AMZ033 (Contaminación Electromagnética) ........ 80
8.2.34. Amenaza – AMZ034 (Errores del Administrador) .................... 81
8.2.35. Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.36. Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.37. Amenaza – AMZ035 (Errores de Monitorización (Log)) ........... 82
8.2.38. Amenaza – AMZ035 (Errores de Configuración) ..................... 82
8.2.39. Amenaza – AMZ035 (Divulgación de Información) .................. 82
8.3. Identificación De Vulnerabilidades Por Activo .................................... 84
8.4. Identificación De Vulnerabilidades ..................................................... 93
8.5. Focus gruop ....................................................................................... 96
9. Referencias ............................................................................................ 100
Lista de Tablas
Tabla 1: Factibilidad Económica: Factor Humano ........................................ 31
9
Tabla 2: Factibilidad Económica: Factor Técnico ............................................ 31
Tabla 3: Total Factibilidad Económica ............................................................ 31
Tabla 4: Caracterización Infraestructura Actual ............................................ 35
Tabla 5: Matriz DOFA ..................................................................................... 37
Tabla 6: Etiquetación Tipo de Activo ............................................................... 43
Tabla 7: Dimensiones de Valoración .............................................................. 48
Tabla 8: Criterios de Valoración de Activos .................................................... 48
Tabla 9: Criterios de Valoración de Activos II ................................................. 48
Tabla 10: Modelo Descripción Amenaza ........................................................ 51
Tabla 11: Criterios de Valoración Probabilidad de Riesgo .............................. 52
Tabla 12: Criterios de Valoración de Impacto ................................................. 51
Tabla 13: Criterios de Valoración del Riesgo .................................................. 52
Tabla 14: Criterios de Calificación del Control ................................................ 53
Tabla 15: Etiquetado de Activos ..................................................................... 46
Tabla 16: Riesgos Ineherentes ....................................................................... 50
Tabla 17: Riesgos Residuales ........................................................................ 50
Tabla 18: Valoración de Activos...................................................................... 63
Tabla 19: Identificación de Amenazas por tipo de Activo ................................ 67
Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema) ................ 71
Tabla 21: Amenaza – AMZ002 (Accidente Importante) .................................. 71
Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema) .......................... 71
Tabla 23: Amenaza – AMZ004 (Código mal Intencionado) ............................ 72
Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software) .................. 72
Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos) .............................. 72
Tabla 26: Amenaza – AMZ007 (Daño por Agua) ............................................ 73
Tabla 27: Amenaza – AMZ008 (Daño por Fuego) .......................................... 73
Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) ..... 73
Tabla 29: Amenaza – AMZ0010 (Error en el Uso) .......................................... 73
Tabla 30: Amenaza – AMZ011 (Error en el Sistema) ..................................... 74
Tabla 31: Amenaza – AMZ0012 (Falla del Equipo) ........................................ 74
Tabla 32: Amenaza – AMZ013 (Hurto de Información) ................................... 74
Tabla 33: Amenaza – AMZ014 (Hurto de Equipo ........................................... 75
Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos) ....................... 75
Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del
Personal) ........................................................................................................ 75
Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del
Sistema de Información) ................................................................................. 76
Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) .......... 76
Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema) ..................... 76
Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo) .................. 77
Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software) ............... 77
10
Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware) ........................ 77
Tabla 42: Amenaza – AMZ023 (Manipulación con Software) ......................... 77
Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema) ........................... 78
Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía) .............. 78
Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía) .............. 78
Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía) .............. 79
Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o
Desechados) ................................................................................................... 79
Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información) ....... 79
Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad) ........................... 79
Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado) ............... 80
Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo) ..................... 80
Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética) ................ 80
Tabla 53: Amenaza – AMZ034 (Errores del Administrador) ........................... 81
Tabla 54: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81
Tabla 55: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81
Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log)) .................. 82
Tabla 57: Amenaza – AMZ035 (Errores de Configuración) ............................ 82
Tabla 58: Amenaza – AMZ035 (Divulgación de Información) ......................... 82
Tabla 59: Identificación de Vulnerabilidades por activo .................................. 84
Tabla 60: Identificación de Vulnerabilidades ................................................... 93
11
Lista de Figuras
Figura 1: Cronograma .................................................................................... 30
Figura 2: Proceso de Gestión de Riesgos tomado del libro 1 de Magerit
V.3 .................................................................... Error! Bookmark not defined.
12
AGRADECIMIENTOS
Expresamos nuestro sincero agradecimiento a Dios, por brindarnos Salud y por
permitirnos llegar hasta este momento tan importante. Agradecemos
profundamente a nuestros padres, por su apoyo y amor incondicional, y porque
fueron testigos de nuestra formación profesional.
Agradecemos a la Universidad Francisco José de Caldas por habernos
brindado la oportunidad de estudiar y ser personas con valores y una carrera
profesional.
Al Ing. José Vicente Reyes por su orientación, supervisión, apoyo y
participación activa en el desarrollo del proyecto y a lo largo de nuestra carrera
profesional.
Finalmente, pero no con menos importancia agradecemos a nuestra familia,
compañeros y amigos, puesto que nos brindaron su apoyo y sus consejos para
seguir adelante con nuestra formación profesional y personal.
“Son muchas las personas que han formado parte de nuestras vida profesional
a las que nos encantaría agradecerles por su amistad, consejos, apoyo, ánimo
y compañía en los momentos más difíciles de nuestras vidas, en nuestros éxitos
y fracasos y en esos momentos de alegrías. Algunas están aquí con nosotros
y otras en nuestros recuerdos y en nuestros corazones, sin importar en donde
estén queremos darles las gracias por formar parte de esta nueva etapa, por
todo lo que nos has brindado y por todas sus bendiciones.”
13
RESUMEN
En la actualidad, muchas empresas que están o desean incursionar en el
ámbito financiero tienen problemas para resguardar la seguridad de la
información, en consecuencia se genera vulnerabilidades y amenazas de los
activos de la organización.
La globalización y liberación del sector financiero, junto con la creciente
sofisticación de la tecnología financiera, y el acceso deliberado a la
información, está haciendo cada vez más diversas y complejas las actividades
de las entidades financieras en términos de seguridad.
El propósito de este trabajo se centró en el diseño del sistema de seguridad de
Gestión de la información (SGSI), basado en la norma ISO27001.
El presente trabajo describe como se debe generar un plan de seguridad para
una entidad financiera, se comienza con definir su estructura organizacional, se
evalúa cada uno de sus activos, después se pasa a definir las amenazas y
riesgos que se pueden generar, para finalmente concluir con unas políticas
anteriormente definidas para poder mitigar los riesgos que se puedan presentar
dentro de una entidad financiera.
14
ABSTRACT
At present, many companies that are or wish to enter the financial sphere have
problems to safeguard the security of the information, in consequence it
generates vulnerabilities and threats of the assets of the organization.
The globalization and liberation of the financial sector, together with the growing
sophistication of financial technology, and deliberate access to information, are
making the activities of financial institutions increasingly diverse and complex in
terms of security.
The purpose of this work was to design the information management system
(ISMS), based on the ISO27001 standard.
This paper describes how to create a security plan for a financial institution, start
with defining its organizational structure, evaluate each of its assets, then go on
to define the threats and risks that can be generated, to finally conclude With
previously defined policies in order to mitigate risks that may arise within a
financial institution.
15
INTRODUCCIÓN
Hoy en día la información está definida como uno de los activos más valiosos
de cualquier organización debido a su valor, dicha información toma
importancia solo cuando se utiliza de una forma adecuada y además se
encuentra disponible en cualquier momento, para esto se debe utilizar de una
manera íntegra, oportuna, responsable y segura, lo cual implica que las
organizaciones sin importar el área o su actividad económica, deben tener una
adecuada gestión de sus recursos y activos de información con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la información.
Para la protección de la información, se deben generar gran cantidad de
medidas que me permitan mitigar el mínimo riesgo posible y así no generar
ninguna alteración dentro de la organización, Al no tener las medidas
adecuadas, las compañías se arriesgan a asumir la perdida de la información
y poner en riesgo el futuro de la empresa, es importante que los ordenadores
donde está almacenada gran parte de la información confidencial de una
empresa o de cualquier otro particular, estén protegidos de cualquier amenaza
externa y del entorno más próximo para prevenir o evitar robos, accesos no
deseados o pérdidas importantes.
Las vulnerabilidades en los sistemas de información pueden representar
problemas graves, por ello es muy importante comprender los conceptos
necesarios para combatir los posibles ataques a la información, teniendo en
cuenta que en la actualidad la información es un activo de gran valor para las
empresas. Por esto y otros motivos, es necesario contar con un plan de
seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda
poner en riesgo la continuidad de un negocio.
Los riesgos dentro de un negocio a los cuales se enfrenta las organizaciones
son permanentes y difíciles de anticipar, es por esta razón que la información
se convierte una herramienta estratégica de las organizaciones en la protección
de su activo de mayor valor. Para las entidades financieras, el conocimiento es
uno de los activos de mayor incidencia en todos sus procesos innovadores, por
lo tanto, proteger su información ante cualquier riesgo y garantizar su
competencia en el mercado hace que un sistema de gestión de seguridad de la
información sea de gran importancia
16
Para la protección y seguridad de la información se deben tomar todas aquellas
medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que me permitan resguardar y proteger la información, buscando
de esta manera mantener la confidencialidad, la disponibilidad e integridad de
la misma. Las entidades del sector financiero, están en la obligación de
garantizar la debida seguridad, protección y privacidad de la información
financiera y personal de los usuarios que residen en sus bases de datos, lo que
implica, que deben contar con los más altos estándares y niveles de seguridad
con el propósito de asegurar la debida recolección, almacenamiento,
tratamiento y uso de esta información. La seguridad en los datos es una latente
del día a día en las organizaciones financieras debido a los diferentes cambios
que se realizan por parte de leyes y las regulaciones, como se cita en el
siguiente párrafo del centro criptológico nacional “La importancia de la
gestión de riesgos operativos y de seguridad se ha incrementado debido
a diversos factores, entre los que se destacan el aumento de los requisitos
por parte de leyes y regulaciones, el crecimiento de los riesgos en
seguridad por parte de los empleados y el número cada vez mayor de
brechas en la seguridad de los datos.1” Esto conlleva a que las empresas
estén activos para que no se genere ningún riesgo de información dentro de la
compañía.
Otra de las preocupaciones permanentes de las entidades financieras, es la
de poder garantizar la seguridad de las operaciones que realizan sus clientes,
lo cual, cada día es más complejo de conseguir debido a la evolución de las
tecnologías y la apertura de nuevos canales de transacciones que generan
retos significativos con el propósito de prevenir los fraudes en general.
El presente trabajo de grado modela un Sistema de Gestión de Seguridad de
la Información para una entidades financiera, teniendo en cuenta para esto el
marco de referencia de la norma ISO/IEC27001.Proporciona un marco
metodológico basado en buenas prácticas para llevar a cabo el modelo de
Gestión de Seguridad de la Información en cualquier tipo de organización
1https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-del-
sector-bancario.html
17
CAPITULO 1
FASE DE DEFINICIÓN,
PLANEACIÓN Y
ORGANIZACIÓN
18
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
1.1. TITULO
Diseño del Modelo de un SGSI (Sistema de gestión de la seguridad de la
información) aplicada a Entidades Bancarias.
1.2. PLANTEAMIENTO DEL PROBLEMA
Para evitar situaciones como la falta de un adecuado modelo de Seguridad de
la Información, la no existencia de un sistema de información que apoye la
gestión de riesgos de seguridad y la poca concientización, apropiación y
conocimiento en temas de seguridad por parte del personal de la entidad; se
debe implementar y fortalecer la Seguridad de la Información en una entidad.
En la actualidad la mayoría de entidades bancarias como Compensar en su
línea de servicios financieros no cuentan con un modelo adecuado de SGSI
(Sistema de Gestión de Seguridad de la información) que permita gestionar los
riesgos de seguridad, por este motivo no se puede llevar un control para
establecer y visualizar el estado global y transversal de la organización.
Adicionalmente las entidades financieras no cuentan con métodos eficaces que
permitan controlar y monitorear la información por lo que no se pueden prevenir
los riesgos ni las amenazas, ni establecer las vulnerabilidades que pueden
afectar la prestación del servicio y la ejecución de las actividades diarias.
Debido a que existen varios riesgos (los cuales se describirán en el desarrollo
del proyecto) que amenazan la privacidad de la información, se deben
establecer controles para mitigar y/o evitar estos riesgos, en vista de que estas
entidades no cumplen y no han establecido los controles pertinentes, se puede
ver afectada la integridad, confiabilidad y disponibilidad de la información.
Además, esta información puede caer en manos inescrupulosas que puedan
utilizar estos datos para realizar fraudes, sabotaje, suplantación, entre otros;
los cuales pueden afectar la integridad de las personas y de la organización.
En las entidades bancarias la dirección de tecnología realiza algunas funciones
propias de seguridad de la información, pero no realizan las mejores prácticas
definidas en modelos y estándares de seguridad. Por lo tanto, es indispensable
segregar las funciones de seguridad de la información y seguridad informática
con el propósito de evitar que coexistan funciones que requieren diferentes
niveles de seguridad.
19
1.3. OBJETIVOS
1.3.1. Objetivo General
Diseñar un modelo de SGSI para entidades bancarias a través de una
metodología y basados en la norma ISO/IEC27001 estableciendo los
mecanismos necesarios y los controles requeridos para mitigar riesgos.
1.3.2. Objetivo Específicos
Analizar la situación actual de seguridad de la información en las entidades bancarias para el caso estudio definido.
Analizar e identificar los riesgos utilizando los fundamentos de la metodología Magerit.
Establecer los controles a aplicar con el fin de evitar que los elementos vulnerables identificados durante el análisis realizado, pongan en riesgo la seguridad de la información o de los activos.
1.4. SOLUCIÓN TECNOLÓGICA
Como solución tecnológica para el proyecto en mención, se desarrollarán una
serie de pasos o eventos que permitirá obtener y/o establecer los elementos
necesarios para el diseño del modelo del SGSI. Como paso inicial se debe
realizar la gestión de los activos la cual incluye la identificación de los mismos,
como por ejemplo la información que se maneja dentro de algunas entidades
bancarias, hardware y software, redes de comunicaciones, equipamiento
auxiliar, el personal, entre otros; y la clasificación de los activos de acuerdo a
los criterios de valoración tomados de la metodología Magerit; a continuación
se identificaran las vulnerabilidades y amenazas y se generarán los riesgos
asociados, para a partir de lo planteado establecer controles teniendo en cuenta
la norma ISO 270001 la cual permite establecer políticas, procedimientos y
controles con objeto de disminuir los riesgos de la organización y políticas de
seguridad la cual será elaborada por medio del ciclo Deming.
20
1.5. MARCO DE REFERENCIA
1.5.1. Marco teórico
La seguridad de la información se debe tener como prioridad en todas las
entidades y se le debe prestar la atención suficiente, ya que de ello depende la
integridad, disponibilidad y la confidencialidad de la información. Para la
realización del proyecto se tomará como referencia proyectos destacados de la
Escuela Superior Politécnica del Litoral ESPOL de Ecuador, que abordan temas
similares al que se contemplara en este documento. A continuación, se
presenta una breve reseña de los SGSI de apoyo:
Como proyecto de apoyo se tendrá en cuenta el proyecto: “el modelo de un
Sistema de Gestión de Seguridad de la Información usando la norma ISO
27000 para las organizaciones bancarias aplicando los dominios de control ISO
27002:2055 y utilizando la metodología Magerit”, este documento contiene la
información técnica de la revisión de las seguridades en temas transaccionales
con el fin de encontrar las vulnerabilidades y amenazas para poder
minimizarlas, aplicando los controles de la norma 27000 en los diferentes
dominios.
Las organizaciones están expuestas cada vez más a una infinidad de
amenazas que pueden llegar a poner riesgo el correcto funcionamiento de las
mismas, debido a este fenómeno que se viene presentando cada día con mayor
fuerza es necesario que cada una realice una autoevaluación con el fin de
determinar vulnerabilidades y definir estrategias y controles que permitan
garantizar la protección de la información.
Actualmente la información es uno de los activos más importantes y de mayor
valor para cualquier tipo de organización, pero si nos fijamos específicamente
en las entidades bancarias, podremos notar que este tipos de entidades maneja
mucha información que debe ser administrada de forma muy cautelosa debido
a que se trata de información confidencial de sus clientes quienes realizan miles
de transacciones por los diferentes medios que disponen, por este motivo es
importante que las entidades bancarias adopten un buen sistema de gestión de
seguridad que le permita garantizar la protección de la información como
también el poder reaccionar de manera efectiva y rápida ante cualquier hecho
que se presente y que pueda llegar a poner en riesgo la información de sus
clientes y su buen nombre.
Finalmente cabe resaltar que las entidades bancarias están en constante
riesgo debido que están a la mira de infinidad de ataques y personas
inescrupulosas a causa de la función que realizan, estos ataques son cada vez
21
más frecuentes y sofisticados, recordemos que un ataque no solamente puede
llegar a ser por transmitido por software sino que también puede involucrar el
hardware de la organización, motivo por el cual las entidades deben además
de asegurar la información, realizar capacitaciones y sensibilizaciones que
comprometan al personal de las mismas con el cumplimiento de las políticas
que se determinen, como también mantener una comunicación constante con
el cliente de tal manera que este también haga parte de este proceso tan
importante para ambos.
1.5.2. Antecedentes
SGSI2: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión
de la Seguridad de la Información. ISMS es el concepto equivalente en idioma
inglés, siglas de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de la fecha de
elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación
de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.
Fundamentos:
Para garantizar que la seguridad de la información es gestionada
correctamente se debe identificar inicialmente su ciclo de vida y los aspectos
relevantes adoptados para garantizar su C-I-D:
Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
2 SGSI. http://www.iso27000.es/sgsi.html. 2015
22
Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
En base al conocimiento del ciclo de vida de cada información relevante se
debe adoptar el uso de un proceso sistemático, documentado y conocido por
toda la organización, desde un enfoque de riesgo empresarial. Este proceso es
el que constituye un SGSI.
ISO/IEC 270013: ISO/IEC 27001 es un reconocido marco internacional de las
mejores prácticas para un sistema de gestión de seguridad de la información.
Le ayuda a identificar los riesgos para su información importante y pone en su
lugar los controles apropiados para ayudarle a reducir el riesgo.
ISO/IEC 27001:20054
Este estándar internacional ha sido preparado para proporcionar un modelo
para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar
un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de
un SGSI debe ser una decisión estratégica para una organización. El diseño e
implementación del SGSI de una organización es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos empleados
y el tamaño y estructura de la organización. En función del tamaño y
necesidades se implementa un SGSI con medidas de seguridad más o menos
estrictas, que en cualquier caso pueden variar a lo largo del tiempo.
Norma ISO/IEC 27005
Gestión de riesgos de la Seguridad de la Información
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos
de seguridad de información. La norma suministra las directrices para la gestión
de riesgos de seguridad de la información en una empresa, apoyando
particularmente los requisitos del sistema de gestión de seguridad de la
información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención
de gestionar los riesgos que puedan complicar la seguridad de la información
de su organización. No recomienda una metodología concreta, dependerá de
3 http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/. 2015 4 INTERNATIONAL ORGANIZATION FOR STANDARIZATION ISO/IEC 27000. www.iso27000.es
2015
23
una serie de factores, como el alcance real del Sistema de Gestión de
Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones
Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO
/ IEC TR 13335-4:2000.
Las secciones de contenido son:
Prefacio.
Introducción.
Referencias normativas.
Términos y definiciones.
Estructura.
Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información.
Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión.
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
Enfoques ISRA.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o
impacto, y la supuesta eficiencia de las medidas de seguridad. Los
directivos de la organización utilizan los resultados de la evaluación del
riesgo para desarrollar los requisitos de seguridad y sus
especificaciones.
El proceso de evaluación de amenazas y vulnerabilidades, conocidas y
postuladas para estimar el efecto producido en caso de pérdidas y
establecer el grado de aceptación y aplicabilidad en las operaciones del
negocio.
24
Identificación de los activos y facilidades que pueden ser afectados por
amenazas y vulnerabilidades.
Análisis de los activos del sistema y las vulnerabilidades para establecer
un estimado de pérdida esperada en caso de que ocurran ciertos
eventos y las probabilidades estimadas de la ocurrencia de estos. El
propósito de una evaluación del riesgo es determinar si las
contramedidas son adecuadas para reducir la probabilidad de la pérdida
o el impacto de la pérdida a un nivel aceptable.
Una herramienta de gestión que proporcione un enfoque sistemático que
determine el valor relativo de:
La sensibilidad al instalar activos informáticos
La evaluación de vulnerabilidades
La evaluación de la expectativa de pérdidas
La percepción de los niveles de exposición al riesgo
La evaluación de las características de protección existentes
Las alternativas adicionales de protección
La aceptación de riesgos
La documentación de las decisiones de gestión.
Decisiones para el desarrollo de las funciones de protección adicionales se
basan normalmente en la existencia de una relación razonable entre
costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que
deben protegerse. Las evaluaciones de riesgos pueden variar de una revisión
informal de una instalación a escala microprocesador pequeño para un análisis
más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una
instalación a escala de ordenadores. Metodologías de evaluación de riesgos
pueden variar desde los enfoques cualitativos o cuantitativos a cualquier
combinación de estos dos enfoques.
ISO/IEC 27002:2005
Describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información con 11 dominios, mencionados en el anexo A de la
ISO 27001, 39 objetivos de control y 133 controles.
Los dominios a tratar son los siguientes:
Políticas de Seguridad: Busca establecer reglas para proporcionar la dirección
gerencial y el soporte para la seguridad de la información. Es la base del SGSI.
25
Organización de la seguridad de la información: Busca administrar la
seguridad dentro de la compañía, así como mantener la seguridad de la
infraestructura de procesamiento de la información y de los activos que son
accedidos por terceros.
Gestión de activos: Busca proteger los activos de información, controlando el
acceso solo a las personas que tienen permiso de acceder a los mismos. Trata
que cuenten con un nivel adecuado de seguridad.
Seguridad de los recursos humanos: Orientado a reducir el error humano, ya
que en temas de seguridad, el usuario es considerado como el eslabón más
vulnerable y por el cual se dan los principales casos relacionados con seguridad
de la información. Busca capacitar al personal para que puedan seguir la
política de seguridad definida, y reducir al mínimo el daño por incidentes y mal
funcionamiento de la seguridad.
Seguridad física y ambiental: Trata principalmente de prevenir el acceso no
autorizado a las instalaciones para prevenir daños o pérdidas de activos o hurto
de información.
Gestión de comunicaciones y operaciones: Esta sección busca asegurar la
operación correcta de los equipos, así como la seguridad cuando la información
se transfiere a través de las redes, previniendo la pérdida, modificación o el uso
erróneo de la información.
Control de accesos: El objetivo de esta sección es básicamente controlar el
acceso a la información, así como el acceso no autorizado a los sistemas de
información y computadoras. De igual forma, detecta actividades no
autorizadas.
Sistemas de información, adquisición, desarrollo y mantenimiento:
Básicamente busca garantizar la seguridad de los sistemas operativos,
garantizar que los proyectos de TI y el soporte se den de manera segura y
mantener la seguridad de las aplicaciones y la información que se maneja en
ellas.
Gestión de incidentes de seguridad de la información: Tiene que ver con todo
lo relativo a incidentes de seguridad. Busca que se disponga de una
metodología de administración de incidentes, que es básicamente definir de
forma clara pasos, acciones, responsabilidades, funciones y medidas
correctas.
Gestión de continuidad del negocio: Lo que considera este control es que la
seguridad de la información se encuentre incluida en la administración de la
26
continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las
actividades y proteger los procesos críticos como consecuencias de fallas o
desastres.
Cumplimiento: Busca que las empresa cumpla estrictamente con las bases
legales del país, evitando cualquier incumplimiento de alguna ley civil o penal,
alguna obligación reguladora o requerimiento de seguridad. A su vez, asegura
la conformidad de los sistemas con políticas de seguridad y estándares de la
organización.
COBIT5: Es un framework (también llamado marco de trabajo) de Gobierno de
TI y un conjunto de herramientas de soporte para el gobierno de TI que les
permite a los gerentes cubrir la brecha entre los requerimientos de control, los
aspectos técnicos y riesgos de negocio. Describe como los procesos de TI
entregan la información que el negocio necesita para lograr sus objetivos. Para
controlar la entrega, COBIT provee tres componentes claves, cada uno
formando una dimensión del cubo COBIT.
Como un framework de gobierno y control de TI, COBIT se enfoca en dos áreas
claves:
Proveer la información requerida para soportar los objetivos y requerimientos
del negocio.
Tratamiento de información como resultado de la aplicación combinada de
recursos de TI que necesita ser administrada por los procesos de TI.
Tiene 34 procesos de alto nivel clasificados en cuatro dominios: Planear y
Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y, Monitorear y
Evaluar.
COBIT a su vez, tiene 7 criterios de información, agrupados en 3 requerimientos
(calidad, fiduciarios y seguridad) con los que clasifica a cada uno de los 34
procesos de TI, según el enfoque que tenga el proceso. Estos criterios son:
Efectividad: Se refiere a la información cuando es entregada de manera
correcta, oportuna, consistente y usable.
Eficiencia: Se refiere a la provisión de información a través de la utilización
óptima de los recursos.
5 IT GOVERNANCE INSTITUTE. Cobit4.1.pdf. [en línea] http://
http://www.isaca.org/cobit/pages/default.aspx
27
Confidencialidad: Se refiere a la protección de la información sensible de su
revelación no autorizada. Tiene que ver que con la información enviada a una
persona debe ser vista solo por esa persona y no por terceros.
Integridad: Se refiere a que la información no haya sufrido cambios no
autorizados.
Disponibilidad: Se refiere a que la información debe estar disponible para
aquellas personas que deban acceder a ella, cuando sea requerida.
Cumplimiento: Se refiere a cumplir con las leyes, regulaciones y acuerdos
contractuales a los que la compañía se encuentra ligada.
Confiabilidad: Se refiere a la provisión de la información apropiada a la alta
gerencia que apoyen a la toma de decisiones.
CICLO DEMING6
El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer,
Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como
Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su
autor. Esta metodología describe los cuatro pasos esenciales que se deben
llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo
como tal al mejoramiento continuado de la calidad (disminución de fallos,
aumento de la eficacia y eficiencia, solución de problemas, previsión y
eliminación de riesgos potenciales…). El círculo de Deming lo componen 4
etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de
esta metodología está enfocada principalmente para para ser usada en
empresas y organizaciones.
Las cuatro etapas que componen el ciclo son las siguientes:
1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden
realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar
nuevas tecnologías mejores a las que se están usando ahora, etc. (ver
Herramientas de Planificación).
6 Ciclo Deming. http://www.pdcahome.com/5202/ciclo-pdca/. 2015
28
2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta.
Generalmente conviene hacer una prueba piloto para probar el funcionamiento
antes de realizar los cambios a gran escala.
3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un
periodo de prueba para verificar su correcto funcionamiento. Si la mejora no
cumple las expectativas iniciales habrá que modificarla para ajustarla a los
objetivos esperados. (Ver Herramientas de Control).
4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben
estudiar los resultados y compararlos con el funcionamiento de las actividades
antes de haber sido implantada la mejora. Si los resultados son satisfactorios
se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si
realizar cambios para ajustar los resultados o si desecharla. Una vez terminado
el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas
mejoras a implantar.
MAGERIT7
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el
Consejo Superior de Administración Electrónica, como respuesta a la
percepción de que la Administración, y, en general, toda la sociedad, dependen
de forma creciente de las tecnologías de la información para el cumplimiento
de su misión.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para
la empresa la violación de la seguridad, buscando identificar las amenazas que
pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser
utilizadas por estas amenazas, logrando así tener una identificación clara de
las medidas preventivas y correctivas más apropiadas.
Lo interesante de esta metodología, es que presenta una guía completa y paso
a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está
dividida en tres libros. El primero de ellos hace referencia al Método, donde se
describe la estructura que debe tener el modelo de gestión de riesgos. Este
libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
Esta metodología es muy útil para aquellas empresas que inicien con la gestión
de la seguridad de la información, pues permite enfocar los esfuerzos en los
riesgos que pueden resultar más críticos para una empresa, es decir aquellos
relacionados con los sistemas de información. Lo interesante es que al estar
7 Magerit http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-
gestionar-riesgos/
29
alineado con los estándares de ISO es que su modelo se convierte en el punto
de partida para una certificación o para mejorar los sistemas de gestión.
1.5.3. Marco Metodológico
En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una
metodología que permite implantar un sistema de mejora continua, esto
ayudara en el análisis de riesgo en el desarrollo del proyecto y además permitirá
hacer una mejor arquitectura en la formación del Sistema de Gestión de
Seguridad de la Información.
En el presente proyecto se usará el ciclo Deming en una forma global de la
siguiente manera:
Planificar: En esta etapa se enmarca todo el proceso de análisis de la situación
en que actualmente se encuentra la empresa respecto a los mecanismos de
seguridad implementados y se establecen el alcance, los objetivos, los puntos
de medición dispuestos para verificar y medir. Adicionalmente se identifican los
sistemas informáticos de hardware y los sistemas de información que
actualmente utiliza la empresa para el cumplimiento de su misión u objeto social
y se evalúan los riesgos, se tratan y se seleccionan los controles a implementar.
Hacer: En esta etapa se implementan todos los controles necesarios de
acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta
el tipo de empresa. También se formula y se implementa un plan de riesgo.
Verificar: Consiste en efectuar el control de todos los procedimientos
implementados en el SGSI. En este sentido, se realizan exámenes periódicos
para asegurar la eficacia del SGSI implementado, se revisan los niveles de
riesgos aceptables y residuales y se realicen periódicamente auditorías
internas para el SGSI.
Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,
realizar las acciones correctivas y preventivas, mantener comunicación con el
personal de la organización relevante.
30
1.6. CRONOGRAMA
Figura 1: Cronograma
Fuente: Los Autores
31
1.7. FACTIBILIDAD ECONÓMICA
La factibilidad técnica es una evaluación que permite demostrar que el proyecto
es factible económicamente, lo que significa que la inversión que se está
realizando es justificada por la ganancia que se generará. . A continuación se
describe la factibilidad económica, identificando los costos económicos de
factores humanos, técnicos, entre otros, necesarios para la realización del
proyecto de investigación que se propone.
1.7.1. Factibilidad Económica: Factor Humano
Tabla 1: Factibilidad Económica: Factor Humano
Tipo Descripción Valor-Hora Cantidad Total
Tutor Asesorías para la realización del
proyecto, referente a la metodología.
$ 38.000 200 $ 7.600.000
Analistas Dos analistas que realicen el SGSI. $ 28.000 8 horas
semanales
$ 7.168.000
Total Recursos Humanos $ 14.768.000
Fuente: Los Autores
1.7.2. Factibilidad Económica: Factor Técnico
Tabla 2: Factibilidad Económica: Factor Técnico
Recurso Descripción Valor Unitario Cantidad Total
Computadores Equipos de escritorio para la
realización del documento SGSI.
$ 1.500.000 2 $ 3.000.000
Total Recursos Técnicos $ 3.000.000
Fuente: Los Autores
1.7.3. Total Factibilidad Económica
Tabla 3: Total Factibilidad Económica
Recurso Valor
Total Recursos Humanos $14.168.000
Total Recursos Técnicos $ 3.000.000
Total Otros recursos $ 100.000
Costos imprevistos (20%) $ 3.000.000
TOTAL COSTO $20.268.000
Fuente: Los Autores
32
CAPITULO 2
ANÁLISIS CASO ESTUDIO
33
2. SITUACIÓN DE LA RED ACTUAL
2.1. CASO ESTUDIO
Actualmente, las empresas no cuentan con un plan de seguridad que garantice
que los riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada y
estructurada, la seguridad que se maneja allí es baja puesto que sus usuarios
internos pueden acceder a información privada e incluso de otras áreas, de la
misma manera ciertos usuarios externos tienen libre acceso a la información.
Las entidades financieras deben de estar sujetas a políticas de seguridad que le
permitan mitigar los riesgos que se pueden generar tanto internamente como
externamente, debido a que no solo manejan información de la organización si
no también información personal de los clientes, que dicha información sin el
debido cuidado y protección se puede manipular para diferentes actividades, lo
cual puede generar un riesgo para la entidad y para la persona. La Seguridad
de la Información en toda organización, es un enfoque principal dado en
cumplimiento del marco regulatorio de la Ley 1581 de 2012 y el Decreto
Reglamentario 1377 de 2013 con el que se pretende tener protocolos, controles
y modelos de protección y privacidad de la información a nivel organizacional, en
relación a los datos personales e información.
La información es un recurso necesario e importante que se genera gracias al
uso de los sistemas de información, a través de una gestión adecuada de cada
uno de los procesos de la empresa. Se debe tener en cuenta que un sistema de
información, no solo se refiere a una aplicación informático, si no que esta es la
integración de personas, datos, redes. En síntesis un sistema de información
comprende, pues, planificación, recursos humanos y materiales, objetivos
concretos a corto, medio y largo plazo, así mismo se hace uso de la tecnología.
Recordemos los tres objetivos básicos de los sistemas de información dentro de
una organización: automatizar procesos, proporcionar información que sirva de
apoyo para la toma de decisiones y lograr ventajas competitivas a través de su
modelo y uso.
La seguridad absoluta no existe en ningún ámbito de la actividad humana, es
por ello que surgen las medidas de seguridad que buscan el equilibro entre coste,
la eficacia y eficiencia para mitigar los diferentes riegos y daños que se pueden
producir en materializarse. Estos sistemas de información están sujetos a riesgos
y amenazas que pueden generarse desde dentro de la propia organización o
desde el exterior. Existen riesgos físicos como incendios, inundaciones,
terremotos o vandalismo que pueden afectar la disponibilidad de nuestra
34
información y recursos, haciendo inviable la continuidad de nuestro negocio si
no estamos preparados para afrontarlos. Por otra parte, se encuentran los
riesgos lógicos relacionados con la propia tecnología y, que como hemos dicho,
aumentan día a día. Hackers, robos de identidad, spam, virus, robos de
información y espionaje industrial, por nombrar algunos, pueden acabar con la
confianza de nuestros clientes y nuestra imagen en el mercado.
Para poder afrontar una vulnerabilidad o amenaza en la organización se debe
tener un análisis de riesgos informático como también una estrategia completa
que incluye la definición de políticas, procesos y herramientas que en conjunto
ayuden desde prevenir y detectar amenazas a la información hasta diferentes
frentes de la organización.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente
por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda
la organización, con la gerencia al frente, tomando en consideración también a
clientes y proveedores de bienes y servicios. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una evaluación de riesgos y
en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a
establecer estas políticas y procedimientos en relación a los objetivos de negocio
de la organización, con objeto de mantener un nivel de exposición siempre menor
al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI,
la organización conoce los riesgos a los que está sometida su información y los
asume, minimiza, transfiere o controla mediante una sistemática definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
2.2. INFORMACIÓN TÉCNICA
A continuación se verá información técnica con lo que debe contar una empresa
del sector financiero
2.2.1. Plataforma Tecnológica
Servidores de Base de Datos
Sistemas Operativos: Windows 7, Windows 8, Ubuntu
Java Server Faces 2.2
35
2.2.2. Caracterización de la infraestructura
Las empresas del sector financiero deben contar con varios servidores ya que
por temas de seguridad deben tener un respaldo en la información debido a que
maneja mucha información, y el procesamiento de ella es de manera privada ya
que la gran mayoría proviene de terceros.
2.2.3. Caracterización Infraestructura Actual
Tabla 4: Caracterización Infraestructura Actual
Servidores Cantidad
Base de Datos 3
Aplicaciones 2
Almacenamiento 2
TOTAL 7
Fuente: Autores “la cantidad tomada se hace con referencia a una empresa con los mínimos requeridos para el desarrollo de la empresa”
36
CAPITULO 3
ETAPA DE PLANIFICACIÓN
37
3. ETAPA DE PLANIFICACIÓN
3.1. MATRIZ DOFA
Al utilizar esta herramienta se va lograr evidenciar las Debilidades, Amenazas,
Fortalezas y Oportunidades que comprende el análisis y diseño de un Sistema
de Gestión de la Seguridad de la Información, aplicada al core del negocio del
caso estudio nombrado, que es el desarrollo de software, para determinar las
diferentes partes de la matriz DOFA y su justificación se optó por la opción de la
realización un Focus Group, en el que se busca inicialmente determinar las
diferentes vulnerabilidades y ventajas que puede llegar a presentar una entidad
bancaria al momento de poner en uso el sistema de gestión que aquí se propone,
los integrantes como sus roles dentro del focus group se encuentra en el anexo
del documento.
El objetivo general de este focus group es determinar las diferentes parámetros
que se deben tener en cuenta al momento de diseñar la matriz DOFA de las
entidades bancarias que desean adoptar un sistema de gestión de seguridad de
la información basado en la metodología Magerit, A partir de los resultados
obtenidos durante el desarrollo del Focus Group (Anexo Focus Group) se
realizó la definición de la matriz DOFA.
3.1.1. Matriz Dofa
Tabla 5: Matriz DOFA
DEBILIDADES FORTALEZAS
Desconocimiento de la
metodología
Poca implicación por parte
de la dirección
Resultados medio/largo
plazo
El desarrollo del SGSI sea
muy detallado
Sistema muy detallado,
retrase los procesos
Falta de políticas de
seguridad bien definidas
Optimización de la
seguridad//entorno informático
Reducción de costes
Reduce el tiempo de
interrupción del servicio y
mejora el grado de satisfacción
de los clientes
Reducción de riesgos,
pérdidas, derroches
Reducción de riesgos que
afecten la seguridad,
disponibilidad y
confidencialidad de la
información.
OPORTUNIDADES ESTRATEGIAS DO ESTRATEGIAS FO
38
Certificación ISO 27001
Momento estratégico de
Seguridad
Aumentar la confianza de la
organización
Definición de políticas de
Seguridad de Información,
estableciendo controles y
normas para el manejo de
seguridad.
Definir procedimientos y
políticas para el ciclo de vida
de la información.
Asesoramiento profesional
para cumplir los requisitos
para la certificación ISO
27001
Fomentar la seguridad en
los procedimientos de la
organización por medio de
dinámicas
Capacitar a los empleados
en cuanto a la metodología
Magerit
Aprovechar la mejora de la
seguridad de la información
para aumentar la confianza en
la organización por medio de
una campaña publicitaria
Fortalecer los procesos del
negocio para aumentar la
calidad del producto ayudados
de una gestión fuerte de PQR
AMENAZAS ESTRATEGIAS DA ESTRATEGIAS FA
Disponer de personal no
calificado.
Dificultad a la hora de poner
en práctica esos
conocimientos.
Falta de Recursos
Económicos.
Falta de compromiso en la
implementación del SGSI.
Oposición interna al aplicar
los controles o mecanismos
de seguridad apropiados.
Resaltar la importancia de
la creación y puesta en
marcha del SGSI.
Poner en marcha una
campaña corporativa que
concientice al personal en
cuanto a la importancia de
la implementación del
sistema.
Realizar capacitaciones a todo
el personal para mejorar la
calidad del producto.
Fuente: Autores
3.2. DECLARACIÓN DE APLICABILIDAD
La presente declaración de aplicabilidad tomara lugar siempre y cuando la
organización cuente con las áreas establecidas a continuación, para un buen
desempeño en los controles y su desarrollo.
Áreas a tener en cuenta:
Seguridad
Tecnología
39
Sistemas
Desarrollo
Infraestructura
Pruebas
Sector Financiero
Directiva
DBA
Redes
3.3. ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO
Para el desarrollo de la norma según la actividad económica de las
organizaciones en este en el sector financiero. Por ello, se ha determinado que
el dominio a seguir es la norma ISO/IEC 27001:2013.
40
41
CAPITULO 4
ANÁLISIS DE RIESGO
42
4. ANÁLISIS DE RIESGOS
4.1. METODOLOGÍA A USAR
La metodología a utilizar predetermina el enfoque del análisis y los criterios de
gestión de riesgos en el SGSI es Magerit (Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información) y la norma ISO/IEC 27005:2008.
4.1.1. Análisis de focus group para el análisis de riesgos.
Para el análisis de riesgos y justificar las decisiones tomadas a continuación
teniendo en cuenta la metodología magerit, se optó por la opción de crear un
Focus Group en el cual consta de dos analistas quien son los encargados de
hacer las preguntas, un moderador, su función es dirigir la discusión y que esta
no se aleje del tema de estudio y por ultimo esta un grupo de colaboradores
quien tienen conocimiento del tema y colaboran a la dinámica de la discusión
para resolver las preguntas con mayor certeza. El nombre de los participantes y
el rol que tomo cada uno en el Focus Group se encuentra en el anexo del
documento (Anexo Focus Group).
El focus group es una herramienta comúnmente utilizada en la investigación de
mercados, pero también en el desarrollo de trabajos de investigación, que ayuda
a determinar aspectos netamente cualitativos, por lo tanto permitirá determinar
las actitudes y percepciones de los participantes del grupo hacia un producto o
en este caso para el desarrollo de riesgos utilizando la metodología magerit
orientada a las organizaciones del sector financiero.
El objetivo general del focus group es realizar un criterio de valoración de
acuerdo a las necesidades o requerimientos de las entidades financieras
teniendo en cuenta la metodología magerit para la calificación de activos, el
proceso que se desarrollo fue el siguiente.
Calificación de los activos que se encuentra dentro de una organización
financiera, para esta calificación se tomó las tres dimensiones nombradas
en la metodología magerit que son: Disponibilidad (D), integridad (I) y
Confiabilidad (C).
Identificar las amenazas.
Identificar los riesgos.
Análisis de riesgos
A partir de los resultados obtenidos durante el desarrollo del Focus Group
(Anexo Focus Group) se realizó el análisis de Riesgos, que se detalla a
continuación:
43
4.1.2. Tipos De Activos
De acuerdo a la metodología Magerit los activos se clasifican de la siguiente
manera:
Activo de Información
Software o aplicaciones
Hardware
Servicios
Infraestructura
Personas
4.1.3. Codificación O Etiquetación De Los Activos
De acuerdo a cada tipo de activo, se etiquetara la lista de activos identificados
en el caso estudio de la siguiente manera:
4.1.3.1. Etiquetación Tipo de Activo
Tabla 6: Etiquetación Tipo de Activo
Información Inf - ##
Software Sw - ##
Hardware Hw - ##
Servicios Serv - ##
Infraestructura Infra - ##
Personas Per - ## Fuente: Autores
4.1.4. Caracterización de Activos
4.1.4.1. Identificación de Activos
Las organizaciones del sector financiero cuenta con diferentes activos que son importantes para el desarrollo de su trabajo como:
4.1.4.1.1. Datos/Información
44
Los Datos e información que se deben tener en cuenta son:
Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB
4.1.4.1.2. Software/Aplicaciones Informáticas
El software o aplicaciones que se tienen en cuenta son:
Desarrollos a medida y/o propios de la Organización Sistemas Operativos Antivirus Servidores Aplicaciones/Contenedores Navegadores Office Motor Base de Datos Licencias Desarrollo - IDE
4.1.4.1.3. Equipamiento Informático (Hardware)
En el equipamiento de hardware se encuentra los siguientes:
Servidores Computadores de Escritorio Tablets celulares Portátiles Dispositivos Móviles Impresoras Equipos Multifuncional Routers Teléfonos Modems Memoria USB
45
CD/DVD Discos Portables Cámaras de Seguridad Lector Huella Dactilar
4.1.4.1.4. Servicios
Los servicios a tener en cuenta son:
Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de Información Fluido Eléctrico
4.1.4.1.5. Infraestructura
La infraestructura con que la organización cuenta son:
Planta de la Organización Canalización de red Eléctrica Canalización de red Datos Instalación de red de Datos Instalación de red de Eléctrica
4.1.4.1.6. Personas
El personal de la organización que se tiene en cuenta en la organización son:
Usuarios Internos Usuarios Externos Analista Profesionales Líder coordinadores administrativos Funcionales Desarrolladores Clientes Personal operativo Proveedores
4.1.4.2. Etiquetado de Activos
De acuerdo al tipo de activo, se ha etiquetado los activos identificados de la
siguiente manera:
46
4.1.4.3. Etiquetado de Activos
Tabla 7: Etiquetado de Activos
Tipo de Activo
Nombre Activo Código Activo
Información Base de Datos Inf-01
Archivos de Datos Inf-02
Manuales de Usuario Inf-03
Documentación del sistema Inf-04
Contratos Inf-05
Formatos (libranzas, pólizas ) Inf-06
Hojas de Vida Inf-07
Documentos internos Inf-08
Entregables (CD/DVD) Inf-09
Material Físico (Impreso) Inf-10
Información en carpetas compartidas en red Inf-11
Información Disco Portables Inf-12
Información memorias USB Inf-13
Software Desarrollos a medida y/o propios de la organización
Sw-01
Sistemas Operativos Sw-02
Antivirus Sw-03
Servidores Aplicaciones/ Contenedores Sw-04
Navegadores Sw-05
Office Sw-06
Motor de Base de Datos Sw-07
Licencias Sw-08
Aplicativos Finanzas Sw-09
Hardware Servidores Hw-01
Computadores de escritorio Hw-02
Portátiles Hw-03
Dispositivos móviles Hw-04
Impresoras Hw-05
Equipos multifuncional Hw-06
Routers Hw-07
Teléfonos Hw-08
Modems Hw-09
Memoria USB Hw-10
CD/DVD Hw-11
Discos Portables Hw-12
Cámaras de Seguridad Hw-13
47
Lector Huella Dactilar Hw-14
Servicios Capacitaciones Serv-01
Telefonía Serv-02
Internet Serv-03
Red Inalámbrica Serv-04
Almacenamiento de información Serv-05
Fluido Eléctrico Serv-06
Infraestructura Planta de la Organización Infra-01
Canalización de red eléctrica Infra-02
Canalización de red de datos Infra-03
Instalación de red de datos Infra-04
Instalación de red eléctrica Infra-05
Personal Usuarios Internos Per-01
Usuarios externos Per-02
Analista Per-03
Profesionales Per-04
Lideres Per-05
coordinadores Per-06
administrativos Per-07
Funcionales Per-08
Desarrolladores Per-09
Clientes Per-10
Personal operativo Per-11
Proveedores Per-12
Fuente: Los Autores
4.1.4.4. Valoración de Activos
A continuación se realizará la valoración correspondiente a cada activo de acuerdo al criterio de valoración de cada una de las siguientes dimensiones.. [D] Disponibilidad [I] Integridad de los datos [C] Confidencialidad Ver Anexo – “Valoración de Activos”
4.1.5. Criterios De Valoración De Activos
Para la valoración de los activos se tendrá en cuenta las siguientes dimensiones:
48
4.1.5.1. Dimensiones de Valoración
Tabla 8: Dimensiones de Valoración
D Disponibilidad
I Integridad de los datos
C Confidencialidad de la información
Fuente: Autores
De acuerdo a la metodología Magerit, las dimensiones se valoraran de la siguiente manera conforme al criterio de evaluación presentada por la metodología.
4.1.5.2. Criterios de Valoración de Activos
Tabla 9: Criterios de Valoración de Activos
Nivel de Valor Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos
Fuente: Autores
Los criterios de valoración dados por Magerit se tendrán en cuenta solo para dos
de las dimensiones anteriormente nombradas, es el caso de Disponibilidad (D)
e Integridad (I).
Para la dimensión de Confidencialidad (C) se manejara los siguientes criterios
de valoración de acuerdo al tipo de información
4.1.6. Criterios de Valoración de Activos II
Tabla 10: Criterios de Valoración de Activos II
Nivel de Valor Criterio
8-10 Restringido
4-7 Uso Interno
0-3 Pública
Fuente: Autores
Restringido: Es la información que no se permite divulgar entre las diferentes
áreas de la organización, afectando la intimidad del personal o trabajo de cada
49
área o simplemente es información vital para el debido funcionamiento de la
organización. Ej.: información de la base de datos, contraseñas de servidores,
hojas de vida etc.
Uso Interno: Es la información que circula al interior de una empresa u
organización. Busca llevar un mensaje para mantener la coordinación entre las
distintas áreas, permite la introducción, difusión y aceptación de pautas para el
desarrollo organizacional. Los trabajadores necesitan estar informados para
sentirse una parte activa de la organización. Esta información es útil para tomar
decisiones.
Pública: Es la información a la cual toda persona interna y externa de la
organización tiene acceso por cualquier medio de comunicación, sin previa
autorización, sin censura o impedimento. Eje: página web de la organización.
4.1.7. Caracterización de amenazas
4.1.7.1. Identificación de Amenazas por tipo de Activo
Antes de identificar las amenazas para cada activo identificado del caso estudio,
se realizó una lista de las posibles amenazas por tipo de activo, todo esto en
base en el anexo C “Ejemplo de amenazas comunes” de la norma ISO/IEC
27005:2008 con su respectiva descripción.
Ver Anexo – “Identificación de Amenazas por tipo de Activo”
4.1.7.2. Valoración de Vulnerabilidad por Amenazas de tipo de Activo
A continuación se realiza una identificación y valoración de vulnerabilidad
identificada en cada una de las amenazas por tipo de activo identificado
anteriormente, todo esto en base del anexo D “Vulnerabilidades y Métodos para
la Evaluación de la Vulnerabilidad” de la norma ISO/IEC 27005:2008
Ver Anexo - “Identificación de Vulnerabilidades por Amenaza de Tipo de Activo”
4.1.7.3. Identificación de Amenazas
De acuerdo a la identificación de amenazas por cada tipo de activo anteriormente
realizada, se presenta a continuación el catálogo de amenazas sobre los activos
que manejan las organizaciones del sector financiero, teniendo en cuenta su
valor hallado en la valoración de activos este entre “Extremo, Muy Alto y Alto”.
Ver Anexo – “Identificación de Amenazas”
4.1.7.4. Identificación de Vulnerabilidades
De acuerdo a la identificación de amenazas sobre los activos que manejan las
organizaciones del sector financiero, se presenta a continuación el catálogo de
vulnerabilidades que por cada amenaza identificada.
Ver Anexo – “Identificación de Vulnerabilidades”
50
4.1.8. Relación entre Impacto, Probabilidad y Riesgo
Con este análisis de riesgo se busca aclarar la relación existente entre el riesgo,
la probabilidad de que ocurra y el impacto que puede tener en cada uno de los
activos identificados anteriormente.
4.1.9. Matriz de Riesgo
A continuación se evidencia la Matriz de Riesgo de los activos identificados en
el caso estudio, sin tener en cuenta los controles que se hagan en el caso
estudio, es decir el riesgo Inherente.
Tabla 11: Riesgos Ineherentes
Impacto
Muy
Bajo Bajo Medio Alto Muy Alto
Pro
bab
ilid
ad
Siempre 0 0 1 3 18
Casi Siempre 0 0 1 20 31
A Menudo 0 0 2 12 32
Algunas
Veces 0 0 2 20 25
Casi Nunca 0 0 0 0 4
Fuente: Los Autores
A continuación se evidencia la Matriz de Riesgo de los activos identificados en
el caso estudio, teniendo en cuenta los controles que se hagan en el caso
estudio, es decir el riesgo Residual.
Tabla 12: Riesgos Residuales
Impacto
Muy
Bajo Bajo Medio Alto Muy Alto
Pro
ba
bilid
ad
Siempre 0 0 0 0 2
Casi Siempre
0 0 6 50 93
A Menudo 0 0 0 3 11
Algunas Veces
0 0 0 2 4
Casi Nunca 0 0 0 0 0 Fuente: Los Autores
51
4.1.10. Tipos De Impacto Y Riesgo (Amenazas)
De acuerdo a la metodología Magerit las amenazas se clasifican en cuatro
grupos como los siguientes:
Desastres Naturales
De Origen Industrial
Errores y fallos no Intencionados
Ataques Intencionados
Para cada amenaza se presenta en un cuadro como el siguiente de acuerdo a la
metodología Magerit.
4.1.11. Modelo Descripción Amenaza
Tabla 13: Modelo Descripción Amenaza
(Código) Descripción sucinta de lo que puede pasar
Tipos de Activos:
Que se puede ver afectados por este tipo
de amenaza
Dimensiones:
De seguridad que se pueden ver afectadas
por este tipo de amenaza, ordenada de más
a menos relevante.
Descripción:
Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del
tipo indicado con las consecuencias indicadas.
Valor del Impacto/Amenaza: valor del impacto de acuerdo al criterio Fuente: Autores
4.1.12. Criterios De Valoración Del Riesgo
Para la valoración del riesgo, se tiene en cuenta la valoración de probabilidad y
la valoración de impacto dada a cada activo, esta valoración se comporta de la
siguiente manera:
4.1.13. Criterios De Valoración De Impacto
La valoración de impacto del riesgo en el activo de la información, se realizará
de la siguiente manera:
4.1.14. Criterios de Valoración de Impacto
Tabla 14: Criterios de Valoración de Impacto
Nivel de Valor Valor Criterio
5 Muy Alto Amenaza y/o impacto extremadamente grave
4 Alto Amenaza y/o impacto muy grave
3 Medio Amenaza y/o impacto grave
2 Bajo Amenaza y/o impacto importante
1 Muy Bajo Amenaza y/o impacto menor
52
Fuente: Autores
4.1.15. Criterios de Valoración del Riesgo
Tabla 15: Criterios de Valoración del Riesgo
Nivel de Valor Valor
17 – 25 Muy Alto
10 – 16 Alto
5 – 9 Medio
2 – 4 Bajo
1 Muy Bajo Fuente: Autores
4.1.16. Criterios De Valoración De Probabilidad Del Riesgo
La probabilidad de que el riesgo se repita o sea frecuente se valorará de la
siguiente manera:
4.1.17. Criterios de Valoración Probabilidad de Riesgo
Tabla 16: Criterios de Valoración Probabilidad de Riesgo
Nivel de Valor Valor
5 Siempre
4 Casi Siempre
3 A Menudo
2 Algunas Veces
1 Casi Nunca Fuente: Autores
4.1.18. Criterios De Valoración De Vulnerabilidades
El objetivo es analizar e identificar las vulnerabilidades que se tiene el caso
estudio presentado los cuales son aprovechas frente a cualquier amenaza para
realizar cualquier daño.
La valoración de la vulnerabilidad se realiza teniendo en cuenta los siguientes
niveles de valoración
Alta: La vulnerabilidad es grave debido al aprovechamiento de una
amenaza para realizar daño.
Media: La vulnerabilidad es importante pero tiene poca probabilidad de
ser aprovechada por una amenaza
Baja: La vulnerabilidad no es aprovechada, ya que no existe amenaza
alguna para materializarse en ella. Criterios De Calificación Del Control
53
La calificación del control, se realizará de la siguiente manera:
4.1.19. Criterios de Calificación del Control
Tabla 17: Criterios de Calificación del Control
Valoración del Control
Nivel de Valor Valor
10 Control Adecuado
9 Control Importante
6-8 Control Parcialmente Adecuado
3-5 Control Menor
1-2 Control Inadecuado Fuente: Autores
Para ver el análisis de riesgo en detalle de cada activo y su procedimiento, este
se evidencia en el archivo llamado Análisis de Riesgos que se encuentra en la
carpeta Anexos del CD.
54
CAPITULO 5
POLÍTICAS Y CONTROLES DE
SEGURIDAD
55
5. POLÍTICAS Y CONTROLES DE SEGURIDAD
5.1. CONTROLES O SALVAGUARDAS
5.1.1. Selección de las salvaguardas
Una vez identificados los activos y haciendo el análisis y gestión de riesgos se
hace necesario a través de la metodología Magerit establecer salvaguardas que
permitan disminuir el impacto de los riesgos encontrados, dichas salvaguardas
deben estar enfocadas en cada uno de los activos que se desean proteger.
Para el desarrollo de los salvaguardas en cualquier organización enfocada al
sector financiero se debe definir políticas de seguridad que permitan establecer
cuáles son las normas a seguir para la protección de los activos. De esta manera
se establecerán los procedimientos necesarios y los responsables de cada uno
de ellos para dar respuesta a las amenazas antes mencionadas.
La implementación de las salvaguardas se puede dar en diferentes niveles como
se muestra a continuación:
Procedimientos
Se requieren procedimientos que permitan el desarrollo de los controles así
como la gestión de los eventos catastróficos y para la recuperación ante estos
inconvenientes.
Política de personal
Se debe establecer quién es el encargado de realizar las diferentes tareas que
se necesitan llevar a cabo para la ejecución de los controles. Deben estar claros
los roles y las funciones que se deben cumplir.
Soluciones de nivel técnico
Las salvaguardas a nivel técnico se pueden abarcar a través de herramientas de
software, a nivel de hardware (físico) o protegiendo las comunicaciones de red
utilizando diferentes métodos.
Seguridad física
Protección de los equipos de cómputo y de comunicaciones así como el
cableado y las instalaciones.
Definición de las salvaguardas para las amenazas detectadas
De acuerdo a la norma ISO/IEC 27002 se establecen los siguientes controles
para disminuir el riesgo de las amenazas encontradas:
56
Dominio: políticas de seguridad
Objetivo de control: directrices de la dirección en seguridad de la información
Control: revisión de las políticas de la seguridad de la información.
En la entidad financiera se debe hacer una revisión de las políticas de seguridad
existentes, con el fin de generar un plan de acción para la mejora de los
procedimientos y de las acciones que se deben llevar a cabo cuando se produzca
una incidencia que afecte los sistemas o las bases de datos, también se debe
procurar una mejor respuesta para dar solución a los inconvenientes que se
puedan dar luego de que se produzca un ataque que aproveche alguna de las
vulnerabilidades encontradas.
Dominio: Aspectos organizativos de la seguridad de la información
Objetivo de control: Organización interna
Control: Asignación de responsabilidades para la seguridad de la información
Se ha encontrado que en la actualidad las tareas relacionadas con la seguridad
de los sistemas de información y de las instalaciones físicas no están claramente
diferenciadas, por lo que es importante definir roles y asignar responsabilidades
a cada uno de ellos, de manera que sea claro cuál es el papel que cumplen los
diferentes colaboradores.
Dominio: Gestión de activos
Objetivo de control: Responsabilidad sobre los activos
Control: Inventario de activos
Ya que el análisis de riesgos y la identificación de activos es tan importante para
la definición de salvaguardas que disminuyan el riesgo, es importante
continuamente hacer un monitoreo que permita establecer si se han detectado
nuevos activos que sean necesarios proteger, así como establecer que activos
no tienen la misma relevancia que se definición al hacer el análisis inicial.
5.1.2. Caracterización De Las Salvaguardas
Las salvaguardas permiten hacer un correcto frente a las amenazas. Hay
diferentes aspectos en los cuales puede actuar una o varias salvaguardas para
alcanzar sus objetivos de limitación y/o mitigación del riesgo.
Procedimientos: Estos siempre son necesarios, los procedimientos son un
componente de una salvaguarda más complejo. Se requieren procedimientos
tanto para la operación de las salvaguardas preventivas como para la gestión de
incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir
aspectos tan diversos como van el desarrollo de sistemas, la configuración del
equipamiento o la formalización del sistema.
57
Política del personal: Es necesaria cuando se consideran sistemas atendidos
por personal. La política de personal debe cubrir desde las fases de
especificación del puesto de trabajo y selección, hasta la formación continua del
personal.
Soluciones técnicas: Deben ser frecuentes en el entorno de las tecnologías de
la información, que puede ser:
Aplicaciones (Software)
Dispositivos Físicos (Hardware)
Protección de las comunicaciones
Seguridad física: En locales y áreas de trabajo.
La protección integral de un sistema de información requerirá una combinación
de salvaguardas de los diferentes aspectos mencionados anteriormente.
Las salvaguardas se pueden clasificar en los siguientes grupos:
Marco de gestión
Relaciones con terceros
Servicios
Datos / Información
Aplicaciones informáticas (Software)
Equipos informáticos (Hardware)
Comunicaciones
Elementos auxiliares
Seguridad física
Personal
58
Figura 1 Relación de mecanismos MAGERIT
5.2. POLÍTICAS DE SEGURIDAD
Tomando como base el análisis de riesgos se definen una serie de normas y/o
buenas prácticas con el fin de estandarizar los procesos de la organización y así
mismo gestionar y proteger los distintos activos de la misma de una manera más
apropiada.
Para ver las políticas de seguridad, este se evidencia en la carpeta Políticas
de Seguridad que se encuentran en la carpeta Anexos del CD.
59
CAPITULO 6
CONCLUSIONES
60
6. CONCLUSIONES
Con este proyecto de grado se diseñó un Sistema de Seguridad de la
Información para las entidades financieras, para lo cual se decidió utilizar como
marco de referencia la norma ISO 27001:2013. Aplicando los diferentes
requerimientos de la norma ISO 27001:2013, se obtuvo una serie de
diagnósticos que permitieron establecer el nivel de madures de la entidad frente
a la gestión de la seguridad de la información.
Diseñar un sistema de Gestión de Seguridad de la información basado en la
norma ISO/IEC 27001:2013, que es un modelo de mejoras prácticas y
lineamientos de seguridad dentro de cualquier organización y en este caso
centrado en la actividad de servicios financieros, es una herramienta de gran
ayuda que permite identificar los diferentes aspectos que se deben tener en
cuenta cuando las organizaciones deciden establecer un modelo de seguridad
de la información, ya que si los organizaciones logran cumplir al pie de la letra lo
establecido está en la norma ISO/IEC 27001:2013, podar llegar a forjar en el
tiempo un adecuado y sostenible Sistema de Gestión de Seguridad de la
Información, aunque dicha labor depende del tamaño y naturaleza de la entidad
y de la cultura de la misma en torno a la seguridad de la información.
La falta de controles orientados a proteger la información que se intercambia con
terceros, puede generar consecuencias graves para la entidad y afectar de
manera negativa su imagen ante sus partes interesadas, por tal razón, es
urgente que la entidad implementen mecanismos de cifrado con el objetivo de
garantizar la integridad, confidencialidad y autenticidad de esta información
Es necesario el establecimiento de unas políticas de seguridad aprobadas por la
alta dirección, para garantizar su debida implementación, actualización y
cumplimiento. Se requiere implementar controles adecuados y efectivos, o
fortalecer los existentes, con el objetivo de asegurar que la seguridad de la
información sea parte del ciclo de vida del desarrollo de aplicaciones de la
entidad y con ello garantizar que los cambios que se realizan en producción no
afecten la operación ni la seguridad de la información de la entidad.
Para que un sistema de seguridad de la información tenga una correcta ejecución
y cumpla con su propósito, los entes principales de la organización deben
abarcar de manera importante y dar cumplimiento a la normatividad, políticas y
controles que se encuentren durante el proceso lo que permite generar un mayor
control y tener la organización en un ambiente confiable para el desarrollo de las
actividades.
Se realiza el diseño de una plataforma web el modelo del SGSI (sistema de
gestión de la seguridad de la información) orientada a las entidades financieras,
para mostrar e resultado del desarrollo del modelo.
61
7. RECOMENDACIONES
Es necesario que se tenga en cuenta el ciclo de vida de la información, ya que lo que hoy puede ser crítico para la organización puede dejar de tener importancia con el tiempo.
Es de gran importancia la revisión y actualización anual del documento de Políticas de Seguridad de la Información.
La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.
Es importante considerar la opción de acudir a consultores y/o auditores especializados para que se realice los estudios pertinentes para el análisis del funcionamiento de la organización, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad.
62
CAPITULO 7
ANEXOS Y REFERENCIAS
63
8. ANEXOS 8.1. Valoración De Activos
Tabla 18: Valoración de Activos
DIMENCIONES
Valoración
ACTIVOS [C] [I] [D]
Base de Datos 10 Restringido 10 Extremo 10 Extremo 30 Extremo
Archivos de Datos 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
Manuales de Usuario 3 Pública 7 Alto 8 Alto 18 Alto
Documentación del sistema 9 Restringido 8 Alto 10 Extremo 27 Muy Alto
Contratos 9 Restringido 10 Extremo 8 Alto 27 Muy Alto
Formatos (libranzas, pólizas ) 6 Restringido 10 Extremo 7 Alto 23 Alto
Hojas de Vida 8 Restringido 8 Alto 8 Alto 24 Alto
Documentos internos 9 Restringido 10 Extremo 8 Alto 27 Muy Alto
Entregables (CD/DVD) 6 Uso Interno 5 Medio 5 Medio 16 Medio
Material Físico (Impreso) 10 Restringido 10 Extremo 10 Extremo 30 Extremo
Información en carpetas compartidas en red 10 Restringido 10 Extremo 10 Extremo 30 Extremo
Información Disco Portables 9 Restringido 9 Muy Alto 8 Alto 26 Alto
Información memorias USB 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
ACTIVOS DE SOFTWARE
64
Desarrollos a medida y/o propios de la organización
9 Restringido 8 Alto 8 Alto 25 Alto
Sistemas Operativos 7 Uso Interno 5 Medio 10 Extremo 22 Alto
Antivirus 7 Uso Interno 8 Alto 10 Extremo 25 Alto
Servidores Aplicaciones/ Contenedores 7 Uso Interno 7 Alto 10 Extremo 24 Alto
Navegadores 3 Pública 3 Bajo 5 Medio 11 Medio
Office 4 Uso Interno 5 Medio 5 Medio 14 Medio
Motor de Base de Datos 7 Uso Interno 8 Alto 10 Extremo 25 Alto
Licencias 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
Aplicativos Finanzas 7 Uso Interno 8 Alto 10 Extremo 25 Alto
ACTIVOS DE HARDWARE
Servidores 7 Uso Interno 8 Alto 10 Extremo 25 Alto
Computadores de escritorio 7 Uso Interno 8 Alto 10 Extremo 25 Alto
Portátiles 7 Uso Interno 8 Alto 10 Extremo 25 Alto
Dispositivos móviles 10 Restringido 9 Muy Alto 10 Extremo 29 Extremo
Impresoras 5 Uso Interno 6 Medio 6 Medio 17 Medio
Equipos multifuncional 5 Uso Interno 6 Medio 6 Medio 17 Medio
Routers 10 Restringido 9 Muy Alto 8 Alto 27 Muy Alto
Teléfonos 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
65
Modems 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
Memoria USB 10 Restringido 9 Muy Alto 10 Extremo 29 Extremo
CD/DVD 10 Restringido 9 Muy Alto 10 Extremo 29 Extremo
Discos Portables 6 Uso Interno 6 Medio 6 Medio 18 Alto
Cámaras de Seguridad 4 Uso Interno 5 Medio 5 Medio 14 Medio
Lector Huella Dactilar 4 Uso Interno 6 Medio 5 Medio 15 Medio
ACTIVOS DE SERVICIOS
Capacitaciones 7 Uso Interno 7 Alto 6 Medio 20 Alto
Telefonía 4 Uso Interno 6 Medio 6 Medio 16 Medio
Internet 6 Uso Interno 5 Medio 6 Medio 17 Medio
Red Inalámbrica 4 Uso Interno 6 Medio 3 Bajo 13 Medio
Almacenamiento de información 5 Uso Interno 5 Medio 8 Alto 18 Alto
Fluido Eléctrico 7 Uso Interno 5 Medio 10 Extremo 22 Alto
ACTIVOS PLAN DE ORGANIZACIÓN
Planta de la Organización 7 Uso Interno 9 Muy Alto 10 Extremo 26 Alto
Canalización de red eléctrica 7 Uso Interno 0 Despreciable 10 Extremo 17 Medio
Canalización de red de datos 7 Uso Interno 0 Despreciable 9 Muy Alto 16 Medio
Instalación de red de datos 7 Uso Interno 8 Alto 9 Muy Alto 24 Alto
66
Instalación de red eléctrica 7 Uso Interno 8 Alto 10 Extremo 25 Alto
ACTIVOS DE PERSONAL
Usuarios Internos 5 Uso Interno 0 Despreciable 8 Alto 13 Medio
Usuarios externos 3 Pública 0 Despreciable 5 Medio 8 Bajo
Analista 10 Restringido 0 Despreciable 9 Muy Alto 19 Alto
Profesionales 10 Restringido 0 Despreciable 7 Alto 17 Medio
Lideres 6 Uso Interno 0 Despreciable 7 Alto 13 Medio
coordinadores 10 Restringido 0 Despreciable 10 Extremo 20 Alto
administrativos 3 Uso Interno 0 Despreciable 8 Alto 11 Medio
Funcionales 10 Restringido 0 Despreciable 8 Alto 18 Alto
Desarrolladores 3 Uso Interno 0 Despreciable 7 Alto 10 Medio
Clientes 3 Pública 0 Despreciable 7 Alto 10 Medio
Personal operativo 3 Uso Interno 0 Despreciable 7 Alto 10 Medio
Proveedores 3 Pública 0 Despreciable 7 Alto 10 Medio
Fuente: Los Autores
67
8.2. Identificación De Amenazas Por Tipo De Activo
Tabla 19: Identificación de Amenazas por tipo de Activo
Tipo de Activo Amenaza
Hardware
Accidente Importante
Daño por agua
Daño por fuego
Destrucción del equipo o de los medios
Falla del equipo
Contaminación Electromagnética
Mal funcionamiento del equipo
Manipulación con hardware
Manipulación del sistema
Manipulación con software
Perdida de suministro de energía
Polvo, corrosión, congelamiento
Uso no autorizado del equipo
Hurto del Equipo
Error en el uso
Tipo de Activo Amenaza
Información Código mal intencionado
Errores del administrador
68
Corrupción de los datos
Destrucción del equipo o de los medios
Error en el uso
Hurto de Información
Ingreso de datos falsos o corruptos
Intrusión, accesos forzados al sistema
Manipulación con software
Procesamiento ilegal de los datos
Recuperación de medios reciclados o desechados
Saturación del sistema de información
Suplantación de Identidad
Tipo de Activo
Amenaza
Personal
Errores de usuario
Errores del administrador
Errores de monitorización (log)
Errores de configuración
Copia Fraudulenta del Software
Intrusión, Accesos Forzados al Sistema
Escapes de información
Incumplimiento en el mantenimiento del sistema de información
Acceso no Autorizado al Sistema
69
Hurto de la información
Corrupción de los Datos
Divulgación de información
Suplantación de Identidad
Incumplimiento en la disponibilidad del personal
Tipo de Activo Amenaza
Software
Acceso no autorizado al sistema
Ataques contra el sistema
Copia fraudulenta del software
Corrupción de los datos
Error en el uso
Errores en el sistema
Hurto de Información
Incumplimiento en el mantenimiento del sistema de información
Ingreso de datos falsos o corruptos
Mal funcionamiento del software
Manipulación con software
70
Uso de software falso o copiado
Uso no autorizado del equipo
Vulnerabilidades de los programas
Tipo de Activo Amenaza
Base de datos
Errores de usuario
Errores de monitorización
Intrusión, Accesos Forzados al Sistemas
Hurto de Información
Corrupción de los datos
Errores en el sistema
Procesamiento Ilegal de Datos
Ingreso de Datos Falsos o Corruptos
Tipo de Activo Amenaza
Información de clientes
Errores de usuario
Errores de monitorización (Log)
Código mal intencionado
Divulgación de Información
Corrupción de los datos
Errores del administrador
Errores de configuración
Fuente: Los Autores
71
Descripción de cada amenaza de acuerdo a la metodología Magerit
8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema)
Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)
AMZ001 - Acceso no Autorizado al Sistema
Tipos de Activos:
Software
Personal
Dimensiones:
Confidencialidad
Disponibilidad
Integridad
Descripción:
Consiste en tener acceso a información del sistema para ser modificada, borrada
o inutilizar sin autorización datos o información del sistema
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.2. Amenaza – AMZ002 (Accidente Importante)
Tabla 21: Amenaza – AMZ002 (Accidente Importante)
AMZ002 - Accidente Importante
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Consiste en un daño a nivel físico o electrónico que perjudica el funcionamiento
del hardware.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema)
Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema)
AMZ003 – Ataques contra el Sistema
Tipos de Activos:
Software
Dimensiones:
Disponibilidad
Confidencialidad
Integridad
Descripción:
Consiste en tener acceso a información del sistema para ser modificada, borrada
o inutilizar sin autorización datos o información del sistema
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
72
8.2.4. Amenaza – AMZ004 (Código mal Intencionado)
Tabla 23: Amenaza – AMZ004 (Código mal Intencionado)
AMZ004 – Código mal Intencionado
Tipos de Activos:
Información
Información de Clientes
Dimensiones:
Integridad
Disponibilidad
Descripción:
Consiste en alguna instalación de software para alterar y/o eliminar la
información
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software)
Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software)
AMZ005 – Copia Fraudulenta del Software
Tipos de Activos:
Software
Personal
Dimensiones:
Integridad
Disponibilidad
Confidencialidad
Descripción:
Consiste en la instalación de software pirata.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos)
Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos)
AMZ006 – Corrupción de los Datos
Tipos de Activos:
Software
Información
Personal
Base de Datos
Información de Clientes
Dimensiones:
Integridad
Descripción:
Errores que se producen durante el diligenciamiento de documentos o
formularios de aplicaciones.
Valor del Impacto/Amenaza: Alto Fuente: Autores
73
8.2.7. Amenaza – AMZ007 (Daño por Agua)
Tabla 26: Amenaza – AMZ007 (Daño por Agua)
AMZ007 - Daño por Agua
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Posibilidad de que el agua acabe con los recursos del sistema, generada por
alguna fuga de agua interna o la rotura de la tubería de agua.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.8. Amenaza – AMZ008 (Daño por Fuego)
Tabla 27: Amenaza – AMZ008 (Daño por Fuego)
AMZ008 – Daño por Fuego
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Posibilidad de que el fuego acabe con los recursos del sistema, generadas por
materiales inflamables o problemas eléctricos.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios)
Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios)
AMZ009 – Destrucción del Equipo o de los Medios
Tipos de Activos:
Hardware
Información
Dimensiones:
Disponibilidad
Descripción:
Eliminación total del activo.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.10. Amenaza – AMZ0010 (Error en el Uso)
Tabla 29: Amenaza – AMZ0010 (Error en el Uso)
AMZ010 – Error en el Uso
Tipos de Activos: Dimensiones:
74
Hardware
Información
Software
Disponibilidad
Integridad
Confidencialidad
Descripción:
Equivocaciones del personal cuando usa el activo.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.11. Amenaza – AMZ011 (Error en el Sistema)
Tabla 30: Amenaza – AMZ011 (Error en el Sistema)
AMZ0011 – Error en el Sistema
Tipos de Activos:
Software
Base de Datos
Dimensiones:
Disponibilidad
Descripción:
Daños en el sistema que pueden ocurrir generando indisponibilidad del activo.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.12. Amenaza – AMZ0012 (Falla del Equipo)
Tabla 31: Amenaza – AMZ0012 (Falla del Equipo)
AMZ012 – Falla del Equipo
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad.
Descripción:
Se refiere algún daño físico del activo.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.13. Amenaza – AMZ013 (Hurto de Información)
Tabla 32: Amenaza – AMZ013 (Hurto de Información)
AMZ013 – Hurto de Información
Tipos de Activos:
Información
Software
Personal
Base de Datos
Dimensiones:
Disponibilidad
Confidencialidad
Descripción:
75
La sustracción de información provocando la carencia de datos importantes para
la continuidad de algún proceso de la organización.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.14. Amenaza – AMZ014 (Hurto de Equipo)
Tabla 33: Amenaza – AMZ014 (Hurto de Equipo
AMZ014 – Hurto de Equipo
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Confidencialidad
Descripción:
La sustracción de equipamiento provocando directamente la carencia de un
medio para prestar el servicio, es decir una indisponibilidad.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.15. Amenaza – AMZ015 (Impulsos Electromagnéticos)
Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos)
AMZ015 - Impulsos Electromagnéticos
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Alteración de la alimentación eléctrica
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.16. Amenaza – AMZ016 (Incumplimiento en la Disponibilidad
del Personal)
Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal)
AMZ016 – Incumplimiento en la Disponibilidad del Personal
Tipos de Activos:
Personal
Dimensiones:
Disponibilidad
Descripción:
Ausencia deliberada del puesto de trabajo
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
76
8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento
del Sistema de Información)
Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información)
AMZ017 – Incumplimiento en el Mantenimiento del Sistema de Información
Tipos de Activos:
Software
Dimensiones:
Integridad
Disponibilidad
Descripción:
Defectos en los procedimientos o controles de actualización del código que
permiten que sigan utilizándose programas con defectos conocidos y reparados
por el fabricante.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.18. Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)
Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)
AMZ018 – Ingreso de Datos Falsos o Corruptos
Tipos de Activos:
Información
Software
Base de Datos
Dimensiones:
Integridad
Descripción:
Errores que se producen durante el diligenciamiento de documentos o
formularios de aplicaciones.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.19. Amenaza – AMZ019 (Accesos Forzados al Sistema)
Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema)
AMZ019 - Intrusión, Accesos Forzados al Sistema
Tipos de Activos:
Información
Personal
Base de Datos
Dimensiones:
Integridad
Confidencialidad
Descripción:
El atacante consigue acceder a los recursos del sistema sin tener autorización
para ello.
Valor del Impacto/Amenaza: Muy Alto
77
Fuente: Autores
8.2.20. Amenaza – AMZ020 (Mal Funcionamiento del Equipo)
Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo)
AMZ020 – Mal Funcionamiento del Equipo
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Se refiere algún daño físico o lógico del activo.
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
8.2.21. Amenaza – AMZ021 (Mal Funcionamiento del Software)
Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software)
AMZ021 - Mal Funcionamiento del Software
Tipos de Activos:
Software
Dimensiones:
Disponibilidad
Descripción:
Error o fallo en un programa desencadenando un resultado indeseado.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.22. Amenaza – AMZ022 (Manipulación con Hardware)
Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware)
AMZ022 – Manipulación con Hardware
Tipos de Activos:
Hardware
Dimensiones:
Confidencialidad
Disponibilidad
Descripción: Alteración intencionada del funcionamiento del hardware,
persiguiendo un beneficio.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.23. Amenaza – AMZ023 (Manipulación con Software)
Tabla 42: Amenaza – AMZ023 (Manipulación con Software)
AMZ023 – Manipulación con Software
Tipos de Activos:
Software
Dimensiones:
Confidencialidad
78
Disponibilidad
Descripción: Alteración intencionada del funcionamiento de los programas,
persiguiendo un beneficio.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.24. Amenaza – AMZ024 (Manipulación del Sistema)
Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema)
AMZ024 – Manipulación del Sistema
Tipos de Activos:
Hardware
Dimensiones:
Confidencialidad
Disponibilidad
Descripción: Alteración intencionada del funcionamiento del hardware,
persiguiendo un beneficio.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.25. Amenaza – AMZ025 (Perdida de Suministro de Energía)
Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía)
AMZ025 – Perdida de Suministro de Energía
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Cese de la alimentación eléctrica
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.26. Amenaza – AMZ026 (Perdida de Suministro de Energía)
Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía)
AMZ026 – Polvo, Corrosión, Congelamiento
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Suciedad en los dispositivos que genere un mal funcionamiento.
Valor del Impacto/Amenaza: Alto Fuente: Autores
79
8.2.27. Amenaza – AMZ027 (Perdida de Suministro de Energía)
Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía)
AMZ027 – Procesamiento Ilegal de los Datos
Tipos de Activos:
Información
Base de Datos
Dimensiones:
Integridad
Descripción:
Datos mal usados que ocasiona problemas legales severos
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.28. Amenaza – AMZ028 (Recuperación de Medios Reciclados
o Desechados)
Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados)
AMZ028 – Recuperación de Medios Reciclados o Desechados
Tipos de Activos:
Información
Dimensiones:
Confidencialidad
Descripción:
Uso de elementos desechados para otro fin.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.29. Amenaza – AMZ029 (Saturación del Sistema de
Información)
Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información)
AMZ029 – Saturación del Sistema de Información
Tipos de Activos:
Información
Dimensiones:
Disponibilidad
Descripción:
Carencia de recursos suficientes provocando la caída del sistema.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.30. Amenaza – AMZ030 (Suplantación de Identidad)
Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad)
AMZ030 – Suplantación de Identidad
Tipos de Activos: Dimensiones:
80
Personal
Información
Confidencialidad
Integridad
Descripción:
Hacerse pasar por un usuario no autorizado, disfrutando de los privilegios de
este para un fin en especial.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.31. Amenaza – AMZ031 (Uso de Software Falso o Copiado)
Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)
AMZ031 – Uso de Software Falso o Copiado
Tipos de Activos:
Software
Dimensiones:
Disponibilidad
Integridad
Confidencialidad
Descripción:
Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos
del tipo indicado con las consecuencias indicadas.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.32. Amenaza – AMZ032 (Uso no Autorizado del Equipo)
Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo)
AMZ032 – Uso no Autorizado del Equipo
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Descripción:
Utilización de los recursos para fines no previstos.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.33. Amenaza – AMZ033 (Contaminación Electromagnética)
Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)
AMZ031 – Contaminación Electromagnética
Tipos de Activos:
Hardware
Dimensiones:
Disponibilidad
Integridad
Descripción:
81
Daños en los elementos de computo debido carga eléctrica exagerada dentro de
un área de trabajo
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.34. Amenaza – AMZ034 (Errores del Administrador)
Tabla 53: Amenaza – AMZ034 (Errores del Administrador)
AMZ031 – Errores del Administrador
Tipos de Activos:
Información
Personal
Base de Datos
Información de Clientes
Dimensiones:
Disponibilidad
Integridad
Confidencialidad
Descripción:
Daños en los datos almacenados por la mala manipulación en los procedimientos
como copias de seguridad, actualización de sistemas y antivirus, entre otros.
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.35. Amenaza – AMZ035 (Errores de Usuario)
Tabla 54: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario
Tipos de Activos:
Personal
Base de Datos
Información de Clientes
Dimensiones:
Integridad
Confidencialidad
Descripción:
Se presenta divulgación de la información por no seguir las políticas de seguridad
para el cambio de contraseñas, nombramientos de archivos, entre otros
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.36. Amenaza – AMZ035 (Errores de Usuario)
Tabla 55: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario
Tipos de Activos:
Personal
Dimensiones:
Integridad
82
Base de Datos
Información de Clientes
Confidencialidad
Descripción:
Se presenta divulgación de la información por no seguir las políticas de seguridad
para el cambio de contraseñas, nombramientos de archivos, entre otros
Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.37. Amenaza – AMZ035 (Errores de Monitorización (Log))
Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log))
AMZ031 – Errores de Monitorización (Log)
Tipos de Activos:
Personal
Base de Datos
Información de Clientes
Dimensiones:
Integridad
Confidencialidad
Descripción:
Perdida de la información por no generar los controles ni el mantenimiento
adecuado durante la monitorización.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.38. Amenaza – AMZ035 (Errores de Configuración)
Tabla 57: Amenaza – AMZ035 (Errores de Configuración)
AMZ031 – Errores de Configuración
Tipos de Activos:
Personal
Información de Clientes
Dimensiones:
Integridad
Confidencialidad
Descripción:
Perdida de la información por no realizar de forma adecuada la configuración del
sistema.
Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.39. Amenaza – AMZ035 (Divulgación de Información)
Tabla 58: Amenaza – AMZ035 (Divulgación de Información)
AMZ031 – Divulgación de Información
Tipos de Activos:
Personal
Dimensiones:
Integridad
83
Información de Clientes Confidencialidad
Descripción:
Daños en la integridad personal de las personas en las que se ha hecho pública
la información privada
Valor del Impacto/Amenaza: Alto Fuente: Autores
84
8.3. Identificación De Vulnerabilidades Por Activo
Tabla 59: Identificación de Vulnerabilidades por activo
Activo Activo Tipo de Activo Amenaza
Información Inf-01 Base de Datos Hurto de Información
Información Inf-01 Base de Datos Ingreso de datos falsos o corruptos
Información Inf-01 Base de Datos Corrupción de los datos
Información Inf-01 Base de Datos Intrusión, accesos forzados al sistema
Información Inf-01 Base de Datos Manipulación con Software
Información Inf-01 Base de Datos Saturación del Sistema de Información
Información Inf-02 Archivo de Datos Manipulación con Software
Información Inf-02 Archivo de Datos Saturación del Sistema de Información
Información Inf-02 Archivo de Datos Corrupción de los datos
Información Inf-02 Archivo de Datos Hurto de Información
Información Inf-02 Archivo de Datos Ingreso de datos falsos o corruptos
Información Inf-03 Manuales de Usuario Destrucción del equipo o de los Medios
Información Inf-03 Manuales de Usuario Hurto de Información
Información Inf-03 Manuales de Usuario Recuperación de medios reciclados o desechados
Información Inf-03 Manuales de Usuario Corrupción de los datos
Información Inf-04 Documentación del sistema Hurto de Información
Información Inf-04 Documentación del sistema Recuperación de medios reciclados o desechados
Información Inf-04 Documentación del sistema Corrupción de los datos
Información Inf-04 Documentación del sistema Destrucción del equipo o de los Medios
85
Información Inf-05 Contratos Recuperación de medios reciclados o desechados
Información Inf-05 Contratos Destrucción del equipo o de los Medios
Información Inf-05 Contratos Hurto de Información
Información Inf-05 Contratos Procesamiento ilegal de los datos
Información inf-06 Formatos (libranzas, pólizas ) Hurto de Información
Información inf-06 Formatos (libranzas, pólizas ) Ingreso de datos falsos o corruptos
Información inf-06 Formatos (libranzas, pólizas ) Corrupción de los datos
Información Inf-07 Hojas de Vida Recuperación de medios reciclados o desechados
Información Inf-07 Hojas de Vida Destrucción del equipo o de los Medios
Información Inf-07 Hojas de Vida Hurto de Información
Información Inf-08 Documentos internos Recuperación de medios reciclados o desechados
Información Inf-08 Documentos internos Destrucción del equipo o de los Medios
Información Inf-08 Documentos internos Hurto de Información
Información Inf-09 Entregables (CD/DVD) Hurto de Información
Información Inf-09 Entregables (CD/DVD) Destrucción del equipo o de los Medios
Información Inf-10 Material Físico (Impreso) Recuperación de medios reciclados o desechados
Información Inf-10 Material Físico (Impreso) Hurto de Información
Información Inf-10 Material Físico (Impreso) Destrucción del equipo o de los Medios
Información Inf-11 Información en carpetas compartidas en red Hurto de Información
Información Inf-11 Información en carpetas compartidas en red Suplantación de Identidad
Información Inf-11 Información en carpetas compartidas en red Manipulación con software
Información Inf-11 Información en carpetas compartidas en red Intrusión, accesos forzados al sistema
86
Información Inf-11 Información en carpetas compartidas en red Saturación del sistema de información
Información Inf-12 Información Disco Portables Hurto de Información
Información Inf-12 Información Disco Portables Intrusión, accesos forzados al sistema
Información Inf-12 Información Disco Portables Error en el uso
Información Inf-12 Información Disco Portables Manipulación con software
Información Inf-13 Información memorias USB Hurto de Información
Información Inf-13 Información memorias USB Error en el uso
Información Inf-13 Información memorias USB Manipulación con software
Software Sw-01 Desarrollos a medida y/o propios de la organización
Ataques contra el sistema
Software Sw-01 Desarrollos a medida y/o propios de la organización
Copia fraudulenta del software
Software Sw-01 Desarrollos a medida y/o propios de la organización
Corrupción de los datos
Software Sw-01 Desarrollos a medida y/o propios de la organización
Error en el uso
Software Sw-01 Desarrollos a medida y/o propios de la organización
Errores en el sistema
Software Sw-01 Desarrollos a medida y/o propios de la organización
Incumplimiento en el mantenimiento del sistema de información
Software Sw-01 Desarrollos a medida y/o propios de la organización
Mal funcionamiento del software
Sw-01 Desarrollos a medida y/o propios de la organización
Manipulación con software
Software Sw-01 Desarrollos a medida y/o propios de la organización
Uso de software falso o copiado
Software Sw-02 Sistemas Operativos Uso de software falso o copiado
Software Sw-02 Sistemas Operativos Copia fraudulenta del software
87
Sw-02 Sistemas Operativos Mal funcionamiento del software
Software Sw-03 Antivirus Copia fraudulenta del software
Software Sw-03 Antivirus Mal funcionamiento del software
Software Sw-03 Antivirus Errores en el sistema
Software Sw-03 Antivirus Ataques contra el sistema
Software Sw-04 Servidores Aplicaciones/ Contenedores Errores en el sistema
Software Sw-04 Servidores Aplicaciones/ Contenedores Mal funcionamiento del software
Software Sw-04 Servidores Aplicaciones/ Contenedores Copia fraudulenta del software
Software Sw-04 Servidores Aplicaciones/ Contenedores Hurto de Información
Software Sw-04 Servidores Aplicaciones/ Contenedores Corrupción de los datos
Software Sw-04 Servidores Aplicaciones/ Contenedores Uso no autorizado del equipo
Software Sw-05 Navegadores Corrupción de los datos
Software Sw-05 Navegadores Errores en el sistema
Software Sw-05 Navegadores Ataques contra el sistema
Software Sw-06 Office Corrupción de los datos
Software Sw-06 Office Errores en el sistema
Software Sw-07 Motor de Base de Datos Uso de software falso o copiado
Software Sw-07 Motor de Base de Datos Acceso no autorizado al sistema
Software Sw-07 Motor de Base de Datos Ataques contra el sistema
Software Sw-07 Motor de Base de Datos Error en el uso
Software Sw-07 Motor de Base de Datos Errores en el sistema
Software Sw-07 Motor de Base de Datos Incumplimiento en el mantenimiento del sistema de información
Software Sw-07 Motor de Base de Datos Mal funcionamiento del software
Software Sw-08 Licencias Uso de software falso o copiado
Software Sw-08 Licencias Errores en el sistema
88
Software Sw-09 Aplicativos Finanzas Uso de software falso o copiado
Software Sw-09 Aplicativos Finanzas Errores en el sistema
Software Sw-09 Aplicativos Finanzas Error en el uso
Software Sw-09 Aplicativos Finanzas Ataques contra el sistema
Software Sw-09 Aplicativos Finanzas Acceso no autorizado al sistema
Software Sw-09 Aplicativos Finanzas Acceso no autorizado al sistema
Hardware Hw-01 Servidores Accidente Importante
Hardware Hw-01 Servidores Daño por agua
Hardware Hw-01 Servidores Daño por fuego
Hardware Hw-01 Servidores Falla del equipo
Hardware Hw-01 Servidores Impulsos electromagnéticos
Hardware Hw-01 Servidores Mal funcionamiento del equipo
Hardware Hw-01 Servidores Manipulación del sistema
Hardware Hw-01 Servidores Manipulación con software
Hardware Hw-01 Servidores Perdida de suministro de energía
Hardware Hw-01 Servidores Polvo, corrosión, congelamiento
Hardware Hw-01 Servidores Uso no autorizado del equipo
Hardware Hw-01 Servidores Hurto de Equipo
Hardware Hw-01 Servidores Error en el uso
Hardware Hw-02 Computadores de escritorio Accidente Importante
Hardware Hw-02 Computadores de escritorio Falla del equipo
Hardware Hw-02 Computadores de escritorio Impulsos electromagnéticos
Hardware Hw-02 Computadores de escritorio Mal funcionamiento del equipo
Hardware Hw-02 Computadores de escritorio Manipulación con hardware
Hardware Hw-02 Computadores de escritorio Manipulación del sistema
Hardware Hw-02 Computadores de escritorio Manipulación con software
89
Hardware Hw-02 Computadores de escritorio Perdida de suministro de energía
Hardware Hw-02 Computadores de escritorio Polvo, corrosión, congelamiento
Hardware Hw-02 Computadores de escritorio Uso no autorizado del equipo
Hardware Hw-02 Computadores de escritorio Hurto de Equipo
Hardware Hw-02 Computadores de escritorio Error en el uso
Hardware Hw-03 Portátiles Accidente Importante
Hardware Hw-03 Portátiles Manipulación del sistema
Hardware Hw-03 Portátiles Manipulación con software
Hardware Hw-03 Portátiles Uso no autorizado del equipo
Hardware Hw-03 Portátiles Hurto de Equipo
Hardware Hw-03 Portátiles Error en el uso
Hardware Hw-04 Impresoras Accidente Importante
Hardware Hw-04 Impresoras Error en el uso
Hardware Hw-04 Impresoras Uso no autorizado del equipo
Hardware Hw-05 Equipo Multifuncional Error en el uso
Hardware Hw-05 Equipo Multifuncional Uso no autorizado del equipo
Hardware Hw-05 Equipo Multifuncional Hurto de de Equipo
Hardware Hw-05 Equipo Multifuncional Manipulación con software
Hardware Hw-05 Equipo Multifuncional Accidente Importante
Hardware Hw-06 Routers Error en el uso
Hardware Hw-06 Routers Accidente Importante
Hardware Hw-06 Routers Perdida de suministro de energía
Hardware Hw-07 Routers Accidente Importante
Hardware Hw-07 Routers Daño por agua
Hardware Hw-07 Routers Daño por fuego
Hardware Hw-07 Routers Impulsos electromagnéticos
90
Hardware Hw-07 Routers Perdida de suministro de energía
Hardware Hw-07 Routers Uso no autorizado del equipo
Hardware Hw-07 Routers Hurto de Equipo
Hardware Hw-09 Módems Accidente Importante
Hardware Hw-09 Módems Daño por agua
Hardware Hw-09 Módems Daño por fuego
Hardware Hw-09 Módems Impulsos electromagnéticos
Hardware Hw-09 Módems Perdida de suministro de energía
Hardware Hw-09 Módems Uso no autorizado del equipo
Hardware Hw-09 Módems Hurto de Equipo
Servicios Serv-02
Telefonía Uso no autorizado del equipo
Servicios Serv-03
Internet Perdida de suministro de energía
Servicios Serv-03
Internet Hurto de Equipo
Servicios Serv-03
Internet Perdida de suministro de energía
Servicios Serv-03
Internet Hurto de Equipo
Servicios Serv-03
Internet Uso no autorizado del equipo
Servicios Serv-04
Red Inalámbrica Perdida de suministro de energía
Servicios Serv-04
Red Inalámbrica Hurto de Equipo
Servicios Serv-04
Red Inalámbrica Uso no autorizado del equipo
91
Servicios Serv-05
Almacenamiento de información Perdida de suministro de energía
Servicios Serv-05
Almacenamiento de información Accidente Importante
Servicios Serv-06
Fluido Eléctrico Perdida de suministro de energía
Personas Per-01 Usuarios Internos Suplantación de Identidad
Personas Per-01 Usuarios Internos Corrupción de los datos
Personas Per-01 Usuarios Internos Hurto de Información
Personas Per-02 Usuarios externos Suplantación de Identidad
Personas Per-02 Usuarios externos Corrupción de los datos
Personas Per-02 Usuarios externos Hurto de Información
Personas Per-03 Analista Suplantación de Identidad
Personas Per-03 Analista Corrupción de los datos
Personas Per-03 Analista Hurto de Información
Personas Per-04 Profesionales Suplantación de Identidad
Personas Per-04 Profesionales Corrupción de los datos
Personas Per-04 Profesionales Hurto de Información
Personas Per-05 Lideres Suplantación de Identidad
Personas Per-05 Lideres Corrupción de los datos
Personas Per-05 Lideres Hurto de Información
Personas Per-06 coordinadores Suplantación de Identidad
Personas Per-06 coordinadores Corrupción de los datos
Personas Per-06 coordinadores Hurto de Información
Personas Per-07 administrativos Suplantación de Identidad
Personas Per-07 administrativos Corrupción de los datos
92
Personas Per-07 administrativos Hurto de Información
Personas Per-08 Funcionales Suplantación de Identidad
Personas Per-08 Funcionales Corrupción de los datos
Personas Per-08 Funcionales Hurto de Información
Personas Per-09 Desarrolladores Suplantación de Identidad
Personas Per-09 Desarrolladores Corrupción de los datos
Personas Per-09 Desarrolladores Hurto de Información
Personas Per-10 Clientes Suplantación de Identidad
Personas Per-10 Clientes Corrupción de los datos
Personas Per-10 Clientes Hurto de Información
Personas Per-11 Personal operativo Suplantación de Identidad
Personas Per-11 Personal operativo Corrupción de los datos
Personas Per-11 Personal operativo Hurto de Información
Personas Per-12 Proveedores Suplantación de Identidad
Personas Per-12 Proveedores Corrupción de los datos
Personas Per-12 Proveedores Hurto de Información Fuente: Autores
93
8.4. Identificación De Vulnerabilidades
Tabla 60: Identificación de Vulnerabilidades
Amenaza Vulnerabilidad Valor de la Vulnerabilidad
Accidente Importante
Falta de Mantenimiento Media
Golpes Media
sobrecargas Media
Daño por agua Ubicación en un área susceptible de inundación
Media
Daño por fuego Ubicación en un área susceptible Media
Falla del equipo
Instalación fallida de los medios de almacenamiento.
Media
Mantenimiento insuficiente Media
Impulsos electromagnéticos
Red energética inestable Alta
Mal funcionamiento del equipo
Contaminación Mecánica Media
Manipulación con hardware
Falta de Control de accesibilidad al dispositivo
Media
Manipulación del sistema Desconocimiento del manejo Baja
Manipulación con software
Descarga y uso no controlados de software
Alta
Perdida de suministro de energía
Falta de dispositivos de almacenamiento de energía (UPS)
Alta
Falta de esquemas de reemplazo periódico.
Media
Red energética inestable Baja
Susceptibilidad a las variaciones de tensión
Alta
Polvo, corrosión, congelamiento
Susceptibilidad a la humedad, el polvo y la suciedad
Media
Uso no autorizado del equipo
Ausencia de control para el uso del dispositivo
Media
94
Hurto de Equipo Falta de protección física de las puertas y las ventanas de la organización.
Alta
Código mal intencionado Instalación de Software (Virus) Alta
Corrupción de los datos Falta manual de usuario Media
Desconocimiento de la aplicación Media
Destrucción del equipo o de los medios
Falta de esquemas de reemplazo periódico.
Media
Susceptibilidad a la humedad, el polvo y la suciedad
Media
Hurto de Información Copia no controlada Alta
Almacenamiento sin protección Alta
Intrusión, accesos forzados al sistema
Almacenamiento sin Protección Alta
Procesamiento ilegal de los datos
Falta de Capacitación Media
Falta de Conocimiento de la legislación
Alta
Recuperación de medios reciclados o desechados
Disposición o reutilización de los medios de almacenamiento sin borrado adecuado
Alta
Saturación del sistema de información
Falta de Mantenimiento Media
Suplantación de Identidad Sesiones de Usuario habilitadas Alta
Almacenamiento sin Protección Alta
Incumplimiento en la disponibilidad del personal
Ausencia del personal Baja
Acceso no autorizado al sistema
Falta de mecanismos de autenticación e identificación
Alta
Ataques contra el sistema Falta de mecanismos de Seguridad Alta
95
Copia fraudulenta del software
Falta de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales
Alta
Error en el uso
Configuración incorrecta de parámetros
Media
Uso incorrecto de software y hardware
Media
Falta de control de cambio de la información
Media
Falta de documentación Media
Interface de usuario complicada Baja
Errores en el sistema Configuración incorrecta de parámetros
Media
Incumplimiento en el mantenimiento del sistema de información
Instalación fallida de los medios de almacenamiento.
Media
Ingreso de datos falsos o corruptos
Falta de formato para los tipos de datos
Baja
Desconocimiento de la Aplicación Media
Mala digitación en el ingreso de datos al sistema
Baja
Mal funcionamiento del software
Especificaciones incompletas o no claras para los desarrolladores
Alta
Software nuevo o inmaduro Alta
Falta de control eficaz del cambio Media
Manipulación con software
Falta de copias de respaldo Alta
Falta de copias de respaldo Alta
Descarga y uso no controlados de software
Alta
Uso de software falso o copiado
Desconocimiento de licenciamiento Media
Reducción de Costos Media
Uso no autorizado del equipo
Falla en la producción de informes de gestión
Alta
Fuente: Autores
96
8.5. Focus gruop
ACTA FOCUS GROUP
Fecha: Diciembre 10 de 2016 Acta No. 001
Sitio de Reunión: Sala de Juntas Compensar Área Financiera
Hora de Inicio: 8: 00 am
Hora Final: 12: 00 pm
Asistentes Miguel Ángel cadena Sierra - Profesional Diana Marcela Sierra Mendoza - Técnico 2 Claudia Johana Valbuena Villanueva - Analista de Pruebas Andres Felipe Cantor - Analista y ejecutivo de costos Bryan Gherard Avila Quintero - Arquitecto Pass
Agenda Propuesta Tiempo
1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) 2. Socialización de la situación actual. 3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. 4. Identificación de los activos importantes para una organización bancaria. 5. Socialización de riesgos, de acuerdo a las labores realizadas día a día.
4 h
DESARROLLO 1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) El Grupo Interventor realiza una capacitación e introducción sobre la importancia de un SGSI (Sistema gestor de la seguridad de la Información) dentro de una organización, se explica que es un SGSI (Sistema gestor de la seguridad de la Información) y cuáles son los pasos a seguir para poder diseñarlo y posteriormente implementarlo. 2. Socialización de la situación actual. El grupo interventor realizó la siguiente pregunta abierta: ¿Cuál es la situación actual de la organización frente a la seguridad de la información? Luego de discutir frente a la situación, todos los participantes coincidieron en que, actualmente se puede presentar fuga de información, ya que no existen controles frente a los accesos a las instalaciones y/o a los centros de cómputo.
97
3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. El grupo interventor realiza una corta explicación de la importancia que tiene la definición de las oportunidades, amenazas, debilidades y fortalezas dentro del análisis para la implementación de un SGSI. Luego de una discusión y de escuchar atentamente las opiniones de todos los participantes, se pudo obtener el siguiente resultado: Oportunidades:
Certificación ISO 27001 Momento estratégico de Seguridad Aumentar la confianza de la organización Definición de políticas de Seguridad de Información, estableciendo controles y normas
para el manejo de seguridad. Definir procedimientos y políticas para el ciclo de vida de la información.
Amenazas: Disponer de personal no calificado. Dificultad a la hora de poner en práctica esos conocimientos. Falta de Recursos Económicos. Falta de compromiso en la implementación del SGSI. Oposición interna al aplicar los controles o mecanismos de seguridad apropiados.
Debilidades: Desconocimiento de la metodología Poca implicación por parte de la dirección Resultados medio/largo plazo El desarrollo del SGSI sea muy detallado Sistema muy detallado, retrase los procesos Falta de políticas de seguridad bien definidas
Fortalezas: Optimización de la seguridad//entorno informático Reducción de costes Reduce el tiempo de interrupción del servicio y mejora el grado de satisfacción de los
clientes Reducción de riesgos, pérdidas, derroches Reducción de riesgos que afecten la seguridad, disponibilidad y confidencialidad de la
información. 4. Identificación de los activos importantes para una organización bancaria. El grupo interventor realiza una corta explicación de qué son los activos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados:
Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas
98
Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB
5. Socialización de riesgos, de acuerdo a las labores realizadas día a día. El grupo interventor realiza una corta explicación de cuáles son los riesgos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados:
Dentro de la organización se permite el uso de discos extraíbles, usb, CD entre otros por medio de los cuales se puede adquirir información confidencial.
En los centros de cómputo no se tienen las condiciones adecuadas para el cuidado de los equipos de cómputo ni el control de acceso a estas zonas.
No se restringe el acceso a algunas páginas web que no son necesarias para el desarrollo de las actividades diarias.
No se exige la portación de un documento que identifique a los funcionarios de la entidad.
No se tienen áreas seguras, puntos de encuentro, brigadas de emergencia o algún tipo de actividad para la evacuación del personal en caso de un suceso climático.
No se tiene ningún tipo de elemento que permita el suministro de energía para continuar con las labores diarias si se tiene una interrupción de energía.
Control de claves Archivos personales Descarga de archivos
CONCLUSIONES Y/O RESULTADOS De acuerdo a las respuestas dadas por los participantes, los autores de proyecto pueden realizar las siguientes actividades a partir de los resultados obtenidos dentro de este focus group.
Definición de la matriz DOFA. Identificación, definición, priorización y evaluación de los activos. Definición de amenazas y vulnerabilidades. Análisis de riesgos.
EVALUACIÓN DE LA REUNIÓN
PUNTUALIDAD 100% MANEJO DE TIEMPO: 4h
PARTICIPACIÓN 100% LOGRO OBJETIVOS REUNIÓN 100%
99
ASISTENCIA 100%
CUMPLIMIENTO DE COMPROMISOS 100%
ACTA DE ASISTENCIA
A continuación se relaciona la asistencia de los participantes en el focus Group
100
9. REFERENCIAS
Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De Gestión De
Seguridad De La Información Para Una Entidad Financiera De Segundo Piso.
Bogotá
Carozo E., Freire G., Martínez G., “Análisis del Sistema de Gestión de
Seguridad de la Información de ANTEL”, ANTEL.
Concepción Claudio, (2010, 16 de diciembre), 5 Aplicaciones Libres para
Monitoreo de Redes y Servidores,
<http://fraterneo.blogspot.com.co/2010/12/5-aplicaciones-libres-para-
monitoreo-de.html>
Cosysco.org, (2011,01 de febrero), ZABBIX solución de tipo empresarial
para monitoreo/supervisión de Servidores, Servicios y Aplicaciones,
consultado en <http://new.cosysco.org/?page_id=127>
Docout, Soluciones de ingenieria deocumenta, La importancia de la
información en las empresas, Actualizado el 26 de marzo de 2015, [en línea]
<http://www.docout.es/2015/03/la-importancia-de-la-informacion-en-las-
empresas/> [Consultado en Enero de 2017]
Ferrero Eduardo E. (2006, 10 de junio), análisis y gestión de riesgos del
servicio imat del sistema de información de i.c.a.i. pp. 25 – 58, <
http://www.iit.upcomillas.es/pfc/resumenes/44a527e27a231.pdf>
Herramientas de seguridad [en linea].
<http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/argueta_a_a/capitulo2
.pdf> [Consultado en Enero de 2017]
Ingenia. Ingeniería e Integración Avanzadas. Implantación de un SGSI con
e-PULPO. 03 de abril de 2016, de e-pulpo, [en línea] <https://www.e-
pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-
pulpo_v1.00.pdf> [Consultado en Enero de 2017]
101
ISO/IEC 27002:2005. [en línea]
<http://www.iso27000.es/download/ControlesISO27002-2005.pdf>
[Consultado en Enero de 2017]
ISO 27000, La serie 27000, [en línea]
<http://www.iso27000.es/download/doc_iso27000_all.pdf> [Consultado en
Enero de 2017]
ISO 27000, El portal de ISO 27001 en Español, ¿Qué es un SGSI?, 2012.
[en línea] <http://www.iso27000.es/sgsi.html, Diciembre de 2016>
[Consultado en Enero de 2017]
ITU-T. “La Seguridad de las Telecomunicaciones y las Tecnologías de la
información” [en línea].<http://www.itu.int/itudoc/itu-t/85097-es.pdf>
[Consultado en Enero de 2017]
MAGERIT: metodología práctica para gestionar riesgos [en línea]
<http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-
practica-para-gestionar-riesgos> [Consultado en Enero de 2017]
MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. [En línea] <https://www.ccn-
cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html>
[Consultado en Enero de 2017]
Ministerio de Administraciones Públicas – Gobierno de España. “MAGERIT
– versión 2, Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información” http://www.csae.map.es/csi/pg5m20.html
Mira Emilio j, (2012, 25 de agosto), Implantación de un Sistema de Detección
de Intrusos en la Universidad de Valencia <http://rediris.es/cert/doc/pdf/ids-
uv.pdf>
Modelo 3: Guía para la presentación de referencias bibliográficas, [En línea]
<http://evirtual.lasalle.edu.co/info_basica/nuevos/guia/GuiaClaseNo.3.pdf>
[Consultado en Enero de 2017]
102
Normas INCONTEC, [en línea] <http://www.colconectada.com/normas-
icontec> [Consultado en Enero de 2017]
Proceso de Desarrollo OPEN UP/OAS, Magerit aplicada, [en línea]
<http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5Gestion
Riesgo.pdf, Enero 2017> [Consultado en Enero de 2017]
Portal de soluciones técnicas y organizativas de referencia a los
CONTROLES DE ISO/IEC 27002 [En línea]
<http://www.iso27000.es/iso27002.html, [Consultado en Enero de 2017]
PROYECTO DENORMA TÉCNICA COLOMBIANA NTC-ISO 27005, [en línea]
<https://es.scribd.com/doc/124454177/ISO-27005-espanol#scribd> [Consultado en
Enero de 2017]
Robinson Ruiz Muñoz. (2015). Elaboración de un plan de implementación de
la ISO/IEC 27001:2013 Para la empresa Pollos Pachito.
Sandstrom O., “Proceso de implantación de un SGSI, adoptando la ISO
27001”. Arsys Internet. [en línea]
<http://www.borrmart.es/articulo_redseguridad.php?id=1724&numero=33>
[Consultado en Enero de 2017]
SAP [en línea] <http://www.sap.com/latinamerica/index.html> [Consultado en
Enero de 2017]
