PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN PARA ENTIDADES DEDICADAS AL SERVICIO DE
OUTSOURCING DE TI.
DIANA MARCELA GUERRERO
JUAN CAMILO MARTÍNEZ DÍAZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA TELEMÁTICA
BOGOTA D.C
2016
PROPUESTA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN PARA ENTIDADES DEDICADAS AL SERVICIO DE
OUTSOURCING DE TI.
DIANA MARCELA GUERRERO
Código: 20141678034
JUAN CAMILO MARTÍNEZ DÍAZ
Código: 20142678014
Trabajo de tesis para optar al título de:
INGENIERO EN TELEMÁTICA
Proyecto en modalidad: MONOGRAFÍA
Tutor:
ING. MIGUEL ANGEL LEGUIZAMON PÁEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA TELEMÁTICA
BOGOTA D.C
2016
3
CONTENIDO
Pág.
INTRODUCCIÓN ................................................................................................... 10
1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ............................................ 12
1.1 TÍTULO ........................................................................................................... 12
1.2 TEMA .............................................................................................................. 12
1.3 PLANTEAMIENTO DEL PROBLEMA ............................................................. 12
1.4 ALCANCES Y LIMITACIONES ....................................................................... 13
1.4.1 ALCANCES ........................................................................................... 13
1.4.2 LIMITACIONES ..................................................................................... 13
1.5 OBJETIVOS ................................................................................................... 14
1.5.1 OBJETIVO GENERAL ........................................................................... 14
1.5.2 OBJETIVOS ESPECÍFICOS ................................................................. 14
1.6 JUSTIFICACIÓN ............................................................................................ 14
1.7 MARCO TEÓRICO (ESTADO DEL ARTE) .................................................... 16
1.8 SOLUCIÓN TECNOLÓGICA ......................................................................... 21
1.9 METODOLOGÍA ............................................................................................ 22
1.10 PRESUPUESTO Y FUENTES DE FINANCIACIÓN .................................... 23
1.11 CRONOGRAMA .......................................................................................... 25
2. ANÁLISIS DE LA SITUACIÓN ACTUAL .......................................................... 26
3. ANÁLISIS Y GESTIÓN DE RIESGOS ............................................................. 30
3.1 IDENTIFICAR LOS ACTIVOS MÁS IMPORTANTES DE LAS EMPRESAS DE
SERVICIOS DE OUTSOURCING DE TI. .............................................................. 30
3.2 PLANIFICACIÓN PARA LA VALORACIÓN DE ACTIVOS ............................. 32
3.2.1 VALORACIÓN DE ACTIVOS ....................................................................... 35
4
3.3 PLANIFICACIÓN PARA LA VALORACIÓN DE AMENAZAS HACIA LOS
ACTIVOS DEL INVENTARIO ................................................................................ 40
3.3.1 ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL
INVENTARIO ......................................................................................................... 41
3.3.2 IDENTIFICACIÓN DE LAS AMENAZAS: ..................................................... 42
3.3.3 VALORACIÓN DE LAS AMENAZAS: .......................................................... 42
3.4 PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO ....................... 50
3.4.1 VALORACIÓN DE LOS RIESGOS .............................................................. 51
4. PLAN DE SEGURIDAD ................................................................................... 53
4.1 DEFINICIÓN DEL SGSI .................................................................................. 53
4.2 ALCANCE DEL SISTEMA .............................................................................. 53
4.3 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN .................................. 54
4.4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN. .................................. 55
5. CONTROLES Y/O SALVAGUARDAS ............................................................. 60
5.1 TIPOS DE PROTECCIÓN .............................................................................. 60
5.2 IDENTIFICACIÓN DE LOS CONTROLES Y/O SALVAGUARDAS ................ 62
5.3 OBJETIVOS DE CONTROL ........................................................................... 64
6. CONCLUSIONES ............................................................................................ 74
7. RECOMENDACIONES ................................................................................... 76
8. BIBLIOGRAFÍA ............................................................................................... 77
ANEXOS ................................................................................................................ 79
5
LISTA DE TABLAS
Pág.
TABLA 1. FACTIBILIDAD ECONÓMICA RECURSOS HUMANOS ......................................... 23
TABLA 2. FACTIBILIDAD ECONÓMICA RECURSOS TÉCNICOS ......................................... 24
TABLA 3. FACTIBILIDAD ECONÓMICA COSTO TOTAL ..................................................... 24
TABLA 4. IDENTIFICACIÓN DE LOS ACTIVOS ................................................................. 31
TABLA 5. CRITERIOS DE VALORACIÓN DE LOS ACTIVOS ............................................... 35
TABLA 6. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE INFORMACIÓN ...................... 35
TABLA 7. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS SOFTWARE .............................. 36
TABLA 8. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE HARDWARE ......................... 37
TABLA 9. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE SOPORTE DE INFORMACIÓN .. 37
TABLA 10. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS DE REDES DE COMUNICACIONES
........................................................................................................................ 38
TABLA 11. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS INTANGIBLES .......................... 38
TABLA 12. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS PERSONAS ............................. 39
TABLA 13. VALORACIÓN CUANTITATIVA DE LOS ACTIVOS OTROS .................................. 39
TABLA 14. PROBABILIDAD DE OCURRENCIA DE UNA AMENAZAS ..................................... 41
TABLA 15. DEGRADACIÓN DE LOS ACTIVOS POR AMENAZAS ......................................... 41
TABLA 16. IDENTIFICACIÓN DE LAS AMENAZAS ............................................................ 42
TABLA 17. VALORACIÓN AMENAZA ERRORES DE LOS USUARIOS .................................. 43
TABLA 18. VALORACIÓN AMENAZA ERRORES DEL ADMINISTRADOR .............................. 43
TABLA 19. VALORACIÓN AMENAZA ERRORES DE CONFIGURACIÓN ............................... 43
TABLA 20. VALORACIÓN AMENAZA ESCAPES DE INFORMACIÓN .................................... 44
TABLA 21. VALORACIÓN AMENAZA DESTRUCCIÓN DE INFORMACIÓN ............................. 44
TABLA 22. VALORACIÓN AMENAZA ACCESO NO AUTORIZADO ...................................... 44
TABLA 23. VALORACIÓN AMENAZA MODIFICACIÓN DE LA INFORMACIÓN ........................ 45
TABLA 24. VALORACIÓN AMENAZA VULNERABILIDADES DE LOS PROGRAMAS ................. 45
TABLA 25. VALORACIÓN AMENAZA SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO ........ 45
TABLA 26. VALORACIÓN AMENAZA DIFUSIÓN DE SOFTWARE DAÑINO ............................ 46
TABLA 27. VALORACIÓN AMENAZA DENEGACIÓN DE SERVICIOS ................................... 46
TABLA 28. VALORACIÓN AMENAZA DESASTRES NATURALES ........................................ 46
TABLA 29. VALORACIÓN AMENAZA AVERÍA DE ORIGEN FÍSICO O LÓGICO ...................... 47
TABLA 30. VALORACIÓN AMENAZA FALLO DE SERVICIOS DE COMUNICACIONES ............. 47
TABLA 31. VALORACIÓN AMENAZA MANIPULACIÓN DE CONFIGURACIÓN ........................ 47
TABLA 32. VALORACIÓN AMENAZA FUEGO.................................................................. 48
TABLA 33. VALORACIÓN AMENAZA DAÑOS POR AGUA ................................................. 48
6
TABLA 34. VALORACIÓN AMENAZA ERRORES DE MANTENIMIENTO/ACTUALIZACIÓN DE
EQUIPOS ........................................................................................................... 48
TABLA 35. VALORACIÓN AMENAZA MANIPULACIÓN DE LOS EQUIPOS ............................. 49
TABLA 36. VALORACIÓN AMENAZA DEFICIENCIA EN LA ORGANIZACIÓN ......................... 49
TABLA 37. VALORACIÓN AMENAZA ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN ........ 49
TABLA 38. CRITERIOS DE VALORACIÓN DEL IMPACTO .................................................. 51
TABLA 39. CRITERIOS DE VALORACIÓN DE PROBABILIDAD ........................................... 52
TABLA 40. CRITERIOS DE VALORACIÓN DEL RIESGO .................................................... 52
TABLA 41. FALTAS GRAVÍSIMAS DE SEGURIDAD DE LA INFORMACIÓN ............................ 56
TABLA 42. FALTAS GRAVES DE SEGURIDAD DE LA INFORMACIÓN ................................. 57
TABLA 43. FALTAS LEVES DE SEGURIDAD DE LA INFORMACIÓN .................................... 58
TABLA 44. IDENTIFICACIÓN DE CONTROLES Y/O SALVAGUARDAS .................................. 62
TABLA 45. OBJETIVO DE CONTROL - POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN ... 64
TABLA 46. OBJETIVO DE CONTROL - ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN .................................................................................................... 65
TABLA 47. OBJETIVO DE CONTROL - SEGURIDAD DE RECURSOS HUMANOS .................. 66
TABLA 48. OBJETIVO DE CONTROL - GESTIÓN DE ACTIVOS .......................................... 66
TABLA 49. OBJETIVO DE CONTROL - CONTROL DE ACCESO ......................................... 67
TABLA 50. OBJETIVO DE CONTROL - CRIPTOGRAFÍA .................................................... 67
TABLA 51. OBJETIVO DE CONTROL – SEGURIDAD FÍSICA Y DEL ENTORNO ..................... 68
TABLA 52. OBJETIVO DE CONTROL – SEGURIDAD DE LAS OPERACIONES ....................... 69
TABLA 53. OBJETIVO DE CONTROL – SEGURIDAD DE LAS COMUNICACIONES ................. 70
TABLA 54. OBJETIVO DE CONTROL – ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
SISTEMAS ......................................................................................................... 70
TABLA 55. OBJETIVO DE CONTROL – RELACIONES CON LOS PROVEEDORES .................. 71
TABLA 56. OBJETIVO DE CONTROL – GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN .................................................................................................... 71
TABLA 57. OBJETIVO DE CONTROL - CONTINUIDAD DEL NEGOCIO................................. 72
TABLA 58. OBJETIVO DE CONTROL - CUMPLIMIENTO ................................................... 72
7
LISTA DE GRÁFICAS
Pág.
GRÁFICA 1. CRONOGRAMA ........................................................................................ 25
GRÁFICA 2. SERVIDORES Y USUARIOS ....................................................................... 27
GRÁFICA 3. UPS ...................................................................................................... 28
GRÁFICA 4. RIESGO EN FUNCIÓN DEL IMPACTO Y LA PROBABILIDAD ............................... 51
8
RESUMEN
El presente trabajo de grado es una propuesta de un sistema de seguridad de
gestión de la Información (SGSI) para entidades dedicas a prestar servicios de
outsourcing de TI, basado en la norma ISO27001 usando como guía la
metodología Magerit. El documento está estructurado de la siguiente manera:
Definición, Planeación y Organización: En este capítulo se define la planeación
del proyecto. Se realiza un planteamiento del problema donde se especifica los
inconvenientes que una empresa dedicada a prestar servicios de Outsourcing de
TI puede tener por falta de un sistema de gestión de la información (SGSI),
además se definen una serie de objetivos que permiten mostrar el cumplimiento
del desarrollo de la solución al problema mencionado anteriormente.
Análisis de la Situación Actual: Este capítulo se realiza un caso estudio de la
situación actual que puede tener una organización que se dedica a prestar
servicios de Outsourcing de TI.
Análisis y Gestión de Riesgos: En este capítulo se hace una identificación y
valoración de acuerdo a la integridad, disponibilidad y confidencialidad de los
activos más importantes tanto tangibles como intangibles para la organización; de
igual manera se realiza una identificación y valoración de las posibles amenazas a
las que están expuestos cada uno de esos activos, permitiendo determinar y
realizar un análisis de riesgos de forma detallada con el fin de poder dar un
adecuado tratamiento a dichos riesgos.
Plan de Seguridad: En este capítulo se realiza la definición del SGSI y los
objetivos de seguridad de la información donde se plantea una serie de políticas
de seguridad de la información las cuales son normas que permiten comunicarse
con todos los empleados y terceros relacionados a la organización para dar pautas
de buenas prácticas para el manejo de la información que se maneje.
Controles y/o Salvaguardas: En este capítulo se proponen una serie de
controles detallando su objetivo los cuales pueden ser implementados como
procedimientos o mecanismos que permiten reducir el riesgo de forma significativa
al que están expuestos los activos de estas organizaciones.
9
ABSTRACT
The present degree paper is a proposal of an Information Management Security
System (ISMS) for entities dedicated to the IT outsourcing service, based on the
ISO27001 standard and using the Magerit methodology as a guide. The document
is structured as follows:
Definition, Planning and Organization: This chapter defines project planning. It
is made an approach of the problem where it specifies the disadvantages that a
company dedicated to providing services of Outsourcing of IT may have for lack of
an information management system (ISMS), in addition they define a series of
objectives that allow to show the fulfillment of the development of the solution to
the above-mentioned problem.
Current Situation Analysis: This chapter conducts a case study of the current
situation that an organization that is dedicated to providing IT Outsourcing services
can have.
Risk Analysis and Management: This chapter identifies and assesses the
integrity, availability and confidentiality of the most important assets, both tangible
and intangible to the organization; In the same way an identification and valuation
of the possible threats to which each of these assets are exposed, making possible
to determine and carry out a risk analysis in a detailed way in order to be able to
give an adequate treatment to those risks.
Security Plan: This chapter defines the ISMS and information security objectives
where a series of information security policies are proposed, which are standards
that allow communication with all employees and third parties related to the
organization To give guidelines of good practices for the management of the
information that is handled.
Controls and/or Safeguards: This chapter proposes a series of controls detailing
its objective which can be implemented as procedures or mechanisms that allow
the significant risk reduction to which the assets of these organizations are
exposed.
10
INTRODUCCIÓN
Actualmente, para las organizaciones la información es considerada como uno de
los activos más valiosos y primordiales que se puede tener; este activo debe tener
unas características como lo es la disponibilidad en todo momento, la integridad y
la confidencialidad, lo que implica, que es necesario que toda organización cuente
con una adecuada gestión de sus recursos y activos con el fin de asegurar y
controlar el debido acceso, tratamiento y uso de la información.
Una de las mayores preocupaciones que toda organización tiene es el manejo de
la seguridad de la información; este es uno de los mayores desafíos a los que las
entidades cada día se tienen que enfrentar para disminuir la posibilidad de que
alguna amenaza se materialice afectando uno o más activos, lo que puede
ocasionar grandes pérdidas, mala reputación y hasta la afectación en la
continuidad del negocio.
Además, con la aparición de las nuevas tecnologías de la información y la
comunicación, se hace mucho más complejo la administración y gestión de los
riesgos a los que todas las organizaciones están expuestas. Por lo tanto es
necesario que dentro de las empresas exista no solo un alto conocimiento sobre la
importancia de la seguridad de la información sino que también se tengan
herramientas que ayuden a controlar y prevenir que se materialicen amenazas en
cualquiera de las áreas con las que cuenta la organización, de esta manera cada
uno de los activos tendrá un alto grado de seguridad en cuanto a integridad,
confidencialidad y disponibilidad de la información, que como se había
mencionado antes, es uno de los activos más importantes dentro de cualquier
compañía.
Las organizaciones dedicas a prestar servicios de outsourcing de tecnologías de la
información de acuerdo a sus procesos diarios, deben contar con un buen plan en
cuanto al manejo de riesgos y amenazas garantizando a sus clientes los mejores
servicios en cuanto a calidad, seguridad y confianza.
Debido a lo anterior, el objetivo de este trabajo de grado es crear y proponer un
Sistema de Gestión de la Seguridad de la Información (SGSI) para empresas que
se dedican a prestar servicios de outsourcing de TI teniendo en cuenta la
11
metodología Magerit, la cual detalla un análisis de riesgos completo, desde la
identificación y valoración de los activos, hasta la determinación de salvaguardas
y/o controles con el fin de minimizar las vulnerabilidades a los que está expuesta
la información y cada uno de los activos con los que cuenta una organización de
este índole, mejorando significativamente cada una de las actividades y procesos
del negocio.
12
1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
1.1 TÍTULO
Propuesta de un Sistema de Gestión de la Seguridad de la Información para
entidades dedicadas al Servicio de Outsourcing de TI.
1.2 TEMA
Este proyecto está enfocado en el contexto de políticas de seguridad, el cual va
encaminado a contribuir en el resguardo y protección de la información, dirigido a
todas las entidades dedicadas a servicios de Outsourcing de TI.
1.3 PLANTEAMIENTO DEL PROBLEMA
Las empresas dedicadas al Servicio de Outsourcing de TI a diario están expuestas
a riesgos que amenazan con la integridad, confidencialidad y disponibilidad de la
información y con ello la viabilidad del negocio.
Para las empresas de servicios de outsourcing de TI la información es el activo
más significativo y vulnerable, así como también los componentes de la
infraestructura de TI que ponen a disposición de sus clientes. Se ha identificado
que están expuestas a ataques cibernéticos de diversa índole, robo de información
y fraudes informáticos debido a que no cumplen con buenas prácticas y
estándares de seguridad a la hora de tratar la información, como consecuencia
permitiendo accesos no autorizados y no solo, por parte de agentes externos
(hackers) sino también por los empleados que generan, utilizan, procesan y
acceden a la información para la prestación de los servicios que entregan a los
clientes.
Como las empresas de outsourcing de TI son proveedores de servicios TI, su
responsabilidad en el tratamiento de la información no es sólo la referente a su
13
negocio sino también a la de sus clientes, ya sea porque está en su propia
infraestructura o porque opera en la infraestructura del cliente donde se encuentra
almacenada, presentando así un grado de vulnerabilidad e inseguridad dado a que
su activo más importante queda expuesto a un gran conjunto de personas que
administran y gestionan la información. Lo anterior conlleva a graves
consecuencias en la operación de los procesos del negocio afectando la calidad,
cantidad y relevancia de la información en general como también a los clientes a
quienes se les presta el servicio.
¿Cómo apoyar a las entidades dedicadas a los servicios de Outsourcing de TI a
mitigar el riesgo en la alteración o pérdida de la información de la mejor manera
posible?
1.4 ALCANCES Y LIMITACIONES
1.4.1 ALCANCES
El SGSI está diseñado específicamente para ayudar a cualquier empresa
dedicada a prestar servicios de outsourcing de TI, para que cuente con políticas y
estándares al momento de manipular cualquier activo dentro de la organización
brindando una mayor seguridad y minimizando el riesgo de que estos se puedan
ver afectados.
1.4.2 LIMITACIONES
Este proyecto podrá ser usado únicamente por organizaciones dedicadas a
prestar servicios de outsourcing de TI ya que la identificación de los activos, la
evaluación de riesgo y amenazas, además de las salvaguardas propuestas en
este SGSI corresponden a este tipo de empresas.
14
1.5 OBJETIVOS
1.5.1 OBJETIVO GENERAL
Crear una propuesta de un sistema de gestión de la seguridad de la información
en donde se describen políticas y estándares de seguridad, disminuyendo los
posibles riesgos a los que están expuestas las entidades dedicadas a servicios de
outsourcing de tecnologías de la información.
1.5.2 OBJETIVOS ESPECÍFICOS
Analizar el estado actual de las empresas de servicios de outsourcing de TI con respecto a la gestión de la seguridad de la información.
Identificar los activos más importantes de las empresas de servicios de outsourcing de TI.
Analizar los riesgos y amenazas a los que están expuestas las empresas de servicios de outsourcing de TI con base en la metodología Magerit.
Generar un documento con políticas y estándares de seguridad que busquen disminuir el riesgo al manipular la información tomando como referencia la norma ISO/IEC 27000.
Identificar controles y/o salvaguardas que minimicen la vulnerabilidad de la información en empresas de servicios de outsourcing de TI.
1.6 JUSTIFICACIÓN
Hasta la aparición y expansión de los sistemas informáticos, toda la información
de importancia para una organización se guardaba en papel y se almacenaba en
grandes archivadores como datos de clientes, proveedores y empleados de la
organización, generando así muchos problemas en cuanto a su almacenamiento,
acceso, procesamiento, entre otros.
15
Hoy en día, con la aparición de los sistemas informáticos y de comunicación se
permite la sistematización de la información facilitando su rápido acceso,
procesamiento, almacenamiento y transferencia de datos; estos sistemas no
garantizan que la información esté protegida ya que esta sigue expuesta a
diferentes ataques donde se puede ver afectada su integridad, confidencialidad y
disponibilidad.
La seguridad de la información es un componente crítico de la estrategia de
negocio de cualquier organización, la protección de datos, documentos y control
de acceso de éstos mismos es un tema que cada día toma más fuerza debido a
las diferentes especialidades de hackers y crackers que ponen en riesgo
información vital para la organización. Se entiende la seguridad como un proceso
que nunca termina ya que los riesgos nunca se eliminan en su totalidad, de ahí la
importancia y principalmente la necesidad de identificar y gestionar los riesgos de
negocio además de identificar los principios básicos en el tratamiento de la
información.
Para las organizaciones que prestan el servicio de outsourcing de TI, la
información que administran y los conocimientos de valor estratégico deben ser
gestionados con el propósito de preservar su confidencialidad, integridad y
disponibilidad en forma continua. En una organización todos son responsables de
la seguridad de la información que generan, utilizan, procesan y acceden para la
prestación de los servicios que entregan a sus clientes, esta responsabilidad
también se extiende a las empresas colaboradoras.
A través del Sistema de Gestión de la Seguridad de la Información (SGSI) se
busca que cualquier organización que preste un servicio de Outsourcing de TI
pueda liderar en forma permanente la mejora continua en la Seguridad de la
Información así como los componentes de la infraestructura de TI que ponen a
disposición de sus clientes. Un SGSI permite, establecer que la seguridad es una
característica esencial de cualquier sistema informático, proteger y minimizar los
riesgos de tener una pérdida o daño en la información, identificar los activos de
información que deben ser protegidos y en qué grado, implementar controles y
políticas de seguridad que definan e indiquen a las personas cómo actuar frente a
los recursos informáticos de la organización y sobre todo, no como un conjunto de
sanciones, sino más bien una descripción de aquello valioso que se desea
proteger.
16
1.7 MARCO DE REFERENCIA
1.7.1 MARCO HISTORICO (ESTADO DEL ARTE)
La información es un recurso intangible fundamental para una organización y
todos sus niveles jerárquicos, pues es necesaria para la toma de decisiones, el
uso de sus servicios o productos y para la competitividad.1
Con base en lo anterior, se puede determinar la importancia de proporcionar
seguridad a toda la información que maneja una organización, puesto que esto
evita un alto grado de vulnerabilidad en la misma.
Para la realización de esta propuesta se toma como referencia el trabajo de grado
titulado:
“Diseño de un sistema de gestión de seguridad de la información para
una entidad financiera de segundo piso” en donde se expone como
problema un inadecuado modelo de gestión de seguridad de la información
con sus respectivos factores causantes y como solución el diseño de un
SGSI para la empresa IGM S.A., tomando como referencia la norma NTC-
ISO-IEC 27001:2013 en donde se evidencia el análisis de la necesidad y
requerimientos determinado por la entidad a la que se le diseña el SGSI,
inventario de los activos de información, informe de evaluación de riesgos,
plan de tratamiento de riesgos, manual de políticas de seguridad de la
información, entre otros; dicho trabajo de grado se realiza bajo la
metodología PHVA.2
1 Docout, Soluciones de ingenieria deocumenta, La importancia de la información en las empresas,
Actualizado el 26 de marzo de 2015, Disponible en: http://www.docout.es/2015/03/la-importancia-de-la-informacion-en-las-empresas/ [Consultado: 14 de marzo de 2016] 2 Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De Gestión De Seguridad De La
Información Para Una Entidad Financiera De Segundo Piso. Bogotá, Disponible en: http://repository.poligran.edu.co/bitstream/10823/746/1/Proyecto%20de%20Grado%20SGSI%20-%20IGM-%20CarlosGuzman%20(FINAL).pdf [Consultado: 14 de marzo de 2016]
17
El proyecto mencionado anteriormente evidencia falencias que actualmente
presenta la empresa IGM S.A., lo cual permite que no se cometan los mismos
errores y se realice un mejor análisis en cuanto a la determinación de las políticas
y salvaguardas que se van a implementar en la propuesta del SGSI para
organizaciones dedicadas a prestar el servicio de Outsorcing de TI.
“Implementación SGSI empresa pollos pachito S.A” se toma como
referencia el trabajo de maestría, el cual tiene como objetivo implementar
un sistema de gestión de seguridad de la información certificado, que
permite brindar a los clientes nacionales y extranjeros confianza por el
tratamiento de los datos que la empresa gestiona, garantizando la
implementación de controles eficientes que protejan la información3.
Este proyecto permite analizar los diferentes controles que se pueden tener en
cuenta para brindar una mayor calidad en la propuesta del sistema de gestión de
la seguridad de la información para organizaciones dedicadas al servicio de
outsourcing de tecnologías de la información.
“Metodología para implantar un SGSI en un grupo empresarial
jerárquico” se toma como guía la tesis en la cual se presenta una
metodología tomando como referencia las normas internacionales ISO/IEC
27000, también se basa en el ciclo PHVA que se aplica en la norma
ISO/IEC 27001.4
3 Robinson Ruiz Muñoz. (2015). Elaboración de un plan de implementación de la ISO/IEC
27001:2013 Para la empresa Pollos Pachito. Disponible en: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43110/1/rruizmutfm0615.pdf [Consultado: 14 de marzo de 2016] 4 Gustavo Pallas Mega . (2009). Metodología de Implantación de un SGSI en un grupo empresarial
jerárquico. Uruguay. Disponible en: http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf [Consultado: 14 de marzo de 2016]
18
1.7.2 MARCO TEÓRICO
Normas, metodologías y conceptos que se utilizaron para el desarrollo del
proyecto:
ISO 270005
Contiene términos y definiciones que se emplean en toda la serie 27000. La
aplicación de cualquier estándar necesita de un vocabulario claramente definido,
que evite distintas interpretaciones de conceptos técnicos y de gestión.
ISO 270016
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene
los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho
anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados
SGSI7
Es un “Sistema de Gestión de Seguridad de la Información”, en inglés ISMS
“Information Security Management System”. El SGSI se basa en un conjunto de
políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad,
5 ISO 27000, La serie 27000, disponible en:
http://www.iso27000.es/download/doc_iso27000_all.pdf [Consultado: 03 de abril de 2016] 6 Ibid.
7 Ingenia. Ingeniería e Integración Avanzadas. Implantación de un SGSI con e-PULPO. 03 de abril
de 2016, de e-pulpo, disponible en: https://www.e-pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-pulpo_v1.00.pdf [Consultado: 03 de abril de 2016]
19
Confidencialidad, Autenticidad y Trazabilidad de la Información.
En un servicio informático que va a implantar un SGSI es importante diferenciar 2
conceptos de seguridad:
Seguridad Informática: Orientada en la protección de la Infraestructura TIC
que soporta al negocio.
Seguridad de la Información: Orientada en la protección de los activos de la
información fundamentales para el negocio.
El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos
para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de
Deming “Plan-Do-Check-Act” (Planificar-Hacer-Revisar-Actuar).
MAGERIT8
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el
Consejo Superior de Administración Electrónica, como respuesta a la percepción
de que la Administración, y, en general, toda la sociedad, dependen de forma
creciente de las tecnologías de la información para el cumplimiento de su misión.
La razón de ser de MAGERIT está directamente relacionada con la generalización
del uso de las tecnologías de la información, que supone unos beneficios
evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza.
MAGERIT interesa a todos aquellos que trabajan con información digital y
sistemas informáticos para tratarla. Si dicha información, o los servicios que se
prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor
está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos
los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos.
Con MAGERIT se persigue una aproximación metódica que no deje lugar a la
improvisación, ni dependa de la arbitrariedad del analista.
8 Ladministracionelectronica, Pae Portal Administración electrónica, MAGERIT v.3 : Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información, disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mager
it.html#.Vwb4RJzhAdV [Consultado: 03 de abril de 2016]
20
CICLO PHVA9
Es un ciclo dinámico que puede ser empleado dentro de los procesos de una
Organización. Es una herramienta de simple aplicación y, cuando se utiliza
adecuadamente, puede ayudar mucho en la realización de las actividades de una
manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo
Proporciona una guía básica para la gestión de las actividades y los procesos, la
estructura básica de un sistema, y es aplicable a cualquier organización. A través
del ciclo PHVA la organización planea, estableciendo objetivos, definiendo los
métodos para alcanzar los objetivos y definiendo los indicadores para verificar que
en efecto, éstos fueron logrados. Luego, la organización implementa y realiza
todas sus actividades según los procedimientos y conforme a los requisitos de los
clientes y a las normas técnicas establecidas, comprobando, monitoreando y
controlando la calidad de los productos y el desempeño de todos los procesos
clave.
Outsorcing10
El término outsourcing, también conocido como tercerización, refiere al proceso
que ocurre cuando una organización contrata a otra para que realice parte de su
producción, preste sus servicios o se encargue de algunas actividades que le son
propias. Las organizaciones recurren al outsourcing para abaratar costos, mejorar
la eficiencia y concentrarse en aquellas actividades que dominan mejor y
constituyen la base de su negocio.
El outsourcing abarca una amplia gama de áreas pero actualmente es más en
común en recursos humanos (manejo de nóminas), atención al cliente,
contabilidad, telemarketing, diseño gráfico, generación de contenido, manufactura
e ingeniería. Por lo general, involucra especialidades ajenas a las funciones
fundamentales de la organización contratante.
9 Glosario Sistemas de Gestión, ImagenWorld disponible en:
http://www.imagenworld.com/html/downloads/VARIOS/GLOSARIO%20SISTEMAS%20DE%20GESTION.pdf [Consultado: 03 de abril de 2016] 10
Degerencia, Outsorcing, disponible en: http://www.degerencia.com/tema/outsourcing [Consultado: 04 de abril de 2016]
21
En el outsourcing la organización cede al proveedor el control de los procesos
necesarios para la prestación del servicio. En cambio, cuando una empresa se
relaciona con otra bajo la figura de la contratación externa, mantiene injerencia en
todos y cada uno de los detalles de la actividad requerida.
1.8 SOLUCIÓN TECNOLÓGICA
Para la solución de minimizar las vulnerabilidades que presenta la información en
las entidades dedicadas a prestar servicios de outsourcing de tecnologías de la
información se determina realizar una serie de actividades como:
Analizar el estado actual de la seguridad de la información en este tipo de
empresas.
Identificar y valorar los activos más significativos.
Identificar las amenazas que se presentan actualmente y/o posibles amenazas
que se puedan presentar.
Realizar un análisis de riesgos por cada uno de los activos y amenazas que se
pueden presentar.
Identificar los controles que minimizan las posibles amenazas identificadas.
Con la realización de las actividades mencionadas anteriormente se creará un
documento con políticas y estándares de seguridad de la información tomando
como referencia la metodología Magerit la cual permite analizar y gestionar los
riesgos de los sistemas de información que se puedan presentar en cada una de
las empresas dedicadas a los servicios de outsourcing de TI.
Para llevar a cabo esta solución se hará uso del ciclo PHVA (Planear - Hacer -
Verificar - Actuar) como metodología, la cual permite la realización de cada una de
las tareas teniendo en cuenta no solo la calidad sino el mejoramiento continuo.
22
1.9 METODOLOGÍA
Para el desarrollo de la propuesta del sistema de gestión de la seguridad de la
información se utilizará la metodología PHVA.
El ciclo PHVA constituye una de las principales herramientas de mejoramiento
continuo en las organizaciones, utilizada ampliamente por los sistemas de gestión
de la calidad (SGC) con el propósito de permitirle a las empresas una mejora
integral de la competitividad, de los productos ofrecidos, mejorando
permanentemente la calidad, también le facilita tener una mayor participación en el
mercado, una optimización en los costos y por supuesto una mejor rentabilidad.
Por su dinamismo puede ser utilizado en todos los procesos de la organización y
por su simple aplicación, que si se hace de una forma adecuada, aporta en la
realización de actividades de forma organizada y eficaz.
A través de cada uno de los pasos del ciclo PHVA las empresas pueden:
Planificar: En esta etapa se definen los objetivos y cómo lograrlos, esto de
acuerdo a políticas organizacionales y necesidades de los clientes. Puede ser de
gran utilidad realizar grupos de trabajo, escuchar opiniones de los trabajadores y
utilizar herramientas de planificación como encuestas.
Hacer: Es ejecutar lo planeado, en esta etapa es recomendable hacer pruebas
pilotos antes de implantar los procesos definidos. En su desarrollo se puede
evidenciar los problemas que se tienen en la implementación, se identifican las
oportunidades de mejora.
Verificar: En esta etapa comprobamos que se hayan ejecutado los objetivos
previstos mediante el seguimiento y medición de los procesos, confirmando que
estos estén acorde con las políticas y a toda la planeación inicial.
23
Actuar: Mediante este paso se realizan las acciones para el mejoramiento del
desempeño de los procesos, se corrigen las desviaciones, se estandarizan los
cambios, se realiza la formación y capacitación requerida y se define como
monitorearlo.11
1.10 PRESUPUESTO Y FUENTES DE FINANCIACIÓN
Se determina que la realización de este proyecto es factible en todos los aspectos
puesto que el costo final es asequible y permite que se puedan adquirir los
recursos necesarios para llevar a cabo cada una de las tareas que son
indispensables para la creación de la propuesta del Sistema de Gestión de la
Seguridad de la Información.
En las tablas que se presentan a continuación se describe la factibilidad
económica, dividida en tres aspectos: recursos humanos, recursos técnicos y
otros recursos; identificando los costos de papelería, hardware, software y
recursos humanos necesarios para la realización del proyecto de investigación
que se propone.
Tabla 1. Factibilidad Económica Recursos Humanos
Tipo Descripción Valor Hora Cantidad Total
Tutor 1
Asesorías para
la realización
del proyecto,
referente a la
metodología.
$40.000
150 horas
$5.760.000
Analistas
Dos analistas
que realicen la
implementación
de la solución.
$ 20.000
480 horas
$9.600.000
Total Recursos Humanos $15.600.000
Fuente: Autores
11
gerencie, Ciclo PHVA, disponible en: http://www.gerencie.com/ciclo-phva.html [Consultado: 03 de abril de 2016]
24
Tabla 2. Factibilidad Económica Recursos Técnicos
Recurso Descripción Valor
Unitario
Cantidad Total
Computadores
Equipos portátiles
para el desarrollo y
las pruebas del
sistema.
Características
de Hardware:
Procesador Intel
Core 2 Duo -
Memoria RAM de
204n8 MB - Disco
Duro de 160 GB -
Computador
portátil Compaq.
$ 1.430.000
2
$ 2.860.000
Total Recursos Técnicos $2.860.000
Fuente: Autores
Tabla 3. Factibilidad Económica Costo Total
Recurso Valor
Total Recursos Humanos $15.600.000
Total Recursos Técnicos $2.860.000
Total Otros recursos $ 400.000
Costos imprevistos (10%) $1.860.000
Total Costo $20.720.000
Fuente: Autores
25
1.11 CRONOGRAMA
Gráfica 1. Cronograma
Fuente: Autores
26
2. ANÁLISIS DE LA SITUACIÓN ACTUAL
La organización dedicada a prestar servicios de outsourcing de tecnologías de la
información cuenta con diferentes áreas en donde cada persona cuenta con un
cargo o rol definido teniendo claridad de las actividades a realizar, entre ellas se
encuentra:
Gerencia General
Gerencia de Proyectos
Gerencia de TI
Departamento Administrativo
Departamento de Logística
Departamento de Ventas
Departamento de TI (Área de Desarrollo, Área de Mantenimiento,
Área de Infraestructura)
Actualmente en ninguna de sus áreas se evidencia que se cuente con una
metodología o documentación que gestione los riesgos a los que se están
expuestos, no solo la información sino cada uno de los activos con los que la
organización cuenta. Esto permite que personas que laboran en estas entidades,
proveedores o simplemente terceros puedan tener acceso a información delicada
generando un alto grado de riesgo hacia la empresa, lo cual implica que se tengan
grandes pérdidas, mala reputación y hasta el quiebre total. Además no se cuenta
con una inducción y/o capacitaciones constantes que permitan que los empleados
tanto nuevos como antiguos conozcan las normas y políticas de seguridad con las
que la organización cuenta.
Por otro lado, se evidencia que la entidad no cuenta con normas de seguridad
básicas como lo son la prevención y protección contra inundaciones, fallas
eléctricas y/o desastres naturales; además no cuenta con un plan de contingencia
el cual le permita la continuidad de las operaciones diarias en caso de que algunas
de las amenazas nombradas anteriormente se llegue a materializar.
27
La organización cuenta con cámaras de vigilancia al igual que detectores de humo
los cuales permiten dar aviso a posibles robos o incendios para poder actuar a
tiempo en caso de que ocurra alguno de los anteriores sucesos.
Otro de los inconvenientes que se hallaron dentro de la organización es la falta de
restricción para sacar los activo ya que no se maneja ningún tipo de autorización
previa; la libre conexión remota a equipos de la entidad; la libertad de navegación
en cualquier página web y facilidad de descarga de software ya que no se cuenta
con ningún tipo de firewall ni proxy que controle el ingreso a algunas páginas web;
también existe disponibilidad para el uso de los puertos USBs, unidades de CD;
por otro lado se detecta la falta de equipos que destruyan la documentación física
que ya no se requiere en la organización como contratos, hojas de vida, pólizas,
etc.
La infraestructura de la red activa debidamente administrada por empleados
idóneos en la organización cuenta actualmente con 12 servidores que permiten el
almacenamiento y procesamiento de información distribuidos como se muestra en
la gráfica 2.
Gráfica 2. Servidores y Usuarios
Fuente: Autores
28
También se evidencia que la organización posee una infraestructura de cableado
estructurado categoría 5 y tendido de fibra óptica multimodo entre los centros de
cableado lo cual permite unas buenas características para la velocidad y
transmisión de información.
Se cuenta con 2 canales de internet:
Primario: Proveedor Claro, 12 Megas de bajada y 6 de subida, fibra óptica.
Secundario: Proveedor UNE, 5 Megas de bajada y 1 Mega de subida,
cobre. Es un canal de contingencia cuando el primario no está disponible.
Se cuenta con una UPS (Ver gráfica 3) que brinda una autonomía necesaria para
la infraestructura de 30 minutos; tiempo suficiente para que se realice las copias
de seguridad del trabajo realizado.
Gráfica 3. UPS
Fuente: Autores
Los dispositivos de comunicaciones están ubicados en el primer piso en el
Datacenter donde se evidencia la falta de control en el acceso, ya que cuenta con
una puerta de fácil ingreso lo que permite que cualquier persona pueda ingresar
fácilmente a los diferentes equipos como servidores de aplicaciones, servidores de
bases de datos, equipos de backups, routers, switches, UPS, etc; permitiendo así
no solo la manipulación de estos equipos sino la configuración de la red tanto
física como lógica; por otro lado se evidencia desorden en cuanto al cableado de
29
red; de igual manera se evidencia que el data center no cuenta con una ventilación
adecuada para la refrigeración de todos los equipos que allí se encuentra.
En cuanto a los equipos de cada empleado se evidencia que cuentan con las
últimas tecnologías en cuanto a sistemas operativos (Windows 10 Enterprise),
capacidad de almacenamiento (1 Tera), procesador (Intel Core i5 sexta
generación) y RAM (8 Gb). Además cada equipo cuenta con su respectivo
antivirus y antispyware (Eset Nod 32) los cuales son de vital importancia para
evitar daños a los diferentes archivos y para la protección contra intrusos.
La organización cuenta con una red backbone entre el Switch y los servidores, el
Switch de Comunicaciones y el Switch que comunica los equipos de los Usuarios.
Este Backbone fue implementado sobre interfaz Gigabit Ethernet con cable UTP
categoría 6.
Para finalizar, uno de los percances más significativos a la hora de manejar
información es la falta de capacitación constante a los empleados sobre los
riesgos que se pueden presentar al interior de la organización; ya que ellos son los
principales involucrados en la manipulación de la información lo cual permite que
muchas veces por desconocimiento se realicen ataques en donde se vulnera la
información.
30
3. ANÁLISIS Y GESTIÓN DE RIESGOS
El análisis y gestión de Riesgos es un método que permite determinar el riesgo
que se puede presentar en una organización a través de una serie de pasos:
Determinar y valorar los activos más importantes para la organización.
Determinar y valorar a que amenazas están expuestos aquellos activos.
Determinar y valorar los posibles riesgos.
Determinar los controles que se pueden implementar para minimizar los
riesgos.
3.1 IDENTIFICAR LOS ACTIVOS MÁS IMPORTANTES DE LAS EMPRESAS
DE SERVICIOS DE OUTSOURCING DE TI
Para la identificación de los activos se clasifican de la siguiente manera con ayuda
de la metodología Magerit:
Información
Aplicaciones informáticas (Software)
Equipos Informáticos (Hardware)
Soportes de Información
Equipamiento Auxiliar
Redes de Comunicaciones
Personas
Intangibles
Otros
En el siguiente cuadro se visualizan cada uno de los activos según su
clasificación.
31
Tabla 4. Identificación de los Activos
Clasificación Activo Ref.
Información
Datos de carácter personal de los empleados,
clientes y socios
Inf1
Código fuente Inf2
Contratos Inf3
Archivos Inf4
Manuales Inf5
Material de formación Inf6
Planes de continuidad Inf7
Licencias Inf8
Políticas Inf9
Software
Aplicaciones de la Organización Sw1
Programas de desarrollo Sw2
Sistemas operativos Sw3
Antivirus Sw4
Motores de Bases de Datos Sw5
Hardware
Servidores de Bases de Datos Hw1
Servidores Web Hw2
Servidores de archivos Hw3
Servidores de aplicaciones Hw4
Impresoras Hw5
Equipos portátiles Hw6
Soportes de
Información
Discos Duros Si1
Servidores de backup Si2
Memorias USB Si3
CD/DVD Si4
Sistema de climatización de la sala de servidores Si5
Cámaras de seguridad Si6
Teléfonos Si7
Dispositivos Móviles Si8
Redes de
Comunicaciones
Red de Datos Rc1
Red eléctrica Rc2
Canaletas Rc3
Switches Rc4
Racks Rc5
32
Routers Rc6
Modems Rc7
Personas
Empleados Ps1
Clientes Ps2
Proveedores Ps3
Intangibles Imagen de la empresa It1
Reputación It2
Otros Muebles Ot1
Planta física: Estructura física de la empresa Ot2
Fuente: Autores
3.2 PLANIFICACIÓN PARA LA VALORACIÓN DE ACTIVOS
La finalidad de la valoración de los activos es Identificar en qué dimensión es
valioso el activo y valorar el coste que para la organización supondría la
destrucción del activo. De esta tarea se obtiene el modelo de valor, informe que
permite conocer la importancia de los activos. El modelo de valor detalla los
activos, sus dependencias, las dimensiones en las que son valiosos y la
estimación de su valor en cada dimensión.
Las dimensiones de valoración que la metodología Magerit expone son:
Disponibilidad
Propiedad o característica de los activos consistente en que las entidades o
procesos autorizados tienen acceso a los mismos cuando lo requieren.
¿Qué importancia tendría que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando sí
una amenaza afectará a su disponibilidad, las consecuencias serían graves. Y
recíprocamente, un activo carece de un valor apreciable desde el punto de vista
de disponibilidad cuando puede no estar disponible frecuentemente y durante
largos periodos de tiempo sin por ello causar mayor daño.
33
La disponibilidad es una característica que afecta a todo tipo de activos. A menudo
la disponibilidad requiere un tratamiento por escalones pues el coste de la
indisponibilidad aumenta de forma no lineal con la duración de la interrupción,
desde breves interrupciones sin importancia, pasando por interrupciones que
causan daños considerables y llegando a interrupciones que no admiten
recuperación: la organización está acabada.
Integridad de los Datos
Propiedad o característica consistente en que el activo de información no ha sido
alterado de manera no autorizada.
¿Qué importancia tendría que los datos fueran modificados fuera de control?
Los datos reciben una alta valoración desde el punto de vista de integridad cuando
su alteración, voluntaria o intencionada, causaría graves daños a la organización.
Y, recíprocamente, los datos carecen de un valor apreciable desde el punto de
vista de integridad cuando su alteración no supone preocupación alguna.
Confidencialidad de la información
Propiedad o característica consistente en que la información ni se pone a
disposición, ni se revela a individuos, entidades o procesos no autorizados.
¿Qué importancia tendría que el dato fuera conocido por personas no
autorizadas?
Los datos reciben una alta valoración desde el punto de vista de confidencialidad
cuando su revelación causaría graves daños a la organización. Y, recíprocamente,
los datos carecen de un valor apreciable desde el punto de vista de
confidencialidad cuando su conocimiento por cualquiera no supone preocupación
alguna.
34
Autenticidad
Propiedad o característica consistente en que una entidad es quien dice ser o bien
que garantiza la fuente de la que proceden los datos.
¿Qué importancia tendría que quien accede al servicio no sea realmente quien se
cree?
La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de
fraude o uso no autorizado de un servicio. Así, un servicio recibe una elevada
valoración desde el punto de vista de autenticidad cuando su prestación a falsos
usuarios supondría un grave perjuicio para la organización. Y, recíprocamente, un
servicio carece de un valor apreciable desde el punto de vista de autenticidad
cuando su acceso por cualquiera no supone preocupación alguna.
¿Qué importancia tendría que los datos no fueran realmente imputables a quien se
cree?
Los datos reciben una elevada valoración desde el punto de vista de autenticidad
del origen cuando un defecto de imputación causaría graves quebrantos a la
organización. Típicamente, se habilita la oportunidad de repudio. Y,
recíprocamente, los datos carecen de un valor apreciable desde el punto de vista
de autenticidad del origen cuando ignorar la fuente es irrelevante.
Trazabilidad
Propiedad o característica consistente en que las actuaciones de una entidad
pueden ser imputadas exclusivamente a dicha entidad.
¿Qué importancia tendría que no quedara constancia fehaciente del uso del
servicio y/o del acceso a los datos?
Abriría las puertas al fraude, incapacitaría a la Organización para perseguir delitos
y podría suponer el incumplimiento de obligaciones legales.
35
3.2.1 VALORACIÓN DE ACTIVOS
Para este proceso se evaluará cada uno de los activos en cuanto a las tres
dimensiones más importantes expuestas por la metodología Magerit las cuales
son: Disponibilidad (D), Confidencialidad de la información (C) e Integridad de
datos (I), además se sacará un promedio con la valoración de las tres dimensiones
para tener un único valor por activo. Se evalúa siguiendo los valores mencionados
en la figura siguiente.
Tabla 5. Criterios de Valoración de los Activos
Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos
Fuente: Magerit V.3
A continuación se presenta la valoración de cada uno de los activos identificados
anteriormente según su clasificación:
Activos de Información
Este tipo de activo, es toda la información que la organización considera
importante ya que puede tener datos confidenciales los cuales si fuesen públicos
pueden llegar a afectar la organización.
Tabla 6. Valoración cuantitativa de los Activos de Información
ACTIVO D C I VALOR TOTAL
Datos de carácter personal de los
empleados, clientes y socios 8 10 8 8.66
Código fuente 10 7 8 8.33
Contratos 7 9 9 8.33
Archivos 5 8 7 6.66
Manuales 8 1 5 4.66
36
Material de formación 7 4 7 6
Planes de continuidad 9 5 9 7.66
Licencias 9 8 8 8.33
Políticas 8 5 9 7.33
Fuente: Autores
Activos Software
Los activos clasificados como software son todas las aplicaciones que generan
valor para la productividad dentro de la organización ya que con ellas se interactúa
constantemente para llevar a cabo las operaciones diarias a las que la entidad se
dedica, en caso de verse afectado algún activo clasificado como software se
puede parar la productividad afectando la organización de forma monetaria
significativamente.
Tabla 7. Valoración cuantitativa de los Activos Software
ACTIVO D C I VALOR TOTAL
Aplicaciones de la Organización 8 10 8 8.66
Programas de desarrollo 10 7 8 8.33
Sistemas operativos 9 7 8 8
Antivirus 10 6 10 8.66
Motores de Bases de Datos 7 10 10 9
Fuente: Autores
Activos Hardware
Los activos clasificados como hardware son los equipos que generan valor para la
productividad dentro de la organización ya que con ellos se interactúa
constantemente para llevar a cabo las operaciones diarias a las que la entidad se
dedica, en caso de verse afectado algún activo clasificado como hardware se
puede parar la productividad afectando la organización de forma monetaria.
37
Tabla 8. Valoración cuantitativa de los Activos de Hardware
ACTIVO D C I VALOR TOTAL
Servidores de Bases de Datos 10 10 10 10
Servidores Web 10 10 10 10
Servidores de archivos 8 10 8 8.66
Servidores de aplicaciones 10 10 10 10
Impresoras 5 5 2 4
Equipos portátiles 10 7 10 9
Fuente: Autores
Activos Soporte de Información
Los activos clasificados como soporte de información son todos los equipos que
almacenan datos o hacen parte de la emisión y recepción de información dentro
de la organización, los cuales son de gran importancia ya que en caso de
presentarse inconsistencias o pérdida de información se puede recuperar y/o
revisar ya que se encuentran almacenados en algún activo clasificado como
soporte de información, generando así consistencia en los datos dentro de la
organización.
Tabla 9. Valoración cuantitativa de los Activos de Soporte de Información
ACTIVO D C I VALOR TOTAL
Discos Duros 6 10 8 8
Servidores de Backus 9 10 8 9
Memorias USB 8 8 10 8.66
CD/DVD 8 8 10 8.66
Sistema de climatización de la sala de
servidores 9 8 9 8.66
Cámaras de Seguridad 9 7 9 8.33
Teléfonos 8 4 8 6.66
Dispositivos Móviles 8 4 8 6.66
Fuente: Autores
38
Activos Redes de Comunicaciones
Los activos clasificados como redes de comunicaciones son todos los recursos
que hacen parte de la infraestructura de la organización, los cuales son de suma
importancia ya que son parte fundamental para el correcto funcionamiento de los
activos clasificados como hardware, en caso de verse afectado algún activo
clasificado como redes de comunicación se puede parar la producción de la
organización causando grandes pérdidas.
Tabla 10. Valoración cuantitativa de los Activos de Redes de Comunicaciones
ACTIVO D C I VALOR TOTAL
Red de Datos 9 10 10 9.66
Red eléctrica 9 10 10 9.66
Canaletas 9 0 9 6
Switches 8 8 8 8
Racks 8 8 8 8
Routers 8 8 8 8
Módems 8 8 8 8
Fuente: Autores
Activos Intangibles
Los activos clasificados como intangibles son como su nombre lo dice no
tangibles, pero que pueden afectar a una organización de forma significativa ya
que si se ve afectado algún activo de esta clasificación, la entidad puede llegar a
tener grandes pérdidas llegando así a la liquidación total.
Tabla 11. Valoración cuantitativa de los Activos Intangibles
ACTIVO D C I VALOR TOTAL
Imagen de la empresa 8 0 10 6
Reputación 8 0 10 6
Fuente: Autores
39
Activos Personas
Los activos clasificados como Personas son todos los individuos que tienen
relación con la organización. La afectación de este activo puede ocasionar
pérdidas mínimas dentro de la entidad dependiendo el volumen de falta de
disponibilidad de cada uno de estos activos.
Tabla 12. Valoración cuantitativa de los Activos Personas
ACTIVO D C I VALOR TOTAL
Empleados 5 0 0 1.66
Clientes 5 0 0 1.66
Proveedores 5 0 0 1.66
Fuente: Autores
Activos Otros
Los activos clasificados como Otros son todos los recursos que no están en otra
clasificación y que son parte importante para la productividad de la organización,
puesto que si se ve afectado algún activo de esta clasificación, la entidad puede
tener dificultades en las operaciones diarias ocasionando pérdidas significativas
para la organización.
Tabla 13. Valoración cuantitativa de los Activos Otros
ACTIVO D C I VALOR TOTAL
Muebles 8 5 8 7
Planta física: Estructura física de la
empresa. 8 5 8 7
Fuente: Autores
40
3.3 PLANIFICACIÓN PARA LA VALORACIÓN DE AMENAZAS HACIA LOS
ACTIVOS DEL INVENTARIO
El objetivo de este punto es determinar la degradación del activo; proceso que
consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se
materialice una amenaza.
El catálogo de posibles amenazas sobre los activos que la metodología Magerit
expone son:
Desastres Naturales
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa
directa o indirecta.
De Origen Industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad
humana de tipo industrial. Estas amenazas pueden darse de forma accidental o
deliberada.
Errores y Fallos No Intencionados
Fallos no intencionales causados por las personas. La numeración no es
consecutiva, sino que está alineada con los ataques deliberados, muchas veces
de naturaleza similar a los errores no intencionados, difiriendo únicamente en el
propósito del sujeto.
Ataques Intencionados
Fallos deliberados causados por las personas.
La numeración no es consecutiva para coordinarla con los errores no
intencionados, muchas veces de naturaleza similar a los ataques deliberados,
difiriendo únicamente en el propósito del sujeto.
41
3.3.1 ANÁLISIS Y VALORACIÓN DE AMENAZAS HACIA LOS ACTIVOS DEL
INVENTARIO
Para el desarrollo es necesario tener presente los rangos dados en los siguientes
cuadros tanto de probabilidad como de degradación con el fin de determinar una
valoración de los activos identificados.
Probabilidad
Posibilidades existentes de que una amenaza se materialice.
Degradación
Clasificación que puede tener un activo al verse afectado su valor.
Tabla 14. Probabilidad de ocurrencia de una amenazas
Valor Frecuencia Abreviatura Criterio
5 Muy frecuente MA A diario
4 Frecuente A Mensualmente
3 Normal M Una vez al año
2 Poco Frecuente B Cada varios años
1 Muy poco
Frecuente MB Siglos
Fuente: Magerit V.3
Tabla 15. Degradación de los Activos por Amenazas
Valor Criterio Abreviación
100% Degradación MUY ALTA del activo MA
80% Degradación ALTA considerable del
activo A
50% Degradación MEDIANA del activo M
10% Degradación BAJA del activo B
1% Degradación MUY BAJA del activo MB
Fuente: Magerit V.3
42
3.3.2 IDENTIFICACIÓN DE LAS AMENAZAS:
A continuación se realiza una identificación de las posibles amenazas que puede
afectar los activos de una organización dedicada a prestar servicios de
outsourcing.
Tabla 16. Identificación de las Amenazas
Amenaza Ref.
Errores de los usuarios Amz1
Errores del Administrador Amz2
Errores de Configuración Amz3
Escapes de Información Amz4
Destrucción de Información Amz5
Acceso No Autorizado Amz6
Modificación de la Información Amz7
Vulnerabilidades de los Programas Amz8
Suplantación de la Identidad del usuario Amz9
Difusión de Software Dañino Amz10
Denegación de Servicios Amz11
Desastres Naturales Amz12
Avería de Origen Físico o Lógico Amz13
Fallo de Servicios de Comunicaciones Amz14
Manipulación de Configuración Amz15
Fuego Amz16
Daños Por Agua Amz17
Errores de Mantenimiento/Actualización de Equipos Amz18
Manipulación de los Equipos Amz19
Deficiencia en la Organización Amz20
Alteración Accidental de la Información Amz21
Fuente: Autores
3.3.3 VALORACIÓN DE LAS AMENAZAS:
Errores de los usuarios: Tipo de amenaza que es provocada por los usuarios de
forma accidental al manipular un activo por desconocimiento en la manejo del
mismo.
43
Tabla 17. Valoración Amenaza Errores de los Usuarios
Activos Dimensiones Frecuencia Degradación
Información
Software
Hardware
Disponibilidad
Integridad
A MA
Fuente: Autores
Errores del Administrador: Tipo de amenaza que es provocada por el personal
encargado de gestionar y conservar los activos al tomar malas decisiones.
Tabla 18. Valoración Amenaza Errores del Administrador
Activos Dimensiones Frecuencia Degradación
Información
Software
Hardware
Redes de Comunicación
Soportes de Información
Personas
Disponibilidad
Integridad
Confidencialidad
M A
Fuente: Autores
Errores de Configuración: Tipo de amenaza que es provocada en el momento
de la configuración de algún activo en donde puede quedar con un alto grado de
vulnerabilidad.
Tabla 19. Valoración Amenaza Errores de Configuración
Activos Dimensiones Frecuencia Degradación
Información
Software
Hardware
Redes de Comunicación
Soportes de Información
Disponibilidad
Integridad
Confidencialidad
A A
Fuente: Autores
44
Escapes de Información: Tipo de amenaza que ocurre en el momento en que la
información es conocida por personas que no deberían tener conocimiento sobre
esta.
Tabla 20. Valoración Amenaza Escapes de Información
Activos Dimensiones Frecuencia Degradación
Información
Software
Soportes de Información
Confidencialidad B A
Fuente: Autores
Destrucción de Información: Tipo de amenaza en donde se pierde la
información de manera accidental.
Tabla 21. Valoración Amenaza Destrucción de Información
Activos Dimensiones Frecuencia Degradación
Información
Soportes de Información
Disponibilidad
B MA
Fuente: Autores
Acceso No Autorizado: Tipo de amenaza que ocurre en el momento en que un
atacante es capaz de obtener los recursos de la organización sin una autorización.
Tabla 22. Valoración Amenaza Acceso No Autorizado
Activos Dimensiones Frecuencia Degradación
Información
Software
Hardware
Soportes de Información
Redes de Comunicaciones
Otros
Confidencialidad
Integridad
M MA
Fuente: Autores
45
Modificación de la Información: Tipo de amenaza que ocurre en el momento en
que la información es manipulada.
Tabla 23. Valoración Amenaza Modificación de la Información
Activos Dimensiones Frecuencia Degradación
Información
Software
Soportes de Información
Integridad
B MA
Fuente: Autores
Vulnerabilidades de los Programas: Tipo de amenaza que ocurre en el
momento en que un programa cuenta con poca seguridad lo que permite que se
vea afectada su integridad.
Tabla 24. Valoración Amenaza Vulnerabilidades de los Programas
Activos Dimensiones Frecuencia Degradación
Software
Integridad B MA
Fuente: Autores
Suplantación de la Identidad del usuario: Tipo de amenaza que ocurre en el
momento en que una persona es capaza de hacerse pasar por otra, disfrutando de
todos los permisos.
Tabla 25. Valoración Amenaza Suplantación de la Identidad del Usuario
Activos Dimensiones Frecuencia Degradación
Información
Software
Soportes de Información
Redes de Comunicaciones
Otros
Confidencialidad
Integridad
M MA
Fuente: Autores
46
Difusión de Software Dañino: Tipo de amenaza que se presenta al filtrarse
aplicaciones con propósitos de robar, alterar y/o eliminar información.
Tabla 26. Valoración Amenaza Difusión de Software Dañino
Activos Dimensiones Frecuencia Degradación
Software Disponibilidad
Confidencialidad
Integridad
M MA
Fuente: Autores
Denegación de Servicios: Tipo de amenaza que ocurre en el momento en no es
posible acceder a los servicios por saturación.
Tabla 27. Valoración Amenaza Denegación de Servicios
Activos Dimensiones Frecuencia Degradación
Software
Hardware
Redes de Comunicaciones
Disponibilidad B MA
Fuente: Autores
Desastres Naturales: Tipo de amenaza que ocurre sin intervención de personas.
Tabla 28. Valoración Amenaza Desastres Naturales
Activos Dimensiones Frecuencia Degradación
Información
Hardware
Soportes de Información
Redes de Comunicaciones
Otros
Disponibilidad B MA
Fuente: Autores
47
Avería de Origen Físico o Lógico: Tipo de amenaza que ocurre cuando se
presenta una imperfección en el funcionamiento del sistema.
Tabla 29. Valoración Amenaza Avería de Origen Físico o Lógico
Activos Dimensiones Frecuencia Degradación
Software
Hardware
Soportes de Información
Disponibilidad B A
Fuente: Autores
Fallo de Servicios de Comunicaciones: Tipo de amenaza que ocurre ya sea por
el deterioro o la poca capacidad en la transmisión de datos.
Tabla 30. Valoración Amenaza Fallo de Servicios de Comunicaciones
Activos Dimensiones Frecuencia Degradación
Redes de Comunicaciones Disponibilidad B A
Fuente: Autores
Manipulación de Configuración: Tipo de amenaza que ocurre en la
configuración de cualquier activo, al otorgar privilegios de forma equivocada o al
realizar configuraciones inadecuadas.
Tabla 31. Valoración Amenaza Manipulación de Configuración
Activos Dimensiones Frecuencia Degradación
Información
Software
Hardware
Soportes de Información
Redes de Comunicaciones
Integridad
Disponibilidad
Confidencialidad
B A
Fuente: Autores
48
Fuego: Tipo de amenaza que ocurre en el momento en que se presenta un
incendio afectando los activos de la organización.
Tabla 32. Valoración Amenaza Fuego
Activos Dimensiones Frecuencia Degradación
Información
Hardware
Soportes de Información
Redes de Comunicaciones
Otros
Disponibilidad B MA
Fuente: Autores
Daños Por Agua: Tipo de amenaza que ocurre en el momento de una inundación
afectando los activos de la organización.
Tabla 33. Valoración Amenaza Daños por Agua
Activos Dimensiones Frecuencia Degradación
Información
Hardware
Soportes de Información
Redes de Comunicaciones
Otros
Disponibilidad B MA
Fuente: Autores
Errores de Mantenimiento/Actualización de Equipos: Tipo de amenaza que
ocurre al momento de realizar un mantenimiento o actualización de forma
inadecuada a los equipos.
Tabla 34. Valoración Amenaza Errores de Mantenimiento/Actualización de
Equipos
Activos Dimensiones Frecuencia Degradación
Hardware Disponibilidad
Integridad
B M
Fuente: Autores
49
Manipulación de los Equipos: Tipo de amenaza que ocurre al momento de
alterar el funcionamiento de los equipos para beneficios del atacante.
Tabla 35. Valoración Amenaza Manipulación de los Equipos
Activos Dimensiones Frecuencia Degradación
Hardware
Soportes de Información
Redes de Comunicaciones
Disponibilidad
Confidencialidad
B A
Fuente: Autores
Deficiencia en la Organización: Tipo de amenaza que ocurre cuando no existe la
claridad de los procesos y las actividades a realizar dentro de la organización (falta
de capacitación a los empleados).
Tabla 36. Valoración Amenaza Deficiencia en la Organización
Activos Dimensiones Frecuencia Degradación
Personas Disponibilidad B M
Fuente: Autores
Alteración Accidental de la Información: Tipo de amenaza que ocurre en el
momento de modificar accidentalmente la información ocasionando que se afecten
los datos de la organización.
Tabla 37. Valoración Amenaza Alteración Accidental de la Información
Activos Dimensiones Frecuencia Degradación
Información
Software
Soportes de Información
Redes de Comunicaciones
Integridad B A
Fuente: Autores
50
3.4 PLANIFICACIÓN PARA LA DETERMINACIÓN DEL RIESGO
Los riesgos son la probabilidad de daño sobre un activo, teniendo en cuenta su
frecuencia de ocurrencia versus la degradación que se pueda ocasionar sobre
dicho activo.
Con base en la metodología Magerit el nivel de riego se puede dividir en cuatro
zonas:
Zona 1: En este punto el nivel de riesgo es altísimo o crítico ya que son
riesgos muy probables y de muy alto impacto lo que realmente es preocupante
ya que se deben utilizar obligatoriamente salvaguardas para minimizarlos.
Zona 2: El nivel de riesgo es medio en este punto por lo cual se debe
considerar implementar salvaguardas para minimizarlos ya que se cubre un
rango de situaciones tanto probables como improbables, frente a un impacto
que puede ser alto como bajo.
Zona 3: El nivel de riesgo es bajo ya que la probabilidad de ocurrencia es
mínima y no existe un mayor impacto que pueda afectar los activos, por lo
tanto se puede emplear salvaguardas adicionales.
Zona 4: El nivel de riesgo es alto ya que aunque existen muy poca
probabilidad de ocurrencia el impacto ocasionado sobre el activo es muy alto.
Se debe utilizar obligatoriamente salvaguardas o políticas de seguridad para
minimizarlos o evitarlos.
51
Gráfica 4. Riesgo en función del impacto y la probabilidad
Fuente: Magerit V.3
3.4.1 VALORACIÓN DE LOS RIESGOS
Para el análisis del riesgo se establecieron los siguientes criterios de valoración
para el impacto repercutido sobre los activos y la probabilidad en que estos se
puedan ver afectados:
Tabla 38. Criterios de Valoración del Impacto
IMPACTO
Nivel Valoración
Muy Bajo 1
Bajo 2
Medio 3
Alto 4
Muy Alto 5
Fuente: Autores
52
Tabla 39. Criterios de Valoración de Probabilidad
PROBABILIDAD
Nivel Valoración
Muy poco Frecuente 0 - 0,1
Poco Frecuente 0,2 - 0,4
Normal 0,5 - 0,6
Frecuente 0,7 - 0,9
Muy frecuente 1
Fuente: Autores
La valoración del riesgo se determina con el producto del impacto y la probabilidad
donde se evidencia la zona de riesgo en el que se encuentra un activo que posee
una amenaza, la siguiente tabla determina el rango para el diagnostico de la
valoración del riesgo:
Tabla 40. Criterios de Valoración del Riesgo
VALORACIÓN DEL RIESGO = IMPACTO x PROBABILIDAD
VALOR ZONA RIESGO
0 - 1,4 3 Bajo
1,5 - 2,4 2 Medio
2,5 - 3,5 4 Alto
3,6 - 5,0 1 Muy Alto
Fuente: Autores
En el archivo Valoración de Riesgos ubicado en la carpeta Anexos dentro del CD,
se puede observar el análisis de la valoración de los riesgos determinados tanto
por activo como por amenaza. Esta valoración de riesgos es ubicada en una zona,
dependiendo la probabilidad de ocurrencia y el impacto repercutido sobre los
activos.
53
4. PLAN DE SEGURIDAD
El plan de seguridad constituye un documento fundamental que sirve como guía
para la seguridad de la información. Este plan de seguridad debe darse a conocer
a todos los empleados de las organizaciones dedicadas a prestar servicios de
Outsourcing de TI quienes son los principales involucrados en la manipulación de
la información.
4.1 DEFINICIÓN DEL SGSI
Con el SGSI se busca que las organizaciones dedicadas a prestar servicios de
outsourcing de tecnologías de la información sean más competitivas, para ello es
necesario contar con un sistema de seguridad con el fin de regular los principios
de la seguridad y brindar a sus clientes confiabilidad, disponibilidad e integridad en
la información que allí se maneja ya que este es uno de los activos más
importante de las compañías. Para ello es de gran importancia contar con la
colaboración de cada uno de los empleados que laboran dentro de este tipo de
organizaciones, ya que son los principales involucrados en la manipulación de la
información tanto de la propia organización como la de los clientes a quienes les
prestan los servicios.
4.2 ALCANCE DEL SISTEMA
Tras el análisis de las partes involucradas en el SGSI: las organizaciones
dedicadas a prestar servicios de outsourcing de tecnologías de la información se
determina que se deben establecer políticas que aplican a todo el personal que
laboran en este tipos de organización y tiene injerencia sobre todos los sistemas
que respaldan los servicios de soporte que prestan a sus clientes, incluyendo la
actualización del mismo modelo, además de los procedimientos establecidos para
operar en momentos de contingencia:
Habilidad de dar soluciones logísticas y estratégicas personalizadas del
más alto nivel.
54
Disponer de expertos en el área con capacidad de plantear e implementar
soluciones de una manera óptima.
El aporte metodológico para poder crear sistemas sostenibles de mejora.
Normas y políticas que controlen y regulen la información relevante de la
empresa.
Proveer de soluciones integrales, aportando valor diferenciador mediante el
apoyo especializado.
4.3 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
El objetivo principal del Sistema de gestión de seguridad de la información es
mantener un ambiente razonablemente seguro que permita proteger cada uno de
los activos que componen las líneas de negocio de las organizaciones dedicadas
a prestar servicios de outsourcing de tecnologías de la información para asegurar
credibilidad y confianza no solo a los clientes sino a todo el todo el equipo de
trabajo.
Como objetivos estratégicos del Modelo SGSI se plantea lo siguiente:
Establecer un documento para manejar todos los aspectos de seguridad
que afecten los servicios de la empresa, su estructura de operación y
gestión.
Definir guías para asegurar toda la información que se maneje dentro de la
organización con el fin de que esté protegida contra el riesgo de
divulgación, fraude y modificación.
Proteger los recursos de la empresa del uso indebido del personal durante
el desempeño de sus funciones.
Proteger las operaciones de procesamiento de información de incidentes de
hardware, software o fallas de red como resultado de uso indebido
accidental por falta de capacitación o intencional de los sistemas y aspectos
tecnológicos que componen la infraestructura de la empresa.
55
Proteger a los clientes que hacen uso de los productos y servicios de la
empresa, ante un evento que comprometa la seguridad de los activos de
información o ante un desastre.
Proteger la información transmitida o almacenada dentro de la empresa
contra pérdida o modificación. Se deben implementar mecanismos para
prevenir que usuarios y atacantes manipulen la información del servicio
almacenada en su estación de trabajo con el fin de obtener algún beneficio.
4.4 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.
Las políticas de seguridad son una forma de comunicarse con los directivos,
empleados y terceros que laboren o tengan una relación con la organización,
indicando a las personas y a todos los procesos cómo actuar frente a los recursos
informáticos de la organización a través de un conjunto de lineamientos que
establecen un compromiso de la organización para actuar de manera apropiada
en situaciones que vulneren la seguridad de la información.
Antes de establecer las políticas de seguridad de la información se tiene en cuenta
el análisis en la valoración de los riesgos y amenazas que pueden afectar la
seguridad de los recursos físicos, lógicos y de servicios. A partir de ahí se hace
una clasificación de las faltas a las que frecuentemente están expuestas las
organizaciones y se categorizan como faltas gravísimas, graves y leves que la
misma organización puede tener en cuenta para una posible sanción de acuerdo a
la gravedad como por ejemplo terminación del contrato, una suspensión
disciplinaria o un llamado de atención.
56
Faltas Gravísimas de Seguridad de la Información
Tabla 41. Faltas Gravísimas de Seguridad de la Información
NUMERO FALTAS DE SEGURIDAD DE LA INFORMACIÓN
1 Revelar información confidencial a terceros sin
autorización.
2
Robo, venta, transmisión de información como (Bases de
Datos, documentos físicos y/o lógicos en general) sin
previa autorización.
3 Alterar y/o modificar la información.
4 No realizar las copias de seguridad al servidor.
5 Scanning o pruebas no autorizadas en la red.
6 Alterar y/o modificar los equipos de cómputo.
7 Ataques intencionales para denegar servicios.
8 Daños intencionales realizados a un sistema.
9 Infección maliciosa a través de virus.
10 Ataques a uno o varios componentes de la red.
11
Utilizar para fines personales las aplicaciones y
desarrollos realizados en la organización.
12
Saltar y/o modificar los filtros y restricciones de los
sistemas de información como (Control de acceso,
internet, control de antivirus, control USB), todo permiso
que sea impuesto por la organización.
Fuente: Autores
57
Faltas Graves de Seguridad de la Información
Tabla 42. Faltas Graves de Seguridad de la Información
NUMERO FALTAS DE SEGURIDAD DE LA INFORMACIÓN
1 Asignación de roles y permisos a las aplicaciones sin
autorización.
2 Bloquear, desbloquear, crear y eliminar cuentas sin
autorización.
3 Compartir, transferir o generar contraseñas predecibles.
4 Intentar ingresar a través de la cuenta de otro funcionario.
5
No notificar cualquier hecho que atente contra la
confidencialidad, integridad o disponibilidad de la
información de la organización.
6
Dar a conocer debilidades en los filtros y restricciones de
los sistemas de información como (Control de acceso,
internet, control de antivirus, control USB) a otros
funcionarios.
7
No informar inmediatamente cuando se presenten
incidentes de robo y pérdida de información confidencial,
elementos o dispositivos que puedan contenerla.
8 Desactivar el sistema de antivirus.
9 No reportar los incidentes de seguridad.
10
Instalar o desinstalar software sin licencia o que no esté
autorizado.
11
No realizar pruebas de restauración a las copias realizadas
al servidor.
12 Incumplir con el acuerdo de confidencialidad firmado.
13 Fumar, comer o tomar bebidas en habitaciones donde se
ubiquen equipos computacionales.
14
Utilizar cámaras de video, cámara de fotografía, equipos
de grabación y medios removibles personales en el
perímetro de seguridad.
Fuente: Autores
58
Faltas Leves de Seguridad de la Información
Tabla 43. Faltas Leves de Seguridad de la Información
NUMERO FALTAS DE SEGURIDAD DE LA INFORMACIÓN
1
Utilizar para propósitos personales los sistemas de
información tales como correo electrónico, internet y en
general sistemas que pertenezcan a la organización.
2 Almacenar música, videos y demás recursos que
impliquen violación de derechos de autor.
3 Hacer caso omiso ante sospechas de virus en los
computadores.
4 Implementar aplicaciones sin el visto bueno de servicios
compartidos y seguridad informática.
5 No mantener los equipos y servidores en condiciones
ambientales adecuadas.
6 No bloquear la sesión del equipo cuando no está
presente.
7
Dejar abandonados elementos y/o documentos que
contengan información sensible para la organización en
los escritorios y/o áreas de trabajo, quedando al alcance
de personas mal intencionadas.
8 Ingresar a áreas no permitidas sin autorización.
9
Los colaboradores deberán asegurar el cierre de las
puertas de la oficina cuando no estén en uso.
10
Prestar el carnet de identificación de la empresa a una
persona diferente permitiendo con esto suplantar la
identidad del empleado.
Fuente: Autores
59
Con base en esta clasificación de faltas, en la norma NTC-ISO-IEC 27001:2013 se
especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información dentro del
contexto de la organización.
Las políticas de seguridad que se plantean en el Anexo 1 de este documento se
estructuran con ayuda del Anexo A (Normativo) Objetivos de Control y Controles
de Referencia de la norma NTC-ISO-IEC 27001:2013 el cual se utiliza como
referencia para la implementación de medidas de protección de la información.
60
5. CONTROLES Y/O SALVAGUARDAS
Según lo presenta la metodología Magerit, los controles y/o salvaguardas, son
aquellos procedimientos o mecanismos tecnológicos que permiten reducir
significativamente el riesgo al que está expuesto cada uno de los activos.
El efecto de los controles y/o salvaguardas es por un lado reducir la probabilidad
de que las amenazas se puedan materializar, las cuales se llaman salvaguardas
preventivas. Por otro lado existen las salvaguardas que limitan el daño que ya se
causó, es decir, la amenaza ya fue materializada pero se limita la degradación y
en algunos casos se puede tener una pronta recuperación del activo.
5.1 TIPOS DE PROTECCIÓN
Existen diferentes tipos de protección, así lo plantea Magerit:
Prevención
Una salvaguarda es preventiva cuando reduce las oportunidades de que un
incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son
los mismos.
Disuasión
Una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que
estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas
que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero
que no tienen influencia sobre los daños causados caso de que el atacante
realmente se atreva.
61
Eliminación
Una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son
salvaguardas que actúan antes de que el incidente se haya producido. No reducen
los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a
ocurrir.
Minimización del impacto / limitación del impacto
Una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de
un incidente.
Corrección
Una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara.
Son salvaguardas que actúan después de que el incidente se haya producido y
por tanto reducen los daños.
Recuperación
Una salvaguarda ofrece recuperación cuando permite regresar al estado anterior
al incidente. Son salvaguardas que no reducen las probabilidades del incidente,
pero acotan los daños a un periodo de tiempo.
Monitorización
Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que
ha ocurrido. Si se detectan cosas en tiempo real, se puede reaccionar atajando el
incidente para limitar el impacto; si se detectan cosas a posteriori, se puede
aprender del incidente y mejorar el sistema de controles o salvaguardas de cara al
futuro.
62
Detección
Una salvaguarda funciona detectando un ataque cuando informa de que el ataque
está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación
otras medidas que atajen la progresión del ataque, minimizando daños.
Concienciación
Son las actividades de formación de las personas anexas al sistema que pueden
tener una influencia sobre él. La formación reduce los errores de los usuarios, lo
cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo
pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o,
al menos, no menoscabándolo por una mala operación.
Administración
Se refiere a las salvaguardas relacionadas con los componentes de seguridad del
sistema. Una buena administración evita el desconocimiento de lo que hay y por
tanto impide que haya puertas desconocidas por las que pudiera tener éxito un
ataque. En general pueden considerarse medidas de tipo preventivo.
5.2 IDENTIFICACIÓN DE LOS CONTROLES Y/O SALVAGUARDAS
En la siguiente tabla se proponen controles y/o salvaguardas los cuales son
identificados para disminuir la posibilidad de que las amenazas lleguen a
materializarse.
Tabla 44. Identificación de Controles y/o Salvaguardas
Tipo Control y/o Salvaguarda Ref.
Concienciación
Inducción para el personal nuevo CO1
Capacitaciones constantes CO2
Cifrado de información confidencial CO3
Administración Análisis de Riesgos AD1
63
Planes de Continuidad AD2
Asignación de Roles a los empleados AD3
Asignación de Responsabilidades AD4
Contar con un administrador de Red AD5
Lineamientos en cada procesos AD6
Lineamientos Acceso proveedores AD7
Acuerdos de confidencialidad AD8
Documentación, normatividad legal y reglamentación de la organización vigente
AD9
Recuperación Backups RE1
Copias de Seguridad RE2
Monitorización
Historial de actividades MO1
Solicitud de autorización de actividades con alto grado de riesgo
MO2
Solicitud de autorización de extracción de activos
MO3
Inventario de Activos MO4
Registro de Actividades y Supervisión MO5
Auditorias MO6
Minimización del Impacto
Desconectar los equipos MI1
Seguros MI2
Detección
Anti-virus DE1
Anti-phishing DE2
Anti-pharming DE3
Cámaras DE4
Alarmas DE5
Canales de detección de incidentes DE6
Detectores de humo y/o fuego DE7
Prevención
Corta papeles PR1
Solicitud de Accesos PR2
Planeación de actividades PR3
Requisas PR4
Celaduría PR5
Candados PR6
Portabilidad del carnet de la organización PR7
Restricción de descargas PR8
Des-habilitación de puertos de los equipos PR9
Revisión de los procesos a realizar PR10
Implementación y documentación de políticas de seguridad
PR11
Restricción a la información de códigos fuentes PR12
64
de programas
Implementación control criptográfico PR13
Extintores PR14
Protocolos de seguridad PR15
Pruebas PR16
Gestión de Claves PR17
Corrección
Redundancia en la red CR1
Servicios de internet alternativos CR2
Plantas (Ups) CR3
Equipos secundarios CR4
Valoración y Tratamiento de incidentes de seguridad de la información
CR5
Fuente: Autores
5.3 OBJETIVOS DE CONTROL
Con base en el anexo A “Objetivos de Control y Controles” de la norma ISO
270001:2013 se clasifican los controles identificados anteriormente de acuerdo a
cada una de las políticas con una breve descripción y definiendo si ese control
aplica o no dentro de la organización para ser implementado o si por el contrario el
control ya se cumple dentro de la entidad.
Política de la Seguridad de la Información
Por parte de la dirección se debe brindar orientación y soporte para que se
garantice la seguridad de la información de acuerdo a los objetivos de la
organización teniendo en cuenta los reglamentos pertinentes.
Tabla 45. Objetivo de Control - Política de la Seguridad de la Información
Política de la Seguridad De La Información
Control Aplica
Descripción SI NO
PR10 X
Se deben realizar una revisión de cada uno de los procesos que se vayan a realizar ya que esto evita que se desarrollen errores los cuales pueden abrir brechas de vulnerabilidad
65
PR11 X
Todos los empleados deberán conocer las políticas de seguridad que se implementen, estas deben estar documentadas de forma clara y concisa con el fin de dar a conocer la importancia que tiene el manejo de la información
Fuente: Autores
Organización de la Seguridad de la Información
Establecer un modelo de referencia de gestión para controlar todas las
operaciones que se llevan a cabo dentro de la organización en cuanto a la
seguridad de la información.
Tabla 46. Objetivo de Control - Organización de la Seguridad de la Información
Organización de la Seguridad de la Información
Control Aplica
Descripción SI NO
AD1 X
La organización debe contar con un análisis de riesgos en donde se tenga claridad de las nuevas amenazas que se puedan presentar y de los nuevos controles a implementar
AD3 X Cada empleado debe contar con un rol dentro de la organización para que haya una claridad de las actividades a desempeñar.
PR3 X Se debe emplear una planeación de actividades teniendo en cuenta las brechas de seguridad que se puedan presentar
PR4 X Al ingresar o salir una persona de las instalaciones se hace necesario revisar los elementos que porta para evitar perdida de activos
PR5 X
La organización debe contar con celaduría las 24 horas del día los 7 días de la semana, con el fin de que proteja todo lo que se encuentra en interior de las instalaciones
MO2 X
Cada actividad que posea un alto grado de riesgo para la organización debe ser autorizada por personas idóneas las cuales determinen si la actividad se puede llevar a cabo o no
Fuente: Autores
66
Seguridad de Recursos Humanos
Los empleados deben tener claridad en cuanto a sus responsabilidades dentro de
la organización.
Tabla 47. Objetivo de Control - Seguridad de Recursos Humanos
Seguridad de Recursos Humanos
Control Aplica
Descripción SI NO
AD2 X
En caso de presentarse una falla que impida la realización de los procesos se debe contar con planes de continuidad donde se puedan restablecer las actividades.
AD8 X Debe existir acuerdos de confidencialidad para evitar que empleados hagan uso indebido de la información de la organización
MO1 X Se debe contar con un historial de actividades que permita tener una trazabilidad en cada uno de los procesos que se realizan
PR7 X Cada persona dentro de la organización debe portar en un lugar visible el carnet empresarial que lo identifique como empleado
Fuente: Autores
Gestión de Activos
Tener claridad de los activos que la organización maneja y por consiguiente
considerar una protección adecuada para cada uno de estos activos.
Tabla 48. Objetivo de Control - Gestión de Activos
Gestión de Activos
Control Aplica
Descripción SI NO
MO4 X Se debe contar con un inventario de todos los activos que la organización maneja
PR1 X Cuando un activo de información tangible ya no se requiere se debe destruir de forma adecuada evitando que no se pueda recuperar la información destruida
Fuente: Autores
67
Control de Acceso
Evitar el ingreso a zonas o equipos que no son permitidos por el alto grado de
confidencialidad de la información que se maneja.
Tabla 49. Objetivo de Control - Control de Acceso
Control de Acceso
Control Aplica
Descripción SI NO
PR2 X
Se debe contar con controles que permitan tener una solicitud de acceso como por ejemplo puertas con huella dactilar, claves de seguridad, permisos de ingresos, etc.
PR6 X Se debe contar con candados de gran seguridad que permitan evitar que los activos sean retirados de la organización
PR8 X Debe existir proxys que no permitan el ingreso a paginas de descargas o páginas que tengan algún tipo de riesgo para la organización
PR9 X Los equipos deben tener deshabilitados los puertos USB y unidades de cd para evitar la extracción de información confidencial
PR12 X Según el rol del empleado debe existir una restricción en los códigos fuentes de los programas y en el acceso a programas según su cargo
Fuente: Autores
Criptografía
Para proteger la información más delicada hay que asegurar el uso de
mecanismos de cifrado con lo cual se otorga un mayor grado de seguridad a la
información
Tabla 50. Objetivo de Control - Criptografía
Criptografía
Control Aplica
Descripción SI NO
PR13 X La organización debe contar con mecanismos de cifrado para la información que es más delicada
68
PR17 X Las claves que se manejen dentro de la organización debe tener una caducidad la cual permita estar realizando el cambio de clave periódicamente
CO3 X La información confidencial que se requiera enviar debe ir debidamente comprimida y protegida con una contraseña segura.
Fuente: Autores
Seguridad Física y del Entorno
Desarrollar controles de seguridad para el acceso físico donde se encuentren
ubicados los equipos informáticos y la información de la empresa, al igual que toda
el área perimetral de la estructura física de la organización.
Tabla 51. Objetivo de Control – Seguridad Física y del Entorno
Seguridad Física y del Entorno
Control Aplica
Descripción SI NO
MI2 X
La organización debe contar con pólizas de seguros en donde cubra cada uno de los activos de la organización para que en caso que suceda una catástrofe o un accidentes con alguno se tengan asegurados amparado
DE4 X La organización debe contar con cámaras para el monitoreo de las actividades al interior y alrededores de la organización
DE5 X La organización debe contar con alarmas que den alerta a cualquier tipo de amenaza que se presente
DE7 X Dentro de las instalaciones debe existir mecanismos que permitan detectar humo y/o fuego
PR14 X Cada departamento o área debe contar con implementos como extintores en caso de incendio
Fuente: Autores
69
Seguridad de las Operaciones
Garantizar la seguridad de las operaciones y procesos para el correcto
funcionamiento de los recursos de la información, comunicación y operaciones de
la organización.
Tabla 52. Objetivo de Control – Seguridad de las Operaciones
Seguridad de las Operaciones
Control Aplica
Descripción SI NO
DE1 X Cada equipo de la organización debe contar con programas que eviten que se filtren virus y por consiguientes dañen los equipos
DE2 X Cada equipo de la organización debe contar con programas que eviten la suplantación de identidad y por consiguiente alteración o robo de la información
DE3 X Cada equipo de la organización debe contar con programas que eviten el fraude en línea
AD4 X Cada área que posee la organización deberá contar con un responsable para la gestión y operación de los equipos de procesamiento.
RE1 X Se deben tener backups de toda la información para que en caso de pérdida de la información se pueda recuperar
RE2 X Se debe contar con copias de respaldo para que en caso de que suceda algún tipo de perjuicio con la información se tenga posibilidad de recuperación
MO5 X
Se debe contar con un registro de las actividades que se realizan diariamente con el fin de tener un control en cuanto a las personas que realizan dichas actividades, con su respectiva hora y fecha
MO6 X Se deben realizar al menos una auditoria al mes sobre cómo se están llevando a cabo los procesos y de qué manera se están realizando
Fuente: Autores
70
Seguridad de las Comunicaciones
Garantizar la protección de la información en las redes e instalaciones en el
procesamiento de información.
Tabla 53. Objetivo de Control – Seguridad de las Comunicaciones
Seguridad de las Comunicaciones
Control Aplica
Descripción SI NO
AD5 X La red de la organización debe estar controlada y administrada por personas calificadas.
MO3 X
En caso de requerir sacar algún equipo de comunicación de la organización se hace necesario realizar una autorización en donde se hagan una serie de especificaciones como responsable, fecha, artículo a retirar, etc.
Fuente: Autores
Adquisición, Desarrollo y Mantenimiento de Sistemas
Garantizar que la seguridad de la información sea una parte integral de los
sistemas de información durante todo el ciclo de vida.
Tabla 54. Objetivo de Control – Adquisición, Desarrollo y Mantenimiento de
Sistemas
Adquisición, Desarrollo y Mantenimiento de Sistemas
Control Aplica
Descripción SI NO
PR15 X
Deben existir una serie de protocolos en la manipulación y/o mantenimiento de los equipos lo cual permita la confiabilidad, integridad y disponibilidad del mismo
AD6 X Se debe contar con una estandarización y lineamientos para cada uno de los procesos que se realicen
PR16 X Cada procesos que se lleve a cabo debe contar con una serie de pruebas documentadas las cuales permitan diagnosticar fallas
Fuente: Autores
71
Relaciones con los Proveedores
Garantizar la seguridad de la información de cada uno de los activos de la
organización los cuales son accesibles a terceros.
Tabla 55. Objetivo de Control – Relaciones con los proveedores
Relaciones con los proveedores
Control Aplica
Descripción SI NO
AD7 X
Debe existir una documentación en donde se especifiquen lineamientos respecto al ingreso y restricciones que los proveedores tiene al interior de la organización
AD8 X Debe existir acuerdos de confidencialidad para evitar que proveedores o terceros hagan uso indebido de la información de la organización
Fuente: Autores
Gestión de Incidentes de Seguridad de la Información
Garantizar un enfoque coherente y eficaz para la gestión de incidentes de
seguridad de la información, incluida la comunicación sobre eventos de seguridad
y debilidades.
Tabla 56. Objetivo de Control – Gestión de Incidentes de Seguridad de la
información
Gestión de Incidentes de Seguridad de la Información
Control Aplica
Descripción SI NO
CR5 X Cada incidente de seguridad de la información debe ser priorizado para determinar el tratamiento que se le debe hacer conforme a su criticidad
DE6 X Se debe garantizar que haya canales de detección de incidentes para poder dar un tratamiento a tiempo
Fuente: Autores
72
Continuidad del Negocio
Garantizar un enfoque coherente y eficaz para la gestión de incidentes de
seguridad de la información, incluida la comunicación sobre eventos de seguridad
y debilidades.
Tabla 57. Objetivo de Control - Continuidad del Negocio
Continuidad del Negocio
Control Aplica
Descripción SI NO
MI1 X Para evitar daños en los equipos debe existir una buena práctica de desconexión de los equipos cuando sea requerido
CR1 X Debe existir redundancia en la red con el fin de que si existe un falla en uno de los equipos entre en funcionamiento el otro
CR2 X La organización debe contar con diferentes proveedores de internet para que si en uno de ellos existe una falla entre en funcionamiento el otro
CR3 X Se debe contar con plantas las cuales den continuidad al negocio en caso de fallas eléctricas
CR4 X Se debe contar con equipos secundarias para en caso de que existan fallas en unos puedan entrar en funcionamiento otro y se garanticen los procesos
Fuente: Autores
Cumplimiento
Evitar el incumplimiento de las obligaciones legales, estatutarias, de
reglamentación o contractuales relacionadas con seguridad de la información y de
cualquier requisito de seguridad.
Tabla 58. Objetivo de Control - Cumplimiento
Cumplimiento
Control Aplica
Descripción SI NO
AD9 X La organización debe contar con toda la documentación que es requerida por los entes de control
73
CO1 X Cada empleado nuevo debe contar con una inducción en la que se le explique cada uno de sus roles dentro de la organización
CO2 X
La organización deberá realizar capacitaciones constantes donde se explique la importancia de la seguridad de la información y donde se hagan conocer las políticas de seguridad para dar cumplimiento a estas
Fuente: Autores
74
6. CONCLUSIONES
Como resultado de la investigación presentada es posible concluir:
El diseño del Sistema de Gestión de Seguridad de la Información depende del Core del negocio, de los objetivos y necesidades de la organización, así como de su estructura. Estos elementos van a permitir definir el alcance de la implantación del sistema teniendo en cuenta las áreas que van a verse involucradas en el cambio.
La construcción de un SGSI con base a la norma ISO 27001 es una herramienta que permite analizar y ordenar la estructura de los sistemas de información facilitando la definición de procedimientos, políticas y de controles que van a proteger a la organización frente amenazas y riesgos que pueden poner en peligro el cumplimiento de los objetivos de negocio y de los tres pilares de la seguridad; la confidencialidad, integridad y disponibilidad al interior de la empresa, ante los clientes y las distintas partes interesadas en el negocio, garantizando disminuir de forma significativa el impacto de los riesgos y la seguridad de toda la información.
La metodología MAGERIT permite hacer un análisis de riesgo para reducirlos de la mejor manera posible, logrando identificar, analizar y valorar los activos que una organización posee. No toda la información de la que disponen las organizaciones tienen el mismo valor o está sometida a los mismos riesgos, por eso es importante gestionar el análisis de riesgos determinando vulnerabilidades y controles para evitar que las amenazas sean materializadas.
Con el resultado obtenido en el análisis y la gestión de riesgos se establecen unos controles y/o salvaguardas para los activos, orientados a mitigar los riesgos encontrados de manera que se encuentren por debajo del riesgo asumido por la organización. Estos se contemplan sobre la protección tanto físicas como lógica donde se encuentran los activos de información.
Las políticas que sientan las bases de la seguridad en la organización permiten especificar medidas, contemplando todos los aspectos orientados al acceso a la información, utilización de los activos físicos y lógicos, y el comportamiento que deben tener en caso de que ocurra un incidente. Su
75
elaboración debe ser en un lenguaje claro y sencillo con el objetivo de que cualquier funcionario de la organización lo pueda entender. Durante esta definición se realiza un estudio de la situación de la organización desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en función de las necesidades detectadas.
Los procedimientos de trabajo aparecen en detalles más técnicos y desarrollan los objetivos marcados en las políticas de seguridad de la información con el fin de reducir el riesgo y también el impacto o la probabilidad de ocurrencia. Estos deben ser conocidos por aquellas personas que lo requieran para el desarrollo de sus funciones.
76
7. RECOMENDACIONES
Es necesario considerar el ciclo de vida de la información, ya que lo que hoy puede ser crítico para la organización puede dejar de tener importancia con el tiempo.
Es imprescindible la revisión y actualización anual del documento de Políticas de Seguridad de la Información, esto debido a casos como: grandes incidentes de seguridad que se hayan presentado, después de una auditoría del sistema sin éxito o por cambios que afectan a la estructura de la organización.
La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.
Es importante considerar la opción de acudir a consultores y/o auditores especializados para que se realice los estudios pertinentes para el análisis del funcionamiento de la organización, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad.
77
8. BIBLIOGRAFÍA
Docout, Soluciones de ingeniería documenta, La importancia de la
información en las empresas, Actualizado el 26 de marzo de 2015,
disponible en: http://www.docout.es/2015/03/la-importancia-de-la-
informacion-en-las-empresas/ [Consultado: 14 de marzo de 2016]
Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De
Gestión De Seguridad De La Información Para Una Entidad Financiera De
Segundo Piso. Bogotá
Robinson Ruiz Muñoz. (2015). Elaboración de un plan de
implementación de la ISO/IEC 27001:2013 Para la empresa Pollos Pachito.
Gustavo Pallas Mega. (2009). Metodología de Implantación de un
SGSI en un grupo empresarial jerárquico. Uruguay
ISO 27000, La serie 27000, disponible en:
http://www.iso27000.es/download/doc_iso27000_all.pdf [Consultado: 03 de
abril de 2016]
Ingenia. Ingeniería e Integración Avanzadas. Implantación de un
SGSI con e-PULPO. 03 de abril de 2016, de e-pulpo, disponible en:
https://www.e-pulpo.com/sites/default/files/implantacion_de_un_sgsi_con_e-
pulpo_v1.00.pdf [Consultado: 03 de abril de 2016]
ISO 27000, El portal de ISO 27001 en Español, ¿Qué es un SGSI?,
2012, disponible en: http://www.iso27000.es/sgsi.html [Consultado: 03 de
abril de 2016]
administracionelectronica, Pae Portal Administración electrónica,
MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información, disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae
_Metodolog/pae_Magerit.html#.Vwb4RJzhAdV [Consultado: 03 de abril de
2016]
78
Glosario Sistemas de Gestión, ImagenWorld disponible en:
http://www.imagenworld.com/html/downloads/VARIOS/GLOSARIO%20SIST
EMAS%20DE%20GESTION.pdf [Consultado: 03 de abril de 2016]
gerencie, Ciclo PHVA, disponible en: http://www.gerencie.com/ciclo-
phva.html [Consultado: 03 de abril de 2016]
degerencia, Outsorcing, disponible en:
http://www.degerencia.com/tema/outsourcing [Consultado: 04 de abril de
2016]
79
ANEXOS
80
ANEXO 1
POLITICAS DE SEGURIDAD
Introducción
Un Sistema de Gestión de Seguridad de la Información es una decisión estratégica que debe involucrar a toda la organización, aunque en ocasiones sólo puede ser necesario en un departamento, una sede o área de negocio en específico y debe ser dirigida desde la dirección. Su diseño dependerá de los objetivos y necesidades de la organización, así como de su estructura. Asegurando que la selección de los controles de seguridad protejan los activos de información de manera apropiada y brinde las acciones de tratamiento de los incidentes de seguridad de la información a medida que se presenten. Propósito El principal propósito es agrupar las directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la organización. Teniendo en cuenta la protección de la información y la de sus clientes, relacionada con el soporte y entrega de los servicios de Outsourcing de TI. Explica qué es lo que está permitido y qué no; determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan e identifica los riesgos a los que está sometida la organización Alcance
El documento delimita lo qué se tiene que proteger, de quién y por qué a través de una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización que presta servicio Servicios de Outsourcing de TI. Está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas. Las políticas de seguridad que se plantean, se basan en un análisis estratégico considerando que la seguridad de la información es importante para garantizar la prestación de servicios de Outsourcing de TI, el cual representa directrices generales de alto nivel que deben ser adoptadas por todos los participantes en las líneas de negocio.
81
POLÍTICAS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer las políticas de seguridad con base a los objetivos de la organización, la misión y visión del negocio que permita garantizar la seguridad de la información con el propósito de preservar su confidencialidad, integridad y disponibilidad en forma continúa. Alcance: Deben ser conocidas, entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos. Mediante la implementación de buenas prácticas, preservar la
confidencialidad, integridad y disponibilidad de la información misional de la organización de acuerdo a las responsabilidades asignadas para la satisfacción de los clientes y la protección de la información contra amenazas internas y externas.
Las políticas de seguridad de la información se diseñan a partir de 6 principios
fundamentales:
Responsabilidad individual: Este principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos, aun si tiene o no conciencia de las consecuencias.
Autorización: Este principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida de seguridad, también facilita el soporte y mantenimiento de los sistemas.
Separación de obligaciones: Este principio indica que las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado.
Auditoría: Este principio permite verificar que las actividades que se realizan, las personas involucradas en ellos, así como las herramientas instaladas y su configuración son acordes al esquema de seguridad realizado y si éste es conveniente a la seguridad requerida por la organización.
82
Redundancia: Este principio trata sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos. Otros aspectos como la energía eléctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operación cuando el primario sufra una avería.
Las políticas de seguridad deben ser revisadas periódicamente de acuerdo al tiempo establecido en el momento de su aprobación o en caso de producirse cambios significativos para garantizar que son las adecuadas y suficientes.
Con el objetivo de que cualquier funcionario de la organización pueda interpretar de manera correcta las políticas, éstas deben ser documentadas en un lenguaje claro y sencillo.
Responsables: La Gerencia General: Asume el compromiso en forma permanente en la aprobación y mejora continua del Sistema de Gestión de la Seguridad de la Información. Vigencia: La presente política entrará en vigencia al momento de ser publicada. Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
83
A.6. POLÍTICA PARA LA ORGANIZACIÓN INTERNA DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer una estructura que permita administrar la gestión de la
seguridad de la información a través de un organización apropiada de las áreas,
equipos e individuos de trabajo.
Alcance: Definir los roles y las responsabilidades del personal de acuerdo a la función asignada que permitan gestionar y controlar la seguridad de la información. Política: Roles y responsabilidades:
El Gerente General: Busca la cooperación y colaboración de todos el personal involucrado en la seguridad de la información. - Tiene toda la responsabilidad, compromiso y autoridad para impulsar los
temas estratégicos respecto a la seguridad de la información.
- Asegura que se establezcan, implementen y mantengan los controles necesarios para el SGSI.
- Debe aprobar el documento de Políticas de Seguridad de la Información y socializarlo a toda la organización de manera oportuna y accesible.
Comité de Seguridad de la Información: Es un equipo de trabajo encargado de asegurar que exista dirección y apoyo gerencial para establecer, implementar y monitorear los planes y controles de Seguridad de la Información que requiera la organización. - Aprueban el Manual de Seguridad de la Información de la organización y el
presupuesto para desarrollar los planes de acción que permitan materializar las estrategias definidas.
Responsable de Seguridad de la Información: Es un equipo de trabajo donde el encargado debe ser un asesor especialista en temas de Seguridad de la Información para el Comité de Seguridad de la Información. - Son responsables de analizar los riesgos y las vulnerabilidades de los
activos de información de la organización y de los clientes.
84
- Proponer medidas tecnológicas y de gestión a implantar para materializar la
estrategia de Seguridad de la Información.
- Mantener contacto apropiado con autoridades pertinentes y grupos especializados en Seguridad de la Información en caso de encontrar incumplimiento a la presente política de seguridad de la información.
- Son encargados de comunicar y realizar las capacitaciones a todos los empleados y contratistas de la organización sobre los controles y las políticas de seguridad establecidas.
- Delegar funciones de seguridad a los usuarios de las diferentes áreas de la organización de acuerdo a la clasificación de la información.
Responsables: Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización. Dueños de Procesos: Cumplir las disposiciones de esta política. Oficina Calidad: Velar por el mantenimiento del presente documento y su posterior actualización. Vigencia: La presente política entrará en vigencia al momento de ser publicada. Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
85
A.7. POLÍTICA DE SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Objetivo: Asegurar que durante la selección del recurso humano, los candidatos sean aptos para las funciones a desarrollar, que conozcan y entiendan cuáles son sus responsabilidades, reduciendo el riesgo de robo, fraude y mal uso de las instalaciones y medios. Alcance: Definir de forma clara los lineamientos para el manejo y control de los aspectos mínimos de seguridad de la información relacionados con la actividad laboral de los empleados de la organización y/o terceros que tengan acceso a recursos de información. Políticas:
Antes de la contratación
- Los candidatos deben ser investigados, usando los contactos de referencia de empresas anteriores en la hoja de vida, verificando los antecedentes judiciales, disciplinarios y fiscales. Este proceso deberá buscar veracidad de la hoja de vida, confirmación de certificaciones académicas y profesionales, así como de los documentos de identidad presentados.
- Las responsabilidades de la seguridad se deben definir antes de la contratación laboral mediante la asignación clave de acceso, contrato de confidencialidad, aplicativa con inducción, las funciones, términos y condiciones del empleo.
Durante la contratación
- Asegurar que los empleados, contratistas y usuarios de terceras partes conozcan y cumplan con las responsabilidades que adquieren para proteger la información, garantizar la seguridad y el buen uso, así como mantener confidencialidad de la información a la que tienen acceso.
- Los empleados, contratistas y usuarios de terceras partes deben firmar las cláusulas contractuales para el cumplimiento de sus funciones, y responsabilidades que tiene sobre los activos que utilizará, entre otros.
86
- En cuanto a las condiciones de la seguridad de la información deberán ser comunicadas a cada empleado de la organización a través del acuerdo de confidencialidad.
- Todo el personal que ingrese vinculado de manera temporal y/o indefinida a
la organización deben asistir de manera obligatoria durante su inducción a la capacitación en Seguridad de la Información.
- Los empleados y contratistas están obligados a participar en la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. Todos los empleados y/ contratistas tendrán acceso permanente a las políticas.
- Los Responsables de Seguridad de la Información realizarán las capacitaciones a todos los empleados y contratistas de la organización de sensibilización, educación y formación adecuada y actualizaciones periódicas en las políticas y procedimientos de la organización, que sea relevante para su función laboral.
- La responsabilidad de la información deberá estar a cargo de una sola persona para evitar conflicto en cuanto a responsabilidades. Cumplir las disposiciones de esta política.
- Se aplicaran sanciones disciplinarias al empleado que haya cometido una violación de la seguridad de la información.
Terminación o cambio de puesto de trabajo
- Es responsabilidad de la Coordinación de Talento Humano asegurar que en el evento de la terminación del contrato y/o cambio de cargo al interior de la organización, el proceso de finalización sea formalizado para que el empleado realice la devolución de todos los activos de información y elementos asignados durante su relación.
- La vigencia de los derechos de acceso y su revocatoria, debe estar relacionados con la terminación contractual del empleado y/o cambio del rol en la organización.
- Es necesario reconsiderar los derechos de acceso en un cambio de rol, estos deberán ser modificados, incluyendo acceso físico y lógico, llaves, tarjetas de identificación.
87
Responsables:
Área de Recursos Humanos: Responsable de la gestión de los recursos humanos de la organización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
88
A.8. POLÍTICA PARA LA GESTIÓN DE ACTIVOS Objetivo: Identificar y proteger adecuadamente los activos de información contra las diferentes amenazas a las que puede estar expuesta la organización. Alcance: Todos los activos de información serán clasificados según el contenido y su importancia, así como identificar a los propietarios de los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. Políticas: Responsabilidad sobre los activos
- Los activos deben ser identificados, tener asignado un responsable, tener
una clasificación respecto a la seguridad y ubicación vigente (frente a pérdida o daño).
Las responsabilidades son las siguientes:
Propietario del Activo: Es la persona o área responsable del activo, de valorar su criticidad y garantizar su seguridad. Administrador de Seguridad del Activo: Es la persona o área encargada de la instalación y mantenimiento de los controles necesarios para proteger la información de acuerdo con el nivel de protección asignado por el Propietario.
Gestor del Activo: Es la persona o área encargada de verificar la implantación de las medidas de seguridad y controles adoptados.
- Para establecer la salvaguarda de un activo de información se debe tener
en cuenta el tipo de activo: Hardware, software, información, red, equipamiento auxiliar, instalación, servicios y de personal.
- Los activos de información de la organización deben ser utilizados únicamente para propósitos del negocio.
- Para los casos en que se requiera usar equipos como portátiles y teléfonos móviles por fuera de las instalaciones de la organización se deberá proporcionar la seguridad física, el control de acceso, copias de respaldo y
89
la protección de antivirus, necesarias para asegurarse que no pone en riesgo la información.
- Todos los usuarios con un vínculo laboral deben tener un adecuado y aceptable uso de la información y de los activos asociados a dichas actividades, incluyendo el uso adecuado del correo electrónico, el uso controlado de Internet y el uso adecuado del teléfono.
Inventario de activos
- Los activos de información deben clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.
- Los activos relacionados con la información y las instalaciones de procesamiento de información deben ser identificados y registrados dentro del inventario de activos de la organización.
- Los empleados y contratistas deberán devolver los activos de la organización que tenían en su poder a la terminación de su empleo, contrato o acuerdo.
Clasificación de la información
Criterios de Clasificación: Sirven para valorar los activos de información Autenticidad: Establece el grado de identidad del origen y destino, y asegura que sea quién dice ser. Confidencialidad: Garantiza que la información sólo sea revelada por y a las personas autorizadas. Integridad: Previene que la información sea modificada o destruida por personas no autorizadas. Disponibilidad: Garantiza que los usuarios autorizados tengan acceso a la información cuando lo necesiten. Físicos: Conformado por todo elemento físico que sostenga la información de la red, como computadores, impresoras, routers, servidores, switches, entre otros.
90
Lógicos: Son todos aquellos recursos que contienen la información de la organización, como Bases de Datos, listados, inventarios, documentos entre otros. Servicios: Son principalmente programas o aplicaciones que nos permite realizar algún tipo de trabajo, como el correo electrónico o los procesadores de texto, entre otros. Documentos: Es la información impresa que por requisitos definidos necesita ser verificable físicamente.
- Todos los activos de información identificados y listados en un inventario deben ser etiquetados de acuerdo a la clasificación según su contenido y la importancia que le haya dado la organización, esta clasificación será realizada por el responsable del activo de información.
- La información se clasificará con base al nivel de riesgo a que está expuesta, a los requisitos legales, su privacidad, la criticidad y sensibilidad a la divulgación o modificación no autorizada.
- Cada nivel de clasificación tendrá un conjunto de controles determinados por la organización para proporcionar un nivel de protección de la Información apropiado y consistente sin importar el medio, formato o lugar donde se encuentre el activo.
Manejo de los soportes de almacenamiento extraíbles
Proteger la información almacenada dentro de los servicios de la organización contra pérdida o corrupción intencional.
- Los puertos USB y unidades de DVD no deben permitir la copia de archivos.
- El intercambio de información entre empleados se debe realizar por medio de la carpeta pública de la red.
- En el caso de requerir transportar información específica a las instalaciones
de un cliente, se debe pedir autorización de copiado de información al área de seguridad.
91
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
92
A.9. POLÍTICA DE CONTROL DE ACCESO Objetivo: Establecer controles de seguridad para el acceso físico y lógico, y preservación de los activos de información. Alcance: Establecer controles de acceso para asegurar los entornos abiertos y cerrados evitando el acceso no autorizado a los activos de información y controlar las condiciones medioambientales requeridas para el funcionamiento de la infraestructura tecnológica que soporten los Servicios de Outsourcing de TI de la organización.
Políticas: Requisitos de negocio para el Control de acceso
Controlar el acceso no autorizado a las instalaciones de la organización:
- Se debe implementar procedimientos formales para controlar la asignación de autorización de acceso a los sistemas y servicios de información.
- Los responsables de las áreas seguras tienen la obligación de vigilar y
garantizar que se cumplan las siguientes medidas de seguridad: - El acceso a áreas seguras requieren de un esquema de control de
acceso, como tarjetas, llaves o candados. - El responsable de un área segura debe asegurar que no ingresen
cámaras fotográficas y/o de video, y teléfonos móviles con cámara. - Se debe utilizar planillas para registrar la entrada y salida del personal. - Si en las áreas seguras hay puntos de acceso inalámbricos, puertas de
enlace a redes y terminales de red se debe restringir el acceso.
Control de acceso a las redes y servicios asociados
- Se debe establecer mecanismos de autenticación apropiados para usuarios y equipos.
93
- La identidad de cada usuario es única y el usuario es responsable por sus acciones mientras utiliza cualquier recurso de información, así que por ninguna circunstancia podrá compartir el usuario y password que se le ha asignado para que terceros puedan acceder. El incumpliendo a este lineamiento será tratado como una violación de la seguridad de la información y asumirá la falta.
- Se debe controlar el acceso a los servicios de red tanto internos como externos.
- Los empleados de la organización no deben utilizar herramientas para obtener información de la red como detección de puertos y servicios.
Gestión de acceso de usuario
- Establecer procedimientos formales para el registro y eliminación de usuarios, que permita otorgar y quitar los derechos de accesos a los sistemas y servicios de información.
- Solo el responsable de la información está autorizado a solicitar la creación de un usuario, este identificador de usuario debe ser asociado a un único individuo. La solicitud debe estar relacionada con los tipos de permiso y acceso a las aplicaciones, y los recursos a los cuales no va a tener acceso.
- Cuando un empleado haya finalizado su relación contractual con la organización la eliminación de la cuenta de usuario debe ser realizada inmediatamente.
- Definir un único Id de usuario con la estructura (Nombre. Apellido) de manera que se pueda vincular y hacer responsables a los usuarios por sus acciones.
- Se debe revisar regularmente los derechos de acceso otorgados a los usuarios.
- Cada usuario tiene que identificarse y autenticarse antes de acceder a un recurso de tecnología por medio de un usuario y una contraseña.
- Los usuarios sólo podrán acceder a los recursos a los cuales están autorizados.
94
- Los eventos de ingreso y autenticación de usuarios serán registrados y monitoreados por los responsables de la información.
- Periódicamente verificar y cancelar las cuentas de usuarios que ya no se encuentran activos.
Responsabilidades del usuario
- El empleado recibirá una contraseña junto con la cuenta de usuario para
acceder a los recursos informáticos de la organización.
- Los empleados no deberán utilizar contraseñas que resulten predecibles o fácil de adivinar como contraseñas en blanco, secuencias comunes de caracteres y datos personales. Debe mezclar minúsculas y mayúsculas, mezclar letras con números, signos de puntuación y símbolos especiales como $ % &”.
- Las contraseñas no deberán ser escritas o almacenadas en lugares visibles
o cerca de los sistemas a los cuales permiten el acceso.
- Se prohíbe compartir la contraseña, esta es personal e intransferible.
- Todos los empleados de la organización deben dejar siempre sus equipos bloqueados en caso de no estar en su lugar de trabajo.
Control de acceso al sistema y aplicaciones
- Debe ser obligatorio el cambio de la contraseña en el primer ingreso
garantizando así su responsabilidad y único conocimiento sobre la misma.
- La contraseña debe tener una longitud mínima de 8 (ocho) caracteres alfanuméricos.
- El usuario será bloqueado si en treinta días no registran ninguna actividad.
- Después de tres intentos no exitosos de digitar la contraseña el usuario será bloqueado de manera inmediata y deberá solicitar el desbloqueo al área de sistemas.
95
- Se debe establecer controles para restringir la instalación de programas y aplicaciones que podrían ser capaces de anular el sistema.
- Para otorgar los permisos de trabajo remoto a empleados de la organización, antes se debe firmar un acuerdo de confidencialidad que proteja la información sensible de la organización.
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que sea encontrado realizando actividades que incumplan estas políticas podrá ser investigado y puede ser causal de sanciones, sin perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
96
A.10. POLÍTICA PARA EL USO DE CIFRADO Objetivo: Establecer los controles para el uso adecuado y efectivo de la criptografía para proteger los procesos que implican el manejo de información crítica dentro de la organización y la comunicación hacia redes externas por medios inseguros. Alcance: Definir en forma clara los controles criptográficos a ser utilizados para la protección de la información crítica y garantizar la confidencialidad, integridad y disponibilidad.
Políticas: Uso de Controles Criptográficos
- Se utilizarán controles criptográficos para la protección de claves de acceso a sistemas, datos y servicios.
- La información confidencial enviada fuera de la organización debe ir en
archivo comprimido y protegido con una contraseña segura.
- Para la Información que se considera crítica, confidencial o restringida,
debe estudiarse la posibilidad de ser resguardada en forma cifrada a través de aplicaciones del mismo sistema operativo.
- Se utilizarán protocolos de cifrado de la información basados en herramientas comerciales como Microsoft para intercambio de información en archivos de Word y Excel.
- Establecer controles criptográficos para los equipos de cómputo portátiles de los colaboradores, con el fin de garantizar la confidencialidad de la información allí contenida.
Gestión de claves
- El uso, protección y duración de las claves criptográficas se realiza a través
del directorio activo durante todo su ciclo de vida.
97
- La clave para abrir el archivo se deberá brindar al destinatario final por medio del canal de comunicación establecido entre las partes.
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Seguridad: Establecen cuales son las funciones y obligaciones del responsable de Seguridad
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que sea encontrado realizando actividades que incumplan estas políticas podrá ser investigado y puede ser causal de sanciones, sin perjuicio de las acciones disciplinarias y/o jurídicas que puedan ser adelantadas por la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
98
A.11. POLÍTICA PARA LA SEGURIDAD FÍSICA Y AMBIENTAL Objetivo: Establecer controles de seguridad para el acceso físico donde se encuentren ubicados los equipos informáticos y la información de la empresa, al igual que toda el área perimetral de la estructura física de la organización. Alcance: Definir los controles de acceso a las instalaciones físicas de la organización por el mismo personal y por el personal externo, así como la protección contra incidentes naturales y/o industriales. Políticas: Áreas seguras
- Las áreas seguras se deben proteger mediante controles físicos de entrada apropiados para garantizar el acceso por personas no autorizadas, divulgación, daño, modificación o robo de información.
- El perímetro de las áreas que protegen y contienen los activos de
información y sus instalaciones de procesamiento deben tener solidez física, las puertas exteriores con el control de accesos, mecanismos de control, alarmas, cámaras y las puertas siempre deben permanecer cerradas.
Controles de acceso físico
- Las oficinas e instalaciones donde haya acceso a terceros (visitas) no
deben permanecer abiertas cuando los funcionarios se levantan de sus puestos de trabajo, así sea por periodos cortos de tiempo.
- Todo el personal mientras permanezca en las instalaciones deben portar el carnet que los identifica como funcionarios y/o contratistas de la organización.
- Los visitantes que ingresan a la organización deben portar la identificación, ser recibidos y estar siempre acompañados por la persona a quien visitan durante su permanencia en las instalaciones de la organización.
99
Protección contra las amenazas externas y ambientales
- El grupo responsable de la Seguridad de la Información debe monitorear las variables de temperatura y humedad de las áreas de procesamiento de datos.
- Se debe utilizar un sistema de aire acondicionado para mantener los niveles de temperatura y humedad del lugar donde estarán ubicados los equipos de procesamiento de la información.
- Los equipos de procesamiento de la información deben estar ubicados en lugares que los proteja del riesgo de accesos no autorizados y de amenazas como fuego, inundaciones, terremotos, explosiones y otras formas de desastres naturales.
- Los equipos de procesamiento de información deben protegerse de acuerdo al nivel de sensibilidad que tengan asignado, de fallas y otras interrupciones causadas por falta de mantenimiento de los equipos de soporte, cortes de energía eléctrica y variaciones de voltaje.
El trabajo en áreas seguras
- Se debe instalar el número suficiente de detectores de humo en los centros
de procesamiento para detectar indicio de incendios.
- Se debe tener extintores vigentes debidamente aprovisionados y con capacidad de detener fuego generado por equipos eléctricos, papel o químicos especiales.
- El cableado de energía y lógico deben estar protegidos de interferencias electromagnéticas producidas por equipos eléctricos.
- Los cables de potencia deben estar separados de los cables de
comunicación, siguiendo normas técnicas.
- La instalación y el mantenimiento de cables de energía y líneas de telecomunicaciones, se realizará por personal capacitado y certificado que cumpla con los estándares de calidad y seguridad de la industria.
100
- Se debe realizar mantenimiento sobre los equipos de acuerdo a las recomendaciones del fabricante y se debe realizar únicamente por soporte técnico o personal autorizado.
- Se debe hacer mantenimiento y uso correcto de las UPS de tal forma que se garanticen su operación el suficiente tiempo para realizar las funciones de respaldo en servidores y aplicaciones.
Seguridad de los Equipos - Los equipos, la información o el software no saldrán de las instalaciones de
la organización sin previa autorización.
- Los equipos de cómputo deben tener un correcto mantenimiento para asegurar su continua disponibilidad e integridad.
- Se debe aplicar medidas de seguridad para los activos de información que utilicen para trabajar fuera de las instalaciones de la organización, teniendo en cuenta los diferentes riesgos.
- Todos los medios de almacenamiento o equipos que sean dados de baja o reutilizados deben ser revisados para garantizar que cualquier dato sensible y licencias de software sean eliminados de forma segura.
- Los puestos de trabajo deben estar limpios de papeles, soportes de almacenamiento extraíbles.
- Todos los computadores usados para procesar información sensible, se deben bloquear o apagar cuando no estén en uso.
- Debe estar prohibido comer, beber, y fumar mientras se hace uso y/o está cerca de los computadores, impresoras, fotocopiadoras, quemadores de CD o DVD, o algún equipo de comunicación.
- Los dispositivos utilizados para imprimir o copiar información sensible como impresoras, fotocopiadoras o máquinas de fax, deben ubicarse dentro de áreas seguras o bajo la supervisión de un empleado designado.
101
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados. Área de Recursos Humanos: Responsable de la gestión de los recursos humanos de la organización.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
102
A.12. POLÍTICA DE PROCEDIMIENTOS Y RESPONSABILIDADES PARA LA OPERACIÓN Objetivo: Establecer procedimientos y responsabilidad para asegurar el correcto y seguro funcionamiento de los recursos de la información, comunicaciones y operaciones de la organización. Alcance: La gestión de la seguridad lógica y física a través de los procedimientos operativos para la administración de la infraestructura y los procesos que soporten los Servicios de Outsourcing TI de la organización.
Políticas: Responsabilidades y Procedimientos de operación
- Se establecerán responsabilidades y procedimientos formales para la
gestión y operación de los equipos de procesamiento de información.
- Los procedimientos de operación deberán ser documentados y puestos a disposición de los usuarios que los necesiten.
- Se debe garantizar la actualización del documento de los procedimientos relacionados con la operación y administración de la plataforma tecnológica.
- Los responsables de la seguridad de la información deben proveer a los funcionarios los manuales de configuración y operación de los sistemas operativos, bases de datos, servicios de red y sistemas de información y de todos los componentes de la plataforma tecnológica de la organización.
- Los responsables de los activos de información tecnológicos y recursos informáticos deben solicitar formalmente los requerimientos de nuevas funcionalidades, servicios o modificaciones sobre los sistemas de información.
- Se debe asegurar que todo cambio realizado en los activos de información tecnológicos y los recursos informáticos como modificación de accesos, mantenimiento de software, actualización de versiones o modificación de parámetros están soportados por las solicitudes realizadas por los responsables de los activos, es controlado por los responsables de la seguridad de la información, es debidamente autorizado y mantiene los niveles de seguridad.
103
Protección contra código malicioso
- Por protección se debe emplear controles y medidas de detección, prevención y recuperación en contra el código malicioso, abarcando al menos servidores, computadores portátiles y estaciones de trabajo.
- Se debe garantizar que el software utilizado para mitigar los virus informáticos cuenta con las licencias respectivas, garantizando su autenticidad y su periódica actualización.
- Los responsables de los activos de información tecnológicos y recursos informáticos deben garantizar que las descargas de archivos adjuntos de los correos electrónicos o descargas de internet, provienen de fuentes conocidas y seguras.
- Los responsables de los activos de información tecnológicos y recursos informáticos deben ejecutar el software antivirus sobre archivos y/o documentos que son abiertos y/o ejecutados por primera vez.
- Se debe socializar y concientizar al personal acerca de los riesgos a los que se exponen los activos de información por los virus falsos y de qué hacer al recibirlos.
Copias de seguridad de la información - Se deben realizar periódicamente copias de seguridad de la información.
- Las copias de seguridad de la información deben ser almacenadas y
respaldadas interna y/o externamente a la organización de tal forma que se garantice su disponibilidad.
- Se debe establecer procedimientos para respaldar la información, de manera que ésta pueda ser recuperada de manera oportuna en caso de presentarse un desastre o falla de los dispositivos.
- Los responsables de los activos de información tecnológicos y recursos informáticos deben velar por el cumplimiento de los procedimientos de respaldo de la información.
- Se debe probar periódicamente los medios de resguardo con el fin de
garantizar la confiabilidad de los mismos en caso de una eventualidad.
104
- Se debe verificar y probar periódicamente los procedimientos de restauración para garantizar su eficacia y cumplimiento dentro del tiempo asignado en la recuperación en los procedimientos operativos.
Registro de actividad y supervisión
- Se debe llevar los registros de eventos que se graban de las actividades del personal, excepciones, fallas y eventos de seguridad de la información. Estos registros se deben verificar regularmente y deben ser protegidos.
- Los relojes de todos los sistemas de informática debe ser sincronizados a una fuente de tiempo de referencia única.
- Se debe registrar las fallas comunicadas por los responsables de los activos de información, con respecto a problemas con el procesamiento de la información o los sistemas de comunicaciones y estas deben ser revisadas para garantizar que fueron resueltas satisfactoriamente.
- Se debe implementar procedimientos para controlar la instalación de software en los sistemas operativos garantizando su integridad.
Consideraciones de las auditorías de los sistemas de información - Se debe establecer medidas para minimizar el impacto de las actividades
de auditoría en los sistemas operativos.
- La organización se debe apoyar en el área encargada del control interno y a través del procedimiento de auditoría interna verificar el cumplimiento de los requisitos las normas ISO, la normatividad legal vigente, los requisitos internos del proceso y los procedimientos.
- Los requisitos de auditoría y las actividades relacionadas con la verificación de los sistemas operativos deben ser planificados y acordados para reducir al mínimo las interrupciones de los procesos.
105
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados. Área de Control Interno: Vigilar los acuerdos con las normas legales vigentes.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
106
A.13. POLÍTICA PARA LA SEGURIDAD EN TELECOMUNICACIONES Objetivo: Definir los controles y medidas para administrar la infraestructura y proteger la información crítica que viaja por las redes. Alcance: Garantizar la seguridad de la información en las redes y sus instalaciones de apoyo de procesamiento de información de los servicios de Outsourcing TI de la organización.
Políticas: Gestión de la seguridad en las redes
- Las redes deben ser controladas y administradas para proteger la información en los sistemas y aplicaciones.
- Se debe establecer los procedimientos y responsabilidades para la administración del equipamiento remoto.
- El área de sistemas debe proponer restricciones de acceso a ciertos servicios que mejoren el rendimiento de la red.
- Los recursos disponibles a través de la red deben ser de uso exclusivo para actividades de la organización.
- Se debe actualizar la documentación como los mapas topológicos de red donde enmarque los puntos de red y su interconexión, puntos de enlaces, velocidades, dispositivos, nivel de ancho de banda.
- Se debe controlar y regular los intercambios de información y software con otras organizaciones de acuerdo a la legislación vigente, con el fin de evitar la pérdida, modificación o mal uso.
- Se debe plantear la opción de que la plataforma tecnológica de la organización que soporta los sistemas de Información este separada en segmentos de red físicos y lógicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet.
107
- Los administradores de los recursos tecnológicos son responsables de garantizar que los puertos físicos y lógicos estén siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.
Intercambio de información con partes externas
- Se debe establecer procedimientos para mantener la seguridad de la
información al momento de ser transferida, comunicada a un tercero o al salir de sus instalaciones según necesidad de la actividad o proceso particular a través del uso de todo tipo de instalaciones de comunicación dentro de la organización.
- Se debe realizar con base en estándares y utilizando mecanismos criptográficos de clave pública, el intercambio electrónico de información utilizando el canal de internet institucional que garanticen la integridad, confidencialidad, autenticidad y aceptación de la información.
- Los responsables del intercambio de información con entidades externas
deben definir en compañía de los responsables de la seguridad de la información la correcta gestión e intercambio seguro de la misma.
- Se debe revisar, identificar y documentar periódicamente los diferentes requisitos para los acuerdos de confidencialidad que reflejen las necesidades de la organización para la protección de la información.
- No se debe dejar información crítica en las impresoras, fotocopiadoras y fax, ya que a estas puede acceder personal no autorizado.
- El uso de procedimientos de monitoreo son necesarios para asegurar que los usuarios realicen actividades solamente autorizadas.
- Se deben separar los ambientes de desarrollo, producción y soporte para prevenir el riesgo de accesos o cambios no autorizados a los sistemas que se encuentran en operación.
108
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. El usuario que realice cualquier tipo de acción o comportamiento que vaya en contra de la seguridad física y/o lógica de los recursos asociados a la red, podrá acarrear sanciones disciplinarias, civiles y/o penales. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
109
A.14. POLÍTICA PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Objetivo: Definir los controles y medidas para asegurar una adecuada protección en el desarrollo, mantenimiento y adquisición de los programas de aplicación de la organización que se utilizan en el soporte de las funciones críticas del negocio. Alcance: Garantizar que la seguridad informática es una parte integral de los sistemas de información a través de todo el ciclo de vida.
Políticas: Requisitos de seguridad de los sistemas de información
- La organización debe velar porque los aspectos relacionados con la
seguridad de la información sean incluidos en los requerimientos para los nuevos sistemas de información o mejoras a los sistemas de información existentes, esto incluye la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por el usuario.
- Los responsables de suministrar soluciones deben crear y mantener una metodología que controle el ciclo completo de adquisición, desarrollo, mantenimiento y disposición seguro de soluciones de información e infraestructura.
- Los requerimientos de seguridad de la Información deben ser identificados antes del diseño de soluciones de información e infraestructura.
- Se debe preservar la confiabilidad de la información tratada por las aplicaciones aprobadas por la organización desde su ingreso, transformación y entrega al negocio.
- Se deben prevenir pérdidas, modificaciones o mal uso de los datos de usuarios en las aplicaciones de los sistemas, utilizando controles y seguimientos de auditorías o registros de actividad.
- Debe ser protegida la información relacionada en las transacciones de servicios de aplicación para prevenir mal enrutamiento, transmisión incompleta, alteración, divulgación y reproducción no autorizada del mensaje.
110
Seguridad en los procesos de desarrollo y soporte
- Se debe establecer y aplicar reglas para el desarrollo de software de la organización.
- Los cambios en los sistemas dentro del ciclo de desarrollo deben cumplir con los procedimientos formales de control de cambios.
- Se debe establecer estándares para las metodologías de desarrollo y para los lenguajes de programación.
- Todos los proyectos de desarrollo de sistemas realizados con personal interno o solicitados a terceros, deben ser programados con los lenguajes aprobados y definidos en los estándares de programación de la organización.
- Se debe revisar y probar que no haya impacto negativo en las operaciones de la organización o de la seguridad cuando se cambian las plataformas de operación y/o las aplicaciones críticas.
- Se debe definir responsabilidades de supervisión y monitoreo por la organización sobre el desarrollo de software a través de Outsourcing.
- Se deben aplicar los principios para ingeniería de sistemas segura, se
documentara y aplicara en la implementación de cualquier sistema de información.
- Se debe planificar y organizar la utilización de los recursos alineándolos con los requerimientos del negocio, para un uso eficiente y responsable.
- Se debe definir y establecer formalmente la documentación requerida en las diferentes etapas de ciclo de vida de los sistemas.
- Se debe contar con un grupo de personas el cual debe autorizar la creación, adaptación o adquisición de software.
- Se deben llevar a cabo las pruebas de la funcionalidad durante el desarrollo del sistema.
- Se debe cumplir con los formatos y el procedimiento del sistema de calidad para la realización y documentación de las pruebas.
111
Datos de prueba
- Se debe seleccionar detenidamente los datos de prueba, en caso de seleccionar datos reales estos deben ser protegidos y controlados.
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
112
A.15. POLÍTICA DE SEGURIDAD DE RELACIONES CON SUMINISTRADORES Objetivo: Establecer los procedimientos de seguridad de la información para asegurar la protección de los activos de la organización que tengan acceso por parte de los proveedores. Alcance: Garantizar la protección de los activos de información de la organización que sean accesibles por los proveedores o terceros.
Políticas: Seguridad de la información en relación con los proveedores
- Se debe acordar con el proveedor y documentar los requerimientos de
seguridad de la información para mitigar los riesgos asociados con el acceso del proveedor a los activos de la organización.
- La organización debe velar porque todos los requerimientos de seguridad estén identificados e incorporados en la evaluación y contratación de proveedores antes de proporcionar acceso a la información.
- Los controles de seguridad, definiciones de servicio y ANS relacionados con los acuerdos de servicio con terceros se deben implementar, mantener y operar durante la vigencia de la prestación del servicio.
Gestión de la prestación de servicios por proveedores - Cada servicio con un proveedor debe tener un supervisor encargado de
revisar y auditar la prestación de servicios de proveedores.
- Se debe revisar con regularidad los acuerdos de confidencialidad establecidos con terceros en caso de que existan cambios en la prestación de servicios por parte de los proveedores, para asegurar que se cumple con las políticas, estándares y procedimientos definidos en la organización teniendo en cuenta la criticidad de la información, sistemas y procesos que intervienen y re-evaluación de los riesgos.
113
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
114
A.16. POLÍTICA PARA LA GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer los procesos relacionados con el tratamiento de los incidentes de Seguridad de la Información. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.
Políticas: Gestión de incidentes de seguridad de la información y mejoras
- La priorización del tratamiento de los incidentes se realiza conforme a la
criticidad de la Información.
- El responsable de la información debe definir los eventos considerados como críticos junto con sus respectivas alertas y registros de seguridad de la información.
- El grupo de Gestión de Incidentes de la organización debe restaurar la operación normal de los Servicios de Outsourcing de TI, con tanta rapidez como sea posible y minimizar el impacto adverso a las operaciones críticas del negocio, asegurando así que se mantenga el mejor nivel posible de calidad y disponibilidad.
- La responsabilidad y el procedimiento de manejo para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información está a cargo de los responsables de la seguridad de la información.
- Se debe implementar canales para la notificación de eventos e incidentes de Seguridad de la Información.
- Los funcionarios y contratistas que utilizan los sistemas y servicios de información deben observar y reportar cualquier debilidad de autenticidad, confidencialidad, integridad, disponibilidad o auditabilidad de la información observada o sospechada en los sistemas o servicios.
115
- Se debe implementar procedimientos y otros controles capaces de detectar y dar respuesta a los incidentes de seguridad.
- Los incidentes de seguridad de información deben recibir una respuesta de conformidad con los procedimientos documentados.
- Se deben utilizar los conocimientos adquiridos a partir del análisis y la resolución de incidentes de seguridad de información, para reducir la probabilidad o el impacto de los incidentes en el futuro.
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
116
A.17. POLÍTICA PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Objetivo: Establecer los procedimientos y medidas que permita mitigar las interrupciones en las actividades de negocio de la organización y proteger los procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.
Políticas: Continuidad de la seguridad de la Información
- Se debe definir e implementar un proceso para reducir la interrupción
causada por desastres naturales, accidentes y fallos de seguridad por medio de la combinación de controles preventivos y de recuperación.
- Se debe preparar, actualizar y probar periódicamente los planes de recuperación ante incidentes de sistemas.
- Se debe contar con una estrategia de recuperación alineada con los
objetivos de negocio, formalmente documentada y con procedimientos perfectamente probados para asegurar la restauración de los procesos críticos del negocio, ante el evento de una contingencia.
- Se debe manejar estándares para desarrollar, mantener y documentar los
planes de continuidad de la seguridad de información y los planes de contingencia.
- Los empleados tienen el deber de apoyar los procesos de restauración a las actividades normales de operación, después de producido un desastre, según las responsabilidades asignadas en los planes de contingencia.
- Se deben revisar y actualizar al menos anualmente los roles y responsabilidades de los planes de contingencia y de recuperación.
- Se debe considerar la contratación de seguros que formen parte del proceso de continuidad.
117
- Se debe revisar y preparar periódicamente una evaluación del grado de criticidad de todos los sistemas multiusuario.
- El análisis de riesgos debe estar enfocado específicamente en valorar el
impacto de incidentes que comprometen la continuidad del negocio teniendo en cuenta que este impacto será mayor cuanto más dure el incidente.
- Se debe verificar la información de continuidad de los controles de seguridad establecidos y aplicados a intervalos regulares con el fin de asegurar de que son válidos y eficaces en situaciones adversas.
Disponibilidad de instalaciones para el procesamiento de la información - Las instalaciones de la organización deben contar con la suficiente
redundancia para satisfacer los requisitos de disponibilidad para el procesamiento de información.
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
118
A.18. POLÍTICA PARA LA GESTIÓN DEL CUMPLIMIENTO Objetivo: Definir los procedimientos generales para supervisar en forma periódica el cumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la seguridad de la información de la organización. Alcance: Aplica para todos los colaboradores, proyectos y Servicios de Outsourcing de TI de la organización y en donde participe.
Políticas: Cumplimiento de los requisitos legales y contractuales
- Las situaciones o acciones que incumplan la presente Política deben ser
detectadas, registradas, analizadas, resueltas y reportadas de manera inmediata a través de los canales definidos.
- El área de Recursos Humanos debe indicar y advertir a los nuevos colaboradores que ingresen a la organización, la ubicación del Manual, de las políticas de seguridad de información y su obligación de conocerlos y aplicarlos.
- Se debe evaluar periódicamente el cumplimiento de los requerimientos de seguridad por parte de los funcionarios y contratistas.
- El área Jurídica es la encargada de verificar la normatividad legal y reglamentaria de la organización.
- El área de Auditoría Interna de la organización es la encargada de verificar el cumplimiento normativo ISO 27001.
- Todos los requisitos pertinentes, legislativos estatutarios, reglamentarios y contractuales, y la propuesta de la organización para cumplir con estos requisitos deberán estar explícitamente identificados, documentados y protegidos al día para cada sistema de información.
119
- Se deben establecerse procedimientos apropiados para asegurar el cumplimiento con las restricciones de carácter legal en el uso de material que puede estar sujeto a derechos de propiedad intelectual tales como derechos de autor y derechos de diseño.
- Los registros deben estar protegidos contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de conformidad con los requisitos de legalidad, reglamentarias, contractuales y comerciales.
- Se debe garantizar la privacidad y la protección de la información de identificación personal a lo dispuesto en la legislación y la reglamentación pertinente en su caso.
- Los controles criptográficos serán utilizados en cumplimiento a todos los acuerdos pertinentes, la legislación y los reglamentos.
Revisiones de la seguridad de la información
- Los especialistas del área de seguridad informática deben realizar con la
ayuda de herramientas automáticas, un reporte técnico que evidencie el resultado del comportamiento de la infraestructura, para su posterior interpretación por parte de los dueños de proceso.
- Los sistemas de información deben ser revisados regularmente para cerciorarse que se da cumplimiento a las políticas y normas de seguridad de la información de la entidad.
- Los requerimientos de auditoría y las actividades que impliquen revisiones de los sistemas de información deben ser planificados y acordados por el área a cargo de los sistemas auditados, con la finalidad de minimizar el riesgo de interrupciones en la continuidad del negocio.
- Si se requiriere de un acceso que va más a allá de lo permitido será sólo sobre copias previamente autorizadas y validadas por el encargado del área, las cuales serán borradas apenas acabe el uso por parte de la auditoria.
120
Responsables:
Gerencia General: Asegurarse de que se establezca la política y se promueva la sensibilización.
Dueños de Procesos: Cumplir las disposiciones de esta política.
Oficina Calidad: Revisar el cumplimiento de la política por parte de las áreas de la organización. Área de Sistemas: Administrar los sistemas y dar soporte centralizados.
Vigencia: La presente política entrará en vigencia al momento de ser publicada.
Revisión: El contenido de esta política será revisado anualmente o cuando ocurran eventos significativos que requieran su revisión y/o modificación. Advertencia: Esta política respalda la documentación y la gestión de las políticas de seguridad establecidas en la organización. Aprobación de la Alta Gerencia __________________________________ Política Revisada. Fecha: _________________
121
ANEXO 2
VALORACIÓN DE RIESGOS
1. ACTIVOS DE INFORMACIÓN
Activo Ref.
Datos de carácter personal de los empleados, clientes y socios Inf1
Código fuente Inf2
Contratos Inf3
Archivos Inf4
Manuales Inf5
Material de formación Inf6
Planes de continuidad Inf7
Licencias Inf8
Políticas Inf9
Aplicaciones de la Organización Sw1
Programas de desarrollo Sw2
Sistemas operativos Sw3
Antivirus Sw4
Motores de Bases de Datos Sw5
Servidores de Bases de Datos Hw1
Servidores Web Hw2
Servidores de archivos Hw3
Servidores de aplicaciones Hw4
Impresoras Hw5
Equipos portátiles Hw6
Discos Duros Si1
Servidores de backup Si2
Memorias USB Si3
CD/DVD Si4
Sistema de climatización de la sala de servidores Si5
Cámaras de seguridad Si6
Teléfonos Si7
Dispositivos Móviles Si8
Red de Datos Rc1
Red eléctrica Rc2
Canaletas Rc3
122
Switches Rc4
Racks Rc5
Routers Rc6
Modems Rc7
Empleados Ps1
Clientes Ps2
Proveedores Ps3
Imagen de la empresa It1
Reputación It2
Muebles Ot1
Planta física: Estructura física de la empresa Ot2
2. AMENAZAS
Amenaza Ref.
Errores de los usuarios Amz1
Errores del Administrador Amz2
Errores de Configuración Amz3
Escapes de Información Amz4
Destrucción de Información Amz5
Acceso No Autorizado Amz6
Modificación de la Información Amz7
Vulnerabilidades de los Programas Amz8
Suplantación de la Identidad del usuario Amz9
Difusión de Software Dañino Amz10
Denegación de Servicios Amz11
Desastres Naturales Amz12
Avería de Origen Físico o Lógico Amz13
Fallo de Servicios de Comunicaciones Amz14
Manipulación de Configuración Amz15
Fuego Amz16
Daños Por Agua Amz17
Errores de Mantenimiento/Actualización de Equipos Amz18
Manipulación de los Equipos Amz19
Deficiencia en la Organización Amz20
Alteración Accidental de la Información Amz21
123
3. VALORACION DE RIESGOS
Activo Amenaza Riesgo
Valoración Riesgo Zona Probabilidad Impacto
Inf1 Amz4 0,2 3 0,6 Bajo
Inf1 Amz5 0,4 4 1,6 Medio
Inf1 Amz7 0,4 5 2 Medio
Inf1 Amz12 0,1 5 0,5 Bajo
Inf1 Amz16 0,1 5 0,5 Bajo
Inf1 Amz17 0,1 5 0,5 Bajo
Inf1 Amz21 0,4 4 1,6 Medio
Inf2 Amz2 0,2 4 0,8 Bajo
Inf2 Amz4 0,4 2 0,8 Bajo
Inf2 Amz5 0,1 5 0,5 Bajo
Inf2 Amz6 0,2 3 0,6 Bajo
Inf2 Amz7 0,5 3 1,5 Medio
Inf2 Amz9 0,1 4 0,4 Bajo
Inf2 Amz12 0,1 5 0,5 Bajo
Inf2 Amz16 0,1 5 0,5 Bajo
Inf2 Amz17 0,1 5 0,5 Bajo
Inf3 Amz2 0,2 4 0,8 Bajo
Inf3 Amz4 0,3 5 1,5 Medio
Inf3 Amz5 0,4 5 2 Medio
Inf3 Amz7 0,2 4 0,8 Bajo
Inf3 Amz12 0,1 5 0,5 Bajo
Inf3 Amz16 0,1 5 0,5 Bajo
Inf3 Amz17 0,1 5 0,5 Bajo
Inf3 Amz21 0,2 4 0,8 Bajo
Inf4 Amz1 0,7 4 2,8 Alto
Inf4 Amz4 0,5 4 2 Medio
Inf4 Amz5 0,2 5 1 Bajo
Inf4 Amz7 0,8 5 4 Muy Alto
Inf4 Amz9 0,1 5 0,5 Bajo
Inf4 Amz12 0,1 5 0,5 Bajo
Inf4 Amz16 0,1 5 0,5 Bajo
Inf4 Amz17 0,1 5 0,5 Bajo
124
Inf4 Amz21 0,4 4 1,6 Medio
Inf5 Amz4 0,2 2 0,4 Bajo
Inf5 Amz5 0,2 4 0,8 Bajo
Inf5 Amz7 0,5 4 2 Medio
Inf5 Amz12 0,1 5 0,5 Bajo
Inf5 Amz16 0,1 5 0,5 Bajo
Inf5 Amz17 0,1 5 0,5 Bajo
Inf6 Amz4 0,5 3 1,5 Medio
Inf6 Amz5 0,4 5 2 Medio
Inf6 Amz12 0,1 5 0,5 Bajo
Inf6 Amz16 0,1 5 0,5 Bajo
Inf6 Amz17 0,1 5 0,5 Bajo
Inf7 Amz5 0,2 5 1 Bajo
Inf7 Amz7 0,5 4 2 Medio
Inf7 Amz12 0,1 5 0,5 Bajo
Inf7 Amz16 0,1 5 0,5 Bajo
Inf7 Amz17 0,1 5 0,5 Bajo
Inf8 Amz5 0,1 5 0,5 Bajo
Inf8 Amz12 0,1 5 0,5 Bajo
Inf8 Amz16 0,1 5 0,5 Bajo
Inf8 Amz17 0,1 5 0,5 Bajo
Inf9 Amz5 0,3 5 1,5 Medio
Inf9 Amz7 0,4 4 1,6 Medio
Inf9 Amz12 0,1 5 0,5 Bajo
Inf9 Amz16 0,1 5 0,5 Bajo
Inf9 Amz17 0,1 5 0,5 Bajo
Sw1 Amz3 0,6 4 2,4 Medio
Sw1 Amz4 0,4 5 2 Medio
Sw1 Amz6 0,4 5 2 Medio
Sw1 Amz8 0,4 5 2 Medio
Sw1 Amz9 0,2 5 1 Bajo
Sw1 Amz10 0,5 4 2 Medio
Sw1 Amz13 0,6 4 2,4 Medio
Sw1 Amz15 0,7 4 2,8 Alto
Sw2 Amz1 0,6 3 1,8 Medio
Sw2 Amz2 0,5 3 1,5 Medio
125
Sw2 Amz3 0,4 3 1,2 Bajo
Sw2 Amz6 0,4 4 1,6 Medio
Sw2 Amz8 0,8 5 4 Muy Alto
Sw2 Amz10 0,7 5 3,5 Alto
Sw2 Amz13 0,2 5 1 Bajo
Sw2 Amz15 0,4 4 1,6 Medio
Sw2 Amz16 0,1 5 0,5 Bajo
Sw3 Amz1 0,4 3 1,2 Bajo
Sw3 Amz3 0,4 4 1,6 Medio
Sw3 Amz8 0,6 4 2,4 Medio
Sw3 Amz10 0,8 5 4 Muy Alto
Sw3 Amz13 0,1 5 0,5 Bajo
Sw3 Amz15 1 2 2 Medio
Sw4 Amz2 0,4 5 2 Medio
Sw4 Amz8 0,4 5 2 Medio
Sw4 Amz13 0,1 4 0,4 Bajo
Sw4 Amz15 0,3 4 1,2 Bajo
Sw5 Amz1 0,8 4 3,2 Alto
Sw5 Amz3 0,5 3 1,5 Medio
Sw5 Amz4 0,5 5 2,5 Alto
Sw5 Amz6 0,4 5 2 Medio
Sw5 Amz7 0,8 5 4 Muy Alto
Sw5 Amz13 0,1 5 0,5 Bajo
Sw5 Amz15 0,7 4 2,8 Alto
Sw5 Amz21 0,6 3 1,8 Medio
Hw1 Amz2 0,4 5 2 Medio
Hw1 Amz3 0,4 5 2 Medio
Hw1 Amz6 0,1 5 0,5 Bajo
Hw1 Amz11 0,4 4 1,6 Medio
Hw1 Amz12 0,1 5 0,5 Bajo
Hw1 Amz13 0,1 5 0,5 Bajo
Hw1 Amz15 0,5 5 2,5 Alto
Hw1 Amz16 0,1 5 0,5 Bajo
Hw1 Amz17 0,1 5 0,5 Bajo
Hw1 Amz18 0,7 5 3,5 Alto
Hw1 Amz19 0,4 5 2 Medio
126
Hw2 Amz2 0,4 5 2 Medio
Hw2 Amz3 0,4 5 2 Medio
Hw2 Amz6 0,1 5 0,5 Bajo
Hw2 Amz11 0,4 4 1,6 Medio
Hw2 Amz12 0,1 5 0,5 Bajo
Hw2 Amz13 0,1 5 0,5 Bajo
Hw2 Amz15 0,5 5 2,5 Alto
Hw2 Amz16 0,1 5 0,5 Bajo
Hw2 Amz17 0,1 5 0,5 Bajo
Hw2 Amz18 0,7 5 3,5 Alto
Hw2 Amz19 0,4 5 2 Medio
Hw3 Amz2 0,4 5 2 Medio
Hw3 Amz3 0,4 5 2 Medio
Hw3 Amz6 0,1 5 0,5 Bajo
Hw3 Amz11 0,4 4 1,6 Medio
Hw3 Amz12 0,1 5 0,5 Bajo
Hw3 Amz13 0,1 5 0,5 Bajo
Hw3 Amz15 0,5 5 2,5 Alto
Hw3 Amz16 0,1 5 0,5 Bajo
Hw3 Amz17 0,1 5 0,5 Bajo
Hw3 Amz18 0,7 5 3,5 Alto
Hw3 Amz19 0,4 5 2 Medio
Hw4 Amz2 0,4 5 2 Medio
Hw4 Amz3 0,4 5 2 Medio
Hw4 Amz6 0,1 5 0,5 Bajo
Hw4 Amz11 0,4 4 1,6 Medio
Hw4 Amz12 0,1 5 0,5 Bajo
Hw4 Amz13 0,1 5 0,5 Bajo
Hw4 Amz15 0,5 5 2,5 Alto
Hw4 Amz16 0,1 5 0,5 Bajo
Hw4 Amz17 0,1 5 0,5 Bajo
Hw4 Amz18 0,7 5 3,5 Alto
Hw4 Amz19 0,4 5 2 Medio
Hw5 Amz1 0,4 3 1,2 Bajo
Hw5 Amz3 0,4 3 1,2 Bajo
Hw5 Amz12 0,1 5 0,5 Bajo
127
Hw5 Amz13 0,5 4 2 Medio
Hw5 Amz16 0,1 5 0,5 Bajo
Hw5 Amz17 0,1 5 0,5 Bajo
Hw5 Amz19 0,7 1 0,7 Bajo
Hw6 Amz1 0,4 4 1,6 Medio
Hw6 Amz3 0,4 5 2 Medio
Hw6 Amz6 0,4 5 2 Medio
Hw6 Amz12 0,1 5 0,5 Bajo
Hw6 Amz13 0,1 5 0,5 Bajo
Hw6 Amz15 0,7 2 1,4 Bajo
Hw6 Amz16 0,1 5 0,5 Bajo
Hw6 Amz17 0,1 5 0,5 Bajo
Hw6 Amz18 0,7 5 3,5 Alto
Hw6 Amz19 1 4 4 Muy Alto
Si1 Amz4 0,4 4 1,6 Medio
Si1 Amz5 0,2 5 1 Bajo
Si1 Amz6 0,1 4 0,4 Bajo
Si1 Amz7 0,1 5 0,5 Bajo
Si1 Amz12 0,1 5 0,5 Bajo
Si1 Amz13 0,2 5 1 Bajo
Si1 Amz16 0,1 5 0,5 Bajo
Si1 Amz17 0,1 5 0,5 Bajo
Si1 Amz19 0,7 3 2,1 Medio
Si1 Amz21 0,5 5 2,5 Alto
Si2 Amz2 0,4 4 1,6 Medio
Si2 Amz3 0,3 5 1,5 Medio
Si2 Amz4 0,1 5 0,5 Bajo
Si2 Amz5 0,1 5 0,5 Bajo
Si2 Amz6 0,2 4 0,8 Bajo
Si2 Amz7 0,5 5 2,5 Alto
Si2 Amz12 0,1 5 0,5 Bajo
Si2 Amz13 0,1 5 0,5 Bajo
Si2 Amz15 0,5 4 2 Medio
Si2 Amz16 0,1 5 0,5 Bajo
Si2 Amz17 0,1 5 0,5 Bajo
Si2 Amz19 0,5 4 2 Medio
128
Si2 Amz21 0,2 4 0,8 Bajo
Si3 Amz4 0,4 4 1,6 Medio
Si3 Amz5 0,2 5 1 Bajo
Si3 Amz6 0,1 4 0,4 Bajo
Si3 Amz7 0,1 5 0,5 Bajo
Si3 Amz12 0,1 5 0,5 Bajo
Si3 Amz13 0,2 5 1 Bajo
Si3 Amz16 0,1 5 0,5 Bajo
Si3 Amz17 0,1 5 0,5 Bajo
Si3 Amz19 0,7 3 2,1 Medio
Si3 Amz21 0,5 5 2,5 Alto
Si4 Amz4 0,4 4 1,6 Medio
Si4 Amz5 0,2 5 1 Bajo
Si4 Amz6 0,1 4 0,4 Bajo
Si4 Amz7 0,1 5 0,5 Bajo
Si4 Amz12 0,1 5 0,5 Bajo
Si4 Amz13 0,2 5 1 Bajo
Si4 Amz16 0,1 5 0,5 Bajo
Si4 Amz17 0,1 5 0,5 Bajo
Si4 Amz19 0,7 3 2,1 Medio
Si4 Amz21 0,5 5 2,5 Alto
Si5 Amz2 0,2 3 0,6 Bajo
Si5 Amz6 0,2 5 1 Bajo
Si5 Amz12 0,1 5 0,5 Bajo
Si5 Amz16 0,1 5 0,5 Bajo
Si5 Amz17 0,1 5 0,5 Bajo
Si6 Amz3 0,1 4 0,4 Bajo
Si6 Amz5 0,3 5 1,5 Medio
Si6 Amz7 0,1 4 0,4 Bajo
Si6 Amz12 0,1 5 0,5 Bajo
Si6 Amz13 0,4 5 2 Medio
Si6 Amz15 0,5 3 1,5 Medio
Si6 Amz16 0,1 5 0,5 Bajo
Si6 Amz17 0,1 5 0,5 Bajo
Si7 Amz3 0,5 1 0,5 Bajo
Si7 Amz12 0,1 5 0,5 Bajo
129
Si7 Amz13 0,1 2 0,2 Bajo
Si7 Amz16 0,1 5 0,5 Bajo
Si7 Amz17 0,1 5 0,5 Bajo
Si8 Amz3 0,5 1 0,5 Bajo
Si8 Amz12 0,1 5 0,5 Bajo
Si8 Amz13 0,1 2 0,2 Bajo
Si8 Amz16 0,1 5 0,5 Bajo
Si8 Amz17 0,1 5 0,5 Bajo
Rc1 Amz2 0,4 5 2 Medio
Rc1 Amz3 0,4 5 2 Medio
Rc1 Amz6 0,1 5 0,5 Bajo
Rc1 Amz11 0,4 5 2 Medio
Rc1 Amz12 0,1 5 0,5 Bajo
Rc1 Amz14 0,4 5 2 Medio
Rc1 Amz15 0,4 5 2 Medio
Rc1 Amz16 0,1 5 0,5 Bajo
Rc1 Amz17 0,1 5 0,5 Bajo
Rc2 Amz2 0,4 5 2 Medio
Rc2 Amz3 0,4 5 2 Medio
Rc2 Amz6 0,1 5 0,5 Bajo
Rc2 Amz11 0,4 5 2 Medio
Rc2 Amz12 0,1 5 0,5 Bajo
Rc2 Amz14 0,4 5 2 Medio
Rc2 Amz15 0,4 5 2 Medio
Rc2 Amz16 0,1 5 0,5 Bajo
Rc2 Amz17 0,1 5 0,5 Bajo
Rc3 Amz12 0,1 5 0,5 Bajo
Rc3 Amz16 0,1 5 0,5 Bajo
Rc3 Amz17 0,1 5 0,5 Bajo
Rc4 Amz2 0,3 4 1,2 Bajo
Rc4 Amz3 0,3 4 1,2 Bajo
Rc4 Amz6 0,1 5 0,5 Bajo
Rc4 Amz12 0,1 5 0,5 Bajo
Rc4 Amz15 0,6 5 3 Alto
Rc4 Amz16 0,1 5 0,5 Bajo
Rc4 Amz17 0,1 5 0,5 Bajo
130
Rc5 Amz12 0,1 5 0,5 Bajo
Rc5 Amz16 0,1 5 0,5 Bajo
Rc5 Amz17 0,1 5 0,5 Bajo
Rc6 Amz2 0,3 4 1,2 Bajo
Rc6 Amz3 0,3 4 1,2 Bajo
Rc6 Amz6 0,1 5 0,5 Bajo
Rc6 Amz12 0,1 5 0,5 Bajo
Rc6 Amz15 0,6 5 3 Alto
Rc6 Amz16 0,1 5 0,5 Bajo
Rc6 Amz17 0,1 5 0,5 Bajo
Rc7 Amz2 0,3 4 1,2 Bajo
Rc7 Amz3 0,3 4 1,2 Bajo
Rc7 Amz6 0,1 5 0,5 Bajo
Rc7 Amz12 0,1 5 0,5 Bajo
Rc7 Amz15 0,6 5 3 Alto
Rc7 Amz16 0,1 5 0,5 Bajo
Rc7 Amz17 0,1 5 0,5 Bajo
Ps1 Amz2 0,4 3 1,2 Bajo
Ps1 Amz20 0,5 5 2,5 Alto
Ps2 Amz20 0,5 5 2,5 Alto
Ot1 Amz12 0,1 5 0,5 Bajo
Ot1 Amz16 0,1 5 0,5 Bajo
Ot1 Amz17 0,1 5 0,5 Bajo
Ot2 Amz6 0,1 5 0,5 Bajo
Ot2 Amz12 0,1 5 0,5 Bajo
Ot2 Amz16 0,1 5 0,5 Bajo
Ot2 Amz17 0,1 5 0,5 Bajo
131
4. CRITERIOS DE VALORACION DE RIESGOS
IMPACTO
Nivel Valoración
Muy Bajo 1
Bajo 2
Medio 3
Alto 4
Muy Alto 5
PROBABILIDAD
Nivel Valoración
Muy poco Frecuente 0 - 0,1
Poco Frecuente 0,2 - 0,4
Normal 0,5 - 0,6
Frecuente 0,7 - 0,9
Muy frecuente 1
VALORACIÓN DEL RIESGO = IMPACTO x PROBABILIDAD
VALOR ZONA RIESGO
0 - 1,4 3 Bajo
1,5 - 2,4 2 Medio
2,5 - 3,5 4 Alto
3,6 - 5,0 1 Muy Alto
132
ANEXO 3
Articulo EEE
Propuesta De Un Sistema de Gestión De La
Seguridad De La Información Para Entidades
Dedicadas Al Servicio De Outsourcing De TI Diana Marcela Guerrero, Juan Camilo Martínez
Universidad Distrital Francisco José de Caldas, Bogotá, Colombia 2016
Resumen – Este articulo muestra una
descripción del desarrollo de cada uno de los
capítulos presentados en el proyecto de grado
titulado “Propuesta de un Sistema de Gestión de
la Seguridad de la Información para Entidades
Dedicadas al Servicio de Outsourcing de TI”,
donde se inicia con la definición, planeación y
organización del proyecto.
Luego se procede a detallar el resumen
ejecutivo donde se encuentra el propósito del
proyecto y la situación actual de la
organización.
También se describe como se realiza el análisis
de riesgos, el cual es primordial para determinar
el plan de seguridad y los controles o
salvaguardas a proponer en este proyecto.
Palabras Claves – Amenaza, Activo, Riesgo,
Controles.
Abstract – This article shows a description of
the development of each of the chapters
presented in the draft degree entitled "Proposal
of an Information Security Management System
for Entities Dedicated to the IT Outsourcing
Planning and organization of the project. Then
proceed to detail the executive summary where
the purpose of the project and the current
situation of the organization.
It also describes how the risk analysis is
performed, which is essential to determine the
safety plan and the controls or safeguards to be
proposed in this project.
Keywords – Threat, Active, Risk, Controls
I. INTRODUCCIÓN
Dentro de las empresas dedicas a prestar
servicios de outsourcing de TI se hace
necesario tener una propuesta de un sistema de
gestión de seguridad de la información el cual
brinde una protección a cada uno de los activos
que hacen parte de estas organizaciones
haciendo uso de controles preventivos,
detectivos y correctivos.
Por medio de este artículo se busca dar a
conocer la estructura del proyecto de grado
titulado “Propuesta de un Sistema de
Gestión de la Seguridad de la Información para
133
Service", which begins with the definition,
Entidades Dedicadas al Servicio de Outsourcing
de TI” donde se identifican cada uno de los
activos más importante para este tipo de
organizaciones y se valora a nivel de
disponibilidad, integridad y confidencialidad.
De igual manera se busca realizar una
descripción en el desarrollo de la identificación
y valoración de cada una de las amenazas que
puedan afectar los activos identificados, lo cual
permite realizar un análisis de riesgos detallado,
para determinar una serie de políticas y
controles que ayudan a disminuir la
probabilidad de que se vean afectados algún
activo y por consiguiente la organización.
II. DESARROLLO
La propuesta del sistema de gestión de la
seguridad de la información para entidades
dedicadas al servicio de outsourcing de TI está
dividida de la siguiente manera.
A. Definición, planeación y
Organización
En este capítulo se determina cual es el
problema que se tiene en las organizaciones
dedicadas a prestar servicios de outsourcing de
TI respecto a la seguridad de la información.
Para determinar la solución a este problema es
necesario establecer un objetivo general y unos
objetivos específicos los cuales permiten tener
la claridad del desarrollo de esta propuesta.
Además es necesario realizar un marco teórico
el cual referencia proyectos de seguridad de la
información permitiendo tener un amplio
conocimiento sobre esta temática.
Por otro lado, para la solución propuesta se
determina trabajar con una metodología
utilizada ampliamente por los sistemas de
calidad como lo es el ciclo PHVA[1] (Planear–
Hacer – Verifica - Actuar) y posteriormente
utilizar la metodología magerit como guía en el
detalle completo en el análisis de riesgos.
Para finalizar este capítulo se realiza un
presupuesto y fuentes de financiación para
determinar el costo del proyecto y también un
cronograma de cada una de las actividades a
realizar.
B. Resumen Ejecutivo
En este capítulo se describe el propósito del
proyecto, los beneficios de la solución y por
consiguiente la situación actual que puede
tener una organización dedicada a prestar
servicios de outsourcing de TI en donde se
determinan las áreas organizacionales y cada
una de las fallas que se tienen al interior de la
organización en cuanto a la seguridad de la
información en cada uno de los activos que la
organización posee.
C. Análisis de Riesgos
En este capítulo se realiza la identificación y
valoración de los activos más importantes para
la organización; esta valoración se realiza
mediante las tres dimensiones más importantes
que propone la metodología magerit[2] que son
la integridad, confidencialidad y
disponibilidad.
134
Para la valoración de cada uno de los activos se
hace mediante unos criterios de valoración
como se muestra en la Tabla 1.
Tabla 1.
Criterios de Valoración de los Activos
Valor Criterio
10 Extremo
Daño
extremadamente
grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a
efectos prácticos
También se realiza la identificación y
valoración de las amenazas que pueden llegar a
afectar cada uno de los activos que se
identificaron previamente.
Para la valoración de las amenazas se hace
mediante los criterios de probabilidad de
ocurrencia de una amenaza como se muestra en
la Tabla 2 y la degradación que el activo puede
tener como se muestra en la Tabla 3.
Tabla 2.
Probabilidad de Ocurrencia de una Amenaza
Frecuencia Abreviatura Criterio
Muy frecuente MA A diario
Frecuente A Mensualme
nte
Normal M Una vez al
año
Poco
Frecuente B
Cada varios
años
Muy poco
Frecuente MB Siglos
Tabla 3.
Degradación de los Activos por Amenaza
Criterio Abreviación
Degradación MUY ALTA
del activo MA
Degradación ALTA
considerable del activo A
Degradación MEDIANA
del activo M
Degradación BAJA del
activo B
Degradación MUY BAJA
del activo MB
Para finalizar el capítulo se realiza la
valoración del riesgo en donde se
determina una zona de riesgo que se
calcula a partir del producto de la
probabilidad y el impacto que pueda tener
un activo si se materializa una amenaza.
Esto permite ubicar el riesgo en una zona
como se muestra en la Figura 1 y así
determinar las salvaguardas y/o controles a
implementar.
La zona 1 es la de mayor impacto por
ende es donde obligatoriamente se deben
colocar controles; la zona 2 es un nivel
medio donde se debe considerar
implementar salvaguardas; la zona 3 al
tener un nivel de impacto y probabilidad
muy bajo se puede implementar
salvaguardas adicionales si se quiere; y la
zona 4 al tener un impacto muy alto se
debe implementar controles así la
probabilidad de ocurrencia sea mínima.
135
Figura 1. Riesgo en función de impacto y
probabilidad
D. Plan de Seguridad
En este capítulo se define el SGSI, el alcance
los objetivos de seguridad de la información y
por consiguiente se establecen una serie de
políticas las cuales si se cumplen ayudan a
disminuir el riesgo al que cada activo está
expuesto.
E. Controles y/o Salvaguardas
En este capítulo se describen los tipos de
protección que existen para luego hacer la
identificación de los controles necesarios para
mitigar el riesgo de que alguna amenaza se
materialice en alguno de los activos.
III. CONCLUSIONES
La propuesta de un sistema de gestión de la
seguridad de la información para entidades
dedicadas al servicio de outsourcing de TI es
una herramienta que permite analizar y ordenar
la estructura de los sistemas de información
facilitando la definición de procedimientos,
políticas y de controles que van a proteger a la
organización frente amenazas y riesgos que
pueden poner en peligro el cumplimiento de
los objetivos de negocio y de los tres pilares de
la seguridad; la confidencialidad, integridad y
disponibilidad de cada uno de los activos al
interior de la organización.
IV. REFERENCIAS
[1] gerencie, Ciclo PHVA, disponible en:
http://www.gerencie.com/ciclo-phva.html
[Consultado: 03 de abril de 2016]
2] administracionelectronica, Pae Portal
Administración electrónica, MAGERIT v.3 :
Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información, disponible en:
http://administracionelectronica.gob.es/pae_H
ome/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.Vwb4RJzhAdV[Consultado:
14 de Noviembre de 2016]