Diseño de SGSI_tesis .pdf

7/26/2019 Diseo de SGSI_tesis .pdf

1/135

ANLISIS Y DISEO DE UN SISTEMA DE GESTIN DE SEGURIDADINFORMTICA EN LA EMPRESA ASEGURADORA SUREZ PADILLA & CA.

LTDA, QUE BRINDE UNA ADECUADA PROTECCIN EN SEGURIDADINFORMTICA DE LA INFRAESTRUCTURA TECNOLGICA DE LA

ORGANIZACIN.

SANDRA YOMAY SUAREZ PADILLA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIAESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA

ESPECIALIZACIN EN SEGURIDAD INFORMATICABOGOTA D.C.

2015


2/135

ANLISIS Y DISEO DE UN SISTEMA DE GESTIN DE SEGURIDADINFORMTICA EN LA EMPRESA ASEGURADORA SUREZ PADILLA & CA.

LTDA, QUE BRINDE UNA ADECUADA PROTECCIN EN SEGURIDADINFORMTICA DE LA INFRAESTRUCTURA TECNOLGICA DE LA

ORGANIZACIN.

SANDRA YOMAY SUAREZ PADILLA

Monografa para optar al ttulo de:ESPECIALISTA EN SEGURIDAD INFORMTICA

ELEONORA PALTA VELASCOMs(c) Ingeniera Telemtica

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIAESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA

ESPECIALIZACIN EN SEGURIDAD INFORMATICABOGOTA D.C.

2015


3/135

NOTA DE ACEPTACIN

________________________________________________________________________________________________________________________________________________________________________________________________

________________________________Firma del tutor del proyecto

________________________________Firma del jurado

________________________________Firma del jurado

Bogot D.C., 01 de Octubre de 2015


4/135

4

Dedicado a Dios todopoderoso por darme las fuerzas y sabidura necesarias paraseguir adelante, a mis padres que desde el cielo an me guan y me protegen; amis hijas Sandra y Diana quienes son mi razn de ser y que con su gran amor me

han dado las fuerzas para poder cumplir esta etapa tan importante de mi vida; a miesposo por su inmenso apoyo y por impulsarme siempre a que cumpla con xitolos retos que me presenta la vida; a Juan Pablo Castro quin fue mi soporte yayuda en el desarrollo y cumplimiento de esta tesis y a mi familia que de una uotra manera me ayudaron a la consecucin de esta meta personal y profesional

Sandra Yomay Surez Padilla


5/135

AGRADECIMIENTOS

En primer lugar agradezco a Dios por su infinita bondad y misericordia, a Surez

Padilla & Ca. Ltda por la colaboracin recibida durante la etapa de recoleccin deinformacin; a la Universidad Nacional Abierta y a Distancia y su Facultad deTecnologa e Ingeniera por mantener ese modelo innovador y flexible que me hapermitido hacer posible la culminacin de este proyecto.

Mi especial gratitud a:

El Ingeniero Carlos Julio Erazo, tutor del proyecto inicial por orientarme consus aportes y a la Ingeniera Eleonora Palta Velasco, por compartir sus

conocimientos, por su constante colaboracin y sus recomendaciones queencaminaron a la realizacin del mismo.

A mi familia, amigos y compaeros que confiaron en mis capacidades y queen algn momento de sus vidas soaron verme cumplir esta meta.


6/135

CONTENIDO

pag.

INTRODUCCION

1. GENERALIDADES DEL PROYECTO 16

1.1 TITULO DEL PROYECTO 16

1.2 TEMA U OBJETO DE ESTUDIO 16

1.3 LNEA DE INVESTIGACIN 16

2. PROBLEMA DE INVESTIGACIN 17

2.1 FORMULACIN DEL PROBLEMA 17

3. JUSTIFICACIN DEL PROYECTO 18

4. OBJETIVOS DEL PROYECTO 19

4.1 OBJETIVO GENERAL 19

4.2 OBJETIVOS ESPECFICOS 19

4.3 BENEFICIOS DE REALIZAR EL ANLISIS Y GESTIN DE RIESGOS 20

5. ALCANCE Y LIMITACIONES 21

5.1 ALCANCE 21

5.2 LIMITACIONES 22

6. MARCO DE REFERENCIA 23

6.1 MARCO TERICO 23

6.2 MARCO CONCEPTUAL 32


7/135

7

6.3 MARCO LEGAL 43

6.4 ANTECEDENTES 44

7. DISEO METODOLGICO PRELIMINAR 49

7.1 FASE 1. DIAGNOSTICO DE LA SITUACION ACTUAL 49

7.2 FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS YACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DEGESTIN DE SEGURIDAD INFORMTICA). 49

7.3 RECURSOS DISPONIBLES 50

8. RESULTADOS 52

8.1 FASE 1 ANALISIS Y DIAGNSTICO DE LA SITUACION ACTUAL 52

8.2 FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS YACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DEGESTIN DE SEGURIDAD INFORMTICA) 79

9. POLTICAS RECOMENDADAS EN LA ORGANIZACIN 102

10. CONCLUSIONES 128

11. RECOMENDACIONES 129

BIBLIOGRAFIA 130

ANEXOS 134


8/135

LISTA DE TABLAS

pag.

Tabla 1.Clasificacin de Activos de informacin 33

Tabla 2.Confidencialidad, Integridad y Disponibilidad 34

Tabla 3.Valoracin Confidencialidad (C). 34

Tabla 4.Valoracin Integridad (I). 35

Tabla 5. Valoracin Disponibilidad (D). 35

Tabla 6.Clasificacin del Valor del Activo 36

Tabla 7.Mtodo de Anlisis de Riesgos 40

Tabla 8. Presupuesto del proyecto 51

Tabla 9Identificacin de los Procesos 54

Tabla 10Sistemas que soportan el proceso 55

Tabla 11 Recursos de Hardware de los procesos 56

Tabla 12 Otros activos 57

Tabla 13 Calificacin y Clasificacin 59

Tabla 14Evaluacin del Impacto 63

Tabla 15 Evaluacin del Riesgo 64

Tabla 16 Guion llamada telefnica 67

Tabla 17Cumplimiento Norma ISO/IEC 27001:2013 71

Tabla 18 Cumplimiento Anexo A de la Norma ISO 27001 74

Tabla 19 Plan De Tratamiento De Riesgos Y Planes De Seguridad 90

Tabla 20 Procesos esenciales del negocio y Tiempo mximo de interrupcin 91


9/135

9

Tabla 21 Estrategias de Respaldo 93

Tabla 22 Relacin entre el Tiempo de Recuperacin Objetivo y las Estrategias deRecuperacin 93

Tabla 23 Comit de Crisis 94

Tabla 24 Recomendaciones Acordes A Estandar Iso 27002 108


10/135

LISTA DE FIGURASpag.

Figura 1. Fase del Plan del modelo PDCA del ciclo de Deming 21

Figura 2.Gestin de Riesgos 39

Figura 3. Elementos del Anlisis de RiesgosError ! Marcador no definido.

Figura 4. Elementos del anlisis de riesgos potenciales 40

Figura 5. Ciclo Deming 42

Figura 6. Estructura de la ISO 27001:2005 /2013 46

Figura 7.Familia ISO 27000 SI 48

Figura 8. Diagrama Organizacional 52

Figura 9Identificacin de activos - Metodologa Margerit 58

Figura 10 Valoracin de activos 60

Figura 11Grfico Suplantacin Mesa de Ayuda 68

Figura 12 Porttiles sin asegurar 68

Figura 13Equipos desatendidos 69

Figura 14Cumplimiento de la norma ISO/IEC 27001:2013 73

Figura 15Implementacin de controles Anexo A Norma ISO 27001 79

Figura 16 Etapas de una recuperacin de desastres. 96


11/135

11

LISTA DE ANEXOSpag.

Anexo AControles ISO 27002:2013 134

Anexo B Lista de Chequeo 135


12/135

GLOSARIO

ACTIVO DE INFORMACIN: recursos del sistema de informacin o relacionados

con este, necesarios para que la organizacin funcione correctamente y alcancelos objetivos propuestos por la direccin.

ALTA DIRECCIN: est conformada por la gerencia y directivos de laorganizacin

AMENAZAS:eventos que pueden desencadenar un incidentes en la organizacin,produciendo daos materiales o prdidas inmateriales en sus activos.

ANLISIS DE RIESGOS:mtodo sistemtico de recopilacin, evaluacin, registroy difusin de informacin requerida para formular recomendaciones encaminadas

a la adopcin de una medida en respuesta a un determinado peligro.CONTROL: medida preventiva o correctiva ante la presencia de diferentesriesgos.

EFECTIVIDAD: Medida del impacto de la gestin tanto en el logro de losresultados planificados, como en el manejo de los recursos utilizados ydisponibles.

EFICACIA:grado en que se realizan las actividades planificadas y se alcanzan losresultados planificados.

EFICIENCIA:relacin entre el resultado alcanzado y los recursos utilizados.

ESTIMACIN DEL RIESGO:Proceso de asignacin de valores a la probabilidad eimpacto de un riesgo.

GESTIN DEL RIESGO: Actividades coordinadas para dirigir y controlar losaspectos asociados al Riesgo dentro de una organizacin.

IMPACTO DE UN ACTIVO:consecuencia sobre ste de la materializacin de unaamenaza.

INCIDENTE DE SEGURIDAD DE LA INFORMACIN: evento o serie de eventosde seguridad de la informacin no deseados o esperados, que puedencomprometer las operaciones del negocio y amenazar la seguridad de lainformacin.

INFORMACIN:Datos relacionados que tienen significado para la organizacin.


13/135

ISMS:trmino en ingles de SGSI. Information Security Management System.

ISO:International Standard Organization. En espaol Organizacin de EstndaresInternacionales.

PROBABILIDAD: posibilidad de que una amenaza aproveche la vulnerabilidadpara materializar el riesgo.

PDCA:Acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

PROCESO:actividades relacionadas entre s o que interactan para generar valory las cuales transforman elementos de entrada en resultados.

PYME: pequeas y medianas empresas

RIESGO: toda posibilidad de ocurrencia de una situacin que pueda impedir eldesarrollo normal de las funciones de la empresa dificultando el logro de susobjetivos.

RIESGO RESIDUAL: valor de riesgo tras la aplicacin de uno o varios controles.

SEGURIDAD INFORMTICA: asegurar que los recursos del sistema deinformacin de una organizacin sean seguro y confiables, mediante elestablecimiento de normas, mtodos y tcnicas.

S.G.S.I: Sistema de Gestin de Seguridad de la Informacin

TRANSFERENCIA DEL RIESGO:Compartir con otra de las partes la prdida deun riesgo.

VULNERABILIDADES: debilidades que son aprovechadas por amenazas ygeneran un riesgo


14/135

RESUMEN

El trabajo final de la especializacin, describe los objetivos, el alcance, laexpectativa del SGSI y la metodologa asociada a la definicin, planeacin,identificacin y diseo del modelo de seguridad de la informacin para laorganizacin Surez Padilla & Ca Ltda, basado en la norma ISO 27001:2013;iniciando con el anlisis de la situacin actual de la organizacin desde la pticade los procesos crticos de la operacin documental, ejecucin del diagnstico deseguridad de la informacin, identificacin de las principales vulnerabilidades yamenazas, aplicando una metodologa de gestin del riesgos para la gestin deriesgos de seguridad de la informacin, planeacin de los planes de tratamiento deriesgos y generacin del marco documental del sistema de gestin de seguridadde la informacin para Surez Padilla & Ca Ltda.

El proyecto plantea el establecimiento de las bases para la implementacin de unSGSI (Sistema de Gestin de la Seguridad de la Informacin). De acuerdo a lassiguientes fases del proyecto:

Definicin de la situacin actual.

Anlisis de Riesgos.

Identificacin y valoracin de los activos corporativos como punto de partida

a un anlisis de riesgos. Identificacin de amenazas, evaluacin y clasificacin de las mismas

Evaluacin del nivel de cumplimiento de la ISO/IEC 27002:2005 en laorganizacin.

Esquema Documental del sistema de gestin de seguridad de la informacin.

Definicin de Polticas, seleccin de objetivos de control y controles delanexo A de la norma ISO 27001; establecer estrategias de contingencia.

Palabras Clave: ANLISIS DE LA SITUACIN ACTUAL, SISTEMA DE GESTINDE LA SEGURIDAD DE LA INFORMACIN, ANLISIS DE RIESGOS,VALORACIN DE ACTIVOS


15/135

15

INTRODUCCION

En el presente trabajo se lleva a cabo el proceso de anlisis y diseo de unSistema de Gestin de Seguridad de la Informacin aplicado a la empresa SurezPadilla & Ca. Ltda, organizacin asesora de seguros. El objetivo primordial de unSistema de gestin de seguridad de la informacin es proteger la integridad,confidencialidad e integridad de todos los activos de una organizacin y este selogra efectuando como primera medida un minucioso anlisis de los riegos a losque se enfrentan los activos de informacin para luego, con este insumo implantarlos controles necesarios que protegern dichos activos.

En la actualidad las Pymes afrontan una problemtica muy grande debido a quemuchas de ellas no destinan recursos para afrontar la falta de seguridad, niprevenir los riesgos de sus activos de informacin asociados a la misma, lo que en

muchas ocasiones genera en la organizacin prdidas tanto econmicas como deinformacin. Teniendo en cuenta lo anterior y buscando no verse afectada por unincidente mayor es que Surez Padilla & Ca. Ltda ha decidido dar un pasoadelante e iniciar con el proceso de establecer un Sistema de Gestin deSeguridad de la Informacin y as garantizar que los accedan a su informacinsean quienes estn autorizados.

Se presenta un modelo apoyado en estndares y normas internacionales talescomo ISO/IEC 27001:2013 y el estndar ISO/IEC 27002, que buscan evitar,disminuir y/o prevenir ataques o desastres informticos, antes que stos ocurran.

Se iniciar con un proceso de anlisis de la situacin actual de la empresa, luegose deber realizar el inventario de activos y a partir de este llevar a cabo ladefinicin del anlisis de riesgos, para un posterior diseo de polticas, procesos yprocedimientos claros que permitirn determinar y establecer los controles deseguridad que ayuden a gestionar los riesgos identificados.

Este trabajo se estructura en cinco (5) captulos a saber: el Captulo 1Generalidades del proyecto donde se presenta temas como la formulacin deproblema, objetivos tanto general como los especficos, la justificacin, losbeneficios del proyecto, el alcance y limitaciones; en el Captulo 2 encontramos elestado de arte del proyecto, en l se describen algunas investigaciones que setuvieron en cuenta como referente para llevar a cabo el proyecto. El Captulo 3Marco Referencial con temas como Marco Terico, Marco Conceptual yAntecedentes donde se detalla la teora sobre la que se sustenta el proyecto. ElCaptulo 4 se encuentra el Diseo Metodolgico a aplicar y los aspectosadministrativos. El Captulo 5 encontramos las conclusiones, y finalmente labibliografa consultada y los anexos correspondientes.


16/135

16

1. GENERALIDADES DEL PROYECTO

1.1 TITULO DEL PROYECTO

ANLISIS Y DISEO DE UN SISTEMA DE GESTIN DE SEGURIDADINFORMTICA EN LA EMPRESA ASEGURADORA SUREZ PADILLA & CA.LTDA, QUE BRINDE UNA ADECUADA PROTECCIN EN SEGURIDADINFORMTICA DE LA INFRAESTRUCTURA TECNOLGICA DE LAORGANIZACIN.

1.2 TEMA U OBJETO DE ESTUDIO

El presente proyecto se enfoca en llevar a cabo el diagnstico de la situacinactual de la seguridad de la informacin de la empresa de seguros Surez Padilla& Ca. Ltda, y con base en este diagnstico analizar y disear un Sistema deSeguridad de la Informacin que permita una adecuada implementacin, en arasde que su funcionamiento y operacin, garantice la integridad, confidencialidad ydisponibilidad de su informacin.

1.3 LNEA DE INVESTIGACIN

La lnea de investigacin, est delimitada en la Cadena Ingeniera Electrnica,Telecomunicaciones y Redes

LINEA 1: Infraestructura tecnolgica y seguridad en redes (reaTelecomunicaciones).


17/135

17

2. PROBLEMA DE INVESTIGACIN

2.1 FORMULACIN DEL PROBLEMA

En la actualidad las organizaciones y sus sistemas de informacin se debenenfrentar, cada vez ms, con riesgos e inseguridades informticas provenientes deuna amplia variedad de fuentes, entre las cuales podemos incluir fraudes basadosen informtica, espionaje, sabotaje y adicional a esto daos ocasionados por virusinformticos y ataques de intrusin o de negacin de servicios los cuales son cadada ms comunes en una organizacin.

La Empresa de seguros Surez Padilla & Ca. Ltda, recibe informacin personal yfinanciera tanto de sus clientes como de sus proveedores por mltiples fuentes,

por diferentes medios y a travs de mltiples canales (personal, telefnico,empresas de mensajera, electrnicos, redes de datos, sistemas en lnea, entreotros); estos volmenes de datos e informacin constituyen la materia prima parala gestin de la empresa, lo que la convierte en un activo de gran importancia quedebe ser protegida desde su origen hasta su destino final.

Independiente de la manera como esta informacin se reciba, se comparta oalmacene, debe tener una adecuada proteccin, sin embargo la seguridadinformtica establecida por la compaa en este momento es limitada einsuficiente, ante lo cual se opt como primera fase llevar a cabo un anlisisminucioso de la situacin actual y con base en el resultado, elaborar un Sistemade Gestin de la Seguridad de la Informacin para que posteriormente en unasegunda fase sea implementado por parte de los funcionarios responsables de laseguridad de la informacin en la empresa Surez Padilla & Ca. Ltda,involucrando a su personal como parte activa y creativa del proyecto; lo que sepretende es garantizar que los riesgos que afronta la empresa en trminos deseguridad de la informacin sean conocidos por la alta gerencia a fin dedeterminar si sern , asumidos, gestionados y/o minimizados, permitiendo lacreacin de un entorno seguro para los datos, la informacin, las aplicaciones ylos sistemas que sustentan su gestin.


18/135

18

3. JUSTIFICACIN DEL PROYECTO

Teniendo en cuenta el creciente aumento de amenazas informticas que buscansustraer de las empresas su informacin, para con ella llevar a cabo fraudesfinancieros, efectuar ataques de denegacin de servicio o afectar a la imagen deuna organizacin, como as lo demuestran en sus informes las empresasencargadas de los temas de seguridad, ha obligado a las organizaciones a darleprioridad al tema de la seguridad de la informacin ya que tanto la informacincomo los procesos y los sistemas que hacen uso de la misma, son sus activosms valiosos.

Las organizaciones han entendido que si los mecanismos de proteccininformtica implementados fallan, es necesario contar con procesos estructuradosy personal especializado que maneje incidentes de seguridad de informacin y

restablezca los temas en el menor tiempo posible (Georgia, 2003). Es por esto queen la actualidad poder asegurar la confidencialidad, integridad y disponibilidad dela informacin ms sensible llegan a ser esenciales para ellas en aras demantener sus niveles de competitividad, beneficio econmico, conformidad legal eimagen empresarial obligatorios para lograr los objetivos de la organizacin,asegurando obtener beneficios econmicos.

Los datos e informacin constituyen la materia prima para la gestin de laempresa de seguros Suarez Padilla y Ca Ltda y es deber de la organizacingarantizar la confidencialidad, integridad y disponibilidad de esta informacin; la

direccin es consciente que la seguridad establecida por la compaa en estemomento es limitada e insuficiente, es por esto que requieren como una primeraetapa, se realice un anlisis de la situacin actual de la empresa en cuanto a laseguridad informtica, y con base en este diagnstico se disee un Sistema deSeguridad que permita ofrecer un mejor nivel de servicio en calidad, funcionalidady facilidad en el uso de la seguridad, de manera tal que al ser implementadominimice costos a la organizacin.


19/135

19

4. OBJETIVOS DEL PROYECTO

4.1 OBJETIVO GENERAL

Realizar el Anlisis y Diseo de un Sistema de Gestin de Seguridad Informticaen la empresa aseguradora Surez Padilla & Ca. Ltda, que brinde una adecuadaproteccin en seguridad informtica de la infraestructura tecnolgica de laorganizacin, en aras de mejorar la seguridad de las tecnologas de informacin ylas comunicaciones en la empresa.

4.2 OBJETIVOS ESPECFICOS

4.2.1 Realizar el diagnstico de la situacin actual de la seguridad de lainformacin de la empresa de seguros Surez Padilla & Ca. Ltda.

4.2.2 Identificar los propietarios, responsables y ubicacin de los activos deinformacin a travs de cuestionarios, entrevistas y otros.

4.2.3 Clasificar y valorar los activos de informacin.

4.2.4 Adelantar el anlisis de riesgos de los activos a vincular a la matriz de

riesgos.

4.2.5 Identificar mediante el anlisis de riesgo, las amenazas y vulnerabilidades alas que estn expuestas los sistemas de informacin.

4.2.6 Seleccionar los controles de seguridad de informacin ms importantes quegaranticen la confidencialidad, integridad y disponibilidad de la informacin.

4.2.7 Sugerir polticas de seguridad que permitan hacer un uso aceptable de los

activos de informacin.


20/135

20

4.3 BENEFICIOS DE REALIZAR EL ANL ISIS Y GESTIN DE RIESGOS

4.3.1 Se establecern metodologas de gestin de la seguridad informtica demanera clara y estructurada.

4.3.2 Crear conciencia en los responsables de los procesos del negocio, de laexistencia de riesgos y de la necesidad de gestionarlos a tiempo.

4.3.3 Reduccin de riesgo en cuanto a prdida o robo lgico de la informacin.

4.3.4 Se brindar mayor confianza a los clientes al garantizar la confidencialidadde la informacin.

4.3.5 Al establecerse planes de contingencia Informtico, se garantiza lacontinuidad del de negocio tras incidentes de gravedad.


21/135

21

5. ALCANCE Y LIMITACIONES

5.1 ALCANCE

El proyecto se llevara a cabo en la empresa de seguros Surez Padilla & Ca Ltday abarcar la fase del Plandel modelo PDCA del ciclo de Deming aplicado a unSGSI.

Figura 1. Fase del Plan del modelo PDCA del ciclo de Deming

Fuente:descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/isoirc_27001_p

dca.html

De acuerdo al estndar internacional ISO/IEC 27001:2013, re realizar undiagnstico de la situacin actual de la seguridad de la informacin, se evaluarnlas amenazas, riesgos e impactos, permitiendo as un anlisis comparativo de loscontroles a ser establecidos en la organizacin, respecto a los controlesplanteados en la norma.

Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) reas crticas

de cualquier organizacin como son los activos, seguridad fsica y ambiental, y elcontrol de acceso y adicionalmente estos dominios estn directamenterelacionados con los tres pilares bsicos de la seguridad como son: laconfidencialidad, integridad y disponibilidad.


22/135

22

5.2 LIMITACIONES

5.2.1Geogrfica. El Proyecto se desarrollara en las instalaciones de la empresaSurez Padilla & Ca Ltda, ubicada en la CA 68 B 78 24 INT 6 de la Ciudad deBogot D.C., donde se diseara un sistema de gestin de seguridad de lainformacin.

5.2.2Temporal. Este proyecto se ejecutar en un trmino de 2 Meses, de acuerdocon las diferentes actividades a realizar durante el desarrollo del mismo.

5.2.3Conceptual. Los conceptos a manejar en este proyecto son los relacionadoscon la Seguridad de la Informacin, Sistema de Gestin de Seguridad de laInformacin (SGSI), Riesgos, Administracin de Riesgos, Polticas de Seguridad

de la Informacin y Controles.

5.2.4Operativa. Este proyecto disear un Sistema de Gestin de Seguridad de laInformacin (SGSI) para la empresa de seguros Surez Padilla & Ca. Ltda, enaras de lograr un excelente nivel de proteccin de los activos de informacin deacuerdo con el valor y riesgo que represente para la organizacin.

5.2.5Personal. El estimular a las personas que laboran en Surez Padilla & CaLtda sobre la importancia que tiene esta investigacin en relacin con sus laboresdiarias, permitindoles trabajar con mayor seguridad.

5.2.6 Econmicas. A travs de la realizacin de este proyecto, se proveer demedios que permitan resolver los problemas que ahora se presentan, para que enel futuro no generen grandes gastos en relacin a todo lo que sea seguridad de lainformacin.


23/135

23

6. MARCO DE REFERENCIA

6.1 MARCO TERICO

6.1.1Estado del Arte.En la actualidad la seguridad de la informacin debe ser uncomponente crtico en la estrategia de negocio para cualquier organizacin,adicionalmente debe ser manejada en un proceso integral, que garanticeproteccin en todos los aspectos (fsicos, lgicos, humanos), bajo esta visin enlos ltimos aos en Colombia las organizaciones tanto en el mbito pblico comoen el privado, vienen blindando sus infraestructuras tecnolgicas contra todo tipode amenazas, en aras de proteger su infraestructura crtica y por ende susprocesos vitales.

Resultado de este nuevo enfoque empresarial se han venido desarrolladoestudios, investigaciones y proyectos de grado relacionados con el tema deseguridad informtica, los cuales han sido tomados como referentes para eldesarrollo del presente trabajo, los cuales se describen a continuacin:

Experiencia personal: dificultades en la implementacin de un SGSI 1 -Leonardo Camelo. A la hora de hacer la implementacin y desarrollo de un plande SGSI, es importante tener en cuenta los problemas con los que se va aencontrar, teniendo en cuenta que se aplicar sobre una empresa que ya seencuentra constituida y la implementacin de estos planes precisan de cambios endistintas reas tales como manejo de personal, manejo de informacin, cambio depolticas e inversin de recursos.

Dentro de las dificultades a la hora de implementar un SGSI quiz la mssignificativa es la del dinero, no se puede hablar de dinero sin haber hechopreviamente una adecuada evaluacin de riesgos la cual nos indique a queamenazas est expuesta la Organizacin, y all si determinar cules seran loscontroles a implementar sabiendo obviamente cuales costos van a representar.Este tema si va en un solo sentido: no se puede hablar primero de dinero y luegode controles.

Aun as una vez se haga una adecuada evaluacin de los riesgos ser mscontrolable la variable riesgo.

1CAMELO, Leonardo. Seguridad de la Informacin en Colombia. Experiencia personal: dificultades en la implementacinde un SGSI. [En lnea].2010. [Consultado 26 de diciembre, 2014]. Disponible en Internet:(seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-dificultades-en-la.html)


24/135

24

Marco Normativo (Normas y polticas) de un SGSI 2- Leonardo Camelo. Eltema de reglamentacin de seguridad de la informacin en Colombia esprcticamente inexistente, por lo que todo SGSI est fundamentado netamente enla 27001 con los controles de la 27002 (Anexo A de la 27001).

Para implementar con xito un SGSI se debe constituir un modelo normativo elcual puede estructurarse mediante el documento de polticas, teniendo en cuentauno a uno todos los dominios y normas que complementen a la poltica y queagrupen los objetivos de control existentes en la ISO 27002, obteniendo as 10Polticas, y 30 normas o ms en busca de cubrir completamente lo incluido en estaNorma.

Modelo de Seguridad de la Informacin para la Estrategia de Gobierno enLnea 2.0 3 - Ministerio de Tecnologas de la Informacin y las

Comunicaciones. El documento presenta una estrategia de preparacin por partedel Gobierno para soportar al Sistema de Administracin de Seguridad de laInformacin de Gobierno en Lnea (SASIGEL) como modelo sostenible, y cubredesde la preparacin de la organizacin para comenzar la implementacin delModelo, la definicin de las brechas, la alineacin y la implementacin del SGSIcomo modelo sostenible.

En el captulo tres (3), se presenta la alineacin del Modelo de seguridad de laInformacin con la arquitectura empresarial de la Estrategia de Gobierno en lnea.En el captulo cuatro (4), se presenta una estrategia de preparacin por parte del

gobierno central para soportar al Sistema de Administracin de Seguridad de laInformacin de Gobierno en lnea (SASIGEL) como modelo sostenible.Posteriormente, en el captulo cinco (5), se cubre la preparacin de la organizacinpara comenzar la implementacin del Modelo, la definicin de las brechas, laalineacin y la implementacin del Sistema de Gestin de la Seguridad de laInformacin (SGSI) como modelo sostenible.

La importancia de un SGSI 4 - Federico Pacheco. Para el autor de esteartculo un SGSI permite obtener una visin global del estado de los sistemas deinformacin sin caer en detalles tcnicos, brindando la opcin de observar los

2CAMELO, Leonardo. Seguridad de la Informacin en Colombia.Marco Normativo (Normas y polticas) de un SGSI. [Enlnea]. 2010. [Consultado 14 de diciembre, 2014]. Disponible en Internet:(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-normas-y-politicas-de.html).3MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y LAS COMUNICACIONES. Modelo de Seguridad de la Informacinpara la Estrategia de Gobierno en Lnea 2.0. [En lnea].Versin 2.0.2. 49p.Bogot, 2011. [Consultado 15 de diciembre,2014]. Disponible en Internet: (css.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pdf)4 PACHECO, Federico. La importancia de un SGSI. Welivesecurity en Espaol. [En lnea].2010. [Consultado 14 dediciembre, 2014]. Disponible en Internet: (www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)


25/135

25

resultados obtenidos al aplicar las medidas de seguridad; con estos resultados laalta gerencia podr tomar mejores decisiones estratgicas.

Adicionalmente define como punto importante a tener en cuenta el que un SGSI sedebe documentar muy bien y debe darse a conocer a todo el personal de laorganizacin en todos los niveles jerrquicos, teniendo en cuenta que sernecesario implantar diferentes controles que ayudarn a mantener los riesgospotenciales en un nivel bajo

Una organizacin debe considerar dentro de sus prioridades establecer un SGSI sirealmente quiere administrar la seguridad en su organizacin, especialmente paraconseguir eficiencia y garanta en la proteccin de sus activos de informacin.

Resumen Ejecutivo Memoria TFM Plan de Implementacin del SGSI -Robin J. Salcedo B5. Describe los objetivos, el alcance, la expectativa del SGSI yla metodologa asociada a la definicin, planeacin, identificacin y creacin delmodelo de seguridad de la informacin para la organizacin ISAGXXX, basado enla norma ISO 27001:2013; iniciando desde el entendimiento de la organizacindesde la ptica de los procesos crticos de la operacin de energa, ejecucin deldiagnstico de seguridad de la informacin, identificacin de las principalesvulnerabilidades y amenazas, aplicando una metodologa de gestin del riesgospara la gestin de riesgos de seguridad de la informacin, planeacin de losplanes de tratamiento de riesgos y generacin del marco documental del sistemade gestin de seguridad de la informacin para ISAGXXX.

Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0 6 - JavierCao Avellaneda. El autor hace una descripcin de una manera diferente de suvisin como Consultor en seguridad de la informacin sobre la Ciberseguridad ycmo los malos han impactado el mundo de los sistemas de informacin. Suvisin la resume en tres goles que estos malos han marcado, donde el primer golse debe a que no se le dio la suficiente importancia de la seguridad desde eldiseo en la fabricacin de software, ocasionando con ello productos inseguros.

El segundo gol se produce debido a que uno, las empresas no le dan la suficiente

importancia al rea de tecnologa ocasionando la falta de recursos humanos

5 SALCEDO, Robin. Plan de Implementacin del SGSI basado en la Norma ISO 27001:2013. MemoriaTrabajo Final Mster MISTIC. Barcelona: Universidad Oberte Catalunya. [En lnea].2014. 43 p. [Consultado 13de enero, 2015]. Disponible en Internet:(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214memoria.pdf)6CAO, Javier. Sistemas de Gestin Seguridad de la Informacin. Los malos 3, Los buenos 0. [En lnea]. 2014.[Consultado 13 de diciembre, 2014]. Disponible en Internet: (sgsi-iso27001.blogspot.com.co/2014/06/ciberseguridad-minuto-y-resultado-los.html)


26/135

26

especializados y recursos tecnolgicos para afrontar los peligros cibernticosgenerados por la conexin a Internet y que da a da acechan las empresas, puescomo es sabido el delincuente online es internacional y el Internet no conocefronteras; y dos la prioridad que se da a perseguir a los ciberdelincuentes es

relativamente baja al igual que las penas por delitos ciberntico, transmitiendomensajes equivocados a la delincuencia online, la cual aumenta a gran velocidad.

El tercer gol se debe a que los malos desarrollaron una autntica industria delmalware logrado traspasar medidas de seguridad perimetral como Firewalls yantivirus. El malware ahora viene como un software inofensivo que el antivirus nodetecta; en el fondo los malos estn utilizando las mismas tcnicas usadas en laproteccin legtima de datos pero para unas finalidades diferentes. Es por esto quecon este nivel de sofisticacin las medidas tradicionales ya estn siendosuperadas.

Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002 7 -Comunidad Internacional de implantadores de ISO27000 deISO27001security.com. Este documento pretende ayudar a otros que estnimplantando o planeando implantar los estndares ISO/IEC de gestin deseguridad de la informacin. Al igual que los propios estndares ISO/IEC, se tratade un documento genrico y necesita ser adaptado a las necesidades especficasde cada uno.

Se considera la gestin de continuidad de negocio como un proceso con entradas

provenientes de muchas funciones como: alta direccin, TI, operaciones, etc. y dediversas actividades entre ellas la evaluacin de riesgos, asegurando laadaptacin y concienciacin mediante personas y unidades organizativasrelevantes en los planes de continuidad de negocio. Deberan llevarse a cabo laspruebas pertinentes entre ellas simulacros, pruebas de failover, pruebas sobre elpapel etc.) para de esa forma mantener los planes actualizados, aumentar laconfianza de la alta direccin en los planes y por ltimo familiarizar a losempleados relevantes con sus funciones y responsabilidades cuando seencuentren bajo condiciones de desastre.

7 COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE ISO27001SECURITY.COM.Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002. Traducido por www.iso27000.es. [En lnea]Versin 1, 16 p. 2007. [Consultado 26 de enero, 2014]. Disponible en Internet:(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.pdf)


27/135

27

Elaboracin y Aplicacin de un Sistema de Gestin de la Seguridad de laInformacin (SGSI) Para La Realidad Tecnolgica De La USAT 8 - CsarWenceslao De La Cruz Guerrero / Juan Carlos Vsquez Montenegro. El conceptocentral sobre el que se construye la norma ISO 27001, es el Sistema de Gestin

de Seguridad de la Informacin (SGSI).

La gestin de la seguridad de la informacin debe realizarse mediante un procesosistemtico, el cual debe ser muy bien documentado y debe ser conocido por todala organizacin.

No es posible garantizar el 100% de proteccin, ni siquiera si se dispusiera de unpresupuesto ilimitado.

Segn ISO 27001, la seguridad de la informacin consiste en la preservacin desu confidencialidad, integridad y disponibilidad de la informacin y de los sistemasimplicados en el tratamiento de la misma, dentro de una organizacin. Estos trestrminos son la base sobre la que se construye el edificio de la seguridad de lainformacin.

Lo que no debes pasar por alto para gestionar la seguridad de lainformacin 9- H. Camilo Gutirrez Amaya. Para el autor al momento de integrartemas seguridad de la informacin con la organizacin lo ms complicado es queestos no se orientan en las necesidades e intereses del negocio, razn por la cualrevisa son los aspectos fundamentales que no se deben pasar por alto, talescomo:

Qu debe garantizar nuestro Sistema de Gestin de Seguridad de laInformacin (SGSI)?

La piedra angular: poltica de seguridad

Clasificar la informacin corporativa

Qu hacer y dnde enfocar esfuerzos: Anlisis de riesgos

8DE LA CRUZ, Csar y VASQUEZ, Juan. Elaboracin y Aplicacin de un Sistema de Gestin de la Seguridadde la Informacin (SGSI) para la realidad tecnolgica de la USAT. Chiclayo: Universidad Catlica SantoToribio De Mogrovejo. [En lnea], 2008, 160 p. Tesis de Grado Ingeniero De Sistemas y Computacin.[Consultado 16 de diciembre, 2014]. Disponible en Internet: (cip.org.pe/imagenes/temp/tesis/42464064.doc)9GUTIRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad de la informacin. En:Revista.Seguridad. [En lnea]. no.22(ago-sep.2014). p.04-06. [Consultado 26 de enero, 2015]. Disponible enInternet: (revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num22.pdf)


28/135

28

Lo que no se puede olvidar

Normatividad en las organizaciones: Polticas de seguridad de la

info rmacin - Parte I10

- Miguel ngel Mendoza Lpez, Pablo Antonio LorenzanaGutirrez. En el mbito de la seguridad de la informacin, una poltica es undocumento donde se consignan las reglas o requisitos definidos y que debencumplirse en una organizacin. Presenta una declaracin formal, de manera brevey en un alto nivel, la cual que abarca las creencias generales de la organizacin,metas, objetivos y procedimientos aceptables para un rea determinada.

Las polticas de seguridad de la informacin proveen un marco para que losempleados de una organizacin sigan las mejores prcticas, permitiendo de estamanera minimizar riesgos y responder a incidentes inesperados, es por esto queal crearse el documento de las polticas es imprescindible tener en cuenta lasoperaciones cotidianas, los hbitos de sus empleados y la cultura organizacional,para as llegar a todas las audiencias logrando su aceptacin y cumplimiento.Igualmente ayudan a la organizacin a asegurar sus activos, definir su posturaante la proteccin de la informacin frente a sucesos tales como: accesos noautorizados, modificacin, divulgacin o destruccin.

Polticas Generales De Seguridad De La Informacin - Ministerio deAmbiente y Desarrollo Sostenible11. Con el aumento en el nmero de incidentes deseguridad de la informacin en las organizaciones los cuales generan prdidasfinancieras y reputacionales, se crea la necesidad de implementar un Sistema de

Gestin de Seguridad de la Informacin donde se diseen, documenten,implementen y monitoreen controles basados en una gestin de riesgos queminimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptablespara la organizacin.

El Ministerio de Ambiente y Desarrollo Sostenible (MADS) decide establecer,implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI; porello, divulga mediante este documento los aspectos relevantes en seguridad de lainformacin de una forma general.

10MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones: Polticas de seguridad de lainformacin - Parte I. En: Revista.Seguridad. [En lnea]. no.16, (Ene-Feb 2013). p. 13-17. . [Consultado 17 dediciembre, 2014]. Disponible en Internet:(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seguridad_Num16_0.pdf)11MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE. Polticas Generales de Seguridad de la Informacin. [En lnea].Ver.1. 9p. Bogot, 2014. [Consultado 14 de junio, 2015]. Disponible en internet:(https://www.minambiente.gov.co/images/tecnologias-de-la-informacion-y-comunicacion/pdf/Politica_de_seguridad__definitiva___pdf.pdf)


29/135

29

Herramientas para la implantacin de un SGSI12 Oscar de la Cuesta.Listado de herramientas para la implantacin de un Sistema de Gestin de laSeguridad de la Informacin.

La norma ISO 27001:2013 Cul es su estructura?13 - ISOTOOLSEXCELLENCE. La norma ISO 27001:2013 no slo establece cambios en elcontenido sino tambin en la estructura, vindose reflejada en otros documentosque hacen parte de la familia ISO 27000.

La norma ISO 27001:2013 se ha desarrollado con base en el Anexo SL,proporcionando un formato y una alineacin conjunta que siguen el desarrollodocumental de un Sistema de Gestin sin importarle el enfoque empresarial; todoslos documentos que se relacionan con el Sistema de Gestin de Seguridad de laInformacin se alinean bajo la misma estructura evitando problemas de integracincon otros marcos de referencia.

Los pilares del SGSI 14 - ISOTOOLS EXCELLENCE. Existe tres aspectosfundamentales que se deben tener en cuenta siempre y no se pueden descuidar,los cuales se resumen en tres pasos sencillos determinados cmo el ABC de laseguridad de la informacin:

La seguridad en el negocio

Buenas prcticas durante la gestin

Concienciar a los usuarios

Por qu implantar un SGSI basado en la norma ISO 27001?15 - ISOTOOLSEXCELLENCE. Segn ISO-27001 un Sistema de Gestin de Seguridad de laInformacin eficaz, tiene que generar valor agregado a las organizaciones, ya queles permiten hacer mejor las cosas, es decir, de una forma mucho ms econmicay ms rpida.

12DE LA CUESTA, Oscar. Herramientas para la implantacin de un SGSI. [En lnea]. 2015. [Consultado 16 de enero, 2015]Disponible en Internet: (www.palentino.es/blog/herramientas-para-la-implantacion-de-un-sgsi/)13 ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 Cul es su estructura? [En lnea]. 2015.[Consultado 18 de junio, 2015]. Disponible en Internet: (www.pmg-ssi.com/2015/08/norma-iso-27001-2013-estructura/)14 ISOTOOLS EXCELLENCE. SGSI. Los pilares del SGSI. [En lnea]. 2015. [Consultado 18 de junio, 2015]. Disponible enInternet: (www.pmg-ssi.com/2015/07/pilares-sgsi/)15ISOTOOLS EXCELLENCE. SGSI. Por qu implantar un SGSI basado en la norma ISO 27001. [En lnea]. 2015. [Consultado18 de junio, 2015]. Disponible en Internet: (www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-norma-iso-27001/)


30/135

30

Implementar un Sistema de Gestin de Seguridad de la Informacin ISO 27001ofrece la oportunidad de optimizar las reas, dentro de la organizacin,relacionadas con la informacin que ms le importan a la alta direccin de laempresa.

La norma ISO 27001 persigue un enfoque muy detallado haca la Seguridad de laInformacin. Los activos necesitan proteger la informacin, ya sea en papel, enformato digital o los activos fsicos, los empleados deben tener los conocimientosnecesarios.

Medicin de un SGSI: diseando el cuadro de mandos 16 - Javier Cao.Implantar un SGSI debe siempre tener una motivacin y unos objetivos concretosy tangibles. Por tanto, la medicin que se debe instaurar dentro del sistema debertender a medir la realidad del cumplimiento de estos objetivos. Se pueden

establecer tres grandes ejes donde colocar sensores de medicin relacionadoscon las metas del SGSI, estos ejes son:

De Metas de la Direccin

Del riesgo

Del tiempo

Caractersticas deseables para un SGSI or ientado a PYMES17

- Lus EnriqueSnchez, Antonio Santos-Olmo, Eduardo Fernndez-Medina Y Mario Piattini. Eneste apartado, se analizan las metodologas deseables que debe tener un SGSIpara su implantacin y correcto funcionamiento analizado en el entorno de lasPYMES. Estas caractersticas son el resultado del anlisis detallado del estndarISO27001 y el mtodo de investigacin en accin.

Estos aspectos se pueden cumplir de forma total, parcial o pudieron no habersido abordados en el modelo. Los aspectos analizados son descritos acontinuacin:

16CAO, Javier. Medicin de un SGSI: diseando el cuadro de mandos. [En lnea]. {12 de enero de 2011}.Disponible en Internet: (www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-cuadro-de-mandos/)17SNCHEZ CRESPO, Luis, et al.Caractersticas deseables para un SGSI orientado a PYMES. [En lnea]. [03 de febrero de2015]. 16p. Disponible en Internet:(www.researchgate.net/publication/232252352_Caractersticas_deseables_para_un_SGSI_orientado_a_PYMES)


31/135

31

Ciclo de SGSI: Se describen las fases de desarrollo, implantacin ymantenimiento del SGSI.

Marco de trabajo:Describen los elementos que forman el SGSI luego de haberseimplantado.

Niveles de madurez: Orientado a la implantacin de una seguridad gradualbasada en niveles.

Cultura de seguridad:Orientado hacia la cultura de la seguridad.

Gua de buenas prcticas:Contempla la integracin de controles de seguridad ouna gua de buenas prcticas.

Anlisis y gestin del riesgo:Los activos del sistema de informacin deben sersometidos a mecanismos de valoracin y gestin de los riesgos.

Mtricas: Mecanismos de medicin de cumplimiento de los controles deseguridad.

Orientado a PYMES:Pensando particularmente en las PYMES.

Reutiliza el conocimiento: Adquiere conocimiento de las implantaciones, esteconocimiento podr ser reutilizado con el fin de facilitar implantaciones posteriores.

Dispone de herramienta software: herramienta que lo soporte.

Casos prcticos :Desarrollado a partir de casos prcticos.


32/135

32

6.2 MARCO CONCEPTUAL

6.2.1 Metodologa de Gestin de riesgos. La Metodologa de Gestin de Riesgosse enfocar a los activos de informacin de la organizacin que son identificados yvalorados por cada responsable en Surez Padilla & Ca. Ltda para poder disear,implementar, mantener y mejorar el Sistema de Gestin de Seguridad de laInformacin (SGSI).

6.2.2 Identificacin de activos de informacin. De acuerdo con la norma ISO/IEC27001, activo de informacin se define como cualquier elemento que tenga valorpara la organizacin y, en consecuencia, deba ser protegido.

Segn la anterior definicin la primera actividad en la Gestin de Riesgos es

identificar los activos de informacin y debe realizarse sin perder de vista elalcance definido y aprobado por la Alta Direccin para el Sistema de Gestin deSeguridad de la Informacin.

Para la identificacin de los activos de informacin se tomar como fuentes losdiferentes procesos de la organizacin junto con sus responsables que interactancon el alcance establecido y aprobado para SGSI.

Actividades necesarias para la identificacin de los activos de informacin:

Identificar los procesos y agendar las entrevistas con sus responsables.

Recoleccin de la informacin.

Consolidar la informacin.

Identificacin de Propietario, responsable y ubicacin

Los activos de informacin previamente identificados en el paso anterior, debentener su respectivo Propietario, rea o proceso donde se crea o custodia dichoactivo; Responsable, es un funcionario perteneciente al rea o proceso propietariode uno o un grupo de activos de informacin quien debe velar por que loscontroles de seguridad sean implementados; Ubicacin, es el rea fsica donde semantiene el activo de informacin.


33/135

33

Actividades necesarias para la ident if icacin de propietarios, responsable yubicacin:

Identificar los propietarios, responsables y ubicacin de los activos deinformacin.

6.2.3 Clasificacin de los activos de informacin. Se cuenta con nivel declasificacin de la informacin que ha sido establecido al interior de laorganizacin con los siguientes criterios:

Interna: Informacin cuya divulgacin no causa serios daos a la organizacin ysu acceso es libre a travs de cualquier otro medio de la organizacin.

Confidencial: Informacin cuya divulgacin puede afectar considerablemente lamisin de la organizacin, la divulgacin de esta informacin, requiere de laaprobacin del respectivo propietario o lder del proceso que se va a valorar.

Pblica: Informacin que por sus caractersticas debe estar a disposicin depersona natural o jurdica del Estado Colombiano.

Reservada: Informacin cuya divulgacin causara serios daos a la organizacinsi estuviera pblicamente disponible.

Para los activos de informacin se cuenta con una clasificacin de acuerdo a untipo y clase en la organizacin:

Tabla 1.Clasificacin de Activos de informacinTipo de activo Clase de activo

Activos de Informacin Puros

Informacin Digital

Informacin Fsica

Activos de Informacin intangibles

Activos de Tecnologas de Informacin

Servicios de informacin

Software

Hardware de TI

Controles ambientales


34/135

34

Tipo de activo Clase de activo

Activos de Informacin Recurso HumanoEmpleados

Terceros

Tabla 1. (Continuacin)

6.2.4 Valoracin de los activos de Informacin. Seguidamente, los activos deinformacin debe ser valorado de acuerdo a su impacto en trminos de la prdidade los tres (3) principios bsicos de la seguridad de la informacin que son: laConfidencialidad, la Integridad y la Disponibilidad.

Partiendo de las tres (3) caractersticas de la seguridad de la informacin y el valoreconmico, se establece la escala de calificacin que contempla cinco (5) niveles

de impacto:

Tabla 2.Confidencialidad, Integridad y Disponibilidad

ValoracinCuantitativa

Valoracin Cualitativa

1 Muy Bajo2 Bajo3 Medio4 Alto5 Muy Alto

Tabla 3.Valoracin Confidencialidad (C).

EscalaCuantitativa

EscalaCualitativa

Descripcin

1 Muy Bajo Se puede acceder por cualquier usuario

2 Bajo Se puede acceder solo por empleados o contratistas dela organizacin.

3 Medio Se puede acceder por Lderes de Proceso.

4 Alto Solo es posible el acceso para las personas citadas enlista de control de acceso.

5 Muy Alto Solo es posible el acceso por personal de la AltaDireccin y externos pertenecientes al Estado, tambin

Fuente: El Autor


35/135

35

Tabla 4. Valoracin Integridad (I).

EscalaCuantitativa

EscalaCualitativa

Descripcin

1 Muy Bajo Puede ser modificado en cualquier momento porcualquier usuario

2 Bajo Es posible la modificacin por cualquierfuncionario o contratista de la organizacin.

3 MedioEs posible la modificacin por Lderes deProceso.

4 Alto Solo se modifica bajo autorizacin del Comit deGerencia.

5 Muy AltoSolo se modifica con autorizacin de la AltaDireccin.

Fuente: El Autor

Tabla 5. Valoracin Disponibilidad (D).

EscalaCuantitativa

EscalaCualitativa

Descripcin

1 Muy BajoEl activo no est disponible por 1 semana y noafecta a la Organizacin

2 BajoEl activo No est disponible hasta por 3 das y noafecta a la organizacin

3 Medio El activo No est disponible hasta por 1 da y no

afecta a la organizacin4 Alto El activo No est disponible hasta por 4 horas.

5 Muy Alto El activo debe estar disponible siempre.

Tabla 5.(Continuacin)

Cada activo de informacin ser valorado en trminos de Confidencialidad,Integridad y Disponibilidad.

El valor del activo de informacin est dado por:

Valor Activo = C + I + D

Donde:


36/135

36

C= Confidencialidad, I = Integridad, D= Disponibilidad

La valoracin de los activos de informacin estar clasificada segn la siguiente

escala:

Tabla 6.Clasificacin del Valor del Activo

Clasificacin valor delactivo

Rango segn valor delactivo

Muy Alto 17 20Alto 14 16

Medio 11 13

Bajo 7 10Muy bajo 4 6

Fuente: El Autor

6.2.5 Anlisis y Evaluacin de Riesgos de Seguridad de la Informacin

a. Identificacin de las amenazas. Las amenazas son de dos tipos de origen:natural o humano, igualmente pueden ser deliberadas o accidentales y puedenafectar a ms de un activo generando diferentes impactos.

b. Identificacin de las vulnerabilidades. Las vulnerabilidades de los activos deinformacin son debilidades que son aprovechadas por amenazas y generan unriesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de laimplementacin de un control, para lo cual es necesario identificarla y monitorear.Pero es necesario dejar claro que un control mal diseado e implementado puedeconstituir una vulnerabilidad.

La identificacin de las vulnerabilidades se basa las entrevistas con losresponsables de los activos de informacin y sern registradas en la Matriz de

Riesgos.

c. Identificacin de los Riesgos. Los riesgos en seguridad de la informacin seidentificaran mediante el resultado de las pruebas de seguridad, identificacin porparte de los empleados quienes tienen claridad y han experimentado lamaterializacin de algunos riesgos en sus procesos. Los riesgos son relacionados


37/135

37

a las vulnerabilidades y amenazas de los activos de informacin los cuales sedebern listar en la matriz de riesgos.

Los riesgos se clasifican en: Lgico, Fsico, Legal y Locativo

d. Seleccin de la Probabilidad de Ocurrencia. El valor de la probabilidadestar determinado por el responsable del proceso con base a su experiencia, deacuerdo a la estimacin del riesgo asociado con la amenaza y vulnerabilidad delos activos de informacin.

Para los riesgos que no se han materializado en la organizacin y a los cuales noexiste claridad por parte del responsable en el grado de estimacin de lamaterializacin, el valor de probabilidad estar sujeto a datos de referencias

externas (Informacin de probabilidad de materializacin en otras organizaciones)o finalmente por criterio de experto en riegos.

Luego se deber consolidar una matriz que describe cada uno de los activosinvolucrados en el anlisis. Con ella se revisa cada uno de los riesgos existentensen seguridad y se relacionaron con los activos de informacin.

e. Determinar el impacto de los Activos de Informacin. El impacto estdeterminado por el mximo valor de la calificacin registrada en trminos de laseguridad de la informacin (Confidencialidad, Integridad y Disponibilidad) de los

activos de informacin.

f. Valoracin del Riesgo Inherente. El marco de referencia utilizado en laevaluacin del riesgo para los activos es la norma ISO 2700518.

Para la valoracin y evaluacin de los riesgos se tendrn en cuenta las siguientesvariables definidas anteriormente:

Valor del activo (VA).

Probabilidad P(A,V).

18 ICONTEC estndar Internacional ISO/IEC 27005:2008 Information Technology Security techniques Specification for an Information Security

Managment System


38/135

38

Valor Impacto (IMP).

Donde Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (2)

Con la anterior formula se obtendr el valor del riesgo asociado a cada activo deinformacin en trminos de su confidencialidad, integridad, disponibilidad, valoreconmico, la probabilidad de ocurrencia y el impacto asociado al SGSI.

g. Identificacin de controles existentes. Se realizar la identificacin decontroles documentados, implementados y monitoreados por la organizacin parala gestin del riesgo. Despus ser necesario verificar el valor del riesgo residual ydeterminar si es posible aplicar un plan de Tratamiento de Riesgo. Las accionesdefinidas para el tratamiento de los riesgos

Evitar: la accin que da origen al riesgo particular. Se evala y determina laviabilidad de si se puede o no evitar el riesgo en la compaa mediante el impactoque esto generara.

Transferir: a organizaciones como aseguradoras o proveedores que puedangestionar de manera eficaz el riesgo particular, siempre que no resulte un costosuperior al del riesgo mismo. Para seleccionar una tercerizacin de un riesgo seevala el costo beneficio es decir sea la opcin adecuada y econmica en suimplementacin, adicionalmente se debe verificar que el riesgo residual este en los

niveles de aceptacin de la compaa tras su implementacin.

Mitigar: mediante la aplicacin de controles apropiados de manera que el riesgoresidual se pueda revaluar como aceptable.

Aceptar: con el conocimiento y objetividad, siempre que cumplan con la polticade seguridad previamente establecida por la organizacin. Es la ltima decisinque se toma en el tratamiento de riesgos y aplica cuando no existe opcinalternativa bien sea por costo econmicos o por tiempos de implementacin.


39/135

39

Figura 2. Gestin de Riesgos

Fuente: www.iso27000.es/sgsi_implantar.html#seccion1

El Anlisis de Riesgos. Es uno de los procesos ms relevantes y prioritarios pararealizar la gestin de los riesgos y en la gestin de la seguridad de la informacinde una organizacin debe abordarse de primeras ya que es fundamental pararealizar la gestin de los riesgos, es decir para tomar la decisin de eliminarlos,ignorarlos, transferirlos o mitigarlos, as como determinar las necesidades deseguridad, las posibles vulnerabilidades y las amenazas a las que se encuentranexpuestas.

Actualmente, existen varias metodologas para realizar el anlisis de riegos, lascuales estn fundamentadas tres variables esenciales (activos, las amenazas ylas vulnerabilidades) que se identifican y se relacionan entre s para determinar losriesgos; entre las metodologas ms utilizadas se tienen Magerit, Octave yMehari, todas cumplen con el mismo objetivo, su diferencia se determina en laforma de presentacin de los resultados.

Figura 3.Elementos del Anlisis de Riesgos

Fuente: datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/31_leccin_11_proceso_de_identificacin_del_riesgo.html


40/135

40

6.2.6 Metodologa de anlisis de riesgos MAGERIT. Esta metodologa contempladiferentes actividades enmarcadas a los activos que una organizacin posee parael tratamiento de la informacin.

Determinar los activos importantes para la Organizacin, determinar suinterrelacin y el valor, en el sentido de qu costo supondra su degradacin.

Determinar las amenazas a que estn expuestos estos activos

Determinar si existe salvaguardas dispuestas y su eficacia frente al riesgo.

Estimar el impacto, generado en caso de materializarse una amenaza.

Estimar el riesgo o expectativa de materializacin de la amenaza.

Figura 4. Elementos del anlisis de riesgos potenciales

Fuente: Magerit v3 libro1 mtodo

El anlisis de los riesgos se realiza mediante la ejecucin de siguientes tareas:

Tabla 7. Mtodo de Anlisis de Riesgos

MAR Mtodo de Anlisis de RiesgosMAR.1 Caracterizacin de los activos

MAR.11 Identificacin de los activosMAR.12 Dependencias entre activosMAR.13 Valoracin de los activos

MAR.2 Caracterizacin de las amenazas


41/135

41

MAR Mtodo de Anlisis de RiesgosMAR.21 Identificacin de las amenazasMAR.22 Valoracin de las amenazas

MAR.3 Caracterizacin de las salvaguardasMAR.31 Identificacin de las salvaguardas pertinentesMAR.32 Valoracin de las salvaguardas

MAR.4 Estimacin del estado de riesgoMAR.41 Estimacin del impactoMAR.42 Estimacin del riesgo

Fuente: Magerit v3 libro1 mtodo Tabla 7. (Continuacin)

MAR.1: Caracterizacin de los activos

En esta actividad se identifican los activos importantes y como resultado de la

misma se genera el informe modelo de valor. Como subtareas tenemos; laidentificacin de los activos, identificacin de las dependencias entre activos yvaloracin de los activos

MAR.2: Caracterizacin de las amenazas

En esta actividad se identifican las principales amenazas sobre el sistema aanalizar, arrojando como resultado el informe mapa de riesgos. Consta de dossubtareas a saber: la Identificacin de las amenazas y la valoracin de las mismas

MAR.3: Caracterizacin de las salvaguardas

Se identifica las salvaguardas desplegadas en el sistema a analizar, comoresultado de esta actividad se obtiene tres informes: Declaracin de aplicabilidad;evaluacin de salvaguardas y vulnerabilidades del sistema

Como Sub-tareas dentro de esta actividad se tiene la identificacin de lassalvaguardas y su valoracin.

MAR.4: Estimacin del estado de riesgoEn esta actividad se procesan todos los datos recopilados en la ejecucin de lasactividades anteriormente relacionadas con el fin de realizar los siguientesinformes:


42/135

42

Estado de riesgo: estimacin de impacto y riesgo, resultado de las dos subtareasde esta actividad

Insuficiencias: Contiene las deficiencias o debilidades de las salvaguardasencontradas en el sistema.

Ciclo Deming (2005). Para establecer y gestionar un Sistema de Gestin de laSeguridad de la Informacin basados en la norma ISO 27001:2005, se utiliza elciclo continuo PDCA - Mejora continua

Figura 5.Ciclo Deming

Fuente: www.iso27000.es/sgsi_implantar.html#seccion1Plan (planificar): Se establece el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.


43/135

43

6.3 MARCO LEGAL

6.3.1 Principios para el Tratamiento de datos personales19: A continuacin selistan los principios que en materia de tratamiento de datos personales a reglado elgobierno colombiano a travs del Artculo 4 de la Ley Estatutaria 1581 de 2012, lacual fue reglamentada parcialmente por el Decreto Nacional 1377 de 2013.Estosson:

a)Principio de legalidad: El Tratamiento de los datos personales es unaactividad reglada y debe estar sujeta a las disposiciones legales vigentesaplicables.

b)Principio de finalidad:El Tratamiento de datos personales debe obedecer a

una finalidad legtima en consonancia con la Constitucin y la Ley, por lo tanto sedebe informar al titular de los datos personales.

c)Principio de libertad:El Tratamiento de datos personales slo se puederealizar previo consentimiento expreso e informado por parte del titular, por lotanto estos datos no podrn ser conseguidos o divulgados sin su previaautorizacin.

d)Princip io de veracidad o calidad: Esta informacin debe ser veraz, completa,exacta, actualizada, comprobable y comprensible. No se pueden tratar datos

parciales, incompletos, fraccionados o que induzcan a error.

e)Princip io de transparencia:En el Tratamiento de datos se debe garantizar altitular el derecho de obtener en cualquier momento y sin restricciones, informacinacerca de la existencia de cualquier tipo de dato o de informacin del cual estitular.

f)Principio de acceso y circulacin restringida: El Tratamiento de datos sesujeta a los lmites que se derivan de la naturaleza de los mismos, en

consecuencia este tratamiento solamente podr hacerse por personas autorizadas

19 COLOMBIA. CONGRESO DE LA REPBLICA. Ley Estatutaria de 2012. (17 octubre). Por la cual se dictan disposicionesgenerales para la proteccin de datos personales. [en lnea]. Bogot D.C.: Alcalda de Bogot. 2012. [Consultado el 23 demayo, 2015]. Disponible en Internet: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981


44/135

44

por el titular, por tanto no debe estar disponible en internet u otros medios dedivulgacin, a excepcin de la informacin que es pblica.

g)Principio de seguridad:La informacin sujeta a Tratamiento por elResponsable o Encargado del Tratamiento se deber manejar con las medidastcnicas, humanas y administrativas requeridas que brinden seguridad a losregistros evitando as entre otras ser adulterada, consultada, usada, accesada sinautorizacin del titular.

h)Principio de confidencialidad:Todas las personas que administren,actualicen o intervengan en el Tratamiento de datos estn obligadas a garantizarla reserva de la informacin y estn obligados a mantener su confidencialidad y norevelarla a terceros inclusive despus de finalizada su relacin con alguna de laslabores que comprende el Tratamiento.

6.4 ANTECEDENTES

Origen y posicionamiento del Estndar20:

ISO(Organizacin Internacional de Estndares) e IEC (Comisin Internacional deElectrotecnia) conforman un sistema especializado para los estndares mundiales.

JTC 1 (Join Technical Committee N1). Los borradores de estas NormasInternacionales adoptadas por la unin de este comit tcnico son enviados a losorganismos de las diferentes naciones para su votacin. La publicacin, ya comouna Norma Internacional, requiere la aprobacin de por lo menos el 75% de losorganismos nacionales que emiten su voto.

a. De los comienzos de la gestin de seguridad de la informacin hasta la ISO27001:200521:

20 CORLETTI, A. Anlisis de ISO-27001:2005. [en lnea], (abril 2006). [consultado 06 de mayo de 2015].Disponible en Internet: www.criptored.upm.es/guiateoria/gt_m292g.htm21 ASOCIACIN ESPAOLA PARA LA CALIDAD-AEC. La gestin de la seguridad en la empresa. En Revista Calidad. [enlnea], (Junio 2006). p.12. [Consultado 26 de noviembre, 2014]. Disponible en internet:www.aec.es/c/document_library/get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&groupId=10128


45/135

45

A inicios de los 90, el Departamento de Comercio e Industria del Reino Unido diocomienzo al desarrollo de la norma britnica BS, con el fin entre otros, de protegery regular la gestin de la seguridad en la empresa. La primera norma (BS 7799:95)fue aprobada oficialmente en 1995 y nace como un cdigo de buenas prcticas

para la gestin de seguridad de la informacin.

Cronolgicamente a este primer gran hito en la normalizacin de la gestin de laseguridad de la informacin le han precedido las siguientes normas y etapas:

1998, se publica la norma BS 7799-2, en ella se recogen especificaciones para lagestin de la seguridad de la informacin y por primera vez se lanzanrequerimientos certificables.

1999, segunda edicin, donde se en la que se agrega e-commence al alcance dela norma.

2000, Tras una revisin de ambas partes de la norma, en diciembre ISO apruebala norma ISO 17799 Parte 1 Cdigo de Prctica para los requisitos de gestin deseguridad de la informacin la cual no era certificable. Esta norma contiene unconjunto completo de controles que conforman las buenas prcticas de seguridadde la informacin, y que pueden ser aplicadas por toda organizacin sin importarcul sea su tamao.

2002, se realiza la revisin de la parte 2 de la BS (BS 7799-2:2002), sta si escertificable, con el fin de armonizarla con otras normas de gestin (ISO 9001:2000e ISO 14001:1996), y con los principios de la Organizacin para la Cooperacin yel Desarrollo Econmicos (OCDE).

2002, la norma es publicada norma UNE (UNE-EN ISO/IEC 17799/ 1:2002,prcticamente sin modificacin y se establece exclusivamente en Espaa otranorma, la UNE 71502.

2005,se publica el estndar ISO/IEC 27001, esta es la principal norma de la seriey en ella se encuentra los requisitos del Sistema de Gestin de Seguridad de la


46/135

46

Informacin. Es originada por la ya anulada BS 7799-2:2002 y es la norma con lacual se certifican como auditores externos los SGSIs de las organizaciones.22.

2005, Se revisa y actualiza la ISO 17799 la cual posteriormente se renombr como2702: 2005.

2006,BSI publica la BS 7799-3:2006, la cual se centra en la gestin del riesgo delos SGSI

2013, se publica la revisin aprobada de la ISO/IEC 27001:2013 donde seestablecen cambios en el contenido y la estructura de la norma. En la misma fechatambin es publicada la revisin aprobada de la ISO/IEC 2700:2013

Figura 6. Estructura de la ISO 27001:2005 /2013

Fuente:es.slideshare.net/fabiandescalzo/270012013-seguridad-orientada-al-negocio

b. Familia ISO-2700x. A continuacin se hace un acopio del conjunto deestndares que aportan informacin de la familia ISO-2700x que se puede teneren cuenta al momento de implementar un SGSI:23

22 PORTAL ISO 27001 EN ESPAOL. Origen serie 27K. [en lnea]. [Consultado 28 de noviembre, 2014]. Disponible eninternet: www.iso27000.es/iso27000.html

23PORTAL ISO 27001 EN ESPAOL. Serie 27000.Evolucin [en lnea]. [Consultado 29 de noviembre, 2014]. Disponible eninternet: www.iso27000.es/iso27000.html


47/135

47

ISO/IEC 27000 Entrega informacin introductoria a la seguridad de la informaciny la gestin de la seguridad de la informacin, el estado y la relacin de lasnormas de la familia de estndares para un SGSI.

ISO/IEC 27001 ISMS. Los lineamientos metodolgicos y los requerimientos de lanorma ISO/IEC 27.001 son propuestos bajo el enfoque metodolgico del Ciclo deDeming: Planificar; Hacer; Verificar y Actuar (PHVA). Su filosofa principal se basaen la gestin de riesgos

ISO/IEC 27002 Es el nuevo nombre de ISO 17799:2005. Es una gua de buenasprcticas que describe los objetivos de control y controles recomendables encuanto a seguridad de la informacin. No es certificable. La ltima edicin de 2013ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114Controles

ISO/IEC 27003 ISMS Tiene su origen en el anexo B de la norma BS 7799-2.

ISO/IEC 27004 gua para el desarrollo y utilizacin de mtricas y tcnicas demedida aplicables para determinar la eficacia de un SGSI y de los controles ogrupos de controles implementados segn ISO/IEC 27001.

ISO/IEC 27005 Publicada en segunda edicin el 1 de Junio de 2011. Proporcionadirectrices para la gestin del riesgo en la seguridad de la informacin y est

diseada para ayudar a la aplicacin satisfactoria de la seguridad de lainformacin basada en un enfoque de gestin de riesgos.


48/135

48

Figura 7. Familia ISO 27000 SI

Fuente: es.slideshare .net/Joha_pazmino/presentacin-iso-27001


49/135

49

7. DISEO METODOLGICO PRELIMINAR

El proyecto ser ejecutado tomando como referencia una metodologa de trabajoque permita en un futuro la implementacin del Sistema de Gestin de Seguridadde la Informacin (SGSI), bajo el estndar ISO 27001.

7.1 FASE 1. DIAGNOSTICO DE LA SITUACION ACTUAL

En esta etapa se desarrollarn las siguientes actividades:

7.1.1 Levantamiento de informacin e identificacin de los activos de informacinque componen el proceso alcance del sistema SGSI, a travs de la aplicacin demetodologas que contemplen entrevistas y formatos.

7.1.2 Revisin y Anlisis de las polticas y procedimientos de Seguridad existentesen la empresa.

7.1.3 Identificacin de Riesgos. La Metodologa utilizada estar soportada en elestndar de administracin de riesgos ISO 27005 para Gestin de Riesgos en

Seguridad de la Informacin.

7.1.4 Pruebas de Ingeniera Social

7.1.5 Generacin de Matriz de Riesgos identificados

7.1.6 Analizar y evaluar los riesgos

7.2 FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS YACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DEGESTIN DE SEGURIDAD INFORMTICA).

Con base en el anlisis y diagnstico realizado, se deber:


50/135

50

7.2.1 Definir y documentar las polticas de seguridad que deban implementarse.

7.2.2 Identificar y evaluar las distintas opciones de tratamiento de los riesgos

7.2.3 Seleccionar los objetivos de control y los controles del Anexo A de la NormaISO 27001 para el tratamiento del riesgo que cumplan con los requerimientosidentificados en el proceso de evaluacin del riesgo.

7.2.4 Definir estrategias de contingencia y recuperacin para los sistemasinformticos.

7.2.5 Recomendaciones para la implementacin del SGSI.

7.3 RECURSOS DISPONIBLES

7.3.1 Talento Humano. El desarrollo del proyecto estar a cargo de la estudiantede la especializacin de seguridad Informtica de la UNAD Sandra Yomay SurezPadilla y el aporte de dos ingenieros de la empresa de seguros Surez Padilla &Ca Ltda, responsables de la supervisin del proyecto.

7.3.2 Materiales y Equipos. Para el Anlisis y Gestin de Riesgos, se trabajarMagerit herramienta de software libre y un equipo porttil marca Lenovo L430Core i5 de propiedad de la estudiante de la especializacin de seguridadInformtica de la UNAD Sandra Yomay Surez Padilla.

7.3.3 Recursos Financieros. El resultado de este trabajo es benfico tanto para laempresa Surez Padilla & Ca Ltda y para la estudiante de la especializacin deseguridad Informtica de la UNAD Sandra Yomay Surez Padilla, los recursosfinancieros sern distribuidos as:


51/135

51

Tabla 8.Presupuesto del proyecto

tem Descripcin Cantidad UnitarioProyectado

Mes 1Proyectado

Mes 2 Total

Ingresos 0 $ 15.000.000 $ - $ - $ 15.000.000

Valor delproyecto

Valor delproyecto

$ 15.000.000

Gastos dePersonal $ 1.500.000 $1.500.000 $ 3.000.000

Sueldo

Ingeniero conestudios enespecializacin

- Medio tiempo

1 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 3.000.000

GastosGenerales

$ 860.000 $ 860.000 $ 1.880.000

Transporte Transporte $ 80.000 $ 80.000 $ 160.000

ServiciosTcnicos

$ 650.000 $ 650.000 $ 1.300.000

Materialesysuministros

Papelera,fotocopias,argollados,impresiones,etc.

$ 130.000 $ 130.000 $ 260.000

Serviciospblicos

Luz, telfono einternet $ 80.000 $ 80.000 $ 160.000

Inversin $ 2.400.000 $ - $ 2.400.000

EquipoPorttil

Estacin detrabajo

1 $ 2.400.000 $ 2.400.000 $ - $ 2.400.000

GRAN TOTAL $ 7.280.000

Fuente: El autor


52/135

52

8. RESULTADOS

8.1 FASE 1 ANAL ISIS Y DIAGNSTICO DE LA SITUACION ACTUAL

8.1.1 Descripcin de la Empresa. Agenc ia de Seguros Surez Padil la & Ca.Ltda. Agencia asesora de seguros con 20 aos de experiencia, ubicada en la CA68 B 78 24 INT 6 barrio Metrpolis de la Ciudad de Bogot D.C, dedicada a lacomercializacin de plizas de salud, seguros de vida, pensin, medicinaprepagada y seguros generales.

a. Misin Surez Padilla & Ca. Ltda. Somos una empresa dedicada a laasesora y comercializacin de seguros, con un equipo trabajo honesto ycomprometido que pone a disposicin de sus clientes, servicios de alta calidad,

proporcionndoles soluciones integrales, de ahorro y proteccin tanto personalcomo empresarial a la medida de sus necesidades.

b. Visin Surez Padilla & Ca. Ltda. En el 2.018 ser la compaa aseguradorapreferida del Sector Solidario, las familias y las empresas, siendo reconocida porser lderes en asesora y comercializacin de seguros; altamente reconocidos porel servicio al cliente, la honestidad y la experiencia, brindndoles seguridad atravs de un amplio portafolio de servicios.

La Organizacin

Figura 8.Diagrama Organizacional

Fuente: El autor


53/135

53

Funciones por dependencia

Gerente: Es quien dirige, controla y supervisa las actividades de la empresa.

Subgerente

Orientar la gestin del equipo comercial

Administrar los recursos para controlar la generacin de ventas con el fin decumplir con los objetivos establecidos por la Gerencia

Controlar el adecuado manejo de los activos de la empresa

Oficina Comercial: Est conformada por cinco (5) agentes comercialesencargados de visitar a los clientes ya establecidos y clientes potenciales, con elfin de dar a conocer el portafolio de servicios que presta la empresa.

Oficina Financiera:Est conformada por el contador y un auxiliar contable. Estaoficina es la encargada de mantener al da la informacin contable Financiera dela organizacin

Oficina de Recursos Humanos: Conformada por un jefe de personal y dosprofesionales de nmina

Se encarga de suplir cualquier puesto si es requerido.

Gestin y pago de nmina de los empleados

Velar por el bienestar de los empleados

Velar por el cumplimiento de las normas fijadas por la empresa

Realizar las labores administrativas

Adicionalmente la empresa cuenta con una secretaria, un mensajero y unapersona de servicios generales.


54/135

54

Fuentes de Informacin

Las personas a entrevistar durante el desarrollo de este proyecto sern:

Cristian Andrs Riao: Subgerente

Mara Victoria Martnez: Contadora

Jackelinne Manosalva Cruz: Jefe Recursos Humanos

Juan Carlos Rojas Castiblanco: Profesional de Nmina

Pedro Pablo Gonzlez Santos: Agente de seguros

Clemencia Martnez Jurado: Auxiliar contable

Con el fin de identificar el estado actual de la organizacin en cuanto a laSeguridad de la Informacin se realizaron entrevistas con los responsables de losprocesos, solicitando informacin y verificacin de la documentacin existente encuanto a seguridad de la informacin.

8.1.2 Anlisis de Riesgos

8.1.2.1 Activos

Tabla 9Identificacin de los Procesos

Procesos Descripcin Frecuencia

(Diario/Semanal Mensual)

Responsable

Soporte

telefnico asolicitud otrmite

Los agentes de seguros tienen asu cargo un determinado nmero declientes a los cuales dan soporte a

cualquier solicitud o trmite conrespecto a los seguros que hayanadquirido.

Diario Pedro PabloGonzlez

Santos


55/135

55

Procesos Descripcin Frecuencia

(Diario/Semanal Mensual)

Responsable

Atencin

personalizadaClientes

Visita a clientes potenciales con elfin de mostrarles e informarles

sobre el portafolio de servicios Diario

Pedro Pablo

GonzlezSantos

Legalizacinde plizas

El agente recibe losdocumentos requeridos por laaseguradora. realiza el trmite delegalizacin de la pliza ante laaseguradora, hacindole llegar elrespectivo ttulo al cliente

Segn necesidad Pedro PabloGonzlez

Santos

Control yverificacinde pagos

Control y verificacin de lospagos efectuados por losclientes con respecto a susobligaciones en los segurosadquiridos; Control y verificacin delos pagos de las primas giradas a laempresa por parte de lasaseguradoras.

Semanal Mara VictoriaMartnez

Gestinde

Nmina

Gestin de pago mensual denmina para los empleados Quincenal

Juan CarlosRojasCastiblanco

Gestin deTalentoHumano

Gestin de Contratos detrabajo, permisos,incapacidades, capacitacin

DiariaJackelinneManosalvaCruz

Fuente: El autor Tabla 9(Continuacin)

Tabla 10Sistemas que soportan el proceso

Nombre delSistema Descripcin

Criticidad(*)

Tipo deSistema

(PC/Servidor/Mainframe)

N deEquiposcon la

aplicacin


56/135

56

Nombre delSistema

DescripcinCriticidad

(*)

Tipo deSistema

(PC/Servidor/Mainframe)

N deEquiposcon la

aplicacin

B.D Clientes

Aplicacin en reddesarrollada en Accesspara el manejo de lainformacin de losclientes (registro deinformacin personal yplizas de segurosadquiridas porintermedio de laempresa

2 Servidor 7

Software"Humano"

Desarrollo a la medidahecho por SoporteLgico, para la gestindel talento humano yliquidacin de nmina,permite registrar lainformacin de hoja devida de los empleados.

3

Servidor

4

Interpaciolo

Software ContableAdministrativo yFinanciero desarrolladopor Softstation

2 Servidor 2

Fuente: El autor

Tabla 11Recursos de Hardware de los procesos

Tipo deHardware

Detalles delModelo/Configuracin

Distribuidor

Criticidad(*)

Localizacin

Servidor deAplicaciones

PowerEdge R410,Windows Server 2008 R2Standard 64-bit DELL 3

Sala deequipos

PCs

APU AMD Dual-Core E1-2500 con grficos RadeonHD 8240 (1,4 GHz, 1 MB decach), Memoria: DDR3 de

4 GB, Disco Duro SATA de500 GB,7200 rpm

HP (Compaq)

3

Oficinas

Fuente: El autor Tabla 11(Continuacin)


57/135

57

Tabla 12Otros activos

Descripcin

Tipo Criticidad(*)

Localizacin

Switch 5500G-EI 24Puertos

Equipos Activos 2 Sala de equipos

FIREWALL CISCO ASA5520

Equipos Activos Sala de equipos

Aire Acondicionado MarcaYORK 9000 BTU

3 Sala de equipos

Lnea RDSI decomunicaciones

Comunicaciones 2 Sede Principal

Fuente: El autor

Se hace uso de la herramienta PILAR aunque no lleg la licencia solicitada se

realiz un trabajo largo y dispendioso dentro de los cuales se incluye laidentificacin de los activos:


58/135

58

Figura 9Identificacin de activos - Metodologa Margerit

SS

A

A

A

A [S_Internet] Acceso a Internet

A [S_telefonia] Telefonia IP

A [SW_Nom] Software de Nmina "Humano"

A SW_Clientes] B.D Clientes

A [SW_ Contable] Software de Contabilidad

A [PC] Puestos de trabajo

A [SRV] Servidor

A [LAN] Red local

A [firewall] Cortafuegos

A [ADSL] Conexin a Internet

A [ADSL] Servicio de Telefona IP

A [offices] Oficinas

A [dc] sala de equipos

[HV_Clientes]Carpetas Cl ientes

[HV_Funcionarios]Hoja de Vida Funcionarios

[technical] Servicios tcnicos auxil iares

[IS]Servicios Internos

ACTIVOS

[B]Activos esenciales: informacin & servicios

[A_pers] Atencin personalizada clientes[Atn_Tel] Atencin telefnica a clientes

[Lib_Cont] Libros contables

[P] Personal

[SW] Apl icaciones

[HW] Equipos

[COM] Comunicaciones

[E] Equipamiento

[SS] Servicios subcontratados

[L] Instalaciones

Fuente: El autor

a. Valoracin de Activos: De acuerdo con los preceptos estipulados en lanorma ISO 27001:2013 los activos de informacin deben ser valorados con base ala disponibilidad, confidencialidad e integridad. La valoracin que cada activoreciba se relacionar con base a las entrevistas o a informacin suministrada porel responsable del activo.


59/135

59

De igual manera se tendr en cuenta el valor econmico del activo de informacinel cual corresponde al costo inicial que la entidad suministro para obtener elactivo de informacin.

La valoracin de la integridad, disponibilidad, confidencialidad y valor econmicose realizar de uno a cinco donde 1 es la calificacin ms baja y cinco es lacalificacin ms alta como se puede ver en la tabla 13, en la cual tambin serelaciona al valor cuantitativo una calificacin cualitativa para cada activo deinformacin.

Tabla 13 Calificacin y Clasificacin

Calificacin: Integridad,Confidencialidad,

Disponibilidad

Clasificacin

1 Muy bajo2 Bajo3 Medio4 Alto5 Muy Alto

El valor del activo corresponde a la suma de la confidencialidad, disponibilidad,

integridad y valor econmico, dnde 3 es la calificacin ms baja y 20 lacalificacin ms alta. De igual forma la clasificacin del activo corresponde a lacaracterizacin cualitativa del valor del activo antes mencionado, segn los rangosdefinidos en la tabla 6.


60/135

60

Figura 10Valoracin de activos

[D] [I] [C] [VE] VT_ACTIVO]

S [4] [4] [3] [11]

S [3] [4] [3] [10]

A [1] [3] [4] [5] [13]

A [2] [5] [5] [1] [13]

A [1] [4] [2] [2] [9]

A [S_Internet] Acceso a Internet [2] [2] [4]

A [S_telefonia] Telefonia IP [3] [3] [6]

A [SW_Nom] Software de Nmina "Humano" [3] [5] [4] [5] [17]

A SW_Clientes] B.D Clientes [3] [5] [5] [3] [16]

A [SW_ Contable] Software de Contabilidad [3] [5] [5] [4] [17]

A [PC] Puestos de trabajo [1] [2] [3]

A [SRV] Servidor [5] [4] [4] [4] [17]

A [LAN] Red local [4] [5] [9]

A [firewall] Cortafuegos [2] [4] [6]

A [ADSL] Conexin a Internet [2] [2] [4]

A [ADSL] Servicio de Telefona IP [2] [2] [4]

A [offices] Oficinas [2] [3] [5]

A [dc] sala de equipos [4] [5] [5] [14]

[4] [5] [5] [5] [19]

[COM] Comunicaciones

[SS] Servicios subcontratados

[L] Instalaciones

[P] Personal

[HV_Clientes]Carpetas Clientes

[HV_Funcionarios]Hoja de Vida Funcionarios

[technical] Servicios tcnicos auxiliares

[E] Equipamiento

[SW] Aplicaciones

[HW] Equipos

ACTIVOS

[B]Activos esenciales: informacin & servicios

[A_pers] Atencin personalizada clientes

[Atn_Tel] Atencin telefnica a clientes

[IS]Servicios Internos

[Lib_Cont] Libros contables

b. Identificacin de Amenazas: Las amenazas son los eventos inesperadoscon potencial para causar daos. La siguiente es la lista de amenazas aplicablesal contexto de Surez Padilla & Ca. Ltda encontradas en el anlisis y acordadoscon la empresa.

(E) Fallos no intencionados [E.1] Errores de los usuarios[E.2] Errores del administrador del sistema/ de la seguridad[E.4] Errores de configuracin[E.8] Difusin de software daino[E.15]Alteracin de la informacin[E.18] Destruccin de la informacin


61/135

61

[E.19] Fugas de Informacin[E.20] Vulnerabilidades de los programas (software)[E.21] Errores de mantenimiento/ actualizacin de programas (software)[E.23] Errores de mantenimiento/ actualizacin de programas (hardware)[E.24] Cada del sistema por agotamiento de recursos[E.25] Prdida de equipos

(A) ataques deliberados o intencionados [A.3] Manipulacin de los registros de actividad (log)[A.4] Manipulacin de los ficheros de configuracin[A.5] Suplantacin de Identidad[A.6] Abuso de privilegios de acceso[A.7] Uso no previsto[A.8] Difusin de software daino[A.11] Acceso no autorizado[A.15] Modificacin de la informacin

[A.18] Destruccin de la informacin[A.19] Revelacin de la informacin[A.22] Manipulacin de programas[A.23] Manipulacin de hardware[A.24] Denegacin de servicio[A.25] Robo de equipos[A.28] Indisponibilidad del personal[A.26] Ataque destructivo

(I) De origen industrial[I.1] Fuego

[I.2] Daos por agua[I.*] Desastres naturales[I.3] Contaminacin medio ambiental[I.5] Avera de origen fsico o lgico [I.6] Corte de suministro elctrico[I.7] Condiciones inadecuadas de temperatura o humedad[I.8] Fallo de servicios de comunicaciones[I.9] Interrupcin de otros servicios o suministros esenciales[I.10] Degradacin de los soportes de almacenamiento de la informacin

(N) Desastres naturales[N.1] Fuego[N.2] Daos por agua[N.*] Desastres naturales

c. Identificacin de Vulnerabilidades. En el marco de las posibles amenazasque pueden llegar a materializarse, las siguientes son las vulnerabilidadesreferenciadas por los entrevistados e identificadas durante las visitas a sitio y que


62/135

62

pueden ser explotadas para convertir una amenaza en un riesgo real causandodaos graves en la empresa:

Existencia de materiales inflamables como papel o cajas

Cableado inapropiado

Mantenimiento inapropiado del servicio tcnico

Deficiencia en la capacitacin y concienciacin en temas de seguridad de lainformacin

Ausencia de poltica de seguridad

Derechos de acceso incorrectos

Ausencia de un sistema de extincin automtica de fuegos/humos

Ausencia de control de cambios de configuracin eficiente y efectiva

Descarga incontrolada y uso de software de Internet

Ausencia de mecanismos de cifrado de datos para la transmisin de datosconfidenciales

Proteccin fsica de equipos inadecuada

Ausencia de un Plan de recuperacin de incidentes

No se exige el uso de contraseas seguras para los accesos a lossistemas de informacin

No se han implementado polti

Diseño de SGSI_tesis .pdf

Documents

Transcript of Diseño de SGSI_tesis .pdf