Plan de seguridad informática en base a la norma internacional ISO/IEC 27001 para mejorar las seguridades del centro de procesamiento de datos (CPD) para la empresa “Chiriboga y Jara CH&J” en la Provincia Francisco de Orellana Cantón Orellana.
Caracterización de la propuesta
El presente documento de investigación se lo realizará con el objetivo de elaborar un plan de seguridad informática que agilite la seguridad del CPD para resguardar su confidencialidad, integridad y disponibilidad de la información, activos y bienes físicos basándose en la norma ISO/IEC 27001 que proporciona un marco de referencia para la ejecución de mejores prácticas. El proyecto que está destinado para la empresa “CHIRIBOGA Y JARA CH&J” en la Provincia Francisco de Orellana Cantón Orellana.
Actualmente los procesos en el ámbito tecnológico de CH&J no es el adecuado en niveles de seguridad, ubicación y confort ya que se debe de asumir mejoras para así minimizar los riegos tecnológicos que puedan afectar directa e indirectamente la productividad al personal y posteriormente organización que se verá afectada. El aporte de esta investigación está enfocado en los aspectos de interés tomando como marco de referencia la norma ISO/IEC 27001 y son los siguientes:
Políticas de seguridad de la Información
Seguridad de los equipos
Segregación de funciones
Supervisión
Control de accesos
Responsabilidad y procedimientos
Manejo de Talento Humano
Política de seguridad
En esta fase se incluirán los objetivos de seguridad de la información de la empresa teniendo en cuenta los requisitos del negocio, legales y contractuales referente a la seguridad, mismos que se alinearan con la gestión de riesgos en general, establecer criterios de evaluación de riesgos y ser aprobada por la Gerencia General para la elaboración del plan de seguridad informática (PSI).
Asignación de responsabilidades de seguridad
Para dar cumplimiento a esta fase se parte primero de que en toda institución se deben asignar roles, funciones y responsabilidades más aún si se trata de aspectos de seguridad por tal razón en la elaboración del PSI cada área, tarea o actividad referente al CPD contará con un responsable.
Formación y capacitación para la seguridad
Es importante que se cuente con un personal que vaya alineado con los valores y principios institucionales pero mejor aun cuando estos se encuentran capacitados en aspectos de seguridad informática.
Registro de incidencias de seguridad
La gestión documental genera valor agregado, en esta fase se realizará el registro de los eventos para con esto determinar su impacto e incidencia y con esto tomar los controles respectivos y con esto dar respuesta a los incidentes.
Gestión de continuidad del negocio
Esta fase se enfoca en mantener la continuidad del negocio va relacionado con la disponibilidad siendo este uno de los factores más relevantes en cuanto a la seguridad de la información.
Salvaguarda de los registros de la información
Siendo la información uno de los activos más importantes de toda organización es importante preservar cada uno de los registros transaccionales que se realizan en cada empresa.
Protección de datos personales
Como se mencionó en el punto anterior de la importancia de la información la protección de los datos personales. El objetivo de la protección no son los datos en sí mismo, sino el contenido de la información, para evitar negligencias dentro de la empresa.
Esta vez, el motivo o el motor para la implementación de medidas de protección, por parte de empresa, es la obligación jurídica o la simple ética personal, de evitar consecuencias negativas para las personas de las cuales se trata la información.
Desarrollo de la propuesta
La propuesta está planteada descrito en el capítulo inicial, en normas ISO/IEC de la familia 27000 más concretamente en la ISO 27001 usando la metodología Deming para el desarrollo de un plan de seguridad informática rigiéndose a la norma siguiendo las directrices induciendo manual de políticas y procesos para mejorar las seguridades del centro de procesamiento de datos CPD en la empresa “Chiriboga y Jara” ya que existen carencias de protocolos de sus activos informáticos.
Planeación
Alcance del Plan informático
El plan de seguridad informática abarca el departamento tics, administrativo, dirección, ventas, bodega y todos los equipos y recursos informáticos que se encuentren inmersos a él dentro de la empresa Chiriboga y Jara en la ciudad Francisco de Orellana.
Límites del Plan de seguridad.
El plan de seguridad informática abarca la infraestructura, políticas, manuales para mejorar los niveles de seguridad mejorando el flujo y seguridad del Centro de Procesamiento de Datos CPD en base a la norma internacional ISO/IEC 27001 indirectamente a su vez el área tecnológica de la empresa Chiriboga y Jara en la ciudad Francisco de Orellana.
Características de la empresa Chiriboga & Jara
La empresa Chiriboga & Jara se encuentra ubicada en la Provincia Francisco de Orellana Cantón Orellana en la Av. Principal calle Alejandro Labaka como gerente de la empresa al Ing. Jhon Chiriboga, actualmente la organización es una de las pioneras en prestar servicios industriales a las empresa de Orellana con un excelente servicio y experiencia.
Análisis de la situación actual
En el proceso del desarrollo de la investigación se observó que no existe políticas de seguridad, manuales de procesos para encargados de la administración del CPD y normativas de sus activos informáticos que posee actualmente CH&J.
La empresa está ubicada en un sector estratégico del Cantón Orellana, actualmente cuenta con cuatro departamentos entre los que figuran: ventas, bodega, dirección y administración, tics que a su vez este último tiene dentro de su infraestructura los dispositivos y servidores de red que se encuentran en total estado de vulnerabilidad tales como confidencialidad, integridad, disponibilidad ante cualquier usuario mal intencionado.
La empresa CH&J tiene conocimientos sobre las buenas prácticas de la gestión de la información pero no ha llegado a implementarlas por completo. En los estudios realizados periódicamente en la empresa CHIRIBOGA Y JARA CH&J, se puede determinar el déficit en el control de sus activos debido a esto existe un cierto un alto grado de inseguridad, hay que mencionar que en la empresa toda la
información es manejada por los factores tecnológicos que son necesarios saber administrarlos y blindarlos ante riegos, catástrofes.
A continuación se detalla algunos aspectos analizados como situación actual de la institución:
Los equipos informáticos de los diferentes departamentos administrativo, ventas, bodega no están ubicados correctamente lo que provoca deficiencias y a su vez el personal no está capacitado correctamente de cómo manejar estos equipos de una manera eficiente y varios de estos equipos se encuentra conectados a un mismo UPS, además no existe una buena organización del cableado de los equipos provocando inseguridad en sus bienes.
No existe un correcto control del manejo del personal la empresa en sus obligaciones internamente lo que conlleva a provocar pérdida o retraso de la información.
Inexistencia de un manual de políticas de seguridad informáticas para el correcto manejo de los activos informáticos y talento humano.
Carencia de un manual de procesos conlleva a que exista toma de decisiones al momento de ejercer una función en determinado departamento de la empresa. No manejan una correcta asignación de roles hace que exista incumplimiento de las tareas asignadas además la falta de identificación del personal hace que exista infiltración a lugares no autorizados.
Incorrecta ubicación del CPD hace que exista perdida de información sea por manipulación de terceros o desastres naturales.
Por siguiente no existen seguridades para el centro de procesamiento de datos, ya que no se generan las incidencias de este activo.
No existe ventilación permite que exista sobrecalentamiento de los equipos tecnológicos.
Existe vulnerabilidad a ataques, fallos eléctricos, desastres naturales y ahora existen un gran déficit cuando desde la empresa se generan carencias en las seguridades que la misma maneja. Ya sea por accesos indebidos o no autorizados a la información son realizados principalmente por los empleados de la misma.
El área TI no maneja un correcto control de sus equipos tecnológicos debido a esto existe un mal uso de sus bienes informáticos.
Los bienes tecnológicos de la empresa no están inventariados debido a esto existe un desconocimiento de los recursos que posee.
No manejan un correcto control del mantenimiento a los dispositivos tecnológicos.
Mediante el desarrollo de un plan de seguridad informática se pretende mejorar y cubrir sus carencias con el objetivo de resguardar su activo más importante que es la información, es necesario concientizar al grupo de trabajo de la empresa con charlas capacitaciones con el fin de que conozcan los procesos del manejo de la información y sus bienes informáticos.
Análisis de resultados
Realizado el análisis de la situación actual de Chiriboga&Jara distribuidora de mangueras hidráulicas, se establece la aplicación de encuestas hacia el personal de la empresa para obtener un análisis mejor detallado y exacto de sus bienes y la seguridad informática que posee, los resultados se encuentran en el segundo capítulo del presente proyecto y mediante ellos se logró evaluar las vulnerabilidades, amenazas y riesgos de la empresa.
Descripción de las funciones y cargos del departamento de tecnologías Tener una metodología clara de las funciones a desempeñar el responsable de Tics en Chiriboga & Jara permitiendo definir las competencias y responsabilidades de los activos tecnológicos, y a su vez tener una idea claro de los roles y cargos bajo su responsabilidad durante los procesos que se realicen.
Tabla 3 Perfil del Responsable de Tics
Responsable de TICS Objetivo
Dirigir los procesos técnicos y administrativos en el área de informática y comunicación, administrando los recursos, a fin de satisfacer las necesidades de la Institución.
Responsabilidades.
1. Elaboración y seguimiento del Plan de Seguridad Informática 2. Participar en planes de estrategia de Chiriboga & Jara
3. Asesoramiento de tecnología para la adecuada adquisición del hardware y software.
4. Asesoría informática para el adecuado uso del hardware y software de
. Chiriboga & Jara
5. Revisar y Firmar la documentación del departamento para los acuerdos de
. la empresa
6. Dar seguimiento a las áreas de redes, hardware y soporte a usuarios, así como la reasignación de tareas dentro de la empresa.
7. Proponer mejoras a los actuales procesos internos de CH&J, en donde el . área informática se encuentre involucrada.
8. Colaborar con el plan de capacitaciones.
Tabla 4 Descripción de Funciones de Soporte
PERFIL DE SOPORTE Objetivo
Brindar el Soporte y mantener en óptimas condiciones los equipos informáticos, telefonía, conectividad, recursos informáticos básicos, que garanticen su correcto funcionamiento.
Responsabilidades.
1. Brindar Soporte al personal Administrativo, Ventas, Bodega. 2. Llevar una Bitácora de soporte realizado
3. Instalar los equipos informáticos y telefónicos, elementos de conectividad y recursos informáticos.
4. Evaluar e implementar la topología física de la red.
5. Diagnosticar fallas en los equipos informáticos, redes y datos, sistemas operativos, conectividad.
6. Tramitar las garantías de los equipos informáticos
7. Instalar y dar mantenimiento a los sistemas de Video Vigilancia de la Institución.
8. Mantener el Inventario actualizado de todos los equipos y recursos informáticos de CH&J.
9. Reportar defectos en el software.
Elaborado por. Escobar, C.
Tabla 5 Descripcion para mantenimiento
PERFIL PARA MANTENIMIENTO. Objetivo
Realizar actividades técnicas en el área de las tecnologías de información y comunicación, ejecutando las acciones correspondientes, a fin de asegurar la operatividad de los recursos y servicios informáticos en la Institución.
Responsabilidades.
1. Reportar Fallas a los proveedores equipos amparados por garantías. 2. Realizar respaldos de la información que se encuentra en los equipos de los funcionarios.
3. Instalar Software en los equipos. 5. Repara equipos sin garantías.
6. Elaborar Planes de Mantenimiento preventivo y correctivo de Software y Hardware.
7. Verificar que no existan fallas en equipos informáticos distribuidos al personal Administrativo.
8. Elaborar requisiciones de materiales, herramientas.
9. Otras Funciones encomendadas por el Responsable de Tics Elaborado por. Escobar, C.
Diseño y elaboración de procesos
Para el desarrollo del diseño y elaboración de procesos en la empresa CH&J se plantea un plan informático en base a la norma ISO 27001 para mejorar las seguridades del CPD en el cual se detalla que consta de los siguientes aspectos:
Manual de Políticas de Seguridad Informática.
Manual de Procesos en áreas TI de la empresa.
Estructura del desarrollo del proyecto
Manual de Políticas de Seguridad Informáticas
Conociendo las necesidades se determina el Manual de Políticas de Seguridad Informática, que engloba los controles necesarios para el desarrollo tomando como lineamientos los principales dominios, que se detallan a continuación:
Política de Organización de la información
La presente Política establece la administración de la seguridad de la información como parte fundamental de los objetivos y actividades de la empresa. Por lo cual se definirá un ambiente de gestión para efectuar tareas como la aprobación de la política, la coordinación de su implementación y la asignación de funciones y responsabilidades.
Objetivo
Conocer los enfoques de la seguridad de la información internamente en Chiriboga & Jara mediante un marco gerencial para inicio y control de su desarrollo, así como para la distribución de funciones y responsabilidades. Garantizar la aplicación de medidas de seguridad adecuadas en los accesos
de terceros a la información de la empresa.
Política de Seguridad de los recursos humanos
Es importante informar y capacitar al personal de la empresa desde su ingreso y en forma continua acerca de las medidas de seguridad y confidencialidad que afectan al desarrollo de sus funciones.
Objetivo
Mantener al personal capacitado para que no se produzca riesgos humanos o usos inadecuados de sus instalaciones, recursos y manejo no autorizado de la información.
Política de Gestión de activos
Chiriboga & Jara y su personal encargado tendrá presente sobro los activos que posee la empresa, como parte importante de la administración de riesgos, mismo es el propietario de todas los bienes generados o adquiridos y definidos en el presente documento.
Objetivo
Garantizar que los activos de la empresa manejen niveles de seguridad a sus activos apropiados y acorde a lo establecido manteniendo la confidencialidad, integridad y disponibilidad que se establecen en el presente manual.
Política de Control de accesos
El acceso no autorizado CH&J debe emplear medios para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y contralados en cuanto a su cumplimiento.
Objetivo
Preservar la información, impidiendo el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
Concientizar a los usuarios respecto a su responsabilidad al frente de contraseñas y manejo de equipos.
Controlar la seguridad en la conexión entre la red de la empresa y otras redes públicas o privadas.
Política de Criptografía
La criptografía se usa en forma primaria para proteger la información del riesgo de seguridad que la misma pueda ser interceptada por cualquier persona no autorizada. Esto reduce la probabilidad de que partes no autorizadas puedan tener acceso a la información.
Objetivos
Garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, no-repudio, la autenticidad V/o la integridad de la información.
Política de Seguridad física y ambiental
La seguridad física y ambiental brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones de la empresa. Así mismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad.
Objetivos
Prevenir e impedir accesos no autorizados, daños e interferencias a las instalaciones o activos físicos y de software y de información de la empresa. Proteger el equipamiento de procesamiento de información crítica de CH&J ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definidor con medidas de seguridad y controles de acceso apropiados.
Política de Seguridad en la Operaciones
La dispersión de software malicioso, como virus, troyanos hace necesario que se adopten medidas de prevención, a efectos de evitar la ocurrencia de tales amenazas.
Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.
Política de Seguridad en las comunicaciones
El COMISEG buscara mecanismos para asegurar la protección de la información que se comunica por redes y la protección de la infraestructura de soporte. Para lo cual CH&J cuenta con una red de datos y una red de internet.
Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.
Política Aspectos de seguridad de la información de la gestión de la continuidad de negocio
Chiriboga & Jara se compromete a garantizar que todos los procesos críticos del negocio operen adecuadamente, bajo los principios de universalidad, continuidad, oportunidad, calidad y confiabilidad, para asegurar el abastecimiento nacional de combustibles, mediante la implementación de un plan de continuidad de negocio. Objetivo
Definir los lineamientos a seguir, antes, durante y después de una interrupción en las operaciones de Chiriboga & Jara, que respondan asertiva y oportunamente ante eventos que afecten los servicios de la Empresa, así como gestionar la continuidad y restauración de sus procesos, buscando el mínimo impacto en las operaciones.
Política de Cumplimiento
El personal de CH&J deberá de cumplir con las políticas de seguridad con el objetivo de evitar sanciones y en casos especiales sanciones civiles o penales. Objetivos
Garantizar que los sistemas, el personal de la empresa y terceros autorizados cumplan con la política, las normas y los procedimientos de seguridad de la empresa.
Manual de procesos y para encargados de la administración del CPD y áreas TI de la empresa.
La empresa Chiriboga & Jara tendrá un enfoque estructurado mediante un “Manual de Procesos y Procedimientos” como herramienta que permita direccionar las acciones de la organización, a través de un enfoque basado en procesos, que coadyuve a mejorar la eficacia y eficiencia mediante una gestión horizontal, que cruce las barreras entre la diferentes unidades funcionales para unificar sus enfoques hacia los objetivos y metas de la Empresa.
A continuación se detallan los controles para realizar los procesos que se adapten a la necesidad que se necesita cubrir en la empresa CH&J.
Procesos para Mantenimiento Objetivo
Mantener un correcto funcionamiento de todos los equipos de cómputo y dar seguimientos a las garantías de los mismos.
Procesos de Soporte Tics Objetivo
Proporcionar soporte técnico a todos los usuarios de equipos de cómputo de Chiriboga & Jara que lo soliciten en cuestión de software, hardware, y redes.
Procesos de Instalación Objetivo
Integrar a la empresa Chiriboga & Jara las nuevas adquisiciones de equipos informáticos, así como la actualización, instalación y sustitución de componentes de software y hardware.
Procesos de Resguardo Objetivo
Salvaguardar toda la información relevante de la empresa que se genera de los equipos informáticos.
Procesos de Configuración de Cuentas Objetivo
Administrar las cuentas para acceder a la red de Chiriboga & Jara y sus recursos, así como las cuentas del correo electrónico de la empresa.
Proceso de Equipamiento Objetivo
Contar con las herramientas e infraestructura informática que ayuden a llevar las