PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO 27001 PARA LA EMPRESA TICSOCIAL S.A.S
DIANA ANGÉLICA RODRIGUEZ BERNAL
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS BOGOTÁ D.C.
PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO 27001 PARA LA EMPRESA TICSOCIAL S.A.S
DIANA ANGÉLICA RODRIGUEZ BERNAL
Trabajo de grado, modalidad pasantía para optar por el título de INGENIERA DE SISTEMAS
Director:
Sandro Javier Bolaños Castro
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS BOGOTÁ D.C.
Nota de aceptación:
____________________________________ ____________________________________ ___________________________________ ____________________________________ ____________________________________
Firma presidente del jurado
Firma del jurado
DEDICATORIA.
Dedico este trabajo a mis padres, a mis tíos Arcelia y Víctor que me apoyaron durante todo mi proceso de formación y siempre estuvieron muy al pendiente ofreciéndome todo su apoyo y la ayuda que necesitara.
A mi amigo Camilo que siempre estuvo presto a brindarme cualquier ayuda y motivación.
TABLA DE CONTENIDO
1. PLANEACIÓN 12
1.1. PLANTEAMIENTO DEL RPOBLEMA 12
1.2. ALCANCES Y LIMITACIONES 12
1.3. OBJETIVOS 13
1.3.1. OBJETIVO GENERAL 13
1.3.2. OBJETIVOS ESPECIFICOS 13
1.4. JUSTIFICACIÓN 13
1.5. MARCO TEORICO 14
1.6. FACTIBILIDAD 19
1.6.1. FACTIBILIDAD TÉCNICA 19
1.6.2. FACTIBILIDAD OPERATIVA 19
1.6.3. FACTIBILIDAD LEGAL 19
1.6.4. FACTIBILIDAD ECONÓMICA 20
1.7. CRONOGRAMA DE ACTIVIDADES 21
2. CONTEXTO ORGANIZACIONAL 22
2.1. DESCRIPCIÓN DE LA EMPRESA 22
2.1.1. DESCRIPCIÓN 22
2.1.2. ESTRUCTURA ORGANIZACIONAL 22
2.1.3. INFRAESTRUCTURA 23
2.2. ESTADO ACTUAL CON RESPECTO A ISO /IEC 27001:2013 24
2.2.1. A.5. POLITICA DE SEGURIDAD 26
2.2.2. A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 26
2.2.3. A.7. SEGURIDAD DE LOS RECURSOS HUMANOS 26
2.2.4. A.8. GESTIÓN DE ACTIVOS 27
2.2.5. A.9. CONTROL DE ACCESO 27
2.2.6. A.10. CRIPTOGRAFIA 27
2.2.7. A.11. SEGURIDAD FÍSICA Y AMBIENTAL 28
2.2.8. A.12. SEGURIDAD DE OPERACIONES 28
2.2.11. A.15. RELACIONES CON PROVEEDORES 29 2.2.12. A.16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN 29
2.2.13. A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE
LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 29
2.2.14. A.18. CUMPLIMIENTO 29
3. GESTIÓN DE RIESGOS 30
3.1. METODOLOGÍA 30
3.2. INVENTARIO DE ACTIVOS Y RIESGOS 30
3.3. VALORACIÓN DEL RIESGO 31
3.4. ANÁLISIS DE AMENAZAS 31
4. SELECCIÓN DE SALVAGUARDAS (CONTROLES) 34
4.1. ESTRATEGIAS PARA EL TRATAMIENTO DE RIESGOS 34
4.2. PLAN DE TRATAMIENTO DEL RIESGO 35
4.2.1. POLÍTICA DE SEGURIDAD SGSI 35
4.2.2. CONTROLES RECOMENDADOS 37
5. CONCLUSIONES 39
LISTA DE TABLAS
Tabla 1. Recursos Humanos 20
Tabla 2. Otros Recursos 20
Tabla 3. Total, recursos 21
Tabla 4. Equipos de trabajo 23
Tabla 5. Lista de aplicaciones 24
Tabla 6. Resultados GAP 25
Tabla 7.Consecuencias del riesgo 31
Tabla 8. Probabilidad del riesgo 31
Tabla 9. Tabla de riesgos 32
LISTA DE FIGURAS
Figura 1. Manejo de la información 15
Figura 2. Plan de mejoramiento continuo 17
Figura 3. Logo plataforma CONFORMIO 18
Figura 4. Cronograma ejecución del proyecto 21
LISTA DE ANEXOS
Anexo A. Planteamiento del plan de implementación A. 41
Anexo B. Gestión de activos y riesgos. 70
11
INTRODUCCIÓN
TICSOCIAL S.A.S es una empresa de tecnología constituida en el año 2013 y que desarrollo sus proyectos con empresas del sector social y de la salud, cuenta con más de 6 soluciones integrales de software, se enfocan en el desarrollo potencial a través del diseño e implementación de proyectos informáticos innovadores que brindan soluciones tecnológicas apropiadas, de alta calidad u confiables, que generan valor y ventaja competitiva, buscando la satisfacción de sus clientes.
Esta empresa hoy día no cuenta con un control conveniente en cuanto al manejo de la confidencialidad y protección de la información en su totalidad, por tanto, se desea garantizar un nivel de protección optimo y adecuado para la información que la organización maneja, mediante el reconocimiento de los riesgos de la seguridad de la información y que puedan ser asumidos, gestionados y minimizados mediante la documentación adecuada.
12 1. PLANEACIÓN
1.1. PLANTEAMIENTO DEL RPOBLEMA
Ya que TICSOCIAL es una empresa que actualmente se encuentra en crecimiento se hace necesario que implemente mecanismos eficientes con los cuales se garantice la gestión de la seguridad de la información y de los sistemas que la procesan[1]. La aplicación de la norma ISO/IEC 27001 ofrece grandes ventajas a empresas del tamaño de TICSOCIAL, ya que se adapta a las condiciones de empresas de todos los tamaños desde PYMES hasta grandes organizaciones.
Por el enfoque de la organización basa todos sus procesos en el uso de tecnologías de la información y comunicaciones (TIC), lo cual la hace estar actualizada en muchos aspectos, pero también da lugar a riesgos que pueden afectar el buen trabajo y la confianza de los clientes y usuarios sobre TICSOCIAL El poder garantizar la confidencialidad, integridad y disponibilidad de la información sensible ayuda a que la organización mantenga los niveles de competitividad e imagen empresarial que necesita para alcanzar los objetivos.[2] El SGSI ayuda a establecer las políticas y procedimientos con relación a los objetivos de negocio de la organización, con el propósito de minimizar la exposición al riesgo que se pueda tener. Cuando una organización implementa SGSI conoce estos riesgos a los que está sometida la información, los asume, minimiza, transfiere y/o controla de manera sistemática, bien definida y documentada que será conocida por todos y mejorada constantemente.
1.2. ALCANCES Y LIMITACIONES
TICSOCIAL S.A.S es una empresa que se encuentra en crecimiento, por tanto, es necesario que pueda enfrentar los desafíos que se le presente a medida que va adquiriendo experiencia, para poder enfrentar todo esto de la mejor manera se hace necesario el análisis de los procesos y los estándares referentes a la seguridad de la información para ser efectuados dentro de la empresa
13 Lo que se quiere lograr con este proyecto es:
• Un informe de hallazgos de vulnerabilidades y riesgos. • Un informe sobre evaluación y tratamiento de riesgos.
• Documentación de políticas de seguridad sobre hallazgos encontrados. • Documentación donde se den recomendaciones con el propósito de
preparar a TICSOCIAL S.A.S para los procesos de evaluación, auditoria, certificación, etc.
El análisis de la organización para determinar el alcance se encuentra en el Anexo A. apartado Documento de alcance del SGSI
1.3. OBJETIVOS
1.3.1. OBJETIVO GENERAL
Realizar la gestión documental por medio de una lista de verificación interna o checklist a través diagrama de flujo establecido en la herramienta CONFORMIO enfocado a la aplicación de la norma ISO 27001 para realizar el proceso de implementación de un sistema de gestión de seguridad de la información (SGSI) para la empresa TICSOCIAL S.A.S.
1.3.2. OBJETIVOS ESPECIFICOS
• Analizar la estructura de la organización sus características principales para proponer una metodología que permite efectuar el SGSI.
• Definir los parámetros para tener en cuenta para la implementación de SGSI junto con la norma ISO 27001 dentro de una organización.
• Ofrecer a la organización reportes, plantillas y seguimientos de las actividades y documentos realizados.
1.4. JUSTIFICACIÓN
14
Para poder asegurar esta protección sea hace necesario conocer cada uno de estos riegos e implementar la solución adecuada para cada uno de ellos mediante procedimientos y controles de seguridad de acuerdo con la evaluación de los riesgos.
El SGSI basado en la norma ISO 27001 es una metodología sencilla y de bajo costo para cualquier PYME[3], la norma permite que se establezcan políticas y controles que permitan disminuir los riesgos de la organización.
Al implementar un SGSI se obtiene una reducción de los riesgos a que se establece un control y seguimiento sobre ellos, que permitirá reducir las amenazas y a su vez minimizar los daños garantizando la continuidad del negocio, también genera un ahorro ya que puede eliminar inversiones innecesarias e ineficientes.
1.5. MARCO TEORICO
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
El SGSI para el contexto que se desea tratar se debe comenzar por el termino de información el cual se define “como aquel conjunto de datos organizados en poder de una misma entidad que posean valor para la misma, independientemente de la forma en que se guarde o trasmita” [4].
SEGURIDAD DE LA INFORMACIÓN:
Este término es utilizado con bastante frecuencia y su fin no es más que la protección la confidencialidad, la integridad y la disponibilidad de la información sensible que posee y que esta sea usada como se ha decidido dentro de la empresa. Los objetivos de la seguridad de la información poseen tres elementos:[5]
Información: Es el objeto de mayor valor para la empresa. Equipos: Suelen ser software, hardware y la empresa misma.
15
Figura 1. Manejo de la información
Fuente: www.ISO2700.es
ANALISIS DE RIEGOS:
La empresa debe poseer técnicas que mantengan la información segura, y que este más allá de la seguridad física, en los que se apoya con los equipos con los que cuenta la organización. Se le aplican barreras y procedimientos que resguarden el acceso a todos los datos y a personas no autorizadas. Los medios por los que se logra esto son:[5]
Restricción de acceso: a las personas que forman parte de la organización a los programas y a los archivos más importantes.
Asegurar la utilización de los datos, archivos y los programas correctos en los procedimientos elegidos.
Asegurar que la información trasmitidas sea la misma recibida por el destinatario.
Para asegurar la política de seguridad se debe garantizar los derechos de acceso a los datos y recursos con los que cuenta la organización, establecer herramientas de control y mecanismos de identificación.
Para una gestión efectiva de la seguridad toda la empresa debe tomar parte activa del proceso desde la gerencia hasta los clientes y/o proveedores. Esta debe tener los procedimientos adecuados, planificar e implementar los controles de seguridad basados en la evaluación del riesgo.[5]
16
Reducir el riesgo de pérdida, robo o corrupción de la información sensible. Los clientes tienen acceso a la información mediante medidas de
seguridad.
Los riesgos y los controles son continuamente revisados.
Se garantía la confianza de los clientes y los socios de la organización. Facilita la integración de otros sistemas de gestión.
Se garantiza la continuidad de negocio tras un incidente grave.
Aumenta la confianza y las reglas claras para las personas de la empresa. La documentación mínima que se debe tener para la implementación un SGSI es:
• Política y objetivos de seguridad • El alcance del SGSI
• Los procedimientos y los controles que apoyan al SGSI
• Describir toda la metodología a la hora de realizar una evaluación de riesgo.
La seguridad de la información según la norma ISO 27001, busca garantizar lo anteriormente dicho y establecer controles y políticas de seguridad:[6]
• Confidencialidad: Es la propiedad de prevenir que se divulgue la información a personas o sistemas no autorizados.
• Integridad: Es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada.
• Disponibilidad: Es una característica, cualidad o condición de la información de que tiene que acceder a esta, bien sean personas, procesos o aplicaciones.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
Desde el punto de vista de la alta gerencia, un SGSI permite obtener una visión global del estado de los sistemas de información sin caer en detalles técnicos, además de poder observar las medidas de seguridad aplicadas y los resultados obtenidos, para poder con todos estos elementos tomar mejores decisiones estratégicas, el SGSI debe ser documentado y ser conocido a distintos niveles por todo el personal.
17
Figura 2. Plan de mejoramiento continuo
Fuente: https://es.scribd.com/document/162198254/Doc-Sgsi-All
NORMA ISO/IEC 27001:2013
Publicada el 15 de octubre de 2005, revisada el 25 de septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información (SGSI). El estándar se basa en el modelo PDCA (Plan-Do-Check-Act) descrito anteriormente. Esta norma proporciona un marco para la gestión de la seguridad de la información, requiere la identificación de los riesgos de la información y que se implemente medidas de seguridad para gestionarlos o reducirlos, asegura que se efectúen procedimientos para permitir la detección rápida de las brechas de seguridad, requiere que la empresa revise periódicamente la efectividad del SGSI y tomar medidas para abordar nuevos riesgos de seguridad emergentes.
La norma brinda un marco para identificar los riesgos para la seguridad de la información e implementando la gestión y los controles adecuados. Proporciona una forma de asegurar que un conjunto común de políticas, procedimientos y controles establecidos para administrar los riesgos a la seguridad de la información requiere que se implemente programas de capacitación y concientización en toda su organización, requiere que la administración defina los roles y las responsabilidades del SGSI y se asegure de que los individuos sean competentes para realizar sus roles.[7]
18 PLATAFORMA COFORMIO
Conformio es una solución de software en línea lista para su utilización que proporciona a la pequeña o mediana empresa pasos claros para implementar proyectos de cumplimiento y privacidad, y ayuda a mantener sus documentos y procesos de cumplimiento en un solo lugar.
Figura 3. Logo plataforma CONFORMIO
Fuente: https://advisera.com/conformio/
Optimizado para pequeñas y medianas empresas, Conformio ayuda a administrar todas sus políticas de implementación, procedimientos, planes, y registros en un solo lugar. Ofrece guías paso a paso asequibles que son fáciles de entender, con opciones que incluyen soporte experto.
Proporciona al equipo los conocimientos de conformidad asignando tareas y haciendo el seguimiento del progreso durante el proceso de implementación. Permite prepararse para una auditoría con un sistema centralizado de administración de documentos, para que se pueda mantener todos los documentos y procesos de cumplimiento pertinentes.
Tanto ISO 27001 como el RGPD UE abordan la seguridad y privacidad, pero de distinta manera: Conformio permite seguir uno de los enfoques, o ambos. Con Conformio se proporcionan las guías paso a paso y los documentos de implementación, y protección datos sin necesidad de emplear un consultor costoso.
19 1.6. FACTIBILIDAD
1.6.1. FACTIBILIDAD TÉCNICA
Ya que para la elaboración de este proyecto se requieren conocimientos y experiencia en todo el tema de seguridad de la información, y la aplicación de la norma ISO 27001:2013 y los conocimientos que traen implícitos dichos temas, TICSOCIAL S.A.S. busco a un asesor externo a la empresa para buscar acompañamiento en todo lo que le sea necesario.
1.6.2. FACTIBILIDAD OPERATIVA
Este proyecto será desarrollado por la estudiante Diana Angélica Rodríguez Bernal del proyecto curricular de Ingeniería de sistemas y como se menciona anteriormente tendrá un asesor el señor Juan Diego Álvarez. Definidas las personas a cargo del proyecto se considera viable para su realización
1.6.3. FACTIBILIDAD LEGAL
Para cumplir los objetivos del proyecto y de la norma ISO/IEC 27001:2013 se seguirán los lineamientos legales vigentes en el país y a nivel mundial en cuanto a la seguridad de la información, como se pueden leer en el Anexo A. apartado Políticas de seguridad de la información, donde se listan y describen las normativas correspondientes. Las metodologías que son usadas para el desarrollo de este proyecto son libres, por tanto, no requieren pago por parte de la organización para la ejecución del proyecto.
1.6.3.1. RED DE DATOS
20 1.6.4. FACTIBILIDAD ECONÓMICA
TICSOCIAL S.A.S desde un principio tiene la voluntad de dar las facilidades económicas necesarias para la ejecución del proyecto, en la siguiente tabla se muestra una descripción de los recursos necesarios para la ejecución del proyecto, se refiere de software, hardware y recursos humanos.
Tabla 1. Recursos Humanos
TIPO DESCRICIÓN CANTIDAD VALOR
Analista – Implementadora
Analista que realizara el plan de implementación del
SGSI
5 meses 8’500.00
Asesor
Asesor y experto en el área de seguridad se la información y la norma ISO 27001
2 meses 8’000.00
Total, Recursos Humanos 16’500.000
Fuente: Propia
Los recursos en cuanto a software y a hardware que fueron necesarios durante la ejecución del proyecto son:
• Computador. • Impresora.
• Herramienta CONFORMIO
Tabla 2. Otros Recursos
TIPO DESCRICIÓN CANTIDAD VALOR
Herramienta CONFORMIO
Plataforma para la gestión de la norma
ISO/IEC 27701:2013
1 Versión gratuita
Norma ISO
27001:2013 capacitaciones y Material para
uso de la empresa 1
21 Papelerías impresiones, Fotocopias,
resmas de papel 1 50.000
Total, Otros recursos 50.00
Fuente: Propia
Tabla 3. Total, recursos
RECURSO VALOR
Total, Recursos Humanos $16’500.00
Total, Otros recursos $50.000
TOTAL, COSTO $16’550.000
Fuente: Propia
1.7. CRONOGRAMA DE ACTIVIDADES
Figura 4. Cronograma ejecución del proyecto
22 2. CONTEXTO ORGANIZACIONAL
A continuación, se realizará el análisis de la organización identificando su estado actual en cuanto a la seguridad de la información, a la norma ISO/IEC 27001:2013 y el cumplimiento de cada punto que se refiere en la norma.
2.1. DESCRIPCIÓN DE LA EMPRESA
Se analizará las actividades que se desarrollan dentro de la organización, la estructura organizacional, infraestructura como lo son estructura de redes, hardware, software, servicios, etc., con los que TICOSCIAL cuente actualmente.[9]
2.1.1. DESCRIPCIÓN
TICSOCIAL S.A.S es una empresa de desarrollo de software que actualmente tiene su sede en la ciudad de Bogotá, cuenta con cerca de 6 años de experiencia enfocando su desarrollo al mercado del sector de la salud. Se encuentra actualizada en las distintas plataformas usadas para la construcción de los productos finales, lo cual le da un buen posicionamiento. Las actividades principales SON desarrollo, mantenimiento y soporte de acuerdo con las necesidades del cliente y sin desviarse de los alcances y objetivos de TICSOCIAL S.A.S.[9]
23
TICSOCIAL S.A.S tiene una estructura pequeña pero bien definida. La cabeza de la organización está dada por la Gerencia que a si vez se divide en Coordinación administrativa y coordinación de proyectos.
Figura 5. Estructura Organizacional
Fuente: TICSOCIAL S.A.S
2.1.3. INFRAESTRUCTURA
2.1.3.1. EQUIPOS
Los equipos de cómputo que se encuentra en el inventario de la organización son los siguientes y se encuentran distribuidos de la siguiente manera:
Tabla 4. Equipos de trabajo
AREA CANTIDAD
Gerencia 1
Coordinación 4
Desarrollo 10
Total 15
Fuente: Propia
2.1.3.2. APLICACIONES
Gerente
Coordinador
Proyectos
Lideres de
desarrollo y
tecnolgía
Analistas de
soporte y
desarrollo
Coordinador
administrativo
24
A continuación, se listan y describen las aplicaciones que usa TICSOCIAL S.A.S para loa gestión de sus proyectos.
Tabla 5. Lista de aplicaciones
APLICACION DESCRIPCIÓN
Atllassian (Bitbucket, JIRA,
Confluence) Software para desarrollar software, gestionar proyectos colaborar y hacer seguimiento de incidencias y errores. De código abierto
Paquete Office Herramienta de ofimática Django (Python) Desarrollo de aplicaciones
MySQL Sistema de administración de base de
datos
Servidor de correos Gmail empresarial Fuente: Propia
2.1.3.3. SERVICIOS CLOUD
El servicio Cloud que usa TICSOCIAL S.A.S es AWS en el cual se encuentra las instancias necesarias para el funcionamiento de las aplicaciones, haciendo uso de los siguientes servicios[10]:
• EC2 (Elastic Compute Cloud) • SES (Simple Email Services) • CloudWatch
• Route53
• RDS (Relational Database Services) • EFS (Elastic File System)
• Glacier
• SNS (Simple Notificaction Services) • S3 (Simple Storage Services) • Entre otros.
2.2. ESTADO ACTUAL CON RESPECTO A ISO /IEC 27001:2013
25
Tabla 6. Resultados GAP
Área del estándar ISO/IEC 27001 # de requisitos de la sección Requerimientos cumplidos
4 - Contexto de la organización 4 2
5 – Liderazgo 6 3
6 – Planificación 16 2
7 – Soporte 8 4
8 – Operación 4 1
9 - Evaluación del desempeño 6 1
10 – Mejora 2 0
A.5. Política de seguridad 2 2
A.6 Organización de la seguridad
de la información. 7 3
A.7 Seguridad de los recursos
humanos 6 2
A.8 Gestión de activos 10 2
A.9 Control de acceso 14 3
A.10 Criptografía 2 0
A.11 Seguridad física y ambiental 15 12
A.12 Seguridad de operaciones 14 2
A.13 Seguridad de las
comunicaciones 7 3
A.14 Adquisición, desarrollo y
mantenimiento del sistema 13 5
A.15 Relaciones con proveedores 5 2
A.16 Gestión de incidentes de
seguridad de la información 7 0
A.17 Aspectos de seguridad de la información de la gestión del
negocio 4 3
A.18 Cumplimiento 8 5
Fuente: Propia
26 2.2.1. A.5. POLITICA DE SEGURIDAD
Aquí se busca realizar una gestión adecuada de la seguridad de la información, se busca enfocar dicha gestión y que sea de ayuda para la organización de acuerdo al enfoque que tiene y que este en concordancia con las leyes y regulaciones pertinentes. TICSOCIAL. S.A.S cumple con los requisitos de esta sección guiado y asesorado por AWS.[11]
2.2.2. A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
En este anexo de la norma ISO, TICSOCIAL S.A.S no cumple con 4 requisitos, en los cuales se definen aspectos importantes para una correcta comunicación dentro de la organización, existe carencia en la definición de responsabilidades de acuerdo a los roles de cada empleado. Se inicio el primer acercamiento hacia la organización de la seguridad, poniendo en conocimientos de los todos los empleados, las personas quienes estarán a cargo de la elaboración del plan de implementación y las primeras medidas que se comenzarán a tomar.
Al momento en que se elaboren y se pongan en acción estos requisitos permitirán controlar la operación de la seguridad de la información. En cuanto a la sección de teletrabajo no aplica ya que el trabajo dentro de la organización es 100% presencial.
2.2.3. A.7. SEGURIDAD DE LOS RECURSOS HUMANOS
En el momento en que se socializo el plan de implementación con los empleados, fue necesario la revisión de los roles y responsabilidades de cada cargo para realizar una concientización sobre las labores que cada persona debe realizar dentro de la organización. TCOSCIAL S.A.S. no tiene definidas las acciones a tomar cuando hay un cambio o terminación del empleo, a quien se asignaran las tareas que han quedado pendientes en dicho cargo, quitar o redefinir accesos a los activos, etc.
27 2.2.4. A.8. GESTIÓN DE ACTIVOS
La identificación de todos los activos que hacen parte de la organización debe estar debidamente documentados, TICSOCIAL S.A.S inicio con dicha documentación el cual estuvo ligado a la documentación de equipos y asignación formal de estaciones de trabajo a cada empleado, de igual forma se define cual es el uso correcto de los activos y las reglas a seguir.
Al ser la información el activo fundamental para el plan de implementación, la protección adecuada de este activo es muy importante, por tanto, se inicia la evaluación de toda la información que se maneja de acuerdo a prioridad, criticidad, sensibilidad y clientes, y así poder comenzar a definir cuál sería el manejo adecuado para cada clasificación que surja.
2.2.5. A.9. CONTROL DE ACCESO
No existe un control seguro sobre los accesos a la información en gran parte de la organización. Se hace uso de contraseñas seguras y grupos de seguridad en lo que se refiere a los activos de servicios Cloud especialmente en AWS, para las demás áreas no existen definición de controles de acceso, por esta razón es necesario crear políticas en donde se establezcan la gestión de contraseñas para acceso a redes, BD, servicios, etc., asignación o revocación de accesos normales o privilegiados. Igualmente, se debe realizar una campaña de concientización a los empleados/usuarios en cuanto a la responsabilidad de la protección de su información y de la empresa o los clientes.
Para lograr lo anterior TICSOCIAL puede crear un sistema gestión de contraseñas con características específicas para que apliquen de manera juiciosa, y así garantizar el control sobre los accesos ofreciendo las características que deberán cumplir las contraseñas y que el empleado/usuario pueda elegir.
2.2.6. A.10. CRIPTOGRAFIA
28
2.2.7. A.11. SEGURIDAD FÍSICA Y AMBIENTAL
Ya que TICOSCIAL S.A.S no posee equipos como servidores, data center, etc. dentro de las instalaciones de la empresa no es necesarios tener controles sobre la seguridad física muy rigurosos, es suficiente con tener controles para los equipos de red.
2.2.8. A.12. SEGURIDAD DE OPERACIONES
Existen muy pocos requisitos en esta sección que estén siendo monitoreados dentro de la empresa, se tiene procesamientos operativos documentados en donde los empleados con acceso pueden revisar y/o editar si algún aspecto cambia, también esta implementado la separación de entorno de desarrollo en ambientes de prueba y ambientes de producción. Se realizan copias periódicas de la información alojada en Base de datos, siguiendo lineamientos de los servicios de AWS.
2.2.9. A.13. SEGURIDAD DE LAS COMUNICACIONES
Se comenzaron a tomar las medidas necesarias para garantizar seguridad en la red de la empresa y designación de persona a cargo. En cuanto a la trasferencia de información por medio de la red, no existe ningún tipo política de seguridad definido, y esto es necesario para evitar fuga de información, en especial cuando esta transferencia se hace con clientes y proveedores en donde la posibilidad de pérdida es alta.
2.2.10. A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA
29
2.2.11. A.15. RELACIONES CON PROVEEDORES
Con los proveedores hay acuerdo claves y definiciones específicas de seguridad, de las cuales algunas se han ido adaptando dentro de la empresa y que a su vez ellos garanticen la confidencialidad e integridad de la información que posean de la organización, de tal manera que no se encuentren afectadas las relaciones y se pueda seguir haciendo uso de los servicios que ellos prestan a la organización.
2.2.12. A.16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Este apartado no se encuentra aplicado en ninguno de sus puntos dentro de TICSOCIAL S.A.S, todos los incidentes que se han presentado anteriormente han sido resuelto bajo la marcha y no se ha dejado constancia ni de las causas y las soluciones dadas, por tanto, se hace indispensable comenzar con dicha documentación y aplicaciones de las medidas de seguridad necesarias, para poder ir mitigando los incidentes que se puedan presentar en el futuro.
2.2.13. A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
La apropiada ejecución de controles en la seguridad de la información va a permitir que allá un equilibrio en la continuidad del negocio, por tanto, TICSOCIAL S.A.S debe velar porque los controles sobre la seguridad de la información se prueben, verifiquen y evalúen de forma periódica.
2.2.14. A.18. CUMPLIMIENTO
30 3. GESTIÓN DE RIESGOS
Al iniciar la identificación de los riesgos se realizó una evaluación sobre los activos de la organización y de allí a cada uno de estos activos determinarle los riesgos que pueden afectar el correcto funcionamiento de la organización. La realización de esta evaluación se encuentra en el Anexo B. Evaluación de riesgos y metodología de tratamiento de riesgos, en el cual se describe como se realizó la identificación de los activos detalladamente.
3.1. METODOLOGÍA
El desarrollo de este proyecto se realizó desde el inicio por la plataforma CONFORMIO, la cual provee de una serie de plantillas que van acordes a la norma ISO/IEC 27001:2013 y que brindan información y consejos para una adecuada gestión del riesgo. Para la identificación de activos y de riesgos se tuvo en cuenta los factores externos e internos que afectan el trabajo diario de la organización y a cada uno se le realizo la valoración correspondiente, para determinar cómo afecta a TICSOCIAL S.A.S.
3.2. INVENTARIO DE ACTIVOS Y RIESGOS
En el Anexo B. Evaluación de riesgos y metodología de tratamiento de riesgos, se realizó toda la definición y listados de los activos con los respectivos riesgos encontrados para cada uno y se realizó la asignación de propietarios y/o responsables. A partir de los activos definidos se analizó las amenazas, vulnerabilidad e impacto que se podrían presentar dentro de la organización. Para la definición de los riesgos se realizó la siguiente clasificación de activos, para estos activos se tuvo en cuenta la confidencialidad, integridad y disponibilidad de manera que se abordaran los aspectos más importantes de seguridad de la información:
Servicios Datos Hardware
31 3.3. VALORACIÓN DEL RIESGO
Una vez identificados los activos se definió de qué manera se va a realizar la valoración de los riesgos para poder determinar cuáles son los activos con las amenazas más altas, en el Anexo B. Evaluación de riesgos y metodología de tratamiento de riesgos, se encontrará de manera detallada como se realizó la valoración. Se tuvieron en cuenta dos aspectos la consecuencia y la probabilidad del riesgo.
En la consecuencia lo más importante es ver de qué manera la amenaza afecta la confidencialidad, disponibilidad e integridad en la perdida de información y que efectos tiene sobre la organización, calcificando de la siguiente manera.
Tabla 7.Consecuencias del riesgo
Consecuencia Baja 0 Consecuencia Media 1 Consecuencia Alta 2
Fuente: Propia
En la probabilidad se analizó que tan posible es que ocurra dicha amenaza y que vulnerabilidad traería consigo de manera negativa para la organización.
Tabla 8. Probabilidad del riesgo
Probabilidad Baja 0 Probabilidad Media 1 Probabilidad Alta 2
Fuente: Propia
Además de la valoración a los riesgos se debe decidir cómo será el tratamiento de estos y se propusieron las siguientes opciones, la cuales se encuentran con más detalle en el Anexo B. Evaluación de riesgos y metodología de tratamiento de riesgos:
o Mitigar el riesgo o Evitar el riesgo o Transferir el riesgo o Aceptar el riesgo
3.4. ANÁLISIS DE AMENAZAS
32
encontradas, para ver en mayor detalle se encontrará en el Anexo B. Tabla de evaluación de riesgos la valoración para cada amenaza.
Tabla 9. Tabla de riesgos
No Nombre Activo Amenaza
R001 Correo electrónico Difusión de software dañino
R002 WWW Errores de mantenimiento/actualización de programas R003 WWW Caída del sistema por agotamiento de recursos R004 Intercambio electrónico de datos Escapes de información
R005 Intercambio electrónico de datos Suplantación de la identidad del usuario R006 Archivos de configuración Suplantación de la identidad del usuario R007 Archivos de configuración Acceso no autorizado
R008 Datos control de acceso Errores del administrador R009 Datos control de acceso Escapes de información
R010 Datos prueba Difusión de software dañino
R011 Backups Destrucción de información
R012 Backups Errores de mantenimiento/actualización de programas R103 Backups Errores de mantenimiento/actualización de equipos R014 Código Fuente Difusión de software dañino
R015 Código Fuente Errores de mantenimiento/actualización de programas R016 Bases de datos corporativas Errores del administrador
R017 Bases de datos corporativas Suplantación de la identidad del usuario R018 Credenciales Indisponibilidad de personal R019 Credenciales Suplantación de la identidad del usuario
R020 Routers Avería de origen físico o lógico
R021 Servidor de correos Acceso no autorizado R022 Servidor de BD Errores del administrador
33
R026 Informática Móvil Acceso no autorizado
R027 Informática Móvil Robo
R028 Periféricos Avería de origen físico o lógico R029 Soporte de la red Errores de mantenimiento/actualización de equipos
R030 Red inalámbrica Acceso no autorizado
R031 Red local Acceso no autorizado
R032 Gerencia Indisponibilidad de personal
R033 Bases de datos Acceso no autorizado
R034 Bases de datos Alteración accidental de la información
R035 Bases de datos Acceso no autorizado
R036 Sistema Operativo /Ofimática Vulnerabilidades de los programas R037 Desarrolladores/programadores Indisponibilidad de personal R038 Desarrolladores/programadores Abuso de privilegios de acceso R039 Proveedores Deficiencias en la organización
34
4. SELECCIÓN DE SALVAGUARDAS (CONTROLES)
Una vez se han determinadas cuales son las amenazas a las que está expuesta la organización, se procede a la selección de los controles adecuados para poder dar solución a los riesgos pertinentes de cada activo. Estos controles se enfocan a minimizar la probabilidad de la ocurrencia o el impacto del riesgo, y deben estar directamente relacionados con las causas y consecuencias identificadas del riesgo. A medida que los controles sean identificados y aplicados deben ser más efectivos para prevenir o mitigar los riesgos.
4.1. ESTRATEGIAS PARA EL TRATAMIENTO DE RIESGOS
El tratamiento de los riesgos se realiza se mantendrá la guía ofrecida por la plataforma CONFORMIO enfocada en la norma ISO /IEC 27001.
A.5. Política de seguridad
A.6 Organización de la seguridad de la información. A.7 Seguridad de los recursos humanos
A.8 Gestión de activos A.9 Control de acceso A.10 Criptografía
A.11 Seguridad física y ambiental A.12 Seguridad de operaciones
A.13 Seguridad de las comunicaciones
A.14 Adquisición, desarrollo y mantenimiento del sistema A.15 Relaciones con proveedores
A.16 Gestión de incidentes de seguridad de la información
A.17 Aspectos de seguridad de la información de la gestión del negocio A.18 Cumplimiento
35
Tabla 10. Riesgos residuales
No. Nombre del activo Amenaza Vulnerabilidad
R002 WWW
Errores de mantenimiento/ actualización de
programas
Falta de capacitación de trabajo
R003 WWW Caída del sistema por agotamiento de recursos
Falta de planes de contingencia R005 electrónico de datos Intercambio identidad del usuario Suplantación de la Control de acceso inadecuado
R006 configuración Archivos de identidad del usuario Suplantación de la Falta de conciencia de seguridad R007 configuración Archivos de Acceso no autorizado Administración deficiente de contraseña R010 Datos prueba Difusión de software dañino Testeo inadecuado/ insuficiente
R012 Backups
Errores de mantenimiento/ actualización de programas Instalación/ desinstalación no controlada
R014 Código fuente Difusión de software dañino Monitoreo insuficiente de medidas de seguridad Fuente: Propia
4.2. PLAN DE TRATAMIENTO DEL RIESGO
Una vez finalizado, los controles y evaluación de riesgos se dio paso determinar las medidas de protección para cada control que pueda materializarse en cualquier momento. En el Anexo C. Plan tratamiento de riesgos, se encuentra el riesgo, el control pertinente, la descripción del tratamiento, el responsable y el estado en el que se encuentra el proceso.
4.2.1. POLÍTICA DE SEGURIDAD SGSI
36 4.2.1.1. OBJETIVO
Establecer, mantener y mejorar de forma continua la seguridad de la información dentro de TICSOCAL S.A.S, y proteger mediante controles que lo anterior se cumpla para beneficio de la empresa logrando que la información se mantenga actualizada, completa y veraz para el cumplimiento de las actividades de la organización
4.2.1.2. RESPONSABLES
Se propone dividir las responsabilidades dentro de la organización, las cuales se encuentran descritas en el Anexo A apartado Políticas de seguridad de la información y se dividieron de la siguiente manera:
Responsabilidad de la alta dirección.
Responsabilidad des del área de gestión administrativa. Responsabilidades del área TIC.
Responsabilidades de gestión de riesgos de la seguridad de la información.
Responsabilidades de los funcionarios, contratistas y terceros.
4.2.1.3. DEFINICIÓN
Como la información que se maneja en TICSOCIAL S.A.S es vital para su funcionamiento, se debe garantizar la confidencialidad, integridad y disponibilidad. Por tanto, la empresa y todos sus empleados se deben comprometer a:
Proteger los activos de información que tengan a su cargo. Cumplir con los requisitos legales y contractuales.
Gestionar los riesgos identificados.
Revisar el cumplimiento de las políticas de seguridad de la información. Además, se adoptan normas importantes para la empresa:
Al momento de realizar asignación de equipos de computo a nuevos usuarios, el área respectiva debe asegurarse que en dicho equipo no posea información confidencialidad, y si la posee debe realizarse un respaldo y entregar el equipo en limpio para el nuevo uso.
37
El administrador de la seguridad es el autorizado para habilitar paginas bloqueadas, previamente autorizado por el área respectiva exponiendo la justificación correspondiente.
El área de desarrollo y soporte debe garantizar que los componentes de red cuentan con las configuraciones seguras.
Llevar registro de todas las personas a las que se le ha otorgado algún privilegio de acceso.
Realizar un inventario de los activos de la información disponibles en la organización incluyendo descripción, clasificación y propietario designado. El inventario debe mantenerse actualizado.
El personal de TICSOCIAL S.A.S debe utilizar el correo electrónico únicamente con fines laborales.
Garantizar que los empleados retirados devuelvan la información confidencial y reservada que tiene bajo su resguardo.
Está prohibido ingresar a las áreas de trabajo o extraer de las instalaciones de TICSOCIAL S.A.S medios removibles (CD, DVD, USB, Discos duros, ZIP, etc.) sin la debida autorización.
La calve de usuario debe ser única a cada usuario que solicite acceso. La salida de equipos de compto fuera de las instalaciones de la
organización debe ser autorizada por el área correspondiente.
4.2.2. CONTROLES RECOMENDADOS
Los siguientes son los controles que se proponen para los riesgos hallados son los siguientes[12]:
1. A.6.1.1. Roles y responsabilidades en seguridad de la información 2. A.7.1.2. Términos y condiciones de empleo
3. A.7.2.1. Responsabilidades de gestión
4. A.7.2.2. Sensibilización sobre la seguridad de la información, educación y capacitación
5. A.7.3.1. Terminación o cambio de responsabilidades laborales 6. A.9.1.1. Política de control de acceso
7. A.9.2.2. Aprovisionamiento de acceso de usuario 8. A.9.2.3. Gestión de derechos de acceso privilegiados
9. A.9.2.5. Revisión de los derechos de acceso de los usuarios 10. A.9.4.1. Restricción de acceso a la información
11. A.9.4.3. Sistema de gestión de contraseñas
12. A.9.4.5. Control de acceso al código fuente del programa 13. A.11.2.4. Mantenimiento de equipos
38
16. A.12.3.1. Copia de seguridad de la información 17. A.12.6.1. Gestión de vulnerabilidades técnicas 18. A.12.6.1. Gestión de vulnerabilidades técnicas 19. A.13.1.1. Controles de red
20. A.13.1.2. Seguridad de los servicios de red
21. A.13.2.1. Políticas y procedimientos de transferencia de información 22. A.13.2.3. Mensajería electrónica
23. A.14.1.1. Análisis y especificación de los requisitos de seguridad de la información
24. A.14.2.1. Política de desarrollo seguro 25. A.14.2.6. Entorno de desarrollo seguro 26. A.14.2.8. Pruebas de seguridad del sistema
39 5. CONCLUSIONES
o Se brindó a TICSOCIAL S.A.S la documentación necesaria para implementar el sistema de seguridad de la información con el fin de fortalecer los procesos internos de la organización.
o La creación del plan de implementación impulsó a TICSOCIAL S.A.S para asegurar el interés en realizar la certificación de la norma internacional ISO/IEC 27001:2013
o Se observa que a través del plan de implementación se podrá garantizar la confidencialidad y protección de la información de los clientes, con el objetivo de ganar credibilidad y confianza.
o Durante el desarrollo del plan de implementación se encontró que la organización carece de documentación de tipo empresarial como mapa de procesos, objetivos estratégicos y operacionales, etc. lo cual se espera solucionar con el desarrollo de la implementación del SGSI.
o Dentro de los hallazgos se identificó que en la actualidad no hay ningún tipo de política definida. Sin embargo, la organización cumple algunos requisitos los cuales en primera medida son un buen avance en el plan de implementación.
o El proceso de identificación de activos y amenazas, dejó en evidencia las áreas más vulnerables de TICSOCIAL S.A.S. Este análisis deberá ser tenido en cuenta para los ciclos de mejora continua.
40 BIBLIOGRAFIA
[1] P. por, A. Novoa, and H. Clara Isabel, “referencias bibliograficas apa ejemplos.”
[2] Y. E. S. C. Luz Adriana Moyano, “PLAN DE IMPLEMENTACIÓN DDEL SGSI BASADO EN LA NORMA ISO 27001:2013 PRA AL EMPRESA INTERFACES Y SOLUCIONES,” Univ. Nusant. PGRI Kediri, vol. 01, pp. 1–7, 2017.
[3] Instituto Nacional de Tecnologías de la Comunicación, “Implantación de un SGSI en la empresa.”
[4] “Sistema de Gestión de Seguridad de la Información (SGSI).” [5] PMG SSI, “¿Qué es SGSI? | PMG-SSI.” [Online]. Available:
https://www.pmg-ssi.com/2015/07/que-es-sgsi/. [Accessed: 19-Mar-2019]. [6] PMG -SGSI, “ISO 27001: ¿Qué significa la Seguridad de la Información?”
[Online]. Available: https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/. [Accessed: 19-Feb-2019]. [7] BSI, “ISO/IEC 27001.”
[8] Advisera, “Software de cumplimiento con el RGPD e ISO 27001 para pequeñas empresas.” [Online]. Available:
https://advisera.com/conformio/es/. [Accessed: 27-Feb-2019].
[9] “TICSocial – Ofrecemos soluciones informáticas innovadoras para el sector social y de salud, generando valor y ventaja competitiva para nuestros clientes.” [Online]. Available: https://www.ticsocial.com.co/. [Accessed: 19-Mar-2019].
[10] “Beneficios de cloud computing | Seguridad en la nube | AWS.” [Online]. Available: https://aws.amazon.com/es/products/. [Accessed: 28-Mar-2019].
[11] “ISO 27001 Information Security Management System | ISMS.online.” [Online]. Available: https://www.isms.online/iso-27001/. [Accessed: 19-Mar-2019].
[12] “ISO/IEC 27001:2013(en), Information technology — Security techniques — Information security management systems — Requirements.” [Online]. Available:
