Modelo de gestión de riesgos de la seguridad de la información en empresas del sector asegurador utilizando la norma ISO/IEC 27005
101
0
0
Texto completo
(2) MODELO DE GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL SECTOR ASEGURADOR UTILIZANDO LA NORMA ISO/IEC 27005. HAWIN ANDREI TAPIERO TAPIERO HEINER SUAREZ RAMIREZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017 1.
(3) MODELO DE GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL SECTOR ASEGURADOR UTILIZANDO LA NORMA ISO/IEC 27005. HAWIN ANDREI TAPIERO TAPIERO HEINER SUAREZ RAMIREZ. Proyecto presentado como requisito para optar al título de Ingeniería en Telemática. TUTOR: JAIRO HERNANDEZ GUTIERREZ Ingeniero en Sistemas. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017 2.
(4) Nota de aceptación. Tutor. Jurado. Bogotá D.C. ___Abril de 2017. 3.
(5) TABLA DE CONTENIDO TABLA DE CONTENIDO......................................................................................... 4 1.. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ......................................... 17 1.1. TITULO .................................................................................................... 17 1.2. PLANTEAMIENTO DEL PROBLEMA ...................................................... 17 1.3. OBJETIVOS ............................................................................................. 18 1.3.1. Objetivo General ................................................................................ 18 1.3.1. Objetivo Específicos .......................................................................... 18 1.4. SOLUCIÓN TECNOLÓGICA ................................................................... 18 1.5. MARCO DE REFERENCIA ...................................................................... 20 1.5.1. Marco teórico ..................................................................................... 20 1.5.2. Antecedentes ..................................................................................... 24 Norma ISO/IEC 27005 ................................................................................... 25 1.5.3. Marco Metodológico .......................................................................... 27 1.6. CRONOGRAMA ....................................................................................... 28 1.7. FACTIBILIDAD ECONÓMICA .................................................................. 29 1.7.1. Factibilidad Económica: Recursos Humanos .................................... 29 1.7.2. Factibilidad Económica: Recursos Técnicos ..................................... 29 1.7.3. Total Factibilidad Costo Total ............................................................ 30 1.8. FACTIBILIDAD TÉCNICA. ....................................................................... 30 1.9. FACTIBILIDAD OPERATIVA. .................................................................. 30. 2.. ANALISIS DE LA SITUACIÒN ACTUAL ........................................................ 32 2.1. CASO ESTUDIO ...................................................................................... 32 2.2. INFORMACIÓN TECNICA ....................................................................... 37 2.2.1. CARACTERIZACIÓN DE LA RED ACTUAL...................................... 37 2.3. SITUACIÓN ACTUAL DE METLIFE EN SEGURIDAD DE LA INFORMACIÓN ................................................................................................. 50 2.4. RECOPILACIÓN DE INFORMACIÓN ...................................................... 50. 3.. ETAPA DE PLANEACIÓN ............................................................................. 52 3.1. MATRIZ DOFA ......................................................................................... 52 3.1.1. Análisis DOFA ................................................................................... 52 4.
(6) 3.1.2. Matriz DOFA ...................................................................................... 53 3.2. DECLARACIÓN DE APLICABILIDAD ...................................................... 54 3.3. ALCANCE DEL SGSI EN EL CASO ESTUDIO ....................................... 54 3.3.1. Norma ISO/IEC 27005 ....................................................................... 55 3.4. METODOLOGIA A USAR ........................................................................ 56 3.5. TIPOS DE ACTIVOS ................................................................................ 56 3.6. IDENTIFICACIÓN DE ACTIVOS .............................................................. 56 3.6.1. Hardware (Equipamiento Informático) ............................................... 57 3.6.2. Activo de Información (Datos) ........................................................... 57 3.6.3. Infraestructura.................................................................................... 58 3.6.4. Personas ........................................................................................... 58 3.6.5. Servicios ............................................................................................ 59 3.6.6. Software ............................................................................................ 59 3.7. CODIFICACIÓN O ETIQUETACIÓN DE LOS ACTIVOS ......................... 60 3.7.1. Etiquetación Tipo de Activo ............................................................... 60 3.8. CRITERIOS PARA LA VALORACIÓN DE ACTIVOS............................... 60 3.8.1. Valoración de Activos por tipo ........................................................... 61 3.8.1.1. Valoración de activos de hardware ................................................... 61 3.8.1.2. Valoración de activos de información ................................................ 62 3.8.1.3. Valoración de activos de infraestructura ........................................... 62 3.8.1.4. Valoración de activos de personas.................................................... 63 3.8.1.5. Valoración de activos de servicios .................................................... 63 3.8.1.6. Valoración de activos de software ..................................................... 63 3.9. VALORACIÓN DEL IMPACTO ................................................................ 64 3.9.1. Valoración del impacto de activos ..................................................... 65 3.9.1.1. Valoración de impacto Hardware ..................................................... 65 3.9.1.2. Valoración de impacto Información .................................................. 66 3.9.1.3. Valoración de impacto Personas ...................................................... 66 3.9.1.4. Valoración de impacto Infraestructura .............................................. 67 3.9.1.5. Valoración de impacto Servicios ...................................................... 67 3.9.1.6. Valoración de impacto Software ....................................................... 67 3.10.. IDENTIFICACION DE AMENAZAS ...................................................... 68 5.
(7) 3.10.1.. Tipos de Amenazas ........................................................................ 69. 3.10.1.1. Amenazas de tipo acciones no autorizadas ................................... 69 3.10.1.2. Amenazas de tipo Compromiso de la Información ......................... 69 3.10.1.3. Amenazas de tipo Compromiso de las Funciones ......................... 70 3.10.1.4. Amenazas de tipo Daño físico ........................................................ 70 3.10.1.5. Amenazas de tipo Eventos naturales ............................................. 70 3.10.1.6. Amenazas de tipo Fallas técnicas .................................................. 70 3.10.1.7. Amenazas de tipo Perdida de los servicios esenciales .................. 71 3.10.2.. Origen de las Amenazas ................................................................ 71. 3.10.2.1. Eventos naturales y su origen ......................................................... 71 3.10.2.2. Acciones no autorizadas y su origen ............................................... 72 3.10.2.3. Compromiso de la información y su origen ..................................... 72 3.10.2.4. Compromiso de las funciones y su origen ....................................... 72 3.10.2.5. Daño físico y su origen .................................................................... 73 3.10.2.6. Fallas técnicas y su origen .............................................................. 73 3.10.2.7. Pérdida de los servicios esenciales y su origen .............................. 73 3.11.. IDENTIFICACION DE VULNERABILIDADES....................................... 74. 3.11.1.. Valoración de Vulnerabilidad por Amenazas de tipo de Activo ...... 74. 3.11.1.1. Vulnerabilidades por Hardware ....................................................... 75 3.11.1.2. Vulnerabilidades por Infraestructura ................................................ 75 3.12. VALORACION DETALLADA DE LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACION ...................................................................................... 76 3.12.1.. Relación entre Impacto, Probabilidad y Riesgo .............................. 76. 3.12.1.1. Matriz de Riesgo ............................................................................. 77 4.. POLITICAS Y CONTROLES DE SEGURIDAD .............................................. 79 4.1. PROCEDIMIENTOS Y CONTROLES ...................................................... 79 4.2. POLITICAS DE SEGURIDAD .................................................................. 79. 5.. CONCLUSIONES .......................................................................................... 81. 6.. RECOMENDACIONES .................................................................................. 82. 7.. REFERENCIAS .............................................................................................. 83. 8.. ANEXOS ........................................................................................................ 87 8.1. Anexo A. Controles ISO27002 ................................................................. 87 6.
(8) 8.2. Anexo B. Cuadro de Riesgos ................................................................... 94 8.2.1. Identificación de activos ..................................................................... 94 8.2.2. Identificación de Amenazas. .............................................................. 96 8.2.3. Identificación de Vulnerabilidades por Activo .................................... 97 8.2.4. Identificación y valoración de Riesgos ............................................. 100 8.3. Anexo C. Políticas de Seguridad ............................................................ 100. LISTA DE ANEXOS Anexo A. ControlesISO27002.xls (En medio magnético) Anexo B. Cuadro de Riesgos.xls (En medio magnético) Anexo C. Políticas de Seguridad. (En medio magnético). 7.
(9) LISTA DE TABLAS. Tabla 1: Factibilidad Económica: Recursos Humanos .......................................... 29 Tabla 2: Factibilidad Económica: Recursos Técnicos ........................................... 29 Tabla 3: Total Factibilidad costo total .................................................................... 30 Tabla 4.Caracterización de Servidores ................................................................. 39 Tabla 5: Análisis DOFA ......................................................................................... 52 Tabla 6: Matriz DOFA ............................................................................................ 53 Tabla 7: Etiquetación Tipo de Activo ..................................................................... 60 Tabla 8: Criterios de valoración de activos ............................................................ 61 Tabla 9: Valoración de activos de hardware ......................................................... 61 Tabla 10: Valoración de activos de información .................................................... 62 Tabla 11: Valoración de activos de infraestructura................................................ 62 Tabla 12: Valoración de activos de personas ........................................................ 63 Tabla 13: Valoración de activos de servicios......................................................... 63 Tabla 14: Valoración de activos de software ......................................................... 63 Tabla 15: Valoración de impacto Hardware .......................................................... 65 Tabla 16: Valoración de impacto Información ....................................................... 66 Tabla 17: Valoración de impacto Personas ........................................................... 66 Tabla 18: Valoración de impacto Infraestructura ................................................... 67 Tabla 19: Valoración de impacto Servicios ........................................................... 67 Tabla 20: Valoración de impacto Software ............................................................ 67 Tabla 21: Amenazas de tipo acciones no autorizadas .......................................... 69 Tabla 22: Amenazas de tipo Compromiso de la Información ................................ 69 Tabla 23: Amenazas de tipo Compromiso de las Funciones ................................ 70 Tabla 24: Amenazas de tipo Daño físico ............................................................... 70 Tabla 25: Amenazas de tipo Eventos naturales .................................................... 70 Tabla 26: Amenazas de tipo Fallas técnicas ......................................................... 70 Tabla 27: Amenazas de tipo Perdida de los servicios esenciales ......................... 71 Tabla 28: Origen de las Amenazas ....................................................................... 71 Tabla 29: Eventos naturales y su origen ............................................................... 71 Tabla 30: Acciones no autorizadas y su origen ..................................................... 72 Tabla 31: Compromiso de la información y su origen ........................................... 72 Tabla 32: Compromiso de las funciones y su origen ............................................. 72 Tabla 33: Daño físico y su origen .......................................................................... 73 Tabla 34: Fallas técnicas y su origen .................................................................... 73 Tabla 35: Pérdida de los servicios esenciales y su origen .................................... 73 Tabla 36: Vulnerabilidades por Hardware ............................................................. 75 Tabla 37: Vulnerabilidades por Infraestructura ...................................................... 75 Tabla 38: Riesgos Inherentes................................................................................ 77 Tabla 39: Riesgo Residual .................................................................................... 77 Tabla 40. Políticas de seguridad ........................................................................... 87 8.
(10) Tabla 41. Aspectos Organizativos ......................................................................... 87 Tabla 42. Seguridad Ligada a los RR.HH ............................................................. 88 Tabla 43. Gestión de activos ................................................................................. 88 Tabla 44. Control de Accesos ............................................................................... 89 Tabla 45. Cifrado ................................................................................................... 89 Tabla 46.Seguridad Física y Ambiental ................................................................. 90 Tabla 47. Seguridad en la Operativa ..................................................................... 90 Tabla 48.Seguridad en las Telecomunicaciones ................................................... 91 Tabla 49.Adquisición, Desarrollo y Mantenimiento de los SI ................................. 92 Tabla 50. Relaciones con Suministradores ........................................................... 92 Tabla 51. Gestión de Incidentes ............................................................................ 93 Tabla 52. Aspectos de Seguridad de la Información ............................................. 93 Tabla 53. Cumplimiento ........................................................................................ 94 Tabla 54. Identificación de Activos ........................................................................ 94 Tabla 55. Identificación de Amenazas ................................................................... 96 Tabla 56. Identificación de Vulnerabilidades por Activo ........................................ 97. 9.
(11) LISTA DE FIGURAS. Figura 1: Gestión de riesgos ................................................................................. 21 Figura 2: Ciclo PDCA ............................................................................................ 26 Figura 3: Cronograma ........................................................................................... 28 Figura 4: Organigrama MetLife Colombia ............................................................. 36 Figura 5: Topología de la red de datos de MetLife ................................................ 44 Figura 6: enlace de red de datos entre Colombia y Estados Unidos ..................... 45 Figura 7: Enlace de red de datos punto a punto entre dos oficinas de MetLife ..... 45 Figura 8: Red de datos de una sucursal de MetLife .............................................. 46 Figura 9: Aplicación SACC de MetLife .................................................................. 47 Figura 10: Aplicación Ramos Inviduales de MetLife .............................................. 48 Figura 11: Aplicación AS400 de MetLife ............................................................... 41 Figura 12: Aplicación GSP de MetLife ................................................................... 48 Figura 13: Página de inicio del sitio web de MetLife .............................................. 49 Figura 14: Servicios en línea que ofrece el sitio web de MetLife ........................... 50. 10.
(12) AGRADECIMIENTOS. Expresamos nuestros más sinceros agradecimientos: A nuestro tutor el ingeniero Jairo Hernández Gutiérrez quien nos prestó su constante apoyo para el desarrollo de este proyecto resolviendo las dudas que surgían acerca de los diferentes temas. A nuestras familias quienes estuvieron apoyándonos durante todo el transcurso del proyecto, dándonos apoyo en diferentes índoles. Y muchas gracias a todas las personas que siempre estuvieron prestas a colaborarnos en la solución de las dudas que surgieron durante el desarrollo del proyecto.. 11.
(13) RESUMEN. En este documento, da a conocer el desarrollo de un modelo de gestión de riesgos de la seguridad de la información dirigido a empresas del sector asegurador, con base en el enfoque de gestión de riesgos de la norma técnica colombiana NTCISO/IEC 27005:2008, la cual ofrece las pautas para implementar satisfactoriamente un modelo de seguridad en cualquier tipo de organización que quiera mitigar el riesgo en la seguridad de la información. Se realizó un análisis a la situación actual de las empresas aseguradoras, para determinar su estado en la gestión del riesgo en la seguridad de la información, y así poder comparar los datos obtenidos con los estándares que se están trabajando actualmente en gestión del riesgo en la seguridad de la información. Se hizo una valoración de activos presentes en las empresas aseguradoras y se evaluaron los impactos que pueden llegar a tener para la entidad. Se determinaron cuáles pueden ser las vulnerabilidades en las aseguradoras en cuanto a la seguridad de la información y se buscaron los métodos de evaluación, para poder disminuir los riesgos en cada uno de los hallazgos. Se definieron políticas de seguridad de la información que permiten reducir las vulnerabilidades y amenazas en las entidades aseguradoras. Se realizó una valoración cualitativa y cuantitativa de los riesgos en seguridad de la información a los que puede estar expuesta una empresa aseguradora. Finalmente, se describen las recomendaciones para generar un informe donde se evidencien hallazgos que permiten definir estrategias en la gestión de riesgos de la seguridad de la información y partir de estas crear planes de acción ajustados a la realidad de las entidades del sector asegurador, que les puedan servir para mantener a salvo la información de los asegurados, la cual es el activo más importante en este sector.. 12.
(14) ABSTRACT. In this document, based on the risk management approach of the Colombian technical standard NTC-ISO / IEC 27005: 2008, in order to know the development of an information security risk management model for companies in the insurance sector, Which provides the guidelines for successfully implementing a security model in any type of organization that wants to mitigate the risk in information security. An analysis was made of the current situation of the insurance companies, to determine their status in the management of the risk in the information security, and thus power The data were obtained with the standards that are currently working in the risk management in Information Security An asset valuation was made in the insurance companies and the impacts that they may have for the entity were evaluated. It was determined what the vulnerabilities in the insurers may be in terms of information security and to look for the evaluation methods to reduce the risks in each of the findings. Information security policies were defined to reduce vulnerabilities and threats in insurance companies. A qualitative and quantitative assessment of the security risks of the information in which an insurance company may be exposed. Strategies in risk management of information security and the creation of action plans adjusted to the reality of insurance sector entities the service to keep the information of the insured, which is the most important asset in this sector.. 13.
(15) INTRODUCCIÒN. El presente trabajo se refiere al tema de la gestión de riesgos en la seguridad de la información, teniendo en cuenta que es uno de los temas más importantes en la actualidad y en cualquier tipo de organización, ya que los datos son uno de los activos más transcendentales que existen hoy por hoy, puesto que con ellos se pueden realizar diversidad de estudios para obtener beneficios de los mismos. La característica principal de la seguridad de la información es conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Para analizar este tema es necesario mencionar las causas que pueden llegar afectar la seguridad de la información en las organizaciones, y para este trabajo en particular se realizó el caso estudio con la compañía de seguros MetLife Seguros de Vida Colombia, donde se evidencia que aún se incluyen aspectos informáticos clásicos como los controles perimetrales, la vulnerabilidad, la detección de intrusos en los sistemas, pero ahora, además, se debe garantizar que el personal sea capaz de gestionar la información de la organización de una forma segura, independientemente del formato o soporte en el que se encuentra. La investigación de este trabajo se realizó por el interés de conocer, como la información juega un papel importante dentro de una organización y con base a esto se debe garantizar que la misma se encuentre protegida, bajo estándares de calidad que permitan que se le brinde un buen manejo, evitando que sus características sean vulneradas y facilitando a cualquier compañía su administración, dando respaldo y seguridad a sus clientes de que su información se encuentra en un lugar seguro y confiable. Teniendo en cuenta lo anterior para este trabajo se tuvo en cuenta los lineamientos propuestos en la norma técnica colombiana NTC-IS0/IEC 27005:2008, esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Lo que se busca con este trabajo es primero identificar la situación actual de la compañía MetLife seguros de vida con respecto a la seguridad de la información, realizando una valoración de sus activos, identificando vulnerabilidades y amenazas que se puedan presentar, con el fin de buscar métodos basados en la norma NTC-IS0/IEC 27005:2008 que permitan reducirlas fortaleciendo este activo tan importante para la compañía.. 14.
(16) JUSTIFICACIÒN. Teniendo en cuenta la situación problema, se desarrolló este proyecto pensando en cada uno de los clientes pertenecientes a las diferentes aseguradoras del país, ya que a través de la adquisición de pólizas de seguro se brinda información sensible con el fin de acceder a dichos seguros, de ahí la importancia de que la información brindada por las personas se trate de forma adecuada brindando tranquilidad y confiabilidad a sus clientes, con el fin de garantizar de una u otra forma su permanencia en las compañías. Por otro lado cabe resaltar que a través de un manejo seguro y confiable de la información se evite que gente inescrupulosa tenga acceso a la información y le dé un manejo inapropiado, para ello a través de este proyecto lo que se busca es que con ayuda e implementación de la norma ISO/IEC 27005 se evite al máximo que la información sea vulnerable, gestionando todo lo referente a la seguridad de la información. En el presente documento se detalla un modelo de gestión de riesgo estructurado que permitirá para este caso puntual a las empresas de seguro tener definidos unos controles, políticas y demás mecanismos que permitan tener un alto nivel de seguridad en el manejo de la información, garantizando a sus clientes que su información está en buenas manos. Por último es importante en este estudio identificar muy bien las amenazas y vulnerabilidades presentadas actualmente en las aseguradoras, ya que este será el punto de partida para tomar los correctivos necesarios y así de esta manera evitar que el riesgo se materialice trayendo consigo consecuencias negativas para las empresas de seguro.. 15.
(17) CAPITULO I DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN. 16.
(18) 1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN. 1.1.. TITULO. Modelo de gestión de riesgos de la seguridad de la información en empresas del sector asegurador utilizando la norma ISO/IEC 27005. 1.2.. PLANTEAMIENTO DEL PROBLEMA. En las empresas del sector asegurador se manejan grandes volúmenes de información, de ahí la importancia de tener un sistema de seguridad de la información que permita la gestión de vulnerabilidades, riesgos y amenazas a las que normalmente se ve expuesta esta información presente en cada uno de los procesos internos de estas compañías, en algunas de estas empresas no se tienen estandarizados controles que lleven a mitigar delitos informáticos o amenazas a los que están expuestos los datos, comprometiendo la integridad, confidencialidad y disponibilidad de la información. Existen procedimientos creados subjetivamente por iniciativa y experiencia de los miembros del equipo trabajo de cada empresa; por ejemplo, no existe una política clara de uso de claves de usuario, no se tienen en cuenta estándares de calidad en el manejo de los servicios y procesos, se maneja información de manera inapropiada siendo vulnerables a la fuga de datos y manipulación de la información por parte de personas no autorizadas. Es necesario tener en cuenta que las empresas de seguros han tomado fuerza en los últimos años y uno de los inconvenientes más significativos dentro del manejo de la información debido a que ha ido creciendo paulatinamente y no se ha tomado conciencia de la importancia de asegurar la información existente; a medida que avanza es necesario adoptar y crear políticas que regulen las buenas prácticas en cada una de las transacciones, procesos y recursos relacionados con la información y para esto, es indispensable realizar el análisis de riesgos de la seguridad de la información. De no integrar dentro de sus sistemas, buenas prácticas y recomendaciones seguridad informática, resultado del análisis de riesgos; muy seguramente en futuro cercano podría ser víctima de delitos informáticos que obstaculicen normal funcionamiento como lo pueden ser intrusiones, modificación y/o robo información, denegación de servicios, entre otros.. de un su de. ¿Cómo identificar y tratar los riesgos que afecten la seguridad de la información en empresas del sector asegurador, con el fin de definir e implementar a futuro un Modelo de Gestión de Seguridad de la Información, mediante el análisis de riesgos? 17.
(19) 1.3.. OBJETIVOS. 1.3.1. Objetivo General Desarrollar un modelo de gestión de riesgos de la seguridad de la información dirigido a empresas del sector asegurador, con base en el enfoque de gestión de riesgos de la norma ISO/IEC 27005. 1.3.1. Objetivo Específicos . . . 1.4.. Realizar un análisis actual de las empresas aseguradoras, para determinar su estado en la gestión del riesgo en la seguridad de la información, en comparación con los estándares que se están trabajando actualmente. Hacer una valoración de activos y la evaluación del impacto en las empresas del sector asegurador. Establecer las vulnerabilidades y buscar sus métodos de evaluación, con el fin de disminuir los riesgos en la seguridad de la información. Definir políticas de seguridad que permitan reducir las vulnerabilidades y amenazas que se puedan presentar en las empresas del sector asegurador. Realizar una valoración cualitativa y cuantitativa de los riesgos a los que puede estar expuesta una empresa de seguros. Diseñar recomendaciones para generar un informe donde se evidencien hallazgos que permitan definir estrategias en la gestión de riesgos y con base en éstas crear planes de acción ajustados a la realidad de las empresas del sector asegurador. SOLUCIÓN TECNOLÓGICA. En la actualidad las empresas y organizaciones de cualquier índole deben considerar dentro de sus planes de gobierno el aseguramiento de la información generando políticas y controles bien sea en busca de garantizar la continuidad del negocio o de una certificación como carta de presentación y de distinción ante la competencia. Es importante que las empresas y en este caso particular las de seguros tomen conciencia de la necesidad de alinear sus objetivos institucionales, asegurar el flujo de información, optimizar recursos y garantizar la confidencialidad, disponibilidad e integridad de la misma. Este es uno de los retos que deben asumir las compañías de seguros, para estar acorde a los modelos y estándares actuales; para ello es necesario empezar con la ejecución del análisis de riesgos de la seguridad de la información, hacer una valoración de los activos con los que se cuenta, una evaluación de los impactos que dichos activos puedan tener, con el fin de que en un futuro sean la base para 18.
(20) implementar el sistema de gestión de seguridad de la información (SGSI), que permitirá mantener un modelo de negocio estable logrando un valor agregado y posicionamiento a nivel regional. Teniendo en cuenta lo anterior es importante tener un análisis de riesgos en estas empresas con el fin de garantizar una mayor efectividad y eficiencia dentro de cada uno de los procesos, para ello dentro de este proyecto se utilizará la norma ISO/IEC 27005:2008 como referencia para desarrollar un modelo de gestión de riesgo en la seguridad de la información y así disminuir los riesgos que se puedan presentar en el tratamiento de la información, partiendo del conocimiento de las fortalezas y debilidades, con el fin de mejorar el control y la administración de recursos tecnológicos acorde a los estándares nacionales e internacionales que buscan proporcionar mecanismos y herramientas para adoptar buenas prácticas de seguridad de la información y que de esta forma se logren los objetivos corporativos de cada compañía aseguradora. Este proyecto comprende el desarrollo de un modelo de gestión de riesgos basado en la norma ISO/IEC 27005:2008 dirigido a las empresas del sector asegurador y con el cual se pretende apoyar el proceso organizacional de estas empresas del sector público y privado, es importante aclarar que el proyecto es un modelo que se planteara para su uso, sin embargo no llegará a una etapa de implementación, será un marco de referencia donde se busca reducir los riesgos en el manejo de la información y un material que se deja a disposición para que sea tomado como material de apoyo a la hora de requerir un modelo de este tipo. Es importante aclarar que el entregable es un modelo guía enfocado en el tratamiento de los riesgos de la seguridad de la información en las empresas aseguradoras, donde se brinden recomendaciones que permitan definir un sistema de análisis de riesgos ajustado a la realidad de las empresas del sector asegurador con ayuda de la norma ISO/IEC 27005:2008. 19.
(21) 1.5.. MARCO DE REFERENCIA 1.5.1. Marco teórico. DE LA IDENTIFICACIÓN Y ANÁLISIS A LA GESTIÓN DE RIESGOS DE SEGURIDAD Uno de los pilares de la gestión de la seguridad de la información se encuentra en la gestión de riesgos, que del mismo modo, también se trata de unas de las actividades básicas que son establecidas en los estándares de seguridad. De este modo, una cantidad importante de esfuerzos enfocados en la protección de la información, los activos y el negocio deriva de los resultados obtenidos de la valoración y priorización que se realiza a los riesgos de seguridad. Estos son, en gran medida, utilizados para la toma de decisiones. Por estas razones, en esta publicación abordaremos los aspectos básicos de la gestión de riesgos, como una de las actividades fundamentales para la gestión de la seguridad de la información.1 Definiciones y conceptos: ¿riesgo o amenaza? Adicional a otras actividades clave como la conformación de un gobierno o la formulación y aplicación de políticas de seguridad, la gestión de riesgos forma parte de las primeras y más importantes actividades. Es necesario tener en cuenta las siguientes definiciones. Para tener el contexto general, es importante recordar que el diccionario indica que un riesgo se entiende como una “contingencia o la proximidad de un daño”, ya que si el daño no está “próximo”, se habla de una amenaza. En el contexto de la seguridad y en términos del estándar ISO 27001, un riesgo puede ser expresado como el efecto de la incertidumbre sobre los objetivos de seguridad de la información. También, están asociados a la causa potencial de que una amenaza pueda explotar una o más vulnerabilidades de un activo o grupo de activos de información, teniendo como consecuencia algún tipo de daño. Generalmente, los riesgos se expresan en términos de la combinación de la posibilidad de ocurrencia de un evento no deseado (probabilidad) y sus consecuencias (impacto), por lo que las medidas de seguridad están orientadas a reducir alguna de estas dos variables, o en el mejor de los casos a ambas.. 1. MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de riesgos de seguridad. {En línea}. {18 de octubre de 2016} disponible en: http://www.welivesecurity.com/laes/2015/07/16/analisis-gestion-de-riesgos-seguridad/. 20.
(22) Según lo anterior, con ayuda de los estándares desarrollados por PMI, que tiene entre otros objetivos el establecer estándares de Dirección de Proyectos, organizar seminarios y programas educativos y administrar la certificación de profesionales, para el proyecto de desarrollo de un modelo de gestión de riesgos, es posible utilizar la guía PMBOK que es un estándar desarrollado por PMI, el cual reconoce 5 procesos básicos y 10 áreas de conocimiento comunes aproximadamente en todos los proyectos (Inicio, Planificación, Ejecución, Control y Monitoreo y Cierre). Gestión de Riesgos en Tecnologías de la Información Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta. La actualización de establecimiento, mantenimiento y continua mejora de un SGSI ofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.2 Contexto de la Gestión de Riesgos de Seguridad Luego de conocer los conceptos relacionados, revisemos el contexto junto con las actividades que implican su aplicación y ejecución. En un sentido amplio, la gestión involucra actividades que permiten dirigir, controlar, medir y continuamente mejorar la organización a través de las estructuras apropiadas. En términos de seguridad, la gestión consiste en la supervisión y toma de decisiones orientadas a lograr los objetivos de la empresa en materia de seguridad de la información. En el ámbito de los riesgos, se tiene como propósito principal mitigar la materialización de amenazas, y para ello se realizan distintas actividades (identificación, análisis y evaluación de riesgos) y fases (valoración, tratamiento y aceptación de los mismos). Si representamos gráficamente estas actividades y fases, podemos observarlas de la siguiente manera: Figura 1: Gestión de riesgos. Fuente: ISO/EIC 27005. 2. MURILLO POLANIA, Sujel. ISO/IEC 27005 Gestión de riesgos de seguridad de la Información. . {En línea}. {24 de abril de 2012} disponible en: http://segweb.blogspot.com.co/2012/04/27005.html. 21.
(23) Al tratarse de un proceso de mejora, se consideran otras fases y actividades durante la gestión de riesgos. Por ejemplo, ISO/IEC 27005:2008 (que define un proceso de gestión de riesgos de seguridad), incluye una fase previa a la valoración, denominada ‘establecer el contexto’, donde se deben definir (entre otros elementos), los criterios para su aceptación y priorización. También, considera actividades transversales: monitoreo, revisión, comunicación y consulta. De acuerdo con las actividades, la identificación pretende conocer los activos más importantes para una organización junto con las amenazas que podrían afectarlos. Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos para luego ser evaluados de forma cualitativa o cuantitativa en función de los criterios. Todo esto se considera dentro de la fase de valoración.3 Una vez que los riesgos han sido evaluados y priorizados (valorados en su conjunto), la siguiente fase tiene como propósito llevar a cabo alguna actividad para su tratamiento: mitigar, eliminar, transferir o aceptar. Esta etapa tiene como objetivo la definición de las acciones a realizar con relación a los riesgos y la aplicación de controles de seguridad.. • • •. Mitigar. Consiste en implementar algún control que reduzca el riesgo. Transferir. Ocurre cuando se delega la acción de mitigación a un tercero. Aceptar. Se presenta cuando el impacto es suficientemente bajo para que la organización decida no tomar ninguna acción de mitigación o cuando el costo de la aplicación de un control supera el valor del activo.. La eliminación es una actividad ideal, ya que difícilmente se puede reducir a cero un riesgo y generalmente se presenta cuando el activo en cuestión deja de tener valor, por lo que los riesgos asociados pueden ser descartados. Cuando se ha definido una acción para cada riesgo valorado, es necesario que los resultados sean aceptados y las medidas de seguridad aplicadas. Esto se vuelve necesario ya que al aplicar una contramedida o control, todavía se cuenta con un riesgo denominado residual, es decir, un remanente que debe ser aprobado.. Gestión de Riesgos: Actividad Básica para la Seguridad Los esfuerzos realizados a través de la aplicación de medidas de seguridad se concretan en mitigar riesgos, de manera que la realización de un ataque o la materialización de una amenaza sea impráctica, no viable o con las 3. MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de riesgos de seguridad. {En línea}. {18 de octubre de 2016} disponible en: http://www.welivesecurity.com/laes/2015/07/16/analisis-gestion-de-riesgos-seguridad/. 22.
(24) consecuencias mínimas aceptables. Por lo tanto, retoma relevancia la idea sobre la seguridad, relacionada con el hecho de que aunque no se pueda garantizar por completo, los riesgos deben ser tratados y reducidos hasta un nivel que, en caso de presentarse, no involucren consecuencias considerables. Esta es la idea básica de la gestión de riesgos. Además, debido a que el riesgo es variable, el daño tiene como base el valor del activo y cualquier cambio en las variables lo modifica. En términos de la gestión, suelen aceptarse los riesgos poco probables o de bajo impacto, así como aquellos que no afectan un activo de valor. Por todo lo anterior, la gestión resulta fundamental en busca de dirigir, controlar y tomar las mejores decisiones. En la Facultad Tecnológica de la Universidad Distrital Francisco José de Caldas, se han desarrollado algunos proyectos relacionados con la gestión de riesgos, como los siguientes: . GESTIÓN DE RIESGOS TECNOLÓGICOS BASADA EN ISO 31000 E ISO 27005 Y SOPORTE A LA CONTINUIDAD DE NEGOCIOS Realizado por Alexandra Ramírez Castro. . MODELO DE CONFIABILIDAD BASADO EN LA NORMA DE GESTIÓN DE RIESGO ISO 31000 PARA EMPRESAS DE DISTRIBUCIÓN DE ENERGÍA ELÉCTRICA EN CIRCUITOS RADIALES. Realizado por Andrés Mauricio Rueda Triana y Yaqueline Garzón Rodríguez. . PLAN DE EJECUCIÓN DE AUDITORIA INTERNA PARA EL GRUPO PHOENIX, Realizado por Sandra Patricia Ardila Lara, Elizabeth Taylor Cubillos Torrecillas y Manuel Alfonso Mayorga Morato. Algunos proyectos que se han realizado sobre gestión de riesgos en la seguridad de la información, son los siguientes: . GUIA DE GESTIÓN DE RIESGOS. SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. Realizado por el Ministerio de Tecnologías de la Información y las Comunicaciones.. . GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN CON BASE EN LA NORMA ISO/IEC 27005 DE 2011, PROPONIENDO UNA ADAPTACIÓN DE LA METODOLOGÍA OCTAVE-S. CASO DE ESTUDIO: PROCESO DE INSCRIPCIONES Y ADMISIONES EN LA DIVISIÓN DE ADMISIÓN REGISTRO Y CONTROL ACADÉMICO (DARCA) DE LA UNIVERSIDAD DEL CAUCA. Realizado por Diego Espinosa, Juan Martínez y Siler Amador de la Universidad del Cauca. 23.
(25) . ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA EN LA EMPRESA ASEGURADORA SUÁREZ PADILLA & CÍA. LTDA, QUE BRINDE UNA ADECUADA PROTECCIÓN EN SEGURIDAD INFORMÁTICA DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA ORGANIZACIÓN. Realizado por Sandra Yomay Suarez Padilla de la Universidad Nacional Abierta Y A Distancia.. . DESARROLLANDO UNA METODOLOGÍA DE ANÁLISIS DE RIESGOS PARA QUE EL SECTOR ASEGURADOR PUEDA TASAR LOS RIESGOS EN LAS PYMES. Realizado por Antonio Santos, Luis Enrique Sánchez y Eduardo Fernández de la Universidad de Alicante. 1.5.2. Antecedentes. SGSI: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.4 En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Fundamentos: Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D: Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.. 4. SGSI. http://www.iso27000.es/sgsi.html. 2015. 24.
(26) Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. Norma ISO/IEC 27005 Esta norma suministra directrices para la gestión de riesgo en la seguridad de la información. Esta norma brinda soporte a los conceptos generales que se especifican en la norma NTC–ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión de riesgo. El conocimiento de os conceptos, modelos, procesos y terminologías que se describen en la norma NTC–ISO/IEC 27001 y en NTC–ISO/IEC 27002, es importante para la total compresión de la norma. Esta norma se aplica a todos los tipos de las organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.5. ¿Qué es el Ciclo PDCA (o Ciclo PHVA)? El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas. 5. NTC-ISO/IEC 27005. {19 de marzo http://www.icontec.org/Ser/Ed/Paginas/Sgsi.aspx. 25. de. 2017}. disponible. en:. https://.
(27) mejoras. La aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y organizaciones. Figura 2: Ciclo PDCA. Fuente: ISO/EIC 27005. ¿Cómo implementar el Ciclo PDCA en una organización?. Las cuatro etapas que componen el ciclo son las siguientes:. 1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, etc. 2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala. 3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados. 4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar.. 26.
(28) Hay varias formas de aplicar los principios de “Planificar, Hacer, Controlar y Actuar”. Para saber más puedes leer este artículo sobre cómo implantar Programas de Acciones (Correctivas, Preventivas y de Mejora), y también puedes consultar nuestro apartado de Herramientas de mejora.. 1.5.3. Marco Metodológico En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una metodología que permite implantar un sistema de mejora continua, esto ayudara en el análisis de riesgo en el desarrollo del proyecto y además permitirá hacer una mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la Información. En el presente proyecto se usará el ciclo Deming en una forma global de la siguiente manera: Planificar: En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y se establecen el alcance, los objetivos, los puntos de medición dispuestos para verificar y medir. Adicionalmente se identifican los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social y se evalúan los riesgos, se tratan y se seleccionan los controles a implementar. Hacer: En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo. Verificar: Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI. Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.. 27.
(29) 1.6.. CRONOGRAMA Figura 3: Cronograma. 28.
(30) 1.7.. FACTIBILIDAD ECONÓMICA. La factibilidad económica del proyecto es alta, ya que para su desarrollo necesitamos en términos financieros mínimo dos equipos de trabajo, espacios de asesoría por parte del tutor del proyecto, acceso a Internet y papelería para realizar la documentación del proyecto. En las tablas que se presentarán a continuación se describe la factibilidad económica, identificando los costos de papelería, hardware, software y recursos humanos necesarios para el desarrollo del proyecto de investigación que se está proponiendo. La factibilidad está separada en tres aspectos, recursos humanos, recursos técnicos y otros recursos, en la siguiente tabla se muestra el detalle de los recursos humanos, Tabla 1 Factibilidad de Recursos Humanos. 1.7.1. Factibilidad Económica: Recursos Humanos Tabla 1: Factibilidad Económica: Recursos Humanos Tipo. Descripción. Tutor. Asesorías para la realización del proyecto,. Valor-Hora. Cantidad. Total. $ 50.000. 150. $ 7.500.000. $ 35.000. 10 horas. $ 7.000.000. referente a la metodología de trabajo. 2 Analistas. Dos analistas que realicen el desarrollo de la solución propuesta.. semanales. Total Recursos Humanos. $ 14.500.000. Fuente: Los Autores. Aquí se presenta el tiempo de las asesorías necesarias para el desarrollo del proyecto y los gastos de los analistas requeridos. En la Tabla 2 se presentarán los gastos de los recursos que se necesitan para el desarrollo del proyecto. 1.7.2. Factibilidad Económica: Recursos Técnicos Tabla 2: Factibilidad Económica: Recursos Técnicos Recurso. Descripción. Equipos de. Equipos de escritorio para el. cómputo.. desarrollo y documentación del. Valor Unitario. Cantidad. Total. $ 1.800.000. 2. $ 3.600.000. proyecto. Total Recursos Técnicos. $ 3.600.000. 29.
(31) Fuente: Los Autores. Por último se muestran los gastos adicionales (imprevistos) en la Tabla 3 que serán solventados por los analistas del proyecto.. 1.7.3. Total Factibilidad Costo Total Tabla 3: Total Factibilidad costo total Recurso. Valor. Total Recursos Humanos. $ 14.500.000. Total Recursos Técnicos. $ 3.600.000. Total Otros recursos. $. 100.000. Costos imprevistos (10%). $ 1.820.000. TOTAL COSTO. $ 20.020.000. Fuente: Los Autores. 1.8.. FACTIBILIDAD TÉCNICA.. Para el desarrollo del modelo propuesto se hará uso de un computador que cuente con sistema operativo Windows 7, y que este equipado con las siguientes herramientas: toda la suite ofimática de office, acceso a internet; en general un computador que cuente con el equipamiento informático adecuado para el desarrollo del proyecto, es importante aclarar que no se requiere una máquina de gran capacidad ya que no se realizara ningún prototipo.. 1.9.. FACTIBILIDAD OPERATIVA.. El modelo de gestión que se propone se realizará de tal forma de que al momento que cualquier empresa del sector asegurador desee implementarlo, funcione y se adapte a sus necesidades. Se desarrollará con base a que no requiera de muchos recursos tanto operativos como humanos para su funcionamiento y adaptación de tal forma que sea muy sencillo de comprender al momento de que sea utilizado por los diferentes tipos de empresas, ya que lo que se busca es que pueda ser utilizado hasta por personas que no tengan muchos conocimientos en temas de gestión de riesgos. En cuanto a los analistas destinados como recurso humano del proyecto, se cuenta con conocimientos sobre el tema al que se le dará solución y se realizará investigación a los temas desconocidos para la implementación del modelo propuesto. Adicionalmente se cuenta con la asesoría de nuestro tutor Jairo Hernández Gutiérrez docente de la Universidad Distrital Francisco José de Caldas. 30.
(32) CAPITULO II ANÁLISIS CASO ESTUDIO. 31.
(33) 2. ANALISIS DE LA SITUACIÒN ACTUAL. A continuación se muestra la situación actual que se tiene frente al manejo de la información en una empresa de seguros.. 2.1.. CASO ESTUDIO. En la actualidad muchas de las empresas no cuentan con un sistema de gestión de seguridad de la información completo y bien estructurado que permita salvaguardar este activo de alto valor para las compañías, por lo cual muchas veces se ve expuesto por no tener de forma documentada y bajo la normativa el tratamiento adecuado de la información, exponiendo información de los clientes y poniendo en riesgo la seguridad de los mismos. Para este caso particular las empresas de seguros deben ser muy cuidosas en el manejo de la información ya que muchas veces tratan información sensible de los clientes (ingresos, activos, historias clínicas, datos básicos y familiares, etc.), por esto la importancia de implementar mecanismos de seguridad que conlleven al mejoramiento de las actividades y procesos que se desarrollan al interior de estas compañías, solo de esta forma se puede garantizar que los niveles de productividad y satisfacción de los clientes sean altos permitiendo que estas empresas se mantengan en el mercado y sean reconocidas por su excelencia en el servicio y en el manejo de información de sus clientes. En la actualidad para acceder a una póliza de seguro es necesario diligenciar una solicitud de seguro donde se debe registrar información como nombres, direcciones, teléfonos, activos, datos de familiares para registrar como beneficiarios, ingresos mensuales, medios de pago etc., información que se entrega de manera física en la solicitud y la cual para su respectivo ingreso al sistema y evaluación de aprobación del seguro debe ser manipulada por varias personas, es aquí donde se identifica una primer oportunidad de mejora en el tratamiento de información ya que se puede presentar manipulación, alteración o hasta perdida de la misma. Otro factor relevante en el manejo de información son los sistemas de información, ya que a través de estos se gestiona la información entregada por el cliente, se almacena, se actualiza y se elimina en un determinado momento de ser necesario, de aquí la importancia que estos sistemas sean manejados por personal autorizado a través de perfiles de usuario que permitan ser monitoreados constantemente para evitar fuga de información, sin embargo muchas veces esto no es tenido en cuenta y se encuentran casos donde se vulnera el acceso a la 32.
(34) información afectando al cliente en la seguridad, integridad y confidencialidad de su información. Es de aclarar que pese a cualquier medida que se tome para la protección de la información, está siempre va estar en riesgo y puede ser vulnerable en cualquier momento por un factor interno de la compañía o externo como incendios, terremotos, inundaciones etc. , sin embargo dependerá del sistema de gestión de seguridad que este riesgo sea mínimo y permita que se pueda salvaguardar y procesar de manera apropiada la información personal de los clientes ya que esto permitirá un alto nivel de confianza entre el cliente y la compañía junto con sus colaboradores, es importante aclarar que las empresas de seguros deben velar por la seguridad de la información ya que revelar de manera inapropiada o involuntaria, así como procesar de manera ilegal la información puede afectar la reputación de la empresa, así como exponerla a responsabilidades legales y regulatorias.. ESTUDIO DE LA ORGANIZACIÓN La organización de nuestro caso estudio es la aseguradora MetLife Colombia Seguros de Vida S.A., y a continuación se da a conocer algunos datos importantes de esta entidad.. Quiénes Somos en el Mundo Las empresas MetLife son líderes en innovación y reconocidos en soluciones de protección, retiro y ahorro alrededor del mundo con más de 148 años de experiencia. A través de sus subsidiarias y compañías afiliadas, MetLife mantiene posiciones de liderazgo en mercados como Estados Unidos, Japón, América Latina, Asia Pacífico, Europa y Medio Oriente. Más de 100 millones de clientes en cerca de 50 países han confiado en sus servicios. El éxito que ha logrado la empresa en el rubro de los seguros, en gran parte se lo atribuyen a la contribución de los más de 65.000 empleadores que han permitido que sus empleados puedan contar con un sistema de seguridad para ellos y sus familias Las grandes compañías a nivel mundial, reconocen la importancia de ser cliente de MetLife, es por esto que ofrecemos servicios a 95 de las primeras 100 empresas de FORTUNE 500®.6. 6. MetLife Seguros de Vida, Quienes Somos, http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html. 33. Disponible. en:.
(35) Alrededor del mundo, las empresas MetLife ofrecen seguros de vida, accidentes, retiro y ahorro, así como reaseguramiento a través de agentes, distribuidores como bancos y corredores de seguros, y canales de marketing directo. Nosotros trabajamos con familias, empresas y gobiernos ofreciéndoles soluciones que otorgan garantías financieras en sus vidas. Tenemos la experiencia, recursos globales y la visión para ofrecer certeza financiera para un mundo incierto. FORTUNE 500® es una marca registrada de la revista FORTUNE®, una división de Time Inc. Quiénes Somos en Colombia MetLife llega a Colombia en noviembre de 2010, gracias a la adquisición de Alico (American Life Insurance Company) por parte de MetLife Inc.; por eso, y con mucho orgullo, desde marzo de 2011 operamos bajo la marca MetLife. Al combinar la experiencia local de 50 años en el mercado Colombiano, con la fortaleza de un líder mundial, somos los únicos en poder ofrecer productos y servicios únicos e innovadores, que harán mejor la vida de millones de colombianos. Nuestro objetivo está encaminado a convertirnos en un verdadero apoyo para usted y los suyos, tanto en el cuidado como en la construcción de un futuro sólido, seguro y tranquilo, mientras disfrutan de los momentos valiosos de la vida. Actualmente contamos con 8 sedes para satisfacer las necesidades de nuestros clientes, ubicadas en las ciudades de Bogotá, Medellín, Cali, Manizales, Pereira, Barranquilla, Bucaramanga y Rionegro. Atendemos a más de 1.100.000 asegurados en todo el territorio nacional a través de un excelente equipo humano con más de 1000 empleados directos y más de 300 intermediarios de seguros, que son permanentemente capacitados para garantizar la excelencia de nuestros servicios. Contamos con un sistema de gestión de la calidad certificado desde el 2004 bajo la norma ISO 9901: 2008 En MetLife disponemos de toda la experiencia, recursos y visión que se requiere para convertirnos en un verdadero apoyo en el cuidado y la construcción de un futuro sólido y tranquilo para todos nuestros asegurados.7 Para ello, contamos con una completa oferta de seguros de vida individual, tradicionales y variables, seguros de beneficios para empleados en sus modalidades de vida grupo, hospitalización y cirugía, seguros de vida deudor, accidentes personales, seguros de pensiones y rentas vitalicias. Trabajamos día a día para ser una compañía en la que usted pueda confiar de por vida. 7. MetLife Seguros de Vida, Quienes Somos, http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html. 34. Disponible. en:.
(36) La Misión de MetLife Colombia En MetLife construimos libertad financiera para nuestros clientes ofreciendo productos y servicios de protección y acumulación, y programas de beneficios para empleados. Bajo principios éticos y de responsabilidad social, nuestro trabajo está orientado a satisfacer integralmente las necesidades de los clientes, generar utilidades para los accionistas y desarrollar nuestro talento humano.. La Visión de MetLife Colombia Convertirnos en "One MetLife" una empresa reconocida como líder a nivel mundial de seguros de vida y beneficios para trabajadores. A través de nuestra estrategia, haremos que MetLife sea una empresa mundial de primer nivel. 8. Valores Corporativos de MetLife Colombia . Ser los Mejores. Buscamos nuevas y mejores formas de hacer las cosas. Como líderes, elevamos constantemente el nivel. Corremos riesgos calculados y Aprendemos rápidamente de nuestros valores.. . Poner a los clientes primero. Cuidamos y respetamos a nuestros clientes. Es el centro de todo lo que hacemos. Define nuestro trabajo y forma de cultura de nuestra gente. Se irradia hacia nuestros accionistas y comunidades.. . Hacer las cosas fáciles. Facilitamos la comprensión de nuestros productos. Buscamos formas más simples para brindar mejores soluciones.. 8. MetLife Seguros de Vida, Misión y Visión, Disponible http://www.metlife.com.co/es/Individual/Quienes-Somos/Local/Mision-y-Vision.html. 35. en:.
(37) Superamos las expectativas de nuestros clientes. Generamos confianza. . Tener éxito juntos. Unidos por un propósito común. Somos abiertos e incluyentes. Aplicamos las mejores ideas de cualquier parte de la empresa.. Valores de la Marca . Fortaleza financiera: somos una de las compañías de seguros de vida más grandes y con mayor respaldo y presencia a escala global.. . Confianza: millones de clientes alrededor de 50 países en el mundo, y más de 688.000 en Colombia.. . Liderazgo: a través de sus subsidiarias y afiliadas, MetLife tiene posiciones de liderazgo en los mercados de Estados Unidos, Japón, América Latina, Asia Pacifico Europa y Oriente Medio.. . Innovación: MetLife ha sido pionera en la introducción de productos y servicios en el sector de seguros de vida.9. Organigrama MetLife Colombia Figura 4: Organigrama MetLife Colombia. Fuente: Página web MetLife. 9. MetLife Seguros de Vida, Valores, Disponible en: http://www.metlife.com.co/es/Individual/Uneteal-equipo/Valores.html. 36.
(38) Política para el tratamiento de los datos personales de MetLife Colombia MetLife Colombia Seguros de Vida S.A. Informa lo siguiente: Con anterioridad a la expedición del Decreto 1377 del 27 de junio de 2013 ha recolectado algunos de sus datos personales con ocasión de nuestra actividad. Por eso y para los fines del artículo 10 del citado decreto, de la manera más amable y cordial solicita su consentimiento para continuar tratando sus datos personales de manera leal, lícita, segura y confiable para las finalidades señaladas en nuestra autorización de tratamiento de datos personales. MetLife Colombia Seguros de Vida S.A., ha creado una Política de Tratamiento de Información en la cual se definen, entre otros, los principios que se cumplirán al recolectar, almacenar, usar y realizar cualquier actividad con sus datos personales. En la misma también se establecen los mecanismos para que ejerza sus derechos consagrados en el artículo 15 de la Constitución Nacional, la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013. Así las cosas, cualquier decisión que de manera informada usted tome con base en lo anteriormente expuesto, podrá comunicárnosla a través de la línea telefónica 3581258 en Bogotá dentro de los treinta (30) días hábiles siguientes a partir del 26 de julio de 2013.10. 2.2.. INFORMACIÓN TECNICA 2.2.1. CARACTERIZACIÓN DE LA RED ACTUAL. Infraestructura actual MetLife Colombia Seguros de Vida S.A. determina, proporciona y mantiene la infraestructura necesaria y adecuada para ofrecer sus servicios. La infraestructura incluye: . Sucursal principal se encuentra ubicada en Bogotá DC. Carrera 7 No. 99 – 53 Pisos 1er, 5to y 17.. . Sucursal en Bogotá DC. Calle 97 No. 23 - 60 Piso 4to, 5to y 7°.. . Adicional se encuentran 7 sucursales a nivel nacional. Cali Medellín. 10. MetLife Seguros de Vida, Autorización y Política para el Tratamiento de sus datos personales, Disponible en: http://www.metlife.com.co/es/Individual/Servicio-al-Cliente/politicas_informacion.html. 37.
(39) Bucaramanga Barranquilla Rionegro Manizales Pereira.. Las cuales cuentan con amplios espacios de trabajo, iluminación adecuada, equipos de cómputo con los programas necesarios para el buen funcionamiento de la organización. Se realiza mantenimiento a los elementos requeridos para la prestación del servicio a nivel nacional de acuerdo la necesidad, y se dejan soportes de lo ejecutado (mantenimiento general de las oficinas, mantenimiento eléctrico, iluminación, puestos de trabajo, aire acondicionado), donde se evidencia a la ejecución del mismo adicionalmente, existe cronograma de mantenimiento preventivo a equipos de cómputo y servidores.. Oficina Central Los usuarios fijos se deben repartir en los 6 pisos que tienen las dos sedes ubicadas en la ciudad de Bogotá, el edificio principal con medidas de 30 m de frente por 40 m de fondo, cuenta con 6 ascensores ubicados al extremo opuesto uno del otro, pero de frente, el tamaño del ascensor es de 3.5 X 2.5 m cuadrados y las escaleras internas están ubicadas a un costado del edificio, y su tamaño es de 2X2 m. A una distancia en línea vista de 2.3 Km aprox. existe la otra sede, un edificio de 11 pisos en donde sus instalaciones están ubicadas en tres de ellos (4to, 5to y 7°), donde está ubicada la fuerza de ventas, un grupo administrativo que acompaña la labor comercial, el área de suscripción y el área de IT, la cual se interconecta con el edificio principal mencionado por fibra óptica. Esta sucursal cuenta ya con 215 puntos de red de cableado de categoría 5E, que llegan a un centro de cableado y se conectan a los servidores disponibles en esta sede con cada uno de los servicios necesarios para el correcto funcionamiento del negocio. En el edificio principal, cada puesto de trabajo ocupa el espacio adecuado teniendo en cuenta el concepto de oficina abierta y permite la operación de correo electrónico para todos los usuarios y acceso a Internet junto con cada una de las aplicaciones necesarias en el CORE del negocio.. 38.
(40) La oficina de recursos humanos, Vicepresidencias, Auditoria, Planeación y las salas de juntas con todas sus ayudas audiovisuales y de comunicación están ubicados en el piso 17, Cartera, Tesorería, Financiera y Actuaria en el piso 5to y la oficina de atención al cliente ubicada en el 1er piso del edificio principal. CARACTERIZACIÓN DE LOS SERVIDORES Los servidores del CORE del negocio son DELL, los cuales contienen las aplicaciones misionales del negocio. Entre estos servidores están los de dominio, archivos, de correo, base de datos, clúster, proxy, aplicaciones y Web con sistema operativo Windows Server 2012. Tabla 4.Caracterización de Servidores. DENOMINACIÓN DEL SERVIDOR Servidor de Correo. Servidor Proxy. Servidor Web. Servidor de Base de Datos. Servidores Clúster. DESCRIPCIÓN. CANTIDAD. Es el servidor que almacena, envía, recibe y realiza todas las operaciones relacionadas con el e-mail de MetLife Seguros de Vida. Es el servidor que actúa de intermediario de forma que el servidor que recibe una petición no conoce quién es el cliente que verdaderamente está detrás de esa petición. Almacena principalmente documentos HTML (son documentos a modo de archivos con un formato especial para la visualización de páginas web en los navegadores de los clientes), imágenes, videos, texto, presentaciones, y en general todo tipo de información. Además se encarga de enviar estas informaciones a los clientes como Web Services de MetLife. Da servicios de almacenamiento y gestión de bases de datos a sus clientes. Una base de datos que permite almacenar grandes cantidades de información. Por ejemplo, todos los datos de los clientes de la aseguradora MetLife y sus movimientos en los seguros vendidos. Son servidores especializados en el. 1. 39. 1. 1. 2. 3.
Figure
+7
Documento similar