Plan de implementación del SGSI basado en la Norma ISO 27001 para la Empresa Ticsocial S A S

Texto completo

(1)TICSOCIAL S.A.S. TICSOCIAL S.A.S. EVALUACIÓN DE RIESGOS Y METODOLOGÍA DE TRATAMIENTO DE RIESGOS.. Versión:. 001. Fecha de versión:. 15 de enero de 2018. Creado por:. Diana Rodríguez. Aprobado por: Nivel de confidencialidad:. El historial de cambios Fecha. Versión. Creado por. Descripción del cambio. 2018-12-17. 0.1. Diana Rodríguez. Esquema básico del documento.. 2019-01-05. 0.2. Diana Rodríguez. Redefinición de activos. 2019-01-15. 0.3. Diana Rodríguez. Redefinición de activos. 70.

(2) TICSOCIAL S.A.S. Tabla de contenido 1.. PROPÓSITO, ALCANCE Y USUARIOS ....................................................................................................... 72. 2.. DOCUMENTOS DE REFERENCIA .............................................................................................................. 72. 3.. EVALUACIÓN DE RIESGOS Y METODOLOGÍA DE TRATAMIENTO DE RIESGOS. ........................................ 72 3.1. EVALUACIÓN DE RIESGOS ........................................................................................................................... 72 3.1.1. El proceso .................................................................................................................................... 72 3.1.2. Activos, vulnerabilidades y amenazas......................................................................................... 72 3.1.3. Determinar los propietarios de riesgo......................................................................................... 72 3.1.4. Consecuencias y probabilidad. .................................................................................................... 74 3.2. CRITERIOS DE ACEPTACIÓN DEL RIESGO.......................................................................................................... 75 3.3. TRATAMIENTO DE RIESGO ........................................................................................................................... 75 3.4. REVISIONES REGULARES DE EVALUACIÓN DE RIESGO Y TRATAMIENTO DE RIESGO. ................................................... 76 3.5. DECLARACIÓN DE APLICABILIDAD Y PLAN DE TRATAMIENTO DE RIESGOS. .............................................................. 76. 4.. GESTIÓN DE REGISTROS MANTENIDOS SOBRE LA BASE DE ESTE DOCUMENTO. .................................... 76. 5.. VALIDEZ Y GESTIÓN DOCUMENTAL. ....................................................................................................... 78. 6.. APÉNDICES ............................................................................................................................................. 78. 71.

(3) TICSOCIAL S.A.S. 1. Propósito, alcance y usuarios El propósito de este documento es definir la metodología para la evaluación y el tratamiento de los riesgos de la información en la empresa y definir el nivel de riesgo aceptable de acuerdo con la norma ISO / IEC 27001. La evaluación de riesgos y el tratamiento de riesgos se aplican a todo el alcance del Sistema de gestión de seguridad de la información (SGSI), es decir, a todos los activos que se utilizan dentro de la organización o que podrían tener un impacto en la seguridad de la información dentro del SGSI. Los usuarios de este documento son todos los empleados de TICSOCIAL S.A.S. que participan en la evaluación de riesgos y el tratamiento de riesgos.. 2. Documentos de referencia • • • •. ISO/IEC 27001 standard, clausula 6.1.2, 6.1.3, 8.2, 8.3 Política de seguridad de la información Lista de requisitos legales, reglamentarios, contractuales y otros Declaración de aplicabilidad. 3.. Evaluación de riesgos y metodología de tratamiento de riesgos.. 3.1.. Evaluación de Riesgos. 3.1.1. El proceso La evaluación de los riesgos se efectúa a través de la tabla de evaluación de riesgos. Este proceso estará supervisado por Robinson Salazar y Luis Fernando Morales, la identificación de amenazas y vulnerabilidades, y la evaluación de las consecuencias y la posibilidad es realizada por Diana Rodríguez. 3.1.2. Activos, vulnerabilidades y amenazas. El primer paso en la evaluación de riesgos es la identificación de todos los activos en el alcance del SGSI, es decir, de todos los activos que pueden afectar la confidencialidad, integridad y disponibilidad de información en la organización. Los activos pueden incluir documentos en papel o en formato electrónico, aplicaciones y bases de datos, personas, equipos de TI, infraestructura y servicios externos / procesos subcontratados. Al identificar activos, también es necesario identificar a sus propietarios: la persona o unidad organizativa responsable de cada activo. El siguiente paso es identificar todas las amenazas y vulnerabilidades asociadas con cada activo. Las amenazas y las vulnerabilidades se identifican mediante la Tabla de evaluación de riesgos. Cada activo puede estar asociado con varias amenazas, y cada amenaza puede estar asociada con varias vulnerabilidades.. 3.1.3. Determinar los propietarios de riesgo. 72.

(4) TICSOCIAL S.A.S. Para facilitar la definición del propietario del riesgo, a cada propietario de un activo le será asignado el riesgo de dicho activo, así la persona o área de la organización serán responsables de los riesgos de acuerdo a los activos con lo que se relacione. TIPO ACTIVO. ACTIVO. PROPIETARIO. Correo electrónico. Área administrativa/ Líder área de desarrollo. A001. Servicios. A002. Servicios. WWW. Líder área de desarrollo. A003. Servicios. Intercambio electrónico de datos. Líder área de desarrollo. A004. Datos. Archivos de configuración. Líder área de desarrollo. A005. Datos. Datos control de acceso. Líder área de desarrollo. A006. Datos. Datos prueba. Líder área de desarrollo. A007. Datos. Backups. Líder área de desarrollo. A008. Datos. Código Fuente. Líder área de desarrollo. A009. Datos. Bases de datos corporativas. Líder área de desarrollo. A010. Datos. Credenciales. Líder área de desarrollo. A011. Hardware. Routers. Líder de tecnología. A012. Hardware. Servidor de correos. Líder de tecnología. A013. Hardware. Servidor de BD. Líder de tecnología. A014. Hardware. Informática personal. Líder de tecnología. A015. Hardware. Informática Móvil. Líder de tecnología. A016. Hardware. Periféricos. Líder de tecnología. A017. Hardware. Soporte de la red. Líder de tecnología. A018. Redes de comunicaciones. Red telefónica. Líder de tecnología. A019. Redes de comunicaciones. Red inalámbrica. Líder de tecnología. A020. Redes de comunicaciones. Red Local. Líder de tecnología. 73.

(5) TICSOCIAL S.A.S. A021. Redes de comunicaciones. Internet. Área administrativa/ Líder de tecnología. A022. Recursos Humanos. Gerencia. Área administrativa. A023. Software. Bases de datos. Líder de tecnología. A024. Software. Sistema Operativo. Líder de tecnología. A025. Software. Ofimática. Líder de tecnología. A026. Software. Navegador WEB. Líder de tecnología. A027. Personal. Desarrolladores/Programadores. Líder área de desarrollo. A028. Personal. Proveedores. Área administrativa/ Líder área de desarrollo. 3.1.4. Consecuencias y probabilidad. Se define las consecuencias en las que se podrá calificar cada riesgo en caso de que disco riesgo se llegase a concretar.. Consecuencia Baja. Consecuencia Media. Consecuencia Alta. 0. La confidencialidad, disponibilidad o integridad de la pérdida de información no afecta el flujo de efectivo de la organización, las obligaciones legales o contractuales, ni su reputación.. 1. La confidencialidad, disponibilidad o integridad de la pérdida de información incurre en costos, incumplimientos contractuales y perdida de la reputación.. 2. La confidencialidad, disponibilidad o integridad de la pérdida de información genera un importante efecto sobre el flujo de efectivo, pérdida de clientes y mala reputación.. De igual forma se evaluará la probabilidad de ocurrencia, es decir, la probabilidad de que la amenaza explote la vulnerabilidad del activo respectivo:. Probabilidad Baja. 0. Los controles de seguridad existentes son fuertes y hasta ahora han proporcionado un nivel adecuado de protección. No se esperan nuevos incidentes en el futuro.. 74.

(6) TICSOCIAL S.A.S. Probabilidad Media. Probabilidad Alta. 1. Los controles de seguridad existentes son moderados y en su mayoría han proporcionado un nivel adecuado de protección. Se espera una baja ocurrencia de incidentes en el futuro y se hace necesario definir un plan de contingencia.. 2. Los controles de seguridad existentes son bajos o inefectivos. Tales incidentes ponen a la organización en un nivel critico donde se debe tener un plan de acción efectivo para mitigar los momentos de crisis y una pronta toma de decisiones respecto a las consecuencias que tenga dicho riesgo.. A continuación, se ingresan los respectivos valores de consecuencia y probabilidad en la tabla de evaluación de riesgos y se podrá visualizar el nivel de riesgo de cada activo y así poder generar planes de contingencia, de acuerdo a la función de cada activo.. 3.2. • • • •. Criterios de aceptación del riesgo Los valores 0,1 y 2 son riesgos aceptables, mientras que los valores 3 y 4 son riesgos inaceptables. Los riesgos inaceptables deben tratarse. Evaluar la relación entre el beneficio y el riesgo. Tener en cuenta la clase de riesgo y que tipo de consecuencias tendría. Determina si la contingencia del riesgo tiene un tratamiento adicional y mayor compromiso por parte de las áreas afectadas.. Los criterios de aceptación del riesgo pueden diferir de acuerdo a lo que se espera que se dé solución al riesgo y considerarse dentro de los elementos de criterios de negocio, aspectos legales y reglamentarios, operaciones, tecnología, finanzas, etc.. 3.3.. Tratamiento de riesgo. Para definir el tratamiento de los riesgos se deben considerar las políticas que se aplican a la SI evaluando la efectividad del activo y comprara esto con los criterios de aceptación, para poder definir y escoger los controles adecuados que permitan la disminución de la exposición al riesgo para posteriormente recalcular el riesgo de acuerdo a los criterios buscando llegar a un nivel aceptable de riesgo. Una vez identificados todos los riesgos a tratar se debe evaluar entre las siguientes opciones cual sería el tratamiento adecuado: 1. Mitigar el riesgo: Se realizarán los controles necesarios para la mitigación del riesgo. 2. Evitar el riesgo: Identificar las tareas, acciones o procesos que hacen que el riesgo se dispare los cuales son demasiado grandes para reducirlos por medio de controles.. 75.

(7) TICSOCIAL S.A.S. 3. Transferir el riesgo: Transferir el riesgo a un área a la cual también le competa dicho riesgo, Esta opción no tiene influencia sobre qué acciones tomar sobre el riesgo y no es recomendable realizarla. 4. Aceptar el riesgo: Aceptar el riesgo y no tomar acciones para la solución del riesgo, esta es la opción menso deseable La opción más común y recomendable para el tratamiento de los riesgos es evitar el riesgo. Una vez identificados los riesgos inaceptables se puede dar inicio a la aplicación de controles los cuales pueden ser: A. Definición de nuevas reglas: documentadas a través de planes, políticas, procedimientos, instrucciones, etc. B. Implementación de nueva tecnología: Como sistemas de respaldo, ubicaciones de recuperación de desastres. C. Cambio de estructura organizativa: en algunos casos, se deberá introducir una nueva función de trabajo a o cambiar las responsabilidades de un cargo existente.. 3.4.. Revisiones regulares de evaluación de riesgo y tratamiento de riesgo.. Se hace necesario que los propietarios de los riesgos hagan una continua evaluación de los riesgos existentes, para mantener actualizada la tabla de riesgos y tratamiento de la información.. 3.5.. Declaración de aplicabilidad y plan de tratamiento de riesgos.. La realización del documento de declaración de aplicabilidad y el plan de tratamiento de riesgos es de los más importantes a la hora de realizar una adecuada implementación de la norma ISO/IEC 27001:2013 para poder encontrar los incidentes de una manera más rápida y la forma más apropiada para solucionarlos de acuerdo con la importancia sobre las funciones de la empresa, guiados por los controles propuestos en la norma.. 4. Gestión de registros mantenidos sobre la base de este documento. Nombre del registro. Ubicación de almacenamiento. Tabla de Computador evaluación analista de riesgos. desarrollo.. Persona encargada de almacenamiento. Propietarios del de riesgo según el de área de trabajo dentro de la organización.. 76. Control de protección de registro Solo el propietario del riesgo tiene derecho a realizar entradas y cambios en la tabla de evaluación de riesgos.. Tiempo de retención. Los documentos serán almacenados permanentemente y podrán ser modificados según sea necesario, con el fin de mantener registros.

(8) TICSOCIAL S.A.S. Tabla de Computador tratamiento analista de riesgos desarrollo. Evaluación Computador de riesgos e analista informe de desarrollo tratamiento. Declaración de aplicabilidad. Computador analista desarrollo. Plan de Computador tratamiento analista de riesgos desarrollo. Propietarios del de riesgo según el de área de trabajo dentro de la organización.. Solo el propietario del riesgo tiene derecho a realizar entradas y cambios en la tabla de tratamiento de riesgos.. Propietarios del de riesgo según el de área de trabajo dentro de la organización.. Solo el propietario del riesgo tiene derecho a realizar entradas y cambios en la evaluación de riesgos e informe de tratamiento. Propietarios del de riesgo según el de área de trabajo dentro de la organización.. Solo el propietario del riesgo tiene derecho a realizar entradas y cambios en la declaración de aplicabilidad.. Propietarios del de riesgo según el de área de trabajo dentro de la organización.. Solo el propietario del riesgo tiene derecho a realizar entradas y cambios en el plan de tratamiento de riesgos.. 77. de los hallazgos y soluciones dadas.

(9) TICSOCIAL S.A.S. 5. Validez y gestión documental. Este documento será revisado y podrá ser modificado por Diana Rodríguez, Robinson Salazar y Luis Fernando Morales a medida que el desarrollo del plan de implementación se vaya efectuando y si se cree conveniente para lograr la efectividad del documento.. 6. Apéndices   . Apéndice 1: Tabla de evaluación de riesgos. Apéndice 2: Tabla de tratamiento de riesgos. Apéndice 3: Reporte de evaluación y tratamiento de riesgos.. Ingeniero de Sistemas - Líder de Desarrollo y Tecnología Robinson Salazar Grimaldos. __________________________________. 78.

(10) TICSOCIAL S.A.S. TICSOCIAL S.A.S. Apéndice 3 - Formulario - Evaluación de riesgos e informe de tratamiento El historial de cambios. Fecha. Versión. Creado por. Descripción del cambio. 2018-12-19. 0.1. Diana Rodríguez. Esquema básico del documento.. 79.

(11) TICSOCIAL S.A.S. Tabla de contenido 1.. PROPÓSITO, ALCANCE Y USUARIOS ....................................................................................................... 81. 2.. DOCUMENTOS DE REFERENCIA .............................................................................................................. 81. 3.. PROCESO DE EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS DE LA INFORMACIÓN. ............................ 81 3.1. 3.2. 3.3. 3.4. 3.5.. PROPÓSITO DE LA GESTIÓN DE RIESGOS. ........................................................................................................ 81 EVALUACIÓN DE RIESGOS Y ALCANCE DEL TRATAMIENTO DE RIESGOS. .................................................................. 81 PARTICIPANTES EN EL PROCESO Y RECOGIDA DE INFORMACIÓN........................................................................... 82 BREVE RESUMEN DE LA METODOLOGÍA APLICADA. ........................................................................................... 82 RESUMEN DE LOS DOCUMENTOS UTILIZADOS DURANTE LA EVALUACIÓN DE RIESGOS Y EL PROCESO DE TRATAMIENTO DE RIESGOS. 82. 4.. VALIDEZ Y GESTIÓN DOCUMENTAL. ....................................................................................................... 83. 80.

(12) TICSOCIAL S.A.S. 1. Propósito, alcance y usuarios El propósito de este documento es proporcionar una descripción detallada del proceso y los documentos utilizados durante la evaluación de riesgos y el tratamiento de los riesgos de la información en [nombre de la organización] en el período [especifique el período]. La evaluación de riesgos se aplicó a todo el Sistema de Gestión de Seguridad de la Información (SGSI). El propósito de este documento es definir la metodología para la evaluación y el tratamiento de los riesgos de la información en la empresa y definir el nivel de riesgo aceptable de acuerdo con la norma ISO / IEC 27001. Este documento está dirigido a la alta gerencia de TICSOCIAL S.A.S, propietarios de activos de información y todos los involucrados en la planificación, implementación, monitoreo y mejora del SGSI.. 2. Documentos de referencia • • • • •. ISO/IEC 27001 standard, clausula 8.2 ISO/IEC 27001 standard, clausula 8.3 Documento de alcance del SGSI Política de seguridad e la información Evaluación de riesgos y metodología de tratamiento de riegos. 3. Proceso de evaluación y tratamiento de los riesgos de la información. Todo el proceso de evaluación de riesgos y tratamiento de riesgos se ha llevado a cabo de acuerdo con el documento de Metodología de evaluación de riesgos y tratamiento de riesgos.. 3.1.. Propósito de la gestión de riesgos.. El propósito de la evaluación de riesgos es identificar posibles problemas antes de que ocurra, de manera que las actividades para la mitigación de los riesgos se puedan planificar y efectuarse en los momentos necesarios durante la vida útil del activo, para mitigar los impactos dentro de los objetivos del(los) proyecto.. 3.2.. Evaluación de riesgos y alcance del tratamiento de riesgos.. La evaluación y alcance del tratamiento de riesgos van ligado con el documento del alcance de SGSI. El monitoreo constante de los riesgos y los planes de acción de tratamiento de los riesgos es fundamental en la evaluación de los riesgos, de manera que los propietarios de los riesgos deben ejercer una continua monitorización para asegurarse que no surjan nuevos riesgos y que los existentes tenga el tratamiento correspondiente para su mitigación o desaparición.. 81.

(13) TICSOCIAL S.A.S. 3.3.. Participantes en el proceso y recogida de información.. Ya que el proceso se encuentra en una fase de planeación los empleados participantes del proceso son un grupo interno dentro de la empresa, con el fin de realizar una correcta documentación y que se aborden las áreas necearías para que al momento de la implementación que se encuentran en las áreas de alta gerencia y área de desarrollo. • • • •. 3.4.. Guillermo Palacio Robinson Salazar Luis Fernando Morales Diana Rodríguez. Breve resumen de la metodología aplicada.. De manera rápida el proceso de evaluación y tratamiento de riesgos se llevó de la siguiente manera y espera que al momento de la implementación formal sea sigan los lineamientos dados en este plan de implementación:      . Se identificaron todos los activos más relevantes dentro de la organización, y de allí de desplegaron las amenazas que dicho activos podría tener. Se asigno un propietario a cada riesgo que a su vez estaba relacionado con el propietario del activo o al menos dentro de la misma área. Se asigno el valor a la consecuencia y la probabilidad de cada una de las amenazas en un rango de valor entre 0 y 2. El valor del riesgo fue dado por la suma de la consecuencia y la probabilidad. Los riesgos que generaron valor de 3 y 4 fueron determinado como riesgos con prioridad, para la continuidad de las labores de la empresa. Para cada uno de los riesgos se asignaron controles de acuerdo con la norma ISO/IEC 27001:2013, con los cuales se desea realizar un correcto manejo y gestión de tratamiento del riesgo.. 3.5. Resumen de los documentos utilizados durante la evaluación de riesgos y el proceso de tratamiento de riesgos. Los documentos usados y elaborados para el plan de implementación del tratamiento de riesgos fueron: a) 6.1. Tabla de evaluación de riesgos: donde se realizó identificación de activos, sus amenazas, vulnerabilidades y valoración de acuerdo con la consecuencia y a la probabilidad b) 6.2. Tabla de tratamiento de riesgos: Muestra las opciones para el tratamiento de cada riesgo y que control podría corresponder a su mitigación.. 82.

(14) TICSOCIAL S.A.S. 4. Validez y gestión documental. Este documento será revisado y podrá ser modificado por Diana Rodríguez, Robinson Salazar y Luis Fernando Morales a medida que el desarrollo del plan de implementación se vaya efectuando y si se cree conveniente para lograr la efectividad del documento.. Ingeniero de Sistemas - Líder de Desarrollo y Tecnología Robinson Salazar Grimaldos. __________________________________. 83.

(15)