• No se han encontrado resultados

Propuesta para establecer un Sistema de Gestión de Seguridad de la Información para la Empresa Sie Software S A S

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Propuesta para establecer un Sistema de Gestión de Seguridad de la Información para la Empresa Sie Software S A S"

Copied!
128
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 128 página )

Texto completo

(1)PROPUESTA PARA ESTABLECER UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA SIE SOFTWARE S.A.S.. MONICA LORENA BOHÓRQUEZ CUEVAS LINA MARITZA PRIETO MORENO. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA TELEMÁTICA BOGOTA D.C 2016.

(2) PROPUESTA PARA ESTABLECER UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA SIE SOFTWARE S.A.S.. MONICA LORENA BOHÓRQUEZ CUEVAS CÓDIGO: 20141678020 LINA MARITZA PRIETO MORENO CÓDIGO: 20141678063. TUTOR: JAIRO HERNÁNDEZ GUTIÉRREZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA TELEMÁTICA BOGOTA D.C 2016.

(3) CONTENIDO RESUMEN Y ABSTRACT............................................................................................. 8 INTRODUCCIÓN .......................................................................................................... 9 1.. 2.. PLANEACIÓN ..................................................................................................... 10 1.1.. Tema ............................................................................................................ 10. 1.2.. Título ............................................................................................................ 10. 1.3.. Objetivos ...................................................................................................... 10. 1.4.. Descripción del problema ............................................................................. 10. 1.5.. Marco Teórico............................................................................................... 11. 1.5.1.. Estado del Arte ...................................................................................... 12. 1.5.2.. Solución Tecnológica............................................................................. 13. 1.6.. Marco conceptual ......................................................................................... 15. 1.7.. Factibilidad ................................................................................................... 16. 1.7.1.. Factibilidad Técnica. .............................................................................. 16. 1.7.2.. Factibilidad Operativa. ........................................................................... 16. 1.7.3.. Factibilidad Económica. ......................................................................... 16. 1.7.4.. Cronograma........................................................................................... 16. SITUACIÓN ACTUAL DE LA COMPAÑÍA ........................................................... 17 2.1.. Información Administrativa ............................................................................ 17. 2.1.1.. “Misión ................................................................................................... 17. 2.1.2.. “Visión ................................................................................................... 17. 2.1.3.. Organigrama.......................................................................................... 18. 2.1.4.. Productos y Servicios Ofrecidos por la Compañía. ................................ 18. 2.2.. Descripción de la infraestructura................................................................... 20. 2.2.1.. Estructura Actual. .................................................................................. 20. 2.2.2.. Aplicaciones .......................................................................................... 22. 2.3. Análisis GAP .................................................................................................... 23 3.. GESTIÓN DE ACTIVOS ...................................................................................... 24 3.1. Clasificación de Activos. ................................................................................... 24 3.2. Valoración de los Activos. ................................................................................ 34. 4.. GESTIÓN DE RIESGOS ..................................................................................... 41 4.1. Amenazas y sus Impactos. .............................................................................. 41 4.1.1. Amenazas por Desastres Naturales .......................................................... 42 4.1.2. Amenazas de Origen Industrial .................................................................. 42 4.1.3. Errores y fallos no intencionados ............................................................... 43 4.1.4. Ataques intencionados .............................................................................. 44 4.1.5 Amenazas en el Hardware .......................................................................... 45 4.1.6 Amenazas contra el patrimonio ................................................................... 47.

(4) 4.2. Análisis de Vulnerabilidades ............................................................................ 47 4.2.1 Vulnerabilidades relacionadas con desastres naturales .............................. 48 4.2.2. Vulnerabilidades relacionadas con amenazas estructurales ...................... 48 4.2.3. Vulnerabilidades relacionadas con el Hardware ......................................... 48 4.2.4. Vulnerabilidades relacionadas con el Software .......................................... 48 4.2.5. Vulnerabilidades relacionadas con las redes de comunicación .................. 48 4.2.6. Vulnerabilidades relacionadas con las copias de seguridad ....................... 48 4.2.7. Vulnerabilidades relacionadas con la información ...................................... 48 4.2.8. Vulnerabilidades relacionadas con el personal.......................................... 49 4.2.9. Vulnerabilidades relacionadas con el patrimonio........................................ 49 4.3. Análisis de Riesgos .......................................................................................... 49 4.3.1. Vulnerabilidades halladas: ......................................................................... 49 5.. PROPUESTA DE SEGURIDAD ........................................................................... 52 5.1.2. Salvaguardas ................................................................................................ 54. 6.. . Área de Seguridad de Información ............................................................... 54. ●. Área de Infraestructura ................................................................................. 54. ●. Proceso Backups .......................................................................................... 55. ●. Proceso de Control de Dispositivos .............................................................. 55. ARQUITECTURA DE SEGURIDAD..................................................................... 65 6.1. Equipos ............................................................................................................ 65 6.2. Presupuesto y fuentes de financiación ............................................................. 69. 7.. CONCLUSIONES ................................................................................................ 72. 7.1. RECOMENDACIONES ....................................................................................... 73 7.2. BIBLIOGRAFÍA .................................................................................................... 74 ANEXOS..................................................................................................................... 75 FACTIBILIDAD ECONÓMICA ................................................................................. 76 ANÁLISIS GAP ....................................................................................................... 78 POLÍTICAS DE SEGURIDAD .................................... Error! Bookmark not defined. CRONOGRAMA ........................................................................................................ 1.

(5) TABLAS Tabla 1. Sedes, servidores y usuarios. ....................................................................... 21 Tabla 2. UPS .............................................................................................................. 21 Tabla 3. Descripción detallada de activos. .................................................................. 33 Tabla 4. Valoración de los activos............................................................................... 40 Tabla 5. Modelo Catálogo de amenazas ..................................................................... 41 Tabla 6. Amenazas por Desastres Naturales .............................................................. 42 Tabla 7. Amenazas de Origen Industrial ..................................................................... 43 Tabla 8. Errores y fallos no intencionados .................................................................. 44 Tabla 9. Ataques intencionados .................................................................................. 45 Tabla 10. Amenazas en el Hardware .......................................................................... 46 Tabla 11. Amenazas contra el patrimonio. .................................................................. 47 Tabla 12. Clasificación vulnerabilidades ..................................................................... 50 Tabla 13. Impacto de los riesgos. ............................................................................... 50 Tabla 14. Acciones según el valor del riesgo. ............................................................. 51 Tabla 15. Propuesta para la definición de los controles según ISO 27001. ................. 64 Tabla 16. Especificaciones Técnicas .......................................................................... 68 Tabla 17. Factibilidad Económica Recursos Humanos ............................................... 70 Tabla 18. Factibilidad Económica Recursos Técnicos ................................................ 71 Tabla 19. Factibilidad Económica Costo Total. ........................................................... 71 Tabla 20. Costos Recursos Humanos Desarrolladores del proyecto........................... 76 Tabla 21. Factibilidad Económica Recursos Físicos. .................................................. 77 Tabla 22. Factibilidad Económica Costo Total ............................................................ 77 Tabla 23. Parámetros de medición. ............................................................................ 78 Tabla 24. Propuestas según los controles aplicados a la empresa. ............................ 92.

(6) FIGURAS. Figura 1. Ciclo Deming. .............................................................................................. 14 Figura 2. Organigrama Sie Software S.A.S ................................................................. 18 Figura 3. Diagrama General de red............................................................................. 21 Figura 4. Criterios de Valoración. ................................................................................ 34 Figura 5. Arquitectura del Sistema de Backups NAS .................................................. 55 Figura 6. Fortinet FortiGate 70D ................................................................................. 65 Figura 7. Especificaciones TécnicasFortinet FortiGate 70D ........................................ 66 Figura 8. Unidad Smart-UPS VT de APC, 10 kVA y 400 V.......................................... 67 Figura 9. Clase de extintor. ......................................................................................... 67 Figura 10. Detector de humo. ..................................................................................... 68 Figura 11. Especificaciones Seagate Business Storage NAS 2-Bay .......................... 69.

(7) ANEXOS ANEXO 1 .................................................................................................................... 76 FACTIBILIDAD ECONÓMICA ................................................................................ 76 ANEXO 2 .................................................................................................................... 78 ANÁLISIS GAP ..................................................................................................... 78 ANEXO 3 .................................................................................................................... 93 POLÍTICAS DE SEGURIDAD ................................................................................. 93 ANEXO 4 ...................................................................................................................... 1 CRONOGRAMA ...................................................................................................... 1.

(8) RESUMEN Y ABSTRACT El desarrollo de este proyecto está basado en la metodología MAGERIT. Inicialmente se realiza la identificación y valorización de activos con el fin de identificar riesgos y vulnerabilidades de estos. En el desarrollo del proyecto se realiza como primera fase la planeación donde se identifica los objetivos, se describe el problema que presenta la empresa planteando una solución tecnológica. En el desarrollo del trabajo, se realizó el análisis del estado actual de la empresa SIE Software S.A.S, basado en los controles de dominio de la norma ISO 27001, donde se observa las falencias a nivel de seguridad de la información que presenta actualmente la empresa. Se generó el levantamiento de información sobre los activos de prioridad para la continuidad del negocio y sus aplicaciones. Se realiza la valoración cuantitativa de los activos sobre su impacto a nivel de Disponibilidad, Integridad de los datos, Confidencialidad de la información, Autenticidad, Trazabilidad. Finalmente se procede a la generación de las diferentes políticas de seguridad que se sugieren implementar apoyados en el análisis GAP para el desarrollo del plan SGSI propuesto por parte de los autores de la tesis hacia la alta gerencia de la empresa SIE Software S.A.S.

(9) INTRODUCCIÓN Sie Software S.A.S es una empresa que se dedica a desarrollar software a la medida. Actualmente cuenta con clientes como el Fondo Nacional de Garantías, Consejo de estado, entre otros, dada la importancia de sus clientes maneja información de alta confidencialidad tanto de estos como de sus usuarios, los cuales pueden ser blanco de ataques generando gran impacto no solo en su propio negocio sino en el de sus clientes. Actualmente SIE Software S.A.S no cuenta con políticas de seguridad que le ayuden a prepararse ante situaciones de riesgo que pueden comprometer la integridad, la disponibilidad y la confidencialidad de su negocio, por esto, en este trabajo se presenta una propuesta basados en los resultados del estudio previo de la situación actual de la empresa en temas de seguridad de información. Este trabajo se enfoca en proponer un Sistema de Gestión de Seguridad de la Información (SGSI) para la empresa SIE Software S.A.S, a partir de diferentes análisis realizados para identificar los riesgos a los que se está más propensa. El análisis hecho a la situación actual de la compañía ayuda a identificar las amenazas que se puedan presentar y el impacto de estas sobre la empresa; a partir de estos análisis se evalúa la manera más adecuada y precisa de abarcar los puntos débiles que la empresa presenta para garantizar la seguridad de la información y se proponen controles de acuerdo con la ISO 27001 para cada una de ellas. Este proyecto está basado en la realización de un marco de trabajo, el cual se implementa en la metodología MAGERIT donde se realiza inicialmente la identificación y valorización de activos con el fin de minimizar los riesgos y vulnerabilidades de estos bajo la creación de políticas de seguridad. El presente trabajo solo desarrolla la fase de planeación del ciclo deming. Solo se establecen las actividades necesarias para obtener el resultado esperado del SGSI, es decir, se proponen políticas de seguridad, los salvaguardas y se tiene en cuenta la factibilidad económica para implementar la propuesta, basados en la metodología Magerit para el desarrollo de dicha fase..

(10) 1.. 1.1.. PLANEACIÓN. Tema. El proyecto se centra en la creación de una propuesta de un marco de trabajo basado en la metodología MAGERIT, que se desarrolla usando un esquema general para poder afianzar un planteamiento, que les permite realizar la gestión adecuada del SGSI, posterior a la creación del marco de trabajo este será llevado a un documento donde se entregará a la compañía para su implementación. 1.2.. Título. Propuesta para establecer un sistema de gestión de seguridad de la información para la empresa SIE SOFTWARE S.A.S. 1.3.. Objetivos. Objetivo General Desarrollar una propuesta para establecer un Sistema de Gestión de Seguridad de la Información para la empresa SIE Software S.A.S Objetivos específicos ● Analizar el estado actual de la empresa SIE Software S.A.S en cuanto a la estructura de la red de datos y los procesos asociados a seguridad. ● Definir las políticas de seguridad de información requeridas para la implementación del SGSI. ● Realizar el análisis de riesgos utilizando la metodología Magerit. ● Definir los controles y salvaguardas para el establecimiento del SGSI, haciendo además un estudio económico. ● Presentar a la organización un documento del planteamiento del SGSI para su implementación. 1.4.. Descripción del problema. La empresa SIE Software S.A.S se consolida como una de las empresas más estables del mercado en cuanto a desarrollo de software en Colombia, teniendo aplicaciones propias como Project Tracking para el manejo de tareas de seguimiento, documentación, elaboración de informes y registros fotográficos de las obras inherentes.

(11) a todos y cada uno de los proyectos manejados y LiveMarks especializado en el manejo de calificaciones, boletines y cobros en entidades educativas. SIE SOFTWARE tiene entre sus clientes importantes entidades del estado como IDEAM, el Consejo de Estado y la Registradora Nacional del Estado Civil. En la actualidad la empresa, utiliza conexiones libres sobre la red lo cual propicia acceso a la información de los repositorios de la organización sin ningún tipo de seguridad, colocando así en riesgo información exclusiva, tanto de la empresa, como de los clientes, permitiendo el acceso desde cualquier punto con conexión a Internet. Adicionalmente, no cuenta con perfiles de usuarios establecidos, por lo cual no cumple con los estándares de seguridad necesarios para el manejo de la información de las operaciones que se realizan cotidianamente en cada uno de los procesos, dado que la información puede ser manipulada fácilmente sin control perdiendo la trazabilidad sobre los proyectos en ejecución. La empresa SIE Software carece de un sistema seguridad de la información íntegro porque en estos momentos no tiene un plan de seguridad activo o políticas de seguridad establecidas, ya que maneja aplicaciones de software libre, no tiene estipulado un estándar del manejo específico de la información interna, externa y confidencial de la compañía y de sus clientes. Para lo tanto, todo proceso vinculado a la empresa debería estar detallado de forma escrita o digital en los formatos principales definidos por la misma, para así poder mantener un control regular sobre sus normativas y sistemas de seguridad que involucran un cierto número de procesos en el crecimiento de la organización. Las políticas serán proyectadas con el fin de aplicarlas en cada uno de sus mecanismos a largo plazo y que guíen el desarrollo de reglas y criterios más específicos que aborden los temas y las situaciones más concretamente con un nivel de seguridad más productivo. 1.5.. Marco Teórico. En el ámbito de una sociedad con una creciente dependencia de las TIC la implantación de un SGSI y su adecuada gestión toma un papel importante en la protección de la información, el cuidado apropiado de esta información y de los activos en una PYME puede ser un factor crucial en el éxito o fracaso de una PYME, pero los marcos existentes para realizar la gestión de estos no suelen ser adoptados por las PYMES debido a los recursos necesarios para mantenerlos, es por esto que las pymes requieren tener un SGSI, metodologías y marcos adaptados a sus necesidades, tiempo y recursos. Aunque existen algunas propuestas metodológicas para la implantación y gestión de seguridad tales como ISO/IEC27001, la propuesta Araiza, o la propuesta de tawileh, son propuestas interesantes y maduras propuestas por organismos de estandarización internacional pero el uso de estas metodologías resulta difícil y costoso para pequeñas y medianas empresas.

(12) 1.5.1. Estado del Arte La seguridad de la información privada es uno de los bienes principales de la compañía es su propiedad intelectual. Toda aquella, información en referencias hacia los grandes negocios ya desarrollados, en desarrollo y por desarrollar, las investigaciones de sobre mercado y de tecnología, la información confidencial y confiada a la compañía por sus clientes, información relacionada con sus empleados, sus proyectos de desarrollo, archivo documentario, etc. Este bien y/o activo de la compañía debe protegerse como cualquier otro tipo de bienes. La información privada o privilegiada incluye toda aquella información primordial para el manejo de los negocios, esta es sensitiva a cualquier modificación, lo cual cuya revelación o mal uso puede causar daño a la compañía, y todos quienes tengan participación directa o indirecta con la Compañía. En comparación a otros proyectos desarrollados, se asume dos puntos de vista, inicialmente tenemos un aspecto empresarial dirigida al área de recursos humanos, con el cual encontramos documentos donde se hacen estudios para SGSI, a la propia entidad, especialmente enfocadas al mejoramiento propio sobre el proceso realizado en la selección de personal capacitado como ejemplo de este es: IMPLEMENTACIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN APLICADA AL ÁREA DE RECURSOS HUMANOS DE LA EMPRESA DECEVALE S.A. de los autores Calderón Onofre Diana, Estrella Ochoa Martín, Flores Villamarín Manuel de la Escuela Superior Politécnica del Litoral, tomado de https://www.dspace.espol.edu.ec/.../1PROYECTO%20DE%20GRADUAC... ; un segundo punto de vista corresponde a la vista público del SGSI, donde se puede determinar que su complejidad es mucho mayor al igual que su exigencia, y además que no se encuentra de manera de fácil acceso, un ejemplo es el MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, en donde se observa que su objetivo principal es mantener un ambiente razonablemente seguro que permita proteger los activos de información que componen la estrategia de Gobierno en Línea para asegurar credibilidad y confianza en los ciudadanos, adicionalmente sobre los funcionarios públicos, las terceras partes y en general, todos quienes participan en la cadena de prestación de servicios de Gobierno en Línea (Ministerio de Comunicaciones República de Colombia, 2016)1. El fin que se tuvo con este trabajo es dar un marco de referencia a la empresa SIE Software S.A.S, el cual lo puedan tomar como guía para la implementación del SGSI, dado que sobre el surgir y tener un crecimiento importante de la compañía, no preste atención a elementos básicos de TICs como los son el SGSI, y si deciden querer certificarse, saldrán a flote las fallas, y tendrán que invertir más de lo que con una planeación adecuada se puede haber generado.. 1. (Ministerio de Comunicaciones República de Colombia, 2016).

(13) 1.5.2. Solución Tecnológica. Este proyecto tiene como resultado un documento con la propuesta del SGSI para su implementación en la empresa SIE Software S.A.S, la cual consta de lo siguiente: Un análisis del estado actual de la empresa en cuanto a políticas, estructura de la red. El alcance del SGSI. La política de seguridad de SGSI. El análisis de riesgo con la metodología MAGERIT con su debida gestión. Los controles que se deberán implementar para retroalimentar y evaluar. La propuesta económica que les servirá como referente a la hora de implementar el SGSI. Este proyecto se limita solo a entregar una propuesta con todos los estudios y procesos necesarios para la implementación del SGSI por parte de la empresa contemplando el posible comportamiento de la implementación en los pasos siguientes que abarca el ciclo Deming. 1.5.3. Metodología. Para el desarrollo de este proyecto se emplea el Ciclo Deming como estrategia de mejor del SGSI y para el análisis de riesgos la metodología Magerit. Ciclo Deming: El Ciclo Deming o también se le denomina el ciclo PHVA que quiere decir según las iniciales (planear, hacer, verificar y actuar) se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones que desean aplicar a la excelencia en sistemas de calidad. La utilidad del ciclo de Deming es ser utilizado para lograr la mejora continua de la calidad dentro de una empresa u organización. (Implementación SIG, 2016)2 El ciclo completo consiste en una secuencia lógica de cuatro pasos, los cuales son repetidos y que se deben de llevar a cabo secuencialmente. Estos pasos son: ● Planear o Planificar: consiste en definir los objetivos y los medios para conseguirlos. ● Hacer: Se refiere al acto de implementar la visión preestablecida. ● Verificar: Implica comprobar que se alcanzan los objetivos previstos con los recursos previamente asignados. ● Actuar: Se refiere a analizar y corregir las posibles desviaciones detectadas, así como también se debe proponer mejoras a los procesos ya empleados.. 2. (Implementación SIG, 2016).

(14) Figura 1. Ciclo Deming. Fuente: Página Sistemas Integrados de Gestión. Ciclo Deming. El ciclo Deming se puede aplicar a cualquiera de los sistemas de gestión considerados, ya sea ISO 9001, ISO 14001 o OHSAS 18001, ya que en cierta medida todos y cada uno de los procesos de gestión de los servicios deben adoptar y reproducir esta estructura para asegurar que cada una de estas fases se encuentra correctamente documentada. Se dice que la fase de Mejora Continua del Servicio representa una parte importante en las etapas de verificación y actuación, sin embargo, también resulta indispensable para establecer las etapas de planificar y hacer debido a que: ● Ayuda a definir los objetivos y mide el estado de su cumplimiento. ● Monitorea y evalúa la calidad de los procesos involucrados en todo el sistema de gestión. ● Define y supervisa las mejores propuestas de desarrollo. ● Sirve como referencia de cuánto se está mejorando..

(15) 1.6.. Marco conceptual. Seguridad. La característica que asegura que un sistema se encuentra libre de todo peligro daño o riesgo. Seguridad de la información. Hace referencia al conjunto de normas de índole, organizacional, técnicas o legales de la cual se hace uso para asegurar la integridad de una información con un valor. SGSI. Un sistema de gestión de la seguridad de la información, se refiere a un conjunto de políticas en cuanto a la administración de la información, aunque el término es usado principalmente en la ISO/IEC 27001 no es la única normativa que utiliza este término. En una organización el SGSI es el diseño, implantación y mantenimiento del conjunto de procesos para gestionar efectivamente la accesibilidad de la información. Vulnerabilidad. Debilidad presente de cualquier índole que compromete la seguridad de un sistema de información Política de seguridad. Conjunto de leyes, prácticas o reglas cuyo fin es legislar la forma de proteger los activos y recursos de una organización para llevar a cabo sus objetivos de seguridad. Riesgo. La combinación de la probabilidad de que ocurra algún suceso y las consecuencias negativas de este. Amenaza Término utilizado para referirse al riesgo de una situación o circunstancia ocurra. Estas se pueden dividir en lógicas y físicas y se materializan debido al personal, ciertos programas específicos y amenazas naturales entre otros. Los orígenes de estas amenazas pueden ser naturales (tormentas, terremotos, etc.), de agentes externos (virus, ataques de organizaciones criminales, sabotajes, disturbios conflictos sociales, etc.), internas (empleados descuidados o descontentos, uso incorrecto de las herramientas o activos, etc.)..

(16) 1.7.. Factibilidad 1.7.1. Factibilidad Técnica.. Para el presente proyecto se requiere experiencia y conocimientos en los siguientes temas: SGSI, Gestión de vulnerabilidades y riesgos amenazas y riesgos en una organización, Normas ISO/IEC27001 y metodología Magerit. Estos conocimientos fueron adquiridos durante el proceso de formación profesional como Ingeniero en Telemática y las asesorías correspondientes se realizarán en conjunto con el jurado del proyecto y docentes de plantas de la universidad. 1.7.2. Factibilidad Operativa. El recurso humano de este proyecto está dado por estudiantes de la Universidad Distrital Francisco José de Caldas del proyecto Ingeniería en Telemática Lina Maritza Prieto Moreno y Mónica Lorena Bohórquez Cuevas y dirigido por el ingeniero Jairo Hernández. 1.7.3. Factibilidad Económica. La factibilidad económica del proyecto estará presupuestada por equipos personales y diferentes tipos de software que nos facilitaran el diseño y desarrollo de cada uno de los módulos establecidos para la representación del estudio de las políticas de seguridad evidenciadas a lo largo del proceso. VER ANEXO 1- “Factibilidad Económica” 1.7.4. Cronograma. VER ANEXO 2 - “Cronograma”.

(17) 2.. SITUACIÓN ACTUAL DE LA COMPAÑÍA. La empresa SIE Software S.A.S se consolida como una de las empresas más estables del mercado en cuanto a desarrollo de software en Colombia, teniendo aplicaciones propias como Project Tracking para el manejo de tareas de seguimiento, documentación, elaboración de informes y registros fotográficos de las obras inherentes a todos y cada uno de los proyectos manejados y LiveMarks especializado en el manejo de calificaciones, boletines y cobros en entidades educativas 2.1.. Información Administrativa. A continuación, se describe la misión y visión de la compañía, tomado de la información publicada del sitio Web de la misma (sie software, 2016). 3 2.1.1. “Misión Proveer soluciones informáticas de vanguardia supliendo completamente los requerimientos planteados para mejorar las herramientas tecnológicas de nuestros clientes y así colaborar en su competitividad, minimizando su inversión en este campo y maximizando sus beneficios.” 2.1.2. “Visión La visión de nuestra compañía en el mediano plazo (año 2018) se enfoca en los siguientes puntos: 1. Posicionamiento: SIE software será como compañía y como marca, reconocida a nivel nacional por sus avances en innovación y desempeño. 2. Innovación: SIE software tendrá productos y procedimientos innovadores, siendo reconocida en alguna publicación nacional por ello. 3. Infraestructura: SIE software poseerá inmueble propio con zonas de trabajo y zonas para pausas activas para nuestro personal. 4. Incubación: SIE software contará con un programa especializado en capacitar, acompañar y emplear tecnólogos y estudiantes para así formar excelentes desarrolladores y de este modo contribuir con la provisión adecuada ante la creciente demanda en el país. 5. Casos de éxito: SIE software contará con suficientes casos de éxito que la harán una empresa cuya reputación será reconocida por el alto nivel de satisfacción de todos nuestros clientes.”. 3. (sie software, 2016).

(18) 2.1.3. Organigrama. Figura 2. Organigrama Sie Software S.A.S Fuente: Matriz organizacional de Sie Software S.A.S 2.1.4. Productos y Servicios Ofrecidos por la Compañía. Actualmente SIE Software S.A.S desarrolla diversas herramientas de software para suplir requerimientos comunes en compañías ejecutoras de proyectos, instituciones educativas y establecimientos comerciales. Como servicios ofrecen los siguientes: ● Análisis, diseño, desarrollo e implementación de software acorde a sus. requerimientos con arquitectura web y/o cliente-servidor. ● Diseño, desarrollo y puesta en funcionamiento de portales web corporativos. ● Diseño, suministro e implementación de redes locales (LAN). ● Consultoría en soluciones informáticas. ● Outsourcing de personal para diseño. Mantenimiento de redes y salas de cómputo.. y. desarrollo. de. soluciones.

(19) ● Diseño, desarrollo y publicación de apps (iOS, Android, Windows).. Sus productos más destacados son: Project Tracking - Software web para seguimiento de proyectos: Las compañías dedicadas a ejecución de proyectos en diversos campos, requieren tareas de seguimiento, documentación, elaboración de informes y registros fotográficos de las obras inherentes a todos y cada uno de los proyectos a su cargo. De este modo, presentamos una herramienta para suplir los anteriores requerimientos, denominada Software Web para Seguimiento de Proyectos; la cual ha sido diseñada para optimizar el seguimiento y atención de la ejecución de obras y a su vez, la interacción entre la compañía contratista y la compañía contratante. Características Principales: ● INTERACCIÓN CONTRATANTE-CONTRATISTA MEDIANTE INTERNET: La. compañía ejecutora del proyecto genera y actualiza la información y esta puede ser consultada por la interventoría y/o los entes que la compañía contratante considere pertinentes. Por tratarse de un software web, los usuarios del sistema sólo requieren una conexión a internet para su manejo. ● SEGUIMIENTO DE PROYECTOS EN TIEMPO REAL: El sistema genera un. cronograma del proyecto y los usuarios autorizados para su consulta pueden realizar un seguimiento del estado de ejecución de obras mediante consulta de informes y registro fotográfico; de este modo se puede determinar si el avance de labores es adecuado o si presenta algún retraso. ● GENERACIÓN DE INFORMES EN FORMATO DIGITAL: El sistema genera. informe de avance de obras por sitio, el cual puede ser consultado directamente en el navegador por las personas autorizadas y, eventualmente, almacenado en el equipo en el formato requerido. ● ALIMENTACIÓN DEL SISTEMA POR PARTE DE RESIDENTES DE OBRA: Los. residentes en obra, sean personal del contratante o del contratista, podrán alimentar los informes de avance y registro fotográfico, de este modo, se conocerá un estado de avance generado por el personal que ejecuta la obra y se minimiza la necesidad de enviar información por correo electrónico y/o tiempo de espera de llegada de esta información. ● DEFINICIÓN DE ROLES DE USUARIOS DEL SISTEMA: El administrador del. sistema asignará los roles de todos y cada uno de los usuarios, de este modo, cada usuario tendrá acceso únicamente a sus pertenencias dentro de los proyectos que le conciernen; a su vez, el administrador posee acceso total para tareas de creación, consulta, modificación y eliminación de información. ● SEGURIDAD: El sistema cuenta con parámetros de seguridad establecidos en las normas ISO / IEC 15408-1, 2, 3:2005, entre otras, para impedir el acceso de personal no autorizado y/o no relacionado con alguno de los proyectos..

(20) ● INTEGRACIÓN: A este sistema se puede acceder directamente desde un vínculo. creado en la página de internet de su compañía, de este modo, con tan sólo una pequeña adición el sistema se integra a su imagen corporativa. ● FACILIDAD DE MANEJO: Por tratarse de un software web, su manejo es similar. a una página de internet, por lo que los usuarios no requieren conocimientos adicionales para manejo de este sistema. LiveMarks - Software boletines escolares: El constante crecimiento de las tecnologías de la información y comunicaciones (TIC's) implica permanente renovación en los sistemas de información para mejorar la calidad de la educación mediante uso de herramientas tecnológicas destinadas a medir las cualidades de los estudiantes y realizar un estudio comparativo respecto a la institución; por ello, nuestra solución ofrece las herramientas necesarias para llevar a cabo este fin. LiveMarks ofrece diferentes servicios como gestión de matrículas, registro de pagos, seguimiento de desempeño académico, expedición de boletines, reportes estadísticos del análisis del rendimiento académico. Esto con el fin de permitirle a docentes, coordinadores y directivos llevar un control completo y sistemático de sus labores para simplificar su labor.. 2.2.. Descripción de la infraestructura.. A continuación se encuentra una descripción de la estructura actual de la compañía, de las aplicaciones que utilizan y el estado actual del plan de seguridad. 2.2.1. Estructura Actual. SIE Software S.A.S actualmente cuenta con una sede principal ubicada en el barrio Castilla, donde se realiza todo el desarrollo de las aplicaciones LiveMarks y Project Tracking - Software web para seguimiento de proyectos. SIE Software S.A.S además trabaja como contratista con espacio propio desarrollando para diferentes clientes como lo son: ● FNG, Fondo Nacional de Garantías donde desarrolla la aplicación Hunter, encargada de la gestión de obligaciones a bancos por parte de personas naturales y pymes, registros de pagos y paz y salvos, seguimiento por parte de abogados, expedición de reportes. ● IDEAM, Desarrollando una aplicación para el registro de información meteorológica, de pluviometría, presión atmosférica. ● Consejo de Estado, con una aplicación donde se almacenan e indexa todas las sentencias emitidas para su posterior consulta y gestión..

(21) ● Registraduría Nacional del Estado Civil, se desarrolla y actualiza la aplicación SIRCWEB para la emisión, reemplazo y anulación de registros civiles de nacimiento, matrimonio y defunción. .. Figura 3. Diagrama General de red Fuente: Autores. La infraestructura de la red activa con la que cuenta actualmente es la siguiente: ● Su sede principal de Castilla (Bogotá) consiste en una red de 8 servidores que permiten el almacenamiento y procesamiento de información. Sede Castilla, Bogotá. Tipo Servidores. Cantidad. Cantidad de Usuarios. Bases de Datos. 5. 104. Aplicaciones. 3. Total. 8. 104. Tabla 1. Sedes, servidores y usuarios. Fuente: Autores También posee una infraestructura de cableado estructurado categoría 5 y tendido de fibra óptica multimodo entre los centros de cableado. Los dispositivos de comunicaciones están ubicados en el Centro de cómputo, en el piso 1 de la Sede. Cuenta con una UPS que brinda una autonomía para toda la infraestructura por 30 minutos, con las siguientes características: Marca. Modelo. Serial. Capacidad. Powercom. KIN3000A P. Q100200447. 3KVA/2400W. Tabla 2. UPS Fuente: Autores.

(22) La empresa SIE Software cuenta con dos canales de internet: ● Primario: Proveedor Claro, 12 Mbps de bajada y 6 Mbps de subida en Fibra óptica. ● Secundario: Proveedor ETB, 5 Mbps de bajada y 1 Mbps de subida, en cobre. Es un canal de contingencia cuando el primario no tiene disponibilidad. Además, cuenta con un firewall D-LINK modelo DFL-860E-NB, este dispositivo permite hacer el balanceo de carga de los 2 canales de Internet para dar el servicio a toda la Red. Por último, tiene implementada una red backbone entre el Switch y los servidores, el Switch de Comunicaciones y el Switch que comunica los equipos de los Usuarios. Este Backbone fue implementado sobre interfaz Gigabit Ethernet con cable UTP categoría 6. 2.2.2. Aplicaciones A continuación se describen las aplicaciones usadas por la empresa para el desarrollo de todas sus funciones. ● Aplicaciones Misionales o Críticas Son aplicaciones vulnerables a ataques que pueden afectar la seguridad de la información comprometiendo la continuidad del negocio sobre la empresa. TortoiseSVN: Es un cliente gratuito de código abierto para el sistema de control de versiones. TortoiseSVN administra archivos y directorios a lo largo del tiempo. Assembla: Repositorio donde se almacena toda la información de las aplicaciones, documentación y versiones. ● Aplicaciones Menos Críticas Son aplicaciones vulnerables a ataques que pueden afectar la seguridad de la información, pero éstas no generan afectación en la continuidad del negocio sobre la empresa. Plan.io o Project Tracking: Para el seguimiento de los diferentes proyectos, tickets de soporte, control de tiempos y medición de desempeño. NetBeans: Usado como IDE para el desarrollo de las aplicaciones Oracle: Herramienta Cliente/Servidor usado para la gestión de Bases de Datos.Según proyecto SQLServer: Herramienta Cliente/Servidor usado para la gestión de Bases de Datos.Según proyecto.

(23) MySQL: Herramienta Cliente/Servidor usado para la gestión de Bases de Datos. Según proyecto GlassFish: Servidor de aplicaciones de software libre desarrollado por Sun Microsystems, Es gratuito, de código libre y se distribuye bajo un licenciamiento dual a través de la licencia CDDL y la GNU GPL. JBOSS: Es un servidor de aplicaciones Java EE de código abierto implementado en Java puro, más concretamente la especificación Java EE. ● Aplicaciones No Críticas Son aplicaciones que presentan pequeñas debilidades en la seguridad de la información. Estas aplicaciones no son indispensables en el desarrollo de actividades de la empresa y pueden ser sustituidas. Skype: Usado como chat interno. Gmail: Como correo empresarial. 2.2.3. Plan de Seguridad Actual La empresa SIE Software, en estos momentos no cuenta con un plan de seguridad activo, ya que no tiene restricciones o una política para el manejo de aplicaciones de software libre, no cuenta con un plan de contingencia para una catástrofe natural ni amenazas por terceros, no se tiene especificado un estándar para el manejo específico de la información interna y primordial de la compañía, no tiene políticas establecidas para la administración de los servicios de red. En estos momentos se utilizan conexiones libres sobre la red, generando acceso a la información de los repositorios de la organización sin ningún tipo de seguridad, colocando así en riesgo información exclusiva de la empresa permitiendo el acceso desde cualquier punto con conexión a internet.. 2.3. Análisis GAP En este numeral se procedió a comparar el estado actual del plan de seguridad de la información de la empresa comparándolo con la exigencia de los objetivos de control asociados a la norma ISO 27001, para validar su cumplimiento. VER ANEXO 2 - “Controles Análisis GAP”.

(24) 3.. GESTIÓN DE ACTIVOS. Los activos son componentes o funcionalidades de un sistema de información, susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Dentro de los activos de la empresa Sie Software S.A.S. se muestran los siguientes por su vulnerabilidad y por su importancia dentro del negocio de la empresa.. 3.1. Clasificación de Activos. A continuación se muestra la clasificación de los activos encontrados en la empresa Sie Software S.A.S. Los activos se clasificaron de acuerdo a la dependencia entre ellos considerando que los activos superiores dependen de los inferiores. ● o o o o o ● o o o o o ● o o o ● o o o o o o o ● o o o o o. Bases de datos: Base de datos de prueba de la Registraduría. Base de datos de prueba del FNG. Base de datos de prueba Livemarks. Base de datos de prueba Project Tracking. Base de datos de prueba consejo de estado. Manuales de usuario: Manual de instalación de ambiente de desarrollo. Manual de usuario de Livemarks. Manual de administrador de Livemarks. Manual de usuario de Project Tracking. Manual de administrador de Project Tracking. Formatos Formato de requerimientos. Formato de entrega de desarrollos. Formato de pruebas unitarias. Servicios Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web y/o cliente-servidor. Diseño, desarrollo y puesta en funcionamiento de portales web corporativos. Diseño, suministro e implementación de redes locales (LAN). Consultoría en soluciones informáticas. Outsourcing de personal para diseño y desarrollo de soluciones Mantenimiento de redes y salas de cómputo. Diseño, desarrollo y publicación de apps (iOS, Android, Windows) Activos Físicos Servidor de bases de datos para pruebas. Servidor para aplicación Livemarks y Project Tracking. Impresora Epson WF-6090 Modelo C11CD47201 Portátiles diferentes marcas con 8 GB de memoria, disco corei 7 UPS KIN3000A marca Powercom,.

(25) o o o ● o o o o o o ● o o o o o o o. Componentes de red. Cisco, sw, FW Delink Cableado UTP C6, Racks Herramientas de desarrollo Netbeans. SQL server. Oracle. TortoiseSVN. JBOSS. GlassFish. Recurso humano Desarrolladores junior. Desarrolladores Senior. Analistas de requerimientos. QA. Arquitecto de software. Gerente de proyectos. Líder técnico.. Inventario completo de activos con la descripción detallada. Activo. Bases de datos. Manuales. Detalle. Cantidad. Base de datos de prueba de la registraduría.. 1. Base de datos SQLServer. Base de datos de prueba del FNG.. 1. Base de datos SQLServer. Base de datos de prueba Livemarks.. 1. Base de datos Oracle. Base de datos de prueba Project Tracking.. 1. Base de datos Oracle. Base de datos de prueba consejo de estado.. 1. Base de datos MySQL. Manual de instalación de ambiente de desarrollo Livemarks.. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación Livemarks. Manual de usuario de Livemarks.. 1. Manual técnico para el uso de la aplicación Livemarks.. Manual de administrador de Livemarks.. 1. Manual para el rol de administrador de la aplicación Livemarks. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación Project Tracking. Manual de instalación de ambiente de desarrollo Project Tracking.. Descripción y Características.

(26) Documentos. Manual de usuario de Project Tracking.. 1. Manual técnico para el uso de la aplicación Project Tracking.. Manual de administrador de Project Tracking.. 1. Manual para el rol de administrador de la aplicación Project Tracking. Manual de instalación de ambiente de desarrollo Hunter (FNG).. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación Hunter (FNG). Manual de usuario de Hunter (FNG).. 1. Manual técnico para el uso de la aplicación Hunter.. Manual de administrador de Hunter (FNG).. 1. Manual para el rol de administrador de la aplicación Hunter (FNG). Manual de instalación de ambiente de desarrollo Consejo de estado.. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación Consejo de estado.. Manual de usuario de Consejo de estado.. 1. Manual técnico para el uso de la aplicación del Consejo de Estado.. Manual de administrador de Consejo de estado.. 1. Manual para el rol de administrador de la aplicación Consejo de estado.. Manual de instalación de ambiente de desarrollo Registraduría.. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación de la Registraduría Nacional. Manual de usuario de Registraduría.. 1. Manual técnico para el uso de la aplicación de la Registraduría.. Manual de administrador de Registraduría.. 1. Manual para el rol de administrador de la aplicación de la Registraduría Nacional.. Manual de instalación de ambiente de desarrollo IDEAM.. 1. Manual que describe todos los pasos para instalar el ambiente de desarrollo para la aplicación de IDEAM. Manual de usuario de IDEAM.. 1. Manual técnico para el uso de la aplicación de IDEAM.. Manual de administrador de IDEAM.. 1. Manual para el rol de administrador de la aplicación de IDEAM. Diagramas casos de uso Livemarks. 8. Diagrama de los casos de uso para cada uno de los módulos de la aplicación Livemarks. Diagrama de clases de la. 8. Diagrama de las clases.

(27) clases Livemarks. desarrolladas para cada módulos de la aplicación Livemarks. 8. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación Livemarks. 24. Incluye los diagramas de Secuencia, Estados y Actividades por cada uno de los módulos desarrollados para esta aplicación. 16. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de Colaboración.. Diagrama de implementación de la aplicación Livemarks. 4. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el sistema.. Diagramas casos de uso de la aplicación Project Tracking. 6. Diagrama de los casos de uso para cada uno de los módulos de la aplicación Project Tracking. Diagrama de clases de clases Project Tracking. 6. Diagrama de las clases desarrolladas para cada módulos de la aplicación Project Tracking. 6. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación Project Tracking.. 18. Incluye los diagramas de Secuencia, Estados y Actividades por cada uno de los módulos desarrollados para esta aplicación. 12. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de Colaboración.. 3. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el. Diagrama de objetos de la aplicación Livemarks. Diagrama de comportamiento de la aplicación Livemarks. Diagrama de interacción de la aplicación Livemarks. Diagrama de objetos de la aplicación Project Tracking Diagrama de comportamiento de la aplicación Project Tracking Diagrama de interacción de la aplicación Project Tracking Diagrama de implementación de la aplicación Project Tracking.

(28) sistema. Diagramas casos de uso de la aplicación Hunter (FNG). 12. Diagrama de los casos de uso para cada uno de los módulos de la aplicación Hunter. 12. Diagrama de las clases desarrolladas para cada módulos de la aplicación Hunter. 12. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación Hunter. 36. Incluye los diagramas de Secuencia, Estados y Actividades por cada uno de los módulos desarrollados para esta aplicación. 24. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de Colaboración.. Diagrama de implementación de la aplicación Hunter (FNG). 6. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el sistema.. Diagramas casos de uso de la aplicación del Consejo de Estado.. 5. Diagrama de los casos de uso para cada uno de los módulos de la aplicación de Consejo de Estado. 5. Diagrama de las clases desarrolladas para cada módulos de la aplicación de Consejo de Estado.. 5. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación de Consejo de Estado.. 15. Incluye los diagramas de Secuencia, Estados y Actividades por cada uno de los módulos desarrollados para esta aplicación. 10. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de. Diagrama de clases de la aplicación Hunter (FNG) Diagrama de objetos de la aplicación Hunter (FNG) Diagrama de comportamiento de la aplicación Hunter (FNG). Diagrama de interacción de la aplicación Hunter (FNG). Diagrama de clases de la aplicación del Consejo de Estado. Diagrama de objetos de la aplicación del Consejo de Estado. Diagrama de comportamiento de la aplicación del Consejo de Estado. Diagrama de interacción de la aplicación del Consejo de Estado..

(29) Colaboración.. 2. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el sistema.. 5. Diagrama de los casos de uso para cada uno de los módulos de la aplicación de la Registraduría. 5. Diagrama de las clases desarrolladas para cada módulos de la aplicación de la Registraduría.. 5. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación de la Registraduría.. 15. Incluye los diagramas de Secuencia, Estados y Actividades por cada uno de los módulos desarrollados para esta aplicación. 10. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de Colaboración.. 2. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el sistema.. 9. Diagrama de los casos de uso para cada uno de los módulos de la aplicación de IDEAM. 9. Diagrama de las clases desarrolladas para cada módulos de la aplicación del IDEAM. Diagrama de objetos de la aplicación del IDEAM. 9. Diagrama de objetos de cada una de las clases empleadas para el desarrollo de la aplicación del IDEAM.. Diagrama de comportamiento de la. 27. Incluye los diagramas de Secuencia, Estados y Actividades. Diagrama de implementación de la aplicación del Consejo de Estado. Diagramas casos de uso de la aplicación de la Registraduría. Diagrama de clases de la aplicación de la Registraduría. Diagrama de objetos de la aplicación de la Registraduría. Diagrama de comportamiento de la aplicación de la Registraduría. Diagrama de interacción de la aplicación de la Registraduría.. Diagrama de implementación de la aplicación de la Registraduría. Diagramas casos de uso de la aplicación del IDEAM. Diagrama de clases de la aplicación del IDEAM.

(30) aplicación de IDEAM.. 18. Diagramas para la representación de la interacción de mensajes de la aplicación, incluye diagramas de secuencia y diagramas de Colaboración.. 4. Diagrama que ofrece la ilustración de la arquitectura física del hardware, del software y de los artefactos involucrados en el sistema.. 1. Formato para la solicitud de nuevos requerimientos para cada una de las aplicaciones desarrolladas por la empresa.. 1. Formato para la entrega de desarrollos terminados por parte de la empresa. 1. Formato para la presentación de las puebas unitarias de los desarrollos aprobados por QA. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Livemarks.. 1. Ciclo de desarrollo completo para la implementación de la aplicación Livemarks. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Project Tracking. 1. Ciclo de desarrollo completo para la implementación de la aplicación Project Tracking. 1. Ciclo de desarrollo completo para la implementación de la aplicación Hunter. Diagrama de interacción de la aplicación de IDEAM. Diagrama de implementación de la aplicación de IDEAM.. Formato de requerimientos.. Formatos. Formato de entrega de desarrollos. Formato de pruebas unitarias.. Servicios. por cada uno de los módulos desarrollados para esta aplicación. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Hunter del.

(31) FNG. Consultoría en soluciones informáticas. FNG. Activos Físicos. 1. Servicio de consultoría para el FNG.. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para el Consejo de Estado.. 1. Ciclo de desarrollo completo para la implementación de la aplicación solicitada por el Consejo de Estado.. Outsourcing de personal para diseño y desarrollo de soluciones para la aplicación del Consejo de Estado.. 1. Servicio de consultoría para el Consejo de Estado.. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la Registraduría.. 1. Ciclo de desarrollo completo para la implementación de la aplicación requerida para la Registraduría Nacional.. Outsourcing de personal para diseño y desarrollo de la aplicación de la Registraduría.. 1. Servicio de consultoría para la Registraduría.. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para el IDEAM.. 1. Ciclo de desarrollo completo para la implementación de los RUA para el IDEAM. Outsourcing de personal para diseño y desarrollo de la aplicación del IDEAM.. 1. Servicio de consultoría para el IDEAM.. Servidor de bases de datos para pruebas.. 5. Servidores que contienen las bases de datos de pruebas para el desarrollo de las aplicaciones.. Servidor para aplicación Livemarks.. 1. Este servidor contiene la base de datos de producción de la aplicación Livemarks..

(32) Servidor para aplicación Project Tracking.. Herramientas de desarrollo. 1. Este servidor contiene la base de datos de producción de la aplicación Project Tracking. En este servidor se alojan las aplicaciones en su fase de pruebas para que puedan ser validadas según los estándares de calidad de la empresa.. Servidor para aplicaciones en ambiente de pruebas.. 2. Impresora. 1. Epson WF-6090 Modelo C11CD47201. Portátiles.. 64. Diferentes marcas con 8 GB de memoria, disco corei 7. MAC para diseño. 7. Equipos con sistema operativo MAC usados para el diseño web de las aplicaciones.. UPS. 1. KIN3000A marca Powercom.. Componentes de red.. Cisco, sw, FW Delink. Cableado estructurado.. UTP C6. Racks. 2. Netbeans.. 27. IDE de desarrollo para las aplicaciones.. SQL server.. 1. Sistema de administración y análisis de bases de datos relacionales de Microsoft. MySQL. 1. Herramienta para la administración de base de datos.. Oracle.. 1. Herramienta para la administración de base de datos.. TortoiseSVN.. 30. Sistema de control de versiones. JBOSS. 9. Servidor de aplicaciones.. GlassFish. 18. Servidor de aplicaciones.. Assembla. 1. Repositorio.. Desarrolladores junior.. 19. Desarrolladores con conocimientos básicos en BD oracle y SQL, java, PrimeFaces.. 6. Desarrolladores con conocimientos avanzados en BD oracle y SQL, java, PrimeFaces, jquery, javascript.. Recurso humano Desarrolladores Senior..

(33) Encargado bases de datos. 6. DBA o amplios conocimientos en base de datos Oracle y SQL Server.. Analistas de requerimientos.. 6. Especialistas en el levantamiento de requerimientos.. Analista de pruebas (QA, Functional Testing). 12. Especialistas en la elaboración de Functional Testing y Quality Assurance.. Arquitecto de software.. 2. Experto en arquitectura de software.. Gerente de proyectos.. 1. Director o líder de todos los proyectos que lleva la compañía.. Líder técnico.. 1. Director o líder con amplios conocimientos técnicos.. Infraestructura. 5. Encargados de la infraestructura (control de políticas, servidores, red, seguridad) de toda la empresa y de sus servicios.. Documentadores. 6. Personal encargado de registrar y recopilar información para entregar a la finalización de cada proyecto. Jefe de diseño. 1. Persona encargada de liderar el equipo de diseñadores web de las diferentes aplicaciones.. 6. Personas que se encargan de estructurar los elementos gráficos de las aplicaciones o sitios web de la empresa para que sean más agradables visualmente para los usuarios y clientes.. Diseñadores. Tabla 3. Descripción detallada de activos. Fuente: Autores..

(34) 3.2. Valoración de los Activos. Para el criterio de valoración se usará la escala común, apoyada en la metodología Magerit, esta es una escala detallada de diez valores, tomando el cero como valor despreciable (a efectos de riesgo).. Figura 4. Criterios de Valoración. Fuente: MAGERIT, M. D. A., & de los Sistemas, de Información (MAGERIT). Las dimensiones que tendremos en cuenta son: [D] Disponibilidad [I] Integridad de los datos [C] Confidencialidad de la información [A] Autenticidad [T] Trazabilidad. Activo. Bases de datos. Descripción. Dimensión [D]. [I]. [C]. [A]. [T]. Base de datos de prueba de la Registraduría.. 9. 4. 9. 9. 3. Base de datos de prueba del FNG.. 9. 3. 5. 2. 8. Base de datos de prueba Livemarks.. 3. 2. 1. 1. 2. Base de datos de prueba Project Tracking.. 2. 1. 1. 1. 2. Base de datos de prueba consejo de estado.. 9. 8. 9. 9. 7.

(35) Manuales. Manual de instalación de ambiente de desarrollo Livemarks.. 5. 8. 2. 5. 0. Manual de usuario de Livemarks.. 1. 2. 1. 2. 0. Manual de administrador de Livemarks.. 2. 5. 2. 2. 0. Manual de instalación de ambiente de desarrollo Project Tracking.. 5. 8. 2. 5. 0. Manual de usuario de Project Tracking.. 1. 2. 1. 2. 0. Manual de administrador de Project Tracking.. 2. 5. 2. 2. 0. Manual de instalación de ambiente de desarrollo Hunter (FNG).. 5. 8. 2. 5. 0. Manual de usuario de Hunter (FNG).. 1. 2. 1. 2. 0. Manual de administrador de Hunter (FNG).. 2. 5. 2. 2. 0. Manual de instalación de ambiente de desarrollo Consejo de estado.. 5. 8. 2. 5. 0. Manual de usuario de Consejo de estado.. 1. 2. 1. 2. 0. Manual de administrador de Consejo de estado.. 2. 5. 2. 2. 0. Manual de instalación de ambiente de desarrollo Registraduría.. 5. 8. 2. 5. 0. Manual de usuario de Registraduría.. 1. 2. 1. 2. 0. Manual de administrador de Registraduría.. 2. 5. 2. 2. 0. Manual de instalación de ambiente de desarrollo IDEAM.. 5. 8. 2. 5. 0. Manual de usuario de IDEAM.. 1. 2. 1. 2. 0. Manual de administrador de IDEAM.. 2. 5. 2. 2. 0.

(36) Diagramas casos de uso Livemarks. 2. 1. 8. 9. 1. Diagrama de clases de la clases Livemarks. 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación Livemarks. 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación Livemarks. 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación Livemarks. 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación Livemarks. 1. 4. 9. 9. 1. Diagramas casos de uso de la aplicación Project Tracking. 2. 1. 8. 9. 1. Diagrama de clases de clases Project Tracking. 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación Project Tracking. 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación Project Documentos Tracking. 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación Project Tracking. 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación Project Tracking. 1. 4. 9. 9. 1. Diagramas casos de uso de la aplicación Hunter (FNG). 2. 1. 8. 9. 1. Diagrama de clases de la aplicación Hunter (FNG). 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación Hunter (FNG). 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación Hunter (FNG). 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación Hunter (FNG). 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación Hunter (FNG). 1. 4. 9. 9. 1. Diagramas casos de uso de la aplicación del Consejo de Estado.. 2. 1. 8. 9. 1.

(37) Diagrama de clases de la aplicación del Consejo de Estado.. 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación del Consejo de Estado.. 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación del Consejo de Estado.. 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación del Consejo de Estado.. 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación del Consejo de Estado.. 1. 4. 9. 9. 1. Diagramas casos de uso de la aplicación de la Registraduría.. 2. 1. 8. 9. 1. Diagrama de clases de la aplicación de la Registraduría.. 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación de la Registraduría.. 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación de la Registraduría.. 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación de la Registraduría.. 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación de la Registraduría.. 1. 4. 9. 9. 1. Diagramas casos de uso de la aplicación del IDEAM.. 2. 1. 8. 9. 1. Diagrama de clases de la aplicación del IDEAM. 1. 7. 9. 9. 1. Diagrama de objetos de la aplicación del IDEAM. 1. 9. 9. 9. 1. Diagrama de comportamiento de la aplicación de IDEAM.. 1. 8. 9. 9. 1. Diagrama de interacción de la aplicación de IDEAM. 1. 9. 9. 9. 1. Diagrama de implementación de la aplicación de IDEAM.. 1. 4. 9. 9. 1.

(38) Formatos. Servicios. Formato de requerimientos.. 1. 2. 2. 1. 5. Formato de entrega de desarrollos.. 1. 5. 3. 1. 5. Formato de pruebas unitarias.. 1. 8. 2. 1. 5. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Livemarks.. 10. 9. 10. 9. 10. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Project Tracking. 8. 9. 10. 10. 9. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la aplicación Hunter del FNG.. 9. 10. 9. 10. 10. Consultoría en soluciones informáticas. FNG. 9. 9. 9. 9. 9. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para el Consejo de Estado.. 10. 10. 10. 10. 10. Outsourcing de personal para diseño y desarrollo de soluciones para la aplicación del Consejo de Estado.. 8. 10. 10. 9. 10. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para la Registraduría.. 10. 10. 10. 10. 10. Outsourcing de personal para diseño y desarrollo de la aplicación de la registraduría.. 9. 10. 10. 10. 10. Análisis, diseño, desarrollo e implementación de software acorde a sus requerimientos con arquitectura web para el IDEAM.. 9. 8. 9. 9. 8.

(39) Activos Físicos. Outsourcing de personal para diseño y desarrollo de la aplicación del IDEAM.. 9. 8. 9. 9. 8. Servidor de bases de datos para pruebas.. 9. 8. 8. 8. 9. Servidor para aplicación Livemarks.. 10. 10. 10. 10. 9. Servidor para aplicación Project Tracking.. 9. 10. 10. 10. 10. Servidor para aplicaciones en ambiente de pruebas.. 9. 3. 9. 9. 9. Impresora. 2. 1. 1. 1. 1. Portátiles.. 9. 9. 10. 10. 8. MAC para diseño. 9. 9. 10. 10. 8. UPS. 10. 1. 1. 1. 8. Componentes de red.. 10. 3. 10. 10. 10. Cableado estructurado.. 9. 9. 10. 10. 10. Racks. 7. 1. 1. 1. 1. Netbeans.. 9. 2. 9. 9. 9. SQL server.. 9. 2. 9. 9. 9. MySQL. 9. 2. 9. 9. 9. 9. 2. 9. 9. 9. 10. 9. 9. 10. 8. JBOSS. 9. 2. 9. 9. 9. GlassFish. 9. 2. 9. 9. 9. Assembla. 9. 9. 9. 10. 9. Desarrolladores junior.. 9. 9. 9. 1. 9. Desarrolladores Senior.. 10. 9. 9. 1. 10. Encargado bases de datos. 9. 9. 10. 1. 9. Analistas de requerimientos.. 9. 9. 10. 1. 9. Analista de pruebas (QA, Functional Testing). 9. 9. 9. 1. 9. Arquitecto de software.. 10. 9. 10. 1. 9. Gerente de proyectos.. 10. 9. 8. 1. 9. Líder técnico.. 10. 9. 10. 1. 9. Infraestructura. 8. 7. 9. 10. 9. Documentadores. 5. 9. 9. 10. 5. Herramientas Oracle. de desarrollo TortoiseSVN.. Recurso humano.

(40) Jefe de diseño. 8. 7. 6. 7. 4. Diseñadores. 8. 7. 6. 7. 8. Tabla 4. Valoración de los activos Fuente: Autores.. Con el anterior cuadro se puede observar que los activos que representan mayor importancia para la empresa, ya que afectan directamente el core de negocio son los servicios ofrecidos a los clientes, dado que tienen un impacto muy alto en la disponibilidad del negocio, la integridad de los datos, la confidencialidad de la información, la autenticidad y la trazabilidad. Otros de los activos que tienen gran impacto son los activos físicos específicamente los servidores ya que alojan todo el código de desarrollo, documentos y bases de datos de las aplicaciones desarrolladas y finalmente el recurso humano, siendo todo el equipo de tecnología. Es importante dentro del SGSI asegurar estos activos para garantizar la continuidad del negocio y su óptimo desempeño..

(41) 4.. GESTIÓN DE RIESGOS. Se realiza un análisis riesgos que permite analizar en forma metódica cada uno de los procesos, actividades y demás labores de la empresa que pueden estar en riesgo, así como determinar las posibles vulnerabilidades y las amenazas a las que se encuentra expuesta. 4.1. Amenazas y sus Impactos. A continuación, se presenta el modelo de la tabla que enuncia las amenazas posibles sobre los activos de la compañía: Tipo de Amenaza. Descripción. Tipos de Activos Afectados. Nombre de Tipo de Amenaza. Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas que se pueden ver afectados por este tipo de amenazas. Cada amenaza puede ser clasificada en 5 niveles de gravedad:. Impacto. Dimensiones de Seguridad Afectadas. Muy alto: Las pérdidas para la empresa son importantísimas e irreparables. Alto: Las pérdidas para la empresa son muy importantes, pero pueden tener un remedio a medio-largo plazo. Medio: Las pérdidas son importantes, pero tienen una solución en corto plazo. Bajo: Se producen pérdidas mínimas sin gran impacto dentro de la organización. Muy bajo: No se producen pérdidas o éstas son insignificantes y no afectan en prácticamente ningún grado a la organización. Dimensiones de seguridad que se pueden ver afectadas por este tipo de amenaza, ordenadas de más a menos relevante Tabla 5. Modelo Catálogo de amenazas Fuente: Autores.

(42) 4.1.1. Amenazas por Desastres Naturales Tipo de Amenaza. Descripción. Tipos de Activos Afectados. Impacto Dimensiones de Seguridad Afectadas. Tipo de Amenaza. Descripción. Tipos de Activos Afectados. Impacto Dimensiones de Seguridad Afectadas. Incendio. Amenaza generada por fallos eléctricos, líquidos o materiales inflamables. Hardware (Servidores, Equipos Datacenter, Cableado) Soportes de información Equipamiento auxiliar Instalaciones físicas (Edificios) Alto [D] Disponibilidad. Daños por agua. Inundaciones: posibilidad de que el agua acabe con recursos del sistema. Hardware (Equipos informáticos) Soportes de información Equipamiento auxiliar Instalaciones Alto [D] disponibilidad. Tabla 6. Amenazas por Desastres Naturales Fuente: Autores 4.1.2. Amenazas de Origen Industrial Tipo de Amenaza. Descripción. Avería de origen físico o lógico Fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen o sobrevenida durante el funcionamiento del sistema..

Figure

Figura 1. Ciclo Deming.
Figura 2. Organigrama Sie Software S.A.S Fuente: Matriz organizacional de Sie Software S.A.S
Figura 3. Diagrama General de red Fuente: Autores
Tabla 3. Descripción detallada de activos. Fuente: Autores.
+7

Referencias

Descargar ahora ( PDF - 128 página - 1.62 MB )

Outline

Salvaguardas

Documento similar