Plan de implementación del SGSI basado en la norma ISO 27001:2013 para la empresa Interfaces y Soluciones S A S
94
0
0
Texto completo
(2) PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO 27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES. LUZ ADRIANA MOYANO ORJUELA YASMIN ELENA SUÁREZ CÁRDENAS. TRABAJO DE GRADO PARA OPTAR AL TÍTULO DE: INGENIERAS EN TELEMÁTICA ASESOR. ING. JAIRO HERNÁNDEZ GUTIÉRREZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ, D.C. 2017.
(3) Nota de aceptación. ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________. ______________________________________ Tutor. ______________________________________ Jurado.
(4) CONTENIDO Pág.. RESUMEN ............................................................................................................... 9 ABSTRACT ............................................................................................................ 10 INTRODUCCIÓN ................................................................................................... 11 1.. CAPÍTULO I. PLANEACIÓN ........................................................................... 12 1.1. TÍTULO ..................................................................................................... 12 1.2. TEMA ........................................................................................................ 12 1.3. PLANTEAMIENTO DEL PROBLEMA ....................................................... 12 1.3.1. Descripción del problema ................................................................... 12 1.3.2. Formulación del Problema ................................................................. 13 1.4. ALCANCES Y LIMITACIONES ................................................................. 13 1.5. OBJETIVOS.............................................................................................. 14 1.5.1. Objetivo General ................................................................................ 14 1.5.2. Objetivos Específicos ......................................................................... 14 1.6. JUSTIFICACIÓN ....................................................................................... 15 1.7. MARCO TEÓRICO ................................................................................... 15 1.8. FACTIBILIDAD ......................................................................................... 21 1.8.1. Factibilidad Técnica............................................................................ 21 1.8.2. Factibilidad Operativa ......................................................................... 21 1.8.3. Factibilidad Legal ............................................................................... 21 1.8.4. Factibilidad Económica ...................................................................... 22 1.9. CRONOGRAMA DE ACTIVIDADES......................................................... 24. 2.. CAPÍTULO II. CONTEXTO ORGANIZACIONAL ............................................ 26 2.1. RECONOCIMIENTO DE LA ORGANIZACIÓN......................................... 26 2.1.1. Descripción ........................................................................................ 26 2.1.2. Estructura Organizacional .................................................................. 26 2.1.3. Infraestructura .................................................................................... 27 4.
(5) 2.2. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001 ............................. 30 2.2.1. A.5 Política de seguridad. .................................................................. 32 2.2.2. A.6 Organización de la seguridad de la información. ......................... 32 2.2.3. A.7 Seguridad de los RRHH. .............................................................. 33 2.2.4. A.8 Gestión de activos. ...................................................................... 33 2.2.5. A.9 Control de accesos. ..................................................................... 34 2.2.6. A.10 Criptografía. ............................................................................... 34 2.2.7. A.11 Seguridad física y ambiental. ..................................................... 35 2.2.8. A.12 Seguridad en las operaciones.................................................... 36 2.2.9. A.13 Seguridad en las Comunicaciones. ............................................ 36. 3.. 2.2.10.. A.14 Adquisición de sistemas, desarrollo y mantenimiento. ........... 37. 2.2.11.. A.15 Relación con proveedores. ..................................................... 37. 2.2.12.. A.16 Gestión de los incidentes de seguridad. ................................. 38. 2.2.13.. A.17 Continuidad del negocio. ........................................................ 39. 2.2.14.. A.18 Cumplimiento con requerimientos legales y contractuales. .... 39. CAPÍTULO III. GESTIÓN DE RIESGOS......................................................... 42 3.1. METODOLOGÍA ....................................................................................... 42 3.2. INVENTARIO DE ACTIVOS ..................................................................... 42 3.3. VALORACIÓN DE ACTIVOS .................................................................... 45 3.3.1. Confidencialidad ................................................................................. 45 3.3.2. Integridad ........................................................................................... 46 3.3.3. Disponibilidad ..................................................................................... 47 3.4. ANÁLISIS DE AMENAZAS ....................................................................... 48 3.5. VALORACIÓN DEL RIESGO ................................................................... 50. 4.. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS ....................................... 52 4.1. ESTRATEGIAS PARA TRATAMIENTO DEL RIESGO............................. 52 4.2. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO .............................. 54 4.3. PLAN DE TRATAMIENTO DEL RIESGO ................................................. 56 4.3.1. Política de Seguridad SGSI ................................................................ 56 4.3.2. Controles recomendados ................................................................... 61 5.
(6) 4.3.3. Monitoreo ........................................................................................... 69 4.3.4. Asignación de Responsabilidades...................................................... 72 5.. CAPÍTULO V. EVALUACIÓN - AUDITORÍA DE CUMPLIMIENTO ................ 78 5.1. METODOLOGÍA ....................................................................................... 78 5.2. EVALUACIÓN DE MADUREZ .................................................................. 79 5.3. RESUMEN DE RESULTADOS ................................................................. 82. CONCLUSIONES .................................................................................................. 86 RECOMENDACIONES .......................................................................................... 88 BIBLIOGRAFÍA ...................................................................................................... 90 ANEXOS ................................................................................................................ 93 ANEXO A. DIAGNÓSTICO INICIAL ................................................................... 93 ANEXO B. INFORME DE HALLAZGOS ............................................................ 93 ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS ............................. 93 ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD .................... 94 ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013 ....................... 94 ANEXO F. EVALUACIÓN DE MADUREZ .......................................................... 94. 6.
(7) LISTA DE TABLAS Tabla 1 Factibilidad de recursos humanos ............................................................ 22 Tabla 2 Factibilidad Otros Recursos ...................................................................... 23 Tabla 3 Factibilidad Económica Costo Total .......................................................... 23 Tabla 4 Estaciones de Trabajo .............................................................................. 28 Tabla 5 Lista de Equipos ....................................................................................... 28 Tabla 6 Listado de Aplicaciones ............................................................................ 29 Tabla 7 Parámetros de respuesta a la encuesta.................................................... 30 Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013 .................................... 31 Tabla 9 Listado de activos (Fragmento) ................................................................. 43 Tabla 10 Criterios de valoración de Confidencialidad ............................................ 45 Tabla 11 Criterios de valoración de Integridad....................................................... 46 Tabla 12 Criterios de valoración de Disponibilidad ................................................ 47 Tabla 13 Resumen de Amenazas .......................................................................... 48 Tabla 14 Criterios de valoración según Probabilidad ............................................. 50 Tabla 15 Criterios de valoración según Impacto .................................................... 50 Tabla 16 Resumen Valoración del riesgo .............................................................. 51 Tabla 17 Estrategias para el Tratamiento de Riesgos ........................................... 53 Tabla 18 Resumen Técnicas de Tratamiento ........................................................ 55 Tabla 19 Listado de Políticas desarrolladas .......................................................... 61 Tabla 20 Asociación de riesgos con controles ISO 27001:2013 ............................ 64 Tabla 21 Lista de Controles ................................................................................... 67 Tabla 22 Plan de monitoreo ................................................................................... 69 Tabla 23 Matriz RASCI: A5-A9 .............................................................................. 75 Tabla 24 Matriz RASCI: A10-A13 .......................................................................... 76 Tabla 25 Matriz RASCI: A14-A18 .......................................................................... 77 Tabla 26 Elementos para Evaluación de Madurez................................................. 79 Tabla 27 Criterios Evaluación de Madurez ............................................................ 79 Tabla 28 Evaluación de Madurez (Fragmento) ...................................................... 80 Tabla 29 Resultados Evaluación de Madurez ........................................................ 82. 7.
(8) LISTA DE FIGURAS. Figura 1 Estructura Organizacional ........................................................................ 27 Figura 2 Gráfico Resultado Evaluación inicial ........................................................ 30 Figura 3 Gráfico Resultados Evaluación Inicial ...................................................... 31 Figura 4 Evaluación Inicial A5 ................................................................................ 32 Figura 5 Evaluación Inicial A6 ................................................................................ 32 Figura 6 Evaluación Inicial A7 ................................................................................ 33 Figura 7 Evaluación Inicial A8 ................................................................................ 34 Figura 8 Evaluación Inicial A9 ................................................................................ 34 Figura 9 Evaluación Inicial A10 .............................................................................. 35 Figura 10 Evaluación Inicial A11 ............................................................................ 35 Figura 11 Evaluación Inicial A12 ............................................................................ 36 Figura 12 Evaluación Inicial A13 ............................................................................ 37 Figura 13 Evaluación Inicial A14 ............................................................................ 37 Figura 14 Evaluación Inicial A15 ............................................................................ 38 Figura 15 Evaluación Inicial A16 ............................................................................ 39 Figura 16 Evaluación Inicial A17 ............................................................................ 39 Figura 17 Evaluación Inicial A18 ............................................................................ 40 Figura 18 Mapa de Riesgo ..................................................................................... 51 Figura 19 Estrategias para el Tratamiento de riesgo ............................................. 52 Figura 20 Gráfico Resultado Evaluación de Madurez ............................................ 82 Figura 21 Evaluación de Madurez Dominios ISO 27001:2013 .............................. 83. 8.
(9) RESUMEN Interfaces y Soluciones S.A.S (I&S) es una organización desarrolladora de software cuyo mercado se encuentra principalmente en proyectos de migración de datos e integraciones. Se busca estandarizar los procesos y garantizar la seguridad de los mismos en el área de Tecnologías de la Información de la empresa a través del establecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO 27001:2013. El desarrollo del proyecto contempla las tareas de análisis y tratamiento de los riesgos haciendo uso de las fases de la metodología PHVA (Planificar-Hacer-Verificar-Actuar) en coordinación con los objetivos, estrategias y políticas de la organización. Durante el desarrollo se especifican cinco capítulos, que se detallan de la siguiente manera: La planeación, en el cual se identifica el planteamiento del problema, los objetivos del proyecto, así como el alcance y limitaciones, además de la factibilidad técnica, operativa, legal y económica del proyecto. En el contexto organizacional, se realiza el reconocimiento y se detalla la estructura organizacional, mostrando el estado actual de la organización con respecto a la ISO/IEC 27001, en lo que respecta a los diferentes dominios, como lo son políticas de seguridad, organización de la seguridad de la información, seguridad de los RRHH, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, seguridad en las operaciones, seguridad en las comunicaciones, entre otros. En la gestión de riesgos, se realiza el inventario de activos y su valoración, el análisis de amenazas y la valoración de riesgos. En la selección de salvaguardas se define las estrategias, técnicas y el plan de tratamiento del riesgo, especificando la políticas del SGSI, los controles recomendados, las opciones de monitoreo y la asignación de responsabilidades de acuerdo al compromiso con la norma 27001:2013. Por último, en la evaluación y/o auditoría de cumplimiento, se genera la evaluación de madurez y las recomendaciones para la implementación del SGSI.. 9.
(10) ABSTRACT Interfaces y Soluciones S.A.S (I&S) is a software development company whose market is mainly in data migration and integration projects. It seeks to standardize the processes belonging to the area of Information Technology in the company and ensure their safety, through the establishment of the Information Security Management System (ISMS) based on ISO 27001:2013. The development of the project contemplates the tasks of analysis and treatment of risks using the Deming cycle or also known as PDCA methodology (Plan-Do-Check-Act) in coordination with the objectives, strategies and policies of the organization. During development five chapters are specified, which are detailed as follows: Planning, which identifies the approach to the problem, the objectives of the project, as well as the scope and limitations, as well as the technical, operational, legal and economic feasibility of the project. In the organizational context, the recognition is made and the organizational structure is detailed, showing the current state of the organization with respect to ISO / IEC 27001, in terms of different domains, such as security policies, organization of Information security, RRHH security, asset management, access control, cryptography, physical and environmental security, security of operations, and security of communications, among others. In risk management, the asset inventory and its valuation, the analysis of threats and the assessment of risks are carried out. The selection of safeguards defines the strategies, techniques and risk management plan, specifying the ISMS policies, the recommended controls, the monitoring options and the assignment of responsibilities according to the commitment to the 27001: 2013 standard. Finally, in the assessment and / or compliance audit, the maturity evaluation and the recommendations for the implementation of the SGSI are generated.. 10.
(11) INTRODUCCIÓN Interfaces y Soluciones S.A.S (I&S) es una empresa que se ha especializado en las integraciones y/o migración de datos, expertos en servicios web que tienen como objetivo principal comunicar las aplicaciones que se encuentran en diferentes plataformas, facilitando al personal técnico y no técnico de las compañías el mejoramiento de la calidad y los procesos contables, comerciales, producción, entre otros, permitiendo contar con la información en línea. Actualmente no existe un control adecuado que asegure la confidencialidad, proteja la integridad de la información en su totalidad y que garantice la disponibilidad, así como la precisión durante el tratamiento de la información, razón por la cual no se cuenta con la correcta protección de los datos de clientes, empleados, socios comerciales y la sociedad en general. El trabajo se enfoca en el aseguramiento de los controles adecuados sobre la confidencialidad, integridad y disponibilidad de la información, a través del establecimiento de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001:2013, de forma que se garantice un tratamiento adecuado de los problemas de seguridad de la información teniendo en cuenta las mejores prácticas, valorando los riesgos y los procedimientos de gestión utilizados en el modelo PHVA (planificar, hacer, verificar y actuar).. 11.
(12) 1.. CAPÍTULO I. PLANEACIÓN. En el presente capítulo se realiza el planteamiento del problema, describiendo los alcances y limitaciones del proyecto, así como los objetivos y la justificación para la implementación del SGSI en la empresa Interfaces y Soluciones S.A.S, detallando cómo se lograrán optimizar las tareas dentro de la organización. Así mismo, se especifica la factibilidad técnica, operativa, legal y económica, la viabilidad del proyecto y finalizando el cronograma de actividades. 1.1.. TÍTULO. Plan de implementación del SGSI basado en la Norma ISO 27001:2013 para la empresa Interfaces y Soluciones S.A.S 1.2. TEMA El tema que abarca el desarrollo del proyecto está enmarcado en el establecimiento del SGSI para los procesos del área de tecnologías de la información, utilizando como guía principal la norma NTC-ISO-IEC 27001:2013, la cual corresponde a un estándar, donde se especifica lo necesario para establecer, implantar, mantener y mejorar un SGSI; dirigido al director de proyectos y los implementadores de estos, con el fin de preparar a Interfaces y Soluciones en los procesos de evaluación, auditoría y/o certificación correspondientes a la seguridad de TI. 1.3.. PLANTEAMIENTO DEL PROBLEMA 1.3.1.. Descripción del problema. Interfaces y Soluciones (I&S) es una empresa de desarrollo de software apoyada en tecnología de punta, la cual incursiona en el mundo de las integraciones y la creación de portales, ofreciendo a sus clientes una herramienta que permite el mejoramiento de la calidad y de los procesos internos de la empresa. Como en muchas de las organizaciones existentes, actualmente apoya sus procesos en el uso de tecnologías de la información y comunicaciones (TIC), esto supone unos beneficios evidentes; pero también da lugar a ciertos riesgos que deben gestionarse prudentemente con medidas de seguridad que permitan ganar y mantener la confianza de los usuarios de los servicios.. 12.
(13) Adicionalmente, en la actualidad la empresa es partner de Siesa, una empresa internacional con certificaciones ServiCert nivel 5, CMMI e ISO 9001:2008, la cual exige garantías de calidad a sus proveedores, motivo por el cual I&S busca estandarizar sus procesos y garantizar la seguridad de los mismos, puesto que hasta el momento se han realizado de forma empírica. Cada uno de los procesos realizados, basados a través de la experiencia, no han garantizado la seguridad de la información, y teniendo en cuenta que ésta es un activo de gran valor para la organización, por la cantidad de datos contables, financieros, comerciales, procesos de producción, datos de clientes y proveedores, entre otros, se hace necesario una asesoría y seguimiento para la gestión de la seguridad de la información. Para I&S es de suma importancia asegurar la confidencialidad, integridad y disponibilidad de sus datos, atributos que son inherentes a un Sistema de Gestión de la Seguridad de la Información (SGSI). De forma que, se pueden establecer políticas, procedimientos y controles relacionados a los objetivos de negocio de la organización contribuyendo a la mejora continua de sus procesos y la consecución de sus metas. Con la implementación de un SGSI se busca generar sentido de pertenencia y compromiso con los temas relativos a la seguridad, ya que se logra la participación activa de los miembros de la organización en las diferentes etapas de su desarrollo.. 1.3.2.. Formulación del Problema. ¿De qué manera la implementación de un SGSI en Interfaces y Soluciones puede garantizar la integridad, confidencialidad y disponibilidad de su información? 1.4.. ALCANCES Y LIMITACIONES. En este proyecto se pretende analizar la situación actual de los procesos y estándares relacionados a la seguridad de la información en Interfaces y Soluciones S.A.S, para establecer un sistema de gestión de seguridad de la información, de forma que la empresa pueda hacer frente a cualquier reto, cumpliendo con los estándares que integran todos los principios de negocio en los sistemas de gestión. 13.
(14) El director de proyectos contará con la documentación necesaria para el establecimiento del SGSI para los procesos del área de tecnologías de la información, especificando lo necesario para establecer, implantar, mantener y mejorar el sistema de gestión de seguridad de la información, utilizando como guía la norma NTC-ISO-IEC 27001 :2013. Se establece generar los siguientes entregables: -. Informe de hallazgos de vulnerabilidades y riesgos. Informe sobre evaluación y tratamiento de riesgos. Documento de políticas de seguridad sobre los hallazgos encontrados. Documento de recomendaciones, con el propósito de preparar a I&S para los procesos de evaluación, auditoría, certificación o acreditación correspondientes a la seguridad de TI.. El proyecto estará limitado por los siguientes factores: -. Disponibilidad de tiempo del director de proyectos e implementadores de la organización. Veracidad e integridad del campo de acción de la organización e inventario de todos los datos críticos.. 1.5.. OBJETIVOS. 1.5.1. Objetivo General Establecer un sistema de gestión de la seguridad de la información (SGSI) basado en la norma ISO 27001:2013 para los procesos del área de Tecnologías de la Información en la empresa Interfaces y Soluciones S.A.S 1.5.2.. Objetivos Específicos. ● Identificar las necesidades y requerimientos de la empresa Interfaces y Soluciones a tener en cuenta en la implementación del SGSI. ● Establecer el estado actual de los procesos del área de Tecnologías de la Información en I&S identificando vulnerabilidades, amenazas y riesgos. ● Definir los controles, políticas y planes de mejoramiento necesarios para minimizar y mitigar la probabilidad e impacto de los riesgos identificados.. 14.
(15) ● Definir los roles y responsabilidades al interior de la organización para la implementación del SGSI. ● Preparar a I&S para los procesos de evaluación, auditoría, certificación o acreditación correspondientes a la seguridad de TI. 1.6.. JUSTIFICACIÓN. El establecimiento de un sistema de gestión de seguridad de la información (SGSI), permitirá asegurar que I&S implemente los controles adecuados sobre la confidencialidad, disponibilidad e integridad de la información, protegiendo de esta forma la información de todas las partes interesadas, adicional a esto el cumplimiento de la norma ISO 27001 permitirá demostrar a sus clientes y socio principal (Siesa Enterprise) la seguridad con que se abordan todos los temas relacionados con la seguridad de la información, la cual es la base para la gestión de riesgos de seguridad y así mismo la determinación de los niveles de protección que se requieran. A través del SGSI se lograrán optimizar todas las áreas dentro de la organización, relacionadas con la información, logrando de esta forma realizar mejor las tareas, de manera mucho más rápida y segura; además de lograr obtener una certificación bajo la norma 27001, facilitando de esta forma la comercialización de los diferentes productos y/o servicios, valorando los diferentes riesgos, así como los procedimientos de gestión necesarios.. 1.7.. MARCO TEÓRICO. El desarrollo de este proyecto no tiene como objetivo establecer una nueva base teórica, se apoya en ciertos conceptos que permiten el avance hacia el objetivo propuesto: la implementación de un SGSI. Por ello, en el desarrollo del proyecto se destacarán términos como: ●. Seguridad Informática: Es una disciplina que se enfoca en la protección de la integridad y la privacidad de la información; según la RAE el término seguro es la de “estar libre y exento de todo peligro, daño o riesgo”, teniendo en cuenta esto, se podría decir que en la seguridad informática este concepto tiene el mismo sentido aplicándolo a sistemas de información. La seguridad informática se encarga de diseñar normas,. 15.
(16) procedimientos, métodos y técnicas, consiguiendo de esta forma un sistema de información seguro y confiable1. Para el establecimiento de un sistema de seguridad informática, es necesario tener claro ciertos puntos, como: -. Cuáles son los elementos que componen el sistema. Cuáles son los peligros que afectan al sistema, ya sean accidentales o provocados. Cuáles son las medidas que se deberían acoger para lograr conocer y prevenir los riesgos potenciales.. Por medio de la seguridad informática se debe asegurar que el acceso y la modificación a cierta información sólo sea posible a las personas que estén autorizadas; un sistema se considera seguro cuando tiene integridad, confidencialidad y disponibilidad en la información. ● Integridad: Por medio de esta propiedad se garantiza que los datos no han sido alterados y/o destruidos de modo no autorizado, es decir se garantiza la autenticidad de la información sin importar el momento. ● Confidencialidad: Este se refiere al atributo que deben tener los datos y/o información, al encontrarse únicamente al alcance de las personas y/o entidades autorizadas, en el momento autorizado. ● Disponibilidad2: se debe garantizar que la información se encuentra disponible para los usuarios siempre que la necesiten. en caso contrario se provocan interrupciones de servicio y con ello problemas de calidad. ● Activo: es un recurso del sistema de información, necesario para garantizar el correcto funcionamiento de los procesos de la organización. También son fundamentales para lograr los objetivos definidos por la organización y requieren de una especial protección.. 1 2. (Vazquez, 2014)) (Tejada, 2015). 16.
(17) ● Vulnerabilidad3: Es la probabilidad de que una amenaza se materialice sobre un activo. Para identificar y estimar una vulnerabilidad, es necesario conocer los distintos activos del sistema de información y las amenazas y riesgos que puede sufrir. ● Riesgo: Permite estimar las probabilidades de que una amenaza se materialice sobre los activos de la organización, causando efectos negativos o pérdidas (económicas, reputacionales, etc). ● Gestión de Riesgos: Según el nivel del riesgo al que se someten los activos de una organización, se encuentran diferentes alternativas para su gestión. La política de gestión de riesgos decide qué tipo de control se implementa en el sistema de información. ●. ISO 27001. Se conoce como una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2(«¿Qué es norma ISO 27001?», s. f.). La importancia y reconocimiento de la norma ISO 27001 en materia de seguridad de los sistemas de información permite establecer el estándar a aplicar, documentación y procedimientos a seguir de acuerdo a la evaluación de seguridad que se realice.. Entre las razones por las cuales se decide utilizar la ISO 27001 como guía, es que aporta beneficios como los siguientes: ● Reduce el riesgo de que se produzcan pérdidas de información en las organizaciones. Por pérdidas también entendemos robos y corrupciones en la manipulación de la misma. ● Se hace una revisión continua de los riesgos a los que están expuestos los clientes. Adicionalmente, se hacen controles de manera periódica. ● Establece una metodología gracias a la cual se puede gestionar la seguridad de la información de forma clara y concisa. ● Implanta medidas de seguridad para que los propios clientes puedan acceder a la información. 3. (Tejada, 2015). 17.
(18) ● Contar un SGSI otorga a la organización una garantía frente a clientes y socios estratégicos ya que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la información que es depositada en la misma. ● Permite a las organizaciones continuar operando con normalidad en caso de producirse problemas importantes.. 1.7.1.. Trabajos relacionados. De acuerdo a la encuesta realizada por Deloitte4 en el 2016: en Latinoamérica existe una tendencia creciente a alinear la gestión de ciber riesgos y seguridad de la información con el proceso general de administración de riesgos de la organización. Este alineamiento es clave para que la inversión en seguridad de la información sea adecuadamente percibida por el negocio puesto que en los últimos dos años 4 de cada 10 organizaciones sufrieron una brecha de seguridad. Se han realizado trabajos relacionados con la implementación de SGSI en diferentes organizaciones, entre algunos destacados tenemos: ● Desarrollo de un Marco de Trabajo para la Gestión del SGSI en PYMES Desarrolladoras de Software en Bogotá Basado en la Metodología MGSMPYME. 5 Autores: Lorena Patricia Cardona Tovar, Alvaro Javier Ardila Garcia Resumen Desde la aparición de los sistemas de gestión de seguridad de la información a hoy se han presentado una gran variedad de metodologías, procesos, marco de referencia, entre ellos COBIT y la ISO 27001 que, aunque son modelos robustos y maduros, suponen una inversión cuantiosa y presentan dificultad al momento de querer ser implementado en una pyme, esto debido a que estos modelos en general han sido creados para empresas con mayor experiencia y capital para la implementación de estas. Estos modelos al ser aplicables para grandes empresas hacen que para poder realizar una implementación práctica en una pyme sea costosa y 4. («La Evolución de la Gestión de Ciber Riesgos y Seguridad de la Información | Deloitte Colombia | Riesgo», s. f.) 5 (Garcia, Javier, Tovar, & Patricia, 2016). 18.
(19) como se nombraba anteriormente la resistencia de este tipo de empresas al cambio empeora esta problemática. ● Desarrollo de un SGSI para los Colegios Profesionales en la Región Lambayeque. Caso de estudio: Colegio de Ingenieros 6 Autores: César Augusto Córdova Oblitas, Gustavo Alfredo Morales Cueva, José Antonio Samamé Martínez Resumen Los colegios profesionales (CP) son instituciones autónomas con personería jurídica de derecho público interno, sin fines de lucro, creadas por ley, agrupan a los profesionales en el ámbito de su jurisdicción. La problemática radica en la falta de seguridad de la información (SI) en la organización, en la actualidad la información es un activo clave para las empresas, sin embargo no se resguarda de manera adecuada para cumplir con los objetivos estratégicos de la organización. La información es parte principal en los procesos, servicios y tecnologías en el sector público o privado; sin importar el tamaño; es vital cumplir con las características de la SI: confidencialidad, integridad, disponibilidad (CID), en general se suele actuar de manera reactiva, desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI), permitirá actuar en forma proactiva ante eventos que afecten la SI. Se analizó enfoques de estándares para gestionar la SI (ISO 27000, COBIT, ITIL, MAGERIT). Como objetivos de esta investigación culturizar a la alta dirección sobre SI, analizarlas brechas, la identificación de los riesgos, identificar y evaluar los controles, y por último plantear los proyectos de SI; finalmente se hace uso de la norma ISO 27001 en la aplicación al caso: Colegio de Ingenieros del Perú (CIP), implicó gestión de riesgos (GR), identificación de controles, normas, políticas y mejoras en los procesos de negocio definidos en el documento de alcance. ● Diseño de un sistema de gestión de la seguridad informática – SGSI–, para empresas del área textil en las ciudades de Itagüí, Medellín y Bogotá D.C., a través de la auditoría7 Autores: Alexander Guzmán García, Carlos Alberto Taborda Bedoya Resumen 6 7. (Oblitas, Cueva, & Martínez, 2016) (UNAD, 2015). 19.
(20) Se desarrolla un sistema de gestión de la seguridad informática (SGSI) para empresas del sector textil de las Pymes en las ciudades de Medellín, Bogotá D.C. he Itagüí (Colombia): el diseño se elaborará basados en la norma ISO 27001, la cual provee prácticas apropiadas para el desarrollo e implementación de cada uno de sus componentes, estableciendo las fases, documentación y procedimientos requeridos y exigidos en el estándar para continuar con el diseño y ejecución del SGSI de manera adecuada. En consecuencia, se debe realizar un análisis cualitativo y cuantitativo de los riesgos, vulnerabilidades y amenazas que se presentan en una Pyme, las cuales al poseer recursos económicos limitados para inversiones de este tipo, no pueden implementar un sistema de seguridad robusto, razón por la cual se debe implementar un mecanismo que satisfaga las necesidades de las pequeñas empresas, en el cual cada uno de los componentes informáticos juega un papel importante para la permanencia en el mercado de éstas. Asimismo, se podrá salvaguardar el recurso más importante de la Pymes (datos – información), donde el diseño de un SGSI podrá proporcionar una metodología sencilla y muy completa para proteger cada uno de los activos informáticos y así establecer procesos de restauración y mitigación de riesgos, tomando las medidas correctivas y preventivas que sean necesarias. Finalmente, cuando se establece un sistema de seguridad de la información, se logra detallar cada uno de los componentes y elementos que se encuentran asociados a la Pyme y así tener un mayor control sobre cada uno de los activos informáticos, por consiguiente durante la permanencia en el tiempo, podrá adaptarse a las necesidades de las pequeñas empresas, donde el ciclo de Deming, detalla el proceso de mejora continua proporcionando una realimentación constante de cada uno de los procesos. Estos trabajos nos permiten evidenciar que la implementación de un SGSI debe tener en cuenta el tamaño de la organización, los procesos a incluir en el alcance de la norma, la criticidad de la información, la tecnología utilizada por la organización y las disposiciones legales a enfrentar.. 20.
(21) 1.8.. FACTIBILIDAD 1.8.1.. Factibilidad Técnica. La realización del presente proyecto requiere conocimientos y experiencia a nivel de seguridad de la información, aplicación de la norma NTC-ISO-IEC 27001:2013, MAGERIT, análisis de amenazas, gestión de riesgos y aplicación de medidas que permitan garantizar la confidencialidad, integridad y disponibilidad de la información en la organización. La base de estos conocimientos se encuentra en la formación profesional obtenida en el proyecto curricular de ingeniería en telemática de la U.D.F.J.C y las asesorías prestadas por los docentes de la universidad. 1.8.2.. Factibilidad Operativa. El proyecto será desarrollado por los estudiantes de la Universidad Distrital Francisco José de Caldas, del proyecto Ingeniería en Telemática, Luz Adriana Moyano Orjuela y Yasmin Elena Suárez Cárdenas, contando con la colaboración y asesoría del Ingeniero Jairo Hernández Gutiérrez. A nivel operacional el proyecto es viable gracias a que se cuenta con el personal requerido en condiciones óptimas para la elaboración de este. 1.8.3.. Factibilidad Legal. Desde el punto de vista metodológico, el proyecto se ampara en metodologías libres que no requieren de pagos a empresas por su implementación. Esto garantiza de facto que la organización del proyecto cuente con factibilidad legal desde el inicio. Tanto la NTC-ISO-IEC 27001:2013 y MAGERIT son instrumentos que facilitarán la ejecución del proyecto, servirán como guías de orientación para el plan de implementación del SGSI en la organización. Adicionalmente, se tiene presente las normativas que pueden ser susceptibles en el desarrollo de las actividades relacionadas con los objetivos del presente documento. Por lo tanto, se listan a continuación: ● Ley 1581 de 2012. Ley de protección de datos personales ● Ley 1273 “De la Protección de la información y de los datos”. 21.
(22) ● Decreto 1078 de 2015. “Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones” 1.8.4.. Factibilidad Económica. En la factibilidad económica del proyecto, se ha buscado que la organización posea los recursos necesarios para la implementación del SGSI, es importante recordar que el objetivo principal de dicha implementación es proteger la información de la empresa, por lo cual para el análisis de la factibilidad económica se tienen en cuenta los costos de implementación y mantenimiento del mismo. En la tabla que se presenta a continuación se identifican los costos de papelería, del hardware, del software y de los recursos humanos necesarios para la implementación del SGSI en la empresa I&S. La factibilidad económica del proyecto se dividió en tres aspectos: recursos humanos, recursos técnicos y otros recursos. Tabla 1 Factibilidad de recursos humanos. Tipo. Descripción. Valor Hora. Cantidad. Total. Tutor. Asesorías del tutor para la implementación del SGSI basado en la Norma ISO 27001:2013, referente a la metodología correspondiente.. $ 40.000 200horas. $ 8.000.000. Analistas Implementadores. Se necesitarán dos analistas que realicen la implementación del SGSI.. $ 20.000 8 horas semanales. $ 5.120.000. Total Recursos Humanos. $ 13.120.000. Fuente: Elaboración Propia. 22.
(23) Recursos Técnicos La empresa actualmente cuenta con recursos para la seguridad de la información que son parte del SGSI, como lo son: -. Antivirus Servidores (web y aplicaciones) Computadores Impresora. Tabla 2 Factibilidad Otros Recursos. Recurso. Descripción. Valor Unitario. Cantidad. Total. Capacitaciones. Capacitaciones para el uso del SGSI.. $300.000. 2. $600.000. Norma ISO 27001:2013. Material para capacitaciones y uso de la empresa.. $100.000. 1. $ 100.000. Papelería. Fotocopias, impresiones, resmas de papel y CDs.. $ 50.000. 1. $ 50.000. Total Otros Recursos. $ 750.000. Fuente: Elaboración Propia. Tabla 3 Factibilidad Económica Costo Total. Recurso Total Recursos Humanos Total Otros recursos Costos imprevistos (10%) TOTAL COSTO. Valor $ 13.120.000 $ 750.000 $ 1.387.000 $15.257.000. Fuente: Elaboración Propia. Teniendo en cuenta que la totalidad de los costos ya están solventados tanto por los realizadores del proyecto, como por la empresa Interfaces y Soluciones S.A.S, y se cuenta con los recursos necesarios, el proyecto es factible económicamente.. 23.
(24) 1.9.. CRONOGRAMA DE ACTIVIDADES. 24.
(25) 25.
(26) 2.. CAPÍTULO II. CONTEXTO ORGANIZACIONAL. En el presente capítulo se desarrolla el contexto de la organización, realizando el reconocimiento de ésta, así como un análisis para identificar el estado actual de la seguridad de la información en Interfaces y Soluciones S.A.S, con respecto a la norma ISO/IEC 27001:2013, donde se evalúa el cumplimiento de cada uno de los dominios descritos en dicha norma. 2.1.. RECONOCIMIENTO DE LA ORGANIZACIÓN. En el reconocimiento de la organización se realiza la descripción de la organización, detallando las actividades de la empresa, así como la estructura organizacional, adicional a esto se detalla la infraestructura actual de Interfaces y Soluciones, teniendo en cuenta la red de datos, los equipos, aplicaciones y servicios Cloud con los que la empresa cuenta en la actualidad. 2.1.1.. Descripción. Interfaces y Soluciones S.A.S es una empresa de desarrollo de software con sede en Bogotá y Medellín, que cuenta con 5 años en el mercado. Ha incursionado en el mundo de las integraciones y la creación de portales. Trabaja en conjunto con Siesa para ofrecer una herramienta tecnológica a sus clientes con el propósito de mejorar la calidad de los procesos dentro de las organizaciones. Las actividades de Interfaces y Soluciones comprenden el desarrollo, mantenimiento, depuración, documentación y estudio de los procesos de negocio de los clientes, para la migración de los diferentes sistemas hacia el ERP, así como las consultorías o entrenamientos que se requieren, brindando múltiples soluciones según las necesidades de los clientes. 2.1.2.. Estructura Organizacional. La estructura organizacional de Interfaces y Soluciones está dada de forma jerárquica. El rango de mayor autoridad se encuentra a cargo de la dirección comercial y de proyectos. Adicionalmente, existe personal asignado a gestión humana (encargados de caja, recibo y seguridad), líder de proyectos y coordinadores de proyectos en cada una. 26.
(27) de las sedes. En las que también se cuenta con analistas programadores y personal de soporte. Como se puede evidenciar en la Figura 1. Figura 1 Estructura Organizacional Director Comercial. Director de Proyectos Caja. Gestión Humana. Recibo. Seguridad. Coordinador Proyectos Medellín. Líder de Proyectos. Coordinador Proyectos Bogotá. Analista Programador 1. Soporte 1. Analista Programador 1. Analista Programador 2. Soporte 2. Analista Programador 2. Analista Programador 3. Analista Programador 3. Fuente: Elaboración Propia. 2.1.3.. Infraestructura. 2.1.3.1.. Red de Datos. Actualmente la red de datos de I&S es controlada por el proveedor de servicios de comunicaciones Claro, con una velocidad de 5MB, se cuenta con un Gateway MG6002N, proporcionado por el proveedor, el cual es un router inalámbrico que integra WIFI y VoIP; adicional soporta diferentes conexiones de red como lo son ASL/cable modem, 3G/WiMax modem y FTTH GEPON/PON. Las puertas de enlace VoIP de la serie MG 600 XN incluyen puertos FXS de 2/4/8 puertos VoIP con WiFi IEEE 802.1 b/g/n, proporcionando un servicio de datos de voz y ancho de banda flexible, conveniente y abundante. Esta red de datos funciona de manera independiente para las sedes de Bogotá y Medellín, contando con el mismo proveedor de servicios de comunicaciones.. 27.
(28) 2.1.3.2.. Equipos. A nivel de equipos en las dos sedes, se cuenta con el siguiente número de estaciones de trabajo: Tabla 4 Estaciones de Trabajo. Área Gerencia Administración Desarrollo Soporte Total. Bogotá. Medellín. 1. 1. N/A. 1. 5. 4. N/A 6. 3 9. Fuente: Elaboración Propia. Además, se cuenta con dispositivos de telefonía, impresoras y servidores que se listan en la próxima tabla. Tabla 5 Lista de Equipos. Equipo. Marca. Telefonía. Panasonic KX-UT123. Router inalámbrico. Gateway MG6002N. Servidor de correos Gmail empresarial Impresora Escáner. Epson Expression XP 231. Portátiles. Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM. Disco duro externo. Adata Hv620 Usb. Servidor pruebas SQL Server. Windows Server 2012 R2. Servidor pruebas Aplicación. Windows Server 2012 R2. Fuente: Elaboración Propia. 28.
(29) 2.1.3.3.. Aplicaciones. I&S utiliza diferentes herramientas tecnológicas para la gestión de sus operaciones, desarrollo de bases datos, integraciones, comunicación con clientes y administración de los proyectos laborales a cargo. En la próxima tabla se listan las aplicaciones que permiten las tareas anteriormente mencionadas. Tabla 6 Listado de Aplicaciones. Aplicación Siesa Cloud SBS Paquete Office Redmine Microsoft Windows Skype Visual Studio .NET. Tipo de aplicación Software ERP Herramienta de ofimática Organizativa Sistema operativo Comunicaciones Desarrollo. SQL Server. Bases de datos. Generic Transfer Integration. Sistema de integración. generictransfer.com Generador de planos. Comentarios Gestión de procesos Gestión de proyectos Comunicación interna y con clientes Desarrollo de aplicaciones Sistema de administración de bases de datos Servicio web para integrar sistemas automáticamente Página web para generación de planos. Fuente: Elaboración Propia. 2.1.3.4.. Servicios Cloud. Se cuenta con Azure como servicio en la nube, en el cual se encuentra alojado www.generictransfer.com, un aplicativo web que permite al personal crear archivos planos para la carga masiva de información a Siesa Enterprise, así como su respectiva base de datos, como contingencia se cuenta con Amazon, en caso de presentarse inconvenientes con la plataforma de Azure. Por otro lado se tiene Arvixe, el cual es utilizado para generar pruebas con los clientes, en caso que se requiera.. 29.
(30) 2.2.. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001. Entre los pasos iniciales para desarrollar el plan de implementación del SGSI basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño y mejoras, los cuales se convierten en elementos esenciales para actuar según la norma. En el Anexo A - “Diagnóstico Inicial” (disponible en el CD, ver pg. 92) se encuentra la encuesta aplicada a Interfaces y Soluciones S.A.S, la cual fue realizada a Jorge Luis Pérez, gerente de proyectos de la organización, sobre el cumplimiento de 106 ítems relacionados con los 14 dominios de seguridad que establece ISO/IEC 27001:2013. Las respuestas posibles están dadas por: NC, CP, CS. De acuerdo a la información que se presenta en la siguiente tabla: Tabla 7 Parámetros de respuesta a la encuesta. Sigla NC CP. CS. Estado de Evaluación NO CUMPLE. Descripción No existe y/o no se está haciendo Lo que la norma requiere (ISO/IEC 27001 versión 2013) se está haciendo de manera parcial, se está CUMPLE PARCIALMENTE haciendo diferente, no está documentado, se definió y aprobó pero no se gestiona CUMPLE SATISFACTORIAMENTE. Existe, es gestionado, se está cumpliendo con lo que la norma ISO/IEC 27001 versión 2013 solicita, está documentado, es conocido y aplicado por todos los involucrados en el SGSI cumple 100%. Fuente: AutodiagnosticoSGSI_v2_09072015. Tras el análisis se obtienen los siguientes resultados: Figura 2 Gráfico Resultado Evaluación inicial. 54 de los ítems evaluados no se cumplen. 41 de los ítems evaluados son cumplidos parcialmente. 11 de los ítems evaluados se cumplen satisfactoriamente. Fuente: Elaboración Propia. 30.
(31) Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013. ID. Dominio. CS. A5. Política de seguridad. A6. Organización de la SI. A7. Seguridad de los RRHH. A8. Gestión de activos. A9. Control de accesos. A10. Criptografía. A11. Seguridad física y ambiental. 2. A12. Seguridad en las operaciones. A13. Seguridad en las comunicaciones. A14. Adquisición de sistemas, desarrollo y mantenimiento. A15. Relación con proveedores. A16. Gestión de los incidentes de seguridad. A17. Continuidad del negocio. A18. Cumplimiento con requerimientos legales y contractuales. CP. 4. 6. 2. 3. 3. 8. 1. 4. 4. 9. 3. 3. 6. 6. 11. 18. 3. 3. 5. 3. 10. 1. 6. 4. 11. 1. 2. 3. 6. 6. 3. 9. 4. 4. 2. 6. 5. 5. 2. 5. 1. 3. 2 11. Ítems Evaluados. 2. 1. Suma total. NC. 1 41. 54. 106. Fuente: Elaboración Propia Figura 3 Gráfico Resultados Evaluación Inicial. La evaluación Inicial deja ver que gran parte de los elementos mínimos requeridos para el cumplimiento de la norma son inexistentes o se cumplen de forma parcial en Interfaces y Soluciones. A continuación, se describe dominio a dominio los hallazgos obtenidos por medio de la información entregada por el gerente de proyectos y algunos miembros de la organización.. Fuente: Elaboración Propia. 31.
(32) 2.2.1.. A.5 Política de seguridad.. Se busca que la dirección brinde orientación y soporte para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. Se observa que I&S tiene carencia documental de políticas, procedimientos y controles para garantizar la seguridad de la información. Figura 4 Evaluación Inicial A5. Fuente: Elaboración Propia. 2.2.2.. A.6 Organización de la seguridad de la información.. Se busca un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Se observa que I&S ha avanzado en la tarea de acuerdos de confidencialidad, la dirección junto con los miembros líder, intentan cambiar y mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y responsabilidades con respecto a la seguridad. Figura 5 Evaluación Inicial A6. Fuente: Elaboración Propia. 32.
(33) 2.2.3.. A.7 Seguridad de los RRHH.. Se busca garantías de que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. Debido a que no existe una definición clara de responsabilidades y roles de seguridad, como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias para proteger los intereses de la organización, principalmente, en los procesos de cambio o terminación de empleo y la detección de vulnerabilidades. Figura 6 Evaluación Inicial A7. Fuente: Elaboración Propia. 2.2.4.. A.8 Gestión de activos.. Se deben identificar los activos organizacionales y definir las responsabilidades de protección adecuadas asegurando que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. Se observa que I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no está totalmente actualizado y hacen falta procedimientos documentados y comunicados al personal para la clasificación de la información según su criticidad.. 33.
(34) Figura 7 Evaluación Inicial A8. Fuente: Elaboración Propia. 2.2.5.. A.9 Control de accesos.. Es de vital importancia limitar el acceso a información y a instalaciones de procesamiento de información asegurando el acceso de los usuarios autorizados y evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace uso de contraseñas como medida para restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de desarrollar políticas de control de accesos, gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han tomado medidas basadas en el sentido común. Sin embargo, no existe documentación formal y/o estandarizada. Figura 8 Evaluación Inicial A9. Fuente: Elaboración Propia. 2.2.6.. A.10 Criptografía.. Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para proteger la confidencialidad, autenticidad y/o la integridad de la información. Se. 34.
(35) observa que en I&S no existen procedimientos sobre el uso, protección y tiempo de vida de las llaves criptográficas. De hecho no existen controles criptográficos de forma que la información crítica puede verse expuesta fácilmente a amenazas de seguridad. Figura 9 Evaluación Inicial A10. Fuente: Elaboración Propia. 2.2.7.. A.11 Seguridad física y ambiental.. Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no autorizado, el daño y la interferencia a la información. No obstante, se aconseja tomar acciones específicas, documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización. Puesto que se evidencia falta de protección frente a fallos en la alimentación eléctrica, falta de seguridad en el cableado y no existen restricciones en el uso de equipos móviles. Figura 10 Evaluación Inicial A11. Fuente: Elaboración Propia. 35.
(36) 2.2.8.. A.12 Seguridad en las operaciones.. Con la seguridad en las operaciones se busca obtener operaciones correctas y seguras de las instalaciones de procesamiento de información. Aquí, se incluyen controles contra códigos maliciosos, respaldo de la información, separación de los ambientes de desarrollo, pruebas y operación, registro de eventos. De forma empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de cumplimiento parcial. Pero es necesario documentar y poner a disposición los procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se detecta problemas principalmente en: ● Implementación de logs para la detección y seguimiento a fallos. ● Ausencia de auditorías internas y/o externas. ● Falta de controles para la gestión de medios informáticos (cintas, discos, removibles, informes impresos). Figura 11 Evaluación Inicial A12. Fuente: Elaboración Propia. 2.2.9.. A.13 Seguridad en las Comunicaciones.. El nivel de preocupación por asegurar la protección de la información en las redes y la transferencia de información en I&S se ha enfocado en la implementación de medidas para proteger la confidencialidad e integridad de información publicada y acuerdos para intercambio de información y software con los clientes. Sin embargo, se encuentran falencias en cuanto al control de las redes y transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan las vulnerabilidades existentes. 36.
(37) Figura 12 Evaluación Inicial A13. Fuente: Elaboración Propia. 2.2.10.. A.14 Adquisición mantenimiento.. de. sistemas,. desarrollo. y. El personal de I&S ha implementado tareas correspondientes a los procesos de adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común. Aunque, no hay comunicación formal de procedimientos estandarizados. Con las tareas realizadas se busca garantizar la seguridad de la información durante todo el ciclo de vida de los sistemas de información pero se requiere establecer y aplicar reglas para el desarrollo de software y de sistemas, junto con, la documentación, supervisión y seguimiento a las aplicaciones críticas del negocio. Figura 13 Evaluación Inicial A14. Fuente: Elaboración Propia. 2.2.11.. A.15 Relación con proveedores.. 37.
(38) En I&S la relación con los proveedores se ha basado en una confidencialidad asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se estipulen todos los requisitos de seguridad de la información pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización. En este punto es indispensable asegurar la protección de los activos de la organización que sean accesibles a los proveedores y mantener el nivel acordado de seguridad de la información y de prestación del servicio alineado con los acuerdos que corresponden a los proveedores. Figura 14 Evaluación Inicial A15. Fuente: Elaboración Propia. 2.2.12.. A.16 Gestión de los incidentes de seguridad.. La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir responsabilidades y procedimientos que faciliten la evaluación de tales eventos y decisiones sobre ellos. Adicionalmente, no se encuentra con una gestión de incidentes adecuada que incluya la recolección de evidencia y que permita reducir la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.. 38.
(39) Figura 15 Evaluación Inicial A16. Fuente: Elaboración Propia. 2.2.13.. A.17 Continuidad del negocio.. En este dominio se hace necesario planificar, implementar, verificar, revisar y evaluar la continuidad de la seguridad de la información. I&S debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa puesto que en la encuesta realizada no se muestra evidencia de la existencia de los elementos esenciales para ello. Figura 16 Evaluación Inicial A17. Fuente: Elaboración Propia. 2.2.14.. A.18 Cumplimiento contractuales.. con. requerimientos. legales. y. Con el propósito de evitar el incumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con seguridad de la información I&S ha optado por tomar medidas parciales como el resguardo de la propiedad intelectual y de los registros de la organización: los documentos físicos están bajo llave en zonas seguras y solo pueden ser accedidos por personal. 39.
(40) autorizado. Sin embargo, la ausencia de políticas de seguridad, controles criptográficos y conformidades técnicas crean un estado de incertidumbre con respecto al cumplimiento de políticas y normas de seguridad incluyendo la privacidad y protección de los datos. Figura 17 Evaluación Inicial A18. Fuente: Elaboración Propia. Tras el análisis completo de los diferentes dominios se encontró que de un total de 106 ítems, 54 de estos no se cumplen, 41 se cumplen parcialmente y 11 se cumplen satisfactoriamente. En lo que respecta a las políticas de seguridad no se cuenta con la documentación necesaria relativa a los procedimientos y controles que ayuden a garantizar la seguridad de la información, con un 66,7 % de no cumplimiento y un 33,3 % de cumplimiento parcial; por otro lado, se realizó el análisis de la seguridad de la información en la organización, lo cual se cumple satisfactoriamente en un 25 %, mientras que se observa un 37,5 % que no se cumple y/o se cumple parcialmente, puesto que se cuenta con acuerdos de confidencialidad, sin embargo, no se tiene una claridad en los roles para el control adecuado de la operación de la seguridad. Adicional se observa que la seguridad de los RRHH solo se cumple satisfactoriamente en un 44,4 %, puesto que no se cuenta con un control adecuado en los procesos referentes a terminación de contratos y la detección de vulnerabilidades; en la gestión de activos se puede observar, que aunque se ha trabajado en el inventario de activos, este no se encuentra actualizado en su totalidad y así mismo no se tienen procedimientos para la clasificación de la información teniendo en cuenta su criticidad, contando con un 50 % de cumplimiento parcial y 50 % que no se cumplen.. 40.
(41) En el control de accesos únicamente se observa un 5,6 % de cumplimiento satisfactorio, un 33,3 % de cumplimiento parcial y un 61,1 % de no cumplimiento, puesto que se cuenta con el uso de contraseñas, sin embargo, no se cuenta con documentación formal; mientras que en lo que respecta a la criptografía se observa un 100 % de no cumplimiento, ya que no existen procedimientos en todo lo relacionado al uso de las llaves criptográficas. En la seguridad física y ambiental no se cuenta con una protección completa en la alimentación eléctrica, lo que evidencia falta de seguridad en el cableado y restricción en el uso de los equipos móviles; así mismo se detectan falencias en la seguridad en las operaciones, puesto que no se cuenta con logs y/o controles en la gestión de medios informáticos. En la relación con los proveedores no se cuenta con un control adecuado referente a los requisitos de seguridad, teniendo en cuenta toda la comunicación, para el aseguramiento de la protección de los activos; así como en la gestión de los incidentes de seguridad no se cuenta con una correcta gestión, para la recolección de evidencia. Según el análisis realizado, se observa a nivel general, que se requiere una intervención inmediata a nivel de los dominios relacionados con políticas de seguridad, continuidad del negocio, criptografía y relación con los proveedores, puesto que son los que tienen mayor índice de incumplimiento con la norma y afectan la seguridad de la información que se requiere.. 41.
(42) 3.. CAPÍTULO III. GESTIÓN DE RIESGOS. El presente capítulo describe la metodología a utilizar para la gestión de riesgos, con el fin de que los órganos de gobierno tomen decisiones correctas según los riesgos derivados de las tecnologías de la información, así como el inventario de activos de la organización y la valoración de estos, teniendo en cuenta la confidencialidad, integridad y disponibilidad de la información, realizando de esta forma el análisis de amenazas y la valoración de los riesgos, estimando así los riesgos a los que se puede encontrar expuesta la organización. 3.1.. METODOLOGÍA. Como metodología para la gestión de riesgos en el plan de implementación del SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información8. MAGERIT presenta los siguientes objetivos: Directos: 1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: 4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. 3.2.. INVENTARIO DE ACTIVOS. Para empezar con la gestión de riesgos se requiere un inventario de activos. Los activos son componentes o funcionalidades de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos9. A continuación, se presenta un fragmento de los activos 8. PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información 9. [UNE 71504:2008] 42.
(43) identificados en Interfaces y Soluciones, el listado completo de activos se encuentra en el Anexo B - “Informe de Hallazgos” (disponible en el CD, ver pg. 92). Tabla 9 Listado de activos (Fragmento). ID. Tipo. Activo. Descripción. ACT_0001 Comunicaciones Internet. Navegador: Chrome Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos Servicio contratado con Claro: 5 Megas. ACT_0002 Comunicaciones Intranet. cableado categoría 5E Router suministrado por Claro, sin configuraciones adicionales a las por defecto. ACT_0003 Comunicaciones Telefonía. Panasonic KX-UT123. ACT_0004 Datos. Backups. Se realizan backups manuales de: - BD GTIntegration (base de datos sistema de integración) - BDI (base de datos intermedia) - Satélites (código fuente) - Generic Transfer Integration (sistema de integración) - Ejecutables y archivos de configuración. ACT_0005 Datos. Código fuente aplicaciones de planta y administrativas. Código en Visual Basic .NET de: - Script estructura GTIntegration - Script datos GTIntegration - Ejecutables y archivos config de los satélites/aplicativos. Bases de datos corporativas. Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores - Modelo entidad relación Siesa - Programas - Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites.. ACT_0006 Datos. 43.
(44) ACT_0007 Hardware. Router Inalámbrico. Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port. ACT_0008 Hardware. Servidor de Correos. Gmail empresarial. ACT_0009 Hardware. Servidor para pruebas de BD. opera con Windows Server 2012 R2. ACT_0011 Hardware. Portátiles. Funcionan como estaciones de trabajo para el área de tecnologías de la información.Los equipos son de las siguiente marcas:- Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM- Notebook HP 14-v007la - AMD A105745M APU - 8 Gigas RAM- Notebook HP x64based PC - AMD A10-7300 - 12 Gigas RAM. ACT_0012 Hardware. Unidades de CD , DVD y Memorias extraíbles. ACT_0013 Hardware. Discos duros de servidores y estaciones de trabajo Con información correspondiente a: - Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI 8 tomas. Con autonomía de 5 a 20 min Da soporte a 5 equipos.. ACT_0014 Hardware. Discos externos. ACT_0015 Hardware. UPS. ACT_0016 Instalaciones. Sedes de operación. Cuenta con dos sedes: - Bogotá - Medellín. ACT_0017 Instalaciones. Sala eléctrica. Cuarto de suministro eléctrico del edificio. ACT_0018 Instalaciones. Sistema de aire acondicionado. Perteneciente al edificio donde funcionan las oficinas de la organización. ACT_0019 Instalaciones. oficinas. Ubicadas en el 2 piso del edificio. Recursos ACT_0020 Humanos. Dirección. Se cuenta con: - Director comercial - Director de proyectos - Administración. ACT_0025 Software. Bases de datos: SQL server 2014 Management Studio Fuente: Elaboración Propia. 44.
(45) 3.3.. VALORACIÓN DE ACTIVOS. Siguiendo la metodología se define una tabla de valoración de activos que depende de tres dimensiones de gran importancia para la seguridad de la información, las cuales son: confidencialidad, integridad y disponibilidad. 3.3.1. Confidencialidad La confidencialidad se refiere a que la información debe llegar únicamente a las personas autorizadas. Esta es definida según las características de la información gestionada y procesada por el activo. Para la presente valoración se toma en cuenta los siguientes criterios de clasificación. Tabla 10 Criterios de valoración de Confidencialidad. Escala de Valoración. 3. 2. 1. 0. Valor. Confidencialidad El activo gestiona y/o procesa Información Reservada, su uso inadecuado puede generar consecuencias graves para la organización.. Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.. El activo gestiona y/o procesa Información Clasificada, su uso inadecuado puede generar medianas consecuencias a la organización, como por ejemplo, reclamaciones de las áreas que soporta.. Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.. El activo gestiona y/o procesa Información Pública, no genera consecuencias negativas para la organización.. Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.. Activos de Información que deben ser incluidos No en el inventario y que Clasificada aún no han sido clasificados.. Deben ser tratados como activos de INFORMACIÓN RESERVADA hasta el momento en que se defina una valoración entre la escala del 1-3 definida.. Alto. Medio. Bajo. Fuente: Elaboración Propia basado en Guía para la gestión y clasificación de activos MinTic. 45.
Figure
+7
Documento similar