• No se han encontrado resultados

Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para las empresas dedicadas a la logística en mensajería

N/A
N/A
Protected

Academic year: 2020

Share "Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para las empresas dedicadas a la logística en mensajería"

Copied!
100
0
0

Texto completo

(1)DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LAS EMPRESAS DEDICADAS A LA LOGISTICA EN MENSAJERIA. FRANCISCO LEONARDO MIRANDA RODRIGUEZ ANA LUISA VILLAMIL MARTÍN. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLOGICA INGENIERIA TELEMATICA BOGOTÁ 2017.

(2) DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LAS EMPRESAS DEDICADAS A LA LOGISTICA EN MENSAJERIA. FRANCISCO LEONARDO MIRANDA RODRIGUEZ CODIGO: 20142678042 ANA LUISA VILLAMIL MARTÍN CODIGO: 20151678015. Trabajo de grado presentado como requisito para optar al título de: INGENIERO TELEMÁTICO. Tutor: ING. MIGUEL ANGEL LEGUIZAMON PAEZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLOGICA INGENIERIA TELEMATICA BOGOTÁ 2017.

(3) Nota de Aceptación. Ing. Miguel Ángel Leguizamón Páez Tutor Proyecto. Ing. Jairo Hernández Gutiérrez Jurado.

(4) Bogotá D.C. 24 de Octubre de 2017. Dedicamos este proyecto a nuestros familiares y amigos que nos brindaron el apoyo necesario durante su realización..

(5) AGRADECIMIENTOS. Este proyecto se logró desarrollar con la generosa colaboración de muchas personas a quienes expresamos nuestro agradecimiento. Deseamos extender nuestro gran sincero agradecimiento a: . Al Ing. Miguel Ángel Leguizamón Páez, Tutor de este proyecto de grado, por el apoyo ofrecido durante todo este tiempo y permitirnos aprender cada día grandes y pequeñas enseñanzas que quedan para nuestro conocimiento, mente y corazón..

(6) TABLA DE CONTENIDO LISTA DE FIGURAS ........................................................................................ 5 LISTA DE TABLAS .......................................................................................... 6 RESUMEN ........................................................................................................ 1 ABSTRACT ...................................................................................................... 2 INTRODUCCIÓN .............................................................................................. 3 1. ORGANIZACIÓN, DEFINICIÓN Y ANÁLISIS ............................................. 4 1.1.. TEMA ...................................................................................................... 4. 1.2.. TÍTULO ................................................................................................... 4. 1.3.. OBJETIVOS ............................................................................................ 4. 1.3.1.. Objetivo General ............................................................................................. 4. 1.3.2.. Objetivos Específicos ..................................................................................... 4. 1.4.. PLANTEAMIENTO DEL PROBLEMA ................................................... 5. 1.5.. FORMULACIÓN DEL PROBLEMA ....................................................... 6. 1.6.. JUSTIFICACIÓN .................................................................................... 6. 1.7.. MARCO DE REFERENCIA. ................................................................... 7. 1.7.1.. MARCO TEÓRICO ......................................................................................... 7. 1.7.1.1.. Vulnerabilidad Informática ....................................................................... 7. 1.7.1.2.. Amenazas Informáticas ........................................................................... 8. 1.7.1.3.. Riesgos Informáticos ............................................................................. 10. 1.7.1.4.. Seguridad de la información ................................................................. 11. 1.8.. ESTADO DEL ARTE ............................................................................ 17. 1.9.. METODOLOGÍA ................................................................................... 19. 1.10.. ALCANCES Y DELIMITACIONES .................................................... 24. 1.10.1.. ALCANCE ................................................................................................. 24. 1.10.2.. DELIMITACIONES .................................................................................... 24. 1.10.2.1.. Técnica .................................................................................................. 24. 1.10.2.2.. Tiempo ................................................................................................... 24. 1.10.2.3.. Geográfica ............................................................................................. 24. 1.11.. FACTIBILIDAD .................................................................................. 24. 1.11.1.. FACTIBILIDAD TÉCNICA ......................................................................... 24.

(7) 1.11.2.. FACTIBILIDAD DE OPERACIONES ........................................................ 25. 1.11.3.. FACTIBILIDAD ECONÓMICA .................................................................. 26. 1.12. 2.. CRONOGRAMA ................................................................................ 27. ANÁLISIS DE LA SITUACIÓN ACTUAL .................................................. 28. 2.1.. Aspecto Comercial ............................................................................. 29. 2.2.. Manejo de la Seguridad ..................................................................... 29. 2.3.. Diagnóstico de la situación actual ................................................... 30. 3. IDENTIFICACIÓN DE ACTIVOS ............................................................. 32 3.1. Identificación De Los Activos Presentes En Las Empresas De Mensajería ..................................................................................................... 32 3.2.. Análisis de Activos de Apoyo Logístico en Mensajería ................ 34. 3.3.. Servicios ofrecidos por ALM ............................................................. 35. 3.4.. Aplicativos Utilizados en ALM .......................................................... 35. 3.5.. Valoración De Activos ........................................................................ 37. 3.5.1.. Identificación e importancia de las Vulnerabilidades ................................... 46. 3.5.1.1.. Infraestructura. ...................................................................................... 47. 3.5.1.2.. Financiera .............................................................................................. 48. 3.5.1.3.. Prestación en el Servicio ....................................................................... 49. 3.5.1.4.. Operación A nivel de la entrega de la correspondencia. ...................... 50. 3.5.1.5.. Equipos Informáticos ............................................................................. 51. 3.5.1.6.. Comunicaciones .................................................................................... 52. 3.5.1.7.. Manejo De personal .............................................................................. 53. 3.5.1.8.. Caracterización y valoración de las amenazas .................................... 54. 3.6.. Identificación y valoración de las amenazas .................................. 55. 3.7.. Riesgos ................................................................................................ 62. 3.8.. Evaluación De riesgos ....................................................................... 66. 3.9.. Tratamiento de los riesgos ................................................................ 69. 3.9.1.. Selección De Controles ................................................................................ 69. 3.9.1.1.. Barracuda Spam Firewall 300 ............................................................... 70. 3.9.1.2.. Lector de tarjetas OMNIKEY® 5427CK de HID Global ........................ 72. 3.9.1.3.. Tarjetas de acceso iCLASS - Credenciales - 200x .............................. 73. 3.9.1.4.. Circuito cerrado de televisión (Cámaras de Seguridad y DVR) ........... 74. 3.9.1.5.. Extintores ............................................................................................... 75.

(8) 3.9.1.6.. Eset Endpoint Antivirus ......................................................................... 76. 3.9.1.7.. Control de acceso y privilegio de usuarios mediante Protocolo LDAP 78. 3.9.1.8.. Sistema de Administración de Contraseñas ......................................... 79. 4. POLÍTICAS DE SEGURIDAD ................................................................. 80 4.1.. Política de Seguridad en la Información.......................................... 80. 4.2.. Política de Mantenimiento de equipos de Computo ...................... 80. 4.3.. Política de Acceso a los equipos locales ........................................ 81. 4.4.. Política de acceso a la red corporativa. .......................................... 81. 4.5.. Política de Instalación de aplicativos. ............................................. 82. 4.6.. Política de Auditoría de Software ..................................................... 82. 4.7.. Política aplicada al software Desarrollado por la compañía......... 82. 4.8.. Política de Acceso a Áreas restringidas ......................................... 83. 4.9.. Política Para traslado de equipo a otra área ................................... 83. 4.10.. Planes De Mejoramiento ................................................................. 84. 4.11. Planes De Acción Para Hacer Cumplir Y Verificar Las Políticas Del Sgsi .......................................................................................................... 85 5. MÓDULO WEB ........................................................................................ 86 6. CONCLUSIONES .................................................................................... 88 7. BIBLIOGRAFIA ....................................................................................... 89.

(9) LISTA DE FIGURAS Figura 01. Cronograma .................................................................................... 27 Figura 02. Firewall Barracuda .......................................................................... 70 Figura 03. Lector de tarjetas OMNIKEY® 5427CK .......................................... 72 Figura 04. Tarjeta de acceso iClass 200x ........................................................ 73 Figura 05. Circuito cerrado de Televisión. ........................................................ 74 Figura 06. Extintor ........................................................................................... 75 Figura 07. Antivirus Eset .................................................................................. 76 Figura 09. Pantalla Inicio ................................................................................. 86 Figura 10. Pantalla SGSI ................................................................................. 87 Figura 11. Pantalla Informes ............................................................................ 87.

(10) LISTA DE TABLAS Tabla 1. Factibilidad Económica Fuente: autores ............................................ 26 Tabla 2. Diagnóstico de la situación actual ...................................................... 31 Tabla 3. Escala de valoración ........................................................................ 39 Tabla 4. Listado de tipo de activo................................................................... 40 Tabla 5. Relación de escalas y valoraciones con base a las necesidades generales de empresas de mensajería. ........................................................... 44 Tabla 6. Relación de escalas ........................................................................... 46 Tabla 7. Evaluación de vulnerabilidades .......................................................... 46 Tabla 8. Relación de escalas.......................................................................... 47 Tabla 9. Vulnerabilidades en el análisis hecho por el área financiera .............. 48 Tabla 10. Prestación en el Servicio .................................................................. 49 Tabla 11. Operación A nivel de la entrega de la correspondencia ................... 50 Tabla 12. Equipos Informáticos........................................................................ 51 Tabla 13. Comunicaciones .............................................................................. 52 Tabla 14. Manejo De personal ......................................................................... 53 Tabla 15. Degradación de Amenazas .............................................................. 54 Tabla 16. Frecuencia de Amenazas. ............................................................... 55 Tabla 17. Amenazas de Infraestructura ........................................................... 56 Tabla 18. Amenazas Financieras..................................................................... 57 Tabla 19. Amenazas de Prestación en el Servicio ........................................... 58 Tabla 20. Amenazas Operación de mensajería ............................................... 58 Tabla 21. Amenazas en Equipos Informáticos ................................................. 60 Tabla 22. Amenazas en Comunicaciones ........................................................ 61 Tabla 23. Amenazas en el Personal ................................................................ 61 Tabla 31. Matriz de priorización ....................................................................... 63 Tabla 32. Consenso de riesgos. ...................................................................... 66 Tabla 33. Criterios de evaluación de riesgo. .................................................... 66 Tabla 34. Vulnerabilidades Prestación en el Servicio....................................... 69.

(11) RESUMEN. La implementación de los sistemas de información en la industria colombiana cada día es más frecuente, por lo que son vulnerables a amenazas que pueden llegar a convertirse en riesgos que afectan los activos más importantes. En este documento se propone el diseño de un Sistema de Seguridad de la Información enfocado y adaptado a las necesidades de las empresas de mensajería, buscando de esta forma establecer estándares de manejo de la información e implementación de políticas de seguridad.. Para esta. implementación se tomará como modelo la empresa Apoyo Logístico en Mensajería ALM la cual busca implementar un SGSI que le permita mejorar sus procesos.. 1.

(12) ABSTRACT. The implementation in the Colombian industry of the information systems every day is more frequent, reason why they are vulnerable to threats that can become to become risks that affect the most important assets of the companies as the information is. This document proposes the design of an Information Security System focused and adapted to the needs of the messaging companies, seeking in this way to establish standards of information management and implementation of security policies. For this implementation will take as a model the company Apoyo Logístico en Mensajería ALM which seeks to implement an SGSI that allows it to be certified.. 2.

(13) INTRODUCCIÓN. Con el constante avance en la tecnología y la gran cantidad de recursos disponibles en la red que pueden suplir o mejorar necesidades de personas y/o empresas, se requiere adaptarse a la implementación de estos avances, con el fin de optimizar procesos que permitan tener mayor rendimiento y productividad. Sin embargo, en este entorno de evolución, se encuentran amenazas recurrentes, ya sean ataques cibernéticos, robo o alteración de información, que hacen ver la obligación de implementar mecanismos y controles que permitan garantizar la confidencialidad, integridad y disponibilidad de la información.. El principal activo de las empresas de mensajería es el manejo de la información que se encuentra en sus bases de datos, lo cual se debe preservar y mantener un correcto manejo, lo que implica tener una gestión óptima en los recursos tecnológicos y humanos. Para lo cual se busca realizar un estudio preliminar del nivel de seguridad de la información y de los activos de la empresa, que permitan detectar las amenazas, riesgos y principales debilidades a las que la información se encuentre expuesta.. Es necesario crear un sistema de gestión de seguridad de la información que permita proteger, administrar y optimizar los recursos informáticos de la compañía, con la finalidad de mejorar los procesos productivos de la entidad. Este sistema debe ser de amplio conocimiento para toda la organización, garantizando la correcta implementación del mismo.. El resultado final es este documento, el cual explica de manera detallada su implementación de la mano con el ciclo PHVA y la metodología MAGERIT, permitiendo que las empresas de mensajería moldeen y mejoren sus objetivos, políticas y valores planteados.. 3.

(14) 1. ORGANIZACIÓN, DEFINICIÓN Y ANÁLISIS 1.1. TEMA. El proyecto concentra sus esfuerzos en la creación de una propuesta para el diseño de un Sistema de Gestión de Seguridad de la Información SGSI con el cual se busca facilitar y agilizar los procesos en empresas de Logística en Mensajería.. 1.2. TÍTULO. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. (SGSI). PARA. LAS. EMPRESAS. DEDICADAS. A. LA. LOGISTICA EN MENSAJERIA. 1.3. OBJETIVOS 1.3.1. Objetivo General. Diseñar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001, que permita minimizar los riesgos a los que están expuestos los activos de información de las empresas dedicadas a la logística en mensajería.. 1.3.2. Objetivos Específicos ● Analizar la situación actual de seguridad de las organizaciones con el levantamiento de información. ● Identificar y valorar los activos informáticos en empresas de mensajería. ● Conocer, definir y dimensionar los riesgos a los que está expuesta la organización a nivel de manejo de la información. ● Crear un documento guía para facilitar el direccionamiento de las normas y políticas del SGSI ● Desarrollar un módulo web que permita llevar el control de los activos informáticos.. 4.

(15) 1.4. PLANTEAMIENTO DEL PROBLEMA. Empresas dedicadas a la logística en mensajería relacionada con recibos de servicios públicos, entrega de tarjetas de crédito, boletería de eventos, campañas en telemercadeo, entre otras. El constante crecimiento de la compañía requiere que su tecnología avance a la par con las necesidades que se presenten, pero acompañado de su constante crecimiento se han presentado problemas con el manejo de la información de los clientes que reposan en las bases de datos de la compañía, lo que ocasiona la pérdida de información, envío de correspondencia a lugares incorrectos, alteración de información que debe ser tratada como confidencial trocado de direcciones en las guías, duplicidad y redundancia de información en la base de datos, con la necesidad de solicitar a los clientes la reimpresión de los documentos por parte de entidades bancarias y demás clientes.. Puesto que no se dispone de procedimientos, normativas o políticas de manejo de la información, se tiene una alta probabilidad que se generen errores humanos y/o del sistema, que se puede ver reflejada en la redundancia en la información, duplicidad de tablas en las bases de datos, alteración y acceso a la información sin previa autenticación, riesgos en el deterioro o manipulación del cableado estructurado que no presenta protección, entre otras causas. La información almacenada en las bases de datos se convierte en uno de sus principales activos para lo cual se debe hacer un análisis profundo de la existencia o nivel de madurez de la seguridad de la información presentes en la actualidad, dependiendo de esta evaluación preliminar se define los puntos más críticos presentes y se contemplan las alternativas que se deben emplear para subsanar esas vulnerabilidades. Es de principal importancia resaltar que al no tener un sistema de gestión de seguridad de la información que trabaje en mejora de los procesos presentes en la compañía, a largo plazo se pueden presentar mayores inconvenientes y considerables fallas en la ejecución sistemática de los procesos generando retrasos en la operación y la prestación de los servicios.. 5.

(16) 1.5. FORMULACIÓN DEL PROBLEMA ¿De qué manera aportar en la mejora de los procesos y la seguridad de la información al interior de las empresas dedicadas a la logística en mensajería?. 1.6. JUSTIFICACIÓN La información almacenada en las bases de datos se convierte en uno de los principales activos para lo cual se debe hacer un análisis profundo de la existencia o nivel de madurez de la seguridad de la información, dependiendo de esta evaluación preliminar se definen los puntos más críticos presentes y se contemplan las alternativas que se deben emplear para subsanar esas vulnerabilidades. La principal importancia es resaltar que, al no tener un sistema de gestión de seguridad de la información en los procesos de la compañía, a largo plazo se pueden presentar mayores inconvenientes y considerables fallas en la ejecución sistemática de los procesos, generando retrasos en la operación y la prestación de los servicios. El diseño de un Sistema de Gestión de Seguridad de la Información adaptado a las empresas enfocadas en el manejo de procesos logísticos y de mensajería permitirá subsanar y gestionar de manera más eficiente los riesgos que se presentan a diario, generando de esta forma mayor confianza en los clientes que es importante para el progreso de la compañía.. 6.

(17) 1.7. MARCO DE REFERENCIA. 1.7.1. MARCO TEÓRICO Para las organizaciones la información se ha convertido en uno de los activos más valiosos, es por esto que se deben implementar técnicas que permitan la mayor eficiencia en sus operaciones, no solo de tipo tecnológico, como lo es la seguridad de sus bases de datos, la administración de direcciones de envío, la zonificación del correo y la gestión de la información en los procesos de telemercadeo, sino que se debe complementar con la capacitación de los empleados de la compañía, al igual que la contratación de personal calificado, infundiendo un alto grado de pertenencia por la institución, que debe ser conformado por valores éticos y profesionales.. 1.7.1.1.. Vulnerabilidad Informática. Vulnerabilidad Posibles comportamientos y características que se pueden convertir en una potencial amenaza, por lo cual es necesario actuar ante la presencia de una amenaza o daño. Se es vulnerable a cualquier evento, ya sea de manera interna o externa, pero si se aplica de manera correcta los controles establecidos es posible reducir considerablemente que estas se materialicen. Los tipos de vulnerabilidades más frecuentes en empresas de mensajería son:. a. Vulnerabilidad del hardware. Hace referencia a las probabilidades de que se presente alguna falla ya sea por deterioro o por causas externas que afecten al hardware, como por ejemplo catástrofes naturales, incendios, inundaciones, o incluso la mala manipulación.. b. Vulnerabilidad del software Son puntos débiles que se encuentran en el sistema, los cuales se pueden materializar y convertir en potenciales amenazas que afectan el correcto funcionamiento de los aplicativos, pueden provocar eliminación o modificación de la información, ya sea por la manipulación del código fuente o por brechas que permitan la alteración y correcta operación lógica del software.. 7.

(18) Adicional se pueden presentar vulnerabilidades externas al factor informático, afectándolo de manera directa o indirecta, convirtiéndose en un punto de valor importante a la hora de evaluar falencias dentro de una compañía.. c. Vulnerabilidad humana Las vulnerabilidades de tipo humano radican en la falta de conocimiento sobre la manipulación, tratamiento y manejo de los procesos para la protección de los datos, acceso completo a la parametrización de aplicativos, permitiendo que cualquier rol que se desempeñe en la compañía, tenga el mismo nivel de seguridad lo cual no es conveniente.. d. Vulnerabilidad natural Este tipo de vulnerabilidades están relacionadas con los factores que se pueden presentar en el medio ambiente o algún desastre natural, los cuales pueden ocasionar daños irremediables, tanto en infraestructura como en los activos físicos de la compañía.. La evolución de las vulnerabilidades se puede convertir en amenazas, a las que se les debe poner mayor atención puesto que son efectos inminentes a un riesgo potencial.. 1.7.1.2.. Amenazas Informáticas. Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas de información Las amenazas a los sistemas de información están presentes cada vez que se interactúa con los mismos, por lo tanto, los tipos de amenazas según el efecto causado en el sistema a tener en cuenta son los siguientes: ●. Intercepción: Es cuando un hacker o grupo de personas, logran ingresar a. los. autorización. sistemas para. de. escuchar, visualizar. información y. copiar. confidenciales de las empresas, organizaciones y/o Pymes.. 8. sin archivos.

(19) ●. Modificación: Es cuando un hacker o grupo de personas, han logrado ingresar al sistema de información y además pueden modificar los archivos y/o líneas de código del software para ocasionar pérdida de información, mal funcionamiento de los equipos de cómputo o programar cambios en los contenidos de las bases de datos.. ●. Interrupción: La interrupción se da cuando los sistemas de información son saturados por medio de inyección SQL, código malicioso, virus, troyanos, gusanos y todas las aplicaciones que pueden ocasionar entorpecimiento en el sistema de información para un mal funcionamiento.. ●. Generación: La generación de amenazas se da cuando se añade información. en. las. bases. de. datos, registros. y. programas. confidenciales, ocasionando daños internos y externos en los equipos de cómputo y prestación del servicio, ya que introduce mensajes no autorizados en cada uno de los comandos, registros y datos requeridos para un buen funcionamiento. ●. Amenazas Involuntarias: Las que. se. mínimas. amenazas. involuntarias. son. aquellas. producen por desconocimiento sobre las medidas de seguridad que. se. deben. tener. cualquier tipo de información, asimismo los. al. manipular. casos más. comunes. se encuentran en la eliminación de archivos básicos del sistema sin darse cuenta,. dejar. la. contraseña. de. acceso en lugares visibles o simplemente no bloquean el equipo cuando salen de la oficina o se desplazan a otro lugar por alguna razón. ●. Amenazas Naturales o Físicas: Las amenazas naturales son aquellas que se producen por los efectos naturales y cambios ambientales en el entorno, ocasionando un desastre tales como el polvo, las inundaciones, terremotos, etc.. ●. Amenazas Intencionadas: Las amenazas intencionadas son aquellas en la cual un grupo de hackers o una sola persona quiere conocer, modificar, eliminar y/o robar información para sus fines personales.. 9.

(20) 1.7.1.3.. Riesgos Informáticos. Los riesgos informáticos son problemas inminentes, que pueden afectar los sistemas de información, aplicativos y hardware de la compañía, si no se tienen medidas adecuadas para el manejo de datos a nivel de su seguridad, las vulnerabilidades y amenazas pueden llegar a convertirse en cualquier momento en riesgos. ●. Riesgos de integridad: Son aquellos que afectan directamente la parametrización y el funcionamiento lógico de los aplicativos de la entidad, los cuales pueden alterar la información almacenada en la nube o en servidores situados en la compañía.. ●. Riesgos de relación: Ejecutar e implementar de manera asertiva la toma de decisiones con base al comportamiento de la información, para evitar gastos innecesarios o movimientos en la operación que no requieran tanto esfuerzo.. ●. Riesgos de acceso: Son aquellos que, por una mala parametrización en sus sistemas de seguridad pueden permitir que algún hacker o usuario sin permisos autorizados, pueda acceder a los datos y afectar la integridad y confidencialidad de la información. ●. Riesgos de utilidad: Estos riesgos se presentan cuando no se tiene en cuenta un plan de contingencia adecuado a nivel de bases de datos, aplicaciones e infraestructura, o cuando se salvaguardan los backups en el mismo edificio de operaciones.. ●. Riesgo de infraestructura: Son aquellos en los cuales no se cuenta con un soporte estructural que se adapte a las necesidades técnicas y tecnológicas de la compañía a la hora de enfrentar alguna eventualidad a nivel estructural o en sus sistemas de información.. 10.

(21) 1.7.1.4.. Seguridad de la información. La Seguridad de la Información consiste en asegurar que los recursos del Sistema de Información de una empresa se utilicen de la forma que ha sido decidido y el acceso de información se encuentra contenida, así como controlar que la modificación sólo sea posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de los límites de la autorización.. Los objetivos de la seguridad informática: Los activos de información son los elementos que la Seguridad de la Información debe proteger. Por lo que son tres elementos lo que forman los activos:. Información: es el objeto de mayor valor para la empresa. Equipos: suelen ser software, hardware y la propia organización. Usuarios: son las personas que usan la tecnología de la organización. Realizar correctamente la Gestión de la Seguridad de la Información quiere establecer y mantener los programas, los controles y las políticas de seguridad que tienen la obligación de conservar la confidencialidad, la integridad y la disponibilidad de la información de una empresa. Confidencialidad: es la propiedad de prevenir que se divulgue la información a personas o sistemas no autorizados. Integridad: es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada. Disponibilidad: es una característica, cualidad o condición de la información que se encuentra a disposición de quien tiene que acceder a esta, bien sean personas, procesos o aplicaciones.. 1.7.1.5.. SGSI. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una. 11.

(22) sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.. Control de la documentación Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: • Aprobar documentos apropiados antes de su emisión. • Revisar y actualizar documentos cuando sea necesario y renovar su validez. • Garantizar el estado actual de revisión de los documentos. • Mantener legibles y fácilmente identificables. • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados. • Garantizar que la distribución de documentos está controlada. • Prevenir la utilización de documentos obsoletos. De tal manera se pueden establecer controles de seguridad en cada componente importante entre los que se predominan los activos informáticos tangibles e intangibles. Activos intangibles: Son los bienes inmateriales: ● Habilidades y motivación a los empleados ● Bases de datos ● Herramientas tecnológicas ● Procesos operativos Activos tangibles: Son los bienes perceptibles a la vista del ser humano, como: ● Mobiliario ● Infraestructura ● Elementos de trabajo ● Equipos informáticos ● Cableado de red. 12.

(23) 1.7.2. MARCO CONCEPTUAL ● Activo de información: aquello que es de alta validez y que contiene información vital de la empresa que debe ser protegida. ● Amenaza Informática: Vulnerabilidades que se pueden presentar en un sistema de información, donde una mala configuración y un mal funcionamiento del sistema de control pueden denegar o no detectar las causas potenciales que pueden afectar la infraestructura. ● Gestión de Incidentes: Conjunto de procesos con el fin de gestionar cada uno de los incidentes hallados, para recuperar el sistema y minimizar el impacto negativo en las empresas. ● Normas: Conjunto de elementos constituidos por reglas y pautas con el fin de ser ajustadas a un protocolo o procedimiento establecido por las organizaciones. ● Política Organizacional: Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de la organización. ● Control: Medida que modifica el riesgo. ● Control Preventivo: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. ● Control Correctivo: Aquellos que permiten el restablecimiento de actividad, después de ser detectado un evento no deseable; también la modificación de las acciones que propiciaron su ocurrencia. ● Mejora continua: Acción permanente realizada, con el fin de aumentar la capacidad para cumplir los requisitos y optimizar el desempeño.. 13.

(24) 1.7.3. MARCO LEGAL El uso de herramientas tecnológicas donde exista un intercambio de información constante permite tener como base la Ley de TIC que garantiza el acceso, uso y apropiación de las tecnologías de la información y las comunicaciones, preservando la seguridad de la información y la protección del usuario en la red. Como sustento jurídico del marco de referencia se cuenta con las siguientes referencias legales Circular 05 del 9 de octubre de 2001 - “Derechos de autor sobre los programas de computador, su licenciamiento y sanciones derivadas del uso no autorizado”.. Con el propósito de orientar tanto a los titulares de derechos como a los usuarios de los diferentes tipos de licencias que sobre un programa de computador pueden existir en el mercado, y las disposiciones legales que con respecto a un uso ilegitimo se encuentran vigentes, la Unidad Administrativa Especial Dirección Nacional de Derecho de Autor, entidad adscrita al Ministerio del Interior, se permite ilustrar a los programadores, usuarios y productores de este tipo de obras. Ley 1369 de 2009 - por medio de la cual se establece el régimen de los servicios postales y se dictan otras disposiciones. ARTÍCULO 1º. Ámbito de aplicación, objeto y alcance. La presente ley señala el régimen general de prestación de los servicios postales y lo pertinente, a las entidades encargadas de la regulación de estos servicios, que son un servicio público en los términos del artículo 365 de la Constitución Política. Su prestación estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad, entendida esta última, como el acceso progresivo a la población en todo el territorio nacional. Los Servicios Postales están bajo la titularidad del Estado, el cual, para su prestación, podrá habilitar a empresas públicas y privadas en los términos de esta ley.. 14.

(25) Resolución No. 3038 DE 2011 - “Por la cual se expide el Régimen de Protección de los Derechos de los Usuarios de los Servicios Postales”. Que en virtud de lo dispuesto en el artículo 1° de la Ley 1369 de 2009, por medio de la cual se establece el régimen de los servicios postales, esta clase de servicios son considerados como servicios públicos en los términos del artículo 365 de la Constitución Política y su prestación está sometida a los principios de calidad, eficiencia y universalidad. De esta resolución se tiene en cuenta los siguientes artículos: ● Capítulo III Definiciones, Artículo 3. ● Capítulo II Normas relativas a la ejecución del contrato de Servicios postales, Articulo 9, Articulo 11.. Ley 1273 de 2009. Los tres principios fundamentales de la seguridad son la confidencialidad, la integridad y la disponibilidad, por lo tanto para preservar estos principios el 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado, denominado “De la Protección de la información y de los datos” , que pretende proteger la información, los datos y la preservación integral de los sistemas que utilicen tecnologías de la información y las comunicaciones. De esta ley se tiene en cuenta los siguientes artículos los cuales se relacionan directamente con el manejo de la información: ● Acceso abusivo a un sistema informático. ● Obstaculización. ilegítima. de. sistema. telecomunicación. ● Interceptación de datos informáticos. ● Daño informático. ● Uso de software malicioso.. 15. informático. o. red. de.

(26) ● Violación a datos personales. ● Suplantación de sitios web para capturar datos personales. ● Circunstancias de agravación punitiva.. Esta ley es esencial para tener un apoyo legal para la protección de la información ya sea de personas u organizaciones, lo cual es proclive a amenazas constantes, definiendo y regulando las penas y multas en caso de que esta ley y sus artículos sean violados.. Constitución Política de Colombia Ley estatutaria No. 1581 del 17 de octubre de 2012 - “Por la cual se dictan disposiciones generales para la protección de datos personales”. La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.. La serie ISO 27000. La ISO 27000 es un conjunto de estándares desarrollados que explican cómo implementar un SGSI en una organización.. Se persigue 3 objetivos: 1. Preservar la confidencialidad de los datos de la empresa 2. Conservar la integridad de estos datos 3. Hacer que la información protegida se encuentre disponible Las normas que se aplicarán en el proyecto son las siguientes: ISO 27001: La norma es certificable y contiene los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información. ISO 27002: Es una guía de buenas prácticas que describe los objetivos de. 16.

(27) control y controles recomendables en la seguridad de la información. ISO 27005: Establece las directrices para la Gestión del riesgo en la seguridad de la información. ISO 27034: Es una guía de seguridad en aplicaciones.. 1.8. ESTADO DEL ARTE Para mostrar la viabilidad del diseño de un sistema de gestión de seguridad de información, se realizó una revisión de los siguientes proyectos a nivel nacional e internacional, con el fin de identificar el éxito de la aplicación del SGSI e identificar los avances y hallazgos encontrados. Certificación en la Norma ISO/IEC 27001 y la implantación de un SGSI por parte de la empresa BSI. de España para la empresa Thames Security Shredding Thames Security Shredding (TSS) presta un servicio seguro y eficaz de recopilación y destrucción de documentos confidenciales. La certificación ISO/IEC 27001 ofrece a la empresa una ventaja competitiva a la hora de cumplir los requisitos contractuales, ya que demuestra su compromiso con la gestión de la Seguridad de la Información gracias al uso de las mejores prácticas a nivel internacional. También brinda a TSS un factor diferenciador importante en el mercado, lo que le ha supuesto aumentar su nivel de actividad. [1] INFORME FINAL –MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI – SGSI -MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA En este documento se planteó una estructura institucional para establecer un modelo de seguridad de la información para el programa de Gobierno en Línea del Ministerio de las Tecnologías de la Información y las Comunicaciones MINTIC respaldado por los instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea. [3] 17.

(28) El modelo de seguridad se poyo en un Sistema Administrativo Nacional de Seguridad de la Información –SANSI, para que sus diferentes componentes, realicen tareas y actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementación y mejora continua cuando sea adoptado por las entidades destinatarias. Diseño de un sistema de gestión de seguridad de la información para una entidad financiera.. En febrero de 2015 fue presentado en la facultad de especialización del Institución Universitaria Politécnico Gran-colombiano, el trabajo de grado es de Carlos Alberto Guzmán Silva como requisito para optar por la Especialización en seguridad de la información. El proyecto presenta el diseño de un SGSI que permite gestionar la seguridad de los activos de información que interviene en diferentes procesos financieros, además sirve como guía para evidenciar la manera de afrontar las diferentes etapas de un SGSI, las técnicas utilizadas para la identificación de vulnerabilidades y riesgos, y la manera de definir controles a los diferentes hallazgos. Implantación De Un SGSI en la empresa, Realizado por INTECO (Instituto Nacional de Tecnologías de la Comunicación) Del Gobierno de España. Estudio de la implantación de sistemas de Gestión de la seguridad y la información en empresas españolas utilizando la Norma Iso 27000 e ISO 2700, para lo cual realiza un análisis de las empresas detectando sus principales falencias y realizando sugerencias de cómo se puede implantar el SGSI en una organización acorde a sus necesidades, todo esto con la finalidad de certificarse en la misma. [1] IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA, ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001 Fue presentado como proyecto de grado en el año 2010, para optar por el título de Ingeniería de Sistemas para la Fundación Universitaria Konrad Lorenz, por los estudiantes Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez. 18.

(29) Lozano, Leidy Johanna Ortiz, Gustavo Adolfo Erazo Pérez. Es una investigación que tiene la finalidad de implementar un SGSI en la Comunidad Nuestra Señora de Gracia. Este sistema se basa en las directrices indicadas en la norma ISO/IEC 27001, y en el marco del mismo se generó un análisis de gap3, que permitió evidenciar un nivel de brechas significativo en la mencionada Comunidad, con base en el cual se establecieron políticas y controles de mejoramiento de los procesos de seguridad de la información y se definieron las declaraciones de aplicabilidad que fortalecieron todo el análisis de riesgos efectuado. 1.9. METODOLOGÍA Ciclo PHVA El ciclo PHVA es un componente importante, el cual proporciona la solución de los problemas de manera sistémica, mejorando los procesos que se manejan, manteniendo o mejorando la calidad sin reducir los costos, conservando la eficacia y efectividad en una organización. El principal aporte del ciclo PHVA es generar un funcionamiento mutuo entre diversos sectores de una organización los cuales trabajan de manera conjunta y sincronizada en la obtención de una meta y en beneficio de sus clientes, facilitando de esta forma la participación activa de los empleados en los procesos de evolución de la compañía.. Para los sistemas de gestión de la información el ciclo PHVA es un modelo dinámico que puede que interviene en cada uno de los procesos presentes en una organización, para de esta forma trabajar en conjunto. Está inherente en las fases de planeación, implementación, control y mejora continua, desde el proceso de creación del producto final como en los procesos alternativos que tenga el sistema de gestión de calidad. [2]. PHVA es una de los principales recursos con los que puede contar una organización para el constante mejoramiento de la calidad, el cual se fundamenta en la ejecución de cuatro pasos que se deben llevar a cabo consecutivamente, descritos a continuación:. 19.

(30) 1. Planear: Consiste en el desarrollo de objetivos, establecer los planes de implementación y la forma de trabajos para conseguir resultados acordes a las necesidades del cliente y las políticas de la organización. En este primer paso se debe planificar la gestión de calidad, permitiendo fortalecer la política de calidad, la definición y cumplimiento de los objetivos de calidad, la asignación de los recursos que se enfoquen en dar prioridad a la competitividad de la organización en el medio.. 2. Hacer: Se enfoca en el desarrollo de las actividades planeadas previamente para los procesos, partiendo del punto de tener una total claridad sobre la importancia de estar enfocados hacia las necesidades del cliente y cumplir sus expectativas, la asignación de tareas y roles con niveles de autoridad, la gestión de los documentos y los registros, la gestión efectiva de las comunicaciones internas y externas, y el control sobre las variables críticas relacionadas con las características críticas de la calidad de productos y procesos.. 3. Verificar: Consiste en revisar y comparar los resultados obtenidos con los que se esperaban, analizando las causas por las cuales no se logró el objetivo trazado. Se realiza una constante auditoría a los procesos y productos siempre teniendo en cuenta los objetivos, políticas del producto final. Se realiza una comparación del resultado final contra lo que se esperaba, considerando el monitoreo y la medición, la auditoría sobre los procesos del SGC, el control de las no conformidades, el control de las mediciones y el seguimiento al cumplimiento de los objetivos.. 4. Actuar: Se enfoca en erradicar los obstáculos que hacen que el rendimiento sea insatisfactorio y generar rendimiento óptimo en los procesos, así como volver a planificar acciones sobre resultados indeseables todavía existentes. Para la ejecución del Hacer relacionado con el ciclo PHVA se ve necesario implementar Magerit V3 como metodología de Análisis y Gestión de Riesgos para los Sistemas de Información, puesto que ofrece la posibilidad. 20.

(31) de aplicar un método sistemático que permite analizar los riesgos derivados del uso de tecnologías de la información en la compañía y de esta forma llegar a implementar medidas de control más adecuadas que permitan mitigar esos riesgos presentes en el ambiente.. Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. MAGERIT. Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica ha elaborado y promueve como respuesta a la percepción de la Administración y la sociedad depende de forma creciente de las tecnologías de la información para la consecución de sus objetivos de servicio. La razón de ser de Magerit está implica la generalización del uso de los medios electrónicos, informáticos y telemáticos recursos de gran importancia en una sociedad. El análisis de riesgos se ha consolidado como paso necesario para la gestión de la seguridad.. Tener pleno conocimiento de los riesgos a los que pueden estar sometidos los sistemas de información con los que se trabaja es esencial para poder tener una correcta administración y por este motivo existen gran cantidad de documentación para la realización del análisis y gestión de riesgos, aproximaciones metódicas y herramientas de soporte. Se puede realizar un análisis desde diferentes puntos a los riesgos que pueden llegar a soportar un sistema TIC. Todos buscan establecer un nivel de riesgo para saber qué tan vulnerables pueden llegar a estar los recursos tecnológicos en la compañía. El gran reto de todas estas aproximaciones es la complejidad del problema al. 21.

(32) que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.. Magerit busca los siguientes objetivos: De Manera Directa: 1. Concientizar a los responsables de los sistemas de información de la existencia de riesgos en los procesos y de la necesidad de atacarlos para evitar pérdidas. 2. Ofrecer un método sistemático para analizar el nivel de riesgo al que se puede estar sometido 3. Ayudar a crear y planificar medidas que permitan tener los riesgos que se puedan presentar bajo control.. De manera Indirecta: Preparar a la organización dado el caso que se presenten procesos de evaluación, certificación, auditoría y acreditación. A su vez se ha buscado dar sentido a la gestión documental que permite recoger los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos como él se puede llegar a implementar en las empresas de mensajería. Teniendo en cuenta las actividades de análisis y gestión de riesgos: ● Modelo de valor: Caracterización del valor que representan los activos para la Organización, así como de las dependencias entre los diferentes activos. ● Mapa de riesgos: Relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad. Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. ● Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de. 22.

(33) riesgo: Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. ● Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. ● Cumplimiento de. normatividad:. Satisfacción. de unos. requisitos.. Declaración de que se ajusta y es conforme a la normativa correspondiente. Plan de seguridad: Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos. ● Análisis de Vulnerabilidades, Amenazas y riesgos a nivel informático.. 23.

(34) 1.10. ALCANCES Y DELIMITACIONES 1.10.1.. ALCANCE. El alcance del presente proyecto incluye el diseño de un Sistema de gestión de Seguridad de la Información enfocado a las empresas dedicadas a la mensajería en el país, siendo Apoyo Logístico en Mensajería la empresa Modelo y en la cual se propondrá tener una planeación inicial de la aplicación del proyecto en la compañía.. 1.10.2.. DELIMITACIONES. 1.10.2.1. Técnica no se tiene en cuenta la fase de implementación, mantenimiento y la mejora. Pero se entregará toda la documentación para la puesta en marcha del SGSI.. 1.10.2.2. Tiempo Se tiene una proyección de tiempo de (7) meses a partir del mes de mayo del 2017.. 1.10.2.3. Geográfica El proyecto se realizará en las instalaciones de Apoyo Logístico en Mensajería y la universidad Distrital Francisco José de Caldas en la ciudad de Bogotá.. 1.11. FACTIBILIDAD 1.11.1.. FACTIBILIDAD TÉCNICA. El presente proyecto requiere experiencia y conocimientos adquiridos durante el proceso de formación profesional como ingeniero en telemática y las tutorías acordadas entre el jurado del proyecto, docente tutor y los estudiantes del proyecto de grado: SGSI, Normas ISO/IEC 27000, metodología Magerit y ciclo PHVA. Los recursos técnicos implementados en el proyecto son los siguientes:. 24.

(35) HARDWARE: ● Portátil HP envy 14 Notebook pc ● Procesador Intel Core i5 a 1.70 GHZ ● Memoria RAM Mínima de 4 Gb ● Disco Duro de 500 Gb ● Tarjeta de red LAN Gigabit. SOFTWARE ● Dominios de Internet y alojamiento WEB. ● Servidor de aplicaciones Apache Tomcat ● Paquete de Herramientas Office 2016. 1.11.2.. FACTIBILIDAD DE OPERACIONES. El recurso humano con el que se cuenta para el desarrollo de este proyecto es el siguiente:. Estudiantes de la Universidad distrital en Ingeniería en telemática. ● Ana Luisa Villamil Martin ● Francisco Leonardo Miranda Rodríguez. Director del Proyecto ● Miguel Ángel Leguizamón Páez. Representante de Apoyo logístico en mensajería ALM ● José Antonio Montañez Orbes. 25.

(36) 1.11.3.. FACTIBILIDAD ECONÓMICA. Para el presupuesto planeado a utilizar, se realizó una cuantificación de los recursos técnicos y de recurso humano necesarios para el desarrollo de la futura implementación. Teniendo claridad de estos recursos se podrá realizar el análisis costo-beneficio del SGSI, de esta forma determinar si es factible el desarrollo del proyecto. A continuación, se describe los costos del recurso necesario para el desarrollo del Sistema de Gestión de Seguridad en la Información:. RECURSOS MATERIALES DETALLE. CANTIDAD. VALOR INDIVIDUAL. TOTAL. Computadores. 2. $1.000.000. $2.000.000. Impresora. 1. $800.000. $800.000. Papelería y medios digitales. $100.000. Transporte Sala de Reunión para 5 personas. $2.000. $250.000. $2.000.000. $3.150.000. 1 cada 15 días. Total Recursos Materiales. RECURSOS HUMANOS DETALLE. CANTIDAD. Coordinadores. 1. Docentes de medio tiempo. 1. Consultorías externas. 3. Practicantes. 2. Asesorías. 5. VALOR INDIVIDUAL. TOTAL. $400.000. $1.200.000. $144.000. $7.200.000. $544.000. $8.400.000. $2.544.000. $11.550.000. Total Recursos Humanos Total General. Tabla 1. Factibilidad Económica Fuente: autores. 26.

(37) 1.12. CRONOGRAMA. Figura 01. Cronograma. 27.

(38) 2. ANÁLISIS DE LA SITUACIÓN ACTUAL. Se tomará como caso estudio para el análisis de la situación actual a la empresa APOYO LOGISTICO EN MENSAJERIA (ALM), entidad dedicada al manejo integral en servicios de mensajería express y distribución personalizada de productos. Opera en el mercado colombiano desde el año 2009. ALM es una compañía integral en servicios de mensajería express y distribución personalizada de productos; ofreciendo una gestión documental y ejecución logística con altos estándares de calidad, que satisfacen los requerimientos de información, tiempo y recursos para sus clientes.. Cuenta con licencia del Ministerio de las Comunicaciones y Tecnologías de la Información No 002701, para la prestación de los Servicios de Mensajería Express a nivel Urbano y Nacional.. MISION Brindar servicios con altos índices de calidad y productividad a nuestros clientes ofreciendo un apoyo logístico personalizado, con soluciones reales, rápidas, efectivas, económicas y confiables; soportado en un equipo humano emprendedor, calificado, eficiente y comprometido.. VISION Queremos posicionarnos como la empresa líder en procesos informáticos que garantiza a sus clientes la totalidad de la información, soluciones y efectividad de sus envíos para Colombia y el Mundo.. POLITICAS DE CALIDAD Controlar el proceso logístico de todos los envíos logrando que los clientes conozcan plenamente el desarrollo del proceso, brindando tranquilidad y satisfacción, con estándares de calidad, minimizando tiempos, costos y valiéndonos de recursos como el talento humano, la productividad, seguridad y ética siendo una compañía competitiva y en crecimiento.. 28.

(39) OBJETIVO PRINCIPAL Nuestro objeto social principal, es la prestación de servicios postales, incluyendo la Recepción, Clasificación y Entrega de envíos de correspondencia y otros objetos postales y demás actividades inherentes a la Mensajería Express.. Contamos con tecnología de punta, aplicada a cada uno de nuestros procesos, logrando de ésta forma el control total de la operación, llevando a su vez el registro y reporte de los diferentes eventos que se llevan a cabo dentro de los mismos, permitiendo que nuestros clientes puedan a través de la página Web, consultar la trazabilidad y estado de cada uno de sus envíos.. Adicionalmente, disponemos del recurso humano con el perfil necesario y con la capacitación requerida, para el óptimo desarrollo de sus funciones, así como la infraestructura locativa, administrativa y operativa, que nos permite garantizar el óptimo manejo de sus envíos, con la eficiencia, celeridad y seguridad requerida.. 2.1. Aspecto Comercial Las empresas de mensajería en el país centran principalmente su labor en la gestión logística de correspondencia personal como por ejemplo cartas, facturas de servicios públicos, tarjetas de crédito de entidades financieras, tales como Bancolombia y Banco de Bogotá, publicidad para empresas como Villa Romana, Renault, entre otras y últimamente el manejo de bases de datos con gran cantidad de información, con la cual se realizan campañas de telemercadeo por medio de oficinas de Call Center.. 2.2. Manejo de la Seguridad El manejo de la seguridad a nivel tecnológico presenta varios puntos en los cuales el nivel de ataques informáticos es alto, todo esto debido a que no se cuenta con la aplicación de un sistema que apoye el manejo y debida gestión de los riesgos, encontrando que en muchos casos la infraestructura no se. 29.

(40) encuentra adaptada para mitigar esas falencias. Existen diferentes tipos de riesgos en las empresas de mensajería, por lo cual se va a tener en cuenta las principales fallas para de esta forma aplicar un tratamiento adecuado.. Un aspecto importante en el manejo de la seguridad de la información es generar conciencia, sentido de pertenencia por la empresa y el conocimiento de las políticas de seguridad por parte de los funcionarios, ya que no se le presta la debida importancia a la protección de la información.. Empresas como Apoyo Logístico En Mensajería requieren gestionar la seguridad de sus activos con la finalidad de que estos sean accesibles sólo por personal autorizado, manejando roles y controles de acceso. La empresa no cuenta con una metodología para la identificación y clasificación de sus activos de información ni para la valoración y tratamiento de riesgos de seguridad, lo que implica, que no cuenta con una visión global del estado de su seguridad.. 2.3. Diagnóstico de la situación actual Dado el análisis previo del nivel de seguridad en la compañía y la identificación de amenazas que pueden afectar a los activos, se puede evidenciar de la siguiente forma:. PROBLEMA. FACTOR. No se cuenta con políticas enfocadas a la seguridad de la información y que vayan de la mano con un enfoque del negocio. •Áreas como la gerencia y el departamento de IT de las empresas no han definido unas políticas de seguridad. • No se encuentran distribuidas ni debidamente asignadas las funciones encargadas de la gestión de seguridad informática y seguridad de la información.. No se tiene implementado un modelo •No hay una cuantificación exacta de los para la gestión de riesgos presentes en riesgos de seguridad de los activos de la compañía. la información.. 30.

(41) PROBLEMA. FACTOR •Como no se tiene un análisis global de la situación de seguridad de la empresa, no se tiene presente las vulnerabilidades presentes. •No se ha realizado una clasificación de los activos para determinar los controles adecuados.. Falta de Cultura de seguridad de la ● Falta de entendimiento del nivel de información compromiso y toma de conciencia de la importancia de la seguridad de los activos por parte de los empleados. ● No se aplican prácticas de mejoramiento constante de las políticas de seguridad. ● No Se tiene sentido de pertenencia por la compañía. No se encuentra con la infraestructura ● Existen falencias en la corriente adecuada eléctrica de las instalaciones ● No se cuenta con el debido aislamiento del cableado de datos /eléctrico ● La seguridad de ingreso al data center es nula Seguridad acceso a la información en ● No se cuenta con una política de los repositorios físicos, y en la nube privilegios para los usuarios que manejan la base de datos ● El cifrado de contraseñas que se usa es muy simple ● La mayoría de equipos no tienen configurada la contraseña de acceso. ● Los backups se encuentran en un lugar de fácil acceso para cualquier personal Tabla 2. Diagnóstico de la situación actual Fuente: autores. 31.

(42) 3. IDENTIFICACIÓN DE ACTIVOS. La norma ISO27001 dice que todos los activos de información deben ser identificados de una forma clara y se tiene que realizar y mantener un inventario en el que aparezcan todos los activos de información importantes. Una empresa tiene que tener identificados todos sus activos y documentados en función de su importancia. El inventario de activos tiene que incluir toda la información que resulte necesaria con el fin de recuperarse ante un desastre, en que se incluya el tipo de activo, el formato, la ubicación, la información de respaldo. El inventario de activos no puede ser duplicado sin necesidad, pero debe estar completamente seguro de que el contenido se encuentra alineado a otros inventarios. Los responsables de los activos y la clasificación de la información tienen que ser aceptada y documentada para cada uno de los activos de información. Basados en la importancia del activo para mejorar su valor dentro del negocio y clasificarlos según la seguridad que necesiten, se debe realizar una clasificación según los niveles de protección necesarios en función de la importancia de cada activo.. 3.1. Identificación De Los Activos Presentes En Las Empresas De Mensajería. Los activos se definen como los recursos más importantes para que la compañía mantenga su curso y manejo de la información, todo esto de la mano de una correcta administración y valoración de los mismos, lo cual permitirá cumplir los objetivos, misión y visión de una empresa. El principal activo de toda compañía es su información, puesto que de ella depende el “Core del negocio”, para el correcto manejo de la misma, se pueden identificar activos que ayuden a la gestión de la información.. Para Apoyo Logístico en Mensajería (ALM), se identificaron los siguientes activos: ● Recurso humano: Mensajeros, analistas de datos, ingenieros, gestión humana, área operativa, servicio al cliente, call center, área financiera, gerencias y presidencia.. 32.

(43) ● Data Center y equipos de cómputo: Servidores, computadores de escritorio, computadores portátiles, scanner, lectores de códigos de barras, periféricos. ● Equipos de comunicaciones y flujo de información: Telefonía IP, telefonía análoga, switches, routers, access point, y dispositivos inalámbricos. ● Infraestructura: Cableado estructurado para redes eléctricas y datos ● Software y aplicativos: Todo lo relacionado con sistemas operativos, software dedicado, motores de bases de datos, aplicativos de desarrollo de software, pagina web y aplicativo local.. Teniendo en cuenta que la información es el activo más importante de la compañía, se debe realizar una clasificación detallada, que depende del tratamiento y la utilidad que se le dé a la misma, dentro de las empresas de logística en mensajería. Que se puede describir de la siguiente manera: ● Información comercial: Datos de cada cliente, distribuidor y proveedor. ● Banco de datos para realizar las campañas de telemercadeo. ● Bases de datos relacionados con la correspondencia, distribución y tipo de producto. ● Información relacionada con los datos personales de los empleados. ● Documentación referente a los manuales de uso y configuración de activos. ● Documentación referente a los manuales de procesos internos de la compañía.. 33.

(44) ● Documentación respectiva el desarrollo de software dedicado de uso exclusivo en la compañía (manuales de implementación, instalación, manejo del software y código fuente) ● Información financiera. Para el buen manejo de dicha información es necesario realizar un tratamiento a los datos, teniendo en cuenta su nivel de confidencialidad. Para lo cual se debe tener en cuenta: ● Valor monetario de la información ● Utilidad ● Usabilidad ● Confidencialidad. 3.2. Análisis de Activos de Apoyo Logístico en Mensajería Información y Bases de Datos: Teniendo en cuenta que la información es el activo más importante, ya que dependiendo del flujo y el tratamiento que se le dé a la misma, que pueden influir toma de decisiones definiendo estrategias a nivel comercial las cuales pueden elevar los niveles de productividad, esta información se puede clasificar de la siguiente forma.. -. Información de recurso humano: relacionada con los empleados de la compañía.. -. Información financiera: hace referencia a los datos bancarios, estados de cuenta, bienes de la compañía, escrituras, contratos y escalas salariales de los empleados. Información que debe ser tratada con la mayor confidencialidad.. -. Información de Clientes: es la relacionada con los contratos y condiciones de servicio acordadas entre ALM y sus clientes, dentro de muchos de estos contratos se manejan otro tipo de bases de datos.. 34.

(45) -. Información suministrada por los clientes en la que se encuentran nombres y direcciones de envío a los clientes, así como números de teléfono y correo electrónico para hacer campañas de telemercadeo.. -. Información de proveedores: estas bases de datos no tienen un nivel de confidencialidad estricto.. -. Información técnica de las bases de datos.. 3.3. Servicios ofrecidos por ALM Los servicios que ofrece una compañía permiten generar ingresos y utilidades, dándole una correcta gestión, permiten a ALM ser un miembro activo a nivel competitivo en el mercado de la Logística en Colombia. ● Servicios Especiales ● Mensajería Masiva ● Radicación Y Retorno De Documentos, Con Agendamiento De Cita ● Entrega Personalizada Con Agendamiento De Cita ● Servicios Internacionales ● Contact Center ● Servicios De Impresión ● Centro De Apoyo Externo (Counter In House) ● Notificación Judicial. 3.4. Aplicativos Utilizados en ALM Los aplicativos que se utilizan son de los activos más importantes en la compañía porque permiten el flujo de la información y el tratamiento de la misma dentro de la compañía importante para los procesos corporativos. ALM PORTAL: Aplicativo web orientado al trabajo de cargue de envíos, zonificación, planillas de mensajeros y consulta de guías de envíos. El aplicativo está disponible para la sede principal y las sedes secundarias (nodos). ZEBRA: Aplicativo conectado a scanner para el cargue de las guías de envío, que son constancia de entrega de los sobres o paquetes.. 35.

(46) NOVASOFT: Aplicativo financiero licenciado, utilizado para administrar la base de clientes, facturas, nomina, y la contabilidad en general.. MICROSOFT OFFICE: Paquete de office licenciado, enfocado en aplicativos de ofimática, hojas de cálculo y procesador de texto.. SOFTPHONE: Software utilizado para realizar las llamadas de campañas en el Call Center.. RECURSOS DE INTRANET RECURSOS HUMANOS: Aplicación de red local en la cual se almacenaban los datos de los empleados y asignaban un código, el cual se imprime en el carnet y permite registrar la hora de entrada y salida a las oficinas. CALL CENTER: Aplicación de red local encargada de proporcionar el listado de números telefónicos a los cuales se debía llamar, creación y configuración de campañas con el diálogo respectivo a relatar durante la llamada.. SOFTWARE OPERATIVO: Es el software técnico, encargado de la gestión lógica de la información. SQL Server: Es un sistema de manejo de bases de datos del modelo relacional, Puede ser configurado para utilizar varias instancias en el mismo servidor físico, la primera instalación lleva generalmente el nombre del servidor.. MySql: Es un sistema de gestión de bases de datos relacional desarrollado bajo licencia dual que tradicionalmente se considera uno de los cuatro componentes de la pila de desarrollo LAMP y WAMP.. Apache: es un servidor web HTTP de código abierto, para plataformas Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras, que implementa el protocolo HTTP/1.12 y la noción de sitio virtual.. 36.

(47) ASTERIX: Servicio encargado de la gestión y administración de extensiones internas, llamadas locales, nacionales, registro y grabación de llamadas, reportes de seguimiento a las campañas de call center.. Suministros e Infraestructura: Los suministros son parte esencial en la parte operativa de la compañía, ya que permite a los empleados la realización de sus labores diarios. ● Servidor de Bases de Datos. ● Servidor de gestión de llamadas ● Servidor de Aplicativos Web. ● Impresoras láser. ● Fotocopiadoras multifuncionales. ● Scanner. ● Computadoras. ● Switches. ● Lectores de códigos de barras. ● Red de área local (LAN). ● Firewall. ● UPs y sistemas de relevo de energía ● Periféricos (Cámaras).. 3.5. Valoración De Activos. Si no se tiene una verificación de la importancia de los activos en empresas de mensajería, el concepto de valor de los mismos se estaría dejando a un lado lo cual es importante para definir el tratamiento que se les debe dar.. Realizando un análisis de los principales criterios a tener en cuenta a la hora de realizar una valoración de los activos en las empresas de mensajería para su protección de los diversos tipos de amenazas a los que puedan estar expuestos.. 37.

Figure

Figura 01. Cronograma
Tabla 2. Diagnóstico de la situación actual
Tabla 3. Escala de valoración
Tabla 4. Listado de tipo de activo
+7

Referencias

Documento similar