• No se han encontrado resultados

Diseño de un sistema de gestión de seguridad de la información (SGSI) para la empresa Agility S A S

N/A
N/A
Protected

Academic year: 2020

Share "Diseño de un sistema de gestión de seguridad de la información (SGSI) para la empresa Agility S A S"

Copied!
94
0
0

Texto completo

(1)

1

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S

JONATHAN EFREY GUARNIZO ARIAS

EDWARD JONATHAN PRIETO SARMIENTO

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLOGICA

INGENIERIA EN TELEMATICA

(2)

2

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S

JONATHAN EFREY GUARNIZO ARIAS CODIGO: 20142678013

EDWARD JONATHAN PRIETO SARMIENTO CODIGO: 20142678036

DOCENTE:

ING. MIGUEL ANGEL LEGUIZAMON PAEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLOGICA

INGENIERIA EN TELEMATICA

(3)

3

AGRADECIMIENTOS

En el presente proyecto primeramente nos gustaría agradecer a DIOS por bendecirnos para llegar hasta donde hemos llegado.

A nuestras familias que sin su apoyo en momentos críticos quizás no hubiésemos salido adelante y que gracias a los consejos de nuestros padres a ellos principalmente les damos las gracias ya que sin su apoyo este objetivo no se habría cumplido.

Queremos de gran manera agradecer a la UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS por darnos la oportunidad de ser mejores personas. A nuestro director de proyecto, Ing. Miguel Ángel Leguizamón por su esfuerzo y dedicación, por sus conocimientos, su experiencia, su paciencia y su motivación. También nos gustaría agradecer a nuestros profesores durante toda nuestra carrera porque todos han aportado con un granito de arena a nuestra formación.

Gracias a nuestros amigos y novias que nos apoyaron a lo largo de nuestra vida universitaria y en el transcurso del desarrollo del proyecto que de nuestra parte siempre tendrán a alguien incondicional.

(4)

4 RESUMEN

(5)

5 ABSTRACT

(6)

6

INTRODUCCION

La continua evolución, crecimiento y sofisticación de la tecnología, al igual que los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad de adoptar medidas y controles que permitan proteger a los activos informáticos de amenazas y así poder garantizar su confidencialidad, integridad y disponibilidad.

En Agility S.A.S la información está definida como uno de los activos más valiosos y primordiales, la cual, sólo tiene sentido cuando está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y segura, lo que implica, que es necesario que la organización tenga una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar y controlar el debido acceso, tratamiento y uso de la información. En este sentido, el proyecto pretende hacer un diagnóstico del estado de la seguridad de la información en la empresa Agility, que permita identificar las vulnerabilidades, amenazas y riesgos a las que se encuentran expuestos los activos.

De esta manera se hace necesario diseñar un sistema de gestión de seguridad de la información que permita salvaguardar los recursos informáticos, ayudando a cumplir los objetivos corporativos. La gestión para la seguridad debe ser conocida por toda la organización y así garantizar que los riesgos sean identificados, asumidos, gestionados y minimizados de una forma documentada, sistemática, estructurada, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

(7)

7

CONTENIDO

1. Organización, Definición y Análisis ... 12

1.1. Tema ... 12

1.2. Titulo ... 12

1.3. Objetivos ... 12

1.3.1. Objetivo General ... 12

1.3.2. Objetivos Específicos ... 12

1.4. Descripción del Problema ... 13

1.5. Formulación Problema ... 13

1.6. Justificación ... 13

1.7 Marco de Referencia. ... 14

1.7.1 Marco Teórico ... 14

1.7.1.1 Vulnerabilidad Informática ... 14

1.7.1.2 Amenazas Informática ... 15

1.7.1.3 Riesgos Informáticos ... 17

1.7.1.4 Seguridad de la Información ... 18

1.7.1.5 SGSI ... 19

1.7.1.6 Análisis de Riesgos Informáticos ... 20

1.7.1.7 Control de Gestión ... 20

1.7.1.8 Mapa Estratégico ... 21

1.7.1.9 Auditoría... 21

1.7.2 Marco Conceptual ... 22

1.7.3. Marco Legal. ... 23

1.7.3.1 Ley 1273 de 2009. ... 24

1.7.3.2 La serie ISO 27000. ... 25

1.8 Estado del Arte ... 25

1.9 Metodología ... 27

1.10 Alcances y Delimitaciones ... 32

1.10.1. Alcance ... 32

1.10.2. Delimitaciones ... 32

1.10.2.1. Técnica ... 32

1.10.2.2. Temporal ... 32

1.10.2.3. Geográfica ... 32

(8)

8

1.11.1. Factibilidad Técnica ... 32

1.11.2. Factibilidad Operativa... 33

1.11.3. Factibilidad Económica ... 34

1.11.4. Factibilidad Legal ... 34

2. Situación Actual de la Empresa Agility S.A.S. ... 37

2.1 Enfoque Empresarial ... 37

2.2 Seguridad de la Información ... 37

2.3 Diagnóstico Situación Problema. ... 37

3. Desarrollo de los objetivos planteados ... 40

3.1. Alcance del SGSI. ... 40

3.1.1. Política del SGSI. ... 40

3.1.2. OBJETIVOS DEL SGSI ... 41

3.2. Identificación de los Activos ... 41

3.2.1. Valoración de activos ... 45

3.3. Identificación y Valoración de las Vulnerabilidades ... 51

3.4. Caracterización y valoración de las amenazas ... 56

3.4.1. Frecuencia de Amenazas ... 56

3.4.2. Degradación de las Amenazas ... 57

3.4.3. Identificación y Valoración de las Amenazas: ... 57

3.5. Identificación del Riesgo ... 62

3.5.1 Análisis de Riesgos. ... 64

3.5.2. Evaluación de riesgos. ... 67

3.5.3. Tratamiento del riesgo... 68

3.6. Selección de Controles ... 68

3.7. Definición de políticas de seguridad ... 76

3.7.1 Política de Asignación de recursos y uso de los mismos ... 76

3.7.2. Política de Seguridad en la Información ... 77

3.7.3. Política de Mantenimiento e infraestructura ... 77

3.7.4. Política de la instalación de equipo de cómputo. ... 78

3.7.5. Política de mantenimiento de equipo de cómputo ... 79

3.7.6. Política de la reubicación del equipo de cómputo. ... 79

3.7.7. Política de acceso a áreas críticas. ... 80

3.7.8. Política de acceso al equipo de cómputo ... 80

3.7.9. Política de control de acceso local a la red. ... 81

3.7.10. Política de la adquisición de software. ... 81

(9)

9

3.7.12. Política de la auditoría de software instalado. ... 83

3.7.13. Política para el software propiedad de la compañía. ... 83

3.9. Procedimientos Según el Sistema de Gestión ... 85

3.9.1. Procedimiento para verificar que las políticas y controles de seguridad de la información están siendo aplicados ... 85

3.9.2. Procedimiento para capacitar sobre las políticas y controles de seguridad de la información y sus actualizaciones ... 87

3.9.3. Procedimiento para aplicar sanciones por infracción sobre alguna política de seguridad de la empresa. ... 89

4. Modulo Web………89

5. CONCLUSIONES………..91

6. RECOMENDACIONES……….92

(10)

10

LISTADO DE FIGURAS

FIGURA 1 FLUJOS DE PHVA ... 28

FIGURA 2 MODELO MAGERIT ... 29

FIGURA 3 MARCO DE TRABAJO PARA LA GESTIÓN DE RIESGOS. ... 30

FIGURA 4 CRONOGRAMA DE ACTIVIDADES. ... 36

FIGURA 5 IDENTIFICACIÓN SITUACIÓN PROBLEMA ... 38

FIGURA 6 MATRÍZ DE PRIORIZACIÓN. ... 65

FIGURA 7 AVG ... 69

FIGURA 8 LECTOR DE HUELLAS. ... 72

FIGURA 9 EXTINTOR. ... 73

FIGURA 10 FIREWALL. ... 74

(11)

11

LISTADO DE TABLAS

TABLA 1. FACTIBILIDAD ECONÓMICA. ... 34

TABLA 2. FACTORES EMPRESA. ... 39

TABLA 3. ESCALAS DE VALORACIÓN. ... 46

TABLA 4. LISTADO DE MOTIVOS. ... 46

TABLA 5. ESCALAS ESTÁNDAR. ... 49

TABLA 6. VALORACIÓN ACTIVOS. ... 50

TABLA 7. ESCALAS DE PROBABILIDAD DE EVALUACIÓN. ... 51

TABLA 8. DETECCIÓN DE VULNERABILIDADES DE APLICACIONES INFORMÁTICAS. 52 TABLA 9. DETECCIÓN DE VULNERABILIDADES DE SERVICIOS. ... 53

TABLA 10. DETECCIÓN DE VULNERABILIDADES DE COMUNICACIONES. ... 54

TABLA 11. DETECCIÓN DE VULNERABILIDADES DE EQUIPAMIENTO INFORMÁTICO. ... 55

TABLA 12. DETECCIÓN DE VULNERABILIDADES DE PERSONAL. ... 56

TABLA 13. FRECUENCIA DE AMENAZAS. ... 56

TABLA 14. DEGRADACIÓN DE AMENAZAS. ... 57

TABLA 15. VALORACIÓN DE AMENAZAS SOBRE APLICACIONES INFORMÁTICAS. ... 58

TABLA 16. VALORACIÓN DE AMENAZAS SOBRE SERVICIOS... 59

TABLA 17. VALORACIÓN DE AMENAZAS SOBRE COMUNICACIONES. ... 60

TABLA 18. VALORACIÓN DE AMENAZAS SOBRE EQUIPAMIENTO INFORMÁTICO. .... 61

TABLA 19. VALORACIÓN DE AMENAZAS SOBRE PERSONAL... 62

TABLA 20. IDENTIFICACIÓN DE RIESGOS. ... 64

TABLA 21. ANÁLISIS DE RIESGOS. ... 66

TABLA 22. CRITERIOS DE EVALUACIÓN DE RIESGO. ... 67

(12)

12

1. Organización, Definición y Análisis

1.1. Tema

El proyecto se centra en la creación de una propuesta para el diseño de un Sistema de Gestión de Seguridad de la Información SGSI el cual ofrece la oportunidad de optimizar las áreas, dentro de la organización, relacionadas con la información que más le importan a la alta dirección de la empresa.

1.2. Titulo

Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para la Empresa Agility S.A.S

1.3. Objetivos

1.3.1. Objetivo General

Diseñar un Sistema de Gestión de Seguridad de la Información para la empresa Agility S.A.S, que busque mejorar la seguridad informática y la protección de la información.

1.3.2. Objetivos Específicos

● Recolectar información sobre las vulnerabilidades, amenazas y riesgos que permitan conocer el estado actual de la seguridad en la empresa.

● Establecer la política, alcance y objetivos del Sistema de Gestión de Seguridad de la información.

● Identificar los activos de la información para su clasificación y valoración en el análisis de riesgo.

● Definir controles, políticas y planes de mejoramiento que permitan mitigar las causas que originan los riesgos de seguridad que se presentan en la empresa.

(13)

13 1.4. Descripción del Problema

Actualmente la empresa Agility S.A.S se desempeña en el campo de publicidad y mercadeo ofreciendo servicios de Eventos Empresariales, Diseño Gráfico Corporativo, Material POP, Regalos Empresariales, Papelería Comercial e Impresión Digital, ha venido experimentando un alto grado de pérdida y alteración de información propia del negocio debido a la falta de controles, políticas, sistemas de firewall, antivirus adecuados y actualizados, y en general falta una infraestructura de protección acorde a las necesidades que tiene la organización, para detectar a tiempo algunas vulnerabilidades, amenazas y riesgos informáticos que afectan la integridad, confidencialidad y disponibilidad de los datos.

En consecuencia se pueden encontrar activas las amenazas informáticas, las cuales son eventualidades que pueden producir un daño sobre los elementos del sistema, generando costos y pérdidas de tipo parcial o total del negocio, causando un mal funcionamiento de la empresa. A la vez la falta de información y desconocimiento de los principios y procedimientos básicos de seguridad son las principales causas de los inconvenientes que se están presentando, produciendo una vulneración en el manejo de la información de la compañía, generando resultados como la pérdida de la confianza de los clientes, de la marca, pérdida de negocio y, en algunos casos hasta sanciones civiles.

1.5. Formulación Problema

¿Cómo un Sistema de Gestión de Seguridad de la Información permitirá mejorar la seguridad informática y tratamiento de los riesgos asociados al uso de la información de la empresa Agility S.A.S?

1.6. Justificación

Los cambios tecnológicos y de negocios que han surgido y que surgirán en la empresa, requieren el fortalecimiento de la auditoría y la seguridad informática, por lo tanto se debe invertir en su adecuada protección, para de esta forma estar en capacidad de garantizar Confidencialidad, Integridad y Disponibilidad.

(14)

14

Un SGSI le permitirá a la empresa estar compuesto por una estructura organizacional con roles y responsabilidades y un conjunto coherente de políticas, procesos y procedimientos, con el objetivo de forjar, promover y extender una cultura de seguridad en todos los niveles de la organización y de esta forma gestionar de manera adecuada la seguridad de su información.

1.7 Marco de Referencia.

1.7.1 Marco Teórico

En la actualidad la información se ha convertido en el activo más valioso de las empresas, es por esto que se debe implementar estrategias, no solo a nivel lógico, como la protección de las bases de datos y archivos de gestión, si no que se debe complementar con la contratación de personal calificado, con alto grado de pertenencia institucional y ética profesional.

1.7.1.1 Vulnerabilidad Informática

Son las posibilidades del mismo ambiente, en el cual las características proporcionan y se vuelve susceptible a una potencial amenaza, por lo tanto se puede considerar como la capacidad de reaccionar ante la presencia de una amenaza o un daño.

Se es vulnerable a cualquier evento, sin importar su naturaleza, sea esta interna o externa, pero aplicando los controles adecuados es posible minimizar las posibilidades de que estas se materialicen, por lo tanto los tipos de vulnerabilidades son:

Vulnerabilidad Física: Es la vulnerabilidad del entorno físico del sistema de información, equipos de cómputo y servidores, debido a que algún hacker ha violentado el acceso a la información de manera persuasiva para robar, modificar o eliminar información confidencial.

Vulnerabilidad Natural: Son las ocasionadas por los desastres o eventos fortuitos en el medio ambiente, el cual ocasiona daños en los sistemas de cómputo por medio de los picos eléctricos, inundaciones, terremotos, temperatura alta y todos aquellos desastres naturales que son ocasionados por las variaciones atmosféricas y rozamiento de las placas tectónicas.

Vulnerabilidad del hardware y del software

(15)

15

por descuido, mal uso o por que se ha dejado desprotegido los equipos de cómputo sin la seguridad adecuada para su manipulación.

Software: Son conocidas como bugs del sistema o errores del software, el cual permite acceder a la funcionalidad y aplicación sin mayor esfuerzo por parte del hacker, ya que conoce el código fuente, tiene un mal diseño el software o ha encontrado una puerta trasera para adherirse y conseguir información.

Vulnerabilidad humana: Las vulnerabilidades humanas radican en la falta de conocimiento sobre los métodos para proteger los datos y el acceso completo a las configuraciones del sistema informático, sin tener las restricciones adecuadas para identificar por medio de roles y usuarios el acceso conforme a la auditoría de cambio en el sistema.

1.7.1.2 Amenazas Informática

Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas de información, por lo tanto se puede clasificar en:

➔ Amenaza criminal: son aquellas acciones en las que intervienen seres humanos violando las normas y las leyes.

➔ Sucesos de origen físico: son los eventos naturales que se pueden presentar, o aquellos eventos en los que el ser humano propicia las condiciones para determinar un hecho físico.

➔ Negligencia: son las omisiones, decisiones o acciones que pueden presentar algunas personas por desconocimiento, falta de capacitación y/o abuso de autoridad porque tienen influencia sobre los sistemas de información, algunos porque no tienen ética para el desarrollo de la profesión.

(16)

16

Intercepción: Es cuando un hacker o grupo de personas, logran ingresar a los sistemas de información sin autorización para escuchar, visualizar y copiar archivos confidenciales de las empresas, organizaciones y/o Pymes.

Modificación: Es cuando un hacker o grupo de personas, han logrado ingresar al sistema de información y además pueden modificar los archivos y/o líneas de código del software para ocasionar pérdida de información, mal funcionamiento de los equipos de cómputo o programar cambios en los contenidos de las bases de datos.

Interrupción: La interrupción se da cuando los sistemas de información son saturados por medio de inyección SQL, código malicioso, virus, troyanos, gusanos y todas las aplicaciones que pueden ocasionar entorpecimiento en el sistema de información para un mal funcionamiento.

Generación: La generación de amenazas se da cuando se añade información en las bases de datos, registros y programas confidenciales, ocasionando daños internos y externos en los equipos de cómputo y prestación del servicio, ya que introduce mensajes no autorizados en cada uno de los comandos, registros y datos requeridos para un buen funcionamiento.

Amenazas Involuntarias: Las amenazas involuntarias son aquellas que se producen por desconocimiento sobre las medidas de seguridad mínimas que se deben tener al manipular cualquier tipo de información, asimismo los casos más comunes se encuentran en la eliminación de archivos básicos del sistema sin darse cuenta, dejar la contraseña de acceso en lugares visibles o simplemente no bloquean el equipo cuando salen de la oficina o se desplazan a otro lugar por alguna razón.

Amenazas Naturales o Físicas: Las amenazas naturales son aquellas que se producen por los efectos naturales y cambios ambientales en el entorno, ocasionando un desastre tales como el polvo, las inundaciones, terremotos, etc.

Amenazas Intencionadas: Las amenazas intencionadas son aquellas en la cual un grupo de hackers o una sola persona quiere conocer, modificar, eliminar y/o robar información para sus fines personales, por lo tanto se puede clasificar en dos tipos:

(17)

17

Intencionadas externas: Las amenazas intencionadas externas, se dan cuando un grupo de hackers y/o hacker a través de los conocimientos informáticos, aprovecha las fallas del software o conexiones de red para ingresar al sistema de manera no autorizada para obtener la información requerida, o pueden ingresar a las oficinas sin ser detectados.

1.7.1.3 Riesgos Informáticos

Los riesgos informáticos son problemas potenciales, que pueden afectar a los sistemas de información u ordenadores, si no se poseen las medidas adecuadas para salvaguardar los datos, dichos riesgos informáticos se pueden presentar por las vulnerabilidades y amenazas en cualquier momento, por lo tanto los riesgos se pueden clasificar en:

Riesgos de integridad: Son aquellos que se relacionan con el acceso, autorización y procesamiento de las aplicaciones que integran los reportes de las organizaciones, aplicados en cada uno de sus sistemas de operaciones como por ejemplo:

➢ Interfaz del usuario

➢ Procesamiento, procesamiento de errores ➢ Interfaz

Riesgos de acceso: Son aquellos que por una inadecuada configuración del sistema, en el cual no se poseen las metodologías apropiadas para salvaguardar la integridad y confidencialidad de la información, los datos podrían estar expuestos y son vulnerables a cualquier hacker, dependiendo del nivel de estructura en el cual se encuentra la seguridad de la información, de los cuales se pueden mencionar:

➢ Procesos de negocio ➢ Aplicación

(18)

18 ➢ Entorno de procesamiento ➢ Redes

➢ Nivel físico

Riesgos de utilidad: Los riesgos de utilidad se enfocan desde 3 sectores, en primer lugar se tienen los backups y/o planes de contingencia para la seguridad informática, en segundo lugar se tiene las técnicas para recuperar el sistema cuando existen caídas de los sistemas operativos y en tercer lugar los procesos que acompañan las posibles problemáticas debido al entorno para mitigar o minimizar la ocurrencia del hecho (amenaza y/o vulnerabilidad informática).

Riesgo de infraestructura: Son aquellos que no poseen una estructura tecnológica efectiva a la hora de enfrentar alguna eventualidad en sus sistemas de información, en el cual el software, hardware, personal, procesos, redes y canales de comunicación son los elementos que soportan las necesidades de operación, desarrollo, mantenimiento y procesamiento de la información de una organización, los cuales se deben determinar a partir de:

➢ Planeación organizacional ➢ Definición de las aplicaciones ➢ Administración de seguridad

➢ Operaciones de red y operaciones computacionales ➢ Administración de sistemas de bases de datos ➢ Información / Negocio

➢ Riesgos de seguridad general ➢ Riesgos de choque de eléctrico ➢ Riesgos de incendio

➢ Riesgos de niveles inadecuados de energía eléctrica ➢ Riesgos de radiaciones

➢ Riesgos mecánicos

1.7.1.4 Seguridad de la Información

(19)

19

En consecuencia la información se ha convertido en el activo más valioso para las compañías, donde se ejecutan metodologías para proteger los registros y mantener una infraestructura adecuada para la custodia y salvaguardar la información, por consiguiente la seguridad de la información abre el campo a la auditoría informática y a muchas áreas afines que apoyan la seguridad de los datos manteniendo los principios de la seguridad.

Integridad: La integridad garantiza la modificación, manipulación, borrado y almacenamiento de archivos solo por el personal autorizado de forma controlada, en este sentido provee metodologías de seguridad por niveles y logs de auditoría para salvaguardar la información de las organizaciones, Pymes, empresas y/o compañías. Igualmente el sistema de información, proporcionara accesos a las configuraciones, conforme a los roles o privilegios otorgados por los administradores del sistema.

Disponibilidad: Es la capacidad del sistema de información para mantener el acceso en cualquier instante de tiempo, por lo tanto se controla los intentos de eliminar archivos o modificar registros, por medio de la identificación de usuario y clave de acceso.

Confidencialidad: La confidencialidad provee las garantías, para identificar los usuarios que acceden al sistema de información, identificando la hora y fecha a través de los controles adecuados.

1.7.1.5 SGSI

Un sistema de gestión de la seguridad informática es el enfoque sistemático, con el propósito de establecer los mecanismos de gestión, para la confidencialidad integridad y disponibilidad de la información dentro de un conjunto de estándares seguros, teniendo como objetivo identificar cada una de las personas que apoyan los sistemas informáticos a través del proceso de gestión de riesgos asociados a la compañía. De esta manera se pueden establecer controles de seguridad de manera adecuada para cada componente y/o elemento que conforma los activos informáticos tangibles e intangibles.

Activos intangibles: Son los bienes inmateriales como:

○ Relaciones inter-empresas ○ Capacitaciones empresariales

○ Habilidades y motivación de los empleados y/o trabajadores ○ Bases de datos, Herramientas tecnológicas

(20)

20

Activos tangibles: Son los bienes de naturaleza material, los cuales son perceptibles a la vista del ser humano, como:

○ Mobiliario, capital

○ Infraestructura y área de terreno ○ Material, elementos de trabajo ○ Equipos informáticos

○ Teléfonos, cableado de red ○ Entre otros.

1.7.1.6 Análisis de Riesgos Informáticos

Es el proceso mediante el cual se identifican los activos informáticos de una organización o Pyme, la cual permite indagar sobre las posibles vulnerabilidades y amenazas a las cuales se puede encontrar expuesta una empresa grande o pequeña, por lo tanto se identifica la probabilidad de ocurrencia y el impacto de cada una, con el fin de implementar los controles y medidas preventivas necesarias para aceptar, transferir, evitar, o mitigar el riesgo identificado. Asimismo se podrá realizar una presunción o estimación del impacto a través de la matriz de riesgo, con el fin de identificar el riesgo total por medio de la fórmula:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

1.7.1.7 Control de Gestión

Es el proceso que permite organizar y guiar la gestión de las actividades empresariales, el cual inicia con el planteamiento de un objetivo para ser evaluado y medido a través del tiempo. De esta manera se centra en la verificación constante de cada proceso dentro de la organización, asimismo se podrá implementar los principios de control, los cuales pueden ser:

● Control por responsabilidades ● Desarrollo económico

● Integración de sistemas informáticos ● Control de excepciones

(21)

21 1.7.1.8 Mapa Estratégico

Un mapa estratégico, es el que determina a través de una ruta de navegación el camino a seguir durante cada uno de los instantes del tiempo, en el cual se establecen: a) objetivos estratégicos, b) perspectivas, c) líneas o temas estratégicos y d) relación de causa efecto (matriz DOFA). Así mismo permite comunicar y permear a toda la organización los procedimientos, procesos y actividades que se llevan a cabo para el mejoramiento continuo.

1.7.1.9 Auditoría

La auditoría es la herramienta para diagnosticar el sistema de información de una empresa y/o Pyme, el cual proporciona metodologías en la toma de decisiones sobre los sistemas auditados, por lo tanto se debe tener en cuenta que no todas las empresas manejan y manipulan la información de la misma manera, esto quiere decir que la auditoría puede diagnosticar y examinar diferentes aspectos conforme al área a inspeccionar.

Auditoría Interna: Según el Instituto de Auditores Internos (The Institute of Internal Auditors - IIA), definieron la auditoría interna como “La actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”

Auditoría Externa: La auditoría externa son los métodos utilizados por una empresa ajena para examinar sistemáticamente las herramientas que soportan la gestión de la empresa, como por ejemplo: el sistema de información administrativo, el sistema de información contable y aquellos sistemas que soportan algún procedimiento que pueda ser auditado para determinar la integridad del estado actual de los documentos, expedientes e información que ocasionó el ingreso de información. Como resultado se emite un concepto independiente sobre los sistemas de información y se realizarán sugerencias conforme a los hallazgos y evidencias encontradas, con el objetivo de:

➢ Dar fe pública sobre el procedimiento desarrollado para examinar los procesos.

➢ Validar las evidencias ante terceros.

(22)

22 1.7.2 Marco Conceptual

Activo de información: aquello que es de alta validez y que contiene información vital de la empresa que debe ser protegida.

Amenaza Informática: Vulnerabilidades que se pueden presentar en un sistema de información, donde una mala configuración y un mal funcionamiento del sistema de control pueden denegar o no detectar las causas potenciales que pueden afectar la infraestructura.

Confidencialidad Informática: Medidas y herramientas que permiten a los sistemas de información, evitar el acceso de personas no autorizadas, con el fin de custodiar la información contenida en sus bases de datos.

Disponibilidad Informática: Es la técnica para que los sistemas de información se puedan recuperar de fallos tecnológicos, con el propósito de mantener el acceso a las funcionalidades en la gran mayoría del tiempo.

Integridad Informática: Medidas y herramientas que permiten asegurar la procedencia de la información, los cuales se identifican como datos seguros porque no se ha producido ninguna modificación o cambio desde su emisión y es exactamente igual al dato o información original.

Gestión de Incidentes: Conjunto de procesos con el fin de gestionar cada uno de los incidentes hallados, para recuperar el sistema y minimizar el impacto negativo en las empresas.

Normas: Conjunto de elementos constituidos por reglas y pautas con el fin de ser ajustadas a un protocolo o procedimiento establecido por las organizaciones internacionales que lo rigen, estableciendo un orden de valores los cuales proporcionan una regulación entre los diversos comportamientos y estados que se pueden presentar dentro de una organización.

Vulnerabilidad: Debilidad de un activo o grupo de activos de información que puede ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por ausencia en controles de seguridad que permite ser explotada.

(23)

23

Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecución de ningún control.

Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicación de medidas de seguridad sobre el activo.

Administración del riesgo: Es la capacidad que tiene la Entidad para emprender acciones necesarias que le permitan el manejo de los eventos que puedan afectar negativamente el logro de los objetivos institucionales, protegerla de los efectos ocasionados por su ocurrencia.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Análisis del riesgo: El uso sistemático de información disponible para determinar con qué frecuencia un determinado evento puede ocurrir y la magnitud de sus consecuencias.

Control: Medida que modifica el riesgo.

Control Preventivo: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

Control Correctivo: Aquellos que permiten el restablecimiento de actividad, después de ser detectado un evento no deseable; también la modificación de las acciones que propiciaron su ocurrencia.

Mejora continua: Acción permanente realizada, con el fin de aumentar la capacidad para cumplir los requisitos y optimizar el desempeño.

1.7.3. Marco Legal.

(24)

24

Con base a esta información el marco de referencia del entorno jurídico de los servicios de tecnologías en Colombia es:

➔ Constitución Política de Colombia Ley estatutaria No. 1581 del 17 de octubre de 2012.

➔ Circular 05 del 9 de octubre de 2001.

➔ Dirección Nacional de Derecho de Autor DNDA Ley 23 del 28 de enero de 1982.

➔ Artículo 3 de la Decisión Andina 351 de 1993.

1.7.3.1 Ley 1273 de 2009.

Los tres principios fundamentales de la seguridad son la confidencialidad, la integridad y la disponibilidad, por lo tanto para preservar estos principios el 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado, denominado “De la Protección de la información y de los datos” , que pretende proteger la información, los datos y la preservación integral de los sistemas que utilicen tecnologías de la información y las comunicaciones.

La ley en su primer capítulo tiene en cuenta los siguientes artículos, que son los más esenciales y directos con la información:

➔ Acceso abusivo a un sistema informático.

➔ Obstaculización ilegítima de sistema informático o red de telecomunicación.

➔ Interceptación de datos informáticos.

➔ Daño informático.

➔ Uso de software malicioso.

➔ Violación a datos personales.

➔ Suplantación de sitios web para capturar datos personales.

(25)

25

Esta ley es de gran importancia como un apoyo legal para proteger la información de las organizaciones o personas, ya que no están exentas a estos problemas. Además, conocer las multas y penas de estas violaciones, posibilitan un mecanismo de respuesta rápido de las organizaciones o personas para defender su activo más importante que es la información.

1.7.3.2 La serie ISO 27000.

La ISO 27000 es un conjunto de estándares desarrollados que explican cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:

1. Preservar la confidencialidad de los datos de la empresa

2. Conservar la integridad de estos datos

3. Hacer que la información protegida se encuentre disponible

A continuación, se relacionan algunas de las normas que están relacionadas con el proyecto:

ISO 27001: La norma es certificable y contiene los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información.

ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en la seguridad de la información.

ISO 27005: Establece las directrices para la Gestión del riesgo en la seguridad de la información.

ISO 27034: Es una guía de seguridad en aplicaciones.

1.8 Estado del Arte

Para enfocar la investigación sobre el diseño de un sistema de Gestión de Seguridad de Información, se tomaron los siguientes proyectos a nivel nacional e internacional, con el propósito de identificar los avances y los hallazgos encontrados.

Diseño de un sistema de gestión de la seguridad informática para empresas del área textil en las ciudades de Itagüí, Medellín

(26)

26

Carlos Alberto Taborda Bedoya como requisito para optar por el título de ingeniería de sistemas y computación. La investigación trata de diseñar un SGSI para el grupo empresarial la Ofrenda del área textil la cual busca generar una herramienta que le permita a esta mejora los niveles de seguridad de sus activos de información y posteriormente lograr la certificación correspondiente a la seguridad de la información. Este trabajo aporta experiencia en el diseño de un SGSI para el proyecto que se está realizando, con elementos funcionales que permiten tener un mejor panorama acerca de este tipo de investigación (Guzmán & Taborda, 2015).

Diseño de un sistema de gestión de seguridad de la información para una entidad financiera.

En Febrero de 2015 fue presentado en la facultad de especialización del Institución Universitaria Politécnico Gran-colombiano, el trabajo de grado es de Carlos Alberto Guzmán Silva como requisito para optar por la Especialización en seguridad de la información. El proyecto presenta el diseño de un SGSI que permite gestionar la seguridad de los activos de información que interviene en diferentes procesos financieros, además sirve como guía para evidenciar la manera de afrontar las diferentes etapas de un SGSI, las técnicas utilizadas para la identificación de vulnerabilidades y riesgos, y la manera de definir controles a los diferentes hallazgos (Silva, 2015).

Planeación y diseño de un sistema de gestión de seguridad de la información, basado en la norma ISO/IEC 27001 – 27002.

En diciembre de 2013, es presentado en la universidad Politécnica de Perú en la facultad de ingeniería, el proyecto como trabajo de grado por Buenaño Quintana José Luis, Granada Luces Marcelo Alfonso, para optar por el título de Ingeniero de Sistemas. El proyecto se enmarca en el diseño de un SGSI basado en la norma ISO 27000 y enfocado a las necesidades directas de las mismas Universidad, en ella describe todas las etapas realizadas desde la necesidad puntual de tener un sistema que mejore la seguridad de la información, hasta los controles aplicables a los riesgos y vulnerabilidades hallados.

Es un aporte que permite indicar y adentrarse en el manejo y la aplicabilidad de la norma ISO 27000, como base de diseño de un SGSI, con todas sus recomendaciones y buenas Prácticas, para obtener a través de los análisis, el más adecuado resultado con información de los riesgos encontrados y los controles que se pueden aplicar a estos (Silva, 2015).

(27)

27

Implementación de un Sistema de Gestión de Seguridad de la Información, en el Ecuador

En este artículo se presenta un resumen de la metodología general de implementación del modelo de gestión de seguridad de información y su certificación para un proveedor de servicios de telecomunicaciones. Aunque da un amplio espectro sobre la totalidad de la metodología empleada para alcanzar este logro, se hace un énfasis particular en las tareas llevadas a cabo para el análisis y evaluación del riesgo, siendo este un esfuerzo multidisciplinario y bajo un enfoque cualitativo puesto que se pudo abarcar todos los activos con mayor facilidad. Una de las conclusiones particulares que este trabajo arrojó, se refiere a las personas como el eslabón más débil de la cadena recomendando por tanto dentro del análisis y evaluación del riesgo del SGSI dar el énfasis necesario para considerar este tipo de amenazas (Pincay, 2005).

1.9 Metodología

Ciclo PHVA

La metodología PHVA es un elemento fundamental, ya que proporciona una solución sistemática de los problemas y mejora de procesos, asegurando la reducción de costes de la no calidad y manteniendo la eficacia y eficiencia de las organizaciones. Además, contribuye a generar una sinergia interdepartamental en beneficio de la satisfacción del cliente, posibilitando la participación de los empleados en los procesos de transformación. El ciclo PHVA "Es la concepción básica que dinamiza la relación entre las personas y los procesos y entre los procesos y los resultados".

Dentro del contexto de un sistema de gestión de calidad el PHVA es un ciclo dinámico que puede desarrollarse dentro de cada proceso de la organización, y en el sistema de procesos como un todo. Está íntimamente asociado con la planificación, implementación, control y mejora continua, tanto en la realización del producto como en otros procesos del sistema de gestión de calidad.

El ciclo de mejora continua PHVA, desarrollado por Shewhart y popularizado por Deming, es una de las principales herramientas para el mejoramiento continuo de la calidad dentro de las empresas, el cual consiste en una serie lógica de cuatro pasos repetidos que se deben llevar a cabo consecutivamente, los cuales se detallan a continuación:

(28)

28

En esta fase se debe planificar la gestión de calidad, asegurando la política de calidad, la definición y cumplimiento de los objetivos de calidad, la asignación de recursos de acuerdo a un horizonte estratégico que dé prioridad a la competitividad de la empresa.

Hacer: Consiste en hacer las actividades previstas para los procesos según lo planificado, a partir de la toma de conciencia sobre la importancia de estar enfocados hacia el cliente y cumplir los requisitos, la asignación de responsabilidades y niveles de autoridad, la formación y el entrenamiento, la administración de la documentación y los registros, la gestión efectiva de las comunicaciones internas y externas, y el control sobre las variables críticas relacionadas con las características críticas de la calidad de productos y procesos.

Verificar: Consiste en comparar y comprobar los resultados obtenidos con los esperados, analizando las causas de las desviaciones. Se realiza el seguimiento de los procesos y los productos respecto a los objetivos, las políticas y los requisitos para el producto e informar sobre los resultados. Se verifica los resultados contra lo planeado, considerando el monitoreo y la medición, la auditoría sobre los procesos del SGC, el control de las no conformidades, el control de las mediciones y el seguimiento al cumplimiento de los objetivos.

Actuar: Consiste en eliminar las causas de rendimiento insatisfactorio e institucionalizar los rendimientos óptimos, así como volver a planificar acciones sobre resultados indeseables todavía existentes. Se mantiene y mejora el desempeño, mediante el desarrollo de las acciones necesarias para atacar los problemas tanto en su efecto e impacto, como en su causa o riesgo.

Figura 1. Flujos de PHVA

(29)

29

Para la ejecución de la presente etapa del Hacer del Ciclo de PHVA se selecciona a Magerit V3 como metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”.

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica ha elaborado y promueve como respuesta a la percepción de la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la información para la consecución de sus objetivos de servicio. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. El análisis de riesgos se ha consolidado como paso necesario para la gestión de la seguridad. Así se recoge claramente en las guías de la OCDE que, en su principio dice “Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo”.

Conocer los riesgos al que están sometidos los sistemas de información con los que se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud de guías informales para la realización del análisis y gestión de riesgos, aproximaciones metódicas y herramientas de soporte.

Todas estas guías (informales, metódicas) buscan poder evaluar cuánto de seguros (o inseguros) están los sistemas de información, para evitar llevarse a engaño. Una aproximación metódica no dejar lugar a la improvisación, como es el caso de Magerit, no depende de la arbitrariedad del analista.

Figura 2. Modelo Magerit

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita

(30)

30

Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.

Figura 3. Marco de trabajo para la gestión de riesgos.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita

Ministerio de Hacienda y Administraciones Públicas

Hay varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC: guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Magerit persigue los siguientes objetivos:

(31)

31 ● Directos:

1. concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.

2. ofrecer un método sistemático para analizar tales riesgos.

3. ayudar a descubrir y planificar las medidas oportunas para mantener los

A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos. También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos:

Modelo de valor: Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.

Mapa de riesgos: Relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad. Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.

Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.

Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas.

Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse.

Cumplimiento de normativa: Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente.

(32)

32 1.10 Alcances y Delimitaciones

1.10.1. Alcance

El alcance del proyecto abarca el diseño un Sistema de Gestión de Seguridad de la información para la empresa Agility S.A.S , el cual está orientado a cubrir la primera fase de la implantación de un Sistema de Gestión de Seguridad de la Información, que corresponde a la etapa de planeación.

1.10.2. Delimitaciones

1.10.2.1. Técnica

El proyecto no abarca las fases de implementación, mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información. Se entregará la documentación para su puesta en marcha y control.

1.10.2.2. Temporal

El desarrollo del SGSI, se ha proyectado a un tiempo de (6) meses, a partir de abril del 2016.

1.10.2.3. Geográfica

El proyecto se realizará en la ciudad de Bogotá, para la empresa Agility S.A.S.

1.11 Factibilidad

1.11.1. Factibilidad Técnica

(33)

33

Para la Realización del proyecto en cuanto a recurso se requiere lo siguiente:

HARDWARE

➢ Portatil Acer E5-411-P74S ➢ Procesador: intel Core i5 5200u ➢ Pantalla: 14" HD,LED, Delgada ➢ Ram: 4GB

➢ Disco Duro: 500GB ➢ LAN: Gigabit Ethernet

➢ Unidad de DVD Super Multi

➢ Puerto HDMI Acer CineCrystal™ LED-backlit ➢ Lector multitarjeta Wireless

➢ Web Cam HD, 802.11 b/g/n ➢ Sistema Operativo: Windows

SOFTWARE

➢ Dominios de Internet y alojamiento WEB ➢ XAMPP para Windows v5.6.23 (PHP 5.6.23) ➢ MySQL Workbench 6.3

➢ Bootstrap Currently v3.3.7 ➢ CodeIgniter Version 3.1.0

1.11.2. Factibilidad Operativa

El grupo de desarrollo del proyecto cuenta con el siguiente personal humano:

❖ Estudiantes de la Universidad Distrital Francisco José de Caldas, Ingeniería en Telemática.

➢ Jonathan Efrey Guarnizo Arias ➢ Edward Jonathan Prieto Sarmiento

❖ Director del proyecto.

➢ Miguel Ángel Leguizamón Páez

❖ Representante de la Empresa.

(34)

34 1.11.3. Factibilidad Económica

En el estudio de la Factibilidad Económica, se determinó el presupuesto de costos de los recursos técnicos y materiales tanto para el desarrollo como para la implantación. Además nos ayudará a realizar el análisis costo-beneficio de nuestro sistema, el mismo que nos permitirá determinar si es factible a desarrollar económicamente el proyecto.

A continuación, se describe los costos del recurso necesario para el desarrollo de nuestro Sistema de Información:

Tabla 1. Factibilidad económica.

Fuente: Autores

1.11.4. Factibilidad Legal

Cuando se piensa en la implementación de un sistema de gestión, en este caso el de seguridad informática, es necesario y obligatorio tener en cuenta desde el diseño, que se cumplan todas las leyes, decretos, normas, entre otras que apliquen durante el desarrollo de las actividades, buscando establecer la manera adecuada de proteger a las organizaciones y sus activos, sus colaboradores, a terceros, y a las personas en general de cualquier delito, infracción, proceso, procedimiento o acto mal ejecutado, que vulnere sus derechos, y ponga en riesgo su integridad, su buen nombre, sus activos y cualquier otro bien al que tengan pertenencia.

(35)

35

o sobre una o más personas en particular, por eso es necesario conocer algunas leyes, decretos y normas que rigen sobre estos elementos buscando la protección del bien individual o colectivo, algunas de estas leyes, decretos o normas son:

❖ “Decreto 1360 de 1989, donde se reglamenta el soporte lógico (software) en el registro nacional del derecho de autor, considerando al software como una creación del dominio literario en conformidad a la ley 23 de 1982 sobre derechos de autor”

❖ “Ley 527 de 1999, que establece y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y las firmas digitales, además de establecer las entidades de certificación y otras disposiciones”

❖ “Decreto 1747 de 2000, que reglamenta parcialmente la ley 527 de 1999, con lo relacionado a las entidades de certificación, los certificados y las firmas digitales”

❖ “Resolución 26930 de 2000, la cual fija los estándares para la autorización y el funcionamiento de las entidades de certificación y sus auditores”

❖ “Ley estatutaria 1266 de 2008, que establece las disposiciones generales del hábeas data y regula el manejo de la información que se contiene en las bases de datos personales, especialmente la financiera, crediticia, comercial, de servicios y la proveniente de terceros países”

(36)

36 1.12 Cronograma de Actividades.

Figura 4. Cronograma de Actividades.

(37)

37

2. Situación Actual de la Empresa Agility S.A.S.

2.1 Enfoque Empresarial

Agility S.A.S es una empresa colombiana, constituida por profesionales en Publicidad y Mercadeo, que ofrece servicios para Eventos Empresariales, Diseño Gráfico Corporativo, Material POP, Regalos Empresariales, Papelería Comercial, Impresión Digital.

La empresa cuenta con clientes como Adidas Colombia Ltda., Digicom System Corporation S.A., Softmanagement S.A., Processa S.A.S, entre otros, con los cuales ha hecho diferentes campañas publicitarias, eventos y proyectos de marketing, siempre manteniendo óptimas condiciones de Creatividad, Calidad y Cumplimiento.

2.2 Seguridad de la Información

El estado de la seguridad de la infraestructura tecnológica se encuentra con un nivel alto de exposición ante ataques informáticos debido a los distintos puntos vulnerables que tienen sus recursos tecnológicos a causa de la no existencia de un sistema que apoye la gestión de riesgos de seguridad y la poca concienciación, apropiación y conocimiento en temas de seguridad por parte de los funcionarios de la empresa, debido a que en algunos casos no le dan la importancia a la protección de la información por su intangibilidad, generando la poca efectividad de las acciones que en materia de seguridad se realicen en la compañía.

Agility S.A.S requiere asegurar sus activos de información con el propósito de proteger su exactitud y totalidad con el fin de que los mismos solo sean accesibles por aquellas personas que estén debidamente autorizadas. La empresa no cuenta con una metodología para la identificación y clasificación de sus activos de información y para la valoración y tratamiento de riesgos de seguridad de la información, lo que implica, que no cuenta con una visión global del estado de su seguridad.

2.3 Diagnóstico Situación Problema.

(38)

38

Figura 5. Identificación Situación Problema

Fuente: Autores

(39)

39

Situación Factores

No existe una cultura de seguridad de la información en la Entidad.

• Falta de concienciación y conocimiento en temas de seguridad por parte de los empleados. controles de seguridad basados en una evaluación de riesgos.

No existe un modelo para la gestión de riesgos.

•No existe una valoración e identificación de riesgos de seguridad de los activos de la información.

•Falta de clasificación de los activos para poder determinar los controles necesarios.

•La empresa no cuenta con una visión global del estado de su seguridad, y por lo tanto no tiene presente sus vulnerabilidades.

Falta de políticas y medidas de seguridad alineadas con los objetivos del negocio.

•La dirección de tecnología no ha definido políticas de seguridad.

•No se encuentran separadas las funciones para la seguridad informática y seguridad de la información.

Tabla 2. Factores Empresa.

Fuentes: Autores

(40)

40

3. Desarrollo de los objetivos planteados

Este capítulo corresponde al desarrollo de las diferentes etapas que se definieron para el diseño del Sistema de Gestión de Seguridad de la Información de la empresa Agility S.A.S, las cuales contemplan una serie de actividad cuya ejecución permite alcanzar los objetivos específicos establecidos para el logro del objetivo general del presente trabajo de grado.

A lo largo de este capítulo, se relaciona los diferentes elementos, datos recolectados y valoraciones para el desarrollo de cada una de las actividades de las etapas de la metodología definida para el diseño del SGSI de la empresa Agility.

3.1. Alcance del SGSI.

El alcance del sistema de gestión de la seguridad de la información (SGSI) abarca el proceso de gestión de riesgos, vulnerabilidades y amenazas asociadas a la empresa AGILITY S.A.S mediante los respectivos controles y enmarcados en la política de seguridad para establecer las mejores prácticas.

El Sistema de Gestión de la Seguridad de la información aplica para la sede principal de la compañía, ubicada en la ciudad de Bogotá, en función de los procesos core del negocio, activos, tecnología y actividades que se desarrollan en esta sede.

3.1.1. Política del SGSI.

La política del Sistema de Gestión de Seguridad de la información de la empresa Agility S.A.S estará enfocada en promover el progreso sostenible de su negocio, en cumplimiento de su misión, visión y objetivo estratégico, y para satisfacer las necesidades de sus clientes, empleados y accionistas, estableciendo la función de Seguridad de la Información en la Entidad, con el objetivo de:

❖ Garantizar la continuidad de los servicios y la seguridad de la información.

❖ Fortalecer la cultura de seguridad de la información en los empleados de la compañía.

(41)

41

❖ Cumplir con los requerimientos legales y reglamentarios aplicables a la empresa y al Sistema de Gestión de Seguridad de la Información.

La política aplica a toda la compañía, sus clientes, proveedores y terceros, con el fin de lograr establecer una adecuada seguridad de la información encaminada a que todos los recursos relacionados con el manejo de la información sean cuidados y aprovechados de la manera más eficiente, por todos los empleados, con niveles de seguridad acordes a los recursos tecnológicos, a los requisitos legales y a las obligaciones de seguridad contractuales.

3.1.2. OBJETIVOS DEL SGSI

El objetivo principal del Sistema de gestión de seguridad de la información es mantener un ambiente razonablemente seguro que permita proteger los activos de información que componen las líneas de negocio de Agility para asegurar credibilidad y confianza en los clientes y en general todo el equipo de trabajo.

Como objetivos estratégicos del Modelo SGSI se plantean los siguientes:

● Mantener la integridad de la información de la organización, teniendo en cuenta los requisitos de seguridad aplicables y los resultados de la valoración y el tratamiento de los riesgos identificados.

● Asegurar que la información de AGILITY S.A.S esté disponible para los usuarios autorizados y procesos en el momento en que así lo requieran.

● Proteger los recursos de la empresa del uso indebido del personal durante el desempeño de sus funciones.

● Garantizar el acceso a la información de AGILITY S.A.S de acuerdo con los niveles de la organización y criterios de seguridad que establezca la empresa.

● Cuidar la información transmitida o almacenada dentro de la empresa contra pérdida o modificación, mediante mecanismos para prevenir que usuarios y atacantes manipulen la información.

3.2. Identificación de los Activos

(42)

42

El activo esencial es la información que maneja la empresa; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:

● Bases de datos ● Servidores ● Switches ● Routers

● Información de clientes ● Clientes

● Equipos de cómputo (PC’S) ● Aplicaciones

● Recurso Humano ● Capital Financiero ● Imagen empresarial ● Sistemas periféricos. ● Cableado estructurado

● Software (Programas ofimática, Sistemas operativos, etc.)

Los datos y la información es lo que se pretende proteger en última instancia, es por esto que la información merece ser un poco más detallada para su conocimiento e identificación dentro de la organización.

Datos/ Información

● Datos de carácter personal ● De interés comercial

● Administración pública ● Administración interna ● De Configuración ● Código Fuente ● Registros

● Datos de prueba

Los datos pueden ser de varios tipos según la clasificación de confidencialidad la cual sea otorgada:

(43)

43 Activos de AGILITY S.A.S

Servicios: Los servicios son activos importantes porque contribuyen a un aumento en ingresos o utilidades por medio de su empleo en el ente económico, a la vez brindan ventajas de competencia.

 Implementación.

 Capacitación.

 Bases de conocimiento (Comunidad).

 Asesorías.

 BPO outsourcing.

Información: La información es el activo más valioso e importante para la empresa porque es la base para la toma de decisiones y definición de nuevas estrategias de negocios.

 Información de clientes.

 Información propietaria.

 Información del personal.

 Información en inteligencia de negocios.

Aplicaciones: Las aplicaciones son activos importantes para la empresa porque hacen parte del core del negocio y son mediante las cuales se manejan los procesos de la organización.

 Toodledo: Es una aplicación web que permite organizar las listas de tareas por prioridad y favoritas, con la flexibilidad de organización (por carpetas, subcarpetas, etiquetas, contextos), posibilidad de aplicar un tiempo estimado que llevará a finalizar la tarea, añadir notas en cualquier momento y posibilidad de compartirlas con amigos o compañeros de trabajo y acceder a ellas desde dispositivos móviles.

 Expensify: Es una aplicación web, en la que se puede agregar gatos y revisar en una lista los registros que se han hecho. De igual modo, se podrán clasificar y generar reportescon todos los gastos. Así, estos se sumarán automáticamente y la aplicación mostrará totales por cada categoría.

(44)

44

 CloudOn: Es una completa suite de ofimática en la nube, sincronizada con los principales servicios de almacenamiento en nube como Dropbox, Box y Google Drive. Con esta aplicación se puede crear y reproducir archivos de Word, Excel, PowerPoint, así como pdf e imágenes.

 World Office: Es un programa integrado que trabaja en ambiente Windows multiusuario para el manejo de la información contable y financiera de la empresa, con una sencilla interfaz que permite sacar el mejor provecho de sus múltiples funciones para mostrar la información de manera sencilla y agradable por medio de gráficos.

 Suite de Microsoft office: Es una suite ofimática que abarca el mercado completo en Internet e interrelaciona aplicaciones de escritorio, servidores y servicios para los sistemas operativos Microsoft Windows y Mac OS X.

Software Base: El software base es un activo valioso para la empresa porque es el medio del funcionamiento correcto de las aplicaciones y equipos de la organización.

 Microsoft SQL Server: Es un sistema de administración y análisis de bases de datos relacionales de Microsoft para soluciones de comercio electrónico, línea de negocio y almacenamiento de datos.

 Sistema operativo (Windows 10 Pro): Es el último sistema operativo desarrollado por Microsoft como parte de la familia de sistemas operativos Windows NT, con un enfoque en la armonización de experiencias de usuario y funcionalidad entre diferentes tipos de dispositivos.

Equipamientos: Los equipamientos son activos valiosos e importantes para la empresa porque se utilizan para el funcionamiento correcto de la operación diaria de la compañía.

 Sistema de alimentación cuarto de servidores.

 Sistema de climatización.

(45)

45 3.2.1. Valoración de activos

Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que se averiguo en la empresa Agility S.AS para poderlos proteger de las distintas incidencias a las que estuvieran expuestos los activos.

Cada activo tiene una valoración distinta en la empresa Agility, puesto que cada uno cumple una función diferente, La metodología Magerit contempla dos tipos de valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un valor a través de una escala cualitativa donde se valora el activo de acuerdo al impacto que puede causar en la empresa su daño o pérdida y la segunda hace referencia a una cantidad numérica.

A la vez se utilizan unas dimensiones que son las características o atributos que hacen valioso un activo, con el fin de valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado con respecto a dicho aspecto, Las dimensiones que se van a valorar para AGILITY S.A.S son las siguientes:

Disponibilidad [D]. - Disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.

Integridad [I].- Mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.

Confidencialidad [C].- Que la información llegue solamente a las incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos.

(46)

46

VALOR CRITERIO

10 Muy Alto Daño muy grave a la organización.

7 a 9 Alto Daño grave a la organización.

4 a 6 Medio Daño importante a la organización.

1 a 3 Bajo Daño menor a la organización.

0 Ninguno Irrelevante a efectos prácticos.

Tabla 3. Escalas de valoración.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

Las siguientes tablas permiten valorar con más detalle de forma homogénea los activos cuyo valor es importante por diferentes motivos.

Sigla Nombre

olm Operaciones

si Seguridad

lpo Obligaciones legales

cei Intereses comerciales o económicos

da Interrupción del servicio

adm Administración y gestión

lg Pérdida de confianza (reputación)

lbl Información clasificada

pi Información de carácter personal

Tabla 4. Listado de Motivos.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

(47)

47

VALOR CRITERIO

10

Olm Probablemente cause un daño excepcionalmente serio a la eficacia o seguridad de la misión operativa o logística.

Si

Probablemente sea causa de un incidente excepcionalmente serio de seguridad o dificulte la investigación de incidentes excepcionalmente serios.

9

Si Probablemente sea causa de un serio incidente de seguridad o dificulte la investigación de incidentes serios.

cei.a Causa de muy significativas ganancias o ventajas para individuos u organizaciones.

da Probablemente cause una interrupción excepcionalmente seria de las actividades propias de la Organización.

olm Probablemente cause un daño serio a la eficacia o seguridad de la misión operativa o logística.

adm Probablemente impediría seriamente la operación efectiva de la Organización, pudiendo llegar a su cierre.

lg.a Probablemente causaría una publicidad negativa generalizada por afectar de forma excepcionalmente grave a las relaciones a las relaciones con otras organizaciones.

lg.b Probablemente causaría una publicidad negativa generalizada por afectar de forma excepcionalmente grave a las relaciones a las relaciones con el público en general.

8 lbl Datos clasificados como confidenciales.

7

lpo Probablemente cause un incumplimiento grave de una ley o regulación.

si Probablemente sea causa de un grave incidente de seguridad o dificulte la investigación de incidentes graves.

cei.a Causa de graves pérdidas económicas.

da

Figure

Figura 1. Flujos de PHVA
Figura 2. Modelo Magerit
Figura 3. Marco de trabajo para la gestión de riesgos.
Tabla 1. Factibilidad económica.
+7

Referencias

Documento similar

dente: algunas decían que doña Leonor, "con muy grand rescelo e miedo que avía del rey don Pedro que nueva- mente regnaba, e de la reyna doña María, su madre del dicho rey,

Y tendiendo ellos la vista vieron cuanto en el mundo había y dieron las gracias al Criador diciendo: Repetidas gracias os damos porque nos habéis criado hombres, nos

Entre nosotros anda un escritor de cosas de filología, paisano de Costa, que no deja de tener ingenio y garbo; pero cuyas obras tienen de todo menos de ciencia, y aun

gareis , qual Icaro , deshechas las alas de mi prefumpcíon al Solde vueiha eloquencia, precípicarme en las abífmos de mi igIio.... Y afsi (a ga laiicca el Efpiricu

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y

[r]