• No se han encontrado resultados

Elaboración de un plan de implementación de SGSI con base en la Norma ISO 27001:2013/27002:2013 para la compañía SISTEC

N/A
N/A
Protected

Academic year: 2023

Share "Elaboración de un plan de implementación de SGSI con base en la Norma ISO 27001:2013/27002:2013 para la compañía SISTEC"

Copied!
156
0
0

Texto completo

(1)

Máster Universitario en Ciberseguridad y Privacidad (MUCIP)

Trabajo de Final de Máster

Elaboración de un plan de implementación de SGSI con base en la Norma ISO 27001:2013/27002:2013 para la compañía SISTEC.

Nombre Estudiante: Bairon Edwin Reyes Campuzano

Programa: Máster Universitario en Ciberseguridad y Privacidad (MUCIP) Área: Sistemas de Gestión de la Seguridad de la Información

Consultor: Antonio José Segovia Henares

Profesor responsable de la asignatura: Carles Garrigues Olivella Centro: Universitat Oberta de Catalunya

Fecha entrega: enero 2023

(2)

© Bairon Edwin Reyes Campuzano

Reservados todos los derechos. Está prohibido la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la impresión, la reprografía, el microfilme, el tratamiento informático o cualquier otro sistema, así como la distribución de ejemplares mediante alquiler y préstamo, sin la autorización escrita del autor o de los límites que autorice la Ley de Propiedad Intelectual.

(3)

FICHA DEL TRABAJO FINAL

Título del trabajo:

Elaboración de un plan implementación de SGSI con la norma ISO 27001:2013 para la compañía SISTEC de la ciudad de Guayaquil.

Nombre del autor: Bairon Edwin Reyes Campuzano Nombre del consultor/a: Antonio Segovia Henares

Nombre del PRA: Carles Garrigues Olivella Fecha de entrega (mm/aaaa): 01/2023

Titulación: Máster Universitario en Ciberseguridad y Privacidad (MUCIP)

Área del Trabajo Final: Sistemas de Gestión de la Seguridad de la Información

Idioma del trabajo: Castellano

Palabras clave ISO 27001, SGSI,

Resumen del Trabajo (máximo 250 palabras): Con la finalidad, contexto de aplicación, metodología, resultados i conclusiones del trabajo.

El proyecto que se muestra en esta memoria es parte del Trabajo final de Máster Universitario en ciberseguridad y privacidad de la Universidad Oberta de Catalunya, el objetivo es la elaboración de un Plan de Implementación de un Sistema de Gestión de Seguridad de la Información en la organización ficticia SISTEC, una compañía dedicada al desarrollo de software, la cual no posee implementada estándares de la norma ISO/IEC 27001:2013.

En primera instancia, se procedió a realizar una descripción de la empresa, sobre la que se procedí a realizar el proyecto y se ha realizado un análisis diferencial respecto a las normas ISO 27001:2013 e ISO 27002:2013 para conocer el punto de partida del proyecto.

En la segunda fase se definen los diferentes documentos que se van a necesitar para corroborar el cumplimiento de las normas, estos documentos son: políticas de seguridad, gestión indicadores, procedimiento de revisión de e la dirección, gestión de roes y responsabilidades, declaración de aplicabilidad.

A continuación, en la fase 3, se ha realizado el análisis de riesgos de la organización siguiendo la metodología MAGERIT. Para ello, se han identificado todos los activos de la organización y se han valorado. Posteriormente, se han analizado las posibles amenazas a las que está expuesta la organización y, por último, se ha obtenido el impacto y riesgo potencial de cada uno de los activos identificados.

En la fase cuatro se han elaborado diferentes proyectos que se deben realizar con el fin de reducir los principales riesgos que se vayan encontrando y determinar de esa manera los controles a llevarse a cabo dentro de la organización.

(4)

En la fase 5 se ha obtenido el grado de cumplimiento en base a las practicas establecidas con respecto a las normes ISO 27002:2013 y 27001:2013 y se han presentado los resultados obtenidos.

Luego de haber finalizado cada una de las fases se ha establecido la Seguridad de la información en la compañía.

Abstract (in English, 250 words or less):

The project shown in this report is part of the Final Project of the Master's Degree in Cybersecurity and Privacy of the Open University of Catalonia, the objective is the development of an Implementation Plan for an Information Security Management System in the organization. fictitious SISTEC, a company dedicated to software development, which does not have implemented ISO/IEC 27001:2013 standards.

In the first instance, a description of the company was made, on which the project was carried out and a differential analysis was carried out with respect to the ISO 27001:2013 and ISO 27002:2013 standards to know the starting point of the Project.

In the second phase, the different documents that will be needed to corroborate compliance with the standards are defined. These documents are: security policies, indicator management, management review procedure, ROES and responsibilities management, applicability statement. .

Next, in phase 3, the risk analysis of the organization has been carried out following the MAGERIT methodology. To do this, all the assets of the organization have been identified and have been valued. Subsequently, the possible threats to which the organization is exposed have been analyzed and, finally, the potential impact and risk of each of the identified assets has been obtained.

In phase four, different projects have been prepared that must be carried out in order to reduce the main risks that are found and thus determine the controls to be carried out within the organization.

In phase 5, the degree of compliance has been obtained based on the practices established with respect to the ISO 27002:2013 and 27001:2013 standards and the results obtained have been presented.

After having completed each of the phases, Information Security has been established in the company.

(5)

Índice

1 Fase 1: Situación actual: contextualización, Objetivos y análisis Diferencial 1

1.1 Introducción ... 1

1.2 Conociendo la ISO/IEC 27002 ... 4

1.3 Contextualización ...11

1.3.1 Organigrama ... 12

1.3.2 Alcance del SGSI ... 13

1.4 Objetivos del Plan director ...13

1.4.1 Objetivo General ... 13

1.4.2 Objetivos Específicos ... 13

1.5 Análisis Diferencial ...15

1.6 Resultados ...16

2 Fase 2: Sistema de Gestión Documental ...20

2.1 Introducción Fase Documental ...20

2.2 Esquema Documental ...20

2.2.1 Política de Seguridad... 21

2.2.2 Declaración de Aplicabilidad ... 22

2.2.3 Documentación del SGSI ... 22

3 Fase 3: Análisis de Riesgos ...24

3.1 Introducción ...24

3.2 Metodología para Análisis de riesgos ...24

3.2.1 Fase 1 -Toma de Datos y procesos de Información ... 25

3.2.2 Fase 2 - Establecimiento de parámetros ... 25

3.2.3 Fase 4. Análisis de amenazas ... 29

3.2.4 Fase 5. Establecimiento de vulnerabilidades ... 29

3.2.5 Fase 6. Establecimiento de impactos ... 30

3.2.6 Fase 7. Análisis del riesgo intrínseco ... 30

3.2.7 Fase 8. Influencia de salvaguardas... 30

3.2.8 Fase 9. Análisis de riesgo efectivo ... 31

3.2.9 Fase 10. Evaluación de riesgos ... 31

3.3 Inventario de activos...31

3.4 Valoración de Activos ...39

3.5 Dimensiones de Seguridad ...40

3.6 Tabla Resumen de Valoración de Activos ...42

3.7 Análisis de Amenazas ...43

3.8 Cálculo de Impacto Potencial ...47

3.9 Nivel de riesgo Aceptable y Riesgo Residual...49

3.10 Conclusión ...52

4 Fase 4: Propuesta de Proyectos ...53

4.1 Introducción ...53

4.2 Propuestas ...54

4.2.1 Proyecto-01: Mejora de la política de seguridad de la información54 4.2.2 Proyecto-02: Formación en seguridad de la información ... 55

4.2.3 Proyecto-03: Plan de continuidad de negocio ... 56

4.2.4 Proyecto-04: Protección de datos mediante criptografía ... 57

4.2.5 Proyecto-05: Mejora en la gestión de incidentes de seguridad .... 58

4.2.6 Proyecto-06: Mejora en la gestión de activos ... 59

4.2.7 Proyecto-07: Mejora en desarrollos de software ... 60

(6)

4.2.8 Proyecto-08: monitorización de sistemas ... 61

4.2.9 Proyecto-09: revisión de la seguridad de la información ... 62

4.3 Planificación de los Proyectos ...63

5 Fase 5: Auditoría de Cumplimiento de la ISO/IEC 27002:2013 ...64

5.1 Introducción ...64

5.2 Evaluación de cumplimiento...66

5.3 No conformidades con la norma ISO 27002:2013...82

5.4 No conformidades con la norma ISO 27001:2013...85

5.5 Resumen ...85

6 Fase 6: Presentación de Resultados y entrega de informes ...89

6.1 Introducción ...89

6.2 Resultados ...89

6.3 Objetivos Conseguidos ...95

6.4 Próximos Pasos ...95

7 Glosario ...96

8 Bibliografía ...98

9 Anexos ...99

9.1 Anexo I Análisis Diferencial ISO 27001:2013...99

9.2 Anexo II Análisis Diferencial ISO 27002:2013... 102

9.3 Anexo III Política de Seguridad de la Información ... 107

9.3.1 Introducción ... 107

9.3.2 Alcance ... 107

9.3.3 Recursos Humanos ... 108

9.3.4 Accesos físicos ... 108

9.3.5 Manejo de Activos ... 109

9.3.6 Equipos y Hardware ... 109

9.3.7 Control de Acceso ... 110

9.3.8 Desarrollo Software Seguro ... 111

9.3.9 Copias de seguridad ... 112

9.3.10 Gestión de Incidentes de Seguridad ... 112

9.4 Anexo IV Declaración de aplicabilidad ... 113

9.5 Anexo V Procedimiento de Auditorías Internas ... 130

9.6 Anexo VI Gestión de Indicadores ... 140

9.7 Anexo VII Procedimiento de Revisión por la dirección... 142

9.8 Anexo VIII gestión de Roles y Responsabilidades ... 143

9.8.1 Comité de Seguridad ... 144

9.8.2 Responsable de Seguridad de la Información... 145

9.8.3 Técnico de TI ... 146

9.8.4 Personal en general ... 146

(7)

Lista de figuras

Ilustración 1 Estructura Organizativa de SisTec ...12

Ilustración 2. Estado Madurez SGSI ...16

Ilustración 3 Análisis GAP ISO 27002 ...18

Ilustración 4 Análisis GAP ISO 27001 ...19

Ilustración 5 Interrelación de Activos ...39

Ilustración 6 Controles Aplicados ISO 27001 ...87

Ilustración 7 Controles Aplicados ISO 27001 ...87

Ilustración 8 Análisis GAP ISO 27001 Controles Aplicados...90

Ilustración 9 Análisis GAP ISO 27002 Controles Aplicados...91

Ilustración 10 Comparativo Norma ISO 27001 Iniciales vs Aplicados ...92

Ilustración 11 Comparativo Norma ISO 27002 Iniciales vs Aplicados ...94

(8)

Lista de Tablas

Tabla 1. Personal Sistec ...11

Tabla 2. Análisis Diferencial SISTEC ...15

Tabla 3. Resultados Análisis Diferencial ISO 27002 ...17

Tabla 4 Análisis GAP ISO 27001 ...18

Tabla 5 Escala Valoración Activos ...27

Tabla 6 Frecuencia Impacto ...27

Tabla 7. Porcentajes de Impacto...27

Tabla 8 Valoración de Impacto ...28

Tabla 9 Activos Sistec ...39

Tabla 10 Escala Valoración de Activos ...40

Tabla 11 Criterios Criticidad ...42

Tabla 12 Valoración de Activos Sistec ...43

Tabla 13 Amenazas Posibles ...44

Tabla 14 Frecuencia ocurre Amenaza ...44

Tabla 15 Valoración Impacto Amenaza ...45

Tabla 16 Frecuencia de Amenazas ...46

Tabla 17 Tabla Resumen de Impacto ...47

Tabla 18 Tabla Impacto Potencial ...48

Tabla 19 Escala Ev. Impactos riesgo y Frecuencia ...49

Tabla 20 Escala Evaluar Riesgos ...50

Tabla 21 Análisis Nivel de Riesgo ...52

Tabla 22 Proyecto 01 Mejora de Política Seguridad de la Información ...54

Tabla 23 Proyecto-02: Formación en seguridad de la información...55

Tabla 24 Plan Continuidad del Negocio ...56

Tabla 25 Protección de Datos mediante Criptografía ...57

Tabla 26 Mejora en Gestión de Incidentes de Seguridad ...58

Tabla 27 Mejora en la Gestión de Activos...59

Tabla 28 Mejora en Desarrollos de Software ...60

Tabla 29 Monitorización de Sistemas ...61

Tabla 30 revisión de la Seguridad de la Información ...62

Tabla 31 Planificación Proyectos SISTEC ...63

Tabla 32 Tabla de Madurez CMM ...65

Tabla 33 Evaluación Madurez ISO 27002:2013 ...77

Tabla 34 Nivel de Madurez ISO 27001:2013...82

Tabla 35 No Conformidades ISO 27002:2013 ...84

Tabla 36 No Conformidades ISO 27001:2013 ...85

Tabla 37 Comparativo Controles ISO 27001:2013 ...86

Tabla 38 Valores Controles ISO 27001 Aplicados ...89

Tabla 39 Valores Controles ISO 27002 Aplicados ...91

Tabla 40 Comparativo Norma ISO 27001 Iniciales vs Aplicados ...92

Tabla 41 Comparativo Norma ISO 27002 Iniciales vs Aplicados ...93

(9)

Tabla 42. Detalle Análisis Diferencial Iso 27001 ... 101

Tabla 43. Detalle Análisis Diferencial Iso 27002 ... 107

Tabla 44. Declaración de Aplicabilidad ... 129

Tabla 45 Formato de Programación Auditorías ... 134

Tabla 46 Formato Histórico de Asignación Auditores ... 135

Tabla 47 Detalle Procesos Auditados ... 136

Tabla 48 Detalle personal entrevistado ... 138

Tabla 49 Detalle de procesos y servicios auditados ... 138

Tabla 50 Detalle de Observaciones Encontradas ... 139

Tabla 51 Detalle de No Conformidades ... 139

Tabla 52 Gestión Indicadores ... 142

(10)

M1.880 · TFM-Sistemas de Gestión de Seguridad Inf ormación Estudis d’Inf ormàtica Multimèdia i Telecomunicació

1 Fase 1: Situación actual:

contextualización, Objetivos y análisis Diferencial

1.1 Introducción

En los tiempos actuales donde la evolución tecnológica ha tenido un notable crecimiento y su rol dentro de las diferentes organizaciones ha cambiado, esto con el fin de aportar valor agregado a la compañía, desde una pequeña tienda de barrio hasta la más grande corporación hacen uso de alguna herramienta tecnológica que permita agilizar, priorizar, gestionar o documentar diferentes procesos que ayuden con el crecimiento de esta.

Esta evolución ha permitido que se genere un cambio en cada uno de los modelos de negocio, lo cual ha venido de la mano con la transformación digital, el tratamiento y gestión de la información, control de datos personales, etc. Un Ejemplo claro de todo este tipo de cambios que se ha tenido es el crecimiento del comercio electrónico, todo esto con el fin de satisfacer necesidades de los usuarios mediante una app o una página web, sin embargo sabiendo que todos estos cambios y mejoras tecnológicas proveen un sinfín de beneficios que ayudan en el aumento de oportunidades y facilidades en el trabajo de cada una de las organizaciones, no se encuentran exentos de riesgos cibernéticos y por ende digitales, sabemos que dichos riesgos se traducen de manera inmediata en perdidas monetarias para la compañía que lo sufre , sean estos ataques malintencionados, perdidas de información, etc.

En el caso de los ataques cada vez son más sofisticados y recurrentes, es por este motivo si no se cuenta con un plan a seguir que permita tomar decisiones oportunas en dichos casos, la compañía no podrá tener un respaldo necesario ante alguna infiltración no permitida. Dado este contexto es de vital importancia que cada organización posea un plan director de sistemas basados en un SGSI (Sistema de Gestión de Seguridad de la información) el cual se fundamenta principalmente en la norma ISO-27001, por lo tanto, un sgsi ayuda a establecer

(11)

y estructurar un proceso sistemático que ayuda a operar, monitorear, revisar y mejorar la seguridad de la información en las organizaciones1.

El mismo permite ejecutar y llevar a cabo procedimientos que tienen como base las mejores prácticas, las mismas que pueden ser aplicadas de manera correcta en los diferentes ámbitos empresariales, todo esto permite proporcionar una mejora continua que permitirá evaluar, gestionar y solventar los riesgos a los cuales se enfrentan diariamente las compañías, esto con el fin de:

✓ Mantener la confidencialidad de la información

✓ Mantener la integridad de los datos

✓ Asegurar la disponibilidad de la información

Teniendo como referencia dichos puntos se define que un plan director de sistemas basado en un SGSI permitirá resguardar siempre el activo más preciado que poseen las compañías actualmente, el cual es, la información.

El Plan director de Seguridad de Sistemas de la Información es un elemento principal con el que debe trabajar el responsable del área de Seguridad de la organización, el mismo lo debe conocer desde el gerente hasta el empleado que realiza la limpieza, todo esto con el fin de que cada colaborador de la compañía conozca que es parte fundamental en la organización. Este plan permitirá gestionar de forma eficiente la seguridad de la información, el mismo permitirá conocer el estado de esta y además ayudará en las respectivas mejoras.

Para poder realizar las respectivas adecuaciones en los lineamientos se trabaja con el modelo de mejora continua PDCA(Plan-Do-Check-Act), esta metodología es de carácter cíclico que permite garantizar la mejora continua de el plan que se lleve a cabo dentro de la organización.

Dentro del marco legal reflejado en ecuador en su ley de tratamiento de datos personales regula: “el contenido y alcance de los derechos: 1) a la información; 2) de acceso; 3) de rectificación y actualización; 4) de

1 https://www.iso27000.es/sgsi.html

(12)

eliminación; 5) de oposición; 6) a la portabilidad; 7) a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas; 8) de consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales; 9) a la educación digital”.2

Esto quiere indicar que la seguridad de la información no es un tema opcional, dado que los datos personales deben ser tratados en base a lo que es dictaminado por la ley, para que la organización pueda cumplir con los requerimientos ordenados por las leyes ecuatorianas y para poder obtener una correcta administración de la información se plantea determinar las bases de un Plan de director de Seguridad para la organización. Agilizando tareas, y como iremos viendo, nuestro proceso será el siguiente:

Especificar nuestro inventario de activos.

Especificar los riesgos que pueden llegar a tener en base a nuestros activos

Determinar las amenazas a las que están expuestos.

Estudiar el impacto potencial de dichas amenazas.

Detallar el plan de acción en caso de potenciales ataques.

Evaluar el impacto residual una vez aplicado el plan de acción.

El impacto que podrá llegar a tener el proyecto en cada uno de los departamentos de la compañía se lo analizará conforme el mismo avanza, esto quiere indicar que una vez que el plan director de sistemas que se elabore permitirá que cada uno de los departamentos de esta se involucren en un solo objetivo que va acorde con los lineamientos de las entidades gubernamentales y por la seguridad de la información de cada uno de los clientes.

2https://nmslaw.com.ec/ley-organica-proteccion-datos-

personales/#:~:text=459%20de%2026%20de%20mayo,as%C3%AD%20como%20su%20corr espondiente%20protecci%C3%B3n.

(13)

1.2 Conociendo la ISO/IEC 27002

Basado en los diferentes esquemas que se plantean para evitar la pérdida o vulneración de la información se estima realizar la revisión de la norma ISO 27001, sabiendo que esta norma es un estándar internacional para la seguridad de la información publicado en octubre del 2005 por la Organization for Standardization y por la comisión International Electrotechnical Commission, que permite proporcionar protección a la información sensible de que aporta valor a la compañía, entendiendo como sensible a aquella que pertenece a : empleados, clientes , proveedores, datos financieros y datos operativos. 3

Esta norma específica cada uno de los requisitos que se necesitan para:

establecer, implantar, mantener y mejorar un sistema de seguridad de la información, este proceso es conocido como el “Ciclo de Deming (PDCA – Plan, Do, Check, Act)”.

Sabiendo que cada una de estas acciones representa las actividades que se deben realizar, este es un proceso cíclico que se describe de la siguiente forma:

Plan. -En esta etapa se identifican los problemas específicos que se pueden enfrentar en la ejecución de un proyecto, los recursos que se utilizarán, que recursos están disponibles y cuales tendrán que ser solicitados, los requisitos de las partes interesadas, las condiciones de ejecución, y los objetivos finales del proyecto.

Hacer (Do). -Una vez se ha encontrado la solución a un problema, o una nueva forma para optimizar un proceso, inicia la etapa de implementación en la práctica. Durante esta etapa se registra información relevante, sobre todo sobre los eventuales problemas que se presenten. Recordemos que lo que planeamos sobre el papel, no siempre se reproduce con fidelidad en la realidad.

Usualmente, este paso se desarrolla en dos etapas. Una en la que todo se hace en una escala de prueba, y otra en la que, de acuerdo con los resultados, se procede a una ejecución en escala real.

3https://www.nqa.com/medialibraries/NQA/NQA-Media-

Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

(14)

Verificar (Check). -En esta fase de verificación se miden y evalúan los resultados y se comparan con la expectativa planteada. En caso de grandes diferencias, es importante responder con prontitud y rastrear la causa.

Verificar los resultados es probablemente la fase más importante del ciclo PDCA. Se debe prestar suficiente atención para que los errores recurrentes no se presenten nuevamente y se produzca así una mejora evidente. Esta fase se caracteriza por la verificación activa y la evaluación de la efectividad del plan original.

Además, durante esta fase, el equipo del proyecto identifica áreas problemáticas del proyecto y toma la decisión de eliminar los riesgos o tomar acciones para mitigar el impacto en aras de una mejora continua.

Actuar (Act). -Finalmente, es posible tomar acciones correctivas -por lo general-, pero también de mejora cuando se detectan oportunidades, que se podrán aplicar en toda la organización. Si todo fue de acuerdo con el plan y los resultados son satisfactorios, no es necesario desviarse del curso original.

Pocas veces sucede así. Con buenos o deficientes resultados, tras la implementación de las acciones de mejora, el ciclo debe reiniciarse. Es en la continuidad de la metodología donde se encuentra su mayor fortaleza.4

Esta norma es consistente con las mejores prácticas descritas en es estándar ISO/IEC 27002, anteriormente conocida como 17799, es decir para la elaboración de nuestro plan director de sistemas nos basaremos principalmente en las buenas prácticas ofrecidas por dicha norma. Cabe mencionar que la norma que se puede obtener una certificación es la 27001.

Como se lo ha descrito anteriormente esta norma internacional fue diseñada para que cada una de las organizaciones que se encuentran en la implementación de un SGSI, la tomen como referencia para elaboración y diseño de este.

La seguridad de la información se consigue a través de la implementación de controles, lo que puede incluir en el establecimiento o modificación de:

✓ Políticas

✓ Funciones de hardware y software

✓ Procedimientos

(15)

✓ Estructuras organizativas

Cabe destacar que esta norma se basa en los siguientes ejes básicos para su implementación entro de un SGSI:

✓ Determinación de Requisitos de seguridad de la información

✓ Selección de Controles

✓ Desarrollo de Directrices Propias

✓ Consideraciones del ciclo de vida

✓ Relación entre normas

Esta norma posee dominios en los siguientes campos:

1. Políticas 2. Organización

3. Recursos Humanos 4. Activos

5. Accesos 6. Cifrado

7. Física y ambiental 8. Operativas

9. Telecomunicaciones 10. Adq., Des. y Mantto 11. Proveedores

12. Incidentes

13. Continuidad de negocio 14. Cumplimiento

Es decir, se pueden aplicar las buenas prácticas en cada uno de los dominios antes tipificados, los mismos que se especifican en el documento que se documentara en este proceso.

Dentro de la elaboración de el plan, debeos identificar los riesgos que poseen los activos de la organización, es por tal motivo que tomamos como Referencia a MAGERIT, el cual es una metodología que se usa para determinar los riesgos que pueden llegar a sopesar en cada los diferentes activos.

4https://www.escuelaeuropeaexcelencia.com/2020/07/en-que-consiste-el-ciclo-pdca-para-la-

(16)

Magerit sigue un proceso hasta llegar a la elaboración de todos los riesgos de la organización, las fases son las siguientes:

1. Toma de Datos y Proceso de Información 2. Establecimiento de parámetros

3. Análisis de activos 4. Análisis de amenazas

5. Establecimiento de Vulnerabilidades 6. Establecimiento de impactos

7. Análisis de riesgo intrínseco 8. Influencia de Salvaguardas 9. Análisis de Riesgo Efectivo 10. Evaluación de Riesgos

Toma de Datos y Proceso de Información: Esta primera fase es la más importante ya que debe definirse el alcance y dependiendo de este se definirá si es más o menos costoso el proceso. Hay que tener en cuenta también que dentro de esta primera fase se deben analizar todos los procesos de la empresa que estén vinculados con un riesgo, es de vital importancia que siempre se deba garantizar que los procesos propios de la organización puedan realizarse siempre de la mejor manera.

Establecimiento de parámetros: En esta fase se establecen los diferentes parámetros que van a utilizarse durante todo el análisis de riesgos, hay que tener en cuenta que si se detalla un parámetro en esta fase se debe considerar siempre en todo el análisis de riesgos, esto debido a que si no se cumple este contexto no se podrá tener una comparación entre los parámetros y los riesgos reales, los parámetros que se deben definir en este punto son:

✓ Valor de Activos: este parámetro tiene como objetivo asignar una valoración económica a todos los activos de la organización, es decir se establecen cifras relevantes al costo del activo y su importancia, por ejemplo: no es lo mismo el valor de activo tipo laptop que solo la usa un usuario para consultar su correo electrónico a diferencia de una laptop que use un desarrollador en la cual se encuentre las fuentes de los últimos cambios que se van a subir a producción.

mejora-continua/

(17)

✓ Vulnerabilidad: las vulnerabilidades se entienden como la frecuencia en la que puede ocurrir la amenaza, es decir el tiempo recurrente en que una organización podría sufrir un ataque en concreto.

✓ Impacto: Se entiende por impacto el tanto por cierto del valor del activo que será afectado por la amenaza, es decir se denomina así a la consecuencia del hecho que una amenaza pueda dañar el activo.

✓ Efectividad del Control de Seguridad: este parámetro indica la influencia que tendrán las medidas que se tomarán de protección en base a los riesgos antes planteados.

Análisis de activos: en esta fase se identifican y se detallan cuáles son los activos que posee la organización y que se necesita llevar a cabo en cada una de sus actividades, para poder establecer los activos que posee la compañía se debe considerar lo siguiente:

✓ Datos que materializan la información.

✓ Servicios auxiliares que se necesitan para poder organizar el sistema.

✓ Las aplicaciones informáticas (software) que permiten manejar los datos.

✓ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.

✓ Los soportes de información que son dispositivos de almacenamiento de datos.

✓ El equipamiento auxiliar que complementa el material informático.

✓ Las redes de comunicaciones que permiten intercambiar datos.

✓ Las instalaciones que acogen equipos informáticos y de comunicaciones.

✓ Las personas que explotan u operan todos los elementos anteriormente citados.

Análisis de amenazas: hay que tener en cuenta que una amenaza es una situación dentro de la organización que puede llegar a convertirse en un problema de seguridad, por lo tanto, en esta fase se las debe determinar y las mismas pueden ser:

(18)

✓ Accidentes. – Son situaciones que no son provocadas de manera voluntariamente en la mayoría de los casos no se pueden evitar, suelen suceder por efectos naturales tales como: avería, Accidente físico, Interrupción de servicios esenciales y accidentes mecánicos o electromagnéticos.

✓ Errores. - Son aquellas situaciones que se cometen de forma involuntaria, esto se suele dar por el propio desarrollo de los procesos diarios que se ejecutan en la organización, esto se puede dar por factores como: descuido o desconocimiento de la actividad que se está ejecutando, puede ser por personal propio o terceros.

✓ Amenazas presenciales intencionales. - son aquellas provocadas por el propio personal de la organización, estas las realizan a sabiendas de que provocaran daño tanto físico o lógico.

✓ Amenazas remotas intencionales. - son aquellas provocadas por personal externo de la compañía es decir de terceros que logran dañarla.

Establecimiento de Vulnerabilidades. - en esta fase se denotan aquellas vulnerabilidades que pueden llegar a convertirse en una amenaza y que puedan dañar un activo

Establecimiento de impactos. - en esta fase se determina como las consecuencias que provoca en la organización el hecho de que una amenaza llegue afectar un activo. se puede determinar el siguiente:

Impacto Potencial: Se lo denomina a la medida de impacto del daño de nuestros activos derivado de la materialización de una amenaza.

Análisis de riesgo intrínseco. -Para MAGERIT, el estudio de la situación actual es el análisis de riesgos intrínseco, es decir, el análisis de la situación en la que se encuentra la organización en el momento del estudio, aunque ya posea medidas de seguridad implantadas.

Recordemos que definimos los riesgos intrínsecos como aquellos a los que estamos expuestos sin tener en cuenta las medidas de seguridad que podamos implantar. En el caso de MAGERIT, se entiende como intrínseca la situación en

(19)

la que nos encontramos teniendo en consideración todos los elementos que posee la organización.5

Influencia de Salvaguardas. -Las salvaguardas conocidas también como contra medidas son aquellos procedimientos tecnológicos las cuales reducen riesgos. Hay amenazas que se pueden evitar simplemente organizándose adecuadamente, otras requieren elementos técnicos como programas o equipos, otras como seguridad física y por último esta la política de personal.

Análisis de Riesgo Efectivo. - se le denomina al resultado de estudiar cómo se reducirán los riesgos con cada una de las medidas de protección

Evaluación de Riesgos. - Esta última fase consiste en la toma de decisiones por parte de la organización sobre las medidas de seguridad que debe escoger entre el listado de salvaguardas que permiten reducir los riesgos en aquélla6.

5 Sistema de gestión de la seguridad de la información (uoc.edu)

(20)

1.3 Contextualización

Se conoce que la compañía Sistemas & Soluciones Tecnológicas – SISTEC (ficticia), es una organización que se ha especializado durante más de 15 años en el desarrollo e implementación de diferentes aplicaciones tecnológicas basadas en diferentes plataformas (móvil, web, win) las mismas que son realizadas a la medida para las diferentes empresas del Ecuador, la empresa se encuentra en la ciudad de Guayaquil y cuenta con un grupo de empleados detallados de la siguiente manera:

Cantidad Cargo

1 Jefe de Tecnología 2 Lideres de Proyectos 2 Supervisores de Desarrollo 2 Testers de aplicaciones 7 Desarrolladores Full Stack

2 Administradores de Infraestructura 2 Personal de Limpieza

2 Guardias con Turnos Rotativos 1 Especialista de Recursos Humanos 1 Contadora

2 Asistentes de Contabilidad 1 Cajera

1 Gerente General 1 Asistente Gerencia 1 Jefe de Ventas 2 Asistente de Ventas

Tabla 1. Personal Sistec

La empresa desde su concepción no ha contado con políticas claras que ayuden con la categorización y resolución de inconvenientes ante posibles ataques por parte de atacantes externos, es por tal motivo que se hace meritorio la elaboración de un plan que permita solventar y prever los diferentes inconvenientes que pueden llegar en base a perdida o manipulación de la

(21)

información. La empresa cuenta con un catálogo de aplicaciones desarrolladas en las plataformas:

✓ Móvil

✓ Web

✓ Windows

Y adicional la información que cada uno de los clientes ingresan es almacenada en cada uno de los servidores de la compañía, adicional se hace mención que cuando existe un desarrollo, cada programador designado para el proyecto tiene la potestad de hacer cambios en los servidores, tanto en los de producción como pruebas.

Ante esta problemática se plantea la elaboración del plan que ayude con el establecimiento de políticas que permitan asegurar: confidencialidad, integridad y disponibilidad de la información a través del SGSI basado en la norma ISO 27001:2013, de manera que permita garantizar la forma adecuada en la que se trata la información y cada uno de los problemas de seguridad que llegaran a existir en la organización y el activo más valioso.

1.3.1 Organigrama

Dentro de la compañía SISTEC se considera una estructura jerárquica que ha permitido el funcionamiento hasta el momento sin novedades y con un crecimiento bastante grande. Como se mencionó anteriormente la compañía consta de la siguiente estructura jerárquica.

Ilustración 1 Estructura Organizativa de SisTec

(22)

1.3.2 Alcance del SGSI

El Alcance del Sistema de Gestión de la seguridad de la Información de la compañía SISTEC abarcara cada uno de los procesos y sistemas de la empresa, esto debido a que cada persona que forma parte de la organización debe conocer acerca del activo más importante que posee la compañía, el cual es la información, esto incluye las áreas y departamentos que forman parte de la organización además de los diferentes periféricos que permiten el tratamiento y manipulación de la misma también se incluyen los sistemas de información que dan soporte al área de administración y dirección, sistemas que se han desarrollado, servidores, y equipos de desarrollo. Todo esto de acuerdo con la Declaración de Aplicabilidad de SISTEC.

1.4 Objetivos del Plan director

1.4.1 Objetivo General

Detallar un plan director empleando un sistema de gestión de seguridad en sistemas de la información que tenga como base la norma ISO 27001:2013 en la cual se especifiquen las diferentes políticas que ayuden en los diferentes procesos tecnológicos dentro de la compañía SISTEC.

1.4.2 Objetivos Específicos

✓ Detallar los diferentes procesos que se llevan a cabo en el área de tecnología dentro de la compañía SISTEC, mediante el respectivo relevamiento de información con los usuarios involucrados para obtener un conocimiento amplio de las respectivas actividades tecnológicas.

✓ Especificar los diferentes activos que posee la compañía SISTEC, mediante la realización de consultas a los usuarios para identificar los diferentes riesgos y vulnerabilidades que poseen cada uno.

✓ Definir controles, políticas, patrones, jerarquías, permisos, planes de mejora y estrategias de mitigación de riesgos que ayuden a evitar la pérdida o mala manipulación de la información.

✓ Establecer las funciones y obligaciones que poseerán cada uno de los colaboradores dentro de la compañía en la implementación del plan director de sistemas basado en el SGSI.

(23)

✓ Preparar al departamento de tecnología de la compañía SISTEC para los procesos de revisión, auditoría, capacitación, certificación o acreditación correspondientes en la norma ISO 27001, la misma que tiene como base el aseguramiento de la información.

(24)

1.5 Análisis Diferencial

En este sentido se elaboró el respectivo análisis diferencia para determinar un porcentaje en base al requerimiento del SGSI que actualmente son aplicables en la compañía SISTEC.

Estado Significado

Proporción de Requerimientos

SGSI

?

Descono cido

No ha sido determinado o especificado

0%

Inexistente

No poseen ningún control de seguridad en las

diferentes aplicaciones

26%

Inicial

Las salvaguardas existen, pero no se gestionan, no existe un proceso formal para realizarlas. Su éxito depende de la buena suerte y de tener personal de la alta calidad.

56%

Repetible

La medida de seguridad se realiza de un modo totalmente informal (con procedimientos propios, informales). La responsabilidad es individual. No hay formación.

0%

Definido

El control se aplica conforme a un procedimiento documentado, pero no ha sido aprobado ni por el responsable de Seguridad ni el Comité de Dirección.

19%

Administrado

El control se lleva a cabo de acuerdo con un procedimiento documentado, aprobado y

formalizado.

0%

Optimizado

El control se aplica de acuerdo con un procedimiento documentado, aprobado y formalizado, y su eficacia se mide periódicamente mediante indicadores.

0%

No aplicable

A fin de certificar un SGSI, todos los requerimientos principales de ISO/IEC 27001 son obligatorios. De otro modo, pueden ser ignorados por la Administración.

0%

Tabla 2. Análisis Diferencial SISTEC

(25)

Ilustración 2. Estado Madurez SGSI

Revisado dicho análisis podemos identificar que la compañía posee una calificación muy baja con respecto al cumplimiento de requerimientos establecidos por las normas ISO 27000, es decir no llegan a un punto de madurez optima y por ende es necesario desarrollar diferentes estrategias para poder incorporar el plan director y encaminarlo en la organización. Para este sentido se debe trabajar con un fuerte énfasis en el conocimiento de los procesos y desarrollo de todo tipo de políticas basadas en el estándar que ayuden con la implementación de el plan director de Sistemas. Los resultados del análisis diferencial los podremos observar en los anexos I y II.

1.6 Resultados

Una realizado los el análisis diferencial en base a los controles en la ISO 27002:2013 han permitido denotar un nivel de madurez muy por debajo de lo esperado , esto debido a que la compañía en la cual se plantea realizar el plan director de Sistemas es una organización que se dedica al desarrollo de software, esto es debido a que actualmente el la organización no existe un diseño claro donde cada usuario conozca su respectivo rol dentro de la organización, es decir, la compañía en cuestión ha basado su crecimiento en

(26)

ventas radicado principalmente en la entrega puntual de proyectos a sus clientes, todo esto con la convicción de acaparar el mercado y aumentar su cartera de socios estratégicos.

Una muestra de aquello es el análisis GAP(Diferencial) que se muestra a continuación con los respectivos puntajes otorgados en base a la información obtenida de la compañía.

Descripción Valor

A5 Políticas de seguridad de la información 1 A6 Organización de la seguridad de la

información 2.2

A7 Seguridad relativa a los recursos humanos 2.77777778

A8 Gestión de activos 1.77777778

A9 Control de acceso 2.48333333

A10 Criptografía 1

A11 Seguridad física y del entorno 1 A12 Seguridad de las operaciones 2

A13 Seguridad de las comunicaciones 2.33333333 A14 Adquisición, desarrollo y mantenimiento

de los sistemas de información 1.92592593 A15 Relación con proveedores 0.83333333 A16 Gestión de incidentes de seguridad de la

información 1.85714286

A17 Aspectos de seguridad de la información para la gestión de la continuidad de negocio 2

A18 Cumplimiento 2.26666667

Tabla 3. Resultados Análisis Diferencial ISO 27002

(27)

Ilustración 3 Análisis GAP ISO 27002

Hay que tener en cuenta que la compañía conforme ha ido creciendo ha intentado mejorar sus buenas prácticas en base a lo que seguridad en la información se requiere, es por tal motivo que algunos puntos sus puntos se encuentran definidos, pero al realizar el análisis global en base a los requerimientos por parte de la norma ISO 27001 y 27002 ha denotado un porcentaje de cumplimiento muy bajo.

Con respecto a esto se realizó también el análisis GAP en base a la norma ISO 27001

Descripción Valor

4 Contexto de la organización 0.88

5 Liderazgo 2.33

6 Planificación 0.00

7 Soporte 1.27

8 Operación 1.67

9 Evaluación del desempeño 0.67

10 Mejora 0.50

Tabla 4 Análisis GAP ISO 27001

(28)

Ilustración 4 Análisis GAP ISO 27001

Con este análisis podemos determinar que los controles aplicados actualmente en base a la norma ISO 27001 en SISTEC se encuentran en su mayoría en etapa Inicial o No definido para esto es meritorio y necesario realizar un plan que permita aumentar dicho estatus, es por tal motivo que se plantea en este documento la implementación de un SGSI que permita obtener mejores resultados en base a este análisis.

(29)

2 Fase 2: Sistema de Gestión Documental

2.1 Introducción Fase Documental

Sabiendo que con la llegada y fuerte crecimiento de las diferentes tecnologías que mejoran en gran medida la vida cotidiana dentro de las organizaciones y además conociendo que la implementación de las normas ISO 27001 que abarcan principalmente los temas de la seguridad de la, es decir esta norma ISO forma parte fundamente para abordar temas de ciberseguridad en las organizaciones, inclusive la legislación ecuatoriana contempla procedimientos a seguir para el tratamiento de la información.

Dado este contexto uno los principales requerimientos de la norma y además causa gran estrés en los departamentos de tecnología de la compañía, es su documentación que se debe cumplir para que ayuden de manera necesaria en el óptimo desempeño de la gestión tecnológica y además de la correcta colaboración en la obtención de calificaciones optimas durante el proceso de auditorías efectuadas por las firmas auditoras. Dicha documentación la pondremos en contexto en los siguientes puntos a tratar, además hay que tener en cuenta que no todos los documentos serán aplicables dentro de la organización.

En ciertas ocasiones, llega a resultar complicado poseer una clara perspectiva de cuáles son los documentos y registros que se deben llevar a cabo de manera necesaria para la implementación de manera correcta de un SGSI, en tal motivo identificamos los documentos que formaran parte de la elaboración de este plan director de sistemas basados en un SGSI con las normas ISO 27001 y 27002.

2.2 Esquema Documental

La propia norma ISO 27001 determina cuales son los documentos que todo sistema de gestión de seguridad de la información debe poseer para que pueda certificarse, para esto nos basamos en una estructura que permite la gestión de diferentes procesos y toma de decisiones, además de la ayuda en la especificación de roles, funciones y determinación del flujo de aprobaciones que ayudan a validar las actividades que se hayan efectuado.

(30)

Todo lo antes mencionado se lo debe documentar de forma clara, precisa y concisa, con el único de especificar todos pasos a seguir en los diferentes documentos, cabe mencionar que la elaboración de esta documentación tienes como base dos motivos:

✓ Garantizar la repetición en el tiempo de un proceso.

✓ Establecer un proceso de mejora. La documentación de un proceso permite el acceso a información valiosa cuando decidimos evaluar la eficacia de nuestro sistema de gestión y nos permite tomar decisiones para modificar por ejemplo el proceso de toma de decisiones para mejorar nuestro sistema. Este es uno de los principales motivos de un sistema de gestión: LA MEJORA CONTINUA de nuestros procesos.6

Para la elaboración de este proyecto tendremos en cuenta la elaboración de los siguientes documentos:

2.2.1 Política de Seguridad

Las políticas de seguridad permiten determinar los lineamientos a seguir en cada uno de los casos donde se ve involucrado el sistema de gestión de la seguridad, es decir especifican cada paso que se permite o establece para uso de los diferentes métodos donde se vea involucrada la información.

Es por dichas políticas que podemos establecer lo siguiente:

✓ Uso adecuado de los recursos tecnológicos de la compañía

✓ Uso aceptable del internet dentro de la organización

✓ Determinación de funciones y responsabilidades de cada una las personas integrantes del departamento de IT

✓ Etc.

Todo esto tiene el fin de mejorar la eficacia de las diferentes actividades de la seguridad de la Información.

Es por tal motivo que se describirá a continuación la política de seguridad de la información que la empresa debe cumplir, todo esto debido a que la información de cada uno de los clientes que la compañía SISTEC posee y de sus usuarios es de vital importancia y por ende se debe proteger y establecer

6 https://normaiso27001.es/fase-5-documentacion-del-sgsi/

(31)

protocolos con medidas que ayuden a preservarla y mantenerla, Cabe destacar que se pretende evitar la pérdida de confidencialidad, integridad y disponibilidad de esta. El Documento donde se establece la política de seguridad se lo especifica en el Anexo III.

2.2.2 Declaración de Aplicabilidad

La norma ISO 27002 tiene en cuenta más de 100 controles seguridad aplicables, es por ende que se considera importante mencionar que la compañía SISTEC se basara en analizar cada uno de estos controles que pueden ser aplicados en las diferentes áreas de la compañía y que se detallaran en el presente documento. Hay que tener en cuenta que esto se hace siempre que se considera necesario obtener buenos resultandos y que ayuden a cumplir con los objetivos del plan director de sistemas basado en SGSI.

La adopción de prácticas establecidas en las normas para la gestión de la seguridad no solo puede llevarse a cabo con fines de certificación, sino también como medidas que contribuyen a la protección de la información y, en general, para obtener considerables beneficios en la materia.

Es por ende que entraremos a detalle a denotar sobre la Declaración de Aplicabilidad (SoA para el acrónimo en inglés), un documento que, aunque es un requisito de documentación en el estándar ISO/IEC 27001, puede ser utilizado por cualquier organización, como una forma de realizar un seguimiento y control de las medidas de seguridad que se aplican.

Posteriormente, la selección de controles de seguridad debe servir para generar un plan de tratamiento de riesgos, principalmente para definir las actividades necesarias para la aplicación de controles de seguridad, que se han seleccionado y no se implementan.7

En el documento que se especifica en el Anexo IV de declaración de aplicabilidad se especifica los diferentes controles y su respectiva justificación.

2.2.3 Documentación del SGSI

Dentro del desarrollo de un Sistema de gestión de Seguridad de la información es vital contar con la documentación necesaria para respaldar cada uno de los

7 https://www.pmg-ssi.com/2020/08/declaracion-de-aplicabilidad-y-analisis-de-riesgos/

(32)

procesos que se llevan a cabo, dado este contexto presentamos la siguiente documentación necesaria para llevar a cabo la ejecución de el plan director de Sistemas para la compañía SISTEC.

✓ Procedimientos de Auditorías Internas. ( Anexo V) - En este documento se incluye todo lo relevante a las auditorias, su planificación y los formatos que se facilitara a los auditores para durante el proceso de esta

✓ Gestión de Indicadores. (Anexo VI)– En este documento se detallan los indicadores que va a utilizar SISTEC para poder tener un control de la eficacia de las medidas de seguridad de la información que se van a implementar, dichos indicadores toman como base los controles que se realizan en base a la norma ISO 27002.

✓ Procedimiento de Revisión por la Dirección. - La gerencia general de la compañía SISTEC revisara de manera periódica el SGSI para corroborar si está funcionando como se esperaba o si se deben introducir cambios dentro de la empresa, este se lo puede apreciar en el Anexo VII.

✓ Gestión de Roles y Responsabilidades. – Se procederá a establecer cada una de las funciones que desempeñan dependiendo de la actividad en la que se desenvuelva, todo esto con el fin tener un equipo capacitado en cada una de las áreas a desarrollar con respecto a la seguridad de la información, las funciones y responsabilidades se las puede apreciar en el Anexo VIII.

✓ Metodología de Análisis de Riesgos. - La metodología de análisis de riesgos elegida por SISTEC es MAGERIT, la cual tiene como característica principal que los riesgos planteados dentro de la organización pueden expresarse directamente en valores económicos.

Para estos documentos se tiene una estructura similar con el único fin de conservar constancia en todo momento de la documentación

(33)

3 Fase 3: Análisis de Riesgos

3.1 Introducción

Según la norma Iso 27001 se define Riesgo, como “la combinación de la probabilidad de un evento y sus consecuencias”8, es por tal motivo que se debe realizar la pregunta ¿Qué pasaría sí?, es por tal motivo que indicamos que el análisis de riesgos es la fase más importante dentro del ciclo de vida de la seguridad de la información dentro de una compañía. Dicho análisis permitirá descubrir las diferentes necesidades de seguridad que tiene la organización, todo esto una vez que se detectan los puntos débiles en materia de seguridad de la información adicional a eso se muestran cuáles son las diferentes amenazas a los cuales se encuentra expuesta la empresa.

Una vez definido-determinada la importancia de la gestión de riesgos en la compañía, procedemos a identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio en este sentido enfocados en el plan de seguridad de la información.9

En primera instancia se identificarán y clasificarán todos los activos de la empresa que estén vinculados a la información, de esta manera podremos obtener el inventario de activo de SISTEC.

En un paso siguiente, se especificará el valor de uno de los activos antes identificados, luego de eso se llevará a cabo el análisis de las diferentes amenazas a los cuales se encuentran expuestos dichos activos que se identificaron previamente, para esto se realizara una lista de las diferentes amenazas a los cuales se encuentran expuestos, esto se lo realizara para cada uno. Hay que tener en cuenta que para cada activo se deberá además calcular su riesgo aceptable y residual.

3.2 Metodología para Análisis de riesgos

Para el análisis de riesgos es vital poseer una metodología que ayude con estas definiciones, dado este punto SISTEC se decantó por MAGERIT, esta metodología posee la característica fundamental de que los riesgos planteados

8 https://dialnet.unirioja.es/descarga/articulo/6505355.pdf

9 https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo

(34)

para la organización se pueden expresar de manera directa en valores económicos, es decir cada riesgo puede llegar a tener su valor con el cual se puede ver perjudicada la compañía., esto permitirá que la toma de decisiones por parte de los directores de la empresa se la pueda realizar de forma más estructurada y con datos concretos , es decir con valores numéricos.

MAGERIT tiene una serie de fases previas antes de que se determinen los riesgos de la compañía, las cuales son:

1. Toma de datos 2. Dimensionamiento 3. Análisis de Activos 4. Análisis de Amenazas

5. Establecimiento de Vulnerabilidades 6. Establecimiento de Impactos

7. Análisis de Riesgo intrínseco 8. Influencia de salvaguardas 9. Análisis de riesgo efectivo 10. Evaluación de Riesgos

Se detallará en qué consisten cada una de las fases nombradas anteriormente 3.2.1 Fase 1 -Toma de Datos y procesos de Información

En esta fase debe especificarse el alcance que se va a tener en cuenta, esto quiere indicar que mientras mayor sea el alcance, más grande será el número de riesgos que se pueden analizar. SISTEC analizara los procesos que se realizan para determinar cuáles son los más críticos dentro de la compañía.

Adicional se deben especificar en esta fase las diferentes unidades que se plantean como método de análisis, es decir, se debe especificar cada uno de los niveles a los que se desea llegar, se debe tener en cuenta que mientras más detalle posean se deberá analizar un gran número de elementos adicionales y por ende el análisis de riesgos será mucho más elevado.

3.2.2 Fase 2 - Establecimiento de parámetros

En esta fase se determinarán los parámetros que se usaran durante todo el proceso de análisis de riesgos, debe tenerse presente que cada parámetro que se especifiquen en esta fase deberá ser utilizados durante todo el proceso y

(35)

que, si esto no se cumple, los resultados que se lleguen a obtener no reflejaran los resultados esperados y que pueden ser comparados con valores de riesgos reales de la organización.

Los parámetros que deben identificarse son los siguientes:

Valor de los activos: En este parámetro se asigna un valor monetario a todos y cada uno de los activos de la organización.

En el momento de asignar las valoraciones hay que tener presente los siguientes puntos:

✓ El valor de reposición es el valor que tiene para la organización reponer ese activo en el caso de que se pierda o de que no pueda ser utilizado.

✓ El valor de configuración es el tiempo que se necesita desde que se adquiere el nuevo activo hasta que se configura o se pone a punto para que pueda utilizarse para la función que desarrollaba el anterior activo.

✓ El valor de uso del activo es el valor que pierde la organización durante el tiempo que no puede utilizar dicho activo para la función que desarrolla.

✓ El valor de pérdida de oportunidad es el valor que pierde potencialmente la organización por no poder disponer de dicho activo durante un tiempo.10

El procedimiento de valoración de activos para SISTEC se muestra a continuación:

Valoración Rango Valor

Muy alta valor > 200.000€ 300.000 €

Alta 100.000€ < valor >200.000€ 150.000 € Media 50.000€ < valor > 100.000 € 75.000 € Baja 10.000€ < valor > 50.000 € 30.000€

10

https://materials.campus.uoc.edu/daisy/Materials/PID_00275346/html5/PID_00275346.html#w 31aab7c17b9c15

(36)

Muy baja valor < 10.000 € 10.000 €

Tabla 5 Escala Valoración Activos

Vulnerabilidad. MAGERIT especifica que se entiende como vulnerabilidad a la frecuencia en la que puede ocurrir una amenaza, es decir la concurrencia en que una organización puede sufrir alguna amenaza. Esta frecuencia se la debe plasmar en valores monetarios, recomendable hasta 5 niveles, las mismas que deberán ser utilizadas para todo el estudio. Esta estimación en números se la realiza mediante estimaciones anuales es decir un número de veces por año.

Vulnerabilidad = Frecuencia estimada / Días del año

La escala de valores que se va a utilizar en el SGSI de SISTEC se muestra a continuación en la siguiente tabla

Vulnerabilidad Rango Valor

Frecuencia extrema 1 vez al día 1

Frecuencia alta 1 vez cada 2 semanas 26/365 = 0.071233 Frecuencia media 1 vez cada 2 meses 6/365 = 0.016438 Frecuencia baja 1 vez cada 6 meses 2/365 = 0.005479 Frecuencia muy baja 1 vez al año 1/365 = 0.002739

Tabla 6 Frecuencia Impacto

Impacto: hace referencia al porcentaje del valor que pierde el activo en caso de que llegue a ocurrir algún incidente sobre el mismo. Para poder realizar este análisis hay que determinar de primera instancia los niveles de impacto y luego de eso asignar dicho porcentaje de perdida. La valoración que usara SISTEC para el plan del SGSI se especifica de la siguiente manera.

Impacto Valor

Muy alto 100%

Alto 75%

Medio 50%

Bajo 20%

Muy bajo 5%

Tabla 7. Porcentajes de Impacto

(37)

Efectividad del control de seguridad: este parámetro consiste en determinar la influencia que poseerán las medidas de protección antes los diferentes riesgos que se van a especificar. A la hora de reducir un riesgo, hay que tener en cuenta que las medidas de seguridad tienen dos modos de actuar contra él:

o bien reducen la vulnerabilidad (la frecuencia de ocurrencia), o bien reducen el impacto que provoca dicho riesgo.11

A continuación, detallamos los niveles que se van a utilizar en el plan de SGSI de SISTEC.

Variación impacto/vulnerabilidad Valor

Muy alto 100%

Alto 75%

Medio 50%

Bajo 30%

Muy bajo 10%

Tabla 8 Valoración de Impacto

Fase 3. Análisis de activos

En esta fase se deben identificar los activos que posee y necesita SISTEC que le permite llevar a cabo sus actividades, siempre mantener en cuenta que sólo se deben analizar los activos que están dentro del alcance del SGSI.

Los tipos de activos que se analizaran son los siguientes:

✓ Activos físicos. - son los diferentes tipos de elementos en base a hardware basados en el SGSI.

✓ Activos lógicos. - son los diferentes aplicativos que usa la compañía

✓ Activos de personal. - son cada una de las personas que laboran en la compañía

✓ Activos de entorno e infraestructura. - Elementos que posee la compañía y que se necesita para que funcione de manera correcta

11

https://materials.campus.uoc.edu/daisy/Materials/PID_00275346/html5/PID_00275346.html#w 31aab7c17b9c15

(38)

✓ Activos intangibles. - Elementos que la compañía no posee de manera directa, pero son muy relevantes para ella, por ejemplo: la imagen corporativa, posicionamiento en el mercado, etc.

3.2.3 Fase 4. Análisis de amenazas

Las amenazas dependen siempre de la organización, así como las características de esta, se puede decir que son las diferentes situaciones que pueden llegar a presentarse en la empresa y que detonarían en un problema de seguridad.

Estas se clasifican en 4 grupos:

Accidentes. Son las situaciones que son provocada de manera involuntaria y que en la mayoría de las ocasiones no se pueden evitar dado que pueden provocarse por formas manuales.

Errores. Son las diferentes situaciones que se comenten de forma involuntaria, esto se da por el propio desarrollo de las diferentes actividades de la organización.

Amenazas intencionales presenciales. Son aquellas situaciones que son provocada de manera voluntaria por parte de personas dentro de la organización.

Amenazas intencionales remotas. Son aquellas situaciones que son provocadas de manera voluntaria por parte de personas ajenas a la organización.

3.2.4 Fase 5. Establecimiento de vulnerabilidades

Las vulnerabilidades se denominan a aquellos agujeros que poseemos en la seguridad y que permiten que un activo pueda dañarse.

En MAGERIT, a pesar de que no es necesario listar las vulnerabilidades, sí que es necesario tenerlas en cuenta para poder estimar la frecuencia de ocurrencia de una determinada amenaza sobre un activo. En esta fase se podrán tener en cuenta las vulnerabilidades existentes en SISTEC.

(39)

3.2.5 Fase 6. Establecimiento de impactos

Los impactos se definen como las consecuencias que provoca en la organización el hecho de que una cierta amenaza, aprovechando una determinada vulnerabilidad, afecte a un activo.

En esta fase se analizarán los posibles impactos en los activos de SISTEC.

Para ello se tendrán en cuenta los siguientes puntos:

✓ El resultado de la agresión de una amenaza sobre un activo

✓ El efecto sobre cada activo para poder agrupar los impactos en cadena según la relación de activos,

✓ El valor económico representativo de las pérdidas producidas en cada activo

✓ Las pérdidas cuantitativas o cualitativas

3.2.6 Fase 7. Análisis del riesgo intrínseco

En esta fase se obtendrá el riesgo intrínseco de SISTEC. Se denomina riesgo Intrínseco a aquellos en los cuales la compañía está expuesta sin tener en cuenta las diferentes medidas de seguridad que se puedan implantar.

Para calcular el riesgo intrínseco se aplicará la siguiente fórmula:

Riesgo = Valor del activo * Vulnerabilidad * Impacto

3.2.7 Fase 8. Influencia de salvaguardas

En esta fase se podrá determinar cuál es la mejor aplicación de seguridad que permitirá reducir los diferentes riesgos identificados, para esto usaremos medidas de salvaguardad, las cuales pueden ser tanto correctivas como preventivas.

Las salvaguardas preventivas permiten la reducción de las vulnerabilidades es decir aportan en la reducción de la frecuencia en que pueden ocurrir los ataques.

Nueva vulnerabilidad = Vulnerabilidad * Porcentaje de disminución de la vulnerabilidad

Las salvaguardas correctivas son aquellas que reducen el impacto de las amenazas

Referencias

Documento similar

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)

Y tendiendo ellos la vista vieron cuanto en el mundo había y dieron las gracias al Criador diciendo: Repetidas gracias os damos porque nos habéis criado hombres, nos

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que