Académique Documents
Professionnel Documents
Culture Documents
RESMEN
En los ltimos 20 aos la informacin se ha convertido en un activo muy importante
y crucial dentro de las organizaciones. Por esta razn la organizacin tiene la
necesidad de protegerla si es que la informacin tiene relacin ya sea con el
negocio o con sus clientes.
Para gestionar la informacin y su seguridad, las entidades pueden adoptar alguna
de las normas y buenas prcticas existentes en el mercado.
Para el caso de una empresa del rubro de produccin y distribucin de alimentos de
consumo masivo, tambin aplica esta necesidad de proteger la informacin. Por
ejemplo, en unos de sus principales procesos que es el de produccin, est
implicada informacin de gran importancia para la empresa, como recetas de
productos, programacin de manufactura, sistemas que se usan, tipos de pruebas
de calidad de producto, etc., la cual debe estar resguardada correctamente para
evitar que dicha informacin se pierda o caiga en manos indebidas y as garantizar
que se logren los objetivos del negocio.
En el presente proyecto de fin de carrera se tomaran en cuenta los aspectos ms
importantes de la norma ISO/IEC 27001:2005, a partir de los cuales se buscar
poder desarrollar cada una de las etapas del diseo de un sistema de gestin de
seguridad de informacin para que pueda ser empleado por una empresa dedicada
a la produccin de alimentos de consumo masivo en el Per, lo cual permitir que
sta cumpla con las normas de regulacin vigentes en lo que respecta a seguridad
de informacin.
Para efectos del anlisis de riesgos para este proyecto de tesis, se decidi trabajar
con el proceso de produccin, ya que se consider que era el proceso ms
importante dentro del funcionamiento de la empresa. Este proceso de produccin a
su vez se dividi en 4 subprocesos que lo conforman, los cuales fueron el proceso
de planificacin, manufactura, calidad y bodegas e inventarios.
INDICE
RESMEN
7
7
8
10
11
11
12
12
1.6.2 LIMITACIONES
12
1.7
METODOS Y PROCEDIMIENTOS
1.7.1 CICLO DE DEAMING (PLAN-DO-CHECK-OUT)
13
13
1.7.2 MAGERIT II
14
1.8
JUTIFICACION Y VIABILIDAD
1.8.1 JUSTIFICACIN
15
15
1.8.2 VIABILIDAD
17
1.9
MARCO CONCEPTUAL
1.9.1 INFORMACIN
19
19
19
20
24
29
30
1.10
REVISION DEL ESTADO DEL ARTE
1.10.1 ISO/IEC 27001:2005
34
34
40
1.11
43
44
44
45
2.2
2.3
2.4
46
47
47
49
49
51
56
58
3.2
63
POLTICAS DE SEGURIDAD
64
65
INDICE DE TABLAS
INDICE DE ILUSTRACIONES
INTRODUCCIN
DEFINICION DE LA PROBLEMTICA
Como ya se explico, en los ltimos 20 aos el uso de las tecnologas, dentro de las
organizaciones, ha ido en rpido aumento, ya que permiten optimizar las
actividades y procesos de la empresa, adems de potenciar las la productividad de
las personas. [6]
Con el incremento del uso de dichas tecnologas al interior de estas organizaciones
para almacenar, mantener, transmitir y recobrar informacin, han aumentado
tambin considerablemente la variedad y cantidad de amenazas que podran
afectar la confidencialidad, disponibilidad, auditabilidad e integridad de la
informacin vital para la organizacin [6], el negocio y los clientes, lo que podra
provocar graves prdidas econmicas, y de tiempo para la organizacin.
En la Ilustracin 1-1 se puede apreciar como los activos de informacin de una
organizacin estn rodeados de un ambiente complejo lleno de amenazas que
pueden ir desde simples virus de computadora hasta robo de la propiedad
intelectual de la empresa.
Ahora, tambin es un hecho cierto que as como existen especialistas en el mundo
de la tecnologa, dedicados a desarrollar, por el bien de la comunidad nuevos
software que ayudan a mejorar y facilitar la vida de los seres humanos, ya sea en el
rea de negocios como en el rea personal, tambin existen los llamados hackers
o piratas cibernticos, casi siempre jvenes con avanzados conocimientos de
informtica que utilizan su inteligencia para robar informacin de grandes
empresas, gobierno y hasta organizaciones sin o con fines de lucro.
Adems, el instituto Ponemon tambin dice que cada filtracin de informacin hace
que las compaas pierdan el 3,7% de sus clientes en promedio. Pero ese no es el
nico costo de la filtracin.
Las compaas deben mejorar sus sistemas y capacitar a su equipo para encontrar
y resolver el problema, que no es nada barato. Despus del robo, las compaas
deben informar a sus clientes que la informacin est en riesgo, y deben gastar
incluso ms para prevenir que vuelva a ocurrir [17].
Para el caso del presente proyecto de tesis, se realiz un enfoque en la seguridad
de una empresa del rubro de produccin y distribucin de alimentos de consumo
masivo, donde tambin aplica la necesidad de proteger la informacin. Por ejemplo,
en unos de sus principales procesos que es el de Produccin, el cual se divide a su
vez en 4 subprocesos que son Planeamiento, Manufactura, Calidad y Bodegas e
Inventarios. En estos subprocesos est implicada informacin de gran importancia
para la empresa, como recetas de productos, programacin de manufactura,
sistemas que se usan, tipos de pruebas de calidad de producto, etc., la cual debe
estar resguardada correctamente para evitar que dicha informacin se pierda o
caiga en manos indebidas y as garantizar la continuidad de la empresa y el logro
los objetivos del negocio.
Adems este sistema de gestin de seguridad de informacin que se dise, no
solo ser til para el tipo de empresa de produccin y distribucin de alimentos de
consumo masivo,
identificar el activo y definir su impacto, luego evaluar cules de estos activos puede
correr riesgos y por ltimo la alta gerencia deben decidir qu acciones se tomarn
para mitigar los riesgos.
Esta importancia de la informacin crea una necesidad de control y gestin de la
seguridad sobre la misma y no solo desde un punto de vista legal en cuanto a datos
personales se refiere, sino con carcter general a toda la informacin manejada por
una compaa, convirtindose en un complemento importante y que aporta un plus
de confianza y compromiso ante clientes o terceros ajenos a la empresa. Como
ejemplo de este punto es la cada vez ms aceptada e incluso exigida aplicacin de
normas ISO en la contratacin entre empresas a nivel internacional. Este sistema
de gestin es de mucha importancia para que una organizacin pueda sobrevivir al
mercado actual.
Para gestionar la seguridad de la informacin, las organizaciones pueden seguir
algunas de las normas o modelos existentes en el mercado, tales como ISO/IEC
27001 e ISO/IEC 27002, RISK IT, COBIT, etc., que establecen
determinadas
10
1.4
11
1.6
ALCANCE Y LIMITACIONES
Alcance
El alcance del presente proyecto de fin de carrera, abarca el diseo del SGSI,
basado en la norma ISO/IEC 27001:2005 y est dirigido a procesos, activos,
riesgos,
dems
consideraciones,
de
una
empresa
de
produccin
Limitaciones
12
1.7
METODOS Y PROCEDIMIENTOS
La norma ISO 27001:2005 ha sido desarrollada con el fin de servir como modelo
para el establecimiento, implementacin, seguimiento y mejora de un SGSI en
cualquier tipo de organizacin basndose en sus propios objetivos y requerimientos
de seguridad y usando adems, los controles sugeridos en la norma ISO/IEC 27002
[1].
Para este proyecto y para el producto final del mismo, que es la implementacin del
SGSI, se usara la metodologa del ciclo de Deming (Plan-Do-Check-Act), y para el
anlisis de riesgo se usara la metodologa MAGERIT II, las cuales se presentan a
continuacin dimensionadas al proyecto.
1.7.1
ETAPA
PLANEAR
HACER
ACCIONES
SGSI
PROYECTO
Desarrollo
del
proyecto,
documentar y
controlar las
Implementar y operar la poltica,
acciones realizadas, levantar
controles,
procesos
y
informacin, implementacin del
procedimientos SGSI.
SGSI para el tipo de empresa
seleccionada, etc.
13
CHEQUEAR
Luego de desarrollado e
implementado el SGSI, volver a
revisar los datos obtenidos y
analizarlos, comparndolos con
los
objetivos
especficos
iniciales, para evaluar si se han
obtenido
los
resultado
esperados.
ACTUAR
Como este proyecto de fin de carrera solo abarca el anlisis y diseo del SGSI, solo
se tomarn en cuenta las etapas de Planear y Hacer (Plan Do) de la
metodologa, como base el proyecto.
1.7.2
MAGERIT II
14
Valorar dichos activos en funcin del coste que supondra para la empresa
recuperarse
ante
un
problema
de
disponibilidad,
integridad
confidencialidad de informacin.
Estimar el riesgo.
1.8
JUTIFICACION Y VIABILIDAD
Justificacin
el
que
una
persona
fsico
jurdico
pueda
15
informacin, es muy alto, ya que cuando los corporativos son atacados, los
costos son enormes y aumentan rpidamente.
Este ao, por ejemplo, las compaas estadounidenses gastaran ms de
130,000 millones de dlares como resultado de filtraciones de informacin,
segn el instituto Ponemon, una organizacin de investigacin de seguridad
ciberntica. Eso es ms del triple de los que las compaas gastaron para
combatir filtraciones en el 2006 [16].
Adems como se describi en la problemtica, el instituto Ponemon dice que
cada filtracin de informacin hace que las compaas pierdan el 3,7% de
sus clientes en promedio.
El instituto Ponemon tambin dice que cada filtracin de informacin hace
que las compaas pierdan el 3,7% de sus clientes en promedio. Pero ese
no es el nico costo de la filtracin. Las compaas deben mejorar sus
sistemas y capacitar a su equipo para encontrar y resolver el problema, que
no es nada barato. Despus del robo, las compaas deben informar a sus
clientes que la informacin est en riesgo, y deben gastar incluso ms para
prevenir que vuelva a ocurrir [17].
Las compaas tambin deben pagar por la limpieza tras el ataque; ese
costo suele superar el valor de la informacin robada. Cada documento
robado cost, en promedio, 204 dlares en 2009, 144 de los cuales no
estaban directamente relacionados con la informacin misma [18].
manejada
por
una
compaa,
convirtindose
en
un
Viabilidad
17
Para el desarrollo de esta tesis, se necesitara adquirir las normas ISO 27001
e ISO 27002. La norma ISO 27001 cuesta $189.00 dlares americanos y la
norma ISO 27002 cuesta $158.00 dlares americanos.
Por lo tanto luego de los descrito, se llego a la conclusin que con los medios con
los que se cuenta, es viable y factible poder desarrollar de manara completa y
correcta este proyecto de fin de carrera.
18
1.9
MARCO CONCEPTUAL
Informacin
Activos de Informacin
Los activos son los recursos que tienen valor o utilidad para la organizacin, sus
operaciones comerciales y su continuidad, necesarios para que la organizacin
funcione y alcance los objetivos que propone su direccin. [3]
En este punto es importante aclarar que es un activo de informacin en el contexto
del ISO 27001:2005. Segn el ISO 17799:2005 (Cdigo de Prctica para la Gestin
de Seguridad de Informacin), un activo de informacin es: [2]
algo a lo que una organizacin directamente le asigna un
valor y, por lo tanto, la organizacin debe proteger.
El ISO 17799:2005 clasifica los activos de informacin en las categoras siguientes:
[2]
19
1.9.3
Normalmente las corporaciones, suelen tener muy poco conocimiento del impacto
que pueden tener la prdida de los activos de informacin o la imposibilidad para
acceder a sus sistemas. [20]
La gestin de riesgo es un enfoque estructurado para manejar la incertidumbre, es
decir la posibilidad de que ocurra o no un riesgo, para evitar que ocurran
consecuencias no deseadas dado el caso que el riesgo se haga realidad, para ello
se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo,
mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el
riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y
aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que
las posibles prdidas y la posibilidad que se haga presente el riesgo se minimicen.
[7]
En resumen la Gestin de Riesgo es un mtodo para determinar, analizar, valorar y
clasificar el riesgo, para posteriormente implementar mecanismos que permitan
controlarlo.
A continuacin se presentan las definiciones de algunos trminos importantes que
se ven en la gestin de riesgos.
1.9.3.1 Amenazas
En las organizaciones, los activos de informacin estn sujetos a distintas formas
de amenazas.
Una amenaza es todo aquello, ya sea fsico o lgico que puede causar un incidente
no deseado, generando daos materiales o inmateriales a la organizacin y a sus
activos, como la perdida de informacin, o de su privacidad, o bien un fallo en los
equipos fsicos. [5]
Las amenazas conviene clasificarlas por su naturaleza, para as facilitar su
ubicacin. Se tienen seis tipos de amenazas: [2]
20
Como se puede ver en la Ilustracin 1-3, el origen de las amenazas pueden tener
distintas fuentes que pueden ser accidentales o deliberados.
1.9.3.2 Vulnerabilidades
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
informacin de una organizacin. [2]
21
22
1.9.3.3 Impacto
El impacto en un activo es la consecuencia sobre ste de la materializacin de una
amenaza. De forma dinmica, es la diferencia en las estimaciones del estado de
seguridad del activo antes y despus de la materializacin de la amenaza
sobre
ste. [3]
La Ilustracin 1-4 muestra la relacin entre impacto y amenaza.
1.9.3.4 Riesgos
El riesgo es la posibilidad de que se produzca un impacto determinado en un activo,
en un dominio o en toda la organizacin.
En el clculo del riesgo tiene gran influencia la evaluacin del impacto, que es un
proceso difcil. El nivel del riesgo depende de la vulnerabilidad y del impacto.
El proceso de identificacin y evaluacin de riesgos y el de clasificacin de
activos- permite determinar qu tan expuestos se encuentran los activos de
informacin a ataques por la presencia de vulnerabilidades propias o inherentes a la
actividad de la organizacin.
Existen muchas clasificaciones para tipificar los riesgos, una de ellas es la que
aparece en [ISACA, 2011]:
23
Riesgos de negocio.
1.9.3.5 Controles
Son las polticas, procedimientos, prcticas y estructuras organizacionales para
reducir riesgos y que adems proveen cierto grado de certeza de que se alcanzaran
los objetivos del negocio.
Existen varias formas de establecer controles sobre riesgos organizacionales. La
siguiente es la presentada por [ISACA, 2011]:
1.9.4
Gobierno Corporativo
24
1.9.4.1 Gobierno de TI
El gobierno de TI es parte integral del gobierno corporativo heredando todas sus
caractersticas generales. Es una estructura de relaciones y proceso que brinda
direccin a la empresa con el fin de alcanzar los objetivos de negocio con una
adecuada implementacin de los procesos de TI en su interior, generando valor a
travs de TI, logrando gestionar adecuadamente los riesgos de TI. [3][5]
El gobierno de TI es responsabilidad de la junta de directores y gerencia de una
organizacin. [6]
El gobierno de TI nace por la creciente importancia que la tecnologa de la
informacin tiene en las organizaciones, tanto por su capacidad de generar valor,
como por el potencial impacto de los riesgos relacionados con su empleo. [3]
Los objetivos del gobierno de TI podran resumirse de la siguiente forma: [3]
25
Ilustracin 1-5: Esquema de relaciones dentro de las reas del Gobierno de TI.
26
Alineacin
estratgica:
alinear
la
tecnologa
los
objetivos
ii.
iii.
27
Los directores generales (Alta direccin) deben evaluar, al menos una vez al
ao, la seguridad de informacin y los resultados de los programas
implantados, para luego reportarlo a la instancia correspondiente.
valoraciones
de
28
Para empezar, hay algunos pasos que debera seguir una empresa para proteger
sus activos de informacin. Primero se deben identificar los activos de informacin
que tienen un impacto significativo en el negocio, luego hacerles a cada uno un
anlisis y evaluacin de los riesgos y finalmente decidir cules son las alternativas
adecuadas para tratar el riesgo a implantar para minimizar las posibilidades de que
las amenazas puedan causar dao y no penetren a la organizacin.[2]
Estos pasos que se han descrito son las acciones que un SGSI busca instaurar en
una empresa.
El SGSI es una forma sistemtica de administrar la informacin sensible de una
institucin, para que permanezca segura. Abarca a las personas, los procesos y las
29
Una norma es un documento cuyo uso es voluntario y que es el fruto del consenso
de las partes interesadas y que deben aprobarse por un Organismo de
Normalizacin reconocido. [4]
El ISO es un organismo internacional que se dedica a desarrollar reglas de
normalizacin en diferentes mbitos, entre ellos la informtica. [4]
El IEC es otro organismo que publica normas de estandarizacin en el campo de la
electrnica. [4]
La serie de normas ISO/IEC 27000 se denomina Requisitos para la especificacin
de sistemas de gestin de la seguridad de la informacin (SGSI), proporciona un
marco de estandarizacin para la seguridad de la informacin para que sea
aplicado en una organizacin o empresa y comprende un conjunto de normas sobre
las siguientes materias:
Valoracin de riesgos.
Controles.
30
31
ISO/ IEC /IEC 27001 tambin es muy eficaz para organizaciones que gestionan la
informacin por encargo de otros, por ejemplo, empresas de subcontratacin de TI.
Puede utilizarse para garantizar a los clientes que su informacin est protegida.
1.9.6.3 ISO/ IEC 27002
Esta norma se corresponde con la ISO/ IEC 17799, y que describe un cdigo de
buenas prcticas para la gestin de la seguridad de la informacin y los controles
recomendables relacionados con la seguridad.
Se debe tener en cuenta que la norma ISO/ IEC 27002 es una gua para conocer
que se puede hacer para mejorar la seguridad de la informacin, expone una serie
de apartados a tratar en relacin a la seguridad, los objetivos de seguridad a
perseguir, una serie de consideraciones (controles) a tener en cuenta para cada
objetivo y un conjunto de sugerencias para cada uno de estos controles; mientras
que en la norma ISO/ IEC 27001 se habla de los controles de forma residual, no
forma parte del cuerpo principal de la norma, lo ms importante en esta norma es la
gestin de la seguridad, en forma de Sistema de Gestin. [9]
1.9.6.4 ISO/ IEC 27003
Esta norma contiene bsicamente una gua para el diseo e implementacin
exitosa de un SGSI de acuerdo con el ISO/IEC 27001:2005.
Aqu se describe el proceso de especificacin y diseo del SGSI desde el inicio
hasta la elaboracin de planes de implementacin, describe el proceso de obtener
la aprobacin de la gestin para implementar un SGSI, define un proyecto para
implementar un SGSI, y proporciona orientacin sobre como planificar el proyecto
de SGSI, lo que resulta en un plan de ejecucin final del proyecto SGSI. [10]
1.9.6.5 ISO/ IEC 27004
La norma internacional ISO/IEC 27004:2009 proporciona orientacin sobre el
desarrollo y usos de las medidas y la medicin a fin de evaluar la eficacia de un
SGSI y los controles o grupos de controles, tal como se especifica en la norma
ISO/IEC 27001.
Esto incluira la poltica, la gestin de informacin de riesgos de seguridad, objetivos
de control, controles, procesos y procedimientos, y apoyar el proceso de su
32
revisin, lo que ayuda a determinar si alguno de los procesos o los controles del
SGSI debe ser cambiado o mejorado. Hay que tener en cuenta que ninguna medida
de control puede garantizar una seguridad total. La aplicacin de este enfoque
constituye un Programa de Medicin de Seguridad de la Informacin.
1.9.6.6 ISO/ IEC 27005
La norma ISO/IEC 27005:2008 es una gua para la gestin de riesgos de seguridad
de la informacin, de acuerdo con los principios ya definidos en otras normas de la
serie 27000.
Sustituye (y actualiza) las partes 3 y 4 de la norma ISO/ IEC TR 13335 (Tcnicas
para la gestin de la seguridad IT y Seleccin de salvaguardas, respectivamente) y
se convierte en la gua principal para el desarrollo de las actividades de anlisis y
tratamiento de riesgos en el contexto de un SGSI. [12]
Constituye, por tanto, una ampliacin del apartado 4.2.1 de la norma ISO/ IEC
27001, en el que se presenta la gestin de riesgos como la piedra angular de un
SGSI, pero sin prever una metodologa especfica para ello. [12]
Para un mejor entendimiento de esta norma es necesario conocer las normas
ISO/IEC 27001 y la norma ISO/IEC 27002.
1.9.6.7 ISO/ IEC 27006
El ISO/IEC 27006:2007 es una norma internacional que especifica los requisitos y
proporciona orientacin para organismos que presten servicios de auditora y
certificacin de un sistema de gestin de seguridad (SGSI), adems de los
requisitos que figuran dentro de la ISO / IEC 17021 e ISO / IEC 27001. [13]
1.9.6.8 ISO/ IEC 27007
El ISO/IEC 27007:2011 es un estndar internacional que proporciona orientacin
sobre la gestin de un programa de auditora de un SGSI, sobre la realizacin de
las auditoras, y en la capacidad de los auditores, adems de las orientaciones
contenidas en la norma ISO/ IEC 19001. [14]
33
de los sistemas de
de seguridad de informacin
34
35
36
Implicacin de la Direccin.
Declaracin de aplicabilidad.
37
Compromiso.
graves,
la
organizacin
deber
implantar
acciones
38
39
4004
Croatia
21
Gibraltar
UK
536
Slovenia
20
Macau
India
527
Bulgaria
18
Qatar
China
507
Iran
18
Albania
Taiwan
456
Philippines
15
Argentina
Germany
202
Pakistan
14
Bosnia Herzegovina
Korea
106
Saudi Arabia
14
Cyprus
Czech Republic
110
Vietnam
14
Isle of Man
USA
104
Iceland
13
Kazakhstan
Italy
81
Indonesia
13
Luxembourg
Spain
75
Colombia
11
Macedonia
Hungary
70
Kuwait
11
Malta
Poland
62
Norway
10
Ukraine
Malaysia
58
Portugal
10
Mauritius
Thailand
48
Sweden
10
Armenia
Austria
44
Canada
Bangladesh
Ireland
Romania
Hong Kong
44
35
32
Russian Federation
Switzerland
Bahrain
9
9
8
Belarus
Denmark
Ecuador
1
1
1
Greece
31
Egypt
Jersey
Australia
Singapore
Mexico
France
Slovakia
Turkey
Brazil
UAE
29
29
27
26
26
26
24
20
Oman
Peru
Sri Lanka
Dominican Republic
Lithuania
Morocco
South Africa
Belgium
5
5
5
4
4
4
4
3
Kyrgyzstan
Lebanon
Moldova
New Zealand
Sudan
Uruguay
Yemen
1
1
1
1
1
1
1
Netherlands
22
Chile
Total
7686
40
Se puede ver tambin que en el Per solo hay 5 empresas que estn certificadas
en esta norma a travs de IRCA, las cuales se muestran en la Tabla 1-3 siguiente.
Adicionalmente, la Oficina de Normalizacin Previsional ONP tambin ha obtenido
recientemente la certificacin, constituyndose en la primera institucin del Estatal
Peruana en alcanzarla.
Tabla 1-3: Nmero de empresas en el Per certificados en ISO/ IEC 27001 [16]
41
Por ltimo en este congreso se obtuvo como resultado tambin que an seguan
predominando en el mercado, empresas y personas que no tenan ningn tipo de
certificacin en seguridad de informacin, como muestra la Ilustracin 1-8:
42
en Latinoamrica, es necesario
continuar desarrollando
43
Algunos especialistas recomiendan a las empresas que recin comienzan a tomar en serio
el tema de la seguridad y desea establecer un SGSI, que consideren uno de los procesos
crticos de negocios y no la totalidad. Posteriormente y como parte de la mejora continua
exigida por la metodologa PDCA aplicable a dichos sistemas, se puede ir incorporando al
resto de procesos core.
44
Planificacin de Produccin.
Proceso de manufactura.
Calidad de producto.
Bodegas e inventarios
2.1.1
45
2.2
46
2.3
Definir los controles que permitan garantizar una adecuada gestin de las
comunicaciones y operaciones relacionadas al proceso de produccin
siguiendo los planteamientos del anexo A de la ISO/ IEC 27001 (ISO/ IEC
27002).
Elaborar toda la documentacin exigida por la norma ISO/ IEC 27001 para
el SGSI entre las que destacan: Alcance del SGSI, polticas del SGSI,
Metodologa empleada para evaluar el riesgo, Informe del anlisis de
riesgos, plan de tratamiento d riesgos, procedimientos, declaracin de
aplicabilidad.
2.4
METODOLOGA
47
48
49
Sub - Proceso
Id de Activo
Vulnerabilidades
Amenazas
Riesgos
Prioridad
Gravedad de impacto
Tipo de impacto
Controles
50
3.1.1
SIS
DOC
SW
HW
AF
Para mostrar esta informacin se realizaron unas tablas, las cuales se presentan
en el ANEXO 1 de este documento. En estas tablas se presentan 5 columnas, las
cuales se describen a continuacin:
Subproceso (Columna 1)
En esta columna se muestra cada uno de los subprocesos del proceso de
produccin, a los que le vamos a realizar el anlisis de riesgos de sus activos.
Id. de Activo (Columna 2)
En esta columna se le asigna un cdigo de identificacin a cada activo
encontrado, el cual no servir mas adelante para referenciar al activo en las
dems tablas.
51
Como tercera actividad dentro de esta etapa se procedi a analizar e identificar las
vulnerabilidades intrnsecas de los activos descritos anteriormente y las amenazas
respectivas que podran explotar estas vulnerabilidades y causar dao o afectar la
continuidad del negocio.
La vulnerabilidad de un activo es la potencialidad o
posibilidad de que se
materialice una amenaza sobre dicho activo, forma parte del estado de seguridad
del activo. Las amenazas son los eventos que pueden desencadenar un incidente
en la organizacin, produciendo daos materiales o prdidas inmateriales en sus
activos.
Para mostrar esta informacin se realizaron otras tablas, las cuales se presentan
en el ANEXO 2 de este documento. En estas tablas se presentan 5 columnas, las
cuales se describen a continuacin:
Subproceso (Columna 1)
En esta columna se muestra cada uno de los subprocesos del proceso de
produccin, a los que le vamos a realizar el anlisis de riesgos de sus activos.
Id. de Activo (Columna 2)
En esta columna se le asigna un cdigo de identificacin a cada activo
encontrado, el cual no servir ms adelante para referenciar al activo en las
dems tablas.
Activo (Columna 3)
En esta columna se agrupan los activos pertenecientes a este subproceso, los
cuales tiene la vulnerabilidad y amenaza mostradas en las columnas 4 y 5.
52
Vulnerabilidad (Columna 4)
En esta columna se muestran las diversas vulnerabilidades que puede tener
cada activo o grupo de activos.
Amenaza (Columna 5)
En esta columna se menciona la amenaza que puede explotar cada
vulnerabilidad mencionada en la columna anterior.
En estas tablas del ANEXO 2, se presenta una tabla por cada subproceso que se
est analizando, en la 2da columna agrupamos algunos activos, los cuales tiene la
vulnerabilidad y amenaza presentados en las columnas 4 y 5. Por ejemplo, en la
primera tabla de este anexo tenemos:
En la segunda columna agrupamos los activos SIS-01, SIS-02, SIS-03,SIS04, SIS-05, SIS-06.
Esto se repite para el siguiente grupo de activos, que son los mismos que
antes (SIS-01, SIS-02, SIS-03,SIS-04, SIS-05, SIS-06), y estos tiene la
vulnerabilidad de Puntos de acceso al sistema remotos a la red privada de
la empresa, la cual puede ser explotada por la amenaza Accesos de
personas no autorizadas al sistema e intercepcin de la red.
53
muestra una tabla por cada subproceso, las cuales tendrn las
siguientes columnas:
Subproceso (Columna 1)
En esta columna se muestra cada uno de los subprocesos del proceso de
produccin, a los que le vamos a realizar el anlisis de riesgos de sus activos.
Id. de Activo (Columna 2)
En esta columna se le asigna un cdigo de identificacin a cada activo
encontrado, el cual no servir ms adelante para referenciar al activo en las
dems tablas.
Amenaza (Columna 3)
En esta columna se muestran las amenazas a las que estan expuestos los
activos, las cuales se identificaron en el Anexo 2.
Riesgo (Columna 4)
En esta columna muestra se el riesgo al que esta expuesto cada activo
dependiendo de la amenaza.
54
Prioridad (Columna 5)
En esta columna se muestra la prioridad que se le debe dar al tratamiento de
cada riesgo dependiendo de la importanca del activo.
Gravedad del Impacto (Columna 6)
En esta columna se indica la gravedad que tendra el impacto para la
organizacin si es que se llegara a meterializar el riesgo.
Tipo de Impacto (Columna 7)
En esta columna se indica el tipo de impacto que generara la materializacin
del riesgo.
Descripcin del impacto (Columna 8)
En esta columna se describe el impacto que generara la materializacin del
riesgo
Para calificar la prioridad del riesgo se utiliz un rango de 3 valores, los cuales se
describen a continuacin:
Baja
Media
Alta
Luego para analizar la gravedad del impacto se utilizo otro rango de valores, los
cuales fueron asignados a cada impacto dependiendo del nivel de dao que
causara para la organizacin la materializacin del riesgo en perjuicio del activo de
informacin. Los valores para calificar la gravedad del impacto, fueron los
siguientes:
55
Menor
Poco
Significativo
Significativo
Mayor
Catastrofico
3.1.2
56
Aceptar el
Riesgo
Mitigar el
Riesgo
Transferir el
riesgo a un
tercero
Eliminar el
Riesgo
57
Amenaza (Columna 3)
En esta columna se muestran las amenazas a las que estan expuestos los
activos, las cuales se identificaron en el Anexo 2.
Riesgo (Columna 4)
En esta columna muestra se el riesgo al que esta expuesto cada activo
dependiendo de la amenaza.
Tratamiento (Columna 5)
En esta columna se muestra el tipo de tratamiento que se le debe dar a cada
riesgo.
No caben ms acciones a la hora de gestionar los riesgos para el correcto diseo
de un sistema de gestin de seguridad de informacin, ya que una organizacin
que conoce sus riesgos jams podr ignorarlos, puesto que, de este modo, no
estara vigilando que no se convirtiesen en riesgos que la organizacin no es capaz
de asumir o que, por no haberlos tenido en cuenta, se materialicen y den lugar a
incidentes de seguridad.
3.1.3
58
59
pueden
adoptarse
tambin
otras
salvaguardas
como
la
transferencia del riesgo a terceros (por ejemplo con los seguros) o la accin
ante los tribunales.
60
j.
k. Cumplimiento. (CM)
En el ANEXO 5 de este documento se presenta en una tabla los controles
planteados para tratar cada riesgo identificado en los activos de la empresa. En
esta tabla se muestran las siguientes columnas.
Control 2 (Columna 6)
En esta columna de muestra el segundo control planteado.
Control 3 (Columna 7)
En esta columna de muestra el tercer control planteado.
Control 4 (Columna 8)
En esta columna de muestra el cuarto control planteado.
62
Polticas de Seguridad
63
4.1
CONCLUSIONES
64
Del mismo modo, se debe establecer que los dueos de cada uno de los procesos
que fueron analizados para el diseo del SGSI de este proyecto, empiecen a darle
mayor importancia a la seguridad de la informacin, y que velen para que de alguna
manera se pueda levantar los riesgos encontrados dentro de sus actividades ya que
no es seguro que este diseo se logre implementar, y por ello debera ser labor de
ellos el tratar de eliminar dichos riesgos.
4.2
Como trabajos futuros se pueden realizar diseos similares para los dems
procesos de la empresa. De manera similar sera adecuado que se elabore un plan
de continuidad de negocio, lo que permitir reforzar la seguridad en la empresa y
adems de disear un plan de auditora que se realice peridicamente para analizar
cmo va variando el nivel de seguridad de la empresa tal como avanza el tiempo.
65
REFERENCIAS
[1] Ampuero Chang, Carlos
2011
Colombiana S.A.
66
[10] ISSA
2011
67
[15] ISO27000.es
2005
68
69