Académique Documents
Professionnel Documents
Culture Documents
NOTA DE ACEPTACIN
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Firma del tutor del proyecto
________________________________
Firma del jurado
________________________________
Firma del jurado
Dedicado a Dios todopoderoso por darme las fuerzas y sabidura necesarias para
seguir adelante, a mis padres que desde el cielo an me guan y me protegen; a
mis hijas Sandra y Diana quienes son mi razn de ser y que con su gran amor me
han dado las fuerzas para poder cumplir esta etapa tan importante de mi vida; a mi
esposo por su inmenso apoyo y por impulsarme siempre a que cumpla con xito
los retos que me presenta la vida; a Juan Pablo Castro quin fue mi soporte y
ayuda en el desarrollo y cumplimiento de esta tesis y a mi familia que de una u
otra manera me ayudaron a la consecucin de esta meta personal y profesional
AGRADECIMIENTOS
El Ingeniero Carlos Julio Erazo, tutor del proyecto inicial por orientarme con
sus aportes y a la Ingeniera Eleonora Palta Velasco, por compartir sus
conocimientos, por su constante colaboracin y sus recomendaciones que
encaminaron a la realizacin del mismo.
A mi familia, amigos y compaeros que confiaron en mis capacidades y que
en algn momento de sus vidas soaron verme cumplir esta meta.
CONTENIDO
pag.
INTRODUCCION
1.
16
1.1
16
1.2
16
1.3
LNEA DE INVESTIGACIN
16
2.
PROBLEMA DE INVESTIGACIN
17
2.1
17
3.
18
4.
19
4.1
OBJETIVO GENERAL
19
4.2
OBJETIVOS ESPECFICOS
19
4.3
20
5.
ALCANCE Y LIMITACIONES
21
5.1
ALCANCE
21
5.2
LIMITACIONES
22
6.
MARCO DE REFERENCIA
23
6.1
MARCO TERICO
23
6.2
MARCO CONCEPTUAL
32
6.3
MARCO LEGAL
43
6.4
ANTECEDENTES
44
7.
49
7.1
49
7.2
FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS Y
ACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DE
GESTIN DE SEGURIDAD INFORMTICA).
49
7.3
RECURSOS DISPONIBLES
50
8.
RESULTADOS
52
8.1
52
8.2
FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS Y
ACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DE
GESTIN DE SEGURIDAD INFORMTICA)
79
9.
102
10.
CONCLUSIONES
128
11.
RECOMENDACIONES
129
BIBLIOGRAFIA
130
ANEXOS
134
LISTA DE TABLAS
pag.
Tabla 1. Clasificacin de Activos de informacin
33
34
34
35
35
36
40
51
54
55
56
57
59
63
64
67
71
74
90
91
93
94
108
LISTA DE FIGURAS
pag.
Figura 1. Fase del Plan del modelo PDCA del ciclo de Deming
21
39
40
42
46
48
52
58
60
68
68
69
73
79
96
LISTA DE ANEXOS
pag.
134
135
11
GLOSARIO
RESUMEN
Anlisis de Riesgos.
INTRODUCCION
En el presente trabajo se lleva a cabo el proceso de anlisis y diseo de un
Sistema de Gestin de Seguridad de la Informacin aplicado a la empresa Surez
Padilla & Ca. Ltda, organizacin asesora de seguros. El objetivo primordial de un
Sistema de gestin de seguridad de la informacin es proteger la integridad,
confidencialidad e integridad de todos los activos de una organizacin y este se
logra efectuando como primera medida un minucioso anlisis de los riegos a los
que se enfrentan los activos de informacin para luego, con este insumo implantar
los controles necesarios que protegern dichos activos.
En la actualidad las Pymes afrontan una problemtica muy grande debido a que
muchas de ellas no destinan recursos para afrontar la falta de seguridad, ni
prevenir los riesgos de sus activos de informacin asociados a la misma, lo que en
muchas ocasiones genera en la organizacin prdidas tanto econmicas como de
informacin. Teniendo en cuenta lo anterior y buscando no verse afectada por un
incidente mayor es que Surez Padilla & Ca. Ltda ha decidido dar un paso
adelante e iniciar con el proceso de establecer un Sistema de Gestin de
Seguridad de la Informacin y as garantizar que los accedan a su informacin
sean quienes estn autorizados.
Se presenta un modelo apoyado en estndares y normas internacionales tales
como ISO/IEC 27001:2013 y el estndar ISO/IEC 27002, que buscan evitar,
disminuir y/o prevenir ataques o desastres informticos, antes que stos ocurran.
Se iniciar con un proceso de anlisis de la situacin actual de la empresa, luego
se deber realizar el inventario de activos y a partir de este llevar a cabo la
definicin del anlisis de riesgos, para un posterior diseo de polticas, procesos y
procedimientos claros que permitirn determinar y establecer los controles de
seguridad que ayuden a gestionar los riesgos identificados.
Este trabajo se estructura en cinco (5) captulos a saber: el Captulo 1
Generalidades del proyecto donde se presenta temas como la formulacin de
problema, objetivos tanto general como los especficos, la justificacin, los
beneficios del proyecto, el alcance y limitaciones; en el Captulo 2 encontramos el
estado de arte del proyecto, en l se describen algunas investigaciones que se
tuvieron en cuenta como referente para llevar a cabo el proyecto. El Captulo 3
Marco Referencial con temas como Marco Terico, Marco Conceptual y
Antecedentes donde se detalla la teora sobre la que se sustenta el proyecto. El
Captulo 4 se encuentra el Diseo Metodolgico a aplicar y los aspectos
administrativos. El Captulo 5 encontramos las conclusiones, y finalmente la
bibliografa consultada y los anexos correspondientes.
15
1.2
LNEA DE INVESTIGACIN
tecnolgica
16
seguridad
en
redes
(rea
2. PROBLEMA DE INVESTIGACIN
2.1
17
18
OBJETIVO GENERAL
4.2
OBJETIVOS ESPECFICOS
19
4.3
20
5. ALCANCE Y LIMITACIONES
5.1
ALCANCE
Fuente:
descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/isoirc_27001_p
dca.html
De acuerdo al estndar internacional ISO/IEC 27001:2013, re realizar un
diagnstico de la situacin actual de la seguridad de la informacin, se evaluarn
las amenazas, riesgos e impactos, permitiendo as un anlisis comparativo de los
controles a ser establecidos en la organizacin, respecto a los controles
planteados en la norma.
Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) reas crticas
de cualquier organizacin como son los activos, seguridad fsica y ambiental, y el
control de acceso y adicionalmente estos dominios estn directamente
relacionados con los tres pilares bsicos de la seguridad como son: la
confidencialidad, integridad y disponibilidad.
21
5.2
LIMITACIONES
22
6. MARCO DE REFERENCIA
6.1
MARCO TERICO
23
CAMELO, Leonardo. Seguridad de la Informacin en Colombia. Marco Normativo (Normas y polticas) de un SGSI. [En
lnea].
2010.
[Consultado
14
de
diciembre,
2014].
Disponible
en
Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-normas-y-politicas-de.html).
3 MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y LAS COMUNICACIONES. Modelo de Seguridad de la Informacin
para la Estrategia de Gobierno en Lnea 2.0. [En lnea].Versin 2.0.2. 49p.Bogot, 2011. [Consultado 15 de diciembre,
2014]. Disponible en Internet: (css.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pdf)
4 PACHECO, Federico. La importancia de un SGSI. Welivesecurity en Espaol. [En lnea].2010. [Consultado 14 de
diciembre, 2014]. Disponible en Internet: (www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)
24
SALCEDO, Robin. Plan de Implementacin del SGSI basado en la Norma ISO 27001:2013. Memoria
Trabajo Final Mster MISTIC. Barcelona: Universidad Oberte Catalunya. [En lnea].2014. 43 p. [Consultado 13
de
enero,
2015].
Disponible
en
Internet:
(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214memoria.pdf)
6
CAO, Javier. Sistemas de Gestin Seguridad de la Informacin. Los malos 3, Los buenos 0. [En lnea]. 2014.
[Consultado
13
de
diciembre,
2014].
Disponible
en
Internet:
(sgsiiso27001.blogspot.com.co/2014/06/ciberseguridad-minuto-y-resultado-los.html)
25
26
27
28
La seguridad en el negocio
12
DE LA CUESTA, Oscar. Herramientas para la implantacin de un SGSI. [En lnea]. 2015. [Consultado 16 de enero, 2015]
Disponible en Internet: (www.palentino.es/blog/herramientas-para-la-implantacion-de-un-sgsi/)
13
ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 Cul es su estructura? [En lnea]. 2015.
[Consultado 18 de junio, 2015]. Disponible en Internet: (www.pmg-ssi.com/2015/08/norma-iso-27001-2013estructura/)
14 ISOTOOLS EXCELLENCE. SGSI. Los pilares del SGSI. [En lnea]. 2015. [Consultado 18 de junio, 2015]. Disponible en
Internet: (www.pmg-ssi.com/2015/07/pilares-sgsi/)
15 ISOTOOLS EXCELLENCE. SGSI. Por qu implantar un SGSI basado en la norma ISO 27001. [En lnea]. 2015. [Consultado
18 de junio, 2015]. Disponible en Internet: (www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-normaiso-27001/)
29
De Metas de la Direccin
Del riesgo
Del tiempo
16
CAO, Javier. Medicin de un SGSI: diseando el cuadro de mandos. [En lnea]. {12 de enero de 2011}.
Disponible en Internet: (www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-cuadro-demandos/)
17 SNCHEZ CRESPO, Luis, et al. Caractersticas deseables para un SGSI orientado a PYMES. [En lnea]. [03 de febrero de
2015].
16p.
Disponible
en
Internet:
(www.researchgate.net/publication/232252352_Caractersticas_deseables_para_un_SGSI_orientado_a_PYMES)
30
31
6.2
MARCO CONCEPTUAL
Recoleccin de la informacin.
Consolidar la informacin.
Clase de activo
Informacin Digital
Informacin Fsica
Activos de Informacin intangibles
Servicios de informacin
Software
Hardware de TI
Controles ambientales
33
Tipo de activo
Clase de activo
Empleados
Tabla 1. (Continuacin)
6.2.4 Valoracin de los activos de Informacin. Seguidamente, los activos de
informacin debe ser valorado de acuerdo a su impacto en trminos de la prdida
de los tres (3) principios bsicos de la seguridad de la informacin que son: la
Confidencialidad, la Integridad y la Disponibilidad.
Partiendo de las tres (3) caractersticas de la seguridad de la informacin y el valor
econmico, se establece la escala de calificacin que contempla cinco (5) niveles
de impacto:
Tabla 2. Confidencialidad, Integridad y Disponibilidad
Valoracin
Cuantitativa
1
2
3
4
5
Valoracin Cualitativa
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Escala
Cualitativa
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Descripcin
Se puede acceder por cualquier usuario
Se puede acceder solo por empleados o contratistas de
la organizacin.
Se puede acceder por Lderes de Proceso.
Solo es posible el acceso para las personas citadas en
lista de control de acceso.
Solo es posible el acceso por personal de la Alta
Direccin y externos pertenecientes al Estado, tambin
Fuente: El Autor
34
Escala
Descripcin
Cualitativa
Puede ser modificado en cualquier momento por
Muy Bajo
cualquier usuario
Es posible la modificacin por cualquier
Bajo
funcionario o contratista de la organizacin.
Es posible la modificacin por Lderes de
Medio
Proceso.
Solo se modifica bajo autorizacin del Comit de
Alto
Gerencia.
Solo se modifica con autorizacin de la Alta
Muy Alto
Direccin.
Fuente: El Autor
Tabla 5. Valoracin Disponibilidad (D).
Escala
Cuantitativa
1
2
3
Escala
Descripcin
Cualitativa
El activo no est disponible por 1 semana y no
Muy Bajo
afecta a la Organizacin
El activo No est disponible hasta por 3 das y no
Bajo
afecta a la organizacin
El activo No est disponible hasta por 1 da y no
Medio
afecta a la organizacin
Alto
Muy Alto
Tabla 5. (Continuacin)
Cada activo de informacin ser valorado en trminos de Confidencialidad,
Integridad y Disponibilidad.
El valor del activo de informacin est dado por:
Valor Activo = C + I + D
Donde:
35
20
16
13
10
6
ICONTEC estndar Internacional ISO/IEC 27005:2008 Information Technology Security techniques Specification for an Information Security
Managment System
37
38
Fuente: www.iso27000.es/sgsi_implantar.html#seccion1
Fuente:
datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003online/31_leccin_11_proceso_de_identificacin_del_riesgo.html
39
41
Fuente: www.iso27000.es/sgsi_implantar.html#seccion1
Plan (planificar): Se establece el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
42
6.3
MARCO LEGAL
19
COLOMBIA. CONGRESO DE LA REPBLICA. Ley Estatutaria de 2012. (17 octubre). Por la cual se dictan disposiciones
generales para la proteccin de datos personales. [en lnea]. Bogot D.C.: Alcalda de Bogot. 2012. [Consultado el 23 de
mayo, 2015]. Disponible en Internet: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
43
por el titular, por tanto no debe estar disponible en internet u otros medios de
divulgacin, a excepcin de la informacin que es pblica.
g) Principio de seguridad: La informacin sujeta a Tratamiento por el
Responsable o Encargado del Tratamiento se deber manejar con las medidas
tcnicas, humanas y administrativas requeridas que brinden seguridad a los
registros evitando as entre otras ser adulterada, consultada, usada, accesada sin
autorizacin del titular.
h) Principio de confidencialidad: Todas las personas que administren,
actualicen o intervengan en el Tratamiento de datos estn obligadas a garantizar
la reserva de la informacin y estn obligados a mantener su confidencialidad y no
revelarla a terceros inclusive despus de finalizada su relacin con alguna de las
labores que comprende el Tratamiento.
6.4
ANTECEDENTES
20
CORLETTI, A. Anlisis de ISO-27001:2005. [en lnea], (abril 2006). [consultado 06 de mayo de 2015].
Disponible en Internet: www.criptored.upm.es/guiateoria/gt_m292g.htm
21 ASOCIACIN ESPAOLA PARA LA CALIDAD-AEC. La gestin de la seguridad en la empresa. En Revista Calidad. [en
lnea], (Junio 2006). p.12.
[Consultado 26 de noviembre, 2014]. Disponible en internet:
www.aec.es/c/document_library/get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&groupId=10128
44
A inicios de los 90, el Departamento de Comercio e Industria del Reino Unido dio
comienzo al desarrollo de la norma britnica BS, con el fin entre otros, de proteger
y regular la gestin de la seguridad en la empresa. La primera norma (BS 7799:95)
fue aprobada oficialmente en 1995 y nace como un cdigo de buenas prcticas
para la gestin de seguridad de la informacin.
Cronolgicamente a este primer gran hito en la normalizacin de la gestin de la
seguridad de la informacin le han precedido las siguientes normas y etapas:
1998, se publica la norma BS 7799-2, en ella se recogen especificaciones para la
gestin de la seguridad de la informacin y por primera vez se lanzan
requerimientos certificables.
1999, segunda edicin, donde se en la que se agrega e-commence al alcance de
la norma.
2000, Tras una revisin de ambas partes de la norma, en diciembre ISO aprueba
la norma ISO 17799 Parte 1 Cdigo de Prctica para los requisitos de gestin de
seguridad de la informacin la cual no era certificable. Esta norma contiene un
conjunto completo de controles que conforman las buenas prcticas de seguridad
de la informacin, y que pueden ser aplicadas por toda organizacin sin importar
cul sea su tamao.
2002, se realiza la revisin de la parte 2 de la BS (BS 7799-2:2002), sta si es
certificable, con el fin de armonizarla con otras normas de gestin (ISO 9001:2000
e ISO 14001:1996), y con los principios de la Organizacin para la Cooperacin y
el Desarrollo Econmicos (OCDE).
2002, la norma es publicada norma UNE (UNE-EN ISO/IEC 17799/ 1:2002,
prcticamente sin modificacin y se establece exclusivamente en Espaa otra
norma, la UNE 71502.
2005, se publica el estndar ISO/IEC 27001, esta es la principal norma de la serie
y en ella se encuentra los requisitos del Sistema de Gestin de Seguridad de la
45
Fuente:es.slideshare.net/fabiandescalzo/270012013-seguridad-orientada-alnegocio
b.
Familia ISO-2700x. A continuacin se hace un acopio del conjunto de
estndares que aportan informacin de la familia ISO-2700x que se puede tener
en cuenta al momento de implementar un SGSI:23
22
PORTAL ISO 27001 EN ESPAOL. Origen serie 27K. [en lnea]. [Consultado 28 de noviembre, 2014]. Disponible en
internet: www.iso27000.es/iso27000.html
23
PORTAL ISO 27001 EN ESPAOL. Serie 27000.Evolucin [en lnea]. [Consultado 29 de noviembre, 2014]. Disponible en
internet: www.iso27000.es/iso27000.html
46
47
48
7.1
49
7.3
RECURSOS DISPONIBLES
50
Descripcin
Ingresos
Cantidad
0
del
Unitario
$ 15.000.000 $
$ 1.500.000
Ingeniero con
estudios
en
especializacin
- Medio tiempo
Proyectado
Mes 2
$
Total
15.000.000
$1.500.000
3.000.000
$ 15.000.000
Gastos de
Personal
Sueldo
Proyectado
Mes 1
1.500.000 $
1.500.000 $
1.500.000
3.000.000
Gastos
Generales
860.000
860.000
1.880.000
Transporte Transporte
80.000
80.000
160.000
Servicios
Tcnicos
650.000
650.000
1.300.000
130.000
130.000
260.000
80.000
160.000
$ 2.400.000
2.400.000
$ 2.400.000
2.400.000
Papelera,
Materiales fotocopias,
y
argollados,
suministros impresiones,
etc.
Servicios
Luz, telfono e
pblicos
internet
Inversin
Equipo
Porttil
Estacin
trabajo
de
$ 2.400.000
GRAN TOTAL
80.000
Fuente: El autor
51
7.280.000
8. RESULTADOS
8.1
Fuente: El autor
52
53
Fuentes de Informacin
Las personas a entrevistar durante el desarrollo de este proyecto sern:
Soporte
telefnico a
solicitud o
trmite
Frecuencia
(Diario/Semanal
Mensual)
Descripcin
Los agentes de seguros tienen a
su cargo un determinado nmero de
clientes a los cuales dan soporte a
cualquier solicitud o trmite con
respecto a los seguros que hayan
adquirido.
54
Diario
Responsable
Pedro Pablo
Gonzlez
Santos
Procesos
Atencin
personalizada
Clientes
Legalizacin
de plizas
Control y
verificacin
de pagos
Gestin
de
Nmina
Gestin de
Talento
Humano
Frecuencia
(Diario/Semanal
Mensual)
Descripcin
Visita a clientes potenciales con el
fin de mostrarles e informarles
sobre el portafolio de servicios
El
agente
recibe
los
documentos requeridos por la
aseguradora. realiza el trmite de
legalizacin de la pliza ante la
aseguradora, hacindole llegar el
respectivo ttulo al cliente
Diario
Segn necesidad
Control y verificacin
de los
Semanal
pagos
efectuados
por
los
clientes
con respecto
a sus
obligaciones
en
los
seguros
adquiridos; Control y verificacin de
los pagos de las primas giradas a la
empresa
por
parte
de
las
aseguradoras.
Gestin de pago mensual de
Quincenal
nmina para los empleados
Pedro Pablo
Gonzlez
Santos
Pedro Pablo
Gonzlez
Santos
Mara Victoria
Martnez
Juan
Carlos
Rojas
Castiblanco
Jackelinne
Manosalva
Cruz
Gestin de Contratos de
trabajo,
permisos, Diaria
incapacidades, capacitacin
Fuente: El autor
Responsable
Tabla 9 (Continuacin)
Descripcin
Criticidad
(*)
55
Tipo de
Sistema
(PC/Servidor/
Mainframe)
N de
Equipos
con la
aplicacin
Criticidad
(*)
Tipo de
Sistema
(PC/Servidor/
Mainframe)
B.D Clientes
Aplicacin
en
red
desarrollada en Access
para el manejo de la
informacin
de
los
clientes
(registro
de
informacin personal y
plizas
de
seguros
adquiridas
por
intermedio
de
la
empresa
Servidor
Software
"Humano"
Desarrollo a la medida
hecho
por
Soporte
Lgico, para la gestin
del talento humano y
liquidacin de nmina,
permite
registrar
la
informacin de hoja de
vida de los empleados.
Servidor
Interpaciolo
Software
Contable
Administrativo
y
Financiero
desarrollado
por Softstation
Servidor
Nombre del
Sistema
Descripcin
N de
Equipos
con la
aplicacin
Fuente: El autor
Tabla 11 Recursos de Hardware de los procesos
Tipo de
Hardware
Servidor de
Aplicaciones
PCs
Detalles del
Modelo/Configuracin
PowerEdge
R410,
Windows Server 2008 R2
Standard 64-bit
Distribuidor
Criticidad
(*)
DELL
Fuente: El autor
Localizacin
Sala
equipos
de
Oficinas
Tabla 11 (Continuacin)
56
Tipo
Equipos Activos
Criticidad Localizacin
(*)
2
Sala de equipos
Equipos Activos
Sala de equipos
3
Sala de equipos
Sede Principal
de
Comunicaciones
Fuente: El autor
Se hace uso de la herramienta PILAR aunque no lleg la licencia solicitada se
realiz un trabajo largo y dispendioso dentro de los cuales se incluye la
identificacin de los activos:
57
A [offices] Oficinas
A [dc] sala de equipos
[P] Personal
Fuente: El autor
a.
Valoracin de Activos: De acuerdo con los preceptos estipulados en la
norma ISO 27001:2013 los activos de informacin deben ser valorados con base a
la disponibilidad, confidencialidad e integridad. La valoracin que cada activo
reciba se relacionar con base a las entrevistas o a informacin suministrada por
el responsable del activo.
58
Clasificacin
1
2
3
4
5
Muy bajo
Bajo
Medio
Alto
Muy Alto
59
[D]
[I]
[C]
[VE]
[VT_ACTIVO]
[4]
[4]
[3]
[11]
[3]
[4]
[3]
[10]
[1]
[3]
[4]
[5]
[13]
[2]
[5]
[5]
[1]
[13]
[1]
[4]
[2]
[2]
[9]
[2]
[2]
[4]
[3]
[3]
[6]
[3]
[5]
[4]
[5]
[17]
[3]
[5]
[5]
[3]
[16]
[3]
[5]
[5]
[4]
[17]
[2]
[3]
[4]
[17]
[4]
[5]
[9]
[2]
[4]
[6]
[2]
[2]
[4]
[2]
[2]
[4]
[HW] Equipos
[1]
[5]
[4]
[4]
[COM] Comunicaciones
A [offices] Oficinas
A [dc] sala de equipos
[P] Personal
[2]
[4]
[4]
[5]
[5]
[5]
[3]
[5]
[5]
[5]
[14]
[19]
b.
Identificacin de Amenazas: Las amenazas son los eventos inesperados
con potencial para causar daos. La siguiente es la lista de amenazas aplicables
al contexto de Surez Padilla & Ca. Ltda encontradas en el anlisis y acordados
con la empresa.
(E) Fallos no intencionados
[E.1] Errores de los usuarios
[E.2] Errores del administrador del sistema/ de la seguridad
[E.4] Errores de configuracin
[E.8] Difusin de software daino
[E.15]Alteracin de la informacin
[E.18] Destruccin de la informacin
60
c.
Identificacin de Vulnerabilidades. En el marco de las posibles amenazas
que pueden llegar a materializarse, las siguientes son las vulnerabilidades
referenciadas por los entrevistados e identificadas durante las visitas a sitio y que
61
pueden ser explotadas para convertir una amenaza en un riesgo real causando
daos graves en la empresa:
Cableado inapropiado
d.
Evaluacin del Impacto. Las entrevistas tambin permitieron establecer los
siguientes impactos tipificados segn la norma ISO 27005:
Tabla 14 Evaluacin del Impacto
Amenaza
Fallos no intencionados
Impacto
Alteracin/prdida o Fuga de Informacin
Dao/
Prdida
de
activos
o
indisponibilidad colateral de otros servicios
Costos excesivos
Informacin
para
toma
de
decisiones errada o inoportuna
Interrupcin del servicio o del negocio
Prdida de credibilidad, competitividad
o imagen de la empresa
Prdida de productividad de los
empleados
63
Amenaza
Ataques deliberados o
intencionados
Impacto
Alteracin/prdida o Fuga de Informacin
Dao/ Prdida de activos o
indisponibilidad colateral de otros
servicios
Fraude/Robo o malversacin de fondos
Interrupcin del servicio o del negocio
De origen industrial
Desastres naturales
Fuente: El autor
e.
No
Probabilidad
Riesgo
A
M B
Software
R1
Incorrecta
implementacin
de polticas de Firewalls
R2
Instalacin
de
software
no licenciado y autorizado
R3
R4
R5
Recursos
defecto
Compartidos
por
Impacto
M C
L
Mitigar
Mitigar
64
Mitigar
Mitigar
X
X
Tratamiento
Mitigar
No
R6
R7
Probabilidad
Riesgo
Falta de
actualizacin
del
Software
Aplicaciones
cliente
desactualizadas
R8
Instalacin de software
las opciones por defecto
R9
R10
Parches
seguridad desactualizados.
con
de
M
X
Impacto
M C
L
X
X
Tratamiento
Mitigar
Mitigar
Mitigar
Mitigar
Mitigar
Datos
R11
R12
X
X
Mitigar
Mitigar
Eliminar
Hardware
R13
R14
R15
X
X
Eliminar
Eliminar
Redes y Comunicaciones
R16
R17
Acceso
de
personal
autorizado,
al
cuarto
comunicaciones
Deficiencia
cableado estructurado
no
de
del
R18
R19
Puertos Abiertos
R20
Incorrecta
configuracin
los equipos de red
R21
Transporte
de
informacin
por conexiones no seguras
X
X
de
Eliminar
X
X
X
65
Eliminar
Eliminar
X
X
Mitigar
Eliminar
Mitigar
Probabilidad
No
Riesgo
R22
Falta
de
y concienciacin
R23
A
M B
Personal
capacitacin
Impacto
M C
L
Tratamiento
Eliminar
X
X
Mitigar
TABLA 15 Continuacin
IMPACTO
LEVE (L)
MODERADO (M)
CATASTROFICO (C)
PROBABILIDAD
R3,R7,R10,
R19,R21,R22
ALTO (A)
MEDIO (M)
R6
R2,R4,R8,R9,
R15
BAJO (B)
R14,R17
R5,R12
R1,R13,R20
R11,R16, R18,R23
Para total claridad y poder cerrar nuestro caso le quiero pedir su amable
colaboracin y validar el ingreso.
Ingreso sin contratiempo?
Respuesta del usuario
Si pude entrar sin ningn problema
Ya estoy dentro del portal
Perfecto muchas gracias. Vamos a probar ahora el acceso desde mi sistema
para validar que todo est bien, por favor me ayuda con los datos para yo
validar el ingreso desde aqu.
Respuesta del usuario
Mis datos de ingreso son:
Muchas gracias por su colaboracin, el caso ha sido cerrado correctamente,
recuerde que habl con Kelly de la Mesa de Ayuda de Soporte Tcnico de
Seguros Bolvar.
En esta prueba los resultados se vieron afectados debido a que de las llamadas
realizadas un gran porcentaje no contesto el telfono al momento de la prueba.
67
Fuente: El autor
En total 5 usuarios brindaron la informacin solicitada mediante la llamada. Se
pudo evidenciar que los datos eran correctos cuando se ingresaron al sistema de
informacin.
8.1.3.2 Equipos porttiles sin asegurar: Se realizaron visitas a diferentes reas de
la organizacin para evidenciar posibles brechas de seguridad en temas fsicos,
hallndose equipos porttiles sin seguridad los cuales podran en algn momento
ser extrados de la organizacin.
Figura 5 Porttiles sin asegurar
68
Fuente: El autor
8.1.3.3 Equipos desatendidos: En esta prueba se evidencia la falta de poltica o
ausencia de la verificacin de la implementacin en bloqueo manual y/o
automtico del sistema operativo. Durante las visitas se evidenciaron equipos sin
bloqueo de pantalla en ausencia del responsable.
Figura 6 Equipos desatendidos
Fuente: El autor
Con las anteriores pruebas se pudo evidenciar que aunque existen controles de
seguridad fsica como son el personal de vigilancia, es posible acceder a
69
70
Requisito Normativo
Observacin
4. Contexto de la Organizacin
4.1
4.2
4.3
4.3
Comprender la organizacin y
su contexto
Comprender las necesidades
y expectativas de las partes
interesadas
Alcance
del
SGSI
Documentado
Alcance del SGSI Aprobado
5 Liderazgo
5.1
5.2
5.2
5.2
5.3
Liderazgo y compromiso
6 Planificacin
6.1
71
Requisito Normativo
Observacin
6.2
7 Soporte
7.1
7.2
7.3
Recursos
Competencia
Conocimiento
7.4
Comunicacin
7.5
Informacin Documentada
8 Funcionamiento
8.1
8.2
Tabla 17 Continuacin
72
Requisito Normativo
Observacin
8.3
9.1
9.2
9.3
direccin,
10. Mejora
10.1
10.2
Tabla 17 Continuacin
Fuente: El autor
73
74
Tabla 18 Continuacin
A.8.1 Responsabilidades de los activos
Surez Padilla & Ca Ltda no cuenta con un inventario de activos de informacin consolidado
donde tenga asociado los responsables.
A.8.2 Clasificacin de la Informacin
En la organizacin se cuenta con clasificacin de la informacin en cuatro grandes tipos: Interna,
Confidencial, Pblica y Reservada.
A.8.3 Manejo de medios
Los medios fsicos en trnsito, gestin de medios removibles no se encuentran controlados ni
existen polticas donde se mencione su manejo.
Dominio 9 Control de accesos
A.9.1 Control de accesos a los requerimientos de negocio
Durante las entrevistas realizadas a los empleados y contratistas se menciona que no cuentan
con polticas de seguridad de la Informacin.
A.9.2 Gestin de acceso de usuarios
La organizacin cuenta con la creacin de usuarios en directorio activo donde se gestiona algunos
privilegios en la red y la implementacin de proxy para navegacin. Los puntos ms importantes
por trabajar son: Revisin de los Derechos de Acceso de usuarios; Equipo de usuarios
Desatendido; Poltica de puesto de trabajo despejado y Pantalla Limpia; Desconexin automtica
de sesin; Limitacin del tiempo de conexin, entre otras.
A.9.3 Responsabilidades de usuarios
En la organizacin cada uno de los empleados tiene asignadas la realizacin de actividades que
hacen parte de sus procesos, los cuales No estn documentados en un Manual de Procesos y
Procedimientos, en los cuales se establecen los responsables y controles en materia de manejo
de la informacin. Igualmente no se evidencia las asignacin de roles y responsabilidades en
seguridad de la Informacin.
Tabla 18. (Continuacin)
75
Tabla 18 (Continuacin)
76
Tabla 18 Continuacin
77
Surez Padilla & Ca Ltda no cuenta con Plan de continuidad de negocio o plan de recuperacin
de desastres de forma que se pueda mantener la operacin de los sistemas crticos de la
organizacin ante la materializacin de escenarios catastrficos. Se requiere dar una mayor
relevancia a este dominio ya que se est arriesgando la subsistencia de la organizacin.
A.17.2 Redundancia
Surez Padilla & Ca Ltda, no cuenta con redundancia en firewall, canales, UPS
A.18 Cumplimiento
Tabla 18 (Continuacin)
A continuacin se muestra grficamente el estado general de cumplimiento de los
controles del anexo A de la norma ISO 27001 en Surez Padilla & Ca Ltda
78
Fuente: El autor
El Diagnstico realizado defini el porcentaje mximo de cumplimiento que posee
actualmente la organizacin, haciendo la claridad que dichos cumplimientos estn
sujetos a acciones de mejoramiento una vez se est ejecutando la implementacin
del SGSI. Dichas acciones de mejoramiento reforzarn el cumplimiento de la
norma y se enfocarn en la madurez, seguimiento y control del SGSI.
8.2
FASE 2. DEFINICIN DE POLTICAS, NORMAS, PROCEDIMIENTOS Y
ACCIONES DE SEGURIDAD INFORMTICA A IMPLEMENTAR (SISTEMA DE
GESTIN DE SEGURIDAD INFORMTICA)
8.2.1 Polticas De Seguridad De La Informacin De Surez Padilla & Ca Ltda. La
Alta Direccin debe revisar y aprobar las Polticas de Seguridad de la Informacin
de acuerdo con el procedimiento de creacin de polticas de gestin de seguridad
de la informacin, demostrando as su compromiso con la seguridad de la
informacin en Surez Padilla & Ca Ltda. Una vez aprobadas dichas polticas,
debe velar por su divulgacin, mantenimiento y cumplimiento al interior y con los
terceros que interacten directamente con la organizacin.
La Alta Direccin debe revisar peridicamente la aplicabilidad y vigencia de las
siguientes Polticas especficas de Seguridad de la Informacin y efectuar los
ajustes necesarios sobre ellas para que sean funcionales y se pueda seguir
exigiendo su cumplimiento por parte de todos los empleados y personal
suministrado por terceras partes que provean servicios a Surez Padilla & Ca
Ltda.
79
OBJETIVOS
ORGANIZACIN DE LA SEGURIDAD
Uso Pblico: Informacin que por sus caractersticas puede o debe estar a
disposicin de cualquier persona natural o jurdica en el Estado Colombiano.
Dentro de esta clasificacin se puede considerar: noticias, informes de prensa,
informacin de rendicin de cuentas, informacin sobre trmites, normatividad.
Interno: Informacin que por sus caractersticas puede o debe estar a
disposicin slo del personal interno que labora en la compaa o terceros que
deben acceder a la informacin por tener un vnculo directo con la organizacin.
Uso Confidencial: Informacin cuya divulgacin no autorizada puede afectar
considerablemente el cumplimiento de la misin de Surez Padilla & Ca Ltda. La
divulgacin de esta informacin, requiere de la aprobacin de su respectivo
propietario. En el caso de terceros rige el acuerdo de confidencialidad que exista
entre Surez Padilla & Ca Ltda y el tercero.
83
Los datos de acceso a los sistemas de informacin debern estar
compuestos por un ID o nombre de usuario y contrasea que debe ser nico por
cada empleado o tercero.
b)
c)
No estn basadas en algn dato que otra persona pueda adivinar u obtener
fcilmente mediante informacin relacionada con la persona, por ejemplo
nombres, nmeros de telfono, fecha de nacimiento, etc.
84
d)
Notificar de acuerdo a lo establecido cualquier incidente de seguridad
relacionado con sus contraseas: Prdida, robo o indicio de prdida de
confidencialidad.
Los empleados o terceros que presten sus servicios a Surez Padilla & Ca
Ltda, no deben intentar ingresar a reas a las cuales no tengan la debida
autorizacin.
La seguridad de los equipos de cmputo fuera de las instalaciones ser
responsabilidad de cada funcionario y contratista asignado, junto con una
autorizacin del jefe inmediato.
86
El acceso a la informacin de Surez Padilla & Ca Ltda, deber ser
otorgado slo a Usuarios autorizados, basados en lo que es requerido para
realizar las tareas relacionadas con su responsabilidad.
87
Controlar el acceso lgico a los servicios, tanto a su uso como a su
administracin mediante bloqueo de puertos en el firewall de la organizacin.
La informacin tratada por las aplicaciones aceptadas por Surez Padilla &
Ca Ltda, debe preservar su confiabilidad desde su ingreso, transformacin y
entrega a las aplicaciones de la Organizacin.
GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
Para los procesos crticos del negocio, Surez Padilla & Ca Ltda debe
contar con instalaciones alternas y con capacidad de recuperacin, que permitan
mantener la continuidad del negocio an en caso de desastre en las instalaciones
de los lugares de Operacin.
CUMPLIMIENTO
Actividad
Responsables
Fecha
1 Definir,
documentar,
Difundir
e Sandra Surez, Olga Morales
implementar un procedimiento de gestin
de incidentes de seguridad de la
informacin en la Empresa
23-Dic-2015
04-Dic-2015
04-Dic-2015
27-Nov-2015
04-Dic-2015
04-Dic-2015
90
No.
Actividad
Responsables
Fecha
27-Nov-2015
31-Dic-2015
31-Dic-2015
31-Dic-2015
31-Dic-2015
04-Dic-2015
04-Dic-2015
Olga Morales
27-Nov-2015
31-Dic-2015
Tabla 19 (Continuacin)
8.2.3 Plan De Continuidad De Negocio De Suarez Padilla & Cia Ltda. Para
desarrollar nuestro Plan de Continuidad y garantizar su xito, lo primero es
determinar los procesos esenciales del negocio dentro de la compaa, con el
objetivo de asegurar la continuidad de la actividad en caso de contingencia.
Tabla 20 Procesos esenciales del negocio y Tiempo mximo de interrupcin
Proceso
Soporte telefnico a solicitud o
trmite
Necesidades de
Recuperacin (*)
Da 1-7
91
Criticidad
(*)
2
Proceso
Atencin personalizada
Clientes
Legalizacin de plizas
Control y verificacin de pagos
Gestin de Nmina
Gestin de Talento Humano
Necesidades de
Recuperacin (*)
Criticidad
(*)
Da 1-7
Da 1-7
Da 730
Da 730
Da 730
2
2
3
3
(*)Necesidad de Recuperacin:
Da 0: Recuperacin inmediata
Da 1-7: El proceso debe ser recuperado entre el primer y el quinto da despus
de un incidente.
Da 730: El proceso debe ser recuperado despus de la primera semana y
antes de un mes.
Ms 30 das: El proceso pude esperar ms de 30 das a ser recuperado.
(*) Rangos de Criticidad:
1 La organizacin/departamento no puede funcionar sin el sistema
2 La organizacin/departamento puede funcionar parcialmente sin el sistema
3 - La organizacin/departamento puede funcionar sin el sistema
En el caso de Suarez Padilla & Ca. Ltda, la disponibilidad de las
comunicaciones y las calidades de servicio comprometidas son claves para el
negocio pues preservar la confianza de los clientes es vital; una interrupcin
prolongada de las operaciones podra tener un impacto grave en la imagen
institucional y en la confianza de los clientes. Esa desconfianza e incertidumbre
impacta los procesos del negocio generando prdidas potenciales.
Estrategia de Respaldo
Existen diferentes estrategias para mitigar el impacto de una interrupcin,
cada una tiene unos parmetros de tiempo, disponibilidad y costes asociados, a
continuacin se describe las estrategias de recuperacin del negocio para la
reubicacin funcional que asegure la continuidad de los procesos:
92
OBJETIVO
ESTRATEGIAS DE
RECUPERACIN
Documentar
actividades
crticas
Formacin
Conocimiento compartido y
multidisciplinar
Separacin de tareas clave
Instalaciones y Puestos
de trabajo
Reducir el impacto
que Instalaciones alternas
genera la
Teletrabajo
falta
de
disponibilidad
de
las instalaciones de
trabajo
Tecnologa
Entender
el
entorno Mantenimiento
de
la
tecnolgico que soporta las
misma tecnologa
en
actividades crticas
diferentes ubicaciones
y mantener la capacidad Copias de software crtico
para replicarlo en caso de
desastre
Informacin
Documentacin
Fuente: El autor
de
INTERNAS
MESES
Reconstruccin / Realojamiento
SEMANAS
Utilizacin
de
espacios
propios existentes
en la
compaa
DIAS
93
CONTRATADO
TIEMPO OBJETIVO
DE RECUPERACIN
INTERNAS
HORAS
Trabajo en casa
Copias de software crtico
Copias de seguridad
INMEDIATO
CONTRATADO
Fuente: El autor
Desarrollo del Plan de Continuidad
Fuente: El autor
94
Funciones:
Anlisis de la situacin.
95
Desarrollo De Procedimientos
Fin De La Contingencia. Dependiendo de la gravedad del incidente, la
vuelta a la normalidad de operacin puede variar entre horas, das o meses, lo
realmente importante es que durante el transcurso de este tiempo de vuelta a la
normalidad, el servicio a los clientes y empleados sea prestado y que la incidencia
afecte lo menos posible al negocio.
100
b)
El anlisis de la situacin se llevar a cabo sobre las siguientes
reas/controles:
101
ALCANCE
Esta poltica es de aplicacin para todas las reas que hacen parte de la empresa
Surez Padilla & Cia Ltda, a sus recursos, a la totalidad de los procesos internos o
externos vinculados a la empresa a travs de contratos o acuerdos con terceros y
a todo el personal de la entidad, cualquiera sea su situacin contractual, la
dependencia en la cual se encuentre prestando sus servicios y el nivel de las
tareas que desempee.
Acuerdos de confidencialidad
Todos los funcionarios de Surez Padilla & Cia Ltda y/o terceros deben aceptar los
acuerdos de confidencialidad, donde cada funcionario individualmente se
comprometan a no divulgar, usar o explotar la informacin confidencial a la que
tengan acceso, respetando los niveles establecidos para la clasificacin de la
informacin; cualquier violacin a lo establecido en este pargrafo ser
considerado como un incidente de seguridad.
102
Acceso a Internet
a) No est permitido:
104
b)
Los funcionarios y/o contratistas, que tengan acceso a los equipos que
componen la infraestructura tecnolgica de Surez Padilla & Cia Ltda no pueden
fumar, beber o consumir algn tipo de alimento cerca de los equipos.
Proteccin contra software malicioso
a)
Todos los sistemas informticos deben ser protegidos por software antivirus
con capacidad de actualizacin automtica.
b)
El Comit de Seguridad de la Informacin elaborar y mantendr un
conjunto de polticas, normas, estndares, procedimientos y guas que garanticen
la mitigacin de riesgos asociados a amenazas de software malicioso y tcnicas
de hacking.
Copias de respaldo
a)
Surez Padilla & Cia Ltda debe asegurar que la informacin con cierto nivel
de clasificacin, contenida en la plataforma tecnolgica de la empresa, sea
peridicamente resguardada mediante mecanismos y controles adecuados que
garanticen su identificacin, proteccin, integridad y disponibilidad.
b)
Se deber establecer un plan de restauracin de copias de seguridad que
sern probados a intervalos regulares con el fin de asegurar que son confiables en
caso de emergencia y retenidas por un periodo de tiempo determinado.
c)
Los medios magnticos que contienen la informacin crtica deber ser
almacenados en un sitio externo donde se resguardan dichas copias, debe tener
los controles de seguridad adecuados, cumplir con mximas medidas de
proteccin y seguridad fsica apropiados.
105
c)
El identificador de usuario dentro de la red es nico y personalizado, por lo
tanto el usuario es responsable de todas las actividades realizadas con su
identificador de usuario
Gestin de contraseas de usuario
a)
Es obligacin del usuario cambiar la clave por defecto asignada por la
persona encargada de la administracin de los recursos informticos
b)
Cuando un usuario olvide, bloquee o extrave su password deber solicitar
a la persona encargada de la administracin de los recursos informticos para que
ella realice la accin que le permita ingresar un nuevo password, y al momento de
recibirlo deber personalizar uno nuevo.
c)
Est prohibido mantener ayudas escritas o impresas referentes al password
en lugares donde personas no autorizadas pueden descubrirlos.
d)
La revelacin del password o contrasea a terceros responsabiliza al
usuario que prest su password de todas las acciones que se realicen con el
mismo.
e)
Los usuarios debern observar las siguientes guas para la construccin de
su contrasea:
b)
Al finalizar las actividades diarias, se deben cerrar todas las aplicaciones y
dejar los equipos apagados.
c)
Se establecer una poltica de protector de pantalla a nivel de directorio
activo, el cual se activar automticamente despus de cinco (5) minutos de
inactividad y se podr desbloquear nicamente con la contrasea del usuario.
107
Sec
A.5.1
Objetivo de Control
Poltica de Seguridad de la Informacin.
Brindar orientacin y soporte, por parte de la direccin, para la seguridad de la informacin, de acuerdo
con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Polticas de
Seguridad de la
Informacin
A.5.1.1
A.5.1.2
A.6.1
Organizacin Interna.
Establecer un marco de referencia de gestin para iniciar y controlar la implementacin y la operacin de la
seguridad de la informacin dentro de la organizacin.
Organizacin de A.6.1.1
la Seguridad de
la Informacin
A.6.1.2
A.6.1.3
Separacin de deberes.
108
Sec
A.6.1.4
Organizacin de A.6.1.5
la Seguridad de
la Informacin
A.6.2
Objetivo de Control
A.6.2.1
A.6.2.2
Seguridad de los
Recursos
Humanos
A.7,1
A.7.1.1
Teletrabajo.
109
Sec
A.7.1.2
A.7.2
Objetivo de Control
Trminos y condiciones de empleo.
A.7.2.1
Responsabilidades de la direccin.
A.7.2.2
A.7.2.3
Proceso disciplinario.
Seguridad de los
Recursos
Humanos
A.7.3
110
Sec
A.7.3.1
Objetivo de Control
Incluir
en
el
documento:
PROCEDIMIENTO
ADMINISTRACIN DE
PERSONAL" o definir uno nuevo,
donde se indique las actividades en
el momento de la terminacin laboral
o cambios en la contratacin de los
empleados o contratistas de la
organizacin.
Seguridad de los
Recursos
Humanos
8.1
A.8.1.1
Inventario de activos.
A.8.1.2
A.8.1.3
A.8.1.4
Devolucin de Activos.
Gestin de
activos
8.2
Clasificacin de la informacin.
111
Sec
A.8.2.1
Gestin de
activos
Objetivo de Control
Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo con su importancia para
la organizacin.
No existe un proceso formal donde
se determine la clasificacin de la
Clasificacin de la informacin.
X
informacin de la organizacin.
A.8.2.2
Etiquetado de la informacin.
A.8.2.3
Manejo de activos.
8.3
La documentacin de la organizacin
debe contar con etiquetado segn los
niveles de clasificacin definidos y
establecidos por la organizacin.
El manejo de la informacin deber
estar definido en el proceso o
procedimiento de clasificacin de la
informacin y depender de su nivel
de clasificacin.
Manejo de medios.
Evitar la divulgacin, la modificacin, el retiro o la destruccin no autorizados de informacin almacenada
en los medios.
A.8.3.1
A.8.3.2
A.8.3.3
A.9.1
Control de acceso.
112
Sec
Objetivo de Control
Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.
A.9.1.1
A.9.1.2
A.9.2
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
9.2.1
9.2.2
9.2.3
9.2.4
9.2.5
Control de
acceso
113
Sec
Objetivo de Control
9.2.6
A.9.3
"administracin
de
personal".
Importante
mencionar
en
el
documento una frecuencia de
revisin de privilegios de los
sistemas de informacin.
Hacer que los usuarios rindan cuentas por la salvaguarda de su informacin de autenticacin.
Control de
acceso
A.9.3.1
Uso de
secreta.
informacin
de
autenticacin
A.9.4
A.9.4.1
A.9.4.2
A.9.4.3
114
Control de
acceso
Sec
Objetivo de Control
A.9.4.4
A.9.4.5
A.10.1
Criptografa
A.10.1.1
A.10.1.2
A.11.1
Seguridad fsica y
del entorno
Controles Criptogrficos.
Asegurar el uso apropiado y eficaz de la criptografa para proteger la confidencialidad, la autenticidad y/o la
integridad de la informacin.
Definir, documentar e implementar
Polticas sobre el uso de controles
X
polticas de controles criptogrficos
criptogrficos.
Gestin de llaves.
reas seguras.
Prevenir el acceso fsico no autorizado, el dao y la interferencia a la informacin y a las instalaciones de
procesamiento de informacin de la organizacin.
A.11.1.1
A.11.1.2
115
Sec
Objetivo de Control
A.11.1.3
Seguridad
de
instalaciones.
A.11.1.4
Seguridad fsica y
del entorno
A.11.1.5
A.11.1.6
A.11.2
A.11.2.1
oficinas,
recintos
Equipos.
Prevenir la prdida, dao, robo o compromiso de activos y la interrupcin de las operaciones de la
organizacin.
Se debe fortalecer el control de
salida de equipos y sensibilizar a los
usuarios en la proteccin fsica de los
mismos, ya que en las pruebas de
Ubicacin y proteccin de los equipos.
X
Ingeniera
Social realizadas se
evidenciaron
muchos
equipos
porttiles sin proteccin
A.11.2.2
Servicio de suministro.
A.11.2.3
Seguridad de cableado.
116
Sec
Objetivo de Control
A.11.2.4
Mantenimiento de equipos.
A.11.2.5
Retiro de activos.
Seguridad fsica y
del entorno
A.11.2.6
A.11.2.7
Disposicin
equipos.
A.11.2.8
A.11.2.9
A.12.1
segura
reutilizacin
de
117
Seguridad de las
operaciones
Sec
Objetivo de Control
A.12.1.1
A.12.1.2
Gestin de cambios.
A.12.1.3
Gestin de capacidad.
A.12.1.4
A.12.2
A.12.2.1
A.12.3
Copias de respaldo.
Proteger contra la prdida de datos.
Respaldo de la informacin.
118
Sec
A.12.4
Objetivo de Control
Registro y seguimiento.
Registro de eventos y generar evidencia.
A.12.4.1
Registro de eventos.
A.12.4.2
A.12.4.3
Sincronizacin de relojes.
A.12.6.1
119
Sec
A.12.6.2
Seguridad de las
operaciones
A.12.7
Objetivo de Control
Restriccin sobre la instalacin de software.
A.12.7.1
A.13.1
A.13.1.1
Seguridad de las
comunicaciones A.13.1.2
A.13.1.3
120
Cuando se d la ampliacin de la
planta de personal se debe
implementar
una adecuada
segmentacin de redes
Sec
A.13.2
Objetivo de Control
Transferencia de informacin.
Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
organizacin externa.
Polticas y procedimientos de transferencia
de informacin.
A.13.2.3
Mensajera electrnica.
A.13.2.4
Acuerdos de confidencialidad o de no
divulgacin.
A.14.1
Adquisicin,
desarrollo y
mantenimiento
de sistemas
A.14.1.1
A.14.1.2
121
Sec
A.14.1.3
A.14.2
Objetivo de Control
Proteccin de transacciones de los servicios
de las aplicaciones.
A.14.2.5
Asegurar que la seguridad de la informacin est diseada e implementada dentro del ciclo de vida de
desarrollo de los sistemas de informacin.
Definir, divulgar e implementar
poltica de desarrollos seguro en los
Poltica de desarrollo seguro.
X
sistemas de informacin de la
organizacin.
Definir, divulgar e implementar
Procedimientos de control de cambios en
procedimiento de control de cambios
X
sistemas.
en los sistemas de informacin e
infraestructura tecnolgica.
Definir, divulgar
e
implementar
Revisin tcnica de las aplicaciones despus
procedimiento, formato o lista de
X
de cambios en la plataforma de operacin.
chequeo cuando se realicen cambios
en la plataforma tecnolgica.
Definir, divulgar e implementar
Restriccin en los cambios a los paquetes de
X
poltica para la restriccin a los
software.
paquetes de software.
Principios de construccin de los sistemas
Se deben desarrollar estndares de
X
seguros.
seguridad de desarrollo de software
A.14.2.6
A.14.2.1
Adquisicin,
desarrollo y
A.14.2.2
mantenimiento
de sistemas
A.14.2.3
A.14.2.4
122
Adquisicin,
desarrollo y
mantenimiento
de sistemas
Sec
Objetivo de Control
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3
A.14.3.1
A.15.1
Datos de pruebas.
Asegurar la proteccin de los datos usados para pruebas.
Relaciones
con
los proveedores
A.15.1.1
A.15.1.2
123
Sec
A.15.1.3
A.15.2
Objetivo de Control
Cadena de suministro de tecnologa de
informacin y comunicacin.
Control adecuado
con
posibilidades de mejora
A.15.2.1
A.15.2.2
A.16.1
A.16.1.1
Gestin de
incidentes de A.16.1.2
seguridad de la
informacin
A.16.1.3
A.16.1.4
A.16.1.5
124
Sec
Objetivo de Control
A.16.1.6
A.16.1.7
Recoleccin de evidencia.
A.17.1
Aspectos de A,17.1.1
seguridad de la
informacin de la A,17.1.2
gestin de
continuidad de
A,17.1.3
negocio
A.17.2
A.17.2.1
A.18.1
Planificacin de la continuidad
seguridad de la informacin.
de
la
Implementacin de la continuidad de la
seguridad de la informacin.
de
Cumplimiento
A.18.1.1
125
Control adecuado
con
posibilidades de mejora
Sec
Objetivo de Control
Control adecuado
con
posibilidades de mejora
A.18.1.2
A.18.1.3
Proteccin de registros.
A.18.1.4
A.18.1.5
X
X
Cumplimiento
A.18.2
A.18.2.1
A.18.2.2
A.18.2.3
126
CRONOGRAMA
127
10. CONCLUSIONES
Como se ha evidenciado a lo largo de este trabajo, es claro e innegable que la
informacin y los datos son el activo ms importante de una organizacin, es por
ello que partiendo de dicha premisa para una Pyme como Surez Padilla & Ca.
Ltda es importante poder contar con un Sistema de Gestin de Seguridad de la
Informacin (SGSI) enfocado en las necesidades del negocio y basado en
estndares y buenas prcticas como lo es la norma ISO/IEC 27001:2013.
128
11. RECOMENDACIONES
129
BIBLIOGRAFA
130
131
132
PORTAL ISO 27001 EN ESPAOL. Origen serie 27K. [En lnea]. [Consultado 28
de noviembre, 2014]. Disponible en internet: www.iso27000.es/iso27000.html
PORTAL ISO 27001 EN ESPAOL. Serie 27000.Evolucin [en lnea]. [Consultado
29 de noviembre, 2014]. Disponible en internet: www.iso27000.es/iso27000.html
SALCEDO, Robin. Plan de Implementacin del SGSI basado en la Norma ISO
27001:2013. Memoria Trabajo Final Mster MISTIC. Barcelona: Universidad
Oberte Catalunya. [En lnea].2014. 43 p. [Consultado 13 de enero, 2015].
Disponible
en
Internet:
(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214me
moria.pdf)
133
ANEXOS
Anexo A Controles ISO 27002:2013
Criterio / elementos
Ttulo
Disponibilidad de la
informacin
Redaccin
Ortografa
Formulacin del problema
Justificacin
Objetivo general
Argumento
SI
SI
SI
SI
SI
SI
Adecuacin textual
Coherencia textual
Cohesin textual
Correccin gramatical
No se presentan errores ortogrficos
Se hace una formulacin clara y sin ambigedades
Evidencia la relacin entre variables en un contexto temporal y
espacial
Argumenta las razones por las cuales se escogi el tema de
estudio y evidencia su importancia
Describe y argumenta claramente los beneficios al realizar el
proyecto
Grado de innovacin del proyecto, su valor cientfico, acadmico
o tcnico.
SI
SI
SI
SI
SI
SI
SI
cumple
SI/NO
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
SI
NA
NA
NA
SI
SI
SI
SI
SI