guÍa de seguridad de la informaciÓn basada en la...
TRANSCRIPT
1
GUÍA DE SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA ISO 27001
Y EL ESTÁNDAR NISTIR 7621 REVISIÓN 1 DEL NATIONAL INSTITUTE OF
STANDARDS AND TECHNOLOGY PARA PYMES, CON DISEÑO DE POLÍTICAS
PARA LA EMPRESA PROFESIONALES ASOCIADOS LTDA.
José Leonardo Garzón Barón
Cod. 20111378037
Trabajo de grado dirigido por:
Ing. Jairo Hernández
Monografía para optar por el título de Ingeniero en Telemática
Universidad Distrital Francisco José de Caldas
Ingeniería en Telemática
Bogotá
2018
2
NOTA DE ACEPTACIÓN
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
____________________________________
Jurado
Bogotá D.C., __________________ de 2018
3
AGRADECIMIENTOS
En primer lugar, quiero agradecer a mis padres Mery Sol y Germán, a mi hermano Andrés y a mi
novia Viviana, que siempre estuvieron a mi lado brindándome todo el apoyo y empujones que
necesité para llegar a este escalón.
Agradezco al tutor de este proyecto Ing. Jairo Hernández y al jurado, el Ing. Miguel Ángel
Leguizamón quienes estuvieron siempre dispuestos a aportar su conocimiento y experiencia para
lograr los objetivos propuestos. En general, agradezco a todos los profesores del programa de
Ingeniería en Telemática quienes pusieron un granito de su conocimiento para formarme.
A la Universidad Distrital Francisco José de Caldas. Universidad a la que estoy muy orgulloso de
pertenecer, que forma a los mejores ingenieros del país, y hoy yo soy parte de ese selecto grupo
de ingenieros de la U.D.
A todos los compañeros y amigos con los que compartí esta espectacular etapa académica y de
vida.
Los resultados de este proyecto no habrían sido posibles sin el apoyo y aporte de ustedes. Mi más
sincero agradecimiento y aprecio.
4
Tabla de Contenido
Glosario de Términos y Definiciones ......................................................................................................... 6
Resumen ....................................................................................................................................................... 9
Introducción .............................................................................................................................................. 10
CAPÍTULO I – FASE DE PLANEACIÓN ............................................................................................ 12
1.1 Planteamiento del problema .......................................................................................................... 12
1.2 Objetivos .......................................................................................................................................... 14
1.2.1 Objetivo general ....................................................................................................................... 14
1.2.2 Objetivos específicos ................................................................................................................ 14
1.3 Marco teórico .................................................................................................................................. 14
1.4 Solución tecnológica ........................................................................................................................ 16
1.5 Metodología ..................................................................................................................................... 17
1.6 Resultados Esperados ..................................................................................................................... 17
1.7 Impactos ........................................................................................................................................... 18
1.8 Cronograma de actividades............................................................................................................ 18
1.9 Factibilidad económica ................................................................................................................... 19
CAPÍTULO II – ALINEAMIENTO DEL ESTÁNDAR NISTR 7621 REVISIÓN 1 CON LA
NORMA ISO 27001:2013 ......................................................................................................................... 20
CAPÍTULO III – ANÁLISIS, EVALUACIÓN Y DEFINICIÓN DE LÍNEA BASE PARA EL SGSI
EN PROFESIONALES ASOCIADOS LTDA. ...................................................................................... 40
Levantamiento de información y planeación del Sistema de Gestión de la Seguridad de la Información
para la empresa Profesionales Asociados LTDA. ................................................................................... 40
3.1 Inventario de Información ............................................................................................................. 44
3.2 Análisis de vulnerabilidades y amenazas ...................................................................................... 46
CAPÍTULO IV DISEÑO DE LAS BASES PARA EL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA PROFESIONALES
ASOCIADOS LTDA ................................................................................................................................. 53
4.1 Alcance del SGSI .............................................................................................................................. 58
4.2 Metodología de Gestión de Riesgos.................................................................................................. 58
4.3 Declaración de Aplicabilidad ............................................................................................................ 59
4.4 Objetivos del SGSI ........................................................................................................................... 59
4.5 Política General del SGSI ................................................................................................................. 59
4.6 Definición de roles y responsabilidades dentro del SGSI ................................................................. 60
4.7 Política de Seguridad de la Información ........................................................................................... 64
5
4.7.1 Objetivo de la Política de Seguridad de la Información ............................................................ 64
4.7.2 Política General de la Seguridad de la Información ................................................................... 64
4.8 Responsabilidad de la Dirección ....................................................................................................... 64
4.9 Directriz de Sanciones a las Infracciones sobre el SGSI .................................................................. 65
4.10 Política de Uso de Hardware y Software ........................................................................................ 65
4.11 Carta de Compromiso ..................................................................................................................... 65
4.12 Acta de Entrega de Equipos ............................................................................................................ 65
4.13 Política de Eliminación y Desvinculación de Usuarios .................................................................. 65
4.14 Política de Gestión de Activos Tecnológicos.................................................................................. 66
4.15 Política de Manejo de Información y Copias de Seguridad ............................................................ 66
4.16 Política de vinculación de personal ................................................................................................. 66
4.17 Política de Compras y gestión de Proveedores ............................................................................... 67
CAPÍTULO V - CONTROLES ESTABLECIDOS PARA LAS POLÍTICAS Y
PROCEDIMIENTOS ANTERIORMENTE DISEÑADOS. ................................................................. 69
CAPÍTULO VI - SIMULACIÓN DE LA SOLUCIÓN ......................................................................... 71
Costos estimados de implementación para Profesionales Asociados Ltda ...................................... 74
CONCLUSIONES..................................................................................................................................... 76
RECOMENDACIONES ........................................................................................................................... 77
BIBLIOGRAFIA....................................................................................................................................... 78
ANEXOS .................................................................................................................................................... 81
ANEXO1 – DECLARACIÓN DE APLICABILIDAD DE CONTROLES ISO 27001 PARA LA
EMPRESA PROFESIONALES ASOCIADOS LTDA...................................................................... 81
ANEXO 2 – POLÍTICA DE USO DE HARDWARE Y SOFTWARE ............................................ 94
ANEXO3 - CARTA DE COMPROMISO DE USO DE HARDWARE Y SOFTWARE ............. 101
ANEXO 4 - ACTA DE ENTREGA DE EQUIPOS DE CÓMPUTO Y COMUNICACIONES .. 102
ANEXO 5 - FORMATO DE MANTENIMIENTO DE EQUIPOS DE CÓMPUTO .................... 103
ANEXO 6 - REGISTRO DE ENTRENAMIENTO Y CAPACITACIÓN ..................................... 104
ANEXO 7 – PLANILLA DE REGISTRO DE VISITANTES ........................................................ 105
6
6
Glosario de Términos y Definiciones
Aceptación de Riesgo: decisión de aceptar un riesgo.
Activo: todo aquello que tiene valor para la compañía.
Administración de Riesgos: actividades coordinadas a que una compañía considere y
controle los riesgos.
AES (ADVANCED ENCRYPTION SYSTEM): es un método de encripción desarrollado
para reemplazar DES el cual tenía limitaciones en cuanto a longitud de caracteres y otras
limitaciones de seguridad. Este estándar de encripción permite que más información sea
procesada más rápido debido a que procesar bytes, no bites.
Amenaza: cualquier circunstancia o evento con la potencialidad de afectar las operaciones
de una organización y/o a los entes pertenecientes a la organización (activos, funcionarios
o infraestructura.).
Análisis de Riesgos: recopilar información para identificar fuentes y estimación de riesgos.
Aplicación: programa de información alojado en un sistema de información.
Backup: copia de archivos y programas hechos para facilitar una restauración o
recuperación si es necesario.
Ciberseguridad: prevención frente a daño y anticipación para la restauración de
computadores, sistemas de comunicaciones, y toda la infraestructura tecnológica que
permita asegurar la disponibilidad, integridad y confidencialidad de estos.
Confidencialidad: propiedad de que la información no esté disponible para individuos,
entidades o procesos no autorizados.8
Contraseña: cadena de caracteres (letras, números, símbolos), que son usados para
identificar una identidad y verificar la autenticidad de ciertas claves criptográficas.
Declaración de aplicabilidad: es el documento del SGSI en el cual se describen los
controles y objetivos de control relevantes y aplicables a la organización.
Disponibilidad: es la propiedad de hace accesible y útil bajo demanda una entidad
autorizada.
Encripción: es un proceso a través del cual se utiliza software para proteger información
sensible que viaja por distintos medios tecnológicos de comunicación.
7
7
Evaluación de Riesgos: proceso de comparar el riesgo estimado con los criterios de riesgo
dados para determinar la importancia del riesgo.
Evento de seguridad de la información: eventos inesperados y no deseados que pueden
comprometer las operaciones del negocio y vulnerar la información.
Firewall: dispositivo y/o software que controla el acceso entre redes públicas y redes
privadas de acuerdo con políticas de seguridad.
Impacto: efecto sobre operaciones, activos, individuos de la organización, entre otros, en
los cuales se comprometió la disponibilidad, integridad o confidencialidad de sistemas de
información.
Integridad: propiedad de salvaguardar la precisión y la integridad de los activos.
Listas Negras: listado de entidades o softwares que previamente han sido asociadas con
actividades maliciosas.
Log – Registro: es un archivo de texto en el que constan cronológicamente los
acontecimientos que han ido afectando a un sistema informático (programa, aplicación,
servidor), así como el conjunto de cambios que estos han generado.
Malware (Código Malicioso): Software diseñado para ejecutar procesos no autorizados que
pueden afectar la confidencialidad, integridad o disponibilidad de un sistema de
información. Estos softwares pueden ser virus, gusanos informáticos, troyanos, entre otros.
Política: Enunciados o reglas que especifican los acuerdos frente al correcto
comportamiento de entes relacionados con ciertos recursos.
Probabilidad: Ponderación basada en un análisis realizado sobre las amenazas capaces de
explotar ciertas vulnerabilidades causando daños.
Riesgo: posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]:
combinación de la probabilidad de un evento y sus consecuencias.
Router: se utilizan para conectar varias redes. Por ejemplo, puede utilizar un router para
conectar sus computadoras en red a internet y, de esta forma, compartir una conexión de
internet entre varios usuarios. El router actuará como distribuidor, seleccionado la mejor
ruta de desplazamiento de la información para que la reciba rápidamente.
Seguridad de la Información: preservar la confidencialidad, integridad y disponibilidad de
la información, además de otras propiedades como autenticidad, fiabilidad, entre otros.
8
8
Sistema de Gestión de la Seguridad de la Información SGSI: es un subsistema de gestión
encargado de administrar los riesgos del negocio estableciendo, manteniendo, operando,
monitoreando y revisando todo lo relacionado con la seguridad de la información
Sistema Operativo: software principal que corre sobre un computador. Este software es el
núcleo de las funciones principales de un equipo tecnológico y tiene la capacidad de alojar
otro software y permitir la comunicación con otro tipo de software.
Spam: son todos los mensajes de correo electrónico no solicitado que son enviados en
cantidades masivas a un número muy amplio de usuarios generalmente con el fin de
comercializar, ofertar o tratar de despertar el interés con respecto a algún producto o
servicio. Este tipo de correos electrónicos suponen también, en muchos casos, la punta de
lanza para cometer ciberdelitos como el phishing o el scam.
Switch: se utilizan para conectar varios dispositivos a través de la misma red dentro de un
edificio u oficina. Por ejemplo, un switch puede conectar sus computadoras, impresoras y
servidores, creando una red de recursos compartidos. El switch actuaría de controlador,
permitiendo a los diferentes dispositivos compartir información y comunicarse entre sí.
Tratamiento de Riesgos: procesos para seleccionar e implementar medidas que permitan
modificar la exposición a los riesgos
VPN (Virtual Private Network): las VPN son redes privadas virtuales que utilizan
encripción para establecer un canal privado de comunicación a través de Internet con el fin
de proveer servicios a funcionarios aumentando la disponibilidad de los mismos.
Web defacement: es similar a dibujar graffiti en una pared, sólo que sucede virtualmente.
Se trata de cambiar de apariencia de los sitios web - imágenes y / o palabras para emular
un sitio real y engañar a los usuarios finales.
WPA (WiFi Protected Access): es un protocolo de autenticación inalámbrica que usa
métodos de encripción dinámicos basados en IEEE 802.11i y surgió como una mejora a las
vulnerabilidades de seguridad que tenía WEP.
9
9
Resumen
El presente trabajo de grado está desarrollado bajo la modalidad de Monografía y corresponde al
diseño de una guía de seguridad de la información basada en el documento Small Business
Information Security: The Fundamentals, Revisión 1; publicado por el National Institute of
Standards and Technology (NIST) del Departamento de Comercio de los Estados Unidos y la
norma ISO/IEC 27001.
El documento se desarrolla describiendo en sus primeras secciones lo que se describe en las
recomendaciones realizadas en el documento del NIST frente a Seguridad de la Información,
posteriormente se asocian estas recomendaciones con lo que dicta la norma ISO/IEC 27001 frente
al mismo tema. Finalmente, se realiza una aproximación a un Sistema de Gestión de la Seguridad
de la Información para la compañía Profesionales Asociados LTDA tomada como caso estudio
para el desarrollo de este proyecto, diseñando políticas que se desprenden de una evaluación
realizada a la compañía frente a la seguridad de la información.
En la primera parte del documento se encuentra el Marco Teórico, Antecedentes, Objetivos y
Metodología a usar, los cuales describen de manera detallada las motivaciones en las cuales está
basado el proyecto y la fundamentación técnica de la investigación desarrollada.
Dentro del desarrollo del proyecto se evaluarán en detalle los 2 documentos (Estandar ISO
27001:2005 y Small Business Information Security: The Fundamentals, Revisión 1) bajo los cuales
se desarrolla la investigación para el caso estudio de la empresa Profesionales Asociados LTDA.
En primera instancia se describirán detalladamente las recomendaciones realizadas por el NIST en
el documento de seguridad de la información para pequeños negocios. Posteriormente, se
asociarán todas estas recomendaciones a lo que exige la norma ISO 27001:2005 para que
finalmente se pueda hacer una aproximación a una guía de seguridad de la información para
Pymes, basada en la norma ISO 27001 y con una aplicación de políticas y controles para un caso
real de estudio.
En la parte final del documento se encontrarán las conclusiones sobre la investigación realizada,
el listado de anexos, el marco referencial y la simulación que tendría la solución en una futura
implementación.
10
10
Introducción
La seguridad de la información es un término en la actualidad toma suma importancia para todos
los sectores productivos existentes y emergentes puesto que cada vez son más frecuentes y
efectivos los ataques cibernéticos, ataques que ponen en riesgo el buen nombre de las compañías,
su dinero y su permanencia en el mercado.
Es por esto que las compañías deben enfocar parte de sus esfuerzos en establecer mecanismos de
control para asegurar la información, la cual, en el fondo no es más que la razón de ser de las
mismas.
Para tomar en contexto el tema principal de este documento, es importante comprender qué es
información, qué es seguridad de la información y cuál es el valor real que la información
representa en las compañías.
Diferentes definiciones de información:
Conjunto de datos que poseen un significado, de modo tal que reducen la incertidumbre y
aumentan el conocimiento de quien se acerca a contemplarlos. Estos datos se encuentran
disponibles para su uso inmediato y sirven para clarificar incertidumbres sobre
determinados temas (Idalberto Chiavenato)
Son datos y conocimientos que se encuentran estrictamente ligados a la toma de decisiones
(Ferrell y Hirt)
Conjunto de datos que han sido organizados y clasificados con un propósito determinado.
(Czinkota y Kotabe)
Recopilando estas distintas definiciones, se puede afirmar que la información es un conjunto de
datos organizados y agrupados con un significado, que tienen un propósito determinado y, a su
vez, ayudan a la toma de decisiones. La información se encuentra presente en el diario vivir del
ser humano, ésta hace parte de la forma en que los seres vivos se comunican y llevan mensajes a
través del tiempo, sin importar fronteras geográficas.
La información no es de uso estricto de los seres humanos, pues está presente en la naturaleza, en
manadas de animales a través, incluso, del lenguaje no verbal. Lo que hace que el ser humano y la
información que éste maneja sobresalgan es el tratamiento que a esta información se le ha dado
durante los años de existencia de los seres vivos. El humano ha sido capaz de evolucionar,
organizar, optimizar y divulgar la información de tal manera que lo hace estar en la cúspide de la
pirámide de la naturaleza.
Esta evolución también ha estado estrictamente ligada a la revolución tecnológica, ya que la
información hoy en día viaja cientos de kilómetros con un solo clic y cada vez está más al alcance
de todo el mundo, gracias a la movilidad y portabilidad.
Debido a esta transformación tecnológica, la información ha ido migrando del almacenamiento
tradicional en físico a almacenamiento en sistemas digitales, los cuales permiten que dicha
información esté disponible de manera más organizada, centralizada y sea de fácil acceso.
La accesibilidad que posee la información hoy en día depende estrictamente de los privilegios de
seguridad que a ésta se le otorguen, y es acá donde se hace presente el concepto de seguridad de
11
11
la información. El término seguridad viene del latín seguritas que se refiere a la cualidad de seguro,
es decir, algo que está exento de peligro daño o riesgo. Debido a esto, el ser humano ha puesto la
seguridad como pilar fundamental en muchas de las acciones que realiza a diario, entre ellas la
seguridad de su información.
La seguridad de la información nace con la necesidad del ser humano de proteger sus creaciones,
planes, proyectos, estrategias y un sinnúmero de ideas que, dependiendo la relevancia que tengan,
pueden generar un gran impacto personal, social, cultural o tecnológico. La seguridad de la
información es un concepto bastante amplio y se refiere a la integridad, disponibilidad y
confiabilidad de toda aquella información almacenada y manipulada a través de sistemas
informáticos. Otro concepto que debe ser mencionado es el de Ciberseguridad, el cual se refiere a
la protección de dispositivos electrónicos y dispositivos en los cuales la información es
almacenada, es decir, la protección física de equipos informáticos.
Con el paso del tiempo, y debido a que la Seguridad de la Información ha tomado verdadera
relevancia en las empresas, se han venido desarrollando y perfeccionando metodologías y
documentos basados en buenas prácticas enfocados en el diseño de controles, políticas, normas
que permitan asegurar la información y minimizar los riesgos a los que la misma está expuesta
constantemente.
Como se mencionó anteriormente, el objetivo de este proyecto está enfocado al desarrollo de un
documento que recopile información de buenas prácticas, asociadas a normas y políticas básicas
en seguridad de la información y que, al mismo tiempo, sea de fácil aceptación y adaptación para
pequeñas y medianas empresas, ya que son estas empresas las que están impulsando la economía
y el empleo en Colombia y, tal vez sin saberlo, no le dan el correcto valor a su información lo cual
puede, en un largo plazo, dejarlas al margen de la competitividad.
12
12
CAPÍTULO I – FASE DE PLANEACIÓN
TÍTULO DEL PROYECTO - GUÍA DE SEGURIDAD DE LA INFORMACIÓN BASADA
EN LA NORMA ISO 27001 Y EL ESTÁNDAR NISTIR 7621 REVISIÓN 1 DEL
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY PARA PYMES, CON
DISEÑO DE POLÍTICAS PARA LA EMPRESA PROFESIONALES ASOCIADOS
LTDA.
1.1 Planteamiento del problema
Las PYMES representan aproximadamente un 94% de todo el sector empresarial en Colombia.
Estas micro, pequeñas y medianas empresas emplean cerca de un 67% de la población y generan
un 28% del total del PIB. Conociendo estas cifras, no se puede despreciar de ninguna manera el
aporte que realizan las PYMES al desarrollo del país y de lo importante que es que este tipo de
empresas se mantengan competitivas con el paso del tiempo a pesar del fenómeno de la
globalización (Revista Dinero, 2016).
Por otra parte, la seguridad de la información es un tema que ha venido tomando la importancia
que realmente merece en los últimos tiempos y se ha venido posicionando, ya que se ha vuelto
parte de la competitividad de todas las empresas, independientemente del sector al que
pertenezcan. A pesar de esto, las PYMES no ven el tema de la seguridad de la información como
un tema que haga parte del negocio, en ocasiones ni siquiera es tenido en cuenta este aspecto o si
es tenido en cuenta, las empresas se reúsan a realizar inversiones para asegurar debidamente la
información. En los últimos años, son entidades bancarias y empresas del sector financiero las que
realizan las mayores inversiones en seguridad de la información y ciberseguridad. Adicionalmente,
a pesar de los recientes ataques informáticos ocurridos en 2017 bajo el malware denominado
Ransomware y que comprometieron unos 300.000 ordenadores alrededor del mundo (Revista
Dinero, 2016), se sigue evidenciando que las empresas en Colombia no invierten en seguridad
informática o disminuyen su presupuesto en este tipo de inversiones, así como cerca de un 78% de
las empresas invierte menos de US $1’000.000 anuales en temas de seguridad de la información
(Almanza, 2017).
Actualmente existen entidades que prestan servicios de consultoría en seguridad de la información
y ofrecen portafolios muy completos en cuanto al tema se refiere. Asimismo, contratar este tipo de
servicios requiere de una inversión importante y de contar con un músculo financiero que permita
realizar la consultoría, la implementación, el mantenimiento y el control de los sistemas que se
generen de dichas consultorías. Igualmente, existen documentos de buenas prácticas o normas de
referencia que permiten a las compañías cumplir ciertos requisitos y realizarles seguimiento para
una correcta implementación de un sistema que asegure la información.
13
13
Una de las normas más importantes que existen en la actualidad y que ha servido de referencia
para implementación de Sistemas de Gestión de la Seguridad de la Información es la norma ISO
27001, la cual dicta un compendio de buenas prácticas, definiciones de políticas y controles a las
mismas que en conjunto componen un Sistema de Gestión de la Seguridad de la Información
(SGSI). La implementación de esta norma también requiere de una inversión económica
importante, así como también de un gran compromiso por la organización encabezados por la alta
gerencia para que los resultados sean óptimos. A propósito, esta norma es publicada por la
International Organization for Standarization (ISO) que traduciría Organización Internacional para
Estandarización. Esta es una organización independiente nacida en 1946, que a través de sus
miembros, busca facilitar la coordinación internacional y la unificación de estándares. El objeto
de esta organización se ha ido logrando a través de la experiencia de sus miembros en diferentes
áreas en donde se unifica todo este conocimiento para desarrollar estándares que sean válidos a
nivel global.
La seguridad de la información es un tema que no solo compete a administradores de sistemas
informáticos, que no solo compete a empresas que se dedican al manejo de información sino que
también se refiere a todos los que, de una u otra manera, manejan cualquier tipo de información.
Esta es un área que ha venido creciendo notablemente en los últimos tiempos debido a que se le
ha dado el valor que realmente debe tener.
Cuando se habla de seguridad de la información, se habla de uno de los activos más importantes
de las compañías; por tal motivo no solo hace referencia a la información contenida en sistemas
digitales, también refiere a la información contenida físicamente, a la data que han adquirido los
colaboradores durante su tiempo de servicio a la compañía (Know-How), inclusive a la
información que puede manejar el personal de limpieza y oficios varios.
Asegurar toda la información de una compañía y establecer los procedimientos correctos para este
fin puede ser una tarea maratónica y bastante ardua, pero una vez se tiene la conciencia de lo
importante que es este tema se tendrá la obligación de iniciar a pensar e implementar un Sistema
de Gestión de la Seguridad de la Información. Por otra parte, esta no es una labor de unos cuantos
dentro de la compañía; esta labor implica el compromiso iniciando desde la alta gerencia.
Teniendo en cuenta que las Pequeñas y Medianas Empresas representan el 80% del total de la
participación en Colombia, cifra que no es despreciable, y teniendo presente que estas empresas
emplean el 80% de la población colombiana aproximadamente (Revista Dinero, 2016), es
importante destacar que el tema de la seguridad de la información no debe ser ajeno a este tipo de
empresas. Por tal motivo, se pretende realizar un documento modelo de referencia en el cual este
tipo de empresas, que no tienen un músculo financiero importante, puedan realizar una
implementación mínima pero a su vez confiable de su Sistema de Gestión de la Seguridad de la
Información.
14
14
1.2 Objetivos
1.2.1 Objetivo general
Desarrollar una guía para PYMES basado en fundamentos de seguridad de la información
entregados por el NIST (National Institute of Standards and Technology de los Estados Unidos)
y la norma ISO 27001
1.2.2 Objetivos específicos
Promover la seguridad de la información en diferentes empresas sin importar el core de la
misma, por medio de las herramientas de seguridad y a un costo de implementación muy
bajo.
Incentivar el desarrollo de fundamentos de seguridad informática en pequeñas y medianas
empresas a través de un documento guía que otorgue las herramientas básicas para empezar
a implementar un Sistema de Gestión de la Seguridad de la Información.
Diseñar políticas a implementar para un business case para la empresa Profesionales
Asociados LTDA
Diseñar controles que permitan el monitoreo de las políticas diseñadas anteriormente.
1.3 Marco teórico
El presente proyecto surge a partir de la latente necesidad de llevar seguridad de la información a
empresas pequeñas y medianas, las cuales no cuentan la inversión ni conciencia necesaria para
desarrollar Sistemas de Gestión de la Seguridad de la Información. (Almanza, 2017).
Como aportes a esta investigación, se abordaron otros proyectos de desarrollo relacionados con la
seguridad de la información, en los cuales se compararon y aclararon conceptos, metodologías y
procesos que optimizaron las posturas de este trabajo.
En primer lugar, se abordó el proyecto de investigación y desarrollo titulado, Diseño de un modelo
de gestión de seguridad de información digital para la Secretaría General de la Escuela
Tecnológica Instituto Técnico Central, (Peña, 2016), cuyo objetivo era diseñar un modelo de
gestión de seguridad de información digital, el cual ahonda en las normas relacionadas con la
seguridad de la información y que, como aporte principal a este proyecto, tiene la
conceptualización y el marco referencial de la norma ISO 27001. Como se ha mencionado
anteriormente, este proyecto tiene como finalidad sensibilizar a las compañías para asegurar toda
la información, teniendo como punto de referencia asegurar información digital únicamente.
Por otra parte, se realizó la revisión del proyecto titulado Diseño del Sistema de Gestión de la
Seguridad de la Información SGSI basado en el estándar ISO 27001, para los procesos soportados
por el área de sistemas en la Cámara de Comercio de Aguachica (Meneses, Ramírez, Merchán y
Suárez, 2015), trabajo que aportó conceptualización y herramientas metodológicas en cuanto al
planteamiento de la solución tecnológica, ya que busca realizar un muestreo y una recopilación de
15
15
técnicas de recolección de datos las cuales facilitarán el desarrollo y enfoque de las políticas para
la obtención de mejores resultados empresariales.
Teniendo en cuenta todo lo anterior, se concluye que la información es un activo muy importante
para todos, más aún para las empresas. Por eso la necesidad de asegurar esta información en la
actualidad es cada vez más prioritaria. Salvaguardar información se refiere técnicamente a la
protección de información y sistemas de información de accesos no autorizados, usos no
autorizados, exposición de la información, daño de información, modificación no autorizada, o
eliminación con el fin de proveer Confidencialidad, Integridad y Disponibilidad.
La seguridad de la información involucra personas, procesos, tecnologías e incluso espacios
físicos. Para proveer un nivel de seguridad aceptable, todos ellos se deben centrar en:
• Confidencialidad: Protección de la información ante accesos no autorizados.
• Integridad: Proteger la información de modificaciones no autorizadas.
• Disponibilidad: Prevenir interrupciones en la manera como se accede a la información.
Debido a que en la actualidad es cada vez más común encontrar información digital o digitalizada,
nace un nuevo concepto en cuanto a seguridad se refiere, conocido como Ciberseguridad.
La Ciberseguridad se refiere a la prevención de daño, a la protección y restauración de
computadores, sistemas electrónicos de comunicación, servicios de comunicación,
comunicaciones cableadas, incluyendo la información allí contenida para asegurar su
disponibilidad, integridad, autenticación y confidencialidad.
El tema de la seguridad de la información no es comúnmente tenido en cuenta por pequeñas y
medianas empresas a nivel mundial. En Colombia, el sector empresarial está clasificado en micro,
pequeñas, medianas y grandes empresas, esta clasificación está reglamentada en la Ley 590 de
2000 y sus modificaciones, conocida como la Ley Mipymes. (Ley 905, 2004).
El término Pyme hace referencia al grupo de compañías pequeñas y medianas con activos totales
superiores a 500 SMMLV y hasta 30.000 SMMLV. Según datos del Ministerio de Industria y
Comercio, este tipo de empresas emplea cerca de un 80% de la población del país y aportan un
45% del total del PIB del país (Revista Dinero, 2016).
Por otra parte, una de las entidades que publicó uno de los documentos de referencia para este
proyecto es la ISO. La ISO (International Organization for Standarization), es una entidad
independiente, establecida en la postguerra de 1946, la cual nació con un objetivo principal de
estandarizar y facilitar procedimientos, normas, entre otros, para que fueran válidos, conocidos,
entendidos y aplicables a nivel mundial. Los miembros de esta organización son expertos en
diferentes temas, lo que permite que todas las investigaciones que realiza la ISO sean
fundamentadas a través de las verdaderas necesidades en diferentes temas y sean tratadas
basándose en la experiencia y experticia de sus miembros (ISO, 2013).
16
16
El producto final de todas estas investigaciones es un estándar, el cual tiene como finalidad hacer
que algo (un procedimiento, un método, un sistema, una manera de hacer las cosas) sea global,
que la implementación de este algo sea funcional en todo el mundo con el fin de asegurar su
calidad, seguridad y eficiencia.
El estándar bajo el cual estará referenciado este proyecto, es una norma desarrollada por la ISO, la
cual hace parte de la familia de las 27000. Específicamente se tratará el estándar ISO 27001:2013,
el cual especifica los requerimientos para establecer, implementar, mantener y continuamente
mejorar un sistema de gestión de la seguridad de la información para una organización. En esta
norma también se incluyen requisitos y controles para el manejo de riesgos y, como se acotó
anteriormente, este estándar puede ser aplicable a cualquier tipo de compañía.
Finalmente, dentro de los referentes teóricos encontramos El NIST (National Institute of Standards
and Technology), el cual es una organización perteneciente al Departamento del Comercio de los
Estados Unidos. Esta entidad busca, a través de estándares y nuevas tecnologías, la seguridad
económica del país y que todo tipo de industrias pueda renovarse, innovar y ser más competitivas
tecnológicamente. Particularmente este proyecto se centrará en el estudio del documento
codificado NISTIR 7621 Revisión 1.
1.4 Solución tecnológica
Como se ha venido mencionando a lo largo del presente documento, la seguridad de la información
es un tema al cual cada día se le debe prestar mayor atención, ya que la información se ha
convertido en el activo más importante de las empresas. Esto, sumado a que las pequeñas y
medianas empresas no consideran importante realizar inversiones económicas y de tiempo en
temas de seguridad de la información, hace que este proyecto tenga fundamentos y ofrezca una
guía sostenible para las PYMES.
Como resultado de este proyecto, se desarrollará una guía que recopilará fundamentos de seguridad
de la información y, a su vez, dichos fundamentos estarán respaldados por la norma ISO 27001,
permitiendo así que las pequeñas empresas, sin tener un área especializada en seguridad y sin
contar con un músculo económico significativo, puedan implementar desde sus inicios dichos
fundamentos y así poder controlar de manera más segura la información que tienen.
Inicialmente se realizará el documento de referencia, y como caso estudio se tomará la empresa
Profesionales Asociados LTDA, para la cual se desarrollarán políticas basadas en los fundamentos
anteriormente planteados y los respectivos controles para estas políticas diseñadas.
Un resultado indirecto que puede tener el proyecto es la implementación de un Sistema de Gestión
de la Seguridad de la información que esté orientado a la certificación ISO 27001, el cual, como
se mencionó anteriormente, hará que la empresa sea más competitiva y se mantenga a través del
tiempo. Sin embargo, es importante aclarar que el objetivo de este proyecto no es la certificación
de las compañías en temas de seguridad, sino crear conciencia y brindar herramientas para la
implementación de políticas que no requieran de una gran inversión en tiempo y dinero.
17
17
1.5 Metodología
El proyecto adoptará metodológicamente la norma ISO 27001 y su enfoque basado en procesos,
el cual consiste, en la primera fase, en realizar una evaluación concienzuda de las necesidades y
requisitos en seguridad de la información para determinado negocio (ver ilustración No. 1). En
esta primera fase se recopilará información sobre el negocio y la necesidad sobre diseñar,
implementar y controlar una política de seguridad de la información, así como los objetivos de la
misma para una posterior implementación de un Sistema de Gestión de la Seguridad de la
Información.
Adicionalmente, los procesos ya definidos en la compañía pueden ser adaptados a los procesos de
la norma y todas las interacciones entre los mismos serán tenidas en cuenta para una segunda fase
de diseño e implementación de las políticas y procedimientos como resultado del levantamiento
de información de la fase 1.
Ilustración 1 - Diagrama de Flujo de Procesos ISO 27001 (Fuente: ISO/IEC 27001. 2013)
1.6 Resultados Esperados
Para la etapa final de la presente investigación, que tendrá lugar en agosto de 2018, se buscará
cumplir a cabalidad con el objetivo general y los específicos que han sido planteados, esperando
como resultados los que se esbozarán a continuación. El principal resultado que se buscará es el
de desarrollar un documento de referencia para PYMES, el cual se encuentre basado en los
fundamentos de seguridad de la información entregados por el NIST (National Institute of
Standards and Technology de los Estados Unidos) y la norma ISO 27001, lo cual permite
concientizar e incentivar en este tipo de empresas la importancia de la protección de su
información.
18
18
Se espera también poder generar una promoción de la seguridad informática como eje principal de
las empresas, sin importar el core de la mismas, es decir, sin que se tenga en cuenta la gestión
empresarial llevada a cabo, sino la competitividad que se puede obtener a través de la misma.
Asimismo, se pretende que al finalizar esta propuesta, se haya logrado incentivar el desarrollo de
fundamentos de seguridad informática en pequeñas y medianas empresas a un bajo costo de
implementación.
Finalmente, se buscará diseñar políticas para un business case para la empresa Profesionales
Asociados LTDA, así como proponer controles que permitan el monitoreo, por parte de la
empresa, de las políticas propuestas y mencionadas anteriormente, los cuales permitirán que la
empresa pueda llevar a cabo un seguimiento de cada una de las políticas desde el presente
proyecto de investigación.
1.7 Impactos
El presente proyecto de investigación no solo busca generar un impacto en las PYMES, sino
además en diferentes ámbitos como el social, empresarial, económico e informático, teniendo en
cuenta la importancia que este tipo de empresas tiene en nuestro país, como ya se ha mencionado
en apartados anteriores.
En primer lugar, el impacto social se evidencia en que individualmente como seres humanos se
sembrará la conciencia en cuanto a temas de seguridad de la información se refiere. Culturalmente
se adoptará este nuevo concepto con la importancia que verdaderamente merece.
En segundo lugar, un impacto económico puede verse reflejado en que las pequeñas y medianas
empresas que aseguren su información, pueden aumentar su competitividad frente a otras que no.
Al ser más competitivas, las empresas pueden tener un crecimiento sostenido asegurando su
permanencia en los mercados.
A nivel empresarial e informático, el impacto más importante es que la seguridad de la información
permita a las compañías comprometerse en todos los niveles, ya que esta labor de seguridad de la
información no es solo obligación del personal de TI en las empresas.
1.8 Cronograma de actividades
El tiempo estimado para el desarrollo del proyecto se establece en el siguiente cronograma de
actividades:
19
19
Tabla 1 - Cronograma de actividades (Fuente propia)
ACTIVIDAD INICIO DURACIÓN(DÍAS) FIN
INTERELACIONAR DOCUMENTO DEL NIST CON LA NORMA ISO 27001
01-mar-18 60 01/05/2018
EVALUACIÓN DE ESTADO ACTUAL DE EMPRESA PROFESIONALES ASOCIADOS
01-may-18 30 01/06/2018
DISEÑO DE POLÍTICAS PARA LA EMPRESA PROFESIONALES ASOCIADOS
01-jun-18 60 25/07/2018
DISEÑO DE CONTROLES PARA POLÍTICAS DE SEGURIDAD
26-jun-18 60 05/08/2018
1.9 Factibilidad económica
El presupuesto y fuentes de financiación para el presente proyecto se enumeran en la siguiente
tabla:
Tabla 2 - Factibilidad económica del proyecto (Fuente propia)
CONCEPTO VALOR
COMPRA DOCUMENTO ESTANDAR
ISO 27001:2013 $ 363.000
PAPELERÍA $ 100.000
COMPUTADOR PORTÁTIL $ 1’700.000
COSTOS IMPREVISTOS (10%) $ 216.300
PRESUPUESTO TOTAL $ 2’379.300
Las fuentes de financiación para este proyecto provienen de recursos propios
60
30
60
60
11-nov.-17 31-dic.-17 19-feb.-18 10-abr.-18 30-may.-18 19-jul.-18 07-sep.-18 27-oct.-18
INTERELACIONAR DOCUMENTO DEL NISTCON LA NORMA ISO 27001
EVALUACIÓN DE ESTADO ACTUAL DEEMPRESA PROFESIONALES ASOCIADOS
DISEÑO DE POLÍTICAS PARA LA EMPRESAPROFESIONALES ASOCIADOS
DISEÑO DE CONTROLES PARA POLÍTICAS DESEGURIDAD
CRONOGRAMA DE ACTIVIDADES (EN DÍAS)
20
20
CAPÍTULO II – ALINEAMIENTO DEL ESTÁNDAR NISTR 7621 REVISIÓN 1 CON
LA NORMA ISO 27001:2013
En este capítulo, se hará la relación del documento estudiado en el capítulo I y se alineará con lo
establecido en la norma ISO 27001 con el fin de generar una guía para pequeñas y medianas
empresas que pueda ser el inicio de un SGSI más completo y robusto.
Los siguientes elementos hacen parte de un conjunto de factores clave para asegurar la información
según el NIST, la interrelación de estos elementos, a grandes rasgos, comprenden un todo en
cuanto a seguridad de la información se refiere. Descuidar alguno de estos factores puede disminuir
la efectividad de los otros (ver ilustración No. 2).
Seguridad Física: protección de la propiedad (Instalaciones, edificios, mobiliario)
Seguridad del personal: contar con procedimientos y estándares para la contratación de
personal y la rotación del mismo.
Planes de contingencia y continuidad del negocio: diseñar planes y procesos que permitan
respaldar la información. Del mismo modo, estos planes deben ponerse en marcha en
tiempos muy cortos para garantizar la continuidad del negocio y que el impacto de un
desastre sea disminuido a su mínima expresión.
Seguridad Operacional: diseñar elementos de protección para los planes y procedimientos
Privacidad: proteger información personal (Información que puede ser usada para
identificar identidades, nombres, direcciones, teléfonos) de toda la información que se
maneje en la compañía como información de empleados, clientes, proveedores, y demás
stakeholders.
Ciberseguridad: Protección de dispositivos electrónicos, información almacenada
electrónicamente y sistemas de comunicación de acceso no autorizado, daño, divulgación
no autorizada con el fin de garantizar la disponibilidad, integridad y confiabilidad de dichos
dispositivos, canales o información.
21
21
Ilustración 2- Componentes Clave de la Información (Fuente: NIST, 2016)
En este capítulo se describirán las recomendaciones otorgadas por el NIST con el objetivo de
desarrollar una guía de buenas prácticas ligada a la norma.
En primer lugar, para la planeación de un SGSI se debe establecer el alcance y delimitaciones del
mismo, conociendo ampliamente las características del negocio: activos, ubicación geográfica,
entre otros, (ISO 27001, Numeral 4.2.1, apéndice A). Una vez establecido esto, se debe empezar
con la evaluación de los riesgos. Comprender los riesgos a los cuales se está expuesto representa
un avance importante para poder contar con la suficiente información para focalizar los esfuerzos.
Para esto, la ISO pone a disposición el documento ISO/IEC TR 13335-3, en el cual se enumeran
los pasos esenciales para realizar una correcta evaluación de riesgos que vaya perfectamente
alineada con los objetivos del negocio y con las necesidades reales de la seguridad de la
información y la seguridad de TI. A continuación se mencionarán los elementos más importantes
para realizar la evaluación de riesgos:
1. Identificar los elementos del riesgo: en temas de seguridad de la información, las amenazas
son consideradas como todo aquello que puede afectar la información que el negocio
necesita para andar. Estas amenazas pueden provenir del personal de la empresa o de la
naturaleza, pueden ser accidentales o intencionales. En la mayoría de los casos las
amenazas incluyen las siguientes características:
a. Medio Ambiental: amenazas naturales como incendios, inundaciones, terremotos,
huracanes.
b. Recursos del Negocio: falla de equipos, fallas en cadena de suministros, personal
interno.
c. Actores hostiles: criminales, hackers, ingenieros sociales, cibercriminales, entre
otros.
22
22
Para cada una de las amenazas enumeradas anteriormente (y para todas las amenazas que se puedan
identificar dependiendo del negocio), se debe intentar anticipar qué pasaría con el negocio si
alguna de ellas se materializa ya que la misma amenaza puede afectar de manera distinta a
diferentes compañías. Por ejemplo, si ocurre un incendio, la información contenida en medios
físicos como papel, archivo y demás, puede ser destruida; asimismo, equipos de computación y
comunicaciones como servidores, entre otros, pueden verse también afectados. Adicionalmente,
se debe tener presente qué tan vulnerable se es ante las amenazas detectadas (ver ilustración No.
3). Una vulnerabilidad es una debilidad que, de ser aprovechada, puede proporcionar un daño o un
gran impacto negativo a las empresas.
Ilustración 3 - Relación entre amenazas, vulnerabilidades, impacto y probabilidad (Fuente:
NIST, 2016)
2. Administración de Riesgos: la administración de riesgos comprende el levantamiento de
información de todo aquello que requiere un nivel de protección, así como también cuál es
el nivel de riesgo máximo aceptable para el elemento protegido. Este proceso involucra a
todos los actores del negocio. Estos actores son los internos e incluso, si se considera
relevante, también pueden participar actores externos (clientes, proveedores, entre otros.),
entre más personal intervenga en la identificación y administración de los riesgos, el SGSI
AMENAZAS VULNERABILIDADES
AMBIENTALES
RECURSOS DEL NEGOCIO
ACTORES HOSTILES
PÉRDIDA DE INFORMACIÓN O DISPONIBILIDAD DE LOS SISTEMAS
RIESGO
DEBILIDADES EN PROTECCIONES DE
SEGURIDAD
PROBABILIDAD - POSIBILIDAD DE QUE LAS AMENAZAS AFECTEN EL NEGOCIO
OCURRENCIA BASADA EN HISTÓRICO / ESTADISTICAS DE LA INDUSTRIA
AMENAZAS ADVERSAS: CAPACIDAD E INTENCIÓN
IMPACTO - DAÑOS POTENCIALES AL NEGOCIO
ROBO O DESTRUCCIÓN DE INFORMACIÓN SENSIBLE
MODIFICACIÓN DE INFORMACIÓN O SISTEMAS DEL NEGOCIO
23
23
será más robusto y eficiente. Una vez establecido e implementado el plan de evaluación de
riesgos, éste debe ser monitoreado y actualizado al menos anualmente.
Para realizar una correcta evaluación y administración de riesgos, las compañías deben:
a. Identificar qué información almacena y usa la compañía: realizar esta identificación
de la información permite listar el tipo de información que la corporación usa y qué
tiene verdadera importancia para el negocio. Es importante aclarar que no es
eficiente pensar en proteger cada pieza de información en la compañía, por tal
motivo se debe ser muy objetivo y conocer el negocio para así listar únicamente lo
estrictamente importante para la continuidad del negocio.
b. Determinar el valor de dicha información: una vez clasificada la información por
tipo, se deben evaluar las siguientes cuestiones:
i. ¿Qué le pasa al negocio si la información se convierte en pública?
ii. ¿Qué le pasa al negocio si la información es incorrecta?
iii. ¿Qué le pasa al negocio si los trabajadores o los clientes (internos o
externos) no pueden acceder a la misma?
Estas preguntas están relacionadas con la integridad, confidencialidad y
disponibilidad de la misma, lo que ayudará a clasificar la calidad de la información
así como el impacto potencial que pueda tener algún evento para el negocio.
En la tabla 3 se muestra un ejemplo de cómo se debe clasificar y determinar el nivel
de impacto que tiene la información en la compañía, para así tener un puntaje que
permita priorizar la información en el análisis de los riesgos. En esta tabla se pueden
tener N filas por N columnas, es decir, se puede tener cualquier cantidad de
información y se puede evaluar la información ante cualquier tipo de situación.
La puntuación que se le da a la información está determinada por los valores ALTO,
MEDIO y BAJO; esto debido a que es muy complicado otorgarle una puntuación
numérica a la información. Este puntaje también puede tener valores intermedios si
se considera necesario, esto determinará el nivel de protección que debe tener este
tipo de información y los controles necesarios para monitorear cada tipo de
información.
24
24
Tabla 3- Clasificación y priorización de la información (Fuente: NIST, 2016)
c. Realizar un inventario: en esta parte del proceso se deben recopilar los elementos
tecnológicos físicos (Hardware) y no físicos (Software) que entran en contacto con
la información. Es bastante importante ser lo más específicos posibles, por ejemplo,
si se trata del hardware, se debe procurar incluir modelo del equipo, serial, y todo
lo relacionado con el equipo que se está relacionando. También es relevante
conocer los elementos en donde se almacena información, como servidores,
dispositivos de almacenamiento externos o incluso la nube y los dispositivos por
los cuales la información es transportada o compartida, como el servicio de correo
electrónico, el firewall o UTM de la compañía, o la Internet.
Debido a que la información constantemente es actualizada o las compañías
adquieren nueva información, este inventario de equipos y clasificación de la
EJEMPLO
INFORMACIÓN DE
CONTACTO DE LOS
CLIENTES
TIPO DE
INFORMACIÓN 1
TIPO DE
INFORMACIÓN 2
TIPO DE
INFORMACIÓN 3…….
COSTO DE
REVELACIÓN
(CONFIDENCIALIDAD)
MEDIO
COSTO DE
VERIFICACIÓN DE LA
INFORMACIÓN
(INTEGRIDAD)
ALTO
COSTO DE PERDER
ACCESO
(DISPONIBILIDAD)
ALTO
COSTO DE PERDER EL
TRABAJOALTO
PENALIDADES,
NOTIFICACION A LOS
CLIENTES
MEDIO
COSTOS LEGALES BAJO
REPUTACIÓN /
COSTOS EN
RELACIONES
PÚBLICAS
ALTO
COSTO DE
IDENTIFICACIÓN Y
REPARACIÓN DEL
PROBLEMA
ALTO
TOTAL ALTO
25
25
información se debe realizar anualmente o con una periodicidad menor según lo
requiera el negocio.
Tabla 4 - Inventario de Información (Fuente: NIST, 2016)
d. Comprender las amenazas y vulnerabilidades: realizar una evaluación de riesgos,
vulnerabilidades y probabilidades a los cuales la información está expuesta, permite
enfocar las estrategias de protección en contra de las mismas. Para conocer las
amenazas y vulnerabilidades es importante tener presente el core del negocio, la
ubicación geográfica de las instalaciones, y todas las variables que puedan generar
una amenaza. (Apartado 4.2.1 Identificación de riesgos, ISO 27001, 2013). (Ver
tabla 5).
DESCRIPCION
(CARACTERÍSTICAS
DETALLADAS DE LA
INFORMACIÓN)
UBICACIÓN
ELEMENTOS QUE ENTRAN EN
CONTACTO CON LA
INFORMACIÓN
IMPACTO POTENCIAL
TOTAL
1
CONTACTO TELEFÓNICO
COMANDANDE DE
POLICÍA
* TELÉFONO CELULAR
* Red Celular (Claro,
Movistar)
TELÉFONO CELULAR, CORREO
ELECTRÓNICO, INFORMACIÓN
CONTACTOS DE EMERGENCIA,
INTERNET
ALTO
2
3
4
5
26
26
Tabla 5 - Identificación de riesgos, vulnerabilidades y probabilidad de ocurrencia de un
incidente, (Fuente: NIST, 2016)
Algunas de estas amenazas ya cuentan con algún tipo de procedimiento o sistema de
protección como pueden ser backups o sistemas de detección de incendios. Estos
procedimientos se deben tener presentes a la hora de evaluar los riesgos y vulnerabilidades.
EJEMPLO:
INFORMACIÓN DE
CLIENTES EN EL CELULAR
DEL GERENTE DE VENTAS
TIPO DE INFORMACIÓN2
/ TECNOLOGÍA
TIPO DE INFORMACIÓN3
/ TECNOLOGÍA…..
CONFIDENCIALIDAD
ROBO DE INFORMACIÓNMEDIO (PROTEGIDO POR
CONTRASEÑA)
REVELACIÓN
ACCIDENTAL
MEDIO (SUFRIÓ ROBO DE
CELULAR
ANTERIORMENTE)
INTEGRIDAD
ALTERACIÓN
ACCIDENTAL DE LA
INFORMACIÓN
MEDIO
ALTERACIÓN
INTENCIONAL DE LA
INFORMACIÓN
BAJO
DISPONIBILIDAD
DESTRUCCIÓN
ACCIDENTAL
MEDIO (BACKUPS
MENSUALES)
DESTRUCCIÓN
INTENCIONAL BAJO
PROBABILIDAD TOTAL MEDIO
27
27
En cuanto a sistemas informáticos, se pueden realizar test de vulnerabilidad y test de
penetración en los cuales se permita listar las vulnerabilidades que puede tener el software
o la red de computadores que contienen la información. Estos test se pueden realizar
internamente simulando de manera intencional la materialización de algún evento de
amenaza, o también son proveídos por terceros y, si se realizan de manera periódica
(mínimo anualmente), la inversión económica no será una suma considerable.
Una vez levantada esta información, se debe priorizar la acción a realizar en caso de la
materialización de un evento de ataque. La priorización se lleva a cabo realizando un versus
entre el impacto que tiene dicha información y la probabilidad de ocurrencia del evento,
como se muestra en la tabla 6.
Tabla 6 - Priorización de acciones necesarias (Fuente: NIST, 2016)
Realizar concienzudamente los pasos mencionados anteriormente, permitirá que la organización
realice un presupuesto para la protección de la información e identifique qué nuevas tecnologías o
procedimientos ayudarán para que el SGSI sea efectivo.
La identificación y administración de riesgos, para la ISO 27001, es parte esencial del
establecimiento de un SGSI, por tal motivo establece lo siguiente:
Se debe parametrizar sobre cuáles riesgos se va a realizar la evaluación y administración
de los riesgos. (Numeral 4.2.1. b, ISO, 2013).
Seleccionar una metodología para evaluación de riesgos
Tener unos niveles de riesgo y una aceptación cuantificada para cada uno de los niveles de
riesgo
ALTO
PRIORIDAD 3 - PROGRAMAR UNA
SOLUCIÓN. ENFOQUE EN
RESPONDER Y RECUPERAR
SOLUCIONES
PRIORIDAD 1 - IMPLEMENTAR
INMEDIATAMENTE UNA SOLUCIÓN.
ENFOQUE EN DETECTAR Y
PROTEGER SOLUCIONES
BAJO SIN ACCIÓN NECESARIA
PRIORIDAD 2 - PROGRAMAR UNA
SOLUCIÓN. ENFOQUE EN DETECTAR
Y PROTEGER UNA SOLUCIÓN
BAJO ALTO
IMPACTO
PROBABILIDAD
28
28
La norma ISO 27001 remite a la norma ISO 13335 para realizar la evaluación y gestión de riesgos.
En este documento se indican 4 opciones básicas para ejecutar una estrategia de análisis de riesgos
corporativos, estas opciones son:
a. Enfoque de línea base: este tipo de estrategia consiste en aproximarse a la evaluación de
riesgos de una sola manera, independientemente del activo, tipo de riesgo o nivel de
aceptación que pueda tener. Todos los escenarios posibles deben ser evaluados de la misma
manera, sin importar el tipo de sistema o nivel de criticidad del mismo y, una vez evaluado,
se debe conocer los niveles actuales de seguridad para tomar las medidas respectivas.
Este enfoque toma como referencias estándares relacionados con salvaguardar la
información. Los elementos de referencia pueden ser internacionales o normas locales
enfocadas en la gestión de riesgos.
Ventajas de usar el enfoque base:
Se usan recursos y tiempos mínimos para definir y seleccionar las acciones, métodos,
políticas y/o procedimientos para salvaguardar la información.
Estas soluciones suelen ser rentables económicamente, ya que se pueden adoptar
procedimientos de seguridad sencillos de implementar para muchos de los sistemas de la
compañía que trabajan bajo el mismo ambiente y tienen ciertas relaciones.
Desventajas del enfoque de línea base:
Los niveles de seguridad seleccionados pueden ser demasiado estrictos y excesivos, lo que
puede impedir un flujo de trabajo óptimo.
Este tipo de estrategia es recomendada para pequeñas empresas en las cuales los sistemas
tecnológicos no son muy complejos y no se encuentran abiertamente expuestos, ya que no
se necesitaría una inversión de tiempo y dinero importante.
b. Enfoque informal: este enfoque busca fijarse principalmente en los sistemas tecnológicos
que están expuestos a los mayores riesgos. Este enfoque no está basado en métodos y
estándares, pero sí usa la experiencia y el conocimiento para realizar su evaluación.
Ventajas de este enfoque:
No requiere mucha inversión de tiempo ni tampoco unos conocimientos avanzados y puede
ser implementado en un corto tiempo.
Desventajas de este enfoque:
Al no tomar estándares o métodos, se puede obviar información importante.
Existe la posibilidad de ser subjetivo, ya que puede depender de quién esté realizando la
evaluación de los riesgos.
29
29
c. Enfoque formal detallado: este enfoque está encaminado a realizar una evaluación
detallada de riesgos para todos los sistemas de la organización. Adicionalmente, se debe
realizar una evaluación en profundidad de los activos y su valor para la compañía.
Las ventajas de este enfoque son:
Generalmente, se eligen apropiadamente las acciones para proteger los sistemas de la
organización.
Los resultados de la evaluación detallada de riesgos pueden ser usados en la
administración de la seguridad y sus cambios.
Desventajas de este enfoque:
Requiere un esfuerzo y una experiencia mayores para la obtención de buenos resultados.
d. Enfoque combinado: se pueden usar de manera combinada los anteriores enfoques, estos
deben ser utilizados de manera secuencial, tomando inicialmente un análisis de riesgos de
seguridad alto para todos los sistemas tecnológicos de la organización. Posteriormente, se
debe realizar un análisis enfocado en los sistemas que se puedan encontrar mayormente
expuestos y a estos se les realizará un análisis de riesgos detallado en orden de prioridades.
Ventajas de este enfoque:
Usar una aproximación basada en línea base permite recopilar de manera rápida los
elementos que van a ser evaluados
La construcción del programa de seguridad será más rápida y efectiva.
Los recursos destinados a la evaluación de riesgos serán mejor aprovechados.
3. Comprender y aceptar si se necesita ayuda: en este punto, se parte desde la premisa de que
nadie es experto en la parte técnica de una compañía, y la parte técnica de las compañías
no es experta en todos los tipos de negocio. Por tal motivo, los presupuestos mencionados
anteriormente deben incluir cualquier tipo de consultoría o tercerización de servicios para
la compañía que contribuyan al establecimiento, control y retroalimentación del SGSI. Para
esto, el NIST entrega las siguientes recomendaciones:
a. Preguntar recomendaciones: obtener conocimiento a través de la experiencia de
otros es importante: preguntar a clientes, a empresas con objetivos de negocio
similares, a empresas gubernamentales especializadas. Todo este tipo de
referencias puede ayudar a orientar el proyecto por un mejor camino.
b. Solicitar cotizaciones: preguntar a potenciales proveedores del proyecto permitirá
que la evaluación de las acciones a realizar se refuercen y se tengan en cuenta otras
opiniones. Cabe recordar que, en el levantamiento de la información del proyecto,
30
30
no solo deben participar miembros de la compañía, también es importante conocer
las visiones de terceros, bien sean stakeholders o compañías consultoras.
c. Revisar referencias: si se está pensando en contratar una consultoría para apoyar el
proyecto, informarse a través de empresas que ya hayan trabajado con ese posible
proveedor puede ser clave. Esto permitirá conocer experiencias y el nivel de
satisfacción con los servicios recibidos. Por otra parte, conocer la historia de la
compañía que probablemente preste los servicios, proveerá información clave en
cuanto a tiempo en el mercado, situación financiera y situación legal, lo cual dará
un parte de tranquilidad o generará alertas oportunas.
d. Encuentre personal calificado para el desarrollo del proyecto: contar con personal
competente para manejar la información hace parte de asegurar la información de
la compañía y el proyecto. Cuando se habla de personal calificado no solo se refiere
al recurso humano, se refiere a todas las partes internas y externas que pueden llegar
a tener contacto con la información. Las certificaciones y la experiencia pueden ser
relevantes al momento de tomar una decisión acertada.
Comprender que el activo que se pretende proteger, la información, es de los más importantes del
negocio y que, probablemente, de este activo dependa la continuidad y el crecimiento del mismo,
hará que los puntos anteriores sean estudiados cuidadosamente.
4. Salvaguardar la Información: para salvaguardar y obtener un alto nivel de seguridad de la
información, se recomienda enfocarse en los siguientes elementos: identificar, proteger,
detectar, responder y recuperar, como se muestra en la ilustración No. 4:
Ilustración 4 - Marco de Referencia para Ciberseguridad, NIST (Fuente: NIST, 2016)
31
31
4.1 Identificar
Identificar y controlar quién tiene acceso a la información del negocio: se debe
determinar quién tiene acceso o no a la información, si se cuenta con una clave o el
acceso es libre, o si se cuenta con privilegios de administrador, lector o solo
ejecutor. Esta información la puede proveer el sistema de directorio activo en el
cual se puede obtener la lista de usuarios activos y los perfiles a los cuales
pertenecen.
o Se debe establecer un protocolo para otorgar accesos a la información, es
decir, no estará permitido el acceso a ninguna persona no autorizada.
o Si algún proveedor necesita trabajar en la red o en los equipos de la
compañía, éste debe estar completamente identificado y supervisado
durante toda su labor.
o Establecer un control de acceso a las instalaciones de la compañía para
evitar que personal no autorizado o desconocido tenga acceso a zonas o
equipos no deseados
o Promover que los equipos tecnológicos, como computadores y celulares,
permanezcan bloqueados si no se están usando o si el usuario se ausenta de
su puesto de trabajo para evitar fugas de información o espionaje
Realizar verificación de antecedentes: en cuanto a la selección de personal, se deben
tratar de establecer los filtros que se consideren necesarios para garantizar la
seguridad de la información y la idoneidad de los colaboradores de la compañía, ya
que finalmente son ellos quienes manejarán la información de la empresa:
información financiera, legal, de clientes, de proveedores, etcétera., por lo que, de
ser incorrectamente manipulada, puede generar graves consecuencias.
o Cuando se realicen procesos de selección de personal, se deben realizar los
filtros necesarios, como la toma de referencias personales, familiares,
laborales, legales, así como la verificación de información de las personas
que probablemente lleguen a manejar la información.
Crear cuentas de usuario para cada empleado:
o Que cada empleado dentro de la compañía cuente con un usuario y una
política de contraseñas para dicho usuario permite tener un log y rastrear las
acciones realizadas por cada usuario, de tal manera que las modificaciones
y/o eliminaciones (accidentales o intencionadas) de información tengan un
historial.
o Asegurarse de que los usuarios creados tengan los privilegios necesarios
para su labor y evitar que usuarios, que realizan labores básicas, cuenten
con privilegios de administrador. Se deben establecer los perfiles necesarios
con los que debe contar la compañía para su correcto funcionamiento.
32
32
Crear políticas y procedimientos para la seguridad de la información: las políticas
permiten establecer los límites de las prácticas aceptables frente a la utilización de
un recurso o frente a un comportamiento dentro de una compañía. Las políticas de
seguridad de la Información servirán como entrenamiento para los empleados y los
mantendrán alerta frente a las consecuencias que pueden tener la violación de las
mismas. Estas políticas deben ser de acceso público y conocidas por todo el
personal de la compañía.
Para encaminar correctamente las políticas de seguridad de la información, es
necesario conocer ampliamente el negocio y haber realizado de manera rigurosa los
pasos 1, 2 y 3 descritos en este documento. Asimismo, de ser posible, las políticas
deben ser revisadas por personal que conozca temas legales para no incurrir en
ilegalidades y lograr un verdadero compromiso por parte de los empleados. Este
compromiso debe tener un comprobante por cada uno de los empleados, bien sea
firmando un documento en físico y/o mediante una plataforma digital en la que
quede constancia del compromiso por parte de los usuarios.
Ya que el personal de la compañía no es experto en temas de tecnología y seguridad
de la información, las políticas deben estar diseñadas de manera clara, con lenguaje
cotidiano, que permita la fácil comprensión de las mismas. Estos documentos deben
ser actualizados por lo menos anualmente o con la periodicidad que el negocio
considere necesario, y todas las actualizaciones realizadas deben ser
retroalimentadas a todos los funcionarios.
4.2 Proteger: las funciones de protección comprenden la capacidad que se tiene para
contener el impacto potencial de un evento relacionado con la información o la
ciberseguridad.
Limitar el acceso de los empleados a los datos e información:
En la medida de lo posible, se deben implementar perfiles de usuarios que
correspondan con el cargo que dicho usuario va a desempeñar y, en caso de ser
necesario, se debe crear un perfil especial para un usuario especial que permita
salvaguardar la información que no le compete al usuario y la información que no
necesita para desarrollar sus funciones. Esta recomendación se debe tener en cuenta
para gerentes, administradores, directores y miembros de TI, es decir, en todos los
niveles. Con estas medidas se busca evitar que se generen daños a la información o
a sistemas de información que provengan de eventos internos, es decir, por personal
conocido, que tiene ciertos accesos y que puede causar daños, intencionados o no,
pero que pueden poner en riesgo la continuidad del negocio. También se debe
establecer un procedimiento cuando los usuarios o colaboradores se retiran de la
compañía para garantizar que no tengan más acceso a la información y que las
credenciales de acceso a la información no estén vigentes.
33
33
Contar con equipos de protección eléctrica, UPS y/o planta eléctrica:
Incluir estos dispositivos en la infraestructura tecnológica evitará que subidas o
bajadas de energía afecten los sistemas de información de la compañía. Del mismo
modo, permitirán contar con un tiempo prudente para salvar información antes de
que la energía se corte por completo y los equipos de cómputo y comunicaciones
queden sin funcionalidad.
Se debe realizar un mantenimiento preventivo a estos dispositivos de acuerdo a lo
recomendado por el fabricante de éstos y se debe establecer un cronograma para el
mismo.
Mantener actualizados y con los parches de seguridad los diferentes Sistemas
Operativos y aplicaciones:
En primer lugar, se debe tener en cuenta que los equipos de cómputo no deben tener
aplicaciones instaladas que no se necesiten. Una vez se establecen las aplicaciones
con las que va a contar la compañía, se deben mantener debidamente actualizados
todos estos sistemas, ya que estos son susceptibles a vulnerabilidades de seguridad
que pueden ser aprovechadas por cibercriminales.
Al momento de adquirir un nuevo software o hardware se deben actualizar sus
sistemas operativos y aplicaciones, también se debe tener presente el tiempo de
soporte que tienen dichas aplicaciones y versiones para que éstas no queden
desactualizadas.
Es recomendable, también, establecer un cronograma semanal, mensual, diario o
según la necesidad, para descargar e instalar todas estas actualizaciones a los
equipos de la compañía o, si la aplicación lo permite, configurar la descarga e
instalación automática de estas actualizaciones.
Cuente con sistemas cortafuegos (Firewall) o Unified Thread Managenent (UTM)
– Administración Unificada de Amenazas- en la red de la compañía:
Los firewall y UTM sirven como protección ante el tráfico de data entrante y
saliente de la compañía. Es el filtro con el que se cuenta frente a las amenazas de la
Internet, páginas no deseadas y demás sitios. Estos filtros deben funcionar en todas
las redes con las que cuente la compañía (Inalámbricas, cableadas, conexiones
WAN o conexiones WWAN.) y deben contener una base de datos de antivirus que
refuerce los archivos que por la red viajan.
Al administrar estos dispositivos se deben cambiar todas las credenciales y usuarios
que traen por defecto, ya que estos son ampliamente conocidos. Una vez
configurado el dispositivo, se debe establecer una periodicidad para cambiar las
contraseñas creadas. Estos dispositivos al funcionar en conjunto, hardware y
software, deben ser actualizados, incluyendo su firmware.
34
34
Asegurar las redes inalámbricas:
Es necesario configurar y actualizar los dispositivos Access Point una vez son
comprados. La contraseña de administrador también debe ser modificada y
preferiblemente configurar la red que no divulgue el SSID (Service Set Identifier).
Asimismo, se deben usar contraseñas seguras bajo WPA-2(WiFi Protected Access)
con AES (Advanced Encription Standard).
Del mismo modo, se debe estar seguro de tener una red para invitados que esté
aislada de la red corporativa, evitar que se conecten dispositivos desconocidos y, si
es necesario, realizar conexiones con filtrado de dirección MAC.
Cuando los funcionarios de la compañía deban conectarse a redes desconocidas, es
preferible usar un software de VPN (Virtual Private Network) que permita controlar
el tráfico de la misma manera en la que se hace en la red corporativa.
Configurar filtros Web y de correo electrónico:
La configuración de estos filtros en los servidores de correo, servidores web y
clientes de correo electrónico ayuda con la identificación de SPAM, correo
malicioso, web defacement, y todas las modalidades conocidas para el robo de
información confidencial. Si estos filtros pueden ser configurados en los firewall o
UTM, se deben configurar alertas que le permitan tomar acciones tempranas frente
a las potenciales amenazas.
Los perfiles de usuario que anteriormente fueron definidos deberán ir atados con
perfiles de navegación que eviten que los usuarios ingresen a sitios web no
deseados.
Usar encripción para la información sensible de la compañía:
La encripción permite cifrar mediante códigos electrónicos la información o el
contenido completo de un dispositivo de almacenamiento el cual, a su vez,
encriptará toda la información contenida en el mismo.
Debido a que esta encripción se realiza con una contraseña, ésta debe ser guardada
de manera segura para evitar perder la información cifrada. La política de
contraseñas debe incluir recomendaciones básicas, como no enviarla por correo, no
compartirla e incluso no escribirla.
Realizar disposición final de equipos de manera segura:
Además de hacer una contribución al medio ambiente, la disposición final segura
de los equipos permite realizar un borrado seguro de los dispositivos de
almacenamiento, remover todo el licenciamiento que contenían los equipos y, de
ser posible, al finalizar se debe destruir el disco duro. Existen compañías que
certifican medioambientalmente y técnicamente la disposición de los equipos que
se les entreguen lo cual es una ventaja para las compañías certificadas.
35
35
Capacitar al personal:
La capacitación al personal debe ir desde el momento en el que se vinculan a la
compañía, allí se deben incluir todas las políticas que tiene la compañía en las
diferentes áreas y debe existir una constancia de que cada uno de los empleados
nuevos recibió la información suministrada y se compromete a acatar dichas
normas.
En estos entrenamientos se debe entregar de manera clara la información sobre el
uso de los equipos tecnológicos, el uso de la red corporativa y todas las acciones
que se pueden realizar, así como también las que no se tienen permitidas. Por otra
parte, se debe comprometer al colaborador a cumplir unos códigos de
comportamiento, normas básicas de seguridad laboral y protocolos de
procedimientos en caso de emergencias.
Es importante que, cada que surja un cambio en alguna de las políticas o se cree
alguna nueva, estos cambios sean divulgados ante todos los funcionarios. Si no se
realizan cambios importantes, de igual forma, todo el personal se debe actualizar al
menos una vez al año.
4.3 Detectar: las actividades de detección pretenden que las compañías puedan llegar a
anticipar nuevas vulnerabilidades en los sistemas de la empresa. Para lograr monitorear
correctamente los sistemas de la compañía, se recomienda tomar las siguientes acciones:
Mantener en los equipos de cómputo y en la red aplicaciones como antivirus,
antispyware y cualquier tipo de antimalware. En muchas de las funciones que deben
cumplir los empleados se tiene que, intrínsecamente, usar la Internet, por lo que los
equipos mismos y la información de la empresa se ve expuesta. Por tal razón, es
importante contar con herramientas antivirus y mantener todas estas aplicaciones
debidamente actualizadas. También, estas aplicaciones cuentan con una opción
para programar escaneos automáticamente, lo cual puede llegar a ser muy útil a la
hora de monitorear y actualizar los sistemas de la compañía.
Almacenar y revisar logs: Los sistemas operativos, dispositivos de red y
dispositivos de seguridad poseen un registro de eventos y alertas, los cuales deben
ser revisados para detectar actividades sospechosas, actualizaciones e incluso
probables fallas del hardware. De ser necesario, se puede contratar a un tercero que
sea experto en los dispositivos a revisar, con el fin de dar una mejor lectura a los
registros. Estos registros deben tener una copia de seguridad.
4.4 Responder: esta acción se refiere a la capacidad que tiene la compañía de contener y
reducir el impacto que puede generar la materialización de un evento de seguridad.
Para esto es necesario desarrollar un Plan de Recuperación de Desastres (DRP,
Disaster Recovery Plan). Este plan debe tener las siguientes características:
o Roles y responsabilidades: establecer quiénes iniciarán la ejecución del
plan, cuáles serán los procedimientos a seguir y las acciones a ejecutar.
36
36
o Qué hacer con la información y los sistemas de información en caso de un
incidente, es decir, acciones a tomar con la información: sacarla de las
instalaciones, iniciar la restauración o moverla de lugar.
o A quién llamar en caso de un incidente: el plan debe incluir los contactos
necesarios que deben ser notificados en caso de un incidente, de hecho, si
el incidente compromete información de terceros como clientes, estos
contactos deben estar incluidos en el plan. Por supuesto, se debe incluir los
números de las autoridades que puedan reaccionar ante un incidente de
seguridad.
o Tipificar los eventos y características de los mismos que se constituyen
como un incidente: describir de la manera más completa los eventos que se
consideran como un incidente, por ejemplo: tener la página web no
disponible por un determinado tiempo. Esto dará las pautas para saber
exactamente cuándo reaccionar para mitigar los posibles daños.
4.5 Recuperar: las funciones de recuperación consisten en estabilizar el negocio luego de
la materialización de un evento de seguridad.
Realizar backups completos de la información importante de su negocio: programar
copias de seguridad completas que cifren la información respaldada. Se deben
realizar backups de toda la infraestructura tecnológica (configuración de firewall,
servidores, routers, switches, Access points, entre otros), de las estaciones de
usuario final; toda esta información se debe almacenar en dispositivos externos que
puedan ser custodiados en sitios geográficamente apartados de las instalaciones de
la compañía. Las copias de seguridad se deben programar pensando en la
restauración de dicha información en caso de materializarse un evento de seguridad
o un desastre natural, permitiendo que el negocio continúe con las menores pérdidas
posibles.
Se debe programar de manera aleatoria la restauración de alguna de las copias de
seguridad con el fin de verificar que las copias se están realizando de manera
adecuada y podrán ser usadas en caso de emergencia.
Revisar constantemente los procedimientos de seguridad con el fin de realizar los
ajustes y actualizaciones que se requieran con los cambios del negocio. Es
recomendable simular la materialización de algún evento de seguridad que permita
poner en práctica los procedimientos de recuperación y evidenciar falencias del
mismo.
5. Implementar buenas prácticas de trabajo seguro:
La mayoría de los incidentes pueden ser evitados si se trabaja de manera segura
enfocándose en las actividades diarias y acatando las recomendaciones establecidas en las
políticas y procedimientos de la compañía.
Prestar atención a las personas con las que trabaja (conocer sus compañeros de
trabajo): en empresas pequeñas esto no debería ser un problema, pero cuando se
37
37
trata de grandes compañías con instalaciones gigantescas y alta rotación de
personal, puede ser un inconveniente. También es necesario identificar
comportamientos anormales de los compañeros que son conocidos. Estos
comportamientos pueden dar indicios sobre actividades fraudulentas dentro de la
compañía. Tener presente que las actividades de los compañeros pueden afectar de
manera positiva o negativa sus actividades y rendimiento.
Ser cuidadoso con páginas web, correos electrónicos y enlaces web: estar alerta de
la información que es recibida mediante correos electrónicos es vital para evitar
robo de información. Los trabajadores deben tener claro los contactos seguros, y
que no se debe procesar información de remitentes desconocidos.
Separar físicamente los recursos de la empresa de los recursos personales de los
colaboradores: no permitir que los equipos corporativos puedan trabajar en
cualquier red, restringirlos usando software VPN. Asimismo, no permitir que los
equipos personales (computadores, celulares, tabletas) se puedan conectar a su red
corporativa, esto evitará fuga de información confidencial y, del mismo modo, la
entrada softwares maliciosos, como virus, provenientes de dichos equipos.
No permitir que se conecten dispositivos extraíbles personales de los usuarios:
preferiblemente bloquee los puertos de entrada a los computadores, si son
necesarios para las labores de los usuarios, no permita que se reproduzcan
automáticamente dispositivos como USB, unidades ópticas, y demás dispositivos
de almacenamiento extraíble.
Controlar las descargas Web: administre la navegación web de los equipos de
cómputo, controle mediante el software de antivirus las extensiones de archivos
peligrosas. Como usuario, no descargue archivos de páginas desconocidas o
sospechosas.
Preparar a sus colaboradores para que no entreguen información confidencial o
información a personal desconocido: la ingeniería social es uno de los métodos más
usados por los atacantes para recolectar información y en ocasiones suelen
recolectar bastante información, ya que ésta consiste en manipular
psicológicamente a las víctimas para que inconscientemente entreguen información
útil para los que los cibercriminales cometan actos ilícitos con dicha información
(Gómez, 2018). Los ingenieros sociales suelen ir obteniendo datos de abajo hacia
arriba, es decir, mediante aparentes conversaciones inofensivas con personal de
vigilancia, aseo, entre otros, también obtienen información valiosa como el nombre
del gerente, correos e incluso números telefónicos; información que les puede dar
un punto de partida para un potencial ataque.
Esta información puede ser solicitada por diversos medios: correos, mensajes de
texto, conversaciones y por esto es importante que, si se desconoce la fuente de
donde solicitan este tipo de información, ésta sea ignorada.
38
38
Promulgar buenas prácticas de navegación segura: hacer que sus colaboradores
tengan claro qué ventanas emergentes con alertas de virus o alertas de descargas
son en su mayoría falsos. Tener configurados los navegadores con el bloqueador de
ventanas emergentes activado por defecto.
Use contraseñas fuertes: Las contraseñas más seguras son aquellas que en su
contenido no tienen sentido, es decir, no forman una palabra clara. Las contraseñas
deben contener letras mayúsculas, letras minúsculas, una longitud mínima de 8
caracteres, preferiblemente no contener el nombre del usuario, el hijo, la mascota,
o datos muy conocidos o evidentes. Adicional a esto, deberán contener caracteres
especiales como un más (+), un asterisco (*), un punto (.). Preferiblemente, no
permita que las aplicaciones recuerden sus usuarios y contraseñas y cambie dichas
contraseñas con frecuencia.
Estas políticas de contraseñas deben estar incluidas en las políticas del SGSI y, en
su mayoría, pueden ser parametrizadas desde las diferentes aplicaciones como
políticas de directorio activo en Windows, políticas en los ERP, políticas de
firewall, encripciones de discos, entre otros.
Refuerce la seguridad con los usuarios que realizan transacciones online: hoy en
día muchos de los movimientos bancarios suelen hacerse vía internet, por tal
motivo, es importante que dichos usuarios tengan un conocimiento avanzado en las
plataformas que usan para evitar caer en ataques como web defacement, o phishing.
Para esto se deben usar navegadores seguros, se debe asegurar que los equipos
tengan su sistema antivirus actualizado y los niveles de seguridad en el firewall
deben ser altos.
Las anteriores prácticas, aunque no son las más sencillas, sí permitirán a empresas que están
empezando en el mundo de los negocios o las que hasta ahora están contemplando establecer un
Sistema de Gestión de la Seguridad de la Información, tengan una buena base en temas de
seguridad de la información sin importar el core del negocio. Del mismo modo, estás buenas
prácticas se encuentran contempladas en la norma ISO 27001 y para que la información recopilada
anteriormente y las acciones de mejora que generará este primer trabajo sean válidas como SGSI
basado en ISO 27001, se deben comprender las siguientes actividades adicionales con el fin de
soportar o evidenciar que el trabajo realizado se encuentra debidamente documentado y esta
documentación servirá de soporte para el mantenimiento y seguimiento del SGSI. Esta
documentación adicional será descrita a continuación:
Nota: es importante recordar que la información del SGSI debe estar completamente documentada,
debe ser actualizada y debe estar versionada según las necesidades del sistema.
Documentación General: la documentación debe incluir evidencia de las decisiones gerenciales.
Estas decisiones deben ser fáciles de rastrear puesto que todo lo que ocurra dentro del SGSI debe
ser aprobado por la alta gerencia y debe contar con el compromiso de la organización en todos los
niveles.
39
39
El objetivo principal de la documentación es estar en la capacidad de demostrar que el proceso
Planear, Hacer, Verificar y Actuar se está llevando a cabo correctamente, teniendo en cuenta los
siguientes elementos postulados en el Estándar ISO 27001:
Política General del Sistema de Gestión de la Seguridad de la Información y sus
objetivos.
Alcance de la política del SGSI
Procedimientos que soportan el SGSI
Descripción de la metodología de evaluación y administración de riesgos
Reporte de la evaluación de riesgos
Plan de tratamiento de amenazas
Procedimientos documentados usados por la organización para la planeación,
operación y control de los procesos de seguridad
Registros requeridos por ISO 27001
o Establecer, mantener, proteger y controlar registros de evidencias
Declaración de aplicabilidad
Control de Documentación:
Aprobación de todos los cambios antes de la implementación de los mismos.
Revisar y actualizar los documentos según necesidad, controlar los cambios,
versionarlos y re-aprobarlos si es necesario.
Asegurarse que todos los documentos y sus cambios sigan vigentes, aplicables y
sean debidamente divulgados
Garantizar que la documentación esté siempre disponible para quien la necesita,
debidamente almacenada y respaldada
Garantizar que la distribución y copia de los documentos está controlada
Finalmente, y como se mencionó en un principio, es muy importante que la dirección de la
organización se encuentre plenamente comprometida con el SGSI. Este compromiso también se
debe ver evidenciado en todo el proceso de establecimiento, implementación, control y
retroalimentación del SGSI.
La dirección debe aportar los puntos de partida para el inicio del proyecto del SGSI. Del mismo
modo, se deben proveer todos los recursos para que el proyecto del SGSI se lleve a cabo de manera
ininterrumpida; estos recursos pueden ser económicos, humanos, capacitación de personal,
adquisición de infraestructura, y demás recursos que aporten para el progreso y establecimiento
del SGSI. Sin el apoyo y compromiso de la alta gerencia en este tipo de proyectos, todos los
esfuerzos realizados pueden ser en vano.
40
40
CAPÍTULO III – ANÁLISIS, EVALUACIÓN Y DEFINICIÓN DE LÍNEA BASE
PARA EL SGSI EN PROFESIONALES ASOCIADOS LTDA.
Las actividades realizadas en este capítulo consistirán en tomar toda la información recopilada en
las secciones anteriores y llevarlas a un caso real de estudio. Para esto es importante describir las
características de la empresa Profesionales Asociados LTDA, y plasmar la información recopilada
de esta compañía dentro de la guía desarrollada en el presente proyecto.
Levantamiento de información y planeación del Sistema de Gestión de la Seguridad de la
Información para la empresa Profesionales Asociados LTDA.
Profesionales Asociados LTDA. es una compañía con aproximadamente 17 años de trayectoria en
la ejecución de obras de ingeniería civil a nivel nacional e internacional. Actualmente la compañía
cuenta con aproximadamente 20 usuarios de carácter administrativo lo cual la clasifica como
Pequeña Empresa, aunque de acuerdo a los diferentes proyectos o licitaciones, la empresa puede
crecer en personal administrativo y operativo mediante los consorcios que se establezcan en dichos
proyectos. Geográficamente la compañía tiene presencia en la ciudad de Bogotá, en el norte de la
ciudad.
Profesionales Asociados LTDA se describe como una compañía que se destaca en la construcción,
adecuación, montaje y mantenimiento de obras civiles, eléctricas y mecánicas en edificaciones,
estaciones de telecomunicaciones, estructuras de gas natural (Domiciliario, comercial e industrial),
conformación de taludes, locaciones petroleras, movimientos de tierra, vías de acceso, derechos
de vías, protección geotécnica y ambiental, pilotaje y conexas en el sector de hidrocarburos, redes
de alta, media y baja tensión y estructuras metálicas, además de la distribución, suministro,
instalación y mantenimientos de Aires Acondicionados a nivel Nacional.
Cuenta también con un calificado grupo de profesionales, técnicos y operarios, que aportan su
conocimiento, experiencia y trayectoria, constituyendo una de las mejores empresas del sector
económico en el cual desarrollamos nuestra labor.
La misión de Profesionales Asociados LTDA consiste en ser una compañía con proyección
nacional e internacional en las áreas de la construcción, mantenimiento y servicios que busca el
desarrollo y crecimiento del país, garantizando satisfacción y bienestar a nuestros clientes,
proveedores, contratistas y grupos de interés; a través de profesionales y técnicos altamente
calificados, cumpliendo plenamente con todas las normas técnicas vigentes.
Y su visión es ser en el año 2020 una empresa líder y reconocida por nuestros clientes como la
mejor alternativa en el desarrollo de proyectos de construcción, mantenimiento y servicio,
competitiva a nivel nacional e internacional, alcanzando la total satisfacción de nuestros usuarios
y el mejor impacto en la calidad de vida de nuestros colaboradores y grupos de interés.
A continuación, se describirán las características necesarias de la compañía para realizar el
acercamiento al Sistema de Gestión de la Seguridad de la Información a través de las
recomendaciones realizadas en los capítulos anteriores (ver ilustración 5).
La infraestructura tecnológica se encuentra actualmente distribuida de la siguiente manera:
41
41
Ilustración 5 - Infraestructura actual Profesionales Asociados LTDA (Fuente: Propia)
La evaluación y administración de los riesgos se realizó teniendo en cuenta la infraestructura
actual, las instalaciones de la compañía y su ubicación geográfica.
A continuación se describirá de manera resumida la infraestructura descrita en la Ilustración 5:
El servicio de Internet es un servicio de banda ancha de 15 Mb por fibra óptica
contratado con el ISP Claro.
UTM Sophos: este UTM de marca Sophos y de referencia SG 105 es el dispositivo
encargado de filtrar el tráfico entrante y saliente de la red corporativa; este filtrado
de tráfico se realiza mediante perfiles de navegación que se ajustan de acuerdo a las
funciones de los cargos. Este UTM también se encarga de monitorear la red en
busca de virus, malware, spam, filtrado de mail, y funciona como IPS (Intrusion
Prevention System.)
NVR CCTV: este NVR es de 8 canales análogos y es el encargado de mantener las
grabaciones del Circuito Cerrado de Televisión. Cuenta con 6 cámaras y un disco
duro de 1 Tb el cual permite tener grabaciones de aproximadamente 1 mes atrás.
Como se logra ver en el diagrama, este dispositivo se encuentra vulnerable al
encontrarse en la red de Internet.
Switch: Marca HP, modelo 2350 de 234 puertos 10/100. Este switch funciona en
capa de distribución y no se encuentra administrado. Todos sus puertos están
habilitados generando una vulnerabilidad en los puntos de red instalados en los
puestos de trabajo.
Servidor de almacenamiento y aplicaciones: este es un servidor HP ML110 de G1,
cuenta con 2 Tb de almacenamiento, 6 Gb de memoria RAM y un procesador Intel
42
42
Pentium 4 de 3.20 GHz y tiene instalado el sistema operativo Windows Server 2012
r2 Standard. En este servidor se encuentra alojado:
Directorio Activo (AD): debido al tipo de licencia de Windows server,
únicamente se pueden tener 15 usuarios de dominio. Actualmente hay
usuarios que comparten las cuentas de dominio lo cual no es una buena
práctica.
DHCP: el direccionamiento IP que se otorga en la red corporativa.
Información de las distintas áreas de la compañía en carpetas que se
encuentran restringidas por privilegios de políticas de dominio.
Aplicativo Helisa: este es el software contable y de nómina con el que
cuenta la compañía. En este servidor se encuentran alojadas las bases de
datos y los módulos servidor del aplicativo Helisa.
Impresora: la compañía cuenta con una impresora Ricoh MFP MP2003 la cual es
usada por todos los funcionarios de la compañía. A pesar que la impresora cuenta
con códigos de impresión por áreas, estos no son usados, lo cual expone la
información impresa ante cualquier usuario generando una vulnerabilidad de
seguridad. Por otra parte, el mantenimiento físico y lógico del dispositivo no se
encuentra establecido en un plan de mantenimiento lo cual puede hacer que la
impresora quede fuera de servicio deteniendo la operación de algunas áreas de la
compañía.
Redes inalámbricas: las redes inalámbricas de la compañía se encuentran
configuradas bajo cifrado de seguridad WPA2-PSK con AES para mantener una
compatibilidad con múltiples tecnologías manteniendo la seguridad de los
dispositivos.
Equipos de cómputo: los equipos de cómputo no se encuentran estandarizados bajo
especificaciones técnicas, marcas o licenciamiento. Adicionalmente debido a las
limitaciones en el licenciamiento del servidor, a todos los equipos no se les aplican
las políticas de dominio lo cual expone la información.
En primera instancia, se evalúan los distintos tipos de información que la empresa necesita para
funcionar y a cada tipo de información se le realizó una valoración referente al impacto que pueden
tener ciertos factores de seguridad, como se muestra en la tabla 7.
43
43
Tabla 7 - Tipos de información e impactos (Fuente: NIST, 2016)
INFORMACIÓN
BANCARIA
INFORMACIÓN DE
EMPLEADOS
INFORMACIÓN DE
CLIENTES
INFORMACION
TRIBUTARIA
INFORMACIÓN DE
LOS SISTEMAS DE
INFORMACIÓN
INFORMACIÓN
LEGAL
INFORMACIÓN
FINANCIERA
INFORMACION DE
SERVICIOS Y
PRODUCTOS
COSTO DE
REVELACIÓN
(CONFIDENCIALIDAD)
ALTO MEDIO ALTO MEDIO ALTO ALTO MEDIO ALTO
COSTO DE
VERIFICACIÓN DE LA
INFORMACIÓN
(INTEGRIDAD)
ALTO ALTO ALTO ALTO ALTO ALTO ALTO MEDIO
COSTO DE PERDER
ACCESO
(DISPONIBILIDAD)
ALTO ALTO ALTO MEDIO MEDIO ALTO MEDIO MEDIO
COSTO DE PERDER EL
TRABAJOALTO MEDIO ALTO ALTO MEDIO MEDIO MEDIO MEDIO
PENALIDADES,
NOTIFICACION A LOS
CLIENTES
ALTO MEDIO ALTO MEDIO BAJO MEDIO ALTO BAJO
COSTOS LEGALES ALTO ALTO ALTO ALTO BAJO ALTO ALTO BAJO
REPUTACIÓN /
COSTOS EN
RELACIONES
PÚBLICAS
ALTO MEDIO MEDIO MEDIO BAJO MEDIO MEDIO BAJO
COSTO DE
IDENTIFICACIÓN Y
REPARACIÓN DEL
PROBLEMA
ALTO BAJO MEDIO MEDIO MEDIO MEDIO MEDIO MEDIO
TOTAL ALTO MEDIO ALTO MEDIO MEDIO MEDIO MEDIO MEDIO
44
44
3.1 Inventario de Información
Tabla 8 - Inventario de Información y calificación del impacto potencial (Fuente: NIST, 2016)
DESCRIPCIÓN
(CARACTERÍSTICAS
DETALLADAS DE LA
INFORMACIÓN)
UBICACIÓN
ELEMENTOS QUE ENTRAN
EN CONTACTO CON LA
INFORMACIÓN
IMPACTO
POTENCIAL
TOTAL
1 INFORMACIÓN
FINANCIERA
* BANCOS *
SERVIDOR LOCAL
* COMPUTADORES
CORPORATIVOS
* CORREO ELECTRÓNICO
* ARCHIVO FÍSICO
PERSONAL INTERNO Y
EXTERNO, EQUIPOS DE
CÓMPUTO, DISPOSITIVOS
DE ALMACENAMIENTO
EXTRAÍBLE, INTERNET,
REDES INTERNAS
ALTO
2 INFORMACIÓN LEGAL
* COMPUTADORES
CORPORATIVOS
*CORREO ELECTRÓNICO
PERSONAL INTERNO Y
EXTERNO, EQUIPOS DE
CÓMPUTO, DISPOSITIVOS
DE ALMACENAMIENTO
EXTRAÍBLE, INTERNET,
REDES INTERNAS
ALTO
3 INFORMACIÓN DE
CLIENTES
* COMPUTADORES
CORPORATIVOS
*CORREO ELECTRÓNICO
* CELULARES
CORPORATIVOS
PERSONAL INTERNO,
EQUIPOS DE CÓMPUTO,
DISPOSITIVOS DE
ALMACENAMIENTO
EXTRAÍBLE, DISPOSITIVOS
MÓVILES, INTERNET,
REDES INTERNAS
ALTO
4
INFORMACIÓN DE
PORTAFOLIO DE
SERVICIOS
* COMPUTADORES
CORPORATIVOS
* INTERNET
INTERNET, PERSONAL
INTERNO, DISPOSITIVOS
DE ALMACENAMIENTO,
CORREO ELECTRÓNICO,
REDES INTERNAS
ALTO
5
INFORMACIÓN
GENERAL EN MEDIO
FÍSICO
* INSTALACIONES DE LA
COMPAÑÍA *
BODEGA DE ARCHIVO
MUERTO
PERSONAL INTERNO MEDIO
6 SISTEMAS DE
INFORMACIÓN
* INSTALACIONES DE LA
COMPAÑÍA
* SERVIDOR DE
ALMACENAMIENTO Y
APLICACIONES
PERSONAL INTERO, REDES
INTERNAS, PROVEEDOR
DE SISTEMA DE
INFORMACIÓN
ALTO
7 SERVICIO DE CORREO
ELECTRÓNICO * HOSTING GODADDY
INTERNET, PERSONAL
INTERNO, DISPOSITIVOS
MÓVILES, EQUIPOS DE
CÓMPUTO
ALTO
45
45
DESCRIPCIÓN
(CARACTERÍSTICAS
DETALLADAS DE LA
INFORMACIÓN)
UBICACIÓN
ELEMENTOS QUE ENTRAN
EN CONTACTO CON LA
INFORMACIÓN
IMPACTO
POTENCIAL
TOTAL
8
SERVIDOR DE
ALMACENAMIENTO Y
APLICACIONES
* INSTALACIONES DE LA
COMPAÑÍA
REDES LAN, PERSONAL
INTERNO ALTO
9 UTM SOPHOS * INSTALACIONES DE LA
COMPAÑÍA
INTERNET, PERSONAL DE
‘TI’, PROVEEDOR SOPHOS ALTO
10 SWITCH DE DATOS * INSTALACIONES DE LA
COMPAÑÍA
REDES LAN, SERVIDORES,
EQUIPOS DE CÓMPUTO,
IMPRESORAS
ALTO
11 NVR CCTV * INSTALACIONES DE LA
COMPAÑÍA
INTERNET, REDES LAN,
PERSONAL DE T.I. MEDIO
12
INFORMACIÓN
DIGITAL GENERAL DE
USUARIOS
* INSTALACIONES DE LA
COMPAÑÍA *
EQUIPOS DE CÓMPUTO
CORPORATIVOS
* SERVIDOR DE
ALMACENAMIENTO Y
APLICACIONES
EQUIPOS DE CÓMPUTO,
CORREO ELECTRÓNICO,
INTERNET
MEDIO
13 INFORMACIÓN DE
EMPLEADOS
* SISTEMAS DE
INFORMACIÓN
* ARCHIVO FÍSICO
* SERVIDOR DE
ALMACENAMIENTO Y
APLICACIONES
REDES LAN, SERVIDORES,
EQUIPOS DE CÓMPUTO MEDIO
14 IMPRESORAS * INSTALACIONES DE LA
COMPAÑÍA REDES LAN BAJO
15
ESTACIONES DE
TRABAJO (EQUIPOS
DE CÓMPUTO)
* INSTALACIONES DE LA
COMPAÑÍA *
VARIAS UBICACIONES CON
EQUIPOS MÓVILES
INTERNET, REDES LAN,
PERSONAL INTERNO BAJO
46
46
3.2 Análisis de vulnerabilidades y amenazas
A continuación se desarrollarán y documentarán las acciones a seguir para cada uno de los
elementos del inventario. Los elementos que no requieren una acción dentro del SGSI pueden tener
alguna recomendación si se considera necesario.
Tabla 9 - Análisis de Vulnerabilidades y Amenazas (Fuente: NIST, 2016)
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROBABI
LIDAD
TOTAL
ROBO DE
INFORMACI
ÓN
REVELACI
ÓN
ACCIDEN
TAIL
ALTERA
CIÓN
ACCIDEN
TAL DE
LA
INFORM
ACIÓN
ALTERA
CIÓN
INTENCI
ONAL DE
LA
INFORM
ACIÓN
DESTRUC
CIÓN
ACCIDENT
AL
DESTRUCCIÓ
N
INTENCIONA
L
INFORMACI
ÓN
FINANCIER
A EN
SISTEMAS
BANCARIO
S
BAJO
(PROTECCI
ÓN
GARANTIZ
ADA POR
EL BANCO)
MEDIO
(ÁREA
FINANCIE
RA
COMPART
E
CREDENC
IALES)
BAJO
(SISTEM
AS DE
INFORM
ACIÓN
BANCARI
OS
SEGURO
S)
BAJO
BAJO
(RESPALD
OS
GARANTI
ZADOS
POR LA
ENTIDAD
BANCARI
A
BAJO BAJO
INFORMACI
ÓN
FINANCIER
A EN
SISTEMAS
DE
INFORMACI
ÓN
PROPIOS
MEDIO
(ATAQUES
INFORMÁTI
COS,
ATAQUES
INTERNOS)
MEDIO(AT
AQUES
INTERNOS
)
MEDIO
(DESATE
NCIÓN
DE
USUARIO
S)
MEDIO
(ATAQUE
S
INTERNO
S)
BAJO
(COPIAS
DE
RESPALD
O
DIARIAS)
BAJO
(COPIAS DE
RESPALDO
DIARIAS)
MEDIO
INFORMACI
ÓN LEGAL
BAJO
(INFORMAC
IÓN
PROTEGID
A EN LA
RED LAN)
MEDIO
(ATAQUE
S
INTERNOS
)
BAJO BAJO
BAJO
(COPIAS
DE
RESPALD
O DIARIAS
BAJO
(COPIAS DE
RESPALDO
DIARIAS)
BAJO
INFORMACI
ÓN DE
CLIENTES
ALTO
(ATAQUES
INFORMÁTI
COS, ROBO
DE
DISPOSITIV
OS DE
CÓMPUTO
Y
COMUNICA
CIONES)
BAJO BAJO BAJO
ALTO
(DISPOSITI
VOS
MÓVILES
NO
RESPALD
ADOS)
BAJO BAJO
INFORMACI
ÓN DE
PORTAFOLI
MEDIO
(INFORMAC
IÓN
BAJO BAJO
BAJO
(ATAQUE
S
MEDIO
(INFORMA
CION
BAJO
(CONTROLA
DO POR
BAJO
47
47
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROBABI
LIDAD
TOTAL
ROBO DE
INFORMACI
ÓN
REVELACI
ÓN
ACCIDEN
TAIL
ALTERA
CIÓN
ACCIDEN
TAL DE
LA
INFORM
ACIÓN
ALTERA
CIÓN
INTENCI
ONAL DE
LA
INFORM
ACIÓN
DESTRUC
CIÓN
ACCIDENT
AL
DESTRUCCIÓ
N
INTENCIONA
L
O DE
SERVICIOS
PÚBLICAD
A EN
INTERNET)
INTERNO
S)
RESPALD
ADA A
DIARIO)
PRIVILEGIOS
DE
USUARIOS)
INFORMACI
ÓN
GENERAL
EN MEDIO
FÍSICO
MEDIO
(DESCUIDO
DE
USUARIOS,
DESASTRE
NATURAL)
MEDIO
(DESCUID
O DE
USUARIO
S,
ATAQUE
INTERNO)
BAJO BAJO
MEDIO
(DESASTR
ES
NATURAL
ES,
ACCIDENT
ES)
MEDIO
(USUARIOS
MALINTENCI
ONADOS)
MEDIO
SISTEMAS
DE
INFORMACI
ÓN
BAJO
(INFORMAC
IÓN
ALOJADA
ÚNICAMEN
TE EN RED
LAN)
BAJO
MEDIO
(CONTRO
LADO
POR
PRIVILE
GIOS DE
ACCESO)
MEDIO
(CONTRO
LADO
POR
PRIVILE
GIOS DE
ACCESO)
MEDIO
(DESASTR
ES
NATURAL
ES,
ATAQUES
INFORMA
TICOS,
RESPALD
OS
DIARIOS)
MEDIO
(RESPALDOS
DIARIOS)
MEDIO
SERVICIO
DE CORREO
ELECTRÓNI
CO
MEDIO
(ATAQUES
DE PHISING
O SPAM)
BAJO BAJO BAJO
MEDIO
(DISPONIB
ILIDAD DE
SERVICIO
DE
INTERNET
Y
HOSTING)
MEDIO
(COPIAS
PERMANENT
ES EN EL
SERVIDOR)
MEDIO
SERVIDOR
DE
ALMACENA
MIENTO Y
APLICACIO
NES
BAJO
(ACCESOS
CONTROLA
DOS POR
PERFIL DE
USUARIO)
BAJO
MEDIO
(DESATE
NCIÓN
DE
USUARIO
S)
BAJO
(ACCESO
S
CONTRO
LADOS
POR
PERFIL
DE
USUARIO
)
MEDIO
(DESASTR
ES
NATURAL
ES,
ATAQUES
CIBERNÉT
ICOS,
COPIAS
DE
RESPALD
O
DIARIAS)
BAJO
(ACCESOS
CONTROLAD
OS POR
PERFIL DE
USUARIO,
COPIAS DE
RESPALDO
DIARIAS)
BAJO
UTM
SOPHOS
BAJO
(ACCESO
CONTROLA
DO POR
CONTRASE
BAJO
(ATAQUE
S
CIBERNÉT
ICOS)
BAJO
(ACCESO
CONTRO
LADO
POR
BAJO
(ACCESO
CONTRO
LADO
POR
MEDIO
(DESASTR
ES
NATURAL
ES)
MEDIO
(ACCESO
CONTROLAD
O CON
CONTRASEÑ
BAJO
48
48
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROBABI
LIDAD
TOTAL
ROBO DE
INFORMACI
ÓN
REVELACI
ÓN
ACCIDEN
TAIL
ALTERA
CIÓN
ACCIDEN
TAL DE
LA
INFORM
ACIÓN
ALTERA
CIÓN
INTENCI
ONAL DE
LA
INFORM
ACIÓN
DESTRUC
CIÓN
ACCIDENT
AL
DESTRUCCIÓ
N
INTENCIONA
L
ÑA,
ATAQUES
CIBERNÉTI
COS)
CONTRA
SEÑA)
CONTRA
SEÑA)
A, COPIAS DE
SEGURIDAD
SEMANALES,
NO TIENE
HARDWARE
DE
RESPALDO)
SWITCH DE
DATOS
MEDIO
(ACCESO
ÚNICAMEN
TE LAN
PERO NO
ESTÁ
PROTEGID
O CON
CONTRASE
ÑA)
BAJO MEDIO MEDIO
MEDIO
(DESASTR
ES
NATURAL
ES, NO
ESTÁ
PROTEGID
O POR
CONTRAS
EÑA)
MEDIO (NO
ESTÁ
PROTEGIDO
POR
CONTRASEÑ
A)
MEDIO
NVR CCTV
ALTO
(ESTÁ
PUBLICAD
O EN
INTERNET
SIN
PROTECCIÓ
N)
MEDIO
MEDIO
(PROTEG
IDO POR
CONTRA
SEÑA)
ALTO
(SIN
PROTECC
IÓN WEB
A
ATAQUE
S
CIBERNÉ
TICOS)
MEDIO
(PROTEGI
DO POR
CONTRAS
EÑA)
ALTO
(DESASTRES
NATURALES,
ATAQUES
CIBERNÉTIC
OS)
ALTO
INFORMACI
ÓN DIGITAL
DE LOS
USUARIOS
MEDIO
(EQUIPOS
DE
CÓMPUTO
NO
CIFRADOS,
ALGUNOS
NO
PROTEGID
OS CON
CONTRASE
ÑA)
BAJO BAJO
MEDIO
(ACCESO
A
INFORM
ACIÓN
NO
CIFRADA
)
MEDIO
(FALLAS
DE
HARDWA
RE,
FALLAS
DE
ENERGÍA,
DESASTRE
S
NATURAL
ES,
HURTOS)
MEDIO
(ACCESO A
INFORMACIÓ
N NO
CIFRADA)
MEDIO
INFORMACI
ÓN DE
EMPLEADO
S
MEDIO
(ATAQUES
CIBERNÉTI
COS)
MEDIO
(ACCESOS
CONTROL
ADOS POR
CONTRAS
EÑA)
MEDIO
(ATAQUE
S
CIBERNÉ
TICOS)
MEDIO
(ACCESO
CONTRO
LADO
POR
CONTRA
SEÑA)
ALTO
(DESASTR
ES
NATURAL
ES, DAÑO
DE
SISTEMAS
DE
MEDIO MEDIO
49
49
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROBABI
LIDAD
TOTAL
ROBO DE
INFORMACI
ÓN
REVELACI
ÓN
ACCIDEN
TAIL
ALTERA
CIÓN
ACCIDEN
TAL DE
LA
INFORM
ACIÓN
ALTERA
CIÓN
INTENCI
ONAL DE
LA
INFORM
ACIÓN
DESTRUC
CIÓN
ACCIDENT
AL
DESTRUCCIÓ
N
INTENCIONA
L
INFORMA
CIÓN,
COPIAS
DE
SEGURIDA
D NO
TIENEN
UNA
PROGRAM
ACIÓN)
IMPRESORA
S BAJO BAJO BAJO BAJO
MEDIO
(DESASTR
ES
NATURAL
ES)
BAJO BAJO
ESTACIONE
S DE
TRABAJO
(EQUIPOS
DE
CÓMPUTO)
ALTO
(VIRUS,
ATAQUES
CIBERNÉTI
COS,
ACCESOS
EXTERNOS
NO
CONTROLA
DOS,
INFORMACI
ÓN NO
CIFRADA)
MEDIO MEDIO
ALTO
(INFORM
ACIÓN
NO
CIFRADA
,
ACCESOS
NO
CONTRO
LADOS
POR
CONTRA
SEÑA)
ALTO
(ATAQUES
CIBERNÉT
ICOS,
HURTOS,
DESASTRE
S
NATURAL
ES)
MEDIO ALTO
Los resultados obtenidos de las 2 tablas anteriores (Tabla 8 y Tabla 9), deben ser clasificados según
lo indica la tabla 4. De acuerdo a esta clasificación, se establecen las siguientes prioridades dentro
de lo que serán las acciones a tomar dentro del SGSI:
Sin acción necesaria, recomendaciones:
Información general en medio físico: digitalizar y salvaguardar la información que se considere
necesaria.
Información de empleados: realizar copias de seguridad de las bases de datos de
usuarios y los sistemas de información donde se encuentre esta información.
Impresoras: realizar mantenimientos preventivos para evitar fallas relacionadas con
hardware, utilizarlas en redes LAN para prevenir ataques externos o fuga de
información.
50
50
Prioridad 1:
Servicio de correo electrónico: debido a que la información se encuentra
completamente fuera de las instalaciones de la compañía y no se tiene
administración total del servicio, se deben realizar copias de seguridad de cada
cliente (usuario) por lo menos una vez a la semana y salvaguardar estas copias de
seguridad en medios externos que sean custodiados fuera de las instalaciones de la
compañía.
Prioridad 2:
Estaciones de trabajo (Equipos de cómputo): la compañía cuenta con licencia de
directorio activo de Windows Server 2012 Standard, la cual tiene limitaciones en
cuanto al número de usuarios de directorio activo y número de sesiones simultáneas
para servicios de red. Este tipo de licencia permite tener hasta 15 usuarios unidos
al domino mediante el directorio activo mediante el cual se controlan políticas de
domino, contraseñas y acceso a carpetas compartidas.
Debido a que hay más usuarios que licencias, se debe cambiar la licencia por un
tipo de licencia Enterprise, que permite tener más usuarios de directorio activo,
roles y funcionalidades más robustas, con el fin de custodiar los equipos que se
encuentran fuera de las directivas de dominio, ya que algunos de ellos ni siquiera
tienen control por contraseña al iniciar sesión, lo que es una puerta abierta para
cualquier tipo de robo de hardware. Por otra parte, en estos equipos la información
contenida en los discos duros no se encuentra cifrada, siendo esta una gran
vulnerabilidad mayormente en equipos de cómputo portátiles.
Para concluir y teniendo en cuenta que, actualmente, los equipos pueden conectarse
a cualquier tipo de red, sin restricciones de navegación, se debe controlar el acceso
de los equipos a redes externas, así como controlar este acceso con un software de
VPN que permita filtrar la navegación con políticas establecidas por la compañía.
Prioridad 3:
Información Financiera: debido a que la probabilidad de ocurrencia de un desastre
con la información financiera es baja, puesto que las entidades bancarias tienen
sistemas bastante robustos y seguros donde almacenan la información de sus
clientes, el impacto de esta información es potencialmente alto en la organización.
Se debe preparar un plan que garantice la disponibilidad y confiabilidad de esta
información, estableciendo protocolos internos de manejo de contraseñas para las
determinadas plataformas.
Información Legal: el factor más importante a respaldar en este tipo de información
es la confidencialidad, si bien es importante que la información esté disponible y
confiable, se debe garantizar la confidencialidad. Adicionalmente, ya que mucha
de esta información se encuentra impresa, se debe tener un protocolo de
administración documental para tener debidamente ordenados y asegurados todos
los soportes que hagan parte de la información legal.
51
51
Información de Clientes: Profesionales Asociados LTDA no cuenta con un CRM
(Customers Relationship Manager) que permita administrar y realizar un
seguimiento de manera centralizada a toda la información de clientes. Por tal
motivo, es importante pensar en la implementación de un tipo de base de datos de
clientes en donde la información no se encuentre centralizada ni esté disponible
para todos los que la necesitan en el momento que la necesitan. Mucha de esta
información está contenida en celulares corporativos, lo cual genera un riesgo que
se puede mitigar de manera sencilla centralizando la información, respaldando y
controlando los accesos a la misma.
Sistemas de Información: debido a que la compañía no es muy grande, ésta solo
cuenta con un sistema de información en el cual, principalmente, se lleva la
información financiera y la información de recursos humanos.
Toda esta información se encuentra en un servidor el cual no tiene ningún tipo de
cifrado de discos, no cuenta con un procedimiento de copias de respaldo establecido
y, adicionalmente, se encuentra compartiendo el espacio y recursos con el servidor
de almacenamiento de la compañía, lo cual pone en riesgo la disponibilidad de
dicha información.
Lo ideal es separar los servidores para que las bases de datos del sistema de
información -y éste mismo- se encuentren separadas del servidor de dominio, del
servidor DHCP, y del servidor de almacenamiento.
Servidor de almacenamiento y aplicaciones: al igual que el ítem anterior, se
recomienda tenerlo separado del servidor de aplicaciones y establecer un
procedimiento de copias de seguridad para la información allí contenida. En ambos
casos, las copias de seguridad se deben establecer en medios extraíbles que deben
ser custodiados fuera de las instalaciones de la compañía, por las empresas
especializadas en dicha actividad.
UTM Sophos: se deben mantener las actualizaciones al día y respaldar la
configuración del equipo en medios externos que serán custodiados de manera
externa. Se recomienda contar con la figura Master-Slave, adquiriendo un UTM
adicional que permita hacer el balanceo de cargas y que respalde el funcionamiento
de un equipo en caso de que el otro falle.
Switch de datos: administrar éste dispositivo gestionándolo por medio de
contraseña. Realizar copias de seguridad de la configuración.
NVR CCTV: el dispositivo se encuentra publicado directamente e n la Web, lo
cual lo hace bastante vulnerable a ataques cibernéticos. Se debe incluir este
dispositivo en una DMZ que permita ser accedido mediante permisos controlados
en la web.
52
52
Información digital de usuarios: en primer lugar, se debe contar con software
antivirus en cada uno de los equipo. En segundo lugar, se debe contar con un
software que cifre la información contenida en los discos duros de cada estación de
trabajo. Finalmente, se recomienda instalar software VPN que proteja los equipos
de cómputo cuando estén navegando en redes externas a la de la compañía. Dentro
y fuera de las instalaciones de la compañía y, como se mencionó anteriormente, los
usuarios deben ser responsables y confiables en el cuidado del hardware,
guardándolos y cargándolos de manera adecuada.
La parte final del documento estará basada en el levantamiento de información y la caracterización
del riesgo hechos previamente. Por otra parte, se debe tener presente que el establecimiento de un
Sistema de Gestión de la Seguridad de la Información comprende las fases del ciclo PHVA, lo que
se ha realizado anteriormente pertenece a la fase de planeación y lo que se hará a continuación es
establecer las políticas que regirán a nivel de gobierno de ‘TI’ para intentar proteger de la mejor
manera la información sensible de la compañía.
53
53
CAPÍTULO IV DISEÑO DE LAS BASES PARA EL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA PROFESIONALES
ASOCIADOS LTDA
Como fase final del proyecto, se realizará la definición de las políticas que acompañarán lo
establecido dentro del levantamiento de la información del capítulo anterior. En este capítulo se
pretende controlar de manera óptima y sencilla las vulnerabilidades encontradas en el capítulo
anterior y que ameriten una acción de control por parte de la compañía. Todo esto con el fin de
establecer un control sobre la seguridad de la información y que a futuro les permita a las
compañías construir un Sistema de Gestión de la Seguridad de la información robusto y alineado
a la norma ISO 27001:2013 permitiendo como proyecto a largo plazo una certificación en
seguridad de la información.
A continuación se describen brevemente los objetivos de control establecidos por ISO 27001:2013
ya que estos objetivos de control son los que determinarán las acciones que deberá tomar la
compañía para cumplir con los requisitos mínimos de seguridad de la información.
A5 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
En este primer objetivo de control se debe definir el alcance organizacional que se le dará a los
procesos importantes para la compañía dentro del SGSI. Para ello, es importante contar con el
compromiso de la alta gerencia en colocar esfuerzo y recursos para el correcto curso de planeación
y ejecución del SGSI para un posterior mantenimiento y mejoramiento del mismo.
La política de Seguridad de la Información establecerá las directrices técnicas y de
comportamiento que todos los actores involucrados en el SGSI deberán cumplir para minimizar
los riesgos a los que se expone la información en el día a día.
Esta política deberá ser avalada globalmente dentro de la organización sin ninguna excepción y
deberá ser conocida por todos y cada uno de los miembros de las compañías, conociendo así
también las consecuencias que acarreará el no cumplimiento de las políticas.
A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
El objetivo principal de este control es establecer Roles y Responsabilidades de los funcionarios
dentro del SGSI, del mismo modo, se elaboran tareas y alcances para los procesos en los cuales
tendrá alcance el SGSI.
Esta definición de roles y responsabilidades deberá estar documentada y completamente conocida
por los funcionarios desde el mismo momento en el que ingresan a la compañía. Generalmente,
las organizaciones establecen un apartado dentro de la documentación que se entrega a los
funcionarios en la cual se describe el manual de funciones, responsabilidades dentro del Sistema
de Calidad y responsabilidades dentro del SGSI.
54
54
Se debe establecer una política de uso de dispositivos móviles para asegurar así la información que
allí se maneja. Se tendrán que establecer procedimientos que deben seguir los funcionarios ante
eventualidades de seguridad, y esta política deberá contemplar las especificaciones técnicas
dictadas desde el área de tecnología de la información con el fin de estandarizar el uso de estos
dispositivos y proteger la información allí contenida.
A7 SEGURIDAD DE LOS RECURSOS HUMANOS
Los trabajadores son uno de los activos más importantes en las organizaciones, por tal motivo es
de gran importancia contar con el personal calificado e idóneo para la ejecución de los procesos.
Es por esto que las compañías deben establecer estrictos procesos de contratación con el fin de
tener filtros adecuados para asegurar la información. Un mal proceso de selección puede tener
repercusiones en el buen nombre de una compañía y es por esto que se debe prestar especial
atención al reclutamiento de personal.
Una vez los colaboradores se vinculan a las compañías, es necesario que se divulguen las políticas,
derechos, deberes, compromisos, manuales de funciones y todo lo que dichos funcionarios
necesiten para la ejecución de sus labores.
Todos estos procesos deben ser controlados con la documentación necesaria, la documentación
contractual y los documentos que soporten que cada funcionario conoce oportunamente y tiene
absolutamente clara la información que necesaria para el desarrollo de sus actividades dentro de
la compañía.
A8 GESTIÓN DE LOS ACTIVOS
Como se mencionó anteriormente en este documento, tener un inventario de activos es sumamente
importante para cuantificar y establecer el nivel de riesgo al que se encuentran expuestos dichos
activos. Esto permitirá definir responsabilidades sobre los activos, permitirá definir si
probablemente dichos activos deban ser asegurados con una entidad especializada como medida
preventiva.
Adicionalmente, como la información es uno de los activos más importantes de las compañías, es
importante realizar un inventario de la información de la compañía, valorarla, establecer los riesgos
a los que se encuentra expuesta y definir las medidas preventivas para mitigar todos estos riesgos.
Como en los controles anteriores, es indispensable documentar y divulgar las políticas establecidas
para el control de activos y la información.
A9 CONTROL DE ACCESO
El control de acceso es un tema importante puesto el control de la accesibilidad a los activos y la
información hace que los procesos y las instalaciones sean seguras para las compañías en sí.
Controlar el acceso se extiende desde el acceso físico (acceso a instalaciones, acceso a zonas
restringidas), hasta el control de acceso en los sistemas de información y comunicación.
55
55
Para el control de acceso, las compañías implementan sistemas electrónicos que controlan el
acceso mediante tarjetas electrónicas o sistemas de detección biométrica. Por otra parte, con el fin
de asegurar las instalaciones muchas compañías cuentan con personal de seguridad privada
quienes aportan su experiencia para apoyar temas de control de acceso a instalaciones.
Finalmente, en cuanto a sistemas de información se refiere, los departamentos de Tecnología de la
Información deberán establecer conjuntamente con la alta dirección, los controles que se tendrán
en sistemas de almacenamiento, ERP, y demás aplicativos con los que cuente la compañía.
A10 CRIPTOGRAFIA
La criptografía es sumamente importante para proteger la información contenida digitalmente, por
esto es necesario contemplar la manera correcta de usar las herramientas tecnológicas disponibles
para proteger la información contenida digitalmente y en dispositivos electrónicos. Todo esto debe
ser mediante una política que incluya manejo de cifrados, contraseñas, accesos seguros y todas
aquellas aplicaciones que tenga dentro de las compañías.
A11 SEGURIDAD FISICA Y AMBIENTAL
Como se citó anteriormente, la seguridad física desempeña un papel determinante en la seguridad
de la información puesto que mantener zonas divididas de libre acceso y de acceso restringido
permite otorgar un nivel de confidencialidad más alto para determinada información; además de
proteger la información de distribución o copia no autorizada, destrucción accidental o no
autorizada, entre otros.
La seguridad física también apunta a temas de seguridad electrónica, circuitos cerrados de
televisión, personal de seguridad privada y adicionalmente a todos los sistemas que puedan brindar
un nivel de protección automático como lo pueden ser detectores de movimiento o sistemas de
detección de incendio.
Se debe contar con un protocolo de atención de visitantes, proveedores o clientes el cual debe ser
conocido por todos los miembros de la compañía y se debe contar con los registros indicados para
cada tipo de visita o zona.
La seguridad física también tiene relación con el acceso físico no autorizado a infraestructura o
equipos de cómputo. Es importante que el centro de datos se encuentre con acceso restringido
únicamente a quienes estén autorizados para ingresar, en ocasiones es útil contar con una planilla
o formato establecido por la compañía para el registro de visitantes o proveedores. En cuanto a los
equipos de cómputo, se debe proteger el acceso físico utilizando guayas de seguridad o algún
elemento que proporcione la seguridad. Por otra parte, la protección física de estos elementos
consta de proveer protección ante eventos inesperados por parte de terceros como el suministro
eléctrico, se deberán establecer los procedimientos y elementos necesarios para proteger la
integridad de toda la infraestructura de la compañía.
Respecto al tema ambiental, las compañías a diario generan desechos que pueden ser reutilizables,
reciclables o los desechos catalogados como peligrosos. Para cada tipo de desecho, y en
concordancia con lo que dictan las leyes, las compañías deben contar con procedimientos y
56
56
proveedores que se encarguen de certificar el debido aprovechamiento o manejo adecuado de estos
desechos.
A12 SEGURIDAD DE LAS OPERACIONES
Todos los tipos de compañías están obligados a interactuar con otras compañías con el objetivo de
tener aliados estratégicos que permitan el crecimiento de ambas partes. Estas compañías son los
clientes, proveedores, o los llamados stakeholders. Como producto de esta interacción, se hace
necesario intercambiar información para la cual se deberá establecer la protección necesaria (legal,
física, de confidencialidad) que se requiera. El intercambio de bienes y servicios deben estar
debidamente protegidos con los proveedores y clientes conocidos. Se debe establecer un
procedimiento para vinculación de nuevos proveedores y/o clientes para ahondar un poco más en
el conocimiento de estos terceros y evitar que en un futuro estas relaciones puedan afectar a la
compañía.
Parte del operar de las empresas consiste en cada una de las labores que desarrollan todos los
funcionarios de la misma, por esto, al proteger las operaciones, se debe proteger toda la
información que generan los funcionarios. Se debe contar con el respaldo de información de todos
los usuarios establecido mediante procedimientos y uso o adquisición de herramientas para dicha
labor, los sistemas de información deben estar igualmente respaldados en los medios indicados y
con la frecuencia que las compañías decidan hacer estas tareas. Los procedimientos deberán incluir
la ejecución de manera aleatoria de la restauración de estos respaldos con el fin de corroborar que
la tarea contiene lo que se necesita para generar continuidad del negocio y que dicha tarea se
ejecuta correctamente.
Los equipos de cómputo y todos los servicios que las compañías proveen a sus funcionarios para
el desarrollo de las labores, deben contar con el licenciamiento y control específico según lo
requiera el perfil del usuario. Desde el área de tecnología de la información, se debe controlar las
restricciones para instalación y desinstalación de software, se debe establecer un procedimiento
mediante el cual se soliciten de manera formal los permisos o las autorizaciones para cualquier
modificación que se requiera sobre los equipos. Del mismo modo debe suceder con los filtros de
redes internas y redes de internet. Una práctica común en las compañías es realizar controles
aleatorios y documentados sobre equipos de cómputo, que permitan evidenciar el cumplimiento
de las políticas de software y redes que la compañía establezca.
A13 SEGURIDAD DE LAS COMUNICACIONES
Compartir información es una de las actividades más recurrentes en las compañías, y estas
comunicaciones deben contar con la debida protección física y lógica que los dispositivos puedan
proveer. Es fundamental que los usuarios conozcan claramente cómo se maneja la información
con terceros, qué información se puede compartir y cual no. La información sensible para la
compañía debe ser de uso exclusivo de la misma y por esto, los procedimientos toman gran
importancia. Estos procedimientos pueden y deben ser apoyados por las herramientas tecnológicas
con las que cuente la compañía, y si es necesario, se deberá adquirir la infraestructura que se
requiera.
57
57
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Con la revolución tecnológica que se vive actualmente, cada vez más información es digitalizada
y administrada directamente en sistemas de información, y además del respaldo que deben tener
estos sistemas, se debe prestar especial atención en conocer muy bien las herramientas que la
compañía adquiera, esto con el fin de tener la certeza y la tranquilidad de alojar la información en
herramientas robustas y seguras que provean lo que la compañía necesita.
Debido a que las compañías evolucionan con su entorno, es muy probable que los procesos se
actualicen y que los sistemas de información también deban ser actualizados o reemplazados. Para
estos casos, las compañías deben contar con personal conocedor de los procesos y la seguridad de
la información para generar los escenarios posibles, realizar las pruebas necesarias y realizar los
ajustes a que den lugar dichas pruebas. Todo este proceso de actualización y/o migración debe
contar con toda la documentación que soporte los procedimientos realizados.
A15 RELACIONAMIENTO CON PROVEEDORES
Como se resaltó anteriormente, los proveedores son actores importantes en el desarrollo de las
compañías y para fortalecer los vínculos comerciales es necesario que las compañías diseñen una
política para el relacionamiento de proveedores que sea extendida a todos los proveedores sin
excepción ya que la información que se pueda intercambiar debe ser protegida en ambas partes.
Realizar la política permitirá controlar y proteger la información de clientes (internos y externos)
de las partes y del mismo modo proveedores adicionales. El control que se desea tener sobre los
proveedores es que se cumplan las condiciones establecidas, los tiempos, los costos y que se
respete legalmente la confidencialidad de la información en los casos que aplique.
A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Dentro del diseño de un SGSI, se debe establecer claramente qué constituye un incidente de
seguridad de la información. Esto se hará como resultado del inventario de la información, la
clasificación del nivel de riesgo y la ponderación de criticidad que se le atribuya a determinado
activo de información.
Todos los funcionarios dentro de la compañía deben estar capacitados para reconocer los
incidentes de seguridad de la información, cómo reportarlos y cómo reaccionar ante un evento de
estos. Por esta razón, se deben establecer procedimientos para identificación, reporte, gestión,
evaluación y retroalimentación para la gestión de incidentes. Todo lo anterior con el único objetivo
de la mejora continua, con el objetivo de identificar los factores que generaron el incidente,
establecer responsabilidades, cuantificar el impacto y tomar acciones correctivas que eviten que el
evento se repita.
58
58
A17 ASPECTOS DE LA SEGURIDAD DE LA INFORMACIÓN DE LA GESTION DE LA
CONTINUIDAD DEL NEGOCIO
El objetivo principal de este objetivo de control es establecer los mecanismos necesarios para que
las compañías puedan restablecer en el menor tiempo posible sus servicios y procesos luego de un
incidente de seguridad de la información.
La información relevante para la continuidad del negocio debe ser aquella que en el diseño del
SGSI cuenta con un nivel de criticidad alto independientemente del nivel de riesgo al que se
encuentre expuesta.
Para garantizar que el plan de recuperación de desastres de seguridad de la información, o el plan
de continuidad del negocio sea efectivo, se debe establecer procedimientos, responsables y tiempos
de reacción que permitan enfocar esfuerzos en restablecer los servicios de la compañía. Para
garantizar que los recursos de la continuidad del negocio se encuentran disponibles, los aspectos
de respaldo de información, redundancia de dispositivos y servicios, deben quedar debidamente
establecidos en los objetivos de control anteriores, ya que del seguimiento y eficacia de esta
implementación se desprenden todos los recursos necesarios para la continuidad del negocio.
A18 CUMPLIMIENTO
Todos los aspectos anteriormente revisados, son aspectos sugeridos por la norma ISO 27001:2013
para el debido establecimiento de un SGSI en las compañías, y en esta parte final es necesario
resaltar que estos objetivos de control deben estar alineados con la normatividad legal vigente que
cobije a las compañías y por otro lado deben coincidir con los objetivos de la organización. Para
esto, de acuerdo a ciclo PHVA, se debe realizar una verificación al sistema completo con el fin de
determinar la vigencia de los procedimientos, políticas y controles diseñados anteriormente y, en
caso de algún cambio legislativo, tributario o simplemente un ajuste interno; se hagan los cambios
necesarios dejando los registros debidamente documentados como lo exige la norma.
4.1 Alcance del SGSI
Profesionales Asociados LTDA, como empresa prestadora de servicios de ingeniería civil,
define que el Sistema de Gestión de la Seguridad de la Información del presente documento
tendrá una aplicabilidad para la infraestructura física y lógica de sus instalaciones en la
ciudad de Bogotá (Calle 109 # 14b – 60 oficinas 202 y 204) y a los procesos definidos en
para esta compañía en la norma ISO 9001.
4.2 Metodología de Gestión de Riesgos
La estrategia elegida para la evaluación y gestión de riesgos está basada en el reporte
técnico ISO/IEC TR 13335-3, la cual propone distintos acercamientos al análisis de riesgos
de los cuales se tendrá en cuenta el acercamiento combinado que realiza una evaluación
59
59
detallada de los riesgos cuidando los recursos que se invertirán en la administración de los
mismos.
Ilustración 6 - Enfoque combinado ISO 13335-3 (ISO. 1998)
4.3 Declaración de Aplicabilidad
En el anexo 1 se describen los controles establecidos por ISO 27001 los cuales cuentan con
una aplicabilidad para la compañía Profesionales Asociados LTDA. En esta tabla se
describe detalladamente las observaciones sobre cada ítem y el alcance que puede tener el
control dentro de este proyecto y la compañía.
4.4 Objetivos del SGSI
Proteger los activos de la compañía alineándose con los objetivos misionales de
Profesionales Asociados LTDA., contribuyendo al crecimiento sostenido de la
compañía.
Garantizar la integridad, confidencialidad y disponibilidad de los activos de
información de la compañía.
Implementar, verificar y actualizar los controles y políticas que sean necesarios para
la protección de la información.
4.5 Política General del SGSI
Profesionales Asociados LTDA y su gerencia general, como empresa comprometida con
el crecimiento del país en temas de desarrollo de infraestructura civil, reconoce la
importancia de trabajar en la seguridad y el cuidado de los activos de información que
representan vital importancia en el crecimiento sostenido de la compañía, como lo son
información de colaboradores, clientes, proveedores, gerencia estratégica, portafolio de
servicios, información legal, entre otros.
60
60
Por tal motivo, se desarrollará el Sistema de Gestión de la Seguridad de la Información
(SGSI), el cual velará por garantizar la disponibilidad, integridad y la confidencialidad de
la información generada por la compañía en el desarrollo de sus labores en su única sede
en Bogotá.
Para tales efectos, Profesionales Asociados:
Establecerá las políticas necesarias con el fin de comprometer a todos los actores
en el correcto desarrollo del SGSI
Generará periódicamente evaluaciones a riesgos con el fin de actualizar el mapa de
riesgos y/o los niveles de riesgos a los que está expuesta la información de la
compañía.
Actualizará oportunamente el SGSI cuantas veces se considere necesario para
corregir, añadir o eliminar procesos o políticas que hayan cambiado con la
adaptación del negocio a su entorno.
Otorgará los recursos necesarios para el establecimiento y mantenimiento del SGSI
Establecerá roles a cada proceso que involucre la planeación, ejecución, revisión y
mantenimiento del SGSI
La presente política aplica a toda la información y activos definidos dentro del alcance del
SGSI.
4.6 Definición de roles y responsabilidades dentro del SGSI
Objetivo: establecer los perfiles responsables dentro del Sistema de Gestión de la Seguridad
de la Información para la empresa Profesionales Asociados LTDA.
Alcance: lo establecido en este documento aplica para los perfiles de cargos administrativos
de personal vinculado a la compañía de manera directa o temporal.
De acuerdo con el siguiente organigrama, se establecen las siguientes responsabilidades
sobre cada rol.
Ilustración 7 - Organigrama Profesionales Asociados LTDA (Fuente propia)
61
61
GERENCIA GENERAL
RESPONSABILIDADES GENERALES: planificar y controlar funciones legales,
administrativas, financieras de la compañía y el SGSI proveyendo los recursos y espacios
necesarios para el SGSI.
RESPONSABILIDADES DENTRO DEL SGSI:
Realizar revisión y aprobación de las políticas, objetivos y controles establecidos por
el SGSI.
Participar en el mantenimiento y la mejora continua del SGSI con la toma de
decisiones basado en la retroalimentación del SGSI.
Realizar los aportes que considere necesarios al SGSI reportando vulnerabilidades,
riesgos en procesos no identificados previamente.
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
GERENCIA ADMINISTRATIVA Y FINANCIERA
RESPONSABILIDADES GENERALES: administrar recursos físicos, financieros y humanos
dentro de la compañía
RESPONSABILIDADES DENTRO DEL SGSI:
Hacer cumplir las políticas establecidas dentro del SGSI para procesos de reclutamiento
de personal, compras, vinculación de proveedores, y tecnología de la información.
Controlar los recursos entregados al SGSI.
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
DIRECCIÓN COMERCIAL
RESPONSABILIDADES GENERALES: generar el plan de ventas de la compañía, respetando
los procedimientos de vinculación de clientes.
RESPONSABILIDADES DENTRO DEL SGSI
Conocer y respetar los procedimientos establecidos para el área de ventas.
Conocer y respetar los aspectos de Seguridad de la Información establecidos para la
vinculación de clientes.
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
62
62
DIRECCIÓN HSEQ
RESPONSABILIDADES GENERALES: establecer y controlar el debido funcionamiento de
las normas y metodologías establecidas por la ley y por la compañía para la Seguridad y Salud
en el Trabajo.
RESPONSABILIDADES DENTRO DEL SGSI
Promover actividades en temas de Seguridad de la Información con destino a todos los
funcionarios de la compañía.
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
DIRECCIÓN DE TALENTO HUMANO
RESPONSABILIDADES GENERALES: establecer, implementar y controlar los procesos
relacionados con reclutamiento de personal, desarrollo de personal, bienestar necesario para el
correcto funcionamiento de la compañía.
RESPONSABILIDADES DENTRO DEL SGSI:
Conocer y respetar los procedimientos establecidos por la compañía para la selección
de personal.
Verificar que las políticas de Calidad y de Seguridad de la Información sean
oportunamente divulgados a todo el personal.
Garantizar que la documentación de control requerida por los Sistemas de Calidad y de
Seguridad de la Información, se encuentren diligenciados y actualizados.
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
COORDINACIÓN DE COMPRAS
RESPONSABILIDADES GENERALES: coordinar el relacionamiento con proveedores
garantizando la cadena de suministros en las diferentes necesidades de la compañía.
RESPONSABILIDADES DENTRO DEL SGSI
Aplicar los procedimientos establecidos para la vinculación de proveedores.
Conocer y respetar las políticas de compras.
Cumplir con los principios básicos de la Seguridad de la Información (Integridad,
Disponibilidad y Confidencialidad).
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
63
63
Velar por el cumplimiento del SGSI.
CONTADOR GENERAL
RESPONSABILIDADES GENERALES: llevar control sobre los movimientos financieros que
tiene la compañía de acuerdo a lo establecido por la ley.
RESPONSABILIDADES DENTRO DEL SGSI
Asegurar la disponibilidad de la información contable y financiera para la toma de
decisiones de la alta dirección o entidades externas autorizadas.
Asegurar la confiabilidad e integridad de la información contable y financiera de la
compañía.
Cumplir con los principios básicos de la Seguridad de la Información (Integridad,
Disponibilidad y Confidencialidad).
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
COORDINACIÓN DE TECNOLOGÍA
RESPONSABILIDADES GENERALES: velar por el correcto funcionamiento, mantenimiento y
uso de los sistemas informáticos de la compañía.
RESPONSABILIDADES DENTRO DEL SGSI:
Establecer y ejecutar los cronogramas de mantenimiento de infraestructura tecnológica.
Velar por el cumplimiento de la política de Seguridad de la Información y Política de
uso de Hardware y Software.
Garantizar la disponibilidad, integridad y confidencialidad de la información contenida
en los sistemas informáticos de la compañía.
Garantizar la ejecución y seguimiento de procedimientos de respaldo de información.
Cumplir con los principios básicos de la Seguridad de la Información (Integridad,
Disponibilidad y Confidencialidad).
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
CARGOS ADMINISTRATIVOS AUXILIARES Y ASISTENCIALES
RESPONSABILIDAD GENERAL: controlar la documentación de la compañía referente a su
área, mantener la cadena de custodia de la documentación y respetar los procedimientos y
autorizaciones requeridos para cada tipo de documento. Controlar registros de correspondencia.
RESPONSABILIDAD DENTRO DEL SGSI
Asegurar la confidencialidad de la documentación.
Mantener debidamente actualizada la caja menor (En los cargos que aplique).
Asegurar que la documentación de correspondencia cumpla con lo establecido en la
política de proveedores y compras.
64
64
Cumplir con los principios básicos de la Seguridad de la Información (Integridad,
Disponibilidad y Confidencialidad).
Respetar y cumplir todas las políticas y procedimientos establecidos por el SGSI.
Participar en planes de capacitación del SGSI.
Velar por el cumplimiento del SGSI.
4.7 Política de Seguridad de la Información
4.7.1 Objetivo de la Política de Seguridad de la Información
Establecer los mecanismos y controles necesarios en materia de seguridad de la
información para la compañía Profesionales Asociados LTDA.
4.7.2 Política General de la Seguridad de la Información
La información es uno de los activos más importantes con los que cuenta Profesionales
Asociados LTDA para el desarrollo de sus objetivos. Por tal motivo, se debe garantizar la
integridad, disponibilidad y confidencialidad de la misma mediante procedimientos y
compromisos que permitan que el negocio pueda crecer sostenidamente sin incurrir en gastos
adicionales. Asimismo, con el establecimiento del SGSI se busca crear la cultura
organizacional en cuanto a la seguridad de la información se refiere.
Por tal motivo, Profesionales Asociados LTDA establece que:
a. El área de tecnología junto con personal del área de calidad, formarán un grupo el
cual velará por el establecimiento, seguimiento y actualización del SGSI.
b. Los activos de información deberán ser inventariados y etiquetados de tal manera
que se pueda ejercer un control sistematizado de los mismos.
c. Establecerá una política integral de uso de los activos tecnológicos, sistemas de
información, dispositivos móviles y servicios tecnológicos asignados a los
funcionarios.
d. Se realizarán controles internos que permitan evidenciar el cumplimiento de lo
establecido en el SGSI.
e. Los funcionarios estarán responsabilizados y comprometidos con el SGSI desde la
alta dirección hasta los funcionarios con cargos operativos.
4.8 Responsabilidad de la Dirección
La gerencia general de Profesionales Asociados LTDA entiende la importancia de la
implementación de un Sistema de Gestión de la Seguridad de la Información y, por tal motivo,
se compromete a facilitar los recursos necesarios para que dicha implementación se lleve a
cabo.
Como cabeza de la compañía, la gerencia general es el área que tendrá el primer compromiso
frente a las políticas y procedimientos que se desprendan del diseño e implementación del
SGSI. De la misma manera, se compromete con el fomento de la cultura organizacional en
cuanto a seguridad de la información se refiere.
65
65
4.9 Directriz de Sanciones a las Infracciones sobre el SGSI
El pasar por alto las políticas e indicaciones que se establecen desde el SGSI acarreará
sanciones las cuales, en conjunto con la gerencia, el área jurídica y el área de administración
de personal deberán establecer el tipo de sanción según la falta que se cometa, éstas pueden
ser administrativas o incluso llegar hasta sanciones legales con las autoridades competentes.
4.10 Política de Uso de Hardware y Software
La política de uso de hardware y software comprende los lineamientos básicos bajo los cuales
los colaboradores se comprometen a hacer correcto uso de las herramientas tecnológicas que
la compañía dispone para el desarrollo de las labores. Esta política se describe en el Anexo 2.
Los funcionarios se comprometen a seguir las instrucciones de esta política firmando la carta
de compromiso descrita en el Anexo 3.
4.11 Carta de Compromiso
Como componente importante del proceso de inducción a personal nuevo, la política general
de uso de hardware y software de la compañía debe ser divulgada. Así mismo, esta política
siempre debe estar disponible en la red interna para consulta por parte de los funcionarios.
Finalmente, una vez la política sea divulgada, todos los funcionarios sin excepción deberán
firmar la carta de compromiso relacionada en el Anexo 3.
4.12 Acta de Entrega de Equipos
Tal como lo indica la política de acuerdo de uso de hardware y software, todo funcionario al
que le sean asignados equipos de cómputo y/o comunicaciones para el desarrollo de sus
funciones deberá firmar el acta de entrega de equipos de cómputo y comunicación (Ver Anexo
3) que lo compromete ante el cuidado de los equipos asignados.
4.13 Política de Eliminación y Desvinculación de Usuarios
El área de recursos humanos deberá notificar a todo el personal de la compañía la
desvinculación de algún funcionario, bien sea por renuncia o por despido. Por ende, el Área
de Tecnología:
Cambiará las contraseñas de todos los sistemas con los que esté relacionado el
funcionario.
Realizará copia de seguridad de la información manejada por el usuario.
Realizará una lista de chequeo al momento de recibir los equipos que se
encontraban asignados a dicho usuario para validar el buen estado de los mismos,
66
66
cualquier novedad será informada al área correspondiente para determinar la
responsabilidad del usuario sobre esta novedad.
4.14 Política de Gestión de Activos Tecnológicos
El Área de Tecnología deberá establecer un sistema que permita llevar un inventario
actualizado de todos los activos de hardware adquiridos por la compañía, así mismo se este
sistema deberá proporcionar información sobre ubicación, garantía, estado y responsable de
estos activos con el fin de tener un estricto control sobre este tipo de activos.
4.15 Política de Manejo de Información y Copias de Seguridad
Se deberá establecer un procedimiento en el cual los usuarios y el personal del área de
tecnología cumplan ciertas reglas en cuanto al manejo de la información, con el fin de
garantizar la disponibilidad, confidencialidad e integridad de la información.
Para tal efecto, se establecerá un sistema centralizado para el almacenamiento de la
información, en donde se deba salvar la información de las diferentes áreas de la compañía y
así poder controlar de manera unificada los permisos y accesos que se tienen sobre esta
información. Por otra parte, todos los funcionarios deberán tener claro que la información
contenida allí será la única que estará respaldada con copia de seguridad.
La infraestructura tecnológica necesaria para implementar el sistema de almacenamiento y
copias de seguridad deberá ser adquirida ya que en la actualidad no se cuenta con nada
relacionado con esto.
Las políticas anteriormente descritas y el SGSI en general estarán sujetos a modificaciones de
acuerdo con las necesidades del negocio y si se trata de certificación ISO 27001 se deberá
complementar lo que se ha definido anteriormente. La compañía deberá definir las políticas
que se consideren necesarias para complementar el Sistema de Gestión.
Debido a que el proyecto no busca definir todo el SGSI para la compañía Profesionales
Asociados LTDA, sino dar un paso inicial frente al establecimiento de un SGSI basado en el
documento de Fundamentos de Seguridad de la Información del NIST para pequeñas
empresas, a futuro la empresa deberá establecer mecanismos de protección de sus
instalaciones físicas, mecanismos de control de acceso, mecanismos de contratación y
selección de personal, documentos contractuales alineados con el SGSI y una serie de acciones
correctivas que se desprenden de la primera fase de este proyecto.
4.16 Política de vinculación de personal
Objetivo: establecer mecanismos de control para la vinculación de personal idóneo para las
vacantes disponibles en la compañía.
Alcance: esta política cobija todos los procesos de selección de personal temporal o directo
que la compañía requiera.
67
67
Generalidades: una vez abierta una vacante, se procederá a establecer el perfil y recursos con
los que contara dicho cargo. El perfil deberá establecerse basado en las habilidades,
experiencia y formación requeridos para dicha vacante; y los recursos serán las disposiciones
que tendrá la compañía para el candidato (Salario, ubicación de la vacante, recursos
adicionales (vehículos, equipos tecnológicos). Las condiciones laborales que se ofrezcan para
las vacantes irán de acuerdo con lo establecido por la ley laboral colombiana.
Para la selección del personal, es necesario:
Contar como mínimo con 3 candidatos que cumplan los requerimientos de la vacante.
El área de talento humano será responsable de realizar las entrevistas de personal
como primer filtro, en esta visita el candidato entregará la hoja de vida junto con los
soportes que evidencien su experiencia profesional, formación académica y
referencias laborales.
Si el candidato pasa el primer filtro, se procederá a una entrevista adicional con el jefe
del área para la cual se necesita cubrir la vacante, en esta misma oportunidad se
realizarán pruebas técnicas específicas del cargo.
El área de talento humano será el área encargada de constatar la información
suministrada por los candidatos (Experiencia, referencias y formación académica). La
información suministrada por los candidatos deberá ser 100% verificada, de lo
contrario el candidato será descartado.
En el caso que se requiera, la compañía establecerá la visita domiciliaria y/o sesión de
polígrafo como filtros adicionales dentro del proceso de selección.
Una vez seleccionado el candidato y toda vez que dicho candidato haya aceptado la propuesta,
se procederá con la vinculación del mismo a la compañía. Para el proceso de vinculación se
tendrá en cuenta lo establecido por la ley como lo son contrato laboral de trabajo, realización
de exámenes médicos, vinculación del trabajador a seguridad social y administradora de fondo
de pensiones (AFP).
Como parte final del proceso de vinculación a la compañía, todos los funcionarios nuevos y
todos aquellos antiguos funcionarios que requieran un reentrenamiento, deberán tomar una
inducción en la cual se les presente la compañía, sus políticas, sus procedimientos, los
derechos y deberes que tienen como colaboradores; también se deberá entregar físicamente a
cada funcionario la descripción de su cargo y el manual de funciones a cumplir. Este
procedimiento deberá quedar registrado en el formato de entrenamiento (ANEXO 6) y deberá
ser archivado físicamente en la hoja de vida del funcionario.
4.17 Política de Compras y gestión de Proveedores
Objetivo: establecer los procedimientos que aseguren la información que se comparte con
terceros. Por otro lado se busca controlar la cadena de suministro de insumos para la compañía
Alcance: esta política aplica a toda compra que se requiera en la compañía adaptándose de
manera efectiva a cada una de las necesidades.
68
68
Generalidades: el área de compras centralizará todos los procedimientos de compras de la
compañía con el fin de hacer un correcto seguimiento de proveedores y las compras en sí.
Para tal efecto, los procesos de compras deberán cumplir con lo siguiente:
Se tendrán presentes criterios de oportunidad, calidad y precio en cada una de las
cotizaciones recibidas para la selección del proveedor.
El área de compras deberá contar con 3 cotizaciones como mínimo del producto o
bien a adquirir para proceder con la selección de la mejor oferta.
Posteriormente, se realizará una evaluación preliminar del proveedor con el fin de
comprobar: Cumplimiento legal y normativo de la entidad, comportamiento ético,
prácticas sociales y ambientales; y finalmente el impacto que podrá tener dentro de la
compañía como proveedor.
Los trabajadores de la compañía no podrán ser proveedores.
Todas las compras deberán estar exentas de conflicto de intereses o dádivas para la
gestión de proveedores garantizando la transparencia del proceso.
Los proveedores nuevos deberán cumplir con la documentación requerida por el área
de compras para su vinculación.
69
69
CAPÍTULO V - CONTROLES ESTABLECIDOS PARA LAS POLÍTICAS Y
PROCEDIMIENTOS ANTERIORMENTE DISEÑADOS.
Estos controles que se presentan a continuación, se diseñan con el fin de dar cumplimiento a las
políticas diseñadas y la aplicabilidad que tienen los formatos diseñados para dar alcance a los
objetivos de control que establece la norma ISO 27001:2013 en su anexo A.
Tabla 10 - Controles aplicados a los numerales de la norma ISO 27001:2013 para la empresa Profesionales
Asociados LTDA
NUMERAL NOMBRE CONTROL
A5 POLÍTICAS DE SEGURIDAD DE
LA INFORMACIÓN
Se establece la Política de uso de Hardware y Software, la
cual debe ser divulgada a todos los trabajadores y se tiene
como formato de control la Carta de Compromiso que debe
ser diligenciada por todos los funcionarios de la compañía
A6
ORGANIZACIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
Se establece la definición de roles y responsabilidades dentro
del SGSI para todos los cargos administrativos de la compañía
A7 SEGURIDAD DE LOS
RECURSOS HUMANOS
Se establece la política de vinculación de personal. Allí se
tiene como control el registro de entrenamiento que debe ser
diligenciado por todos los funcionarios en su inducción de
personal
A8 GESTIÓN DE ACTIVOS Todos los activos físicos se encuentran rotulados con placa de
inventario con código de barras para el control.
A9 CONTROL DE ACCESO
Acceso físico: El edificio donde se encuentran ubicadas las
oficinas cuenta con vigilancia privada y se tiene como un
primer filtro para el acceso de visitantes. En la recepción de
las oficinas se cuenta con una planilla de control de visitantes
para tener el registro de todos las personas que ingresan a las
instalaciones
Acceso lógico: El área de tecnología tiene establecidos los
perfiles de acceso para Internet e intranet. Todo cambio de
perfil o de permisos debe ser solicitado por escrito.
A10 CRIPTOGRAFÍA
Los controles criptográficos se encuentran establecidos en el
UTM de la compañía cifrando todas las comunicaciones
internas y externas. Las bases de datos de los sistemas de
información se encuentran cifradas de tal manera que no
pueden ser usadas sin la llave de seguridad
A11 SEGURIDAD FISICA Y DEL
ENTORNO
La compañía tiene establecidos sus perímetros físicos dentro
de las instalaciones, la seguridad privada proveída por la
administración del edificio se encarga de proveer el primer
filtro de seguridad en las instalaciones
A12 SEGURIDAD DE LAS
OPERACIONES
La compañía cuenta con sistema de gestión de calidad en el
cual se le da cumplimiento a las normativas de Seguridad y
Salud en el Trabajo
70
70
NUMERAL NOMBRE CONTROL
A13 SEGURIDAD DE LAS
COMUNICACIONES
Las comunicaciones dentro de la compañía se encuentran
controladas a través del UTM, los dispositivos móviles se
encuentran encriptados ya que estos son más susceptibles a
hurto o daño
A14
ADQUISICION, DESARROLLO
Y MANTENIMIENTO DE
SISTEMAS
La compañía no desarrolla aplicaciones, sin embargo, las
aplicaciones adquiridas para los sistemas de información se
encuentran soportados con sus fabricantes mediante contrato
de soporte. Las copias de seguridad de estos sistemas son
administrados por el área de tecnología de manera diaria
A15 RELACION CON LOS
PROVEEDORES Se establece la política de compras y gestión de proveedores
A16
GESTION DE INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
Gracias a la definición de roles y responsabilidades, todos los
funcionarios de la compañía están comprometidos a reportar
de manera activa cualquier incidente de seguridad dentro del
SGSI
A17
ASPECTOS DE SEGURIDAD DE
LA INFORMACIÓN DE
CONTINUIDAD DEL NEGOCIO
Las copias de seguridad de todos los sistemas y la información
contenida en los equipos de cómputo son gestionadas de
manera diaria. Lo que permite que se le pueda dar oportuna
respuesta a incidentes o recuperación de desastres
A18 CUMPLIMIENTO
La compañía se rige mediante las normativas legales vigentes.
Las auditorías establecidas para el Sistema de Gestión de
Calidad se deberán extender a los procesos que cobije el SGSI
con el fin de realizar todos los ajustes necesarios al sistema.
En este punto, la organización debe establecer métodos de control para el monitoreo de las políticas
y procedimientos. Dentro de la metodología PHVA se establece la parte de Verificar la cual
consiste en dichos procedimientos de control con el objetivo de identificar oportunidades de
mejora en el SGSI y la compañía en general.
Por tal motivo y para dar un estricto cumplimiento a las políticas y procedimientos se deben
establecer auditorías internas y externas con una periodicidad anual como mínimo. Estas auditorías
pueden alternar entre internas y externas de acuerdo a la necesidad de la compañía.
El alcance de dichas auditorías tendrá la obligación de verificar los 18 numerales del anexo A de
la norma ISO 27001 y los 114 controles que allí se enumeran.
Las auditorías internas deben realizarse de la manera más objetiva posible, sólo así se podrá
evidenciar el correcto cumplimiento del Sistema. Las acciones de mejora u observaciones
desprendidas de las auditorías, deberán implementarse lo antes posible y por su puesto tener la
evidencia de ello.
71
71
CAPÍTULO VI - SIMULACIÓN DE LA SOLUCIÓN
El objetivo principal de este proyecto consistió en sensibilizar a las pequeñas y emergentes
compañías frente a la importancia de tomar la seguridad de la información como un factor clave
en el desarrollo del negocio y los beneficios en el mediano plazo que generará la implantación de
un Sistema de Gestión de la Seguridad de la Información.
Adicionalmente, es muy común pensar que la información únicamente se puede asegurar
realizando una inversión importante en hardware lo cual no es del todo cierto. Un Sistema de
Seguridad puede generar garantías únicamente estableciendo procedimientos y controles como los
que se pueden desprender de la norma ISO 27001:2013 como se evidencia con el caso estudio de
Profesionales Asociados LTDA.
A continuación se relaciona la información generada para el ejercicio de Profesionales Asociados
LTDA y los resultados esperados realizando los ajustes sugeridos:
Al realizar el ejercicio de levantamiento de inventario de información y evaluación de los riesgos
para este inventario, se logró evidenciar que cerca del 80% de los activos de información se
encuentran dentro de los cuadrantes donde se debe realizar alguna acción de prevención o
corrección (Prioridad1, Pioridad2 o Prioridad3) de la siguiente tabla 12.
Tabla 11 - Acciones a realizar sobre activos de información
Realizando el acercamiento al SGSI con los procedimientos y políticas diseñados luego de la
evaluación de riesgos de los activos de información, además de atenuar la probabilidad de
ocurrencia de un evento de seguridad; se busca que la compañía continúe con el desarrollo del
SGSI dada la importancia de la información recolectada. Del mismo modo, la compañía tendrá
que iniciar la fase de implementación del SGSI lo cual permitirá que este 80% de los activos de
información que se encuentran bajo algún tipo de riesgo, su nivel de exposición disminuya a la
mínima expresión que permita una armonía de la información con los procesos y objetivos de la
compañía.
ALTO
PRIORIDAD 3 - PROGRAMAR UNA
SOLUCIÓN. ENFOQUE EN
RESPONDER Y RECUPERAR
SOLUCIONES
PRIORIDAD 1 - IMPLEMENTAR
INMEDIATAMENTE UNA SOLUCIÓN.
ENFOQUE EN DETECTAR Y
PROTEGER SOLUCIONES
BAJO SIN ACCIÓN NECESARIA
PRIORIDAD 2 - PROGRAMAR UNA
SOLUCIÓN. ENFOQUE EN DETECTAR
Y PROTEGER UNA SOLUCIÓN
BAJO ALTO
IMPACTO
PROBABILIDAD
72
72
Por otra parte, de acuerdo al compromiso de la dirección de otorgar los recursos necesarios para
que el desarrollo del SGSI se deberían realizar los siguientes ajustes técnicos y no técnicos dentro
de la organización:
La información que se encuentra en físico al ser digitalizada proporcionará una mayor
disponibilidad de la misma cuando sea requerida, además podrá ser respaldada de manera más
sencilla en medios físicos externos cuidando la cadena de custodia de estas copias de seguridad.
La documentación original en físico deberá ser custodiada por compañías especializadas que
garanticen la confidencialidad de la misma.
En temas de infraestructura tecnológica aplicando las recomendaciones realizadas, se aumentará
la seguridad perimetral y se aumentará la disponibilidad de distintos servicios ya que actualmente
la red LAN se encuentra expuesta por el NVR del CCTV que se encuentra publicado directamente
sobre Internet. Adicionalmente, al tener un canal de Internet de respaldo y UTM configurados en
alta disponibilidad, la probabilidad de quedar sin servicios como Internet, Correo Electrónico,
servicios LAN, entre otros disminuye notoriamente. Es importante aclarar que en la infraestructura
recomendada se debe contemplar una UPS que permita tener un tiempo prudente para que los
usuarios no pierdan la información trabajada y para evitar daños futuros sobre el hardware de la
compañía.
Ilustración 8- INFRAESTRUCTURA ACTUAL PROFESIONALES ASOCIADOS LTDA (Fuente Propia)
73
73
Ilustración 9- INFRAESTRUCTURA SUGERIDA PARA PROFESIONALES ASOCIADOS LTDA (Fuente propia)
Se estima que la inversión en infraestructura tecnológica para Profesionales Asociados LTDA
oscile entre los $ 40.000.000.
Finalmente, pero no menos importante; el resultado más importante que se espera con la aplicación
de estas recomendaciones es que surja una cultura de la Seguridad de la Información en la
compañía y en todas las PYMES a las cuales se pueda extender este proyecto. La documentación
(Políticas, Formatos, Procedimientos) aquí desarrollada puede aplicar para cualquier tipo de
compañía y permitirá ejercer un control amplio sobre lo realmente importante para la compañía.
Así mismo, todos los stakeholders conocerán oportunamente todas las condiciones que se tendrán
al trabajar con dicha compañía.
Todo esto generará mayor confianza y compromiso sobre estas compañías ya que el hecho de
dedicar una inversión de tiempo y de recursos a desarrollar un SGSI, y por qué no, una futura
certificación; hará que las compañías se mantengan competitivas con el tiempo e incluso se genere
la apertura de nuevas oportunidades de negocios y el fortalecimiento de los existentes,
proporcionando en el mediano plazo un retorno de la inversión realizada.
En conclusión, se espera que las compañías sean más competitivas, se mantengan en el tiempo, la
sociedad tenga conciencia de Seguridad de la Información haciendo cada vez más fuerte las labores
74
74
de las PYMES en Colombia quienes son las que generan gran parte del empleo, gran parte del PIB
y además de esto están llamadas a competir frente a empresas gigantescas.
Costos estimados de implementación para Profesionales Asociados Ltda
Los costos de implementación de un proyecto como lo es un SGSI pueden variar de acuerdo a cada
compañía debido a que algunas compañías tienen procesos más definidos y estructurados que
otras, unas empresas tienen culturas organizacionales respecto a Seguridad de la Información más
definidas que otras, algunas empresas cuentan con infraestructura física y tecnológica más robustas
que otras. Todas estas variables generarán costos de implementación distintos y a continuación se
estimarán los costos de implementación que tendría en caso de negocio para Profesionales
Asociados LTDA.
Tabla 12 - Costos estimados de implementación del SGSI para Profesionales Asociados LTDA.
RECURSO OBSERVACIONES VALOR (PESOS COP)
Tiempo estimado de
ejecución.
Tiempo de levantamiento de
información, clasificación y
establecimiento de controles
para la implementación del
SGSI para Profesionales
Asociados LTDA,
considerando la
infraestructura y procesos
actuales
8 Meses
Humano
Consultoría o contratación de
personal idóneo (Gerente de
proyecto ISO 27001) para las
tareas que requiere el SGSI
$ 3’000.000 / mes
Tecnológico
Adquisición de sistemas y
dispositivos para dar
cumplimiento a las
necesidades evidenciadas por
el levantamiento de
información para el SGSI.
Incluye licenciamiento de
software.
$ 20’000.000
COSTOS TOTALES ESTIMADOS $ 44’000.000
Si bien, la suma presentada en la anterior tabla es una suma considerable, si se tiene en cuenta el
retorno de la inversión o la relación costo – beneficio, es una suma baja que se va a traducir en
75
75
mayor competitividad, mayor confianza con clientes y proveedores lo cual se puede traducir en
nuevos negocios y crecimiento de la compañía.
Adicionalmente, contar con un acercamiento a un SGSI cuando la compañía es pequeña o mediana,
garantiza el establecimiento de una cultura organizacional frente al tema de la seguridad de la
información y, por consiguiente crecer manteniendo estas políticas va a ser mucho más sencillo
que empezar a trabajar en esto cuando la empresa ya es más grande.
En Colombia, el porcentaje de inversión en innovación es aproximadamente inferior al 2% de los
ingresos. Pero es un hecho que las empresas que logran crecer más rápido, invierten a tasas muy
superiores. (La República, 2018)
De acuerdo al enunciado anterior, es claro que los costos que derivan del establecimiento de un
SGSI en una PYME tienen un retorno de inversión positivo y en el corto plazo, lo cual hace que
la inversión (que en su mayoría puede ser en infraestructura tecnológica) sea considerada como
baja versus los beneficios que esta traería a las compañías.
76
76
CONCLUSIONES
La seguridad de la información es un tema bastante amplio y abordarlo de manera oportuna
y minuciosa permite a las compañías asegurar su activo más importante, lo cual hace más
fácil el establecimiento de una cultura de seguridad y permite un crecimiento sostenido de
las compañías. Asimismo, establecer un Sistema de Gestión de la Seguridad de la
Información cuando las compañías son pequeñas permite asegurar la empresa, abrirle la
puerta a una futura certificación en Seguridad de la Información y el sistema de gestión
crecerá de manera mancomunada con los procesos de la compañía.
Los documentos referenciados en este trabajo, son sólo una pequeña parte de las ayudas
que se pueden tener frente al establecimiento de un Sistema de Gestión de la Seguridad de
la Información lo cual indica que el tema de seguridad de la información tiene un nivel de
madurez e importancia a nivel mundial al que cada vez más compañías buscan adherirse.
El proceso de identificación de riesgos evidenció que Profesionales Asociados LTDA se
encuentra expuesta a amenazas que no se conocían lo que permitirá que se generen las
medidas necesarias para mitigar estos riesgos.
La evaluación de la aplicabilidad de controles ISO 27001 comprobó que la compañía
Profesionales Asociados LTDA aún no se encuentra preparada para un proceso de
certificación, y a su vez alerta a la compañía para enfocar los esfuerzos en establecer y
mejorar los procesos relacionados con la seguridad de la información.
Profesionales Asociados LTDA, a pesar de llevar casi 18 años en la industria de la
ingeniería civil y no haber presentado ningún incidente grave de seguridad, actualmente se
encuentra expuesta a riesgos para los cuales no tiene definida una metodología para la
gestión de los mismos; exponiendo así su integridad corporativa y la posibilidad de seguir
creciendo competitivamente. La implementación del sistema de seguridad debería
convertirse en una prioridad para la compañía.
77
77
RECOMENDACIONES
La efectiva implementación de lo expuesto en el presente proyecto y el éxito en la
implementación de un SGSI es recomendable:
Que la dirección tenga el compromiso requerido con la seguridad de la información,
entregado los recursos y espacios necesarios para el desarrollo del proyecto. Es
fundamental el apoyo de la dirección para el éxito del desarrollo de un SGSI, debido
a que esto implica un cambio estructural, cultural dentro de las organizaciones y la
dirección es la única con autoridad para llevar adelante el proyecto.
Evaluar cada compañía de manera individual: a pesar que las normas en las cuales
se basó esta investigación están diseñadas de manera universal, y este documento
se diseñó de tal manera que el core del negocio no sea relevante a la hora de
estudiarlo; cada compañía tiene su cultura organizacional, su filosofía y su forma
de hacer las cosas. Por tal motivo, es recomendable dedicarle todo el esfuerzo a
cada compañía individualmente.
Definir correctamente el alcance: si la organización cuenta con un Sistema de
Gestión de Calidad, es probable que ya se tengan definidos los procesos vitales de
la compañía a los cuales se les puede dar alcance con el SGSI. Es importante
estudiar detalladamente cuáles procesos harán parte del SGSI con el fin de
concentrar los esfuerzos en dichos procesos y, de ser necesario, ir ampliando el
alcance de manera progresiva.
Medir el desempeño del SGSI: en el estándar ISO 27004 se encuentra una guía para
medir el desempeño de un SGSI. Se debe definir la periodicidad con la cual se hará
esta medición mediante el ciclo PHVA (Planear, Hacer, Verificar y Actuar).
Comprometer a toda la organización: como se ha mencionado anteriormente, el
éxito de un SGSI no depende sólo de los administradores de tecnología, o de los
gerentes de las compañías. Esta es una labor que depende de todos y por tal motivo
la organización debe desarrollar estrategias para comprometer y crear la cultura en
todos los colaboradores sobre Seguridad de la Información.
78
78
BIBLIOGRAFIA
ALMANZA, Andrés. “Encuesta nacional de seguridad informática. Desafíos de la cuarta
revolución industrial”. 2017. Disponible en línea:
http://acis.org.co/revista143/content/encuesta-nacional-de-seguridad-
inform%C3%A1tica-2017
ANKAMA. “¿Qué es un Log?”. Disponible en línea:
https://support.ankama.com/hc/es/articles/203790076--Qu%C3%A9-es-un-log-
ARDILA, Julián. “Diseño de un Sistema de Gestión de Seguridad de la Información
(SGSI) basado en la norma ISO/IEC 27001 para Positiva Compañía de Seguros S.A. en la
ciudad de Bogotá”. 2016. Disponible en línea:
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/11980/1/79218306
CARBAJO, A. “WPA, WEP… Comprendiendo conceptos para tener una red WiFi lo más
segura posible”. 2013. Disponible en línea: https://www.nobbot.com/servicios-en-la-
red/wpa-wep-comprendiendo-conceptos-para-tener-una-red-wifi-lo-mas-segura-posible/
CASTAÑARES, Itzel. “Sectores Financiero y Retail, los que más invierten en
Ciberseguridad”. Agosto de 2017. Disponible en línea:
http://www.elfinanciero.com.mx/empresas/sectores-financiero-y-retail-los-que-invierten-
mas-en-ciberseguridad.html
DELL. “Encriptación de sus datos personales”. Disponible en línea:
http://www.dell.com/learn/pe/es/pecorp1/policies-personal-data-encryption
DELL. “Lo que usted necesita saber sobre routers y switches”. 2012. Disponible en línea:
https://www.cisco.com/c/dam/global/es_mx/assets/ofertas/desconectadosanonimos/routin
g/pdfs/brochure_redes.pdf
GARCÍA, Paola. “Principales novedades de la ISO 27001 / ISO 27002”. Noviembre de
2013. Disponible en línea:
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Novedades%2
0de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf
GÓMEZ Vieites, Á., & Suárez Rey, C. “Sistemas de Información. Herramientas prácticas
para la gestión empresarial”. 2012.
GÓMEZ, Ana. “Ataques de ingeniería social: qué son y cómo evitarlos”. 2018. Disponible
en línea: https://www.bbva.com/es/ataques-ingenieria-social-evitarlos/
International Organization for Standardization (ISO), “ISO/IEC 27001 - Information
Technology”. 2013
International Organization for Standardization (ISO). “ISO/IEC TR 13335-5 – Information
79
79
Technology – Guidelines for the management of IT Security. Parte 3: Técnicas para la
administración de la seguridad de TI”. 1988
KASPERSKY. “¿Qué son exactamente las VPN?”. 2016. Disponible en línea:
https://latam.kaspersky.com/blog/vpn-explained/6569/
La República (2018). “¿Por qué las PYMES deben invertir en tecnología?”. Disponible en
línea: https://www.larepublica.co/especiales/especial-pyme/por-que-las-pymes-deben-
invertir-en-tecnologia-2738346
LEY 905, Página oficial Superintendencia Nacional, Bogotá, Colombia. Agosto de 2004.
MENESES, Alexander. MERCHÁN, María. RAMÍREZ, Erney. SUÁREZ, Yaditza.
“Diseño del Sistema de Gestión de la Seguridad de la Información SGSI basado en el
estándar ISO 27001, para los procesos soportados por el área de sistemas en la Cámara
de Comercio de Aguachica, Cesár”. Octubre de 2016. Disponible en línea:
http://repositorio.ufpso.edu.co:8080/dspaceufpso/bitstream/123456789/1434/1/29635.pdf
Ministerio de Tecnologías de la información y las Comunicaciones. “Modelo de Seguridad
y Privacidad de la Información”. 2016.
ONTORIA, Sandra. “Gobierno y modelado de la seguridad de la información en las
organizaciones”. 2011. Disponible en línea: https://e-
archivo.uc3m.es/handle/10016/11898#preview
PANDA. “Spam: La relación entre el correo electrónico no deseado (spam) y las prácticas
delictivas a través de Internet es cada vez más estrecha.”. Disponible en línea:
https://www.pandasecurity.com/peru/homeusers/security-info/cybercrime/spam/
PAULCEN, Celia. TOTH, Patricia. “Small Business Information Security: The
Fundamentals”. Noviembre de 2016. Disponible en:
http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.7621r1.pdf
PEÑA, Alicia. “Diseño de un modelo de gestión de seguridad de información digital para
la Secretaría General de la Escuela Tecnológica Instituto Técnico Central”. 2016.
Disponible en línea:
http://repository.lasalle.edu.co/bitstream/handle/10185/20837/33081276_2016.pdf?seque
nce=1
Revista Dinero (2016). “Mypymes generan alrededor del 67% del empleo en Colombia”.
Disponible en línea: http://www.dinero.com/edicion-impresa/pymes/articulo/evolucion-y-
situacion-actual-de-las-mipymes-en-colombia/222395
Revista Dinero (2016). “Pymes contribuyen con más del 80% del empleo en Colombia”.
Disponible en línea: http://www.dinero.com/edicion-impresa/caratula/articulo/porcentaje-
y-contribucion-de-las-pymes-en-colombia/231854
80
80
SALCEDO, Robin. “Plan de implementación del SGSI basado en la norma ISO
27001:2013”. Diciembre de 2014. Disponible en línea:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214mem
oria.pdf
TREND MICRO. “Website Defacement”. Disponible en línea:
https://www.trendmicro.com/vinfo/us/security/definition/website-defacement
TUTORIALS POINT. “Cryptography Tutorial – AES”. Disponible en línea:
https://www.tutorialspoint.com/cryptography/advanced_encryption_standard.htm
81
81
ANEXOS
ANEXO1 – DECLARACIÓN DE APLICABILIDAD DE CONTROLES ISO 27001 PARA
LA EMPRESA PROFESIONALES ASOCIADOS LTDA.
Tabla 13 - Declaración de Aplicabilidad Anexo A - ISO 27001-2013
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
A 5.1 ORIENTACIÓN DE LA
DIRECCIÓN PARA LA
GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
A 5.1.1 POLÍTICAS PARA
LA SEGURIDAD DE LA
INFORMACIÓN
SI
Debido a que actualmente la
compañía no cuenta con un
Sistema de Gestión de la
Seguridad de la Información,
no se encuentra definida una
política de seguridad de la
información la cual se pueda
revisar y actualizar. Se define
documento “Política de uso de
Hardware y Software”, el cual
deberá ser avalado por la
dirección para su
implementación a nivel
general.
A 5.1.2 REVISIÓN DE LAS
POLÍTICAS PARA LA
SEGURIDAD DE LA
INFORMACIÓN
NO
Una vez se establezca la
política, se debe formalizar el
debido seguimiento con
periodicidad y control de
cambios. Se sugiere que esta
revisión se realice
semestralmente e
inmediatamente cuando
ocurran cambios.
A 6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A 6.1 ORGANIZACIÓN
INTERNA
A 6.1.1 ROLES Y
RESPONSABILIDADES
PARA LA SEGURIDAD DE
LA INFORMACIÓN
NO
La compañía actualmente no ha
establecido los roles que
intervendrán en el
establecimiento del SGSI y que
como tal no cuenta con un área
de tecnología establecida que
apoye los temas técnicos del
SGSI. Se debe seleccionar
personal altamente calificado
que sirva de apoyo para el
establecimiento y
mantenimiento del SGSI.
A 6.1.2 SEPARACIÓN DE
DEBERES NO
82
82
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 6.1.3 CONTACTO CON
LAS AUTORIDADES SI
La compañía se rige por la
normatividad legal vigente
colombiana. Por tal motivo,
también la cobijan las
autoridades pertinentes
A 6.1.4 CONTACTO CON
GRUPOS DE INTERÉS NO
La gestión de proyectos se
encuentra cubierta bajo el
Sistema de Gestión de calidad,
pero en temas de seguridad de
la información no tiene
consideraciones especiales
A 6.1.5 SEGURIDAD DE LA
INFORMACIÓN EN LA
GESTIÓN DE PROYECTOS
NO
A 6.2 DISPOSITIVOS
MÓVILES Y
TELETRABAJO
A 6.2.1 POLÍTICA PARA
DISPOSITIVOS MÓVILES NO
No se encuentra definida una
política que comprometa a los
usuarios de dispositivos
corporativos a mantener la
confidencialidad,
disponibilidad e integridad de
la información contenida en
estos dispositivos. Se da
alcance al uso de dispositivos
móviles en el Anexo 1 –
Política de uso de hardware y
software
A 6.2.2 TELETRABAJO SÍ
A pesar que los equipos
portátiles actualmente no se
encuentran controlados a nivel
de seguridad para trabajar fuera
de las instalaciones de la
compañía, se permite
abiertamente el uso de los
recursos a nivel de teletrabajo
A 7 SEGURIDAD DE LOS RECURSOS
A 7.1 ANTES DE ASUMIR
EL EMPLEO A 7.1.1 SELECCIÓN SÍ
Los filtros de selección de
personal de la se encuentran
estructurados de tal manera que
no sólo se selecciona el
personal idóneo para las
funciones requeridas en temas
de competencias profesionales
y humanas, sino que también se
realizan filtros de seguridad
como lo son: visitas
domiciliarias, verificación de
antecedentes y temas de
referenciación
83
83
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 7.1.2 TÉRMINOS DE
CONDICIONES DE EMPLEO SÍ
Mediante el contrato laboral, se
establecen las condiciones
tanto para el empleador como
para el empleado, teniendo en
cuenta temas de
confidencialidad. Sin embargo,
en temas de seguridad de la
información, debido a que no
hay una política establecida ni
un compromiso formal, no se
tiene alcance por el momento.
Se debe complementar
contractualmente en temas de
compromiso, sanciones y
demás relacionados con
seguridad de la información
A 7.2 DURANTE LA
EJECUCIÓN DEL EMPLEO
A 7.2.1
RESPONSABILIDADES DE
LA DIRECCIÓN
NO
La política no se encuentra
definida, por tal motivo, la
dirección no puede
comprometer a los terceros a
cumplirla. La política se define
en el Anexo 1 y se
responsabiliza a todos los
colaboradores mediante la
carta de compromiso descrita
en el Anexo 2
A 7.2.2 TOMA DE
CONCIENCIA,
EDUCACIÓN Y
FORMACIÓN EN
SEGURIDAD DE LA
INFORMACIÓN
NO
Los planes de formación para
empleados, contratistas,
usuarios y cualquier tercero
deben estar contemplados
dentro de los procesos de
establecimiento y monitoreo
del SGSI.
A 7.2.3 PROCESO
DISCIPLINARIO SÍ
Contractualmente se tienen
establecidas las sanciones
internas y legales que pueda
tener cualquier tipo de
comportamiento no adecuado
durante la ejecución de las
funciones. Sin embargo, como
anteriormente se mencionó, la
seguridad de la información no
se encuentra cubierta por estas
sanciones y es necesario
ampliar el alcance dentro del
SGSI.
A 7.3 TERMINACIÓN Y
CAMBIO DE EMPLEO
A 7.3.1 TERMINACIÓN O
CAMBIO DE
RESPONSABILIDADES DE
EMPLEO
SÍ
Se tienen establecidos
procedimientos de
desvinculación de terceros.
A 8 GESTIÓN DE ACTIVOS
84
84
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 8.1 RESPONSABILIDAD
POR LOS ACTIVOS
A 8.1.1 INVENTARIO DE
LOS ACTIVOS NO
No se tiene un inventario de
activos de información, no hay
una política de uso adecuado de
los activos y no se ha
establecido un procedimiento
de devolución de activos. La
propiedad de los activos si bien
es de la compañía, durante la
ejecución de las funciones, los
funcionarios mediante un acta
de entrega son los directos
responsables de los activos
asignados para dichas
funciones
A 8.1.2 PROPIEDAD DE LOS
ACTIVOS SÍ
A 8.1.3 USO ACEPTABLE
DE LOS ACTIVOS NO
A 8.1.4 DEVOLUCIÓN DE
LOS ACTIVOS NO
A 8.2 CLASIFICACIÓN DE
LA INFORMACIÓN
A 8.2.1 CLASIFICACIÓN DE
LA INFORMACIÓN SÍ
La información digital y física
se encuentra debidamente
clasificada y etiquetada por
departamentos o áreas.
A 8.2.2 ETIQUETADO DE
LA INFORMACIÓN SÍ
A 8.2.3 MANEJO DE
ACTIVOS NO
No existe una política de
manejo de activos, se debe
establecer. Se establece la
política de uso de hardware y
software (Anexo 1) donde se
definen los lineamientos para el
uso de equipos de cómputo,
dispositivos móviles y demás
equipos tecnológicos.
A 8.3 MANEJO DE MEDIOS A 8.3.1 GESTIÓN DE
MEDIOS REMOVIBLES NO
Actualmente los medios
removibles son libremente
usados, se tienen controles
antivirus pero no se cuenta con
controles que prevengan la
fuga de información. Se define
política de uso de hardware y
software (Anexo 1) dando
alcance a la gestión de
dispositivos móviles y
removibles
A 8.3.2 DISPOSICIÓN DE
LOS MEDIOS NO
No se cuenta con un
procedimiento de disposición
final de medios físicos
referentes activos de
información. Se deberá
construir de manera
mancomunada con el área de
Salud y Seguridad en el
Trabajo y el área de T.I. los
procedimientos seguros para la
eliminación de información y
la selección de proveedores que
85
85
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
alineados con la normatividad
vigente, puedan realizar la
disposición final de equipos
obsoletos y generar los debidos
certificados
A 8.3.3 TRANSFERENCIA
DE LOS MEDIOS FÍSICOS NO
Las copias de información
contenida en medios físicos no
se encuentra controlada. Se
establece mediante política de
dominio el bloqueo de
unidades ópticas y puertos para
evitar la fuga no controlada de
información.
A 9 CONTROL DE ACCESO
A 9.1 REQUISITOS DEL
NEGOCIO PARA CONTROL
DE ACCESO
A 9.1.1 POLÍTICA DE
CONTROL DE ACCESO NO
Si bien los accesos a la
información digital se
encuentra controlada mediante
perfiles de acceso, no se cuenta
con una política que prevenga
acciones malintencionadas. Se
define política de uso de
hardware y software (Anexo 1)
A 9.1.2 ACCESO A REDES Y
SERVICIOS EN LA RED SÍ
La red corporativa se encuentra
configurada de tal manera que
es utilizada únicamente para el
desarrollo del negocio de todos
los funcionarios. Se encuentran
disponibles redes físicamente
independientes a las cuales son
conectados usuarios invitados
y dispositivos no corporativos
A 9.2 GESTIÓN DE ACCESO
A USUARIOS
A 9.2.1 REGISTRO Y
CANCELACIÓN DEL
REGISTRO DE USUARIOS
SÍ
Existe una lista de chequeo, la
cual exige revisar cada uno de
los sistemas en los cuales
pueden estar creados los
usuarios que se están retirando
para evitar dejar algún acceso
habilitado. Inicialmente se
cambian contraseñas y
posteriormente se deshabilitan
dichos usuarios
A 9.2.3 GESTIÓN DE
DERECHOS DE ACCESO
PRIVILEGIADO
NO
No se cuenta con un
procedimiento de gestión de
acceso para usuarios. Se debe
establecer dicho procedimiento
para dejar documentadas las
solicitudes de otorgamiento,
restricción o baja de privilegios
para determinados usuarios. Se
A 9.2.4 GESTIÓN DE LA
INFORMACIÓN DE
AUTENTICACIÓN
NO
86
86
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
SECRETA DE LOS
USUARIOS
define política de hardware y
software (Anexo 1)
A 9.2.5 REVISIÓN DE LOS
DERECHOS DE ACCESO DE
LOS USUARIOS
NO
A 9.2.6 RETIRO O AJUSTE
DE LOS DERECHOS DE
ACCESO
NO
A 9.3 RESPONSABILIDAD
DE LOS USUARIOS
A 9.3.1 USO DE
AUTENTICACIÓN DE
INFORMACIÓN SECRETA
NO
No se cuenta con un
procedimiento que
comprometa a los usuarios a
manejar debidamente la
información secreta o
confidencial
A 9.4 CONTROL DE
ACCESO A SISTEMAS Y
APLICACIONES
A 9.4.1 RESTRICCIÓN DE
ACCESO A LA
INFORMACIÓN
SÍ
El acceso a aplicaciones,
sistemas de información y
sistemas operativos, se
encuentra controlado mediante
perfiles de usuario y
contraseñas con niveles de
complejidad establecidos. Las
contraseñas deben ser
cambiadas cada 30 días o cada
que el usuario lo considere
conveniente
A 9.4.2 PROCEDIMIENTO
DE INGRESO SEGURO NO
A 9.4.3 SISTEMA DE
GESTIÓN DE
CONTRASEÑAS
SÍ
A 9.4.4 USO DE
PROGRAMAS
UTILITARIOS
PRIVILEGIADOS
SÍ
A 9.4.5 CONTROL DE
ACCESO A CÓDIGO
FUENTE DE PROGRAMAS
NO
A 10 CRIPTOGRAFÍA
A 10.1 CONTROLES
CRIPTOGRÁFICOS
A 10.1.1 POLÍTICA SOBRE
USO DE CONTROLES
CRIPTOGRÁFICOS
NO
Los sistemas con los que cuenta
la compañía cuentan con
seguridad criptográfica
embebida la cual es
administrada y actualizada por
los proveedores de los
sistemas. Los usuarios no
entran en contacto con este tipo
de información. En la política
de uso de hardware y software
(Anexo 1) se define el uso de
conexiones remotas (VPN) que
contiene llaves privadas para el
acceso a información contenida
en la infraestructura interna de
la compañía.
A 10. 1.2 GESTIÓN DE
LLAVES NO
A 11 SEGURIDAD FÍSICA DEL ENTORNO
A 11.1 ÁREAS SEGURAS A 11.1.1 PERÍMETRO DE
SEGURIDAD FÍSICA SÍ
La compañía se encuentra
ubicada en un edificio el cual es
custodiado permanente por
seguridad privada y sólo se
A 11.1.2 CONTROLES DE
ACCESO FÍSICOS SÍ
87
87
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 11.1.3 SEGURIDAD DE
OFICINAS RECINTOS E
INSTALACIONES
NO
permite el acceso a
funcionarios y externos
debidamente autorizados e
identificados. En cuanto a
amenazas ambientales, las
certificaciones del sistema de
gestión referentes a calidad,
contemplan estos riesgos y
tienen los procedimientos para
la mitigación de los mismos
A 11.1.4 PROTECCIÓN
CONTRA AMENAZAS
EXTERNAS Y
AMBIENTALES
SÍ
A 11.1.5 TRABAJO EN
ÁREAS SEGURAS SÍ
A 11.1.6 AREAS DE
DESPACHO Y CARGA NO
A 11.2 EQUIPOS
A 11.2.1 UBICACIÓN Y
PROTECCIÓN DE LOS
EQUIPOS
NO
La compañía no cuenta con
unas instalaciones lo
suficientemente amplias para
contar con las normas
adecuadas en cuanto a rack de
comunicaciones y respaldo de
los dispositivos de
infraestructura. Los equipos
cuentan con conexión de fluído
eléctrico regulado pero las
instalaciones no cuentan con un
respaldo eléctrico en caso de
cortes de energía, lo cual no
daría continuidad a las
operaciones si un evento de
estos ocurre. Dentro del
Sistema de Calidad se cuenta
con el procedimiento de
mantenimiento de equipos de
cómputo que tiene una
periodicidad semestral y cubre
todos los equipos de cómputo
de la compañía,
adicionalmente, el sistema de
calidad realiza campañas de
concientización a los usuarios
sobre áreas de trabajo óptimas
para trabajar cómodamente. No
se cuenta con un procedimiento
para la disposición final de los
equipos.
A 11.2.2 SERVICIOS DE
SUMINISTRO NO
A 11.2.3 SEGURIDAD EN EL
CABLEADO NO
A 11.2.4 MANTENIMIENTO
DE EQUIPOS Sí
A 11.2.5 RETIRO DE
ACTIVOS NO
A 11.2.6 SEGURIDAD DE
EQUIPOS Y ACTIVOS
FUERA DE LAS
INSTALACIONES
NO
A 11.2.7 DISPOSICIÓN
SEGURA O
REUTILIZACIÓN DE LOS
EQUIPOS
NO
A 11.2.8 EQUIPOS DE
USUARIO DESATENDIDO NO
A 11.2.9 POLÍTICA DE
ESCRITORIO LIMPIO Y
PANTALLA LIMPIA
SÍ
A 12 SEGURIDAD DE LAS OPERACIONES
A 12.1 PROCEDIMIENTOS
OPERACIONALES Y
RESPONSABILIDADES
A 12.1.1 PROCEDIMIENTOS
DE OPERACIÓN
DOCUMENTADOS
NO El sistema de gestión de calidad
exige documentación sobre los
procesos de la compañía, pero
no existe una amplia
documentación sobre las
funciones de los cargos de los
funcionarios. No existe un
A 12.1.2 GESTIÓN DE
CAMBIOS SÍ
A 12.1.3 GESTIÓN DE
CAPACIDAD NO
88
88
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 12.1.4 SEPARACIÓN DE
LOS AMBIENTES DE
PRUEBAS Y OPERACIÓN
NO
manual de funciones detallado
para entender la operación. Los
recursos de la compañía en
ocasiones son asignados de
manera reactiva sin realizar un
seguimiento a los mismos. Se
debe definir con el área de
calidad los procedimientos
complementarios para el SGSI.
A 12.2 PROTECCIÓN
CONTRA CÓDIGOS
MALICIOSOS
A 12.2.1 CONTROLES
CONTRA CÓDIGOS
MALICIOSOS
SÍ
La compañía cuenta con
sistemas antivirus y
antimalware administrados por
el área de TI, los cuales son
actualizados automáticamente
y mantienen los equipos de
cómputo protegidos frente a
cualquier tipo de malware. Este
sistema de antivirus se
encuentra reforzado con el
sistema de filtrado que realiza
el firewall ya que también
cuenta con un módulo de
protección antivirus,
antimalware, filtrado web y
filtrado de e-mail
A 12.3 COPIAS DE
RESPALDO
A 12.3.1 RESPALDO DE LA
INFORMACIÓN SÍ
La información de los usuarios,
servidores y sistemas de
información se encuentra
respaldada en dispositivos
externos con una periodicidad
semanal. El sistema de correo
electrónico como se encuentra
tercerizado, está respaldado
por el tercero. Se debe
establecer que las copias
realizadas deben ser
custodiadas en ubicaciones
geográficamente distintas a las
de la compañía
A 12.4 REGISTRO Y
SEGUIMIENTO
A 12.4.1 REGISTRO DE
EVENTOS SÍ Los sistemas de información,
sistemas operativos y equipos
de seguridad generan un log de
eventos el cual es revisado,
almacenado y respaldado con
el fin de detectar anomalías.
Los sistemas sincronizan su
hora automáticamente desde la
misma fuente.
A 12.4.2 PROTECCIÓN DE
LA INFORMACIÓN DE
REGISTRO
SÍ
A 12.4.3 REGISTROS DEL
ADMINISTRADOR Y EL
OPERADOR
NO
A 12.4.4 SINCRONIZACIÓN
DE RELOJES SÍ
89
89
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 12.5 CONTROL DE
SOFTWARE
OPERACIONAL
A 12.5.1 INSTALACIÓN DE
SOFTWARE EN SISTEMAS
OPERATIVOS
NO
Se debe establecer un
procedimiento para la
instalación de software, todo
software necesario para la
operación en la compañía debe
ser aprobado a nivel técnico y
de seguridad por el área de TI.
Se define política de uso de
hardware y software (Anexo 1).
Adicionalmente se debe
restringir el acceso a
instalación y desinstalación
desde una política de dominio
(GPO)
A 12.6 GESTIÓN DE LA
VULNERABILIDAD
TÉCNICA
A 12.6.1 GESTIÓN DE LAS
VULNERABILIDADES
TÉCNICAS
NO
Se debe establecer un
procedimiento que involucre a
entidades externas para
practicar análisis de
vulnerabilidades para realizar
ajustes correspondientes. Se
recomienda realizar un análisis
de vulnerabilidades con una
entidad externa especializada
con una periodicidad semestral.
A 12.6.2 RESTRICCIÓN
SOBRE LA INSTALACIÓN
DE SOFTWARE
NO
Actualmente los equipos de
cómputo no tienen
restricciones para la instalación
o desinstalación de software.
Se debe definir política de
dominio (GPO) para el control
de instalación y desinstalación
de software.
A 12.7 CONTROLES DE
AUDITORÍAS DE
SISTEMAS DE
INFORMACIÓN
A 12.7 CONTROLES DE
AUDITORIAS DE
SISTEMAS DE
INFORMACIÓN
NO
Una vez establecida la política
del SGSI, se deben realizar
planes de auditoría (internas y
externas) al sistema para
realizar los ajustes necesarios
A 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 GESTIÓN DE LA
SEGURIDAD DE LAS
REDES
A 13.1.1 CONTROLES DE
REDES SÍ Las redes y acceso a las mismas
se encuentran controladas por
perfiles de usuarios. Las redes
corporativas se encuentran
físicamente aisladas de las
redes de invitados pero no se
cuentan con políticas de uso y
transferencia de información a
través de las redes corporativas.
La mensajería electrónica se
encuentra controlada por
medio del firewall frente a
malware y virus.
A 13.1.2 SEGURIDAD DE
LOS SERVICIOS DE RED SÍ
A 13.1.3 SEPARACIÓN EN
LAS REDES SÍ
A 13.2 TRANSFERENCIA
DE INFORMACIÓN
A 13.2.1 POLÍTICAS Y
PROCEDIMIENTOS DE
TRANSFERENCIA DE
INFORMACIÓN
NO
A 13.2.2 ACUERDOS SOBRE
TRANSFERENCIA DE
INFORMACIÓN
NO
90
90
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 13.2.3 MENSAJERÍA
ELECTRÓNICA NO
A 13.2.4 ACUERDOS DE
CONFIDENCIALIDAD Y NO
DIVULGACIÓN
SÍ
A 14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
A 14.1 REQUISITOS DE
SEGURIDAD DE LOS
SISTEMAS DE
INFORMACIÓN
A 14.1.1 ANÁLISIS Y
ESPECIFICACIÓN DE
REQUISITOS DE
SEGURIDAD DE LA
INFORMACIÓN
NO Debido a que no se cuenta con
la política de seguridad de la
información, no se le ha dado
alcance a los sistemas de
información. Es necesario
incluir las políticas de uso de
los sistemas de información de
la compañía y su respectivo
análisis de riesgos. Se define
política de uso de hardware y
software.
A 14.1.2 SEGURIDAD DE
LOS SERVICIOS DE LAS
APLICACIONES EN REDES
PÚBLICAS
NO
A 14.1.3 PROTECCIÓN DE
TRANSACCIONES DE LOS
SERVICIOS DE LAS
APLICACIONES
NO
A 14.2 CONTROL DE
ACCESO AL SISTEMA
OPERATIVO
A 14.2.1 POLÍTICA DE
DESARROLLO SEGURO NO
La compañía no desarrolla
ninguno de sus sistemas de
información, sin embargo, los
proveedores de los sistemas de
información tienen
establecidos procedimientos y
formatos para el control de
todos los requerimientos que
realiza la compañía
controlando así también los
cambios. Se deberá establecer
un procedimiento que ponga
bajo prueba los sistemas de
información en condiciones no
deseadas para tomar acciones
preventivas o correctivas.
A 14.2.2 PROCEDIMIENTOS
DE CONTROL DE
CAMBIOS EN SISTEMAS
SÍ
A 14.2.3 REVISIÓN
TECNICA DE LAS
APLICACIONES DESPUES
DE CAMBIOS EN LA
PLATAFORMA
NO
A 14.2.4 RESTRICCIONES
EN LOS CAMBIOS A LOS
PAQUETES DE SOFTWARE
NO
A 14.2.5 PRINCIPIOS DE
CONSTRUCCIÓN DE LOS
SISTEMAS SEGUROS
NO
A 14.2.6 AMBIENTE
SEGURO DE DESARROLLO NO
A 14.2.7 DESARROLLO
CONTRATADO
EXTERNAMENTE
NO
A 14.2.8 PRUEBAS DE
SEGURIDAD DE SISTEMAS NO
A 14.2.9 PRUEBAS DE
ACEPTACIÓN DE
SISTEMAS
NO
A 14.3 DATOS DE PRUEBA A 14.3.1 PROTECCIÓN DE
DATOS DE PRUEBA NO
A 15 RELACIONES CON LOS PROVEEDORES
91
91
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 15.1 RELACIONES CON
LOS PROVEEDORES
A 15.1.1 SEGURIDAD DE LA
INFORMACIÓN EN LAS
RELACIONES CON LOS
PROVEEDORES
SÍ Se tiene establecido mediante
el área de compras un
procedimiento de selección y
vinculación de proveedores en
el cual se verifica información
sobre el proveedor para
asegurar la calidad,
oportunidad y costos de los
servicios o productos a adquirir
A 15.1.2 TRATAMIENTO DE
LA SEGURIDAD DENTRO
DE LOS ACUERDOS DE
LOS PROVEEDORES
SÍ
A 15.1.3 CADENA DE
SUMINISTRO DE
TECNOLOGÍA DE
INFORMACIÓN Y
COMUNICACIÓN
SÍ
A 15.2 GESTIÓN DE LA
PRESTACIÓN DE
SERVICIOS DE
PROVEEDORES
A 15.2.1 SEGUIMIENTO Y
REVISIÓN DE LOS
SERVICIOS DE LOS
PROVEEDORES
SÍ
El sistema de gestión de calidad
tiene establecidas unas
evaluaciones a proveedores en
las cuales intervienen las áreas
que adquieren el bien o
servicio. Estas evaluaciones
son retroalimentadas a los
proveedores para que en caso
de ser necesario se hagan
ajustes en pro de la mejora en
la seguridad y la relación
comercial de las partes
A 15.2.2 GESTIÓN DE
CAMBIOS EN LOS
SERVICIOS DE LOS
PROVEEDORES
SÍ
A 16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A 16.1 GESTIÓN DE
INCIDENTES Y MEJORAS
EN LA SEGURIDAD DE LA
INFORMACIÓN
A 16.1.1
RESPONSABILIDADES Y
PROCEDIMIENTOS
NO
Debido a que el SGSI se
encuentra en construcción, no
se tiene aún control sobre la
mejora continua del mismo. Es
necesario establecer roles,
procedimientos de reacción
ante eventos de seguridad que
permitan actuar oportunamente
evitando afectaciones mayores.
Por otra parte, es necesario que
se realice un análisis sobre los
eventos materializados que
permitan tener un registro de
lecciones aprendidas con el
objetivo de minimizar la
exposición a las amenazas y
fortalecer frente a
vulnerabilidades.
A 16.1.2 REPORTE DE
EVENTOS DE SEGURIDAD
DE LA INFORMACIÓN
NO
A 16.1.3 REPORTE DE
DEBILIDADES DE
SEGURIDAD DE LA
INFORMACIÓN
NO
92
92
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 16.1.4 EVALUACIÓN DE
EVENTOS DE SEGURIDAD
DE LA INFORMACIÓN
NO
A 16.1.5 RESPUESTA A
INCIDENTES DE
SEGURIDAD DE
SEGURIDAD DE LA
INFORMACIÓN
NO
A 16.1.6 APRENDIZAJE
OBTENIDO DE LOS
INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
NO
A 16.1.7 RECOLECCIÓN DE
EVIDENCIA NO
A 17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL
NEGOCIO
A 17.1 CONTINUIDAD EN
SEGURIDAD DE LA
INFORMACIÓN
A 17.1.1 PLANIFICACIÓN
DE LA CONTINUIDAD DE
LA SEGURIDAD DE LA
INFORMACIÓN
NO
El SGSI no se encuentra
implementado. Una vez
establecido, es necesario
respaldar todo el sistema para
garantizar la continuidad del
mismo de tal manera que este
pueda seguir aportando a la
continuidad del negocio.
A 17.1.2
IMPLEMENTACIÓN DE LA
CONTINUIDAD DE LA
SEGURIDAD DE LA
INFORMACIÓN
NO
A 17.1.3 VERIFICACIÓN,
REVISIÓN Y EVALUACIÓN
DE LA CONTINUIDAD DE
LA SEGURIDAD DE LA
INFORMACIÓN
NO
A 17.2 REDUNDANCIAS
A 17.2.1 DISPONIBILIDAD
DE INSTALACIONES DE
PROCESAMIENTO DE
INFORMACIÓN
NO
La infraestructura tecnológica
no cuenta con redundancia
alguna. Se hace necesario
implementar sistemas RAID en
el servidor de aplicaciones y de
almacenamiento, asimismo,
contar con respaldo eléctrico ya
que la UPS actual no cubre a
todos los dispositivos y la
autonomía no es de más de 5
minutos. El Firewall debe
contar con un dispositivo
espejo que funcione como
esclavo y que ayude a realizar
balanceo de cargas o respaldo
frente a alguna eventualidad.
Finalmente, se debe proyectar
contar con un canal de internet
proveído por otro ISP
93
93
OBJETIVOS DE
CONTROL CONTROL ESPECÍFICO APLICABILIDAD OBSERVACIONES
A 18 CUMPLIMIENTO
A 18.1 CUMPLIMIENTO DE
REQUISITOS LEGALES Y
CONTRACTUALES
A 18.1.1 IDENTIFICACIÓN
DE LA LEGISLACION
APLICABLE Y LOS
REQUISITOS
CONTRACTUALES
Las operaciones de la
compañía están vigiladas bajo
la normatividad legal vigente
colombiana, así que cada
acción que adelante la
compañía va asegurada con los
controles que establece la ley
colombiana.
A 18.1.2 DERECHOS DE
PROPIEDAD
INTELECTUAL
A 18.1.3 PROTECCIÓN DE
REGISTROS
A 18.1.4 PRIVACIDAD Y
PROTECCIÓN DE
INFORMACIÓN DE DATOS
PERSONALES
A 18.1.5
REGLAMENTACIÓN DE
CONTROLES
CRIPTOGRÁFICOS
A 18.2 REVISIONES DE
SEGURIDAD DE LA
INFORMACIÓN
A 18.2.1 REVISIÓN
INDEPENDIENTE DE LA
SEGURIDAD DE LA
INFORMACIÓN
El SGSI debe estar
estrictamente alineado con los
objetivos, misión y visión de la
compañía. Si la compañía
realiza algún ajuste en estos
aspectos, el SGSI debe
ajustarse de la manera más
adecuada para soportar todas
las operaciones de la compañía,
dando así un mejoramiento
continuo al sistema.
A 18.2.2 CUMPLIMIENTO
CON LAS POLÍTICAS Y
NORMAS DE SEGURIDAD
A 18.2.3 REVISIÓN DEL
CUMPLIMIENTO TÉCNICO
94
94
ANEXO 2 – POLÍTICA DE USO DE HARDWARE Y SOFTWARE
I. PROPÓSITO
Reglamentar el control y la administración de los equipos de cómputo en Profesionales
Asociados LTDA., con el propósito de proteger los recursos informáticos y la información
de toda la organización.
II. ALCANCE
Aplica para todos los usuarios pertenecientes a la Organización que generen, modifiquen,
archiven y/o utilicen equipos de cómputo, impresoras, escáner y cualquier tipo de hardware
adscrito al Departamento de Tecnología.
III. RESPONSABLES
Es responsabilidad de los usuarios de los equipos de cómputo el cumplimiento a las normas
aquí descritas y del Jefe de Tecnología la actualización y supervisión de las mismas.
IV. DEFINICIONES
Hardware: se refiere a los componentes físicos de un sistema informático. Por su
dimensión en capacidad y tamaño, estos elementos pueden ser Servidores, equipos
de escritorio (desktop), equipos portátiles (laptop), computadoras de mano (Ipad,
celulares, cámaras, tabletas.). En el caso de los periféricos éstos pueden ser: una
impresora, un equipo de enlace de red, un video beam, un escáner, una unidad de
disco o cualquier medio de almacenamiento.
Software: programas del computador. El software puede dividirse en varias
categorías basadas en el tipo de trabajo realizado, las dos categorías primarias de
software son: los sistemas operativos (software del sistema por ejemplo Windows7)
y el software de aplicaciones (Microsoft Word, Excel, ERP).
Usuario: es la persona que utiliza o trabaja con algún objeto o que es destinataria
de algún servicio público, privado, empresarial o profesional.
Permiso: consentimiento dado a un funcionario por parte de una persona, área u
Organización que tiene autoridad para hacerlo.
V. GENERALIDADES
Los equipos deben estar protegidos por reguladores de voltaje o también por UPS,
es por esto que cada usuario es responsable de tener únicamente conectado a la
toma regulada de corriente la CPU y el monitor, los demás equipos como parlantes,
95
95
impresoras, radios, cargadores. deben estar conectados a la toma de corriente
normal, sin ninguna excepción.
Está prohibido pegar estampillas, pegatinas, calcomanías, muñecos, adornos, fotos
o algún elemento adicional en los computadores, pues esto dificulta el
mantenimiento y la reasignación de equipos.
Está prohibido consumir alimentos y bebidas cerca de los equipos de cómputo,
cualquier accidente podría generar daños que serán responsabilidad del usuario que
tiene el equipo asignado.
Evitar que caigan objetos extraños como ganchos de cosedora, clips, líquidos,
alimentos y, en general, objetos extraños sobre y/o dentro de las impresoras,
teclados o escáner.
No intentar modificar, reubicar o sustraer equipos de cómputo, software,
información o periféricos sin la debida autorización, para lo cual siempre de debe
solicitar la ayuda o asesoría del Departamento de Tecnología.
Al finalizar las labores diarias es obligación apagar el computador (CPU y monitor),
también los dispositivos externos como parlantes, impresoras, radios, escáner o
fotocopiadoras del área.
Es responsabilidad del usuario mantener sus documentos en la carpeta de red de
USUARIO configurada por el Departamento de Tecnología, ya que cualquier
información contenida en otra parte no será respaldada si no se especifica por parte
del usuario en el momento que se va a retirar el equipo para el respectivo
mantenimiento.
Está prohibido guardar en la carpeta de Documentos y en directorios públicos de
los servidores, documentos personales o ajenos a la operación laboral tales como
archivos de música, imágenes personales, archivos personales.
Está prohibido el uso de elementos de almacenamiento externo (memorias USB,
discos externos, CDs) sin la autorización del Departamento de Tecnología.
Toda persona que ingrese a la empresa y a la cual se le asigne un equipo de
cómputo, debe firmar el Acta de entrega de equipo de cómputo y la carta de
compromiso, en señal de conocimiento de las políticas de manejo del software y
hardware, así como de su responsabilidad frente al equipo asignado.
Para la asignación de los permisos el jefe de cada área debe enviar un correo al
Coordinador de Tecnología especificando el (los) usuario(s), el (los) programa(s) y
el tipo de permiso requerido; con base en esta solicitud, el Jefe de Tecnología
procede a asignar los permisos.
96
96
VI. POLÍTICAS DE REPARACIÓN Y MANTENIMIENTO DE EQUIPOS
Los usuarios deben saber y entender que, ocasionalmente, el Área de Tecnología
tiene la autoridad para acceder a archivos individuales o a datos cada vez que deban
realizar un mantenimiento, reparación o chequeo de equipos de cómputo.
Si el usuario tiene programado un mantenimiento del computador, es
responsabilidad del mismo disponer del tiempo suficiente, dentro de la jornada
laboral, para su realización, además, deberá salvar y cerrar todos los documentos o
los programas que estén ejecutando, esto para evitar perdida de información, pues
cada usuario es responsable de sus documentos y/o archivos. Adicional a ello, debe
tener organizados y libre de objetos los elementos que hacen parte del computador
con el fin de facilitar la labor de mantenimiento.
El Área de Tecnología programará de forma semestral los mantenimientos de los
equipos de cómputo asignados al personal de la compañía, estos mantenimientos
podrán ser realizados por personal interno o proveedores de servicios de
mantenimiento; en cualquiera de los casos, los funcionarios serán notificados con
anticipación para que puedan organizar su agenda de trabajo.
Antes de realizar el mantenimiento programado es necesario realizar un backup
completo de la información, esta tarea será realizada por el personal de Tecnología
una vez la información sea restaurada y verificada por el funcionario, esta será
eliminada.
Durante los mantenimientos se hace limpieza externa e interna: en la limpieza
interna se borran los archivos temporales, se revisan las actualizaciones del
antivirus y del sistema operativo, se hace un escaneo y desfragmentación del disco
duro, sumada a la limpieza física habitual, los cuales deben quedar registrados en
el Formato de Mantenimiento de Equipos (Ver Anexo 4).
El personal de servicios generales eventualmente realiza limpiezas de escritorios,
monitores, teclados, mouses, lo que puede generar que se cierren los programas
abiertos o que se apague el computador y, por consecuencia, se pierda información.
Por tanto, es necesario guardar constantemente los archivos y dejar el computador
bloqueado de tal manera que solicite una contraseña para reactivarlo, al retirarse
del puesto de trabajo.
VII. POLÍTICAS DEL USO INDEBIDO DE LAS REDES, INTERNET Y CORREO
ELECTRÓNICO
El uso indebido de sistemas de información está prohibido. Este uso indebido incluye:
Acceder sin la debida autorización, mediante computadores, software, información
o redes de la compañía o a recursos externos.
97
97
Acceder sin autorización con las contraseñas de otros usuarios y a los recursos de
los sistemas de información.
Transgredir o burlar las verificaciones de identidad u otros sistemas de seguridad.
Utilizar los sistemas de información para propósitos ilegales o no autorizados.
Enviar cualquier comunicación electrónica fraudulenta.
Violar cualquier licencia de software o derechos de autor, incluyendo la copia o
distribución de software protegido legalmente, sin la autorización escrita del
propietario del software.
Usar las comunicaciones electrónicas para violar los derechos de propiedad de los
autores.
Usar las comunicaciones electrónicas para acosar o amenazar a los usuarios de la
Compañía o externos.
Usar las comunicaciones electrónicas para revelar información privada sin el
permiso explícito del dueño.
Leer o copiar la información o archivos de otros usuarios sin su permiso.
Compartir archivos de forma insegura con otros usuarios, sin los permisos que se
consideran adecuados, poniendo en riesgo la información.
Alterar, falsificar o de alguna otra forma usar de manera fraudulenta los registros
de la Compañía o cualquier externo (incluyendo registros computarizados,
permisos, documentos de identificación u otros documentos o propiedades).
Descompilar, realizar ingeniería inversa o publicar el código de las aplicaciones
propias de la compañía.
Usar las comunicaciones electrónicas para dañar o perjudicar de alguna manera los
recursos disponibles electrónicamente.
Monitorear las comunicaciones electrónicas para obtener o fabricar datos de
investigación.
Lanzar cualquier tipo de virus, gusano, o programa de computador cuya intención
sea hostil o destructiva.
98
98
Hacer envíos tipo SPAM (envíos masivos) desde las cuentas de correo electrónico
asignadas por Profesionales Asociados LTDA, esto incluye todo tipo de correos de
cadenas y presentaciones tipo Power Point, música, videos o publicidad.
Descargar o publicar material ilegal, con derechos de propiedad o material nocivo,
usando un computador de la Compañía.
Transportar o almacenar material con derechos de propiedad o material nocivo
usando las redes de la empresa.
Uso personal de cualquier sistema de información de la compañía para acceder,
descargar, imprimir, almacenar, redirigir, transmitir o distribuir material obsceno.
Recepción, almacenamiento y envío de archivos que no tienen que ver con las
labores diarias, como lo son presentaciones de PowerPoint, vídeos, música MP3,
animaciones de Flash, cadenas de correo. Este tipo de archivos congestionan los
servidores de correo y la red.
No abrir correos electrónicos con adjuntos extraños (extensiones *.exe; *.pif; *.bat;
*.scr), eliminarlos y notificar al Departamento de Tecnología.
Es responsabilidad del usuario realizar depuración periódica de las carpetas de
elementos enviados, así como los eliminados de su correo electrónico para evitar
que estas se saturen y pueda haber pérdida de información.
El uso de equipos de cómputo es personal y para uso exclusivo de empleados de
Profesionales Asociados LTDA
Extraer información de la compañía sin autorización en memorias USB o cualquier
otro medio de extracción, lo cual será penalizado disciplinariamente.
No se permite instalar ningún tipo de software del tipo P2P (Punto a Punto) para
compartir archivos a través de la red y descargar música, videos, software o
cualquier otro tipo de archivos.
VIII. POLITICA DE USO DE DISPOSITIVOS MÓVILES Y LINEAS CELULARES
Todo funcionario que para el desarrollo de sus labores le sea asignado celular y
línea celular corporativa deberá cumplir las siguientes normas:
La solicitud de línea y equipo corporativo se debe realizar formalmente por el jefe
inmediato del funcionario y deberá contar con la aprobación de la gerencia
administrativa. Así mismo en esta solicitud se debe indicar el tipo de plan (minutos
y plan de datos) que necesitará el funcionario.
99
99
El celular y línea corporativas son asignadas para uso exclusivo en el desarrollo de
las funciones del empleado, está prohibido el uso personal de estas herramientas.
El cuidado de equipos y accesorios es responsabilidad del funcionario al que le fue
asignado el dispositivo, por tal motivo cualquier daño ocurrido por manipulación
indebida o hurto de los mismos, los costos derivados de esta eventualidad serán
asumidos por dicho funcionario.
Las cuentas de correo asociadas a los equipos celulares para la descarga de
aplicaciones es controlada únicamente por el área de tecnología con el fin de
centralizar la información almacenada en los equipos y en las cuentas (Contactos,
aplicaciones, cuentas de correo) y está prohibido realizar cambios a la
configuración de los teléfonos. Del mismo modo, al momento de regresar los
equipos, no se debe eliminar la información contenida en los mismos.
La solicitud de cambios de planes deberá ser justificada y aprobada por la gerencia
administrativa
Los costos adicionales que se generen sobre las líneas (Compra de mensajes,
descarga de juegos o aplicaciones, suscripciones, noticias) serán asumidos por el
funcionario responsable de la línea corporativa.
En caso de pérdida o hurto se debe informar de manera inmediata al departamento
de T.I. para realizar el respectivo bloqueo de línea y celular ante el operador. El
funcionario deberá realizar el denuncio formal ante fiscalía y presentar copia en la
gerencia administrativa.
IX. POLÍTICAS DE SEGURIDAD DEL SOFTWARE
Se encuentran prohibidas las siguientes actividades:
Copiar o distribuir software o su documentación sin permiso del autor, esto incluye
programas, aplicaciones, datos, códigos y manuales.
Promover, permitir, obligar o presionar a los empleados a utilizar copias no
autorizadas.
Prestar los programas para que sean copiados, o copiar los programas que han sido
pedidos en préstamo y que son licenciados por Profesionales Asociados LTDA.
En cuanto al manejo de contraseña, lo importante es tener en cuenta lo siguiente:
o Cada vez que se retire de su puesto de trabajo el computador asignado debe
quedar bloqueado, con el fin de evitar que otras personas puedan acceder a
la información o dañar los archivos existentes.
100
100
o Los administradores y los usuarios del sistema comparten la responsabilidad
de reforzar la seguridad de las contraseñas.
o La seguridad de las contraseñas es responsabilidad de todos.
o Cualquier persona diferente a usted que use su contraseña puede ocasionar
daño en sus archivos y, además, puede ingresar en el sistema o en la red y
comprometer todos los archivos existentes. Nunca permita que su
contraseña la utilice otra persona.
o Use una contraseña diferente para cada acceso (Sistemas de Información
(Helisa), correo electrónico, Windows).
o Una contraseña debería ser como un cepillo de dientes: úselo todos los días,
cámbielo regularmente y no lo comparta con nadie.
o Si usted es el administrador del sistema, asegúrese que cada cuenta tenga
una contraseña, no permita cualquier clase de entrada sin una contraseña.
o Las contraseñas deben tener un cierto nivel de complejidad procurando
combinar letras en mayúscula, minúscula, números y/o símbolos por
ejemplo: M#tex29 (esto es una abreviatura de la frase “Mi número
telefónico empieza por 29”, algo fácil de recordar y bastante seguro como
contraseña.
o No ponga por escrito su contraseña, particularmente en su computador, bajo
su teclado o en algún lado alrededor de su escritorio.
o No teclee su contraseña mientras que alguien esté observando su teclado.
o No registre su contraseña en la línea y no la envíe a ningún lado vía correo
electrónico.
o No empeore la situación, si usted comparte su contraseña, deliberada o
inadvertidamente, cámbiela inmediatamente o solicite el cambio al
departamento de Tecnología de Información.
“NUNCA REVELE SUS CONTRASEÑAS”
101
101
ANEXO3 - CARTA DE COMPROMISO DE USO DE HARDWARE Y SOFTWARE
Ciudad y Fecha
Señores
PROFESIONALES ASOCIADOS LTDA
Ciudad
Confirmo que he leído y entendido la política de Uso de Software y de Hardware para
PROFESIONALES ASOCIADOS LTDA, y estoy de acuerdo con acogerme a las
instrucciones allí descritas. Soy consciente de que un comportamiento inadecuado
conllevará a sanciones entre las cuales pueden estar: acciones disciplinarias y/o acciones
legales.
Exonero a PROFESIONALES ASOCIADOS LTDA de cualquier responsabilidad o
perjuicio que pueda resultar por el mal uso del computador en actividades ajenas a las
funciones propias de la actividad laboral, los programas (Software), y las redes (Lan e
Internet).
Como empleado y usuario del computador asignado, acepto toda la responsabilidad y las
obligaciones que se deduzcan de mis actos, e igualmente manifiesto que soy pleno
conocedor de la confidencialidad en el manejo de información estipulada en mi contrato
de trabajo y por lo tanto para efectos del compromiso aquí adquirido daré estricta
observancia a la misma.
Atentamente,
____________________________________________
Nombre y Firma
CC:
102
102
ANEXO 4 - ACTA DE ENTREGA DE EQUIPOS DE CÓMPUTO Y
COMUNICACIONES
Bogotá,
Señor(a)
PEPITO PÉREZ
TECNOLOGIA
Profesionales Asociados LTDA
Ciudad,
ENTREGA ELEMENTOS
El equipo cuyas características se enumeran a continuación, le ha sido asignado para el desarrollo de sus
labores dentro de la compañía.
Equipo ___________________
Tipo: Laptop PC ____ Desktop PC ____ Celular_____ Teléfono IP_____ Equipo de Red ____Otros
_____
Serial: _________________
Cód. Inventario: _________________
Procesador: _________________
Memoria: _________________
Disco Duro: _________________
Monitor: _________________ Tamaño (“):__
Accesorios: ___________________________________________________________________
El software que usted tiene autorizado a tener instalado en el equipo es el siguiente
Windows: ________________
Office: ________________
Antivirus: ________________
Otros: ________________
Es importante recordar que solamente software pagado, suministrado o aprobado por PROFESIONALES
ASOCIADOS LTDA, puede ser usado dentro y fuera de la compañía. En caso contrario, las consecuencias
por demandas o reclamos serán únicamente responsabilidad de quien tenga asignado el equipo. Por tales
motivos es claro que es prohibido el uso de software no autorizado, así como tampoco se autoriza la
sustracción de la información de los equipos para uso distinto al propio del desarrollo ordinario de las
funciones asignadas al cargo. Adicionalmente cualquier daño físico que ocurra a los elementos asignados
durante el uso por parte del usuario, será responsabilidad única de la persona a cargo.
Entrega, Recibe y acepta,
____________________ ______________________
JEFE DE T.I CC:
103
103
ANEXO 5 - FORMATO DE MANTENIMIENTO DE EQUIPOS DE CÓMPUTO
___________________
# INVENTARIO PC:
MANTENIMIENTO DE EQUIPOS DE COMPUTO
S N
2. El antivirus ha presentado alguna advertencia?
3. Ha ignorado ud. Dicha advertencia?
4. Algun programa de los que ud. Utiliza ha generado errores
5. Califique el mantenimiento recibido
SOPLADO DEFRAGMENTADOR DE DISCO
LIMPIEZA INTERIOR (CONTACTOS BOARD) REVISION ANTIVIRUS
LIMPIEZA EXTERIOR (MONITOR, TECLADO) ACTUALIZACIONES S.O.
BORRADO DE TEMPORALES DURACION MANTENIMIENTO.
SCAN DISK
__________________________________________________________________________________________
S N
___________________________________________________________________________________________
REQUIERE FORMATEO?
1. Al iniciar su equipo presenta algun mensaje de error
FECHA:
EQUIPO :
USUARIO :_________________________________DEPARTAMENTO:______________________
FUNCIONARIO:____________________ TEC. MANTENIMIENTO:________________________
SE REALIZO BACKUP DE INFORMACIÓN?
OBSERVACIONES:
Que programas:________________________________
OBSERVACIONES:
B R M
104
104
ANEXO 6 - REGISTRO DE ENTRENAMIENTO Y CAPACITACIÓN
105
105
ANEXO 7 – PLANILLA DE REGISTRO DE VISITANTES
FECHA HORA NOMBRE TELÉFONO ARL EPS RH PERSONA DE CONTACTO ALTERNO TELÉFONO CONTACTO ALTERNO FUNCIONARIO AL QUE VISITA FIRMA
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
PLANILLA DE REGISTRO DE VISITANTES