Upload
others
View
17
Download
0
Embed Size (px)
Citation preview
ANÁLISIS DE VIABILIDAD SOBRE LA IMPLEMENTACIÓN DE LA NORMA NTC-
ISO/IEC 27001 EN EL SERVICIO DE PRÉSTAMO DE COMPUTADORES
PORTÁTILES EN LA UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS
CALI
PROYECTO DE GRADO
SEMINARIO DE PROFUNDIZACIÓN EN SGSI ISO 27001 –
SGCN NTC 5722 – SG TI ISO 20000.
HERMES DUVAN URREA BETANCOURT
HEIDY NATALIA PAREDES PAZ
JOHN JAIRO PÉREZ PLAZA
Coordinador
ING. VICTOR DAVID MOSQUERA MAGISTER
Decano Facultad de Ingeniería
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERIA DE SISTEMAS
CALI
2019
TABLA DE CONTENIDO
Introducción ...........................................................................................................................6
1. Identificación del Problema ................................................................................................8
1.1 Planteamiento del Problema ..........................................................................................8
1.2. Formulación del Problema ........................................................................................ 10
2. Justificación ...................................................................................................................... 11
3. Objetivos .......................................................................................................................... 13
3.1 Objetivo General ......................................................................................................... 13
3.2 Objetivos Específicos .................................................................................................. 13
4. Marco de Referencia ......................................................................................................... 14
4.1 Marco Teórico Conceptual .......................................................................................... 14
4.1.1 Seguridad de la información.................................................................................. 14
4.1.1.1 Sistema de información. ..................................................................................... 15
4.1.1.2 Sistema de gestión de la seguridad de la información. ........................................ 15
4.1.2 Riesgos de seguridad............................................................................................. 16
4.1.3 Tratamiento de riesgos. ......................................................................................... 17
4.1.4 Evaluación de riesgos. .......................................................................................... 17
4.1.5 Gestión del riesgo. ................................................................................................ 18
4.1.6 Control de los procesos. ........................................................................................ 19
4.1.7 Vulnerabilidad sistemas de seguridad. ................................................................... 20
4.2 Marco Contextual ........................................................................................................ 21
4.3 Marco Legal ................................................................................................................ 24
5. Metodología .................................................................................................. 26
6. Programa de Auditoría ................................................................................... 27
6.1 Objetivos del programa de auditoria ............................................................................ 27
6.1.1 Objetivo General ................................................................................................... 27
6.1.2 Objetivos específicos ............................................................................................ 27
6.2 evaluación de los riesgos y oportunidades del programa de auditoria ........................... 27
7. Implementación del programa de auditoria ..................................................... 29
Tabla. Objetivos del Programa de auditoría ....................................................................... 30
Tabla. Métodos de auditoria .............................................................................................. 31
Asignación de responsabilidades al líder del equipo auditoria para una auditoria individual
................................................................................................................................................... 31
8. Informe de Resultados: Análisis Inicial del Nivel de Madurez del Servicio de Préstamo de
Equipos Portátiles Frente a la Seguridad de la Información........................................................ 33
9. Auditoría al Proceso de Préstamo de Computadores Portátiles en la Biblioteca de la
Universidad Cooperativa de Colombia sede Cali sur.................................................................. 36
9.1 Proceso de préstamo de computadores portátiles ......................................................... 36
9.2 Alcance ....................................................................................................................... 36
9.3 Seguridad del proceso ................................................................................................. 37
9.4 Determinación y evaluación de los riesgos y oportunidades del programa de auditoria 38
Tabla. Activos, amenazas, vulnerabilidades y controles ................................................. 39
Matrices de Evaluación de Riesgos / Impacto .................................................................... 40
Tabla. Matriz de Evaluación de Riesgos (Descripción) .................................................. 40
Tabla. Matriz de Evaluación de Riesgos (Valores) ......................................................... 41
10. Auditoría al Sistema de Gestión de Seguridad de la Información del Proceso de Préstamo
de Computadores Portátiles en la Biblioteca de la Universidad Cooperativa de Colombia sede Cali
sur. Respecto a la NTC ISO/IEC 27001:2013 ............................................................................ 45
11. Realización de las Actividades de Auditoría .................................................................... 45
11.1 Fase 1 Revisión Documental ..................................................................................... 46
11.1.1 Política de seguridad de la información. .............................................................. 46
11.2 fase 2 Auditoria de Campo ........................................................................................ 46
11.2.1 Programa de auditoria ......................................................................................... 46
Cronograma ...................................................................................................................... 47
de Auditoria ...................................................................................................................... 47
11.2.2 Preparación de las actividades de la auditoria.......................................................... 48
11.2.3 Listados de Auditoría.............................................................................................. 48
11.2.4 Diagnóstico implementación SGSI bajo la Norma NTC-ISO-IEC 27001:2013 ....... 50
11.2.5 Informe Verificación de Cumplimiento. .................................................................. 52
11.2.6. Seguimiento a los Planes de Mejora Derivados de la Auditoría Interna .................. 54
12. Resultados e impactos ..................................................................................................... 57
13. Conclusiones .................................................................................................................. 59
14. Recomendaciones ........................................................................................................... 60
15. Bibliografía..................................................................................................................... 61
Introducción
La información se ha convertido en uno de los activos más valiosos para cualquier entidad o
persona del natural, sobre todo cuando esta es expuesta a dispositivos como celulares,
computadores de uso público etc. en sitios, página de web, plataformas y/o aplicaciones a las que
muchas personas pueden tener acceso, puesto que a partir de datos de acceso a cuentas de usuario,
información personal y archivos confidenciales se puede cometer fraude, suplantación de
identidad, plagio, extorsión, etc.
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) que permite el aseguramiento, la confidencialidad e integridad de los datos
y de la información, así como de los sistemas que la procesan. Esto lo hace investigando cuáles
son los potenciales problemas que podrían afectar la información (es decir, la evaluación de
riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan
(es decir, mitigación o tratamiento del riesgo).
El préstamo de computadores portátiles que brinda la biblioteca de la Universidad Cooperativa
de Colombia sede Cali – sur, es un servicio a través de cual se apoya a los estudiantes, docentes y
demás funcionarios de la institución en el desarrollo de actividades educativas; a partir de este, se
les facilita además de la disponibilidad de los portátiles, una diversidad de software necesario y
requerido para trabajar y conexión a una amplia red de internet. Este tipo de servicio, de una forma
u otra implica que se deban determinar aspectos importantes referentes a la seguridad de la
información de los usuarios al hacer uso de los equipos (accesos, cuentas de usuarios, archivos y
documentos, historial de navegación, etc.) y a su vez la integridad de los activos.
Por lo anterior, en el siguiente documento se plantea el análisis de viabilidad de implementar la
norma ISO 27001 para el servicio de préstamo de computadores portátiles en esta institución de
educación superior.
1. Identificación del Problema
1.1 Planteamiento del Problema
La Universidad Cooperativa de Colombia, es una institución privada de educación superior que
pertenece al sector de la economía solidaria; cuenta con 18 sedes a nivel nacional. El campus de
la ciudad de Cali (sede sur), Siempre ha sido identificado como un campus dedicado a la formación
profesionales integrales y competentes que contribuyan al desarrollo continuo del país.
Con el fin de apoyar constantemente el proceso de formación de sus estudiantes y el desarrollo
de actividades de docentes y demás funcionarios, desde hace varios años se ha brindado el servicio
de biblioteca que provee a la comunidad educativa el material bibliográfico de todas las áreas de
estudio, préstamo de computadores de mesa y portátiles para realizar consultas en la web,
desarrollar talleres u otra serie de actividades de índole educativo.
El préstamo de computadores portátiles en la biblioteca es un servicio que se ha buscado
mejorar desde hace tiempo, ofreciendo equipos de alta calidad, fácil acceso, buena conexión web
e instalación de software necesario y requerido para cada uno de sus usuarios en sus diferentes
perfiles. Este tipo de servicios, de una forma u otra implica que se determinen aspectos importantes
referentes a la seguridad de la información de los usuarios al hacer uso de los equipos (accesos,
cuentas de usuarios, archivos y documentos, historial de navegación, etc.) y a su vez la integridad
de los activos.
A pesar de que se han implementado medidas de seguridad para estructurar el servicio como
bloqueo de acceso a páginas inseguras, instalación de antivirus y monitoreo de los equipos para
evitar robos, el tema de la seguridad de la información no se ha abordado en su totalidad; se ha
logrado identificar vulnerabilidades con respecto al tiempo en que se realizan los mantenimiento
de los equipos, permanencia de archivos descargados y documentos creados, no hay una limpieza
constante de caché ni del historial de navegación, los usuarios se pueden conectar a redes abiertas
y externas del campus sin ninguna restricción operacional y los antivirus instalados no son
eficientes. Este tipo de vulnerabilidades dan lugar a riesgos de confidencialidad de datos por cada
usuario que utiliza los computadores, también se puede prestar para espionaje y vandalismo.
Teniendo en cuenta lo anterior, y el hecho de que el servicio de préstamo de computadores
portátiles no cuenta con un modelo de seguridad informativa a partir del cual se gestionan las
vulnerabilidades, riesgos y controles a implementar, este proyecto busca analizar a profundidad
cada una de las actividades ligadas a este servicio, con el fin de establecer la viabilidad de
implementar controles y políticas de la norma ISO 27001; ya que es de suma importancia
garantizar y asegurar la confidencialidad, integridad y disponibilidad de la información y de esta
forma contribuir a la mejora continua de la universidad manteniendo la confianza de los usuarios
en los servicios.
1.2. Formulación del Problema.
¿Cómo analizar y evaluar la viabilidad de implementar la norma técnica NTC-ISO IEC 27001
al servicio de préstamo de computadores portátiles de la Universidad Cooperativa de Colombia
sede Cali sur?
2. Justificación
Hoy en día la seguridad informática se ha convertido en un gran dolor de cabeza para las
organizaciones que hacen uso de las Tecnologías de la Información y Comunicación (TIC) para el
desarrollo de sus actividades; su implementación es cada vez más amplia, razón por la cual la
vulnerabilidad incrementa: revelación de información confidencial, robo de cuentas, espionaje,
entre otras. Por tal razón, en el área de Tecnologías de Información de las instituciones educativas,
se hace necesario identificar riesgos y con ello amenazas en contra de la información como cuentas
de correo, cuentas de acceso a diversos sistemas, documentos con datos privados y confidenciales.
buscando reducir impactos negativos en el desarrollo de las actividades diarias de los estudiantes,
docentes y demás funcionarios al mantener un alto nivel de seguridad y calidad de los servicios
ofrecidos.
De acuerdo a lo anterior, el planteamiento de una propuesta de viabilidad para implementar la
norma ISO 27001 al servicio de préstamo de computadores portátiles de la Universidad
Cooperativa de Colombia, permitirá al personal encargado de TI y directivos de la institución
conocer las políticas y controles que se deben aplicar para mitigar este tipo de riesgos y amenazas,
a su vez los beneficios que traen este tipo de acciones, en cuanto al aseguramiento de la
información y protección de activos, conllevando así a un mejoramiento en la calidad de los
servicios y generando sentimiento de confianza por parte de los estudiantes y funcionarios que
acceden a él.
La norma ISO 27001, al ser un estándar internacional para implementar Sistemas de Gestión
de Seguridad de la Información (SGSI) aportaría al servicio de préstamo de equipos portátiles
beneficios como: reducción de riesgos que produzcan pérdidas de información, revisión continua
de los riesgos, establecer una metodología para gestionar la seguridad de la información de manera
clara y concisa, implantar medidas más seguras, asemejar incidencias constantemente y de este
modo fomentar la mejora continua en el área de TI y Biblioteca.
3. Objetivos
3.1 Objetivo General
Analizar la viabilidad de implementar la norma ISO 27001 en el servicio de préstamo de
computadores portátiles de la Universidad Cooperativa de Colombia sede Cali sur.
3.2 Objetivos Específicos
Realizar un diagnóstico inicial del servicio de préstamo de computadores portátiles su proceso y
actividades asociadas.
Definir los métodos a partir de los cuales se evaluarán los riesgos y vulnerabilidades identificadas
con respecto a la seguridad de la información.
Identificar el nivel de madurez de seguridad de la información frente al servicio de préstamo de
computadores portátiles.
Reconocer la viabilidad de un plan de mejoramiento realizando recomendaciones.
4. Marco de Referencia
4.1 Marco Teórico Conceptual
4.1.1 Seguridad de la información.
La seguridad de la información está relacionada con las metodologías, procesos y
procedimientos para mantener salvaguardada la información y los datos confidenciales de una
organización. Los procesos se estructuran con el uso de estándares, normas, protocolos y
metodologías para mitigar y minimizar los riesgos asociados a la infraestructura tecnológica. Está
relacionada con las medidas preventivas aplicadas con el fin de salvaguardar y proteger la
información bajo la confidencialidad, disponibilidad e integridad. La información puede
presentarse en diversos formatos y medios tanto físicos, como electrónicos. Por lo tanto, las
organizaciones deben adoptar y adaptar metodologías para proteger los archivos y registros,
mantener en funcionamiento una infraestructura tecnológica adecuada que sirva para la custodia y
salvaguarda de la información. Para contrarrestar dichas amenazas, las organizaciones deben
generar un plan de acción frente a estas. Este plan de acción es conocido como Sistema de Gestión
de Seguridad de la Información (SGSI) y contiene los lineamientos que deben seguirse en la
organización, los responsables y la documentación (Jovanovic, 2008) necesaria para garantizar
que el SGSI sea aplicado y genere una retroalimentación. La definición de SGSI se hace de manera
formal en la norma ISO 27001 (Chi-Hsiang & Dwen-Ren, 2009), donde se recogen los estándares
y mejores prácticas de seguridad de la información.
4.1.1.1 Sistema de información.
Es un conjunto ordenado de mecanismos que tienen como fin la administración de datos y de
información, de manera que puedan ser recuperados y procesados fácil y rápidamente.
Todo sistema de información se compone de una serie de recursos interconectados y en
interacción, dispuestos del modo más conveniente en base al propósito informativo trazado, como
puede ser la información personal, procesar estadísticas, organizar archivo.
Los recursos pueden ser:
Recursos humanos: Personal de variada índole y destrezas.
Datos: Cualquier tipo de información masiva que precisa de organizarse.
Actividades: Procedimientos, pasos a seguir, estaciones de trabajo.
Recursos informáticos: Aquellos determinados por la tecnología.
4.1.1.2 Sistema de gestión de la seguridad de la información.
Conjunto de elementos interrelacionados o interactuantes (estructura organizacional, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza
una organización para establecer la política y los objetivos de Seguridad de la Información y
alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
Tiene como propósito el establecimiento de los mecanismos de gestión para la confidencialidad,
integridad y disponibilidad de la información dentro de un conjunto de estándares previamente
determinados para evaluar la seguridad. El objetivo principal es identificar cada uno de los activos
y personas que apoyan los sistemas informáticos a través del proceso de gestión de riesgos
asociados a los procesos y servicios que presta la organización con apoyo de TI, además de
verificar la existencia de controles de seguridad que permitan integrarlos a las políticas y
procedimientos para mitigar los riesgos encontrados. Dentro de los activos informáticos se han
establecido dos categorías que permiten diferenciarlos de acuerdo con su naturaleza y existencia
física, la primera categoría agrupa los activos intangibles y la segunda los activos tangibles.
Dentro de los activos intangibles están los bienes inmateriales tales como: capacitaciones del
personal, las habilidades y motivación de los empleados, las bases de datos, las herramientas
tecnológicas, el conocimiento y la experiencia, y los procesos operativos. Los bienes tangibles son
los de naturaleza material como: mobiliario, infraestructura tecnológica, espacios físicos,
materiales y elementos de trabajo, equipos informáticos, hardware de redes, equipos de protección
eléctrica, cableado estructurado, teléfonos.
4.1.2 Riesgos de seguridad.
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una
pérdida o daño en un activo de información. Suele considerarse como una combinación de la
probabilidad de un evento y sus consecuencias, que afectan a las personas cuyos datos son tratados
y que se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el
daño causado por una utilización ilícita o fraudulenta de los mismos.
4.1.3 Tratamiento de riesgos.
Documento que define las acciones para gestionar los riesgos de Seguridad de la Información
inaceptables e implantar los controles necesarios para proteger la información.
Para contrarrestar dichas amenazas, las organizaciones deben generar un plan de acción frente
a estas. Este plan de acción es conocido como Sistema de Gestión de Seguridad de la Información
(SGSI) y contiene los lineamientos que deben seguirse en la organización, los responsables y la
documentación (Jovanovic, 2008) necesaria para garantizar que el SGSI sea aplicado y genere una
retroalimentación
4.1.4 Evaluación de riesgos.
Para la valoración de riesgos se toman como base dos variables: la probabilidad de ocurrencia
del riesgo y su impacto en caso de que se materialice. El análisis y evaluación de riesgos, la
verificación de la existencia de controles de seguridad existentes, las pruebas con software y el
monitoreo de los sistemas de información permiten establecer el estado actual de la organización,
identificar las causas de vulnerabilidades y proponer soluciones de control que permitan su
mitigación.
El objetivo de la evaluación del riesgo des la de identificar y evaluar los riesgos. Los riesgos
son calculados de una combinación de valores de activos y niveles de requerimientos de seguridad.
Confidencialidad: Mide el impacto que tendría para la pérdida de confidencialidad sobre los
activos de información, es decir, que sean conocidos por personas no autorizadas.
Integridad: Mide el impacto que tendría la pérdida de integridad, es decir, si la exactitud y
estado completo de los activos de información o sus métodos de procesamiento fueran alterados.
Disponibilidad: Mide el impacto que tendría la pérdida de disponibilidad, es decir, si los
usuarios autorizados no tuvieran acceso a los activos de información en el momento que lo
requieran.
La evaluación de riesgos envuelve la sistemática consideración de los siguientes aspectos:
Consecuencias: El daño al negocio como resultado de un incumplimiento de seguridad de
información considerando las potencias consecuencias de pérdidas o fallas de
confidencialidad, integridad y disponibilidad de información.
Probabilidad: La real posibilidad de que tal incumplimiento ocurra a la luz del reinado de
amenazas, vulnerabilidades y controles
Conocer el riesgo a los que están sometidos los activos es imprescindible para poder
gestionarlos, y por ello han surgido una multitud de guías informales, aproximaciones metódicas
y herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o
inseguros) están dichos activos y no llamarse a engaño (MAGERIT, 2005).
El riesgo es definido como la probabilidad que una amenaza pueda explotar una vulnerabilidad
en particular (Peltier, 2001).
4.1.5 Gestión del riesgo.
La gestión del riesgo, generalmente, contempla el cálculo del riesgo, la apreciación de su
impacto en el negocio y la probabilidad de ocurrencia (Hiles, 2004). Luego se derivan pasos para
reducir la frecuencia a un nivel considerado aceptable.
Si la empresa no conoce sobre el riesgo que corren sus activos de información, difícilmente
llegará a estar preparada para evitar su posible ocurrencia, de allí la importancia de conocerlo y
crear controles para disminuir o eliminar su posible ocurrencia.
La ISO 27001:2007 recomienda para llevar a cabo una gestión de riesgo, que se defina primero
el alcance del estándar en la empresa, y con base en ello, identificar todos los activos de
información. Los activos de información deben ser tasados para identificar su impacto en la
organización. Luego se debe realizar un análisis para determinar qué activos están bajo riesgo. Es
en ese momento que se deben tomar decisiones en relación con qué riesgos aceptará la
organización y qué controles serán implantados para mitigar el riesgo (Alberts y Dorofee, 2003).
A la gerencia le corresponde revisar los controles implantados a intervalos de tiempo regular para
asegurar su adecuación y eficacia. Se le exige a la gerencia que controle los niveles de riesgos
aceptados y el estado del riesgo residual (que es el riesgo que queda después del tratamiento del
riesgo).
El objetivo final de la gestión de riesgos es realizar un cálculo de las amenazas a los activos de
información, con vistas a seleccionar los controles ISO 27002:2007 o ISO 17799:2005 adecuados
para mitigar ese riesgo.
4.1.6 Control de los procesos.
Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de Seguridad de la Información por debajo del nivel de riesgo asumido. Es
utilizado como sinónimo de salvaguarda o contramedida que modifica el riesgo.
En este sentido, gestionar los archivos como un sistema tiene como objetivo el control
sistemático de los documentos archivísticos, desde su incorporación al sistema de gestión de
archivos hasta su disposición final; a través del establecimiento de los procedimientos que regulen
su organización, mantenimiento, almacenamiento, acceso, uso, transferencia o descarte. Por lo que
resulta indispensable la necesidad de gestionar todos los elementos que intervienen en este proceso
en las organizaciones.
Con la utilización y empleo de los sistemas de información y de gestión documental las
organizaciones, pueden gestionar sus procesos de planeación, organización, dirección y control, lo
que repercute en un mejor proceso de toma de decisiones y eleva la efectividad en el cumplimiento
de sus objetivos
4.1.7 Vulnerabilidad sistemas de seguridad.
Los conceptos de vulnerabilidad, amenaza y riesgo están relacionados entre sí haciendo parte
de la concepción de la seguridad en distintos ámbitos, que también han sido aplicados en referencia
a la seguridad informática y de la información. Se tomará las vulnerabilidades como las debilidades
del sistema o activo informático en cuanto a seguridad, las amenazas son los posibles ataques que
puede hacer una persona (interna o externa) aprovechando las vulnerabilidades o los ataques que
ya se han presentado, y los riesgos como las diversas maneras en que se presenta la amenaza y la
posibilidad de que ese ataque llegue a presentarse en una organización específica.
Actualmente los sistemas de información, los datos contenidos en ellas y la información son los
activos más valiosos para las organizaciones empresariales y se hace necesario brindarles una
protección adecuada frente a las posibles intrusiones derivadas de las vulnerabilidades existentes
en sus sistemas de seguridad. Una manera efectiva de descubrir estas vulnerabilidades y amenazas
existentes es iniciando los procesos diagnósticos que permitan establecer el estado actual de la
seguridad dentro de la organización, teniendo en cuenta la normatividad vigente y los procesos de
análisis y evaluación de riesgos.
Se hace el estudio de las vulnerabilidades, amenazas y riesgos para los procesos y sistemas
implementados actualmente en las organizaciones, que fueron objeto de la investigación. Para
recolectar la información se aplicaron las técnicas de la observación directa mediante visitas
programadas y entrevistas aplicadas a los profesionales de sistemas encargados de la
administración del área informática, la seguridad informática y usuarios de los sistemas. Con el
conocimiento claro del área o sistema auditado, se definen y describen las vulnerabilidades o
debilidades encontradas, las amenazas por parte de personal interno o externo al tratar de cometer
un ilícito o un ataque, y los riesgos naturales y no naturales a que está expuesta la organización.
4.2 Marco Contextual
La importancia de la tecnología debe ser tomada a conciencia por cualquier empresario que en
el campo donde va a competir, lo que les admitirá de manera eficiente optimizar costos,
estandarizar sistemas, tener información eficiente y oportuna. Por lo que tendrá que implementar
varias herramientas tecnológicas que le ayuden a mejorar su situación, control sobre su manejo y
operación empresarial, siendo de vital importancia para contar con mayores elementos que
contribuyan al fortalecimiento en la toma de decisiones (Villalobos Carmona, 2010; Zaini &
Masrek, 2013).
La información es el principal activo de muchas organizaciones y precisa ser protegida
adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la
actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con
riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden
dañar considerablemente tanto los sistemas de información como la información procesada y
almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles
adecuados que garanticen una gestión segura de los procesos del negocio, primando la protección
de la información. Para proteger la información de una manera coherente y eficaz es necesario
implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una
parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite
asegurar la información frente a la pérdida de:
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de
seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo
los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.
Las normas ISO/IEC 27001 y la ISO/IEC 27002 especifican los requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, además especifica los
requerimientos para la implementación de controles de seguridad frente a las necesidades de toda
la organización, frente a un proceso específico o un servicio, según el objetivo y los alcances del
SGSI que se haya definido.
Se puede afirmar que el tema de seguridad de la Información no es sólo un tema eminentemente
técnico, sino que también involucra procesos del negocio y actividades de gobierno corporativo,
que aseguren una continua gestión de los riesgos y aseguramiento de los niveles de seguridad
requeridos por la organización.
Dentro de los resultados generales más importantes de la aplicación de la metodología de
análisis y evaluación de riesgos, y los instrumentos diseñados están: Algunos de los problemas de
seguridad en las organizaciones evaluadas están relacionados principalmente con: el
desconocimiento sobre aplicación de las normas de seguridad de la información y las limitaciones
en la administración de seguridad informática y de la información que comprometen seriamente
la imagen Institucional. Las posibles causas origen de los problemas están: mínima cultura en el
tema de seguridad de información, la organización no formal del área informática, la no existencia
de responsables de la seguridad, no existencia o falta de cumplimiento de políticas y
procedimientos de seguridad dentro de la organización, falencias en el manejo de los inventarios
de activos informáticos, en general la competencia limitada del personal para proteger los activos
informáticos y de información frente a las amenazas y riesgos a que se ven enfrentadas.
Por objetivo apoyar de forma sostenible y continua a las organizaciones para mejorar su
competitividad, facilitando la información necesaria para la toma de decisiones.
Los procesos son una excelente opción para contribuir al avance y la competitividad de una
organización. Que se fundamenta en tomar decisiones adecuadas respecto a clientes, productos,
empleados, proveedores y procesos de negocio. Por lo tanto, es necesario tener mecanismos que
den soporte a una toma de decisiones eficiente.
En un mundo que está en un cambio constante y vertiginoso, es muy importante que una
empresa mantenga su versatilidad ante el cambio para poder mantenerse dentro de la
competitividad a nivel mundial. Este constante cambio obliga a las empresas a buscar nuevos
talentos y nuevas oportunidades. Cada área de una empresa maneja distintos volúmenes de
información los cuales aportan contenido a las bases de datos que deben ser utilizadas por estas
mismas áreas para poder actuar con antelación a distintos retos que presente la compañía, es por
eso que acceder de forma rápida y concisa a la información necesaria, debe convertirse en una
prioridad dentro de cada área, sin embargo el afán que lleva el constante cambio dentro del
mercado no se puede tardar la interacción con los datos que se necesitan para la toma de decisiones.
4.3 Marco Legal
La norma ISO 27001 auxilia a las empresas en el cumplimiento de los requisitos legales, los
cuales, tienen la finalidad de evitar la vulneración de la legislación o el incumplimiento de toda
obligación legal de las entidades de cualquier requisito de seguridad.
Pueden encontrarse sujetos a los requisitos legales o a los reglamentos contractuales de
seguridad tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión de
Seguridad de la Información.
Los requisitos correspondientes, tanto los requisitos legales como los reglamentos
contractuales, así como el enfoque seguido por la empresa para cumplirlos, tienen que encontrarse
definidos explícitamente, estar documentados e incluso mantenerse actualizados en cada Sistema
de Gestión de Seguridad de la Información basado en la norma ISO27001.
El desarrollo que se le da a los Sistemas de Gestión de Seguridad de la Información está sujeto
a los requisitos legales, las contractuales de seguridad y los reglamentos. Se debe determinar
procedimientos con el fin de cumplir la Ley de Protección Intelectual (LPI). Se tienen que
reconocer la totalidad de los activos que requieren protección de derechos de propiedad intelectual.
Se tiene que determinar los procedimientos necesarios para el cumplimiento de la Ley Orgánica
de Protección de Datos (LOPD). Se deben de reconocer todos los ficheros que contengan datos de
ámbito personal y establecer el nivel de protección que les corresponda.
La Seguridad de la Información basada en la ISO 27001 tiene que examinarse, estas revisiones
se realizan a través de diferentes políticas de seguridad y tiene que auditarse que las plataformas
técnicas y los sistemas de información satisfagan la totalidad de normas de implementación de
seguridad y controles de seguridad documentados que sean aplicables.
5. Metodología
El proyecto propuesto se desarrollará mediante el ejercicio de ingeniería aplicada, aborda un
diseño de investigación cualitativo, en donde la recolección de datos se realiza a partir de la
identificación de una problemática como es la vulnerabilidad ante amenazas de seguridad de la
información en el servicio de préstamo de computadores portátiles. En este sentido, es necesario
indagar en diversas fuentes de información relacionada con los procesos y actividades del servicio
y a su vez en políticas ya establecidas por la universidad para el cumplimiento de este.
La recopilación de información para dar un diagnóstico inicial se hará por medio de reuniones
y entrevistas al personal encargado del área de TI y Biblioteca, personas que hacen uso del servicio
y demás involucrados en su desarrollo e investigación. Para empezar con el análisis e identificación
del estado o nivel de madurez frente a la seguridad de la información, se requiere inventariar todos
los activos de información involucrados en el proceso susceptibles a ser atacados por diversas
amenazas (especialmente la información en servicios de red) y con esta acción dar valoración a
los riegos identificados, estimar su magnitud y evaluar la probabilidad e impacto de que se
materialicen las amenazas; para ello se utilizará la herramienta o instrumento de evaluación MSPI
Modelo de Seguridad y Privacidad de la Información de MinTic.
6. Programa de Auditoría
6.1 Objetivos del programa de auditoria
6.1.1 Objetivo General
Analizar la viabilidad de la implementación de la normal en el proceso de préstamo de equipos
de cómputo presentado por la universidad cooperativa de Colombia en su campus Cali sur
6.1.2 Objetivos específicos
Revisar los procesos que se llevan a cabo en el área de T.I. para el préstamo de equipos.
Revisar la documentación de los procesos que se llevan a cabo por el área de T.I.
Analizar los requisitos para un correcto préstamo del servicio.
Revisar el cumplimiento de actividades por parte de terceros.
Solicitar y analizar en el caso de que existan información sobre auditorias pasadas.
6.2 evaluación de los riesgos y oportunidades del programa de auditoria
Los siguientes son factores que puedes presentarse para retrasar o interrumpir el correcto
desarrollo de las actividades de auditoria.
Planificación:
Incumplimiento o inconsistencias en los horarios establecidos para las auditorias o reuniones
que podrían retrasar el proceso.
Recursos:
Mala determinación en los tiempos o periodos destinados para las auditorias.
Inadecuada asignación de recursos tanto económicos como digitales para el cumplimiento de la
auditoria.
Comunicación:
Ineficiencia en los canales de comunicación.
Control de la información documentada:
Determinación ineficaz de la información documentada necesaria requerida por los auditores y
las partes interesadas.
Disponibilidad y cooperación:
De las partes auditadas junto a la disponibilidad de evidencias a muestrear.
Establecimiento del programa de auditoria
Las personas responsables de la gestión del programa de auditoria deberán:
Establecer el alcance del programa de auditoria.
Asegurar la selección de los equipos auditores y la competencia generales para las actividades
de la auditoria.
Determinar y asegurar la provisión de todos los recursos necesarios.
Hacer el seguimiento, revisar y mejorar el programa de auditoria.
Comunicar el programa de auditoria al cliente.
7. Implementación del programa de auditoria.
Definir los objetivos y los criterios para cada auditoria
Nombre de tarea Comienzo Fin Nombres de los recursos
Analizar los activos, vulnerabilidades,
amenazas y riesgos del servicio 3/07/19 5/07/19 John Jairo Perez
Análisis de la documentación existente
en la organización para los procesos de
seguridad de la información.
10/07/19
14/07/19
John Jairo Perez
Definir los métodos a partir de los cuales se
evaluarán los riesgos y vulnerabilidades
identificadas respecto a la seguridad de la
información.
15/07/19
20/07/19
Hermes Duvan Urrea
Elegir y definir los métodos adecuados y
necesarios para evaluar los riesgos y
vulnerabilidades
22/07/19
25/07/19
Heidy Natalia Paredes
Identificar el nivel de madurez de
seguridad de la información frente al servicio
de préstamo de computadores portátiles.
30/07/19
02/08/19
John Jairo Perez
Documentar el resultado del análisis
realizado estableciendo el nivel de madurez 05/08/19 08/08/19 Heidy Natalia Paredes
Tabla. Objetivos del Programa de auditoría
P
Programar mantenimientos preventivos
Identificar los riesgos y peligros asociados al proceso
Programar revisión al cumplimiento de la política de seguridad de la información
H
Definir la política de seguridad de la información
Dar soporte técnico
Instalar y desinstalar equipos, aplicaciones y servicios de computo en fechas
programadas
Realizar mantenimientos preventivos y correctivos (según el evento)
Ejecutar las acciones de mitigación del riesgo
Reportar los incidentes, actos inseguros, condiciones peligrosas y accidentes de
trabajo y ambiental
Ejecutar procedimientos de contingencia y continuidad del negocio
Investigar nuevas tecnologías de hardware y software
Administrar los canales de telecomunicaciones e internet
Identificar y establecer parámetros para la adquisición de nuevas herramientas,
equipos y/o servicios tecnológicos
Elaborar y restaurar copias de seguridad
V
Cumplir la política de la seguridad de la información
Velar por el correcto funcionamiento de la infraestructura tecnológica
A
Ajustar las políticas de seguridad informática.
Formular acciones de mejora
Fuente: Autores
Tabla. Métodos de auditoria
Grado de involucramiento
entre el auditor y el auditado
Ubicación del auditor
En el lugar A distancia
Interacción humana Realizar entrevistas.
Completar listas de
verificación y cuestionarios
con la participación del
auditado.
Revisar los documentos con
la participación del
auditado.
A través de medios de
comunicación interactivos:
-realizar entrevistas
-observar el trabajo
realizado con un guía
remoto
-completar listas de
verificación y cuestionarios.
-revisar los documentos con
la participación del
auditado.
Sin interacción humana Revisión de documentos. Revisión de documentos. Observar el trabajo Observar el trabajo desempeñado. desempeñado a través de Realizar visitas al sitio. medios de vigilancia, Completar listas de considerando los requisitos verificación. sociales y legales. Analizar los datos.
Asignación de responsabilidades al líder del equipo auditoria para una auditoria individual
Gestión de los resultados del programa de auditoria
Revisar que la auditoria individual cumpla un objetivo del programa de auditoria.
La revisión de la eficacia de las acciones tomadas para tratar los hallazgos de auditoria.
La distribución de informes de auditoría a las partes interesadas pertinentes.
Gestión y mantenimiento de los registros del programa de auditoria.
Registros relacionados con el programa de auditoria tales como el cronograma de las auditorias
(pensar si tenemos más de una auditoria), los objetivos y alcances del programa de auditoria, los
registros de cada auditoria, los registros relacionados con el equipo auditor.
Seguimiento del programa de auditoria.
Cumplimiento de calendarios, cronogramas, cumplimiento de objetivos, desempeño del equipo
auditoria, hallazgos de la auditoria, eficacia de los planes de auditoria, los requisitos del cliente de
la auditoria.
Revisión y mejora del programa de auditoria.
Identificación de áreas y oportunidades para la mejora, cambios del programa de auditoria,
presentación de informes.
8. Informe de Resultados: Análisis Inicial del Nivel de Madurez del Servicio de Préstamo
de Equipos Portátiles Frente a la Seguridad de la Información
Para el proceso de análisis inicial del nivel de madurez se evaluó de principio a fin el proceso
de préstamo de portátiles, desde que el dispositivo es entregado al usuario, su uso, actividades
desarrolladas y devolución de este mismo; además se recopiló información de entrevistas al equipo
de funcionarios del área de TI y Biblioteca.
Con dicho análisis inicial y dando soporte particular a los requisitos de un sistema de gestión
de seguridad de la información de acuerdo con la norma NTC-ISO/IEC 27001, frente a la
viabilidad de implementación en el servicio de préstamo de computadores portátiles, se identificó
que es necesario implementar una serie de requisitos y controles para la mejora de los procesos y
servicios prestados; ya que se evidenciaron vulnerabilidades haciendo referencia a los tiempos
definidos para los mantenimientos de los equipos, permanencia de archivos descargados y
documentos creados, no hay una limpieza constante de caché ni del historial de navegación, los
usuarios se pueden conectar a redes abiertas y externas del campus sin ninguna restricción
operacional y los antivirus instalados no son eficientes. Este tipo de omisiones dan lugar a riesgos
de confidencialidad de datos por cada usuario que utiliza los computadores, espionaje, vandalismo,
pérdida de información, etc.
La universidad debería garantizar que los recursos para el tratamiento y valorización del riesgo
estén disponibles continuamente para revisar el riesgo, tratar las amenazas o vulnerabilidades
nuevas o con cambios y asesorar a la dirección según corresponda.
A continuación, se enlistan los controles que se deben aplicar para asegurar un mejoramiento
del proceso de préstamo de equipos portátiles:
-A.8.1 Responsabilidad por los activos.
-A.8.3 Manejo de medios.
-A.8.1.3 Se debe identificar, documentar e implementar reglas para el uso aceptable de
información y de activos asociados con la misma e instalaciones de procesamiento.
-A.8.3.1 Se deben implementar procedimientos para la gestión removibles, de acuerdo con el
esquema de clasificación adoptado por la organización.
-A.11.2 Equipos.
-A.11.2.5 Los equipos, información o software no se deben retirar de su sitio sin autorización
previa.
-A.11.2.6 Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de la
instalación de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de dichas
instalaciones.
-A.11.2.7 Se deben verificar todos los elementos de equipos que contengan medios de
almacenamiento para asegurar que cualquier dato confidencial o software licenciado haya sido
retirado o sobrescrito en forma segura antes de su disposición o rehusó.
-A.11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios de
almacenamiento removibles, y una política de pantalla limpia en las instalaciones de
procesamiento de información.
-A.16.1.1 Se deben establecer las responsabilidades y procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
-A.12.5 Control de software operacional.
-A.12.5.1 Se debe implementar procedimientos para controlar la instalación de software en
sistemas operativos.
-A.13.1 Gestión de la seguridad de las redes.
-A.13.1.1Las redes se deben gestionar y controlar para proteger la información en sistemas y
aplicaciones.
9. Auditoría al Proceso de Préstamo de Computadores Portátiles en la Biblioteca de la
Universidad Cooperativa de Colombia sede Cali sur.
9.1 Proceso de préstamo de computadores portátiles
La Universidad Cooperativa, con el fin de apoyar constantemente el proceso de formación de
sus estudiantes y el desarrollo de actividades de docentes y demás funcionarios, desde hace varios
años ha integrado al servicio de biblioteca el préstamo de computadores portátiles para que estos
cuenten con la oportunidad de realizar consultas en la web, desarrollar talleres u otra serie de
actividades de índole educativo.
El préstamo de computadores portátiles en la biblioteca es un servicio que se ha buscado
mejorar desde hace tiempo, ofreciendo equipos de alta calidad, fácil acceso, buena conexión web
e instalación de software necesario y requerido para cada uno de sus usuarios en sus diferentes
perfiles. Este tipo de servicios, de una forma u otra implica que se determinen aspectos importantes
referentes a la seguridad de la información de los usuarios al hacer uso de los equipos (accesos,
cuentas de usuarios, archivos y documentos, historial de navegación, etc.) y a su vez la integridad
de los activos; este, se convierte en un proceso de gran importancia, haciendo necesario conocer
su funcionamiento interno a fin de detectar posibles situaciones que se encuentren en contravía a
lo establecido por la Norma NTC-ISO-IEC 27001:2013.
9.2 Alcance
Para todas las actividades del proceso de préstamo de computadores portátiles, en cuanto al
manejo, control y clasificación de la información involucrada de forma directa o indirecta en el
uso de los equipos, de acuerdo con lo establecido en la política de seguridad de la información.
9.3 Seguridad del proceso
El proceso de préstamo de computadores portátiles en el tema de seguridad está a cargo del
personal de la biblioteca y el personal del área de TI.
Desde la biblioteca se realiza el registro de la persona que solicita el préstamo e información
asociada a la solicitud (id del computador, hora entrega y hora de devolución, estado del equipo
etc.) a través del software EsLibro; además se gestiona el control de entrega y devolución de los
equipos. El préstamo se realiza por máximo 3 horas con oportunidad de renovar el tiempo si se
requiere y este servicio sólo está disponible para personas integrantes de la comunidad
universitaria, y son invitados o personas externas, sólo se realiza si cuenta con una autorización
previa por escrito.
El personal de TI se encarga de configurar y controlar el acceso a internet, configurar los
computadores, instalación de antivirus, crear perfiles de usuario, instalación de software requerido,
entre otro tipo más de configuraciones.
Adicionalmente se ejecutan y controlan las siguientes actividades, en busca del aseguramiento
de calidad y seguridad del servicio:
La información registrada en los equipos como archivos creados y/o descargados, historial de
navegación, cuentas de acceso a diversas aplicaciones y plataformas, sólo se elimina cada que
culmina el semestre educativo.
El antivirus se actualiza cada que culmina el semestre educativo.
Sólo se permite la instalación de software a usuarios con perfil de administrador.
Cada uno de los computadores son monitoreados para controlar la posible salida de las
instalaciones de la universidad.
Se realiza el control de ancho de banda para el acceso a redes sociales, juegos y aplicaciones
de entretenimiento como YouTube.
Se permite la conexión a redes de internet externas a la universidad.
El bloqueo de páginas y contenidos web, la definición de reglas de administración, filtrado y
ver reportes de usuarios, grupos y dispositivos se realiza a través de los servicios que ofrece el
software Open DNS.
9.4 Determinación y evaluación de los riesgos y oportunidades del programa de auditoria
En la siguiente tabla se listan los activos identificados involucrados en el proceso de préstamos
de computadores portátiles; vulnerabilidades encontradas, amenazas y controles que se aplican en
la actualidad.
Adicionalmente, se establecen las matrices de impactos asociadas a las vulnerabilidades y
amenazas identificadas, en los aspectos organizacional, económico, legal e imagen para la
institución.
Tabla. Activos, amenazas, vulnerabilidades y controles
ACTIVOS/GRUPOS
AMENAZAS
VULNERABILIDADES
CONTROLES
EXISTENTES
HARDWARE
Polvo, corrosión,
congelamiento
Susceptibilidad a la humedad, el polvo y la suciedad
Protección adecuada del activo
físico
Hurto de medios o
documentos
Almacenamiento sin protección
Protección adecuada del activo
físico
Hurto de medios o
documentos
Copia no controlada
Controles de acceso a áreas de
riesgo
ESLIBRO
Abuso de los derechos Ausencia de terminación de sesión cuando se abandona
la estación de trabajo Cierre de sesión automático al
detectar inactividad
Abuso de los derechos
Asignación errada de los derechos de acceso
Verificación periódica de los perfiles de usuario
RED
Escucha encubierta
Trafico sensible sin protección Políticas y procedimientos de
transferencia de información
Escucha encubierta
Líneas de comunicación sin protección
Políticas y procedimientos de
transferencia de información
Espionaje remoto
Transferencias de contraseñas
Gestión de llaves
Uso no autorizado del
equipo
Conexiones de red pública sin protección
Controles de redes
SOFTWARE
Manipulación de
software
Descarga y uso no controlado de software
Restricciones sobre la
instalación de software
Error en el uso
Uso incorrecto de software y hardware
Instalación de software en
sistemas operativos
Abuso de los derechos
Ausencia de terminación de la sesión
Política de control de acceso
Abuso de los derechos
Disposición o reutilización de los medios de almacenamiento sin borrado adecuado
No permitir el uso de medios
Fuente: Autores
Matrices de Evaluación de Riesgos / Impacto
Tabla. Matriz de Evaluación de Riesgos (Descripción)
MATRIZ DE EVALUACIÓN DE RIESGOS
PROBABILIDAD
1 2 3 4 5
EXCEPCIONAL
MENTE
ALGUN
AS VECES
PROBABLEM
ENTE
REGULARM
ENTE
CONSTANTE
MENTE
Puede ocurrir solo
en casos muy
especiales
No se
espera que
ocurra
Puede ocurrir algunas veces
Ocurrirá en la mayoría de veces
Ocurre en todas las circunstancias
MODERADO MODER
ADO ALTO ALTO MUY ALTO
BAJO MODER ADO
MODERADO ALTO ALTO
BAJO MODER
ADO MODERADO MODERADO ALTO
BAJO BAJO MODERADO MODERADO MODERADO
BAJO BAJO BAJO BAJO MODERADO
Fuente: Autores
Tabla. Matriz de Evaluación de Riesgos (Valores)
MATRIZ DE EVALUACIÓN DE RIESGOS
PROBABILIDAD
1 2 3 4 5
EXCEPCION
ALMENTE
ALG
UNAS
VECES
PROBABL
EMENTE
REGULA
RMENTE
CONSTAN
TEMENTE
Puede ocurrir
solo en casos
muy especiales
No se
espera
que ocurra
Puede
ocurrir
algunas veces
Ocurrirá
en la mayoría
de veces
Ocurre en
todas las
circunstancias CLASIFICAC
IÓN
CATAST
ROFICO 5 10 15 20 25
MAYOR 4 8 12 16 20
GRAVE 3 6 9 12 15
MENOR 2 4 6 8 10
INSIGNIF
ICANTE 1 2 3 4 5
Fuente: Autores
ECONÓMICO I
M
P
A
C
T
O
PROBABILIDAD
ORGANIZACIONAL I
M
P
A
C
T
O
PROBABILIDAD
LEGAL I
M
P
A
C
T
O
PROBABILIDAD
IMAGEN I
M
P
A
C
T
O
PROBABILIDAD
5
4 X
3
2
1
1 2 3 4 5
5 X
4
3
2
1
1 2 3 4 5
5
4
3
2
1 X
1 2 3 4 5
5 X
4
3
2
1
1 2 3 4 5
A continuación, se establece la probabilidad de cada uno de los riesgos y el impacto frente al
factor organizacional, económico, legal e imagen:
Suplantación de roles debido a la falta de protocolos de seguridad de acceso de la red de
la Universidad afectando posible extracción de información de la base de datos de los
Estudiantes.
ORGANIZACIONAL I
M
P
A
C
T
O
PROBABILIDAD
ECONÓMICO I
M
P
A
C
T
O
PROBABILIDAD
LEGAL I
M
P
A
C
T
O
PROBABILIDAD
IMAGEN I
M
P
A
C
T
O
PROBABILIDAD
5 X
4
3
2
1
1 2 3 4 5
5 X
4
3
2
1
1 2 3 4 5
5
4
3
2
1 X
1 2 3 4 5
5 X
4
3
2
1
1 2 3 4 5
Eliminación de registros de usuario en la base de datos de estudiantes causado por un
error en el uso de la plataforma debido a la falta de documentación de esta.
ORGANIZACIONAL I
M
P
A
C
T
O
PROBABILIDAD
ECONÓMICO I
M
P
A
C
T
O
PROBABILIDAD
LEGAL I
M
P
A
C
T
O
PROBABILIDAD
IMAGEN I
M
P
A
C
T
O
PROBABILIDAD
5
4 X
3
2
1
1 2 3 4 5
5
4
3
2 X
1
1 2 3 4 5
5
4
3
2
1 X
1 2 3 4 5
5
4
3
2
1 X
1 2 3 4 5
Eliminación de la trazabilidad de los registros causado por la ausencia de perfiles de
acceso a la plataforma de ESLIBRO.
Plan de trabajo
Programa de auditoria
Ejecutar Procedimientos
Realizar pruebas
Recopilar Evidencia
Documentar papeles de
trabajo
Estructurar Observaciones
Evaluar evidencia
Estructurar observación
Validar información
Comunicar información
Conformar hallazgos
Analizar respuestas
Evaluar evidencias
Estructurar y evaluar
evidencias
Redactar
conclusiones
10. Auditoría al Sistema de Gestión de Seguridad de la Información del Proceso de
Préstamo de Computadores Portátiles en la Biblioteca de la Universidad Cooperativa de
Colombia sede Cali sur. Respecto a la NTC ISO/IEC 27001:2013
La norma NTC ISO/IEC 27001:2013 contiene los requisitos aplicables a un sistema de gestión
de seguridad de la información para poder ser objeto de certificación.
Debido al alcance de este proyecto se busca únicamente auditar el proceso, con el fin de realizar
recomendaciones acerca de la viabilidad de la aplicación de la norma.
También puede ser aplicado a cualquier otro proceso o empresa con el objetivo de lograr que
su sistema de gestión de seguridad de la información cumpla los requisitos de certificación de la
norma.
A continuación, se revisa la documentación de auditoria para este trabajo lo que permitirá
generar las conclusiones del informe final de auditoria que será entregado a la dirección del
proceso y la facultad de ingeniería.
11. Realización de las Actividades de Auditoría
En este punto se procede a llevar a cabo los programas de auditoría que ha dejado como parte
de los productos de la fase de la implementación del SGSI. En esta fase se lleva a cabo el trabajo
de campo para recopilar, analizar los datos y obtener evidencias suficientes, pertinentes, relevantes
y competentes que sustentarán el trabajo profesional del auditor, con base en las cuales se
formularán las opiniones, observaciones y conclusiones respecto al cumplimiento de los criterios
evaluados.
11.1 Fase 1 Revisión Documental
11.1.1 Política de seguridad de la información.
En la Universidad Cooperativa de Colombia Sede Cali no existe previamente un documento
denominado o relacionado con la política de seguridad de la información, en el cual se expongan
las normas y artículos que rigen los comportamientos frente a la manipulación y gestión de
documentación y aplicaciones en la organización.
Sin embargo, algunos sub-procesos son explicados de manera verbal por directores o personal
encargado, provocando riesgos que han llevado a unas directrices y correcciones que orientan al
uso adecuado, pero permiten errores en manipulación de información y el incorrecto uso de
aplicaciones.
11.2 fase 2 Auditoria de Campo
11.2.1 Programa de auditoria
Fuente: UNIVERSIDAD COOPERATIVA DE COLOMBIA SEDE CALI.
NORMA: ISO-27001-2013
OBJETIVO Verificar el cumplimiento de los requisitos de la norma
enunciada según la auditoria
ALCANCE Proceso de préstamo de equipos de computo
Cronograma de Auditoria
Nombre de tarea Comienzo Fin Nombres de los recursos
Entrevistar al personal encargado del
servicio de préstamo de computadores 1/07/19 2/07/19 Hermes Duvan Urrea
Analizar los activos, vulnerabilidades,
amenazas y riesgos del servicio 3/07/19 5/07/19 John Jairo Perez
Análisis de la documentación existente
en la organización para los procesos de
seguridad de la información.
10/07/19
14/07/19
John Jairo Perez
Definir los métodos a partir de los cuales se
evaluarán los riesgos y vulnerabilidades
identificadas respecto a la seguridad de la
información.
15/07/19
20/07/19
Hermes Duvan Urrea
Elegir y definir los métodos adecuados y
necesarios para evaluar los riesgos y
vulnerabilidades
22/07/19
25/07/19
Heidy Natalia Paredes
Identificar el nivel de madurez de
seguridad de la información frente al servicio
de préstamo de computadores portátiles.
30/07/19
02/08/19
John Jairo Perez
Documentar el resultado del análisis
realizado estableciendo el nivel de madurez 05/08/19 08/08/19 Heidy Natalia Paredes
11.2.2
Preparación de
las actividades
de la auditoria
Objetivo: Determinar el grado de cumplimiento del proceso de SGSI frente al préstamo de
equipos portátiles de la biblioteca de la universidad cooperativa de Colombia
Alcance: El proceso para el préstamo de equipos portátiles de la Universidad Cooperativa sede
Cali-sur
Criterios: Norma ISO 27001 (especificar requisitos o controles, políticas y procedimientos)
Auditor Lider:
Heidy Natalia Paredes Paz
Equipo Auditor:
John Jairo Pérez Plaza - Duvan Urrea
Reunión de apertura:
8:00 AM
Reunión Cierre
10:00 AM
Fecha
Hora
Proceso Actividad
Observaciones
Auditado
Auditor(es)
10:30 Entrevista
Entrevista con el jefe de proceso
Administración biblioteca
John Pérez - Duvan Urrea
Julio
201
9
11:00 Revisión Documentación del
proceso Administración
biblioteca John Pérez -
Duvan Urrea
12:30 Inspección Revisión del proceso Auxiliares
Biblioteca John Pérez -
Duvan Urrea
1:40
Verificación Comparación entre la documentación y la
ejecución del proceso
Administración biblioteca
John Pérez - Duvan Urrea
2:30
Análisis Hallazgos encontrados
durante la verificación del proceso
Auxiliares Biblioteca
John Pérez - Duvan Urrea
2:40
Resultados Entrega de informe final
con hallazgos y oportunidades de mejora
Administración biblioteca
John Pérez - Duvan Urrea
11.2.3 Listados de Auditoría
Los resultados de las actividades anteriores se plasman en los listados de auditoria los cuales se
anexan a este documento y se detallan en el presente informe final de auditoria.
49
Tabla. Listados de Auditoría
50
Fuente: Autores
11.2.4 Diagnóstico implementación SGSI bajo la Norma NTC-ISO-IEC 27001:2013
Ponderación de la Auditoría
La siguiente tabla muestra los porcentajes promedio de los controles aplicados según la norma,
para los dominios: auditoría de contexto, ciclo de vida, auditoría de la cadena de suministro,
preparación de los documentos de trabajo de auditoría y auditoría de actividades y ubicación
virtuales.
51
Tabla. Ponderación de la auditoría
ITEM
DOMINIOS
CONTROLES
META
OBJETIVOS DE CONTROL
NIVEL DE MADUREZ DEL DOMINIO
A.8
Auditoria de Contexto
89%
50%
27%
Adminsitrativo
A.8.1
A.8.1.3
A8.3
A.8.3.1
A.11
Ciclo de Vida
89%
50%
27%
Adminsitrativo A.11.2
A.11.2.7
A.11.2.9
A.12 Auditoria de la Cadena de Suministro
89%
50%
27%
Repetible A.12.5
A.12.5.1
A.13 Preparacion de los documentos de
trabajo de auditoria
89%
50%
27%
Adminsitrativo A.13.1
A.13.1.1
A.16.1.1 Auditoria de Actividades y Ubicaciones
Virtuales 89% 50% 27% Adminsitrativo
Fuente: Autores
52
11.2.5 Informe Verificación de Cumplimiento.
Santiago de Cali, septiembre 22 de 2019
Señores:
Universidad Cooperativa de Colombia - Biblioteca.
Atención: Sra. Alejandra González
Directora de Biblioteca
Cordial saludo.
Luego de haber permitido llegar a su área de trabajo con el firme propósito de analizar la
viabilidad acerca de la implementación de la norma de calidad NTC-ISO-IEC 27001:2013 en el
proceso de préstamo de equipos de cómputo para empleados y estudiantes vinculados a la
universidad, en el periodo comprendido entre el mes de Abril hasta Septiembre, nos permitimos
presentar el informe formal de lo observado en el proceso donde se contó con el apoyo del personal
de biblioteca y de algunos estudiantes que realizaron las solicitudes, además de toda su disposición
para la realización del ejercicio.
Datos generales
Fechas de la auditoria: 01 de Julio al 08 de agosto de 2019
Tipo de Auditoria: validación de cumplimiento de la Norma
Criterios Aplicados: Norma NTC ISO-IEC 27001:2013
Cliente de Auditoria: Biblioteca de la universidad cooperativa de Colombia
53
Objetivo de la Auditoria: Verificar el cumplimiento de los objetivos de control de la norma ISO
27002:2013
Alcance de la Auditoria: departamento de TIC y biblioteca de la universidad cooperativa de
Colombia sede Cali
Metodología: Visita en Sitio
El grupo auditor realizo varias visitas a la biblioteca de la universidad cooperativa de Colombia
sede Cali ubicada en la Carrera 73 # 2A - 80 con el objetivo de Analizar la viabilidad de
implementar la norma ISO 27001 en el servicio de préstamo de computadores portátiles. El equipo
auditor realizo una entrevista a los auxiliares encargados con respecto al proceso que se está
realizando, las cuales permitieron al equipo auditor enterarse de cómo actualmente se maneja el
proceso de préstamo de equipos portátiles en la universidad
El equipo auditor diseño un cuestionario que diligencio en compañía de los líderes del proceso
y procesos relacionados, estas preguntas realizadas serán los que arrojen una imagen del estado de
la seguridad de la información respecto a la norma NTC ISO-IEC 27001:2013, para asi poder hacer
el análisis de la viabilidad de aplicación de la norma.
1. ¿Dónde se ingresan los datos de los estudiantes que van a solicitar un préstamo de equipos
portátiles
2. Quienes son los encargados de recibir los equipos
3. Cada cuanto se borra la información que los estudiantes o docentes utilizan o descargan en los
equipos
4. Quien es la persona encargada de la toma de decisiones en caso de multas en la biblioteca
5. Que software manejan para el ingreso a la BD de los estudiantes o docentes que realizan los
prestamos
54
6. Cuánto tiempo puede un estudiante o docente tener un equipo en préstamo
7. Cuáles son los espacios donde los estudiante y docente pueden usar el equipo portátil en
préstamo
8. Qué tipo de multas aplican a los estudiantes que no cumplen con el reglamento de préstamo
9. ¿Tienen restricción de navegación?
10. ¿Tienen restricción para que los equipos no se conecten a redes diferentes a las de la
universidad?
11. ¿Los puertos USB de los equipos portátiles se encuentran abiertos?
12. Que antivirus manejan los equipos portátiles
13. ¿El software ESLIBRO es libre o se programó solo para la universidad?
14. ¿Qué controles tiene para el retiro de equipos de la biblioteca?
11.2.6. Seguimiento a los Planes de Mejora Derivados de la Auditoría Interna
Objetivo General
Determinar el cumplimiento y el estado de avance de las acciones establecidas en los planes de
mejoramiento frente al análisis de la viabilidad de la implementación de la norma ISO 270001,
producto de la auditoría realizada por los estudiantes de la Universidad Cooperativa de Colombia
sede Cali-sur.
Alcance
Confirmación de los avances logrados en la gestión de los planes de mejora, desarrollada entre
abril y septiembre del año 2019, según los soportes de cumplimiento aportados por la biblioteca y
el área de TI de la Universidad Cooperativa de Colombia.
55
DEPENDENCIAS PROVEEDORAS DE INFORMACIÓN
Oficina de Tecnologías de la Información y las Comunicaciones
Biblioteca de la Universidad Cooperativa de Colombia
Facultad de Ingeniería
Principales criterios
Matriz de seguimiento de planes de mejoramiento de auditorías internas, administrada por
Icontec internacional GTC ISO 19011:2018
Evidencias aportadas por cada dependencia responsable de planes de mejora
Resultados
Se observó que a la fecha de este seguimiento, en la biblioteca y el área de TI de la Universidad
Cooperativa de Colombia sede Cali-sur, aún se está POR DEFINIR el plan de acción (fechas,
responsables) conducente a la identificación, clasificación y administración de la información
sensible dentro de los equipos de cómputo y de los planes de acción referentes a las conexiones
inalámbricas a las que los equipos de cómputo se conectan sin ninguna supervisión; también se
está pendiente por aplicar el plan de acción referente a los antivirus y mantenimientos de los
equipos, ya que la problemática más notoria son las fechas de mantenimientos de los equipos
debido al grado de privacidad y nivel de riesgo, el cual debe ajustarse también al marco normativo
y estándares aplicables (entre éstos, NTC ISO 27001) debido a que la información queda abierta
para la manipulación por parte de docentes y estudiantes u otros usuarios del servicio de préstamo.
56
Como resultado de lo anterior, se identificó que continúa en ejecución las acciones de mejora,
cuyo avance es definido por la programación de las dependencias encargadas de la aplicación del
plan de auditoria.
57
12. Resultados e impactos
Para el proceso de análisis inicial del nivel de madurez se evaluó de principio a fin el proceso
de préstamo de portátiles, desde que el dispositivo es entregado al usuario, su uso, actividades
desarrolladas y devolución de este mismo; además se recopiló información de entrevistas al equipo
de funcionarios del área de TI y Biblioteca.
Con dicho análisis inicial y dando soporte particular a los requisitos de un sistema de gestión
de seguridad de la información de acuerdo con la norma NTC-ISO/IEC 27001, frente a la
viabilidad de implementación en el servicio de préstamo de computadores portátiles, se identificó
que es necesario implementar una serie de requisitos y controles para la mejora de los procesos y
servicios prestados; ya que se evidenciaron vulnerabilidades haciendo referencia a los tiempos
definidos para los mantenimientos de los equipos, permanencia de archivos descargados y
documentos creados, no hay una limpieza constante de caché ni del historial de navegación, los
usuarios se pueden conectar a redes abiertas y externas del campus sin ninguna restricción
operacional y los antivirus instalados no son eficientes. Este tipo de omisiones dan lugar a riesgos
de confidencialidad de datos por cada usuario que utiliza los computadores, espionaje, vandalismo,
pérdida de información, etc.
La universidad debería garantizar que los recursos para el tratamiento y valorización del riesgo
estén disponibles continuamente para revisar el riesgo, tratar las amenazas o vulnerabilidades
nuevas o con cambios y asesorar a la dirección según corresponda.
A continuación, se enlistan los controles que se deben aplicar para asegurar un mejoramiento
del proceso de préstamo de equipos portátiles:
A.8.1 Responsabilidad por los activos
58
A.8.3 Manejo de medios
A.8.1.3 Se debe identificar, documentar e implementar reglas para el uso aceptable de
información y de activos asociados con la misma e instalaciones de procesamiento.
A.8.3.1 Se deben implementar procedimientos para la gestión removibles, de acuerdo con el
esquema de clasificación adoptado por la organización
A.11.2 Equipos
A.11.2.5 Los equipos, información o software no se deben retirar de su sitio sin autorización
previa
A.11.2.6 Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de la
instalación de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de
dichas instalaciones
A.11.2.7 Se deben verificar todos los elementos de equipos que contengan medios de
almacenamiento para asegurar que cualquier dato confidencial o software licenciado haya sido
retirado o sobrescrito en forma segura antes de su disposición o rehusó
A.11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios de
almacenamiento removibles, y una política de pantalla limpia en las instalaciones de
procesamiento de información
A.16.1.1 Se deben establecer las responsabilidades y procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información
A.12.5 Control de software operacional
A.12.5.1 Se debe implementar procedimientos para controlar la instalación de software en
sistemas operativos
A.13.1 Gestión de la seguridad de las redes
A.13.1.1Las redes se deben gestionar y controlar para proteger la información en sistemas y
aplicaciones
59
13. Conclusiones
En el análisis sobre la implementación de la norma NTC-ISO/IEC 27001 en el servicio de
préstamo de computadores portátiles, se identificó que la seguridad de la información está
relacionada directamente con las metodologías, procesos y procedimientos de dicho proceso;
debido a esto, se requiere realizar revisiones y seguimientos constantes a partir de la
implementación de diferentes políticas de seguridad, donde la plataforma técnica y los sistemas de
información satisfagan en su totalidad de normas de seguridad y controles documentados que sean
aplicables durante la auditoria, verificando el cumplimiento de los objetivos propuestos, los cuales
permiten detectar los puntos débiles que se deben mejorar.
El proceso se llevó a cabo con los encargados de TI, los directivos de la institución, auxiliares
y coordinadores de la biblioteca, contemplando las políticas y controles que se deben aplicar para
mitigar este tipo de riesgos y amenazas, a su vez los beneficios que traen este tipo de acciones, en
cuanto al aseguramiento de la información y protección de activos, conllevando así a un
mejoramiento en la calidad de los servicios y generando confianza por parte de los estudiantes y
demás que acceden a él.
La norma ISO 27001, al ser un estándar internacional aportaría al servicio de préstamo de
computadores portátiles beneficios como: reducción de riesgos que produzcan pérdidas de
información, revisión continua de los riesgos, establecer una metodología para gestionar la
seguridad de la información de manera clara y concisa, implantar medidas más seguras, asemejar
incidencias constantemente y de este modo fomentar la mejora continua en el área de TI y la
biblioteca.
60
14. Recomendaciones
Se recomienda al personal responsable de las actividades relacionadas con la seguridad de
información, asumir la tarea de brindar apoyo en todos los procesos relacionados con esta temática;
concientizando y capacitando al personal de TI y a todos auxiliares de la biblioteca de la
universidad Cooperativa de Colombia Cali, con el fin de ir implementado en su cultura
organizacional aspectos relacionados con la seguridad de la información y a su vez crear modos
de trabajo eficaces y de alta calidad.
Establecer un cronograma de auditorías internas de seguridad de la información de manera
semestral donde se evalúe el cumplimiento de los procesos basados en la norma ISO 27001, con
el fin de mejorar la continuidad de sistema y mitigar riesgos.
61
15. Bibliografía
Cardona Hernandez, L. M. (2016). Influencia del comportamiento de los usuarios en la seguridad
de la información personal y empresarial al utilizar tecnología móvil (Order No. 10251937).
Available from Materials Science & Engineering Collection; ProQuest Central. (1886460414).
Chaverra Mojica, J.J., Vélez, H. d., J.Restrepo, & García, ,J.F.P. (2015). El teletrabajo y la
seguridad de la información empresarial/Teleworking and security of business
information. Revista Cintex, 20(1), 111-121.
José, G. A., Ramón Armando, B. T., & Dewar Willmer, R. B. (2015). Implantación de un sistema
de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la
información. Tecnura, 19(46), 123-134.
los Ángeles Ruiz, María de, & Bas, A. B. (2014). La gestión documental y su impacto en el sector
empresarial cubano (document management and its impact on cuban enterprise
sector). GECONTEC, 2(1), 60-75
Torcoroma Velásquez Pérez, Andrés Mauricio, P. V., & Pérez Pérez, Y. M. (2015). Un enfoque
de buenas prácticas de gobierno corporativo de TI. Tecnura, 19, 159-169.
Translated by ContentEngine, L. L. C. (2019, Jan 10). El futuro en empresas de seguridad de la
información. CE Noticias Financieras
62
Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la implementación de un
sistema de gestión de seguridad de la información basado en la familia de normas ISO/IEC
27000. Revista Ibérica De Sistemas e Tecnologias De Informação, (22), 73-88.
Vanegas, A., & Pardo, C. J. (2014). Hacia un modelo para la gestión de riesgos de TI en MiPyMEs
: MOGRIT. Revista S&T, 12(30), 35–48.
ICONTEC. (2009). Norma Técnica Colombiana. NTC-ISO/IEC 27005. Tecnología de
Información. Técnicas de Seguridad. Gestión del riesgo en la seguridad de la información.
Retrieved from https://tienda.icontec.org/wp-content/uploads/ pdfs/NTC-ISO-IEC27005.pdf.
Diaz, A. (2010). Sistema de Gestión de la Seguridad de la Información. Revista Calidad, (IV), 18–
20.
Duque, A. C. (2017). Metodología para la gestión de riesgos. Como integrar la seguridad a los
objetivos estratégicos de los negocios de una manera costobeneficiosa. Retrieved April 10, 2017,
from http://www.ridsso.com/documentos/ muro/207_1469148692_57916e1488c74.pdf
Matalobos Veiga, J. M. (2009). Análisis de riesgos de seguridad de la información. Tesis de grado.
Madrid: Universidad Politécnica de Madrid.
Fernández, J., y Alonso, E. F. (2013). Seguridad en Informática. Aprocal, 1, 3-5. Recuperado
de http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0.pdf
63
Castro, A. R., y Bayona, Z. O. (2011). Gestión de Riesgos tecnológicos basada en ISO 31000 e
ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2), 56–66.