INTERFACES Y SOLUCIONES S.A.S DIAGNÓSTICO INICIAL …repository.udistrital.edu.co/bitstream/11349/6737/2/MoyanoOrjuelaLuz... · Información Clasificada Versión. 1.0 Fecha: junio

ANEXO A - DIAGNÓSTICO INICIAL ISO/IEC 27001:2013

Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 1 de 25

ANEXO A

INTERFACES Y SOLUCIONES S.A.S

DIAGNÓSTICO INICIAL ISO/IEC 27001:2013 DI-SGSI-01

Elaborado Por: Revisado Por: Aprobado Por:

Yasmin Suárez Adriana Moyano

Ing. Jairo Hernández Gutiérrez

Ing. Jorge Pérez Acosta

Fecha: junio 2017 Fecha: junio 2017 Fecha: junio 2017

Cargo: Pasantes a cargo del SGSI

Cargo: Director y Asesor del trabajo de grado

Cargo: Director de Proyectos I&S



Tabla de Contenido 0. INTRODUCCIÓN 4

1. EVALUACIÓN INICIAL 5

2. ENCUESTA 5

A5 Política de seguridad 6

A6 Organización de la SI 6

A7 Seguridad de los RRHH 7

A8 Gestión de activos 8

A9 Control de accesos 8

A10 Criptografía 9

A11 Seguridad física y ambiental 9

A12 Seguridad en las operaciones 10

A13 Seguridad en las comunicaciones 11

A14 Adquisición de sistemas, desarrollo y mantenimiento 12

A15 Relación con proveedores 13

A16 Gestión de los incidentes de seguridad 13

A17 Continuidad del negocio 14

A18 Cumplimiento con requerimientos legales y contractuales 14

3. RESULTADOS 15

A5 Política de seguridad. 16

A6 Organización de la seguridad de la información. 16

A7 Seguridad de los RRHH. 17

A8 Gestión de activos. 18

A9 Control de accesos. 18

A10 Criptografía. 19

A11 Seguridad física y ambiental. 19

A12 Seguridad en las operaciones. 20



A13 Seguridad en las Comunicaciones. 21

A14 Adquisición de sistemas, desarrollo y mantenimiento. 22

A15 Relación con proveedores. 22

A16 Gestión de los incidentes de seguridad. 23

A17 Continuidad del negocio. 23

A18 Cumplimiento con requerimientos legales y contractuales. 24



0. INTRODUCCIÓN

El presente documento describe el estado de la Seguridad de la Información (SI) en Interfaces y Soluciones S.A.S (I&S) hasta la fecha. El diagnóstico de la SI en la organización es de los primeros pasos para la realización del plan de implementación del SGSI, de forma que se evalúa el cumplimiento de cada uno de los dominios descritos por la norma ISO/IEC 27001:2013.



1. EVALUACIÓN INICIAL

Entre los pasos iniciales para desarrollar el plan de implementación del SGSI basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño y mejoras, los cuales se convierten en elementos esenciales para actuar según la norma. La evaluación permite establecer el nivel de cumplimiento de la norma en I&S. Por lo tanto, las respuestas posibles para la encuesta aplicada son: NC, CP, CS. De acuerdo a la información que se presenta en la siguiente tabla: Tabla 1 Parámetros de evaluación

Sigla Estado de Evaluación Descripción

NC NO CUMPLE No existe y/o no se está haciendo

CP CUMPLE PARCIALMENTE

Lo que la norma requiere (ISO/IEC 27001 versión 2013) se está haciendo de manera parcial, se está haciendo diferente, no está documentado, se definió y aprobó pero no se gestiona

CS CUMPLE SATISFACTORIAMENTE

Existe, es gestionado, se está cumpliendo con lo que la norma ISO/IEC 27001 versión 2013 solicita, está documentado, es conocido y aplicado por todos los involucrados en el SGSI cumple 100%

Tabla 1. Fuente: Elaboración Propia

2. ENCUESTA

A continuación se presenta la encuesta aplicada en Interfaces y Soluciones a Jorge Luis Pérez, gerente de proyectos de la organización. Con la encuesta se evalúan 106 ítems que hacen referencia a los dominios de: Política de seguridad, Organización de la SI, Seguridad de los RRHH, Gestión de activos, Control de accesos, Criptografía, Seguridad física y ambiental, Seguridad en las operaciones, Seguridad en las comunicaciones, Adquisición de sistemas, desarrollo y mantenimiento, Relación con proveedores, Gestión de los incidentes de seguridad, Continuidad del negocio y Cumplimiento con requerimientos legales y contractuales.



A5 Política de seguridad Tabla 2 Encuesta A5

SECCIÓN DOMINIO ELEMENTO A EVALUAR HALLAZGO

A5 Política de seguridad Existen documento(s) de políticas de seguridad de SI NC

A5 Política de seguridad Existe normativa relativa a la seguridad de los SI NC

A5 Política de seguridad Existen procedimientos relativos a la seguridad de SI CP

A5 Política de seguridad Existe un responsable de las políticas, normas y procedimientos CP

A5 Política de seguridad Existen mecanismos para la comunicación a los usuarios de las normas NC

A5 Política de seguridad Existen controles regulares para verificar la efectividad de las políticas NC

Fuente: Elaboración Propia A6 Organización de la SI Tabla 3 Encuesta A6


A6 Organización de la SI Existen roles y responsabilidades definidos para las personas implicadas en la seguridad CP

A6 Organización de la SI Existe un responsable encargado de evaluar la adquisición y cambios de SI CP

A6 Organización de la SI La Dirección y las áreas de la Organización participa en temas de seguridad CS

A6 Organización de la SI Existen condiciones contractuales de seguridad con terceros y outsourcing NC

A6 Organización de la SI Existen criterios de seguridad en el manejo de terceras partes CP

A6 Organización de la SI Existen programas de formación en seguridad para los empleados, clientes y terceros NC



A6 Organización de la SI Existe un acuerdo de confidencialidad de la información a la que se accede CS

A6 Organización de la SI Se revisa la organización de la seguridad periódicamente por una empresa externa NC

Fuente: Elaboración Propia A7 Seguridad de los RRHH Tabla 4 Encuesta A7


A7 Seguridad de los RRHH

Se tienen definidas responsabilidades y roles de seguridad CP


Se tiene en cuenta la seguridad en la selección y baja del personal

CP


Se plasman las condiciones de confidencialidad y responsabilidades en los contratos

CS


Se imparte la formación adecuada de seguridad y tratamiento de activos

CP


Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad

NC


Se recogen los datos de los incidentes de forma detallada CP


Informan los usuarios de las vulnerabilidades observadas o sospechadas

NC


Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades

NC


Existe un proceso disciplinario de la seguridad de la información

NC

Fuente: Elaboración Propia



A8 Gestión de activos Tabla 5 Encuesta A8


A8 Gestión de activos

Existe un inventario de activos actualizado CP


El Inventario contiene activos de datos, software, equipos y servicios

CP


Se dispone de una clasificación de la información según la criticidad de la misma

NC


Existe un responsable de los activos CP


Existen procedimientos para clasificar la información NC


Existen procedimientos de etiquetado de la información NC


A9 Control de accesos Tabla 6 Encuesta A9


A9 Control de accesos Existe una política de control de accesos CP

A9 Control de accesos Existe un procedimiento formal de registro y baja de accesos CP

A9 Control de accesos Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario NC

A9 Control de accesos Existe una gestión de los password de usuarios CP

A9 Control de accesos Existe una revisión de los derechos de acceso de los usuarios NC

A9 Control de accesos Existe el uso del password CS

A9 Control de accesos Se protege el acceso de los equipos desatendidos NC

A9 Control de accesos Existen políticas de limpieza en el escritorio de los equipos CP



A9 Control de accesos Existe una política de uso de los servicios de red NC

A9 Control de accesos Se asegura la ruta (path) desde el terminal al servicio NC

A9 Control de accesos Existe una autenticación de usuarios en conexiones externas CP

A9 Control de accesos Existe una autenticación de los nodos NC

A9 Control de accesos Existe un control de la conexión de redes NC

A9 Control de accesos Existe un control del routing de las redes NC

A9 Control de accesos Existe una identificación única de usuario y una automática de terminales NC

A9 Control de accesos Existen procedimientos de log-on al terminal NC

A9 Control de accesos Se ha incorporado medidas de seguridad a la computación móvil NC

A9 Control de accesos Está controlado el teletrabajo por la organización CP

Fuente: Elaboración Propia A10 Criptografía Tabla 7 Encuesta A10


A10 Criptografía Existen controles criptográficos NC

A10 Criptografía Existen procedimientos para uso de llaves criptográficas NC

A10 Criptografía Existe una política para la protección y tiempo de vida de las llaves criptográficas NC

Fuente: Elaboración Propia A11 Seguridad física y ambiental Tabla 8 Encuesta A11


A11 Seguridad física y ambiental

Existe perímetro de seguridad física(una pared, puerta con llave) CS




Existen controles de entrada para protegerse frente al acceso de personal no autorizado CS


Un área segura ha de estar cerrada, aislada y protegida de eventos naturales CP


En las áreas seguras existen controles adicionales al personal propio y ajeno CP


La ubicación de los equipos está de tal manera para minimizar accesos innecesarios CP


Existen protecciones frente a fallos en la alimentación eléctrica NC


Existe seguridad en el cableado frente a daños e intercepciones NC


Se asegura la disponibilidad e integridad de todos los equipos CP


Existe algún tipo de seguridad para los equipos retirados o ubicados externamente CP

A11 Seguridad física y ambiental Se incluye la seguridad en equipos móviles NC

Fuente: Elaboración Propia A12 Seguridad en las operaciones Tabla 9 Encuesta A12


A12 Seguridad en las operaciones

Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados CP


Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas CP


Existe una separación de los entornos de desarrollo y producción CP


Existen contratistas externos para la gestión de los Sistemas de Información NC




Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento CP

A12 Seguridad en las operaciones Controles contra software maligno CP


Realizar copias de backup de la información esencial para el negocio CS


Existen logs para las actividades realizadas por los operadores y administradores CP

A12 Seguridad en las operaciones Existen logs de los fallos detectados NC

A12 Seguridad en las operaciones Existen rastros de auditoría NC


Hay establecidos controles para realizar la gestión de los medios informáticos(cintas, discos, removibles, informes impresos) NC

Fuente: Elaboración Propia A13 Seguridad en las comunicaciones Tabla 10 Encuesta A13


A13 Seguridad en las comunicaciones Existe algún control en las redes NC

A13 Seguridad en las comunicaciones

Existe seguridad de la documentación de los Sistemas CP


Existen acuerdos para intercambio de información y software CP


Existen medidas de seguridad en el comercio electrónico NC


Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información publicada CS


Existen medidas de seguridad en las transacciones en línea NC




A14 Adquisición de sistemas, desarrollo y mantenimiento Tabla 11 Encuesta A14


A14

Adquisición de sistemas, desarrollo y mantenimiento

Están establecidas las responsabilidades para controlar los cambios en equipos CP

A14


Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones NC

A14


Se garantiza que la seguridad está implantada en los Sistemas de Información CP

A14

Adquisición de sistemas, desarrollo y mantenimiento Existe seguridad en las aplicaciones CP

A14


Existe seguridad en los ficheros de los sistemas CP

A14


Existe seguridad en los procesos de desarrollo, testing y soporte CP

A14


Existen controles de seguridad para los resultados de los sistemas CP

A14

Adquisición de sistemas, desarrollo y mantenimiento Existe la gestión de los cambios en los SO NC

A14


Se controlan las vulnerabilidades de los equipos NC




A15 Relación con proveedores Tabla 12 Encuesta A15


A15 Relación con proveedores

Existe una política de seguridad de la información para las relaciones con proveedores NC


Existe un acuerdo documentado con cada proveedor que tenga acceso a la infraestructura de TI NC


Se monitorean las actividades relacionadas a la seguridad con los proveedores NC


Los acuerdos con proveedores incluyen los requisitos para tratar los riesgos de la seguridad de la información NC

Fuente: Elaboración Propia A16 Gestión de los incidentes de seguridad Tabla 13 Encuesta A16


A16

Gestión de los incidentes de seguridad

Están establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad NC

A16

Gestión de los incidentes de seguridad Se comunican los eventos de seguridad CP

A16

Gestión de los incidentes de seguridad Se comunican los debilidades de seguridad CS

A16

Gestión de los incidentes de seguridad

Existe definidas las responsabilidades ante un incidente CP

A16

Gestión de los incidentes de seguridad Existe un procedimiento formal de respuesta CP

A16

Gestión de los incidentes de seguridad Existe la gestión de incidentes NC




A17 Continuidad del negocio Tabla 14 Encuesta A17


A17 Continuidad del negocio

Existen procesos para la gestión de la continuidad NC


Existe un plan de continuidad del negocio y análisis de impacto NC


Existe un diseño, redacción e implantación de planes de continuidad NC


Existe un marco de planificación para la continuidad del negocio NC


Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio NC

Fuente: Elaboración Propia A18 Cumplimiento con requerimientos legales y contractuales Tabla 15 Encuesta A18


A18

Cumplimiento con requerimientos legales y contractuales

Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas CP

A18


Existe el resguardo de la propiedad intelectual CS

A18


Existe el resguardo de los registros de la organización CS

A18


Existe una revisión de la política de seguridad y de la conformidad técnica NC

A18


Existen consideraciones sobre las auditorías de los sistemas NC




3. RESULTADOS

Tras el análisis se obtienen los siguientes resultados: Tabla 16 Resumen resultados

Dominio CS CP NC Items

Evaluados

A5 Política de seguridad 2 4 6

A6 Organización de la SI 2 3 3 8

A7 Seguridad de los RRHH 1 4 4 9

A8 Gestión de activos 3 3 6

A9 Control de accesos 1 6 11 18

A10 Criptografía 3 3

A11 Seguridad física y ambiental 2 5 3 10

A12 Seguridad en las operaciones 1 6 4 11

A13 Seguridad en las comunicaciones 1 2 3 6

A14 Adquisición de sistemas, desarrollo y mantenimiento 6 3 9

A15 Relación con proveedores 4 4

A16 Gestión de los incidentes de seguridad 1 3 2 6

A17 Continuidad del negocio 5 5

A18 Cumplimiento con requerimientos legales y contractuales 2 1 2 5

Suma total 11 41 54 106 Fuente: Elaboración Propia

54 de los ítems evaluados no se cumplen. 41 de los ítems evaluados son cumplidos parcialmente. 11 de los ítems evaluados se cumplen satisfactoriamente.

Gráfico 1. Resultado General



A nivel general, se destaca que se requiere una intervención inmediata a nivel de los dominios relacionados con políticas de seguridad, continuidad del negocio, criptografía y relación con los proveedores, puesto que son los que tienen mayor índice de incumplimiento con la norma y afectan la seguridad de la información que se requiere. A continuación se da un breve resumen de los hallazgos por cada dominio evaluado:

A5 Política de seguridad. Se busca que la dirección brinde orientación y soporte para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. Se observa que I&S tiene carencia documental de políticas, procedimientos y controles para garantizar la seguridad de la información.

Gráfico 2. Resultado Evaluación A5 Fuente: Elaboración Propia

A6 Organización de la seguridad de la información.

Se busca un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Se observa que I&S ha avanzado en la tarea de acuerdos de confidencialidad, la dirección junto con los miembros líder, intentan cambiar y mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y responsabilidades con respecto a la seguridad.




A7 Seguridad de los RRHH.

Se busca garantías de que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. Debido a que no existe una definición clara de responsabilidades y roles de seguridad, como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias para proteger los intereses de la organización, principalmente, en los procesos de cambio o terminación de empleo y la detección de vulnerabilidades.




A8 Gestión de activos.

Se deben identificar los activos organizacionales y definir las responsabilidades de protección adecuadas asegurando que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. Se observa que I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no está totalmente actualizado y hacen falta procedimientos documentados y comunicados al personal para la clasificación de la información según su criticidad.


A9 Control de accesos.

Es de vital importancia limitar el acceso a información y a instalaciones de procesamiento de información asegurando el acceso de los usuarios autorizados y evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace uso de contraseñas como medida para restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de desarrollar políticas de control de accesos, gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han tomado medidas basadas en el sentido común. Sin embargo, no existe documentación formal y/o estandarizada.




A10 Criptografía. Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para proteger la confidencialidad, autenticidad y/o la integridad de la información. Se observa que en I&S no existen procedimientos sobre el uso, protección y tiempo de vida de las llaves criptográficas. De hecho no existen controles criptográficos de forma que la información crítica puede verse expuesta fácilmente a amenazas de seguridad.


A11 Seguridad física y ambiental. Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no autorizado, el daño y la interferencia a la información. No obstante, se aconseja tomar acciones específicas, documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización. Puesto que se evidencia falta de protección frente a fallos en la alimentación eléctrica,



falta de seguridad en el cableado y no existen restricciones en el uso de equipos móviles.


A12 Seguridad en las operaciones.

Con la seguridad en las operaciones se busca obtener operaciones correctas y seguras de las instalaciones de procesamiento de información. Aquí, se incluyen controles contra códigos maliciosos, respaldo de la información, separación de los ambientes de desarrollo, pruebas y operación, registro de eventos. De forma empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de cumplimiento parcial. Pero es necesario documentar y poner a disposición los procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se detecta problemas principalmente en:

● Implementación de logs para la detección y seguimiento a fallos. ● Ausencia de auditorías internas y/o externas. ● Falta de controles para la gestión de medios informáticos (cintas, discos,

removibles, informes impresos).




A13 Seguridad en las Comunicaciones.

El nivel de preocupación por asegurar la protección de la información en las redes y la transferencia de información en I&S se ha enfocado en la implementación de medidas para proteger la confidencialidad e integridad de información publicada y acuerdos para intercambio de información y software con los clientes. Sin embargo, se encuentran falencias en cuanto al control de las redes y transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan las vulnerabilidades existentes.




A14 Adquisición de sistemas, desarrollo y mantenimiento.

El personal de I&S ha implementado tareas correspondientes a los procesos de adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común. Aunque, no hay comunicación formal de procedimientos estandarizados. Con las tareas realizadas se busca garantizar la seguridad de la información durante todo el ciclo de vida de los sistemas de información pero se requiere establecer y aplicar reglas para el desarrollo de software y de sistemas, junto con, la documentación, supervisión y seguimiento a las aplicaciones críticas del negocio.


A15 Relación con proveedores.

En I&S la relación con los proveedores se ha basado en una confidencialidad asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se estipulen todos los requisitos de seguridad de la información pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización. En este punto es indispensable asegurar la protección de los activos de la organización que sean accesibles a los proveedores y mantener el nivel acordado de seguridad de la información y de prestación del servicio alineado con los acuerdos que corresponden a los proveedores.




A16 Gestión de los incidentes de seguridad.

La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir responsabilidades y procedimientos que faciliten la evaluación de tales eventos y decisiones sobre ellos. Adicionalmente, no se encuentra una gestión de incidentes adecuada que incluya la recolección de evidencia y permita reducir la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.


A17 Continuidad del negocio.



En este dominio se hace necesario planificar, implementar, verificar, revisar y evaluar la continuidad de la seguridad de la información. I&S debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa puesto que en la encuesta realizada no se muestra evidencia de la existencia de los elementos esenciales para ello.


A18 Cumplimiento con requerimientos legales y contractuales.

Con el propósito de evitar el incumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con seguridad de la información I&S ha optado por tomar medidas parciales como el resguardo de la propiedad intelectual y de los registros de la organización: los documentos físicos están bajo llave en zonas seguras y solo pueden ser accedidos por personal autorizado. Sin embargo, la ausencia de políticas de seguridad, controles criptográficos y conformidades técnicas crean un estado de incertidumbre con respecto al cumplimiento de políticas y normas de seguridad incluyendo la privacidad y protección de los datos.




Documents

INTERFACES Y SOLUCIONES S.A.S DIAGNÓSTICO INICIAL …repository.udistrital.edu.co/bitstream/11349/6737/2/MoyanoOrjuelaLuz... · Información Clasificada Versión. 1.0 Fecha: junio