Upload
nguyendiep
View
218
Download
0
Embed Size (px)
Citation preview
AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN E INFRAESTRUCTURA DE TI,
AL ÁREA DE TI DE LA EMPRESA DE ENERGÍA DE ARAUCA ENELAR E.S.P. DEL
DEPARTAMENTO DE ARAUCA.
LUZ MARINA MINA CALDERÓN
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA DE SISTEMAS
PROGRAMA DE INGENIERÍA DE SISTEMAS
ARAUCA, ARAUCA. II – 2015
2
AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN E INFRAESTRUCTURA DE TI,
AL ÁREA DE TI DE LA EMPRESA DE ENERGÍA DE ARAUCA ENELAR E.S.P. DEL
DEPARTAMENTO DE ARAUCA.
LUZ MARINA MINA CALDERÓN
Trabajo de Practica social, empresarial o solidaria para optar al título de ingeniero de sistemas
Directores:
CARLOS EDUARDO PUENTES FIGUEROA
Ingeniero en telecomunicaciones, especialista en servicios telemáticos y telecomunicaciones
ANÍBAL FUENTES GALVIS
Ingeniero de sistemas, subdirector del área de TI de Enelar E.S.P.
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA DE SISTEMAS
PROGRAMA DE INGENIERÍA DE SISTEMAS
ARAUCA, ARAUCA. II – 2015
3
Dedicatoria
Dedico de manera especial éste trabajo de grado a mis padres Fredy Mina y Ana
Calderón quienes con su apoyo incondicional me ayudaron alcanzar esta meta, asimismo a mis
hermanos Ana Mina, Carolina Calderón y Alberto Calderón que de alguna u otra manera
también colocaron su granito de arena para que culminara satisfactoriamente mis estudios.
4
Agradecimientos
Principalmente doy gracias a Dios quien es el único que hace posible todas las cosas. A
mis padres y hermanos que con su inmenso apoyo me ayudaron a alcanzar la meta de ser
profesional. A mi tutor el ingeniero Carlos Eduardo Puentes por compartir conmigo sus
conocimientos, dedicarme el tiempo necesario, orientarme, confiar en mí y en mi capacidad
para ejecutar este proyecto. Muchas gracias.
5
Tabla de contenido
Pág.
Resumen 9
Abstract 10
Introducción 11
Capítulo 1: Presentación del proyecto de grado 13
1.1 Planteamiento del problema 14
1.1.1 Descripción del problema 14
1.1.2 Formulación del problema 16
1.2 Justificación 16
1.3 Objetivos 17
1.3.1 Objetivo general 17
1.3.2 Objetivos específicos 18
1.4 Metodología 18
1.4.1 Tipos de investigación 18
1.4.2 Población 19
1.4.3 Muestra 19
1.4.4 Instrumento de recolección de la información 20
Capítulo 2: Marco Referencial 21
2.1 Marco legal 22
2.2 Marco conceptual 23
2.3 Marco Teórico 24
2.4 Marco contextual 34
2.4.1 Misión 34
2.4.2 Visión 34
2.4.3 Valores corporativos 35
2.4.4 Estructura organizacional 36
Capítulo 3: Análisis de Riesgos Asociados a las TI en la Empresa de Energía de Arauca 37
3.1 Identificación y clasificación de los activos 38
3.2 Determinación de activos críticos 40
3.3 Identificación de salvaguardas existentes aplicadas a los activos críticos 42
6
3.4 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos 43
3.5 Determinación del riesgo 44
3.6 Identificación y clasificación de los activos de información del Centro de Control 47
3.7 Determinación de activos críticos de información del Centro de Control 48
3.8 Identificación de salvaguardas existentes aplicadas a los activos críticos de
información del Centro de Control
49
3.9 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos de
información del Centro de Control
49
3.10 Determinación del riesgo de los activos críticos de información del Centro de
Control
50
Capítulo 4: Evaluación de Cumplimiento de los controles de la Norma ISO/IEC
27002:2013 en la Empresa de Energía de Arauca
53
4.1 Elaboración del checklist en base a la Norma ISO/IEC 27002:2013 54
4.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 54
4.3 Relación de Fichas de No conformidades y recomendaciones 57
4.4 Presentación de resultados 59
Capítulo 5: Políticas de seguridad de la información de Enelar E.S.P. 61
5.1 Políticas de seguridad de la información de Enelar E.S.P. 62
5.1.1 Política de seguridad de la información 62
5.1.2 Gestión de activos 62
5.1.3 Control de acceso 63
5.1.4 La seguridad física y ambiental 63
5.1.5 Seguridad en la operativa 64
5.1.6 Seguridad en las telecomunicaciones 64
5.1.7 Adquisición, desarrollo y mantenimiento de los sistemas de información 64
5.1.8 Cumplimiento 65
6. Conclusiones 66
7. Recomendaciones 67
8. Cronograma de actividades 69
Referencias bibliográficas 70
Anexos 73
7
Lista de Tablas
Tabla 1: Normativa ISO/IEC 27000. ......................................................................................... 30
Tabla 2: Clasificación de los activos. ........................................................................................ 39
Tabla 3: Abreviaturas. ............................................................................................................... 41
Tabla 4: Dimensiones de Valoración......................................................................................... 41
Tabla 5: Escala de Valoración. ................................................................................................. 42
Tabla 6: Valoración de activos. ................................................................................................. 42
Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos. ............................................... 44
Tabla 8: Matriz de riesgos. ........................................................................................................ 45
Tabla 9: Análisis de riesgos. ...................................................................................................... 46
Tabla 10: Clasificación de activos de información del Centro de Control de Enelar E.S.P. ... 48
Tabla 11: Valoración de los Activos de información del Centro de control de Enelar E.S.P. .. 49
Tabla 12: Vulnerabilidades y Amenazas de los activos críticos del Centro de Control. .......... 50
Tabla 13: Análisis de riesgos de los activos críticos del Centro de Control. ............................ 51
Tabla 14: Niveles de Madurez. .................................................................................................. 55
Tabla 15: Valoración de Controles. .......................................................................................... 56
Tabla 16: Evaluación de controles. ........................................................................................... 57
Tabla 17: Ficha de No Conformidades: Políticas de Seguridad. .............................................. 58
Tabla 18: Caracterización de los activos. ................................................................................. 74
Tabla 19: Identificación de amenazas y vulnerabilidades......................................................... 75
Tabla 20: Formato de identificación de amenazas y vulnerabilidades. .................................... 78
Tabla 21: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013. .................. 81
Tabla 22: Cuestionario para clasificar la información de la empresa. .................................... 92
8
Lista de Gráficas
Gráfica 1: Porcentaje de riesgo. ................................................................................................ 47
Gráfica 2: Porcentaje de riesgo Centro de Control. .................................................................. 52
Gráfica 3: Nivel de cumplimiento por objetivo de control. ...................................................... 59
Gráfica 4: Nivel de cumplimiento por dominio. ....................................................................... 60
Gráfica 5: Estado de madurez de los controles. ........................................................................ 60
Lista de Figuras
Figura 1: Ciclo PDCA. .............................................................................................................. 25
Figura 2: Marco de trabajo para la gestión de riesgos. ............................................................. 29
Figura 3: Organigrama ENELAR E.S.P. .................................................................................. 36
Lista de Anexos
Anexo 1: Formato caracterización de los activos de información. ............................................ 74
Anexo 2: Checklist identificación del riesgo de los activos de información. ............................ 75
Anexo 3: Formato de identificación de amenazas y vulnerabilidades. ..................................... 78
Anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013. .................... 81
Anexo 5: Formato encuesta clasificación de la información de la empresa. ............................. 92
9
Resumen
Este proyecto de práctica social, empresarial o solidaria efectuado en la empresa de Energía
de Arauca ENELAR E.S.P., tuvo como fin la realización de una auditoria en seguridad de la
información con la cual se pudo identificar los riesgos a los que se encuentran expuestos los
activos de información de la empresa a causa de factores humanos, ambientales, internos,
externos, deliberados e involuntarios, entre otros.
Este proceso de identificación de riesgos se realizó mediante el uso de la metodología de
análisis y gestión de riesgos de sistemas de información “MAGERIT”, así mismo, se utilizó el
método de observación y herramientas de recolección de información como el checklist, para
identificar los controles o medidas existentes desplegados por la empresa para proteger la
información, a partir de estos métodos se pudo identificar los activos de información, sus
vulnerabilidades y las amenazas bajo las cuales se encontraban expuestos.
De igual manera, a través de la auditoria se pudo evaluar el grado de cumplimiento de la
empresa en base a los controles de la norma ISO/IEC 27002:2013, mediante la aplicación de
un checklist en el cual se abordaron algunos controles establecidos dentro de los dominios,
entre ellos: políticas de seguridad de la información, gestión de activos, control de acceso,
seguridad física y ambiental, seguridad en la operativa, seguridad en las telecomunicaciones,
adquisición, desarrollo y mantenimiento de los sistemas de información.
A partir de los resultados obtenidos en el análisis de riesgos y la evaluación de los controles
de la norma ISO/IEC 27002:2013, se elaboraron unas políticas de seguridad de la información
en las cuales se establecieron una serie de controles que permiten a la empresa mitigar los
riesgos y a su vez gestionar adecuadamente sus activos de información, garantizándoles su
confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Palabras claves: Auditoria, análisis de riesgos, ISO/IEC 27002:2013, seguridad de la
información y políticas de seguridad de la información.
10
Abstract
This project of social practice, business or solidarity made in the Energy Company
ENELAR E.S.P. in Arauca, it had as finality performing an information security audit with
which were identified the risks to that are exposed the information assets of company because
of human factors, environmental, internal, external, deliberate and involuntary, among others.
This process of risk identification was conducted using the methodology of analysis and
risk management of information systems "MAGERIT", likewise, the method of observation
and data collection tools as the checklist, these were used to identify controls or existing
measures deployed by the company to protect the information, from these methods were
identified information assets, their vulnerabilities and threats under which they were exposed.
Similarly, through the audit was assessed the degree of compliance of the company in
accordance the controls of ISO / IEC 27002: 2013, through applying a checklist in which used
some controls established within domains, among them: policies on information security,
assets management, access control, physical and environmental security, security in the
operative, security in the telecommunications, acquisition, development and maintenance of
information systems.
From the results got in risk analysis and evaluation of the controls the ISO/IEC 27002:
2013 norm, security policies of information were developed in which established a set of
controls that allow the company mitigate risks and at the same time properly manage their
information assets, ensuring its confidentiality, integrity, availability, authenticity and
traceability.
Keywords: Audit, risk analysis, ISO/IEC 27002: 2013, information security and
information security policies.
11
Introducción
En la actualidad, los sistemas de información apoyan en gran medida la actividad gerencial
y la toma de decisiones en las empresas; incluso, la propia información y el acceso a la misma,
los productos y servicios que se intercambian se han convertido en sus principales activos. Por
ello, la gestión de la información no sigue siendo concebida como el resultado de un accionar
para preservar los otros activos de la empresa, sino que se ha transformado en un
condicionante estratégico para operar y/o competir en los sectores productivos y de esta
manera generar valor para la misma.
Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la
Seguridad de la Información y de las redes de datos en empresas y Organizaciones, cualquiera
que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen estructuras
empresariales que requieren que estos temas sean analizados con una estrategia diferente, ya
sea por la criticidad de la información que manejan, su dimensión o su estructura empresarial.
Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos
de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y
confidencialidad de la información y evaluarlos periódicamente con el objeto de evidenciar su
nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria de
seguridad de la información con la cual, se podrá determinar las vulnerabilidades del sistema y
en base a estos resultados los directivos podrán tomar decisiones y establecer las mejores
medidas para dar solución a los inconvenientes de seguridad.
Por consiguiente, gestionar adecuadamente la seguridad de la información no solo permite
a la empresa dar cumplimiento a sus obligaciones y regulaciones, sino que además genera
confianza en sus clientes y potenciales inversores, al garantizarles que cuentan con la
infraestructura tecnológica y las medidas de seguridad pertinentes para proteger la
información y realizar eficientemente las distintas actividades administrativas, financieras,
comerciales y operativas de la empresa.
12
De esta manera, en el presente documento se dará a conocer el desarrollo de las distintas
actividades realizadas en la ejecución de la respectiva auditoria en seguridad de la información
en la empresa de Energía de Arauca Enelar E.S.P. Este documento se encuentra estructurado
en cinco capítulos los cuales contienen los siguientes temas respectivamente: la descripción
del proyecto, un marco referencial donde se presenta una breve definición de los diferentes
términos utilizados, el análisis de riesgos asociados a los activos de información en la Empresa
caso de estudio, la evaluación de cumplimiento de los controles de la Norma ISO/IEC
27002:2013 y las políticas de seguridad de la información que se desarrollaron como valor
agregado de esta práctica social, empresarial o solidaria.
14
Introducción
En el presente capítulo se hablará acerca de las características principales del proyecto de
práctica social, empresarial o solidaria realizado en la Empresa de Energía de Arauca Enelar
E.S.P. a través de la Subdirección de sistemas, informática y telecomunicaciones que tuvo
como objeto la realización de una auditoria en seguridad de la información con el fin de
identificar los riesgos a los que se encuentra expuestos los activos de información de la
Empresa, y posteriormente generar estrategias que permitieran mitigar en gran medida esos
niveles de riesgo.
1.1. Planteamiento del problema
1.1.1 Descripción del problema.
La globalización de la información, la articulación de los procesos comerciales con las
herramientas tecnológicas, la aparición de la interacción de transacciones internacionales a
través de redes de comunicaciones como el Internet, el aumento de la movilidad empresarial o
áreas de trabajo, la masificación de las redes corporativas, entre otros valores son los que han
generado el interés de las organizaciones en la aplicación e implementación de estrategias que
contribuyan a minimizar la perdida de información, el cual es el insumo más preciado de toda
organización.
La información es uno de los activos más valiosos que poseen las organizaciones y por ello
las tecnologías de la información y la comunicación se han convertido en una herramienta
imprescindible para realizar cualquier actividad económica, así como un factor clave para
mejorar su productividad. Como consecuencia de su uso, las organizaciones se enfrenten a
múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de
información y comunicación. A su vez, internamente, se viven situaciones que podrían afectar
la seguridad por descuidos internos, falta de procedimientos, un software mal configurado o la
falta de políticas de seguridad. A esto se le suma la posible inexperiencia, falta de
conocimiento o capacitación del administrador de la red, que en muchos casos conlleva a
15
realizar actividades no planeadas que pueden afectar la operación diaria de los distintos
sistemas.
La infraestructura de TI (Tecnologías de Información), es parte vital dentro de toda
organización, debido a que son los elementos transversales a todos los procesos operativos y
funcionales. Dentro de los elementos que componen la infraestructura de TI, se pueden
mencionar todos y cada uno de los dispositivos activos y pasivos necesarios para la
transmisión de la información, al igual que los distintos medios guiados y no guiados que
permiten la interacción de la misma. La infraestructura de TI soporta todos los servicios y
aplicaciones necesarias para el desarrollo de la organización, siendo este un punto crítico a
salvaguardar.
Teniendo en cuenta la importancia que la información representa para las organizaciones,
es necesario administrar sus riesgos con procesos y tecnologías adecuadas que permitan
salvaguardarla y garantizar su respectiva disponibilidad, confidencialidad, integridad,
autenticidad y trazabilidad. Para ello, es indispensable hacer uso de técnicas que permiten
cuantificar el nivel de riesgo al que están sujetos los principales activos de información de las
organizaciones, de tal manera que la inversión en seguridad se oriente a analizar los problemas
que afecten principalmente la continuidad y operación diaria del organización, alcanzando así
la mejor relación costo/beneficio. Estas técnicas lo que buscan es identificar y valorar los
activos, vulnerabilidades, amenazas, e identificar los controles de seguridad ya
implementados. Una vez cuantificado el nivel de riesgo, se puede adoptar controles y medidas
de seguridad que permitan minimizar las amenazas, vulnerabilidades y disminuir los
incidentes de riesgos.
Como podemos ver el papel de la seguridad es importante y trascendente para garantizar la
operación diaria y para controlar los procesos críticos de las organizaciones, las cuales, hoy en
día están optando por hacer uso de estándares de seguridad de la información articuladas con
las TI (Tecnologías de Información), según lo demuestra el reporte entregado por el Instituto
de Gobierno de TI (IT Governance Institute – IGTI) en el Global Status Report on the
Governance of Enterprise It (GEIt) en el 2011, en el cual, se evidencia que la norma ISO
16
27000 ocupa el segundo lugar con un 21.1% de las normas más utilizadas por las
organizaciones. Igualmente, dentro de este reporte se plantea el aumento en desarrollo de
auditorías relacionadas con la infraestructura de TI, basados en los estándares ISO/IEC 11801.
Teniendo como referencia lo mencionado anteriormente y según visitas previas en donde se
evidenció que la organización caso de estudio no realiza periódicamente auditorias en TI que
le permita identificar los distintos riesgos a los que están expuestos continuamente sus activos.
Se pretende realizar una auditoria TI que permita identificar los activos con que cuenta la
entidad, las amenazas a que están expuestos y posteriormente, se harán las recomendaciones
pertinentes que permitan salvaguardar la información y la infraestructura de TI de la
organización.
1.1.2 Formulación del problema.
¿De qué forma el área de TI de la empresa de Energía de Arauca “ENELAR E.S.P.,”
mejorará sus procesos de calidad relacionados en infraestructura de TI y sistemas de
información utilizando como herramienta la auditoria?
1.2 Justificación
Actualmente, la seguridad de la información se ha convertido en el mayor soporte para
todas las empresas y esto se ha generado como consecuencia de las constantes amenazas como
lo son los sucesos naturales, accidentales e intencionales a los que están expuestos
continuamente los activos de las organizaciones. Igualmente, las redes de datos han sido
factores fundamentales para el éxito de las empresas siempre y cuando éstas estén disponibles
constantemente, no presenten interrupciones y su rendimiento sea óptimo.
Por ello, es fundamental que las empresas realicen periódicamente un estudio de riesgos
basado en una metodología que permita identificar claramente los activos, las amenazas y las
salvaguardas que poseen, para posteriormente diseñar estrategias que permitan el buen
funcionamiento del negocio.
17
Es por eso, que en este proceso se realizará una auditoria en seguridad de la información e
infraestructura de TI basada en la norma ISO/IEC 27002:2013 e ISO/IEC 11801 en la
Empresa de Energía de Arauca ENELAR ESP del Departamento de Arauca. La cual tiene el
propósito de identificar los puntos débiles de la empresa y a partir de ellos establecer medidas
que mitiguen los riesgos a que está expuesta la información.
En base a lo anterior, la Empresa de Energía de Arauca ENELAR ESP siendo una entidad
pública que ofrece su servicio a toda la población del Departamento de Arauca y en pro de
ejecutar lo propuesto en su misión, es primordial que realice un estudio de seguridad en el cual
se identifiquen los posibles riesgos derivados del uso de las Tecnologías de La información y
la Comunicación y de esta forma establezca medidas que le permitan proteger sus activos,
especialmente la información personal de sus usuarios. Y de esta manera puedan alcanzar los
objetivos previstos en su visión.
Además, antes los problemas presentados se propone realizar un análisis del diseño de la
red que permita mejorar los servicios prestados a todos sus usuarios, es decir optimizar a cada
uno de los componentes de esta y obtener un mayor desempeño.
El manejo centralizado de las aplicaciones informáticas permite obtener informes de
confiabilidad y fiabilidad en el menor tiempo, permitiendo de esta forma a los directivos y
autoridades realizar de una forma más ágil los análisis de la información. Con el
mejoramiento en las comunicaciones dentro de la empresa se facilitara la ejecución inmediata
del transporte de información y datos generando una mejora en los servicios prestados a los
distintos usuarios de la red.
1.3 Objetivos
1.3.1 Objetivo general.
Realizar una auditoría de Seguridad de la información e Infraestructura de TI basada en las
normas ISO/IEC 27000:2013 e ISO/IEC 11801 ANSI/TIA/EIA al área de TI de la Empresa
de Energía de Arauca ENELAR E.S.P. del Departamento de Arauca.
18
1.3.2 Objetivos específicos.
Planificar las distintas actividades que permitan realizar el proceso de auditoría.
Desarrollar la auditoria apoyada en una herramienta de recolección de datos.
Informar a los miembros del área de TI los hallazgos obtenidos en el proceso de la
auditoria.
Presentar mejoras al área de TI en cuanto a la seguridad de la información teniendo en
cuenta los hallazgos obtenidos.
1.4 Metodología
Para la realización de este proyecto se pretende utilizar las dos primeras fases del ciclo
PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo principal que es la auditoria en
seguridad de la información. Además, se usará MAGERIT que es una metodología de análisis
y gestión de riesgos de los sistemas de información elaborada por el Consejo Superior de
Administración Electrónica de España y el modelo SSE-CMM (Systems Security Engineering
– Capability Maturity Model) como parte del desarrollo de la primera etapa del ciclo PDCA,
donde se elabora y aplica los diferentes instrumentos para recopilar la información, se evalúan
los controles de seguridad de la información existentes, y posteriormente se crean las
respectivas medidas de seguridad que permitan proteger los activos de información de la
Empresa caso de estudio.
1.4.1 Tipos de Investigación.
Para la realización de este proyecto se utiliza una investigación cuantitativa y cualitativa.
La primera de ellas permite medir la cantidad y el nivel de efectiva de cada uno de los
controles de seguridad de la información existentes en la Empresa y en base a este resultado
generar medidas que protejan los activos de información. Por otra parte, con la investigación
cualitativa se puede analizar e interpretar los datos mediante la observación del entorno y
entrevistas hechas al personal que interactúa directamente con el sistema.
19
1.4.2 Población.
La población caso de estudio está constituida por cinco personas quienes integran la
Subdirección de sistemas, informática y telecomunicaciones, dos de nómina, un pasante del
SENA y dos contratistas.
Subdirector de sistemas, informática y telecomunicaciones
Coordinar de sistemas, informática y telecomunicaciones
Pasante del SENA
Contratista de apoyo para el desarrollo de software
Contratista de apoyo a las actividades del área
1.4.3 Muestra.
La muestra para la recopilación de la información necesaria en la ejecución de este
proyecto se selecciona de la población que constituye la Subdirección de sistemas, informática
y telecomunicaciones a través de la aplicación de la siguiente ecuación:
Z2NPQ
n=
e2(N-1) + Z
2PQ
(1.96)2*(5)*(0.5)*(0.5)
n= = 4,87
(0.08)2*(5-1)+ (1.96)
2*(0.5)*(0.5)
En donde:
N= población
n= tamaño de la muestra
Z= grado de confianza: 1.96
P= probabilidad de éxito: 0.5
Q= probabilidad de fracaso: 0.5
e= error: 0.08
20
La muestra seleccionada es:
Subdirector de sistemas, informática y telecomunicaciones
Coordinar de sistemas, informática y telecomunicaciones
Contratista de apoyo desarrollo de software
1.4.4 Instrumentos de Recolección de la Información.
Los instrumentos para recopilar la información son los siguientes:
El Checklist y el cuestionario, herramientas que permiten identificar los controles
existentes en la organización y su nivel de eficiencia, están compuestos por un conjunto
sistemático de preguntas que van dirigidas principalmente al personal de la Subdirección de
sistemas, informática y telecomunicaciones, quienes son los que poseen la mayor información
que interesa al presente proyecto.
Otro de los métodos a utilizar en este proceso práctico son las entrevistas y la observación
que tienen como objeto recopilar aquella información que no es posible obtener a través de los
cuestionarios y checklist.
22
Introducción
En este capítulo se describen las distintas reglamentaciones, teorías y conceptos
relacionados con la seguridad de la Información y datos relevantes de la Empresa caso de
estudio con el objeto de permitir al lector familiarizarse con los temas tratados en los próximos
capítulos y contextualizarse en el ámbito de ejecución de este proyecto.
2.1 Marco legal
En esta sección se expondrán las leyes que rigen lo concerniente a la protección de la
información y los datos a nivel nacional.
En la Constitución Política de Colombia en el Artículo 15 nos dice “Todas las personas
tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe
respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar
las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se
respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y
demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o
registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención
del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos
privados, en los términos que señale la ley.”
Ley 1266 de 2008 en su Artículo 4: Principios de la Administración de Datos e inciso (f):
Principio de Seguridad, promulga lo siguiente: “La información que conforma los registros
individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante
de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas
que sean necesarias para garantizar la seguridad de los registros evitando su adulteración,
pérdida, consulta o uso no autorizado”.
23
Ley 1581 de 2012 en su Artículo 4: Principios para el tratamiento de datos personales e
inciso (g): Principio de Seguridad, promulga lo siguiente: “La información sujeta a
Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere
la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que
sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento.”
Ley 1273 de 2009 denominada “de la protección de la información y los datos” describe las
distintas sanciones por los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos. En su artículo 269C: Interceptación
de datos informáticos menciona lo siguiente: “El que, sin orden judicial previa intercepte datos
informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones
electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena
de prisión de treinta y seis (36) a setenta y dos (72) meses.”
2.2 Marco conceptual
Carlos Guerrero en el 2014 definió a la auditoria como “un proceso de apoyo estratégico a
la organización a través del cual es posible medir, revisar y evaluar el nivel de cumplimiento y
desempeño de eventos, procedimientos, actividades u objetos que se aborden.”
Las auditorías se pueden realizar haciendo uso de la Norma ISO 27002 que contiene
las mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI).Ésta normativa hace parte de la ISO 27000.Ésta última está compuesta
por una serie de estándares de seguridad publicados por la Organización Internacional para la
Estandarización (ISO), la cual, es reconocida por ser una entidad no gubernamental que
promueve el desarrollo de la estandarización y las actividades con ella relacionada en el
mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la
cooperación en la esfera de lo intelectual, científico, tecnológico y económico, y la Comisión
Electrotécnica Internacional (IEC), que se caracteriza por ser la organización líder a nivel
24
mundial encargada de preparar y publicar Normas Internacionales para todas las tecnologías
eléctricas, electrónicas y afines.
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización.
2.3 Marco Teórico
Activos.
Son los recursos que forman parte del sistema de la empresa como el hardware, software,
datos, infraestructura y personas. (Mifsud, 2012)
Activo crítico.
Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos,
divulgados sin autorización, etc., perjudican el patrimonio organizacional. (Guerrero Julio,
2014)
Amenaza.
Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un
daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad
Informática, los Elementos de Información. (Erb, 2011)
Antivirus.
Es una aplicación dedicada a la prevención, búsqueda, detección y eliminación de
programas malignos en sistemas informáticos. (Alegsa, 2009)
Autenticidad.
Permite asegurar el origen de la información. La identidad del emisor puede ser validada,
de modo que se puede demostrar que es quien dice ser. (Alonso, s.f.)
25
Backup.
Es un duplicado o copia que se le hace a la información contenida en discos duros,
memorias usb, bases de datos, etc., y que es de gran importancia para su propietario.
Ciclo PDCA.
Según (Bernal, 2013), el ciclo PDCA, Es la sistemática más usada para implantar un
sistema de Gestión de la Seguridad de la Información. El nombre del Ciclo PDCA (o PHVA)
viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”.
También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards
Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a
cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al
mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y
eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El
círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final
se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta
metodología está enfocada principalmente para para ser usada en empresas y organizaciones.
Figura 1: Ciclo PDCA.
Fuente: (Bernal, 2013)
26
Las cuatro etapas que componen el ciclo son las siguientes:
Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los
objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo,
escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se
están usando ahora, etc. (Bernal, 2013)
Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente
conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios
a gran escala. (Bernal, 2013)
Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de
prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas
iniciales habrá que modificarla para ajustarla a los objetivos esperados. (Bernal, 2013).
Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los
resultados y compararlos con el funcionamiento de las actividades antes de haber sido
implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma
definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si
desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para
estudiar nuevas mejoras a implantar. (Bernal, 2013).
Confidencialidad.
Es una de las propiedades de los activos de información que garantiza que solo personas
autorizadas pueden acceder a esta. (Instituto Nacional de Tecnologías de la comunicación de
España, 2013)
Controles.
Son todos aquellos mecanismos desplegados con el fin de garantizar que los distintos
procesos se realicen correctamente.
27
Cuarto de telecomunicaciones.
Es el área o sitio específico de un edificio donde se encuentran ubicados todos los equipos
y dispositivos de telecomunicaciones.
Datos.
Son todos aquellos conceptos, cifras, instrucciones que se tienen aisladas entre sí, sin seguir
una organización o un orden específico. (MasterMagazine, 2009)
Disponibilidad.
Característica de los activos que implica el acceso a la información y los sistemas de
tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran.
(Instituto Nacional de Tecnologías de la comunicación de España, 2013)
Ficha de no conformidades.
Es un formato donde se establecen los aspectos que no cumplen con los criterios
establecidos en las normas.
Hardware.
Es la parte que puedes ver del computador, es decir todos los componentes de su estructura
física. (GCF Community Foundation International, s.f.)
Información.
Es el conjunto de datos, añadidos, procesados y relacionados, de manera que pueden dar
pauta a la correcta toma de decisiones según el fin previsto. (Informática moderna, 2008)
28
Integridad.
Cualidad de los activos de información donde se asegura que la información y sus métodos
de proceso se mantengan exactos y completos. (Instituto Nacional de Tecnologías de la
comunicación de España, 2013)
Mantenimiento correctivo.
“Es el proceso mediante el cual se realizan las correcciones de las averías o fallas, de un
equipo de cómputo, cuando éstas se presentan.” (Solutek, 2015)
Mantenimiento preventivo.
Es el conjunto de actividades que se desarrollan con el objeto de proteger los equipos de
posibles fallas, utilizando métodos de limpieza física y también métodos basados en el uso de
Software. (Informaticamoderna, 2008)
Metodología Magerit.
El (Ministerio de Hacienda y Administraciones Públicas de España, 2012) menciona que:
Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina
“Proceso de Gestión de los Riesgos”. En otras palabras, MAGERIT implementa el Proceso de
Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen
decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.
29
Magerit persigue los siguientes objetivos directos e indirectos, según el (Ministerio de
Hacienda y Administraciones Públicas de España, 2012) :
Directos:
Concienciar a los responsables de las organizaciones de información de la existencia
de riesgos y de la necesidad de gestionarlos.
Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC).
Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control.
Indirectos:
Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
La metodología Magerit está compuesta por tres libros; método, catálogo de elementos y
guía de técnicas. Estos presentan una serie de pasos para analizar y tratar los riesgos, ofrecen
elementos estándar que ayuda a las organizaciones a centrarse en lo específico del sistema
objeto del análisis, y un conjunto de técnicas que se emplean habitualmente para llevar a cabo
proyectos de análisis y gestión de riesgos.
Figura 2: Marco de trabajo para la gestión de riesgos.
Fuente: (Ministerio de Hacienda y Administraciones Públicas de España, 2012)
30
Libro I: Método: En este libro se enmarcan las actividades de análisis y tratamiento dentro
de un proceso integral de gestión de riesgos. También describe opciones y criterios para el
tratamiento adecuado de los riesgos.
Libro II: Catalogo de elementos: En este libro se presenta, una clasificación de los
activos, distintas dimensiones para valorarlos y criterios para realizar su valoración. Además,
se plantean las amenazas típicas sobre los sistemas de información y las salvaguardas a
considerar para protegerlos.
Norma ISO/IEC 27000.
Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014).
A continuación se incorpora una relación con la serie de normas ISO 27000 y una
descripción de las más significativas:
Tabla 1: Normativa ISO/IEC 27000.
Normativa ISO/IEC 27000.
Norma
ISO/IEC Descripción
ISO
27000
Esta Norma Internacional proporciona una visión general de los sistemas de
gestión de seguridad de la información, y los términos y definiciones de uso
común en la familia de normas de SGSI. Esta norma es aplicable a todo tipo y
tamaño de organización (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin ánimo de lucro). (International Organization
for Standardization/International Electrotechnical Commission, 2014)
ISO
27001
Especifica los requisitos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar los sistemas de gestión de seguridad de la información
(SGSI) formalizado dentro del contexto de los riesgos globales de negocio de la
organización. Especifica los requisitos para la aplicación de los controles de
31
seguridad de la información adaptados a las necesidades de las organizaciones o
partes de las mismas. (International Organization for
Standardization/International Electrotechnical Commission, 2014)
ISO
27002
Proporciona una lista de objetivos de control comúnmente aceptados y las
mejores prácticas para ser utilizadas como una guía de implementación en la
selección y la aplicación de controles para lograr la seguridad de la información.
(International Organization for Standardization/International Electrotechnical
Commission, 2014)
ISO
27003
Proporciona una guía práctica de implementación y proporciona más información
para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
SGSI según ISO / IEC 27001. (International Organization for
Standardization/International Electrotechnical Commission, 2014)
ISO
27004
Proporciona orientación y asesoramiento sobre el desarrollo y uso de las
mediciones con el fin de evaluar la eficacia del SGSI, los objetivos de control y
controles utilizados para implementar y administrar la seguridad de la
información, tal como se especifica en la norma ISO / IEC 27001. (International
Organization for Standardization/International Electrotechnical Commission,
2014)
ISO
27005
Proporciona directrices para la gestión de riesgos de seguridad de la información.
El método descrito en esta norma es compatible con los conceptos generales
especificados en la norma ISO / IEC 27001. (International Organization for
Standardization/International Electrotechnical Commission, 2014)
ISO
27006
Especifica los requisitos y proporciona una guía para los organismos que realizan
la auditoría y la certificación del SGSI según ISO / IEC 27001. Ésta norma está
destinada principalmente para apoyar la acreditación de organismos de
certificación que ofrecen certificación SGSI según ISO / IEC 27001.
(International Organization for Standardization/International Electrotechnical
Commission, 2014)
ISO
27007
Proporciona orientación sobre la realización de auditorías de SGSI, así como
orientación sobre la competencia de los auditores de sistemas de gestión de
seguridad de la información. (International Organization for
Standardization/International Electrotechnical Commission, 2014)
Fuente: Elaborado por el autor del documento.
32
Políticas de seguridad.
La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera
de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de
seguridad informática dentro de la misma. (Universidad Nacional Autónoma de México,
2015)
Riesgo.
Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad, la
cual puede estar prevista. (Téllez, 1988)
Salvaguarda.
Son todos aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.
(Ministerio de Hacienda y Administraciones Públicas de España, 2012)
Seguridad de la Información.
Tiene como fin la protección de la información y de los sistemas de la información del
acceso, uso, divulgación, interrupción o destrucción no autorizada. (Asociación Española para
la Calidad, 2014).
Servidor.
Un servidor es un equipo informático que forma parte de una red y provee servicios a otros
equipos cliente. (Anerdata, s.f.)
33
Sistema de gestión de seguridad de la información SGSI.
Según (INTECO, 2014), SGSI es una herramienta de gran utilidad y de importante ayuda
para la gestión de las organizaciones. Además del concepto central sobre el que se construye la
norma ISO 27001.
Software.
Son todos los programas informáticos que hacen posible la realización de tareas específicas
dentro de un computador. (GCF Community Foundation International, s.f.)
Software malicioso.
Es un programa diseñado para dañar la información contenida en una computadora e
incluso a esta misma. (Google, 2015)
Trazabilidad.
Propiedad de los activos de información que permite asegurar que en todo momento se
podrá determinar quién realizó cierta actividad y en qué momento lo hizo. (Ministerio de
Hacienda y Administraciones Públicas de España, 2012)
Vulnerabilidad.
Es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad
que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En
otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una
amenaza o de recuperarse de un daño. (Erb, 2011)
34
2.4 Marco contextual
La empresa de Energía eléctrica ENELAR E.S.P, se encuentra ubicada en la carrera 22 #
22-46 en el barrio siete de agosto del Municipio de Arauca.
Fue creada mediante Acuerdo 004 de 1985 del Consejo Intendencial de Arauca, como una
entidad descentralizada con personería jurídica, autonomía administrativa y patrimonio propio,
como soporte institucional para la prestación del servicio de energía eléctrica a los araucanos,
teniendo como referente el inicio en la explotación del complejo petrolífero de Caño Limón y
la interconexión al Sistema Interconectado Nacional -SIN- a través de la Línea Bucaramanga –
Caño Limón - Arauca, aprobada por el Consejo de Ministros el 3 de diciembre de ese año,
ante la necesidad de garantizar el suministro de energía necesario para la actividad petrolífera
que en gran escala se iniciaba en la entonces Intendencia Nacional de Arauca. (ENELAR
E.S.P., 2013)
2.4.1 Misión.
“Ofrecer servicio con calidad en las áreas de energía, optimizando el uso de los recursos
humanos, naturales, económicos y tecnológicos” (ENELAR E.S.P., 2013).
2.4.2 Visión.
“Para el año 2015, Enelar ESP será una empresa modelo en la comercialización y
distribución de energía e innovadora en ciencia, tecnología y comunicaciones, con
responsabilidad social, haciendo uso óptimo de los recursos para el beneficio de la comunidad
Araucana” (ENELAR E.S.P., 2013).
35
2.4.3 Valores Corporativos.
(ENELAR E.S.P., 2012) Define los siguientes valores corporativos:
Compromiso: Los funcionarios de ENELAR E.S.P trabajan conjuntamente para lograr el
cumplimiento de los objetivos de la organización guiados por la política de calidad.
Integridad: Responsabilidad permanente de los funcionarios de ENELAR ESP por realizar
prácticas laborales enmarcadas dentro de los parámetros de disciplina, orden, respeto y
entusiasmo.
Calidad: Los servidores públicos de ENELAR E.S.P., darán atención amable, oportuna y a
satisfacción del cliente en la prestación de los servicios, en procura de la eficacia y la
eficiencia.
Honestidad: Los servidores públicos de ENELAR ESP, actuarán con rectitud, honradez y
veracidad en todos y cada uno de los actos laborales.
Tolerancia: Los empleados de ENELAR ESP mostrarán respeto hacia las opiniones,
prácticas, actitudes y comportamientos individuales de los demás.
Ética: Los servidores públicos de ENELAR ESP actuarán de acuerdo con el conjunto de
preceptos morales y normas legales y profesionales que rige la conducta de los funcionarios.
36
2.4.4 Estructura organizacional.
Figura 3: Organigrama ENELAR E.S.P.
Fuente: (ENELAR E.S.P., 2013)
38
Introducción
En el presente capítulo se evidencia el desarrollo del proceso de análisis de riesgos
realizado en la empresa caso de estudio siguiendo los pasos planteados en la Metodología de
análisis y gestión de riesgos de los sistemas de información - Magerit. En esta sección no se
muestra alguna de la información relacionada con la empresa por motivos de mantener la
confidencialidad de la misma.
Para llevar a cabo el análisis de riesgos, inicialmente se hizo la respectiva identificación de
los activos de la empresa en mención, se determinaron aquellos que eran más críticos; se
identificaron las amenazas asociadas a estos últimos y las respectivas salvaguardas
desplegadas. Posteriormente, se identificaron las vulnerabilidades y amenazas asociadas a los
activos críticos y por último se evaluaron los riegos.
3.1 Identificación y clasificación de los activos
La identificación de los activos se logró a través de entrevistas realizadas al personal del
Área de TI donde ellos suministraron el inventario de activos de la empresa, igualmente, por el
método de observación, a través de las respectivas visitas al área de TI y al cuarto de
Telecomunicaciones. Para cada uno de los activos identificados se determinó una serie de
características, las cuales se plantean en la Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información – MAGERIT en el libro I: Método, en este se describe claramente
el proceso para llevar a cabo el análisis y la gestión de los riesgos.
En la caracterización de los activos fue necesario determinar para cada uno de ellos una
serie de características que se encuentran descritas en MAGERIT, como código, nombre,
descripción, tipo (Según clasificación propuesta por Magerit en el Libro II: Catalogo de
elementos), unidad responsable (se identifica la unidad que lo mantiene, es decir, la encargada
de que el activo funcione correctamente, y la unidad que lo explota, en otras palabras, la que
hace uso de este ), persona responsable (es necesario identificar la persona responsable por la
integridad del activo y aquella que se encarga de operarlo), ubicación y cantidad. El formato
39
para la caracterización de los activos se presenta en el anexo 1, pero en este no se consigna la
información de los activos de la empresa porque ésta sólo es de interés de la misma.
Luego de haber realizado la caracterización de los activos, se prosiguió a su respectiva
clasificación teniendo en cuenta lo planteado en MAGERIT, en el libro II: Catalogo de
Elementos, en este se describen los tipos de activos, las distintas dimensiones para hacer su
respectiva valoración, además, en este se presenta la clasificación de amenazas y salvaguardas.
Como resultado de esta actividad se obtuvo la siguiente clasificación (En la clasificación de
Datos y/o información, software y personal no se presenta de forma específica los activos
identificados porque es necesario mantener la confidencialidad de la información):
Tabla 2: Clasificación de los activos.
Clasificación de los activos.
Tipo de Activo Activo
Datos y/o Información Información contenida en las bases de datos sobre usuarios,
estados financieros, etc.
Software Sistemas utilizados por la empresa para realizar las respectivas
operaciones.
Equipamiento
Informático (Hardware)
Servidor de Base de Datos
Servidor Proxy
Servidor de Intranet
Pc’s
Portátiles
Switch
Router
Firewall
Impresoras
Redes de Comunicaciones Intranet
Red telefónica
40
Red de datos
Red Inalámbrica
Internet
Soportes de Información Disco Duro Externo
Equipamiento Auxiliar
Ups
Fibra Óptica
Aire Acondicionado
Instalaciones Cuarto de Telecomunicaciones
Personal Miembros del área de TI
Fuente: Elaborado por el autor del documento.
3.2 Determinación de activos críticos
Después de clasificados los activos, se procedió a valorarlos teniendo en cuenta las distintas
dimensiones de valoración, definidas por (Ministerio de Hacienda y Administraciones
Públicas, 2012) como “las características o atributos que hacen valioso un activo y se utilizan
para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe
un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo
se ve dañado en dicha dimensión.”, y propuestas en la Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información – MAGERIT, en el libro II: Catalogo de Elementos,
en este se establecen las dimensiones integridad, disponibilidad, confidencialidad, autenticidad
y trazabilidad para determinar el valor que representa cierto activo para la empresa.
La valoración de los activos, se realizó a través de una entrevista hecha al coordinador de
Sistemas, informática y telecomunicaciones de la empresa caso de estudio, a quien se le
explico en qué consistía la actividad y seguidamente se procedió a hacerle los interrogantes
planteados en la tabla “Dimensiones de valoración” y como respuesta a cada uno de ellos, él
debía seleccionar uno de los niveles establecidos en la tabla “Escala de valoración” para
determinar el valor de cada uno de los activos en las distintas dimensiones.
A continuación, se hace una descripción de los términos usados en la Valoración de
Activos, con el objeto de facilitar su comprensión:
41
Tabla 3: Abreviaturas.
Abreviaturas.
Abreviaturas
C: Confidencialidad
I: Integridad
D: Disponibilidad
A: Autenticidad
T: Trazabilidad
Fuente: Elaborado por el autor del documento.
Tabla 4: Dimensiones de Valoración.
Dimensiones de Valoración.
Dimensiones de
valoración Descripción
Disponibilidad ¿Qué nivel de daño representaría para la empresa que el activo no
estuviera disponible?
Integridad ¿Qué nivel de daño representaría para la empresa que los datos
fueran modificados fuera de control?
Confidencialidad ¿Qué nivel de daño representaría para la empresa que el dato
fuera conocido por personas no autorizadas?
Autenticidad ¿Qué nivel de daño representaría para la empresa que quien
accede al servicio no sea realmente quien se cree?
Trazabilidad ¿Qué nivel de daño representaría para la empresa que no quedara
constancia del uso del servicio o el acceso a los datos?
Fuente: Elaborado por el autor del documento.
42
Tabla 5: Escala de Valoración.
Escala de Valoración.
Ítem Descripción
1 Daño Muy bajo
2 Daño Bajo
3 Daño Medio
4 Daño alto
5 Daño muy alto
Fuente: Elaborado por el autor del documento.
Tabla 6: Valoración de activos.
Valoración de activos.
ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN
Escala de 1 - 5
C I D A T
Red de datos 5 5 5 5 5
Servidor de base de datos 5 5 5 5 5
Servidor de Intranet 5 5 5 5 5
Servidor Proxy 5 5 5 5 5
Fuente: Elaborado por el autor del documento.
El cuadro anterior presenta la valoración de los activos considerados como críticos en cada
una de las distintas dimensiones. Estos fueron identificados como activos críticos tomando
como base el resultado de la valoración obtenida y teniendo en cuenta que estos son la fuente
de almacenamiento, procesamiento y transporte de la información, y que representan la base
para la realización de las operaciones de la empresa.
3.3 Identificación de salvaguardas existentes aplicadas a los activos críticos
Las salvaguardas de los activos críticos que se identificaron a través de entrevistas al
personal de del área de TI fueron las siguientes:
43
Mantenimiento Preventivo de Hardware.
Se tienen establecidos determinados periodos para realizar mantenimiento a los distintos
equipos de la empresa de manera que se garantice su correcto funcionamiento.
Backup de la información de las bases de datos.
Las respectivas copias de la información contenida en las bases de datos, se realizan todos
los días a una hora establecida.
Afinamiento de las bases de datos.
Con la cual se busca la optimización de los procesos de la empresa y dar mejor uso a los
recursos de TI.
3.4 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos
En una de las entrevistas efectuadas al coordinador de Sistemas, Informática y
Telecomunicaciones de la empresa caso de estudio, se le aplicó el checklist de identificación
del riesgo mediante el cual se pudo identificar las amenazas y vulnerabilidades asociadas a los
activos críticos. Cada una de las preguntas descritas en este checklist se encuentra relacionada
a una amenaza y a una vulnerabilidad, las cuales están definidas en el formato de
identificación de amenazas y vulnerabilidades. La forma como se estableció la relación fue a
través de su respectiva numeración.
Los dos formatos utilizados para la identificación de vulnerabilidades y amenazas de los
activos críticos de información de la Empresa de Energía de Arauca se encuentran ubicados en
el anexo 2 y 3 del presente documento:
La siguiente tabla muestra cada uno de los activos críticos de la empresa caso de estudio a
quienes se les identifico su respectiva vulnerabilidad y se les asocio una posible amenaza que
44
podría afectarlos. En éste cuadro se presenta sólo determinada información y de manera muy
general, esto se hace con el objeto de no divulgar información que sólo es de interés para la
empresa.
Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos.
Vulnerabilidades y Amenazas de los Activos Críticos.
ACTIVO VULNERABILIDAD AMENAZA
Servidor de Base de Datos
Servidor Proxy
Servidor de Intranet
Red de datos
Humedad Se genere un corto circuito.
Electricidad estática Daños a los equipos.
Polvo Disminución del
rendimiento de los equipos.
Red de datos Diseño de red no
documentado, lo que dificulta
la identificación de puntos
exactos en caso de ocurrir
daños en la red.
Detención parcial de
determinadas actividades de
la empresa.
Red de datos Inexistencia de un registro de
fallas de la red.
No se minimiza la
posibilidad de que los
sucesos ocurridos
anteriormente se vuelvan a
generar.
Servidor de Base de Datos
Servidor Proxy
Servidor de Intranet
Red de datos
No están actualizadas las
políticas de seguridad
informática.
No se controlen
adecuadamente los distintos
sucesos que afectan los
equipos y la información.
Fuente: Elaborado por el autor del documento.
3.5 Determinación del riesgo
Para determinar el riesgo de los activos críticos de la empresa caso de estudio, se tomó
como guía la siguiente matriz de riesgo, en la cual se establece una escala de valoración de 1 a
4 para determinar la probabilidad de explotación de una vulnerabilidad y la probabilidad de
ocurrencia de una amenaza:
45
Tabla 8: Matriz de riesgos.
Matriz de riesgos.
Análisis de Riesgos
Riesgo = Amenaza x Vulnerabilidad
Pro
bab
ilid
ad d
e
Explo
taci
ón
(Vuln
erab
ilid
ad)
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
Probabilidad de Ocurrencia
(Amenaza)
Valores
Alto Riesgo (12 - 16)
1 = Insignificante
2 = Baja
3 = Mediana
4 = Alta
Medio Riesgo (8 - 9)
Bajo Riesgo (1 -6)
Fuente: (Erb, 2011)
La siguiente tabla se utilizó para establecer el nivel de probabilidad de explotación de las
vulnerabilidades y la probabilidad de ocurrencia de las amenazas y posteriormente para
determinar el nivel de riesgo al que están expuestos los activos críticos de la empresa. Esta
actividad se desarrolló mediante entrevista con el Coordinador de Sistemas, informática y
telecomunicaciones de la empresa caso de estudio, quien fue designado por el Subdirector del
área para realizar el acompañamiento durante el desarrollo de todas las actividades de este
proyecto. La tabla no contiene la valoración asignada para cada una de las vulnerabilidades y
amenazas, ni la identificación de los niveles de riesgos a los que está expuesta la empresa.
46
Tabla 9: Análisis de riesgos.
Análisis de riesgos.
ACTIVO VULNERABILIDAD P.E AMENAZA P.O NIVEL
RIESGO
Servidor de
Base de Datos
Servidor Proxy
Servidor de
Intranet
Red de datos
Humedad
Se genere un corto
circuito
Electricidad estática
Daños a los
equipos
Polvo
Disminución del
rendimiento de los
equipos
Red de datos Diseño de red no
documentado, lo que
dificulta la identificación
puntos exactos en caso de
ocurrir daños en la red.
Detención parcial
de determinadas
actividades de la
empresa.
Red de datos Inexistencia de un registro
de fallas de la red
No se minimiza la
posibilidad de que
los sucesos
ocurridos
anteriormente se
vuelvan a generar.
Servidor de
Base de Datos
Servidor Proxy
Servidor de
Intranet
Red de datos
Políticas de seguridad
desactualizadas
No se contralan
adecuadamente los
distintos sucesos
que afectan los
equipos y la
información
Fuente: Elaborado por el autor del documento.
Por último, se representó mediante un gráfico el porcentaje por cada uno de los niveles de
riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel de riesgo
se encontraban los activos de información de la empresa en ese momento.
47
Gráfica 1: Porcentaje de riesgo.
Fuente: Elaborado por el autor del documento.
Luego de realizado el análisis de riesgos de manera general a la Empresa de Energía de
Arauca y la posterior entrega de resultados a la Subdirección de Sistemas, Informática y
Telecomunicaciones, el Subdirector de esta área solicito que el mismo proceso se realizará al
Centro de Control ubicado en el casco urbano del Municipio de Arauca con el objeto de
identificar posibles puntos débiles que puedan afectar la información y operatividad de la
Empresa desde este punto.
Para la realización del análisis de riesgos al Centro de Control se usó la misma metodología
y se aplicaron los mismos formatos, por ello, a continuación sólo se presenta el resultado
obtenido de este proceso.
3.6 Identificación y clasificación de los activos de información del Centro de Control
A continuación se presenta la clasificación de los activos de información del Centro de
Control de Enelar E.S.P., los cuales fueron identificados a través del método de observación y
entrevistas realizadas al personal que opera en estas instalaciones:
27%
46%
27%
Porcentaje de Riesgo de los activos de información de Enelar E.S.P.
Bajo Medio Alto
48
Tabla 10: Clasificación de activos de información del Centro de Control de Enelar E.S.P.
Clasificación de activos de información del Centro de Control de Enelar E.S.P.
Tipo de Activos Activos
Datos y/o Información Información relacionada con factores eléctricos.
Software SCADA
OMS
Equipamiento
Informático
(Hardware)
Servidor Scada
Servidor Oms
Servidor Elastix
Switchs
Radios GPRS
Relojes sincronizadores
Controlador de subestación
Sky Edge II
Pc’s
Impresoras
Redes de
comunicaciones
Intranet
Red telefónica
Red de datos
Red Inalámbrica
Internet
Equipamiento Auxiliar
Ups
Fibra Óptica
Aire Acondicionado
Instalaciones Cuarto de Telecomunicaciones del centro de control
Personal Ingenieros jefe del Centro de Control
Fuente: Elaborado por el autor del documento.
3.7 Determinación de activos críticos de información del centro de control
Los activos críticos fueron determinados mediante entrevista con el Ingeniero encargado de
la operatividad del Centro de Control quien realizó su respectiva valoración teniendo en
cuenta las distintas dimensiones de valoración de los activos de información y las cuales se
plantean en el análisis anterior.
49
A continuación se presenta la valoración de los activos críticos, los cuales se identificaron
de esta manera dado el resultado de la valoración obtenida y teniendo en cuenta que estos son
la fuente de almacenamiento, procesamiento y transporte de la información, y en caso de
generarse fallas en estos afectarían el normal desarrollo de las operaciones de la empresa.
Tabla 11: Valoración de los Activos de información del Centro de control de Enelar E.S.P.
Valoración de los Activos de información del Centro de control de Enelar E.S.P.
ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN
Escala de 1 - 5
C I D A T
Servidor Scada 3 5 1 4 5
Servidor OMS 3 5 1 4 5
Servidor Elastix 2 5 5 4 2
Red de datos 3 5 5 3 3
Fuente: Elaborado por el autor del documento.
3.8 Identificación de salvaguardas existentes aplicadas a los activos críticos del centro de
control
Las salvaguardas de los activos críticos que se identificaron a través de entrevistas al
personal del Centro de Control de Enelar E.S.P. son las siguientes: Mantenimiento Preventivo
y correctivo de Hardware, y Backup de la información contenida en los servidores.
3.9 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos del
centro de control
A continuación se establecen una serie de vulnerabilidades y amenazas asociadas a los
activos críticos del Centro de Control. Estas fueron identificadas a través de la aplicación del
mismo instrumento de recolección de datos (Checklist) utilizado en el análisis anterior.
50
Tabla 12: Vulnerabilidades y Amenazas de los activos críticos del Centro de Control.
Vulnerabilidades y Amenazas de los activos críticos del Centro de Control.
ACTIVO VULNERABILIDAD AMENAZA
Servidor Scada
Servidor OMS
Servidor Elastix
Red de datos
La infraestructura tecnológica del
centro de control no es
administrada directamente por un
profesional de esta área.
Perdida de información y/o
deterioro de los equipos por el
manejo inadecuado de los mismos
o la atención inoportuna en caso de
presentarse fallos.
Servidor Scada
Servidor OMS
Las cuentas de usuario para el
acceso al sistema en el Centro de
control no son administradas por
el área de sistemas de la empresa.
Deterioro, hurto y/o pérdida de
información por no establecer
correctamente los privilegios de
acceso de los usuarios.
Red de datos Los activos físicos de
información del Centro de control
no tienen asignado un
responsable directo.
Pérdida o deterioro de los equipos
por no existir un responsable
directo por cada uno de ellos.
Servidor Scada
Servidor OMS
Red de datos
Los pasantes usan las cuentas de
usuario de los ingenieros jefe para
realizar sus labores.
Personal no autorizado tenga
acceso información sensible
almacenada en los servidores.
Red de datos No todas las fallas que se generan
en la red de datos son registradas.
No se atienda eficientemente las
fallas reincidentes debido a la
inexistencia de un registro.
Fuente: Elaborado por el autor del documento.
3.10 Determinación del riesgo de los activos críticos del centro de control
En la siguiente tabla se establece el nivel de probabilidad de explotación de una
vulnerabilidad y la probabilidad de ocurrencia de una amenaza y posteriormente se determina
el nivel de riesgo al que están expuestos los activos críticos del centro de control de Enelar
E.S.P. Al igual que en el análisis anterior en este cuadro se omite la valoración asignada a las
vulnerabilidades y amenazas, y la posterior determinación del riesgo.
51
Tabla 13: Análisis de riesgos de los activos críticos del Centro de Control.
Análisis de riesgos de los activos críticos del Centro de Control.
ACTIVO VULNERABILIDAD P.E. AMENAZA P.O. NIVEL DE
RIESGO
Servidor Scada
Servidor OMS
Servidor Elastix
Red de datos
La infraestructura tecnológica del centro
de control no es administrada
directamente por un profesional de esta
área.
Perdida de información y/o
deterioro de los equipos por el
manejo inadecuado de los mismos o
la atención inoportuna en caso de
presentarse fallos.
Servidor Scada
Servidor OMS
Las cuentas de usuario para el acceso al
sistema en el Centro de control no son
administradas por el área de sistemas de
la empresa.
Deterioro, hurto y/o pérdida de
información por no establecer
correctamente los privilegios de
acceso de los usuarios.
Red de datos Los activos físicos de información del
Centro de control no tienen asignado un
responsable directo.
Pérdida o deterioro de los equipos
por no existir un responsable directo
por cada uno de ellos.
Servidor Scada
Servidor OMS
Red de datos
Los pasantes usan las cuentas de usuario
de los ingenieros jefe para realizar sus
labores.
Personal no autorizado tenga acceso
información sensible almacenada en
los servidores.
Red de datos No todas las fallas que se generan en la
red de datos son registradas.
No se atienda eficientemente las
fallas reincidentes debido a la
inexistencia de un registro.
Fuente: Elaborado por el autor del documento.
52
Gráfica 2: Porcentaje de riesgo Centro de Control.
Fuente: Elaborado por el autor del documento.
La grafica anterior representa en porcentajes cada uno de los niveles de riesgos
evidenciados en el Centro de Control.
33%
45%
22%
Porcentaje de Riesgo de los activos de información del Centro de Control de ENELAR E.S.P.
Bajo Medio Alto
53
Capitulo
4
Evaluación de Cumplimiento de los
controles de la Norma ISO/IEC
27002:2013 en la Empresa de Energía
de Arauca
54
Introducción
En el presente capítulo se evidencia todo el proceso que se llevó a cabo para evaluar el
estado en materia de seguridad de la información de la Empresa caso de estudio en base a los
controles seleccionados de la Norma ISO/IEC 27002:2013.
4.1 Elaboración del checklist en base a la Norma ISO/IEC 27002:2013
Antes de iniciar la elaboración del instrumento de recolección fue necesario seleccionar los
controles de la Norma ISO/IEC 27002:2013, con los cuales, se evaluó la seguridad de la
información en la empresa. De los 114 controles establecidos en la norma anteriormente
mencionada, se seleccionaron 54 porque son los más acordes con la funcionalidad de la
empresa desde el ámbito de las Tecnologías de la información.
Estos se evidencian en el formato del checklist (ver anexo 4) que se aplicó mediante
entrevista al Coordinador de Sistemas, informática y telecomunicaciones con el objetivo de
evaluar el nivel de cumplimiento de la empresa en cuanto a controles de seguridad de la
información.
4.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013
La evaluación de cumplimiento de cada uno de los 54 controles seleccionados de la norma
ISO/IEC 27002:2013, se realizó de acuerdo a las respuestas obtenidas mediante la aplicación
del checklist y en base a las cuales se determinó el nivel de madurez de los controles,
siguiendo el modelo de madurez de procesos establecidos en la norma ISO 21827:2008.
Además, se estableció una valoración de bajo, medio, alto para cada uno de los dominios,
objetivos de control y controles para evidenciar cuales de los controles evaluados en la
Empresa de Energía de Arauca son los más críticos o que no se han gestionado de manera
adecuada.
55
Con el objeto de facilitar la comprensión del proceso realizado, se hace una breve pero
concisa descripción de los términos usados en el desarrollo de esta actividad, la cual está
plasmada en la tabla evaluación de controles.
Tabla 14: Niveles de Madurez.
Niveles de Madurez.
NIVELES DE MADUREZ
ISO/IEC 21827:2008
Criterio Porcentaje Descripción
No realizado 0% No hay controles de seguridad de la información
establecidos.
Realizado
informalmente 20%
Existen procedimientos para llevar a cabo ciertas
acciones en determinado momento. Estas prácticas
no se adoptaron formalmente y/o no se les hizo
seguimiento y/o no se informaron adecuadamente.
Planificado 40%
Los controles de seguridad de la información
establecidos son planificados, implementados y
repetibles.
Bien definido 60%
Los controles de seguridad de la información
además de planificados son documentados,
aprobados e implementados en toda la
organización.
Cuantitativamente
controlado 80%
Los controles de seguridad de la información están
sujetos a verificación para establecer su nivel de
efectividad.
Mejora continua 100%
Los controles de seguridad de la información
definidos son periódicamente revisados y
actualizados. Estos reflejan una mejora al
momento de evaluar el impacto.
Fuente: Elaborado por el autor del documento.
56
En la tabla anterior se modificó el tipo de valor para establecer el grado de cumplimiento de
los controles. En la norma se maneja una escala de 0 a 5 respectivamente para cada criterio y
en la realización de esta actividad se maneja un porcentaje de 0% a 100%.
Tabla 15: Valoración de Controles.
Valoración de Controles.
VALORACIÓN DE CONTROLES
Porcentaje Escala Representación
0% - 30% Bajo
31% - 74% Medio
75% - 100% Alto
Fuente: Elaborado por el autor del documento.
La valoración de los controles se estableció de la siguiente manera, un porcentaje del 0-
30% para los controles con más bajo nivel de cumplimiento y por ende son más críticos. Del
31-74% para aquellos controles que se han desarrollado pero que en ocasiones no se
documentan. Por último, un porcentaje del 75-100% para identificar los controles que además
de haber sido planificados y documentados, están sujetos a revisión y actualizaciones con
cierta periodicidad.
A continuación sólo se muestra el porcentaje de cumplimiento para los controles del
dominio políticas de seguridad. La evaluación realizada a los otros controles de la norma
ISO/IEC 27002:2013 fueron omitidos de este documento a fin de mantener la confidencialidad
de la información de la empresa caso de estudio. Los demás controles que fueron evaluados se
pueden evidenciar en el anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC
27002:2013.
57
Tabla 16: Evaluación de controles.
Evaluación de controles.
Norma Sección Puntos a Evaluar Cumplimiento
5 POLITICAS DE SEGURIDAD 20%
5,1 Directrices de la Dirección en seguridad de la
información 20%
5.1.1 Conjunto de
políticas para la
seguridad de la
información
Existen políticas de seguridad
desactualizadas que continúan
rigiendo el uso de los activos de la
información, estas no fueron
publicadas y comunicadas al
personal de la empresa en su
debido momento.
Realizado
informalmente 20%
5.1.2 Revisión de las
políticas para la
seguridad de la
información
Las políticas de seguridad están
sujetas a revisión, pero esta
actividad no se realiza en base a un
procedimiento establecido que
permita hacerle las respectivas
mejoras en determinado momento.
Realizado
informalmente 20%
Fuente: Elaborado por el autor del documento.
4.3 Relación de Fichas de No conformidades y recomendaciones
En este apartado se relacionan los controles de la Norma ISO/IEC 27002:2013 que
presentan un porcentaje de cumplimiento menor o igual al 60%.
Estos controles se consignan en una Ficha de No Conformidades, la cual está constituida de
la siguiente manera: La primera Fila corresponde al nombre del Dominio evaluado, en la
segunda fila se ubica el numeral que identifica a cada control con su respectiva inconformidad
o aspecto por el cual la empresa no está cumpliendo la norma, y por último, en la tercera fila
se plantean las posibles soluciones o acciones que la empresa debe realizar con el objeto de
58
mejorar el estado de cumplimiento de cada uno de los controles y de esta manera garantizar la
seguridad de los activos de la información.
En este numeral sólo se muestra la ficha de no conformidad del dominio políticas de
seguridad a manera de ejemplo, la información contenida en las demás fichas sólo es de
interés para la empresa.
Tabla 17: Ficha de No Conformidades: Políticas de Seguridad.
Ficha de No Conformidades: Políticas de Seguridad.
Políticas de Seguridad
Descripción de las No Conformidades
5.1.1 Se identificó la existencia de políticas de seguridad desactualizadas.
5.1.2 Las políticas de seguridad están sujetas a revisión, pero esta actividad hasta el momento
no genera modificaciones a la misma.
Acción correctora Propuesta
Formular políticas de seguridad en base a los 54 controles aplicados en esta evaluación.
Establecer periodos para la revisión de las políticas de seguridad, lo recomendado sería una
vez al año o cuando se implementen nuevas tecnologías.
Fuente: Elaborado por el autor del documento.
59
4.4 Presentación de resultados
Luego de evaluados los diferentes controles se presenta gráficamente los resultados
obtenidos tras la evaluación de los 54 controles de la Norma ISO/IEC 27002:2013 en la
Empresa de Energía de Arauca Enelar ESP. Estos se presentan de la siguiente manera:
inicialmente se hace una descripción del porcentaje de cumplimiento de los controles
evaluados categorizándolos por objetivos de control, luego se muestra una gráfica con el
porcentaje de cumplimiento de cada uno de los dominios y por último, se presenta una gráfica
con el porcentaje de cumplimiento de cada uno de los niveles de madurez de los distintos
controles evaluados.
Con el objeto de mantener la confidencialidad de la información de la empresa caso de
estudio, las siguientes gráficas no contienen la información real del proceso realizado sino que
se hacen a manera de ejemplo.
Gráfica 3: Nivel de cumplimiento por objetivo de control.
Fuente: Elaborado por el autor del documento.
0%
20%
40%
60%
80%
100%
120%
Dir
ectr
ices
de
la D
irec
ció
n e
nse
guri
dad
de
la in
form
ació
n
Res
po
nsa
bili
dad
so
bre
los
Act
ivo
s
Cla
sifi
caci
on
de
la In
form
acio
n
Man
ejo
de
los
sop
ort
es
de
alm
ace
nam
ien
to
Req
uis
ito
s d
e n
ego
cio
par
a el
con
tro
l de
acce
sos
Ges
tió
n d
e ac
ceso
de
usu
ario
.
Res
po
nsa
bili
dad
es d
el u
suar
io
Co
ntr
ol d
e ac
ceso
a s
iste
mas
yap
licac
ion
es
Are
as S
egu
ras
Segu
rid
ad d
e lo
s Eq
uip
os
Pro
tecc
ión
co
ntr
a có
dig
om
alic
ioso
Co
pia
s d
e se
guri
dad
Ges
tió
n d
e la
seg
uri
dad
en
las
red
es.
Inte
rcam
bio
de
info
rmac
ión
con
par
tes
exte
rnas
.
Segu
rid
ad e
n lo
s p
roce
sos
de
des
arro
llo y
so
po
rte
5,1 8,1 8,2 8,3 9,1 9,2 9,3 9,4 11,1 11,2 12,2 12,3 13,1 13,2 14,2
Nivel de cumplimiento por objetivo de control
60
Gráfica 4: Nivel de cumplimiento por dominio.
Fuente: Elaborado por el autor del documento.
Gráfica 5: Estado de madurez de los controles.
Fuente: Elaborado por el autor del documento.
0%
20%
40%
60%
80%
100%
120%
Po
lític
as d
e se
guri
dad
Ges
tió
n d
e ac
tivo
s
Co
ntr
ol d
e ac
ceso
Segu
rid
ad f
ísic
a y
amb
ien
tal
Segu
rid
ad e
n la
op
erat
iva
Segu
rid
ad e
n la
ste
leco
mu
nic
acio
nes
Ad
qu
isic
ión
, des
arro
llo y
man
ten
imie
nto
de
los
sist
emas
de
info
rmac
ión
5 8 9 11 12 13 14
Nivel de cumplimiento por dominio
16%
16%
17% 17%
17%
17%
Estado de madurez de los controles
No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
61
Capitulo
5
Políticas de Seguridad de la
Información de la Empresa de
Energía de Arauca Enelar E.S.P.
62
Introducción
En este capítulo se presenta una breve descripción de las políticas de seguridad de la
información que se desarrollaron para proteger los activos de información de la Empresa de
Energía de Arauca Enelar E.S.P., es por ello que en esta sección sólo se explicarán los puntos
más relevantes de las políticas que son los siete dominios de la norma ISO/IEC 27002:2013,
los cuales se mencionan a continuación: Políticas de seguridad de la información, Gestión de
activos, Control de acceso, Seguridad física y ambiental, Seguridad en la operativa, Seguridad
en las telecomunicaciones, y Adquisición, desarrollo y mantenimiento de los sistemas de
información. Además, se expondrán las sanciones que se crearon por el incumplimiento de
estas políticas.
5.1 Políticas de seguridad de la información de la Empresa de Energía de Arauca Enelar
E.S.P.
5.1.1 Política de seguridad.
Este dominio establece como mandato la oportuna creación, aprobación, publicación,
comunicación y aplicación del conjunto de políticas de seguridad de la información con el
objeto de preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
de la información, de igual manera recomienda su revisión con cierta regularidad ya sea una
vez al año, o antes, en caso de implementarse una nueva tecnología en la empresa o surjan
nuevos incidentes de seguridad, esto se hace con el fin de garantizar la efectividad de las
políticas.
5.1.2 Gestión de activos.
Ésta política conlleva a la empresa a identificar y clasificar sus activos de información,
definir las respectivas responsabilidades para su adecuada protección, además regula las
prácticas para su uso adecuado y la devolución por parte del personal al finalizar su contrato
63
laboral. Igualmente reglamente la gestión de los soportes de almacenamiento estableciendo
una serie de indicaciones para evitar el hurto, modificación, eliminación de la información a
través de la deshabilitación de los puertos usb, la activación del escaneo automático de virus y
el bloqueo de la reproducción automática de archivos ejecutables.
5.1.3 Control de acceso.
Reglamenta una serie de controles para evitar el acceso de personas no autorizadas a las
instalaciones de la empresa, a las áreas de procesamiento de información y a las diferentes
oficinas. Entre los controles establecidos se encuentran: autorizaciones para el ingreso a áreas
sensibles, registrar información de acceso en bitácoras, tener un sistema lector de tarjetas o
biométrico para controlar el acceso al edificio y a los cuartos de telecomunicaciones.
Igualmente regula la adecuada gestión de cuentas de usuario desde su creación hasta su
desactivación estableciendo parámetros de acceso para el personal de acuerdo a sus funciones,
el cambio de contraseña a determinados intervalos para minimizar el riesgo de que hackers
accedan a los sistemas y a la información confidencial de la empresa.
5.1.4 Seguridad física y ambiental.
Regula el acceso al edificio, las instalaciones de procesamiento de información y a las
oficinas, establece medidas para la protección de los activos de información tales como: el uso
de extintores, sistemas de alarma contra incendios, cámaras de seguridad, el registro de
ingreso y salida de los visitantes de la empresa y del acceso del personal autorizado a las
instalaciones donde reside el archivo, la constante revisión de los soportes eléctricos y
ambientales para garantizar el óptimo funcionamiento de los equipos de cómputo ubicados en
los cuartos de telecomunicaciones, la instalación adecuada del cableado para evitar posibles
interferencias en la transmisión de la información, el mantenimiento preventivo y correctivo
de los dispositivos informáticos.
64
5.1.5 Seguridad en la operativa.
Rige diversos controles que permiten la detección, prevención y recuperación en caso de
que el sistema sea infectado por programas maliciosos, a través del uso de antivirus
licenciados con un control de acceso a su configuración para evitar que el personal no
autorizado la modifique. Además, tiene en cuenta la adecuada gestión de las respectivas copias
de seguridad de la información de manera que se garantice su integridad y debida protección
durante la generación, transporte y almacenamiento.
5.1.6 Seguridad en las telecomunicaciones.
Determina la segmentación física y lógica de la red de datos en función de los usuarios y
los servicios con la finalidad de mejorar el tráfico de la red y de esta manera darle mayor
rendimiento a las distintas operaciones de la empresa. La división de estos segmentos debe ser
realizada por medio de dispositivos perimetrales e internos de enrutamiento (Switch o Router),
a los cuales se les debe verificar los puertos físicos y lógicos que no están en uso para tenerlos
restringidos y monitoreados con el fin de prevenir accesos no autorizados. Por otra parte,
establece el uso de acuerdos de transferencias seguras de la información entre las
dependencias de la empresa y con entes externos por los diferentes canales de transmisión a
fin de garantizar su confidencialidad e integridad.
5.1.7 Adquisición, desarrollo y mantenimiento de los sistemas de información.
Busca controlar los entornos de desarrollo y soporte de los sistemas durante todo su ciclo
de vida garantizando la seguridad de la información. Además, establece medidas para
controlar la realización de las respectivas pruebas de funcionamiento de forma que no afecten
el normal desarrollo de las operaciones de la empresa.
65
5.1.8 Cumplimiento.
Para dar cumplimiento a las políticas de seguridad de la información se crearon ciertas
sanciones que varían de acuerdo al nivel de afectación que le generen a la empresa, estas
pueden ser amonestaciones escritas, suspensiones, destitución y/o sanciones de tipo legal que
conllevarían al pago de multas hasta de 1.500 salarios mínimos y pena de prisión de hasta 120
meses.
66
6. Conclusiones
Luego de realizada la auditoria en seguridad de la información se evidenciaron una serie de
factores que ponen en riesgo los activos de información de la empresa, entre ellos se
encuentran los bajos controles de acceso físico desplegados para evitar el acceso de personas
no autorizadas a las áreas de procesamiento de información, ésta incidencia aumenta la
probabilidad de perdida, deterioro e indisponibilidad de la información y los equipos de
cómputo, también, el mal funcionamiento de los sistemas de detención de fuego y niveles de
temperatura que no permiten al personal actuar oportunamente en caso de presentarse
incendios o un aumento de calor en el cuarto de telecomunicaciones por el mal
funcionamiento de los aires acondicionados.
Así mismo, la inadecuada gestión de los activos de información debida a la falta de
prácticas para su uso adecuado, no tener definidas las responsabilidades del personal sobre
ellos, ni tener establecidos controles que garanticen su devolución al finalizar el contrato
laboral de los empleados. Igualmente, que la infraestructura tecnológica de la empresa no sea
administrada por personal idóneo, los programas de detención de software malicioso sean
desactivados en ciertas ocasiones y su configuración esté expuesta a la modificación de
personas no autorizadas.
Otro de los factores que aumentan significativamente los niveles de riesgo de los activos de
información es el desconocimiento o la falta de conciencia por parte del personal para evitar
aquellas situaciones que pueden afectar la disponibilidad, integridad y confidencialidad de la
información.
Por otra parte, se evidenciaron determinadas causas que afectan la óptima gestión de la
información tales como: la unificación de la red de datos que genera un retardo en la
transmisión de la información debido a la gran cantidad de tráfico de broadcast y no
documentar los distintos procesos y procedimientos realizados en la empresa.
67
7. Recomendaciones
Concientizar al personal sobre los distintos riesgos a los que está expuesta la información
de la empresa y enfatizar sobre la importancia que esta representa para la empresa, exponerles
las sanciones que dicta la ley nacional en relación a la protección de la información, las cuales
le pueden generar a la empresa multas hasta de 2000 salarios mínimos, suspensión de las
actividades referentes al tratamiento de la información por un tiempo determinado. Además,
sanciones para las personas que atenten contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos con multas hasta de 1500 salarios
mínimos y pena de prisión hasta de 120 meses.
Por otra parte, dar a conocer las políticas de seguridad de la información al personal de la
empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella y de esta
manera brindar mayor protección a los activos de información de la empresa. Posteriormente,
hacerle un seguimiento a esos controles, evaluar su nivel de efectividad y hacerle las
respectivas mejoras ya sea anualmente o cuando surjan determinados factores que así lo
ameriten.
Además, elaborar formatos para: registrar las visitas a los cuartos de telecomunicaciones a
fin de determinar quienes ingresan a estas áreas y que te tipo de actividad realizan, tener toda
la información relacionada con los equipos de cómputo y de comunicación de propiedad de la
empresa a través del levantamiento de su respectiva hoja de vida, garantizar que los equipos de
cómputo sean devueltos luego de la terminación del contrato de los empleados y de esta
manera se pueda evidenciar el estado en que se entregan, determinar los diferentes aspectos
vinculados a la realización de pruebas de funcionamiento del software.
Asimismo, crear procedimientos que permitan realizar de forma segura la eliminación de
los soportes de almacenamiento, restrinjan y controlen el uso de programas no autorizados en
los equipos de la empresa, establezcan los pasos a seguir para el transporte seguro de los
soportes de almacenamiento, y proteger los activos de información de amenazas externas y
ambientales.
68
La subdirección de sistemas, informática y telecomunicaciones se haga cargo de la
administración de la infraestructura tecnológica de toda la empresa y de crear las respectivas
cuentas de usuario para el acceso del personal al sistema.
Se verifique y se corrija la configuración de los antivirus instalados en el Centro de control
para permitir el normal funcionamiento del sistema y el desarrollo de las funciones del
personal y de esta manera evitar la intrusión de software malicioso al sistema.
Crear cuentas de usuarios para los pasantes del Sena con los privilegios de acceso acordes a
las actividades que ellos deban desarrollar y de esta manera evitar que usen las cuentas de sus
jefes inmediatos, las cuales tienen mayor nivel de privilegios.
Finalmente, con el objeto de reducir el retardo en la transmisión de la información debido a
la gran cantidad de tráfico de broadcast, se recomienda segmentar la red de datos de la
empresa en el Municipio de Arauca por áreas de trabajo, estableciendo tres segmentos para la
dirección administrativa, comercial y operativa respectivamente.
69
8. Cronograma de actividades
ÍTEM ACTIVIDADES MES 1 MES 2 MES 3 MES 4
SEGURIDAD DE LA
INFORMACIÓN 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1
Planificar las distintas
actividades que permitan
realizar el proceso de auditoría
1.1
Revisar información
relacionada con el área de TI,
identificando los activos, las
amenazas a que estos están
expuestos y las respectivas
salvaguardas.
1.2 Analizar y valorar los riesgos
1.3 Elaborar el instrumento de
recolección de la información
2
Desarrollar la auditoria apoyada
en una herramienta de
recolección de datos
2.1 Aplicar el instrumento de
recolección de la información
2.2
Analizar la información
recopilada en la actividad
anterior
3
Informar a los miembros del
área de TI los hallazgos
obtenidos en el proceso de la
auditoria
3.1 Elaborar un informe con los
resultados obtenidos
3.2
Comunicar a los miembros del
área de TI los resultados
obtenidos
4
Presentar mejoras al área de TI
en cuanto a la seguridad de la
información teniendo en cuenta
los hallazgos obtenidos
4.1 Formular y socializar las
políticas de seguridad
70
Referencias bibliográficas
Alegsa, L. (2009). Alegsa. Obtenido de http://www.alegsa.com.ar/Dic/antivirus.php
Alonso, P. (s.f.). Federación de Servicios a la Ciudadanía-CCOO. Obtenido de
http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_informatica.pdf
Anerdata. (s.f.). Anerdata. Obtenido de http://www.anerdata.com/que-es-un-servidor.html
Asociación Española para la Calidad. (2014). AEC. Recuperado el 21 de 10 de 2014, de
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion
Bernal, J. J. (2013). pdcahome. Recuperado el 21 de 10 de 2014, de
http://www.pdcahome.com/5202/ciclo-pdca/
ENELAR E.S.P. (2012). Plan estratégico y prospectivo 2012-2015. Arauca, Arauca,
Colombia.
ENELAR E.S.P. (2013). Historia Enelar. Obtenido de
http://www.enelar.com.co/content.php?id=7
ENELAR E.S.P. (2013). Misión. Obtenido de http://www.enelar.com.co/content.php?id=4
ENELAR E.S.P. (2013). Organigrama ENELAR. Obtenido de
http://www.enelar.com.co/set.php?set=8
ENELAR E.S.P. (2013). visión. Obtenido de http://www.enelar.com.co/content.php?id=5
Erb, M. (2011). Matriz de riesgo. Recuperado el 18 de 02 de 2015, de
https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Erb, M. (2011). Amenazas y vulnerabilidades. Obtenido de
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
GCF Community Foundation International. (s.f.). Gcfaprendelibre. Obtenido de
http://www.gcfaprendelibre.org/tecnologia/curso/informatica_basica/empezando_a_us
ar_un_computador/2.do
Google. (2015). Protéjase del software malicioso. Obtenido de
https://support.google.com/adwords/answer/2375413?hl=es-419
Guerrero Julio, M. L. (2014). Gestión de riesgos de TI. Universidad Cooperativa de Colombia.
Bogotá. pg 28
Informática moderna. (2008). Definición de información. Obtenido de
http://www.informaticamoderna.com/Info_dat.htm
71
Informaticamoderna. (2008). Mantenimiento preventivo. Obtenido de
http://www.informaticamoderna.com/Mant_comp.htm
Instituto Nacional de Tecnologías de la comunicación de España. (2013). INCIBE. Obtenido
de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.p
df
INTECO. (2014). INTECO. Recuperado el 14 de 10 de 2014, de
https://www.inteco.es/Formacion_eu/SGSI_eu/Conceptos_Basicos_eu/Normativa_SG
SI_eu/
International Organization for Standardization. (2013). iso.org. Recuperado el 07 de 03 de
2015, de iso.org: http://www.iso.org/iso/catalogue_detail?csnumber=54533
International Organization for Standardization/International Electrotechnical Commission. (15
de 01 de 2014). International Standard ISO/IEC 27000. Obtenido de
http://k504.org/attachments/article/819/ISO_27000_2014.pdf
iso27000. (2005). iso27000. Recuperado el 20 de 03 de 2015, de iso27000:
http://www.iso27000.es/iso27002.html
ISO27000. (21 de 10 de 2014). EL PORTAL DE ISO 27000. Recuperado el 21 de 10 de 2014,
de http://www.iso27000.es/iso27000.html
MasterMagazine. (2009). MasterMagazine. Obtenido de
http://www.mastermagazine.info/termino/4532.php
Mifsud, E. (26 de 03 de 2012). MONOGRÁFICO: Introducción a la seguridad informática -
Vulnerabilidades de un sistema informático. Obtenido de
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-
introduccion-a-la-seguridad-informatica?start=3
Ministerio de Hacienda y Administraciones Públicas de España. (2012). Magerit – versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid:
Ministerio de Hacienda y Administraciones Públicas.
Ministerio de Hacienda y Administraciones Públicas, G. d. (2012). MAGERIT-Metodología de
Analisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Dirección
General de Modernización Administrativa, procedimientos e Impulso de
administración Electrónica.
Solutek. (2015). Definición de mantenimiento correctivo. Obtenido de
http://www.solutekcolombia.com/servicios_tecnologicos/mantenimientos/correctivos/
72
Téllez, V. J. (1988). Contratos informáticos. Ciudad universitaria: Universidad Nacional
Autónoma de México.
Universidad Nacional Autónoma de México. (2015). Definición de política de seguridad.
Obtenido de http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/DefinicionPolitica.php
74
Anexo 1: Formato caracterización de los activos de información.
Tabla 18: Caracterización de los activos.
Caracterización de los activos.
CARACTERIZACIÓN DE LOS ACTIVOS
IDENTIFICACIÓN DE LOS ACTIVOS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM Activo Código Descripción Tipo Unidad Responsable Persona Responsable
Ubicación Cantidad Mantiene Explota Responsable Operador
1
2
3
4
5
Fuente: Elaborado por el autor del documento.
75
Anexo 2: Checklist identificación del riesgo de los activos de información.
Tabla 19: Identificación de amenazas y vulnerabilidades.
Identificación de amenazas y vulnerabilidades.
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
CHECKLIST EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
Nº PREGUNTAS SI NO NA OBSERVACIONES
FISICA
1 ¿Están las instalaciones del data center protegidas de acceso no autorizado?
2 ¿Cuál de los siguientes controles físicos aplican para las instalaciones del cuarto de telecomunicaciones?
a) Perímetro de seguridad definido
b) Sistema de detección de intrusos
c) Puertas de seguridad con sistema de acceso
d) Otro (especifíquelo en la casilla de observaciones)
3 ¿Cuál de los siguientes controles físicos aplican para acceder al Área de TI?
a) Carnet de Identificación
b) Registro de visitantes
c) Otro (especifíquelo en la casilla de observaciones)
76
4 ¿La instalación donde está ubicado el cuarto de telecomunicaciones cuenta con condiciones físicas adecuadas de acuerdo a la norma?
a) Paredes
b) Piso
c) Techo
5 ¿Cuáles de las siguientes medidas contra incendios tienen implementadas?
a) Alarma
b) Extintores
c) Sistema contra incendios
d) Otro (especifíquelo en la casilla de observaciones)
6 ¿El Sistema de Cableado Estructurado está diseñado e instalado cumpliendo las normas internacionales vigentes?
7 ¿Tienen documentado el diseño de la red?
8 ¿Tienen establecido controles para llevar a cabo el mantenimiento preventivo y correctivo de los equipos de la empresa?
9 ¿Se tiene establecido controles para llevar a cabo el mantenimiento de las instalaciones donde se encuentra ubicado el cuarto de telecomunicaciones?
RED
10 ¿Se tiene determinado quienes comparten los datos a través de la red y como los utilizan?
11 ¿Se tienen documentados y/o actualizados los inventarios de activos físico y lógicos de la red?
12 ¿Son documentadas las fallas y/o problemas que ocurren en la red?
13 ¿Existen controles definidos de acceso a la red interna?
14 ¿Cuenta con un dispositivo firewall para protección y aseguramiento de la red?
77
SOFTWARE
15 ¿Los equipos de cómputo cuentan con Antivirus actualizados?
16 ¿Las aplicaciones instaladas en el servidor de BD están debidamente actualizadas?
17 ¿Se monitorea constantemente el rendimiento y el acceso a los servidores?
18 ¿Son guardados de manera segura los datos sensibles de los equipos antes de una reinstalación?
19 ¿Los datos que viajan por intranet están cifrados?
ORGANIZACIÓN
20 ¿Existe un departamento o dependencia que se dedique a la administración de la red y los servicios de TI?
21 ¿Existe una estructura orgánica para dicha Área con sus correspondientes funciones?
22 ¿El número de personas que constituyen actualmente el Área de TI son suficientes para controlar los diferentes procesos de TI?
23 ¿Existe un plan de capacitación para el personal del Área de TI en aspectos relacionados con las TIC y procesos de certificación?
24 ¿Están claramente definidas las responsabilidades del recurso humano para proteger los activos así como la ejecución del proceso de seguridad?
25 ¿Existen políticas de seguridad actualizadas?
26 ¿Las políticas de seguridad están debidamente socializadas con el personal de la empresa?
27 ¿Para ser movidos los equipos, software o información fuera de las instalaciones requiere de una autorización?
Fuente: Elaborado por el autor del documento.
78
Anexo 3: Formato de identificación de amenazas y vulnerabilidades.
Tabla 20: Formato de identificación de amenazas y vulnerabilidades.
Formato de identificación de amenazas y vulnerabilidades.
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y
SALVAGUARDAS
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM VULNERABILIDADES AMENAZAS
1
El cuarto de telecomunicaciones no está
protegido del acceso de personas no
autorizadas.
Robo de información
Daños a los equipos
Intrusión de software malicioso
Manipulación de la
información
2
No se tiene establecido Controles
físicos de acceso al cuarto de
telecomunicaciones
Acceso de personal no
autorizado
3 No se tiene establecido Controles
físicos de acceso al área de TI
Acceso de personal no
autorizado
4
Humedad Se genere un corto circuito
Electricidad estática Daños a los equipos
Polvo Disminuye rendimiento de los
equipos
5
Obstáculo para reaccionar de manera
eficaz ante incidentes ocasionados
Daño parcial o total de los
equipos
Inexistencia de un sistema que reduzca
el nivel de daño en caso de un incendio Perdida de información
6 Dificultad para la localización de daños
Perdida de información Interferencias en la transmisión de
79
datos
Dificultad para el mantenimiento de la
red
7
Dificultad para identificar puntos
exactos en caso de ocurrir daños en la
red
Paralización de actividades
8 El mantenimiento de los equipos no se
realice en el momento requerido Fallos en los equipos
9 Acumulación de partículas dañinas
Disminuye el rendimiento de
los equipos
Se genere un corto circuito
10 No se monitorea el tráfico de la red Intrusos obtengan y mantengan
acceso a la red
11
Inventario no tiene la información
completa de algunos de los activos
informáticos de la empresa
Perdida de los activos
12 Inexistencia de un registro de fallas de
la red
No se minimiza la posibilidad
de que los sucesos ocurridos
anteriormente se vuelvan a
generar.
13 La LAN no está segmentada No se controla el acceso de
usuarios no autorizados
14 Fácil acceso al sistema
Robo de información
Destrucción de la información
Interrupción del
funcionamiento del sistema
15 Los equipos no tienen Antivirus
actualizados Intrusión de software malicioso
16 Software de base de datos
desactualizado
Intrusos
Software malicioso
17 Desconocimiento del rendimiento de
los servidores
Mal funcionamiento de los
servidores
80
No se cuenta con un registro de acceso
a los servidores hacker
18 No se hacen copia de los datos antes de
una reinstalación Perdida de la información
19
No se cuenta con un sistema de cifrado
para proteger la información que se
transporta por intranet
Intercepción de información
confidencial
20 No se administra eficazmente los
procesos de TI
Bajo rendimiento de las
operaciones de la empresa
21 No se tiene una distribución de
responsabilidades
Nadie se hace responsable por
los daños ocasionados
22 No se cuenta con el personal suficiente
para controlar los distintos procesos
Deficiente funcionamiento de
los procesos de la empresa
23
No se capacita al personal del área de
TI en tecnologías de la información y la
comunicación y procesos de
certificación
Los procesos de la empresa no
se desarrolla eficientemente
24
No se tiene establecidas las
responsabilidades del personal para la
protección de los activos
Los activos están propensos a
sufrir daños
25 No están actualizadas las políticas de
seguridad
No se contralan adecuadamente
los distintos sucesos que
afectan los equipos y la
información
26 No se socializa las políticas de
seguridad con el personal de la empresa
No se protegen los activos de la
información
27 Los activos son sacados fácilmente de
las instalaciones de la empresa
Extracción de información
confidencial
Robo del activo
Fuente: Elaborado por el autor del documento.
81
Anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
Tabla 21: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN
Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013
Empresa:
Funcionario:
Cargo:
Fecha:
Norma Sección Puntos a Evaluar SI NO N/A Observaciones
5 POLITICAS DE SEGURIDAD
5,1 Directrices de la Dirección en seguridad de la información
5.1.1 Conjunto de políticas para la seguridad
de la información
1. ¿La empresa tiene políticas de seguridad
de la información?
2. ¿Las políticas de seguridad de la
información son aprobadas por la
administración?
3. ¿Las políticas de seguridad de la
información han sido publicadas y
comunicadas adecuadamente a los
empleados?
5.1.2 Revisión de las políticas para la
seguridad de la información
1. ¿Están las políticas de seguridad de la
información sujetas a revisión?
82
2. ¿Regularmente se hacen revisiones de
las políticas de seguridad de la
información? Especifique la periodicidad
en la casilla observaciones.
3. ¿Las políticas de seguridad de la
información son revisadas cuando las
circunstancias lo amerita?
8 GESTION DE ACTIVOS
8,1 Responsabilidad sobre los Activos
8.1.1 Inventario de activos.
1. ¿Existe un inventario de todos los
activos asociados a las instalaciones de
procesamiento de información?
2. ¿El inventario de activos de información
contiene información precisa y
actualizada?
8.1.2 Propiedad de los activos.
¿Tienen los activos de la información un
responsable definido que sea consciente de
sus responsabilidades?
8.1.3 Uso aceptable de los activos.
1. ¿Existe una política de uso aceptable
para cada clase o tipo de activos de
información?
2. ¿Están los usuarios conscientes de esta
política antes de su uso?
8.1.4 Devolución de activos.
1. ¿Existe algún proceso para asegurar que
los empleados y los contratistas hagan
devolución de los activos de información
de propiedad de la empresa a la
terminación de su contrato laboral?
83
8,2 Clasificación de la Información
8. 2.1 Directrices de clasificación.
1. ¿Existe una política que rige la
clasificación de la información?
2. ¿Existe un proceso por el cual toda la
información se pueda clasificar de manera
adecuada?
8.2.2 Etiquetado y manipulado de la
información.
1. ¿Existe un proceso o procedimiento que
garantice el etiquetado y la correcta
manipulación de los activos de
información?
8.2.3 Manipulación de activos.
1. ¿Existe un procedimiento para el manejo
de cada clasificación de los activos de
información?
2. ¿Están los usuarios de los activos de
información al tanto de este
procedimiento?
8,3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles.
1. ¿Existe alguna política que rige el uso de
los soportes de almacenamiento?
2. ¿Existe algún proceso que diga cómo
utilizar adecuadamente los soportes de
almacenamiento?
3. ¿Existen políticas de procesos o
comunicados a los empleados que informe
el uso adecuado de los soportes de
almacenamiento?
8.3.2 Eliminación de soportes.
1. Existe algún procedimiento formal que
rija como se debe eliminar los soportes de
almacenamiento?
84
8.3.3 Soportes físicos en tránsito
1. ¿Existe alguna política documentada y
detallada que defina la forma cómo se debe
transportar los soportes físicos de
almacenamiento?
2. ¿Están protegidos los soportes de
comunicación contra el acceso no
autorizado, mal uso o perdida durante su
transporte?
9 CONTROL DE ACCESO
9,1 Requisitos de negocio para el control de accesos
9.1.1 Política de control de accesos.
1. ¿Existe una política de control de acceso
documentada?
2. ¿Se basa la política en los
requerimientos del negocio?
3. ¿Está la política comunicada
apropiadamente?
9.1.2 Control de acceso a las redes y servicios
asociados.
1. ¿Están los controles establecidos para
asegurar que los usuarios sólo tienen
acceso a los recursos de la red que
necesitan para realizar sus funciones?
9,2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de
usuarios.
1. ¿Existe un proceso formal de registro de
acceso de usuario en su lugar?
9.2.2 Gestión de los derechos de acceso
asignados a usuarios.
1. ¿Hay un proceso formal para asignar
derechos de acceso para todos los tipos de
usuario y servicios?
85
9.2.3 Gestión de los derechos de acceso con
privilegios especiales.
1. ¿Separadamente son manejadas las
cuentas de acceso privilegiadas y
controladas?
9.2.4 Gestión de información confidencial de
autenticación de usuarios.
1. ¿Hay un proceso de dirección formal
para controlar la asignación de información
secreta de autenticación de usuarios?
9.2.5 Revisión de los derechos de acceso de
los usuarios.
1. ¿Existe un proceso para los propietarios
de activos para revisar los derechos de
acceso a sus activos de forma regular?
2. ¿Se verifica este proceso de revisión?
9.2.6 Retirada o adaptación de los derechos
de acceso
1. ¿Existe un proceso para asegurar que los
derechos de acceso de un usuario sean
eliminados en la terminación de su
contrato, o ajustados sobre el cambio de
funciones?
9,3 Responsabilidades del usuario
9.3.1 Uso de información confidencial para la
autenticación
1. ¿Existe algún documento de políticas de
la empresa que diga la forma en secreto de
cómo se debe autenticar y manejar la
información?
2. ¿Este documento lo conoce los
empleados que manejan información
secreta y clasificada de la empresa?
9,4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información.
1. ¿El acceso a las funciones de las
aplicaciones de los sistemas de información
se encuentra restringidas al igual que las
políticas de control de acceso?
86
9.4.2 Procedimientos seguros de inicio de
sesión.
1. ¿El acceso es controlado por un
procedimiento de inicio de sesión seguro?
9.4.3 Gestión de contraseñas de usuario.
1 ¿Son los sistemas de contraseñas
dinámicas?
2 ¿Se requieren contraseñas complejas?
9.4.4 Uso de herramientas de administración
de sistemas.
1. ¿Los programas utilitarios con
privilegios son restringidos y
monitoreados?
9.4.5 Control de acceso al código fuente de
los programas
1. ¿Está protegido el acceso al código
fuente de las aplicaciones de la empresa?
11 SEGURIDAD FISICA Y AMBIENTAL
11,1 Áreas Seguras
11.1.1 Perímetro de seguridad física.
1. ¿existe un perímetro de seguridad
designado?
2. ¿Las áreas de información sensible o
críticas se encuentran separadas y
controladas adecuadamente?
11.1.2 Controles físicos de entrada.
1. ¿Las áreas seguras tienen sistemas de
control de acceso adecuado para que sólo
personal autorizado ingrese?
11.1.3 Seguridad de oficinas, despachos y
recursos.
1. ¿Tienen las oficinas, despachos e
instalaciones seguridad perimetral?
2. ¿Realiza procesos de concientización
con los empleados por mantener la
seguridad en puertas, escritorios,
archivadores, etc., de las oficinas?
87
11.1.4 Protección contra las amenazas externas
y ambientales.
1. ¿Tiene diseños o medidas de protección
física para prevenir desastres naturales,
ataques maliciosos o accidentes de la
empresa?
11.1.5 El trabajo en áreas seguras.
1. ¿existen áreas seguras?
2. ¿Dónde existen, las áreas seguras
cuentan con políticas y procesos
adecuados?
3. ¿Estas políticas y procesos son aplicadas
y supervisadas?
11.1.6 Áreas de acceso público, carga y
descarga
1 ¿Las áreas de acceso público están
separadas de las áreas de carga y descarga?
2 ¿El acceso a estas áreas están
controladas?
3 ¿Esta el acceso a las áreas de carga
aislado de las instalaciones de los procesos
de información?
11,2 Seguridad de los Equipos
11.2.1 Emplazamiento y protección de
equipos.
1 ¿Están los peligros ambientales
identificados y considerados cuando se
selecciona la ubicación de los equipos?
2 ¿Son los riesgos de acceso no autorizado
o transeúntes considerados al
emplazamiento de equipos?
11.2.2 Instalaciones de suministro.
1. ¿Existe un sistema de UPS o generador
de respaldo?
2. ¿Han sido probados en simulacros?
88
11.2.3 Seguridad del cableado.
1. ¿se han realizado evaluaciones de
riesgos sobre la ubicación de los cables de
energía y telecomunicaciones?
2. ¿Están ubicadas para evitar
interferencias, interceptación o daños?
11.2.4 Mantenimiento de los equipos. 1. ¿Existe una programación de
mantenimiento de equipos?
11.2.5 Salida de activos fuera de las
dependencias de la empresa.
1 ¿Existe un proceso de control de la salida
de activos fuera de empresa?
2 ¿Se aplica este proceso?
3 ¿se realizan controles en sitio?
11.2.6 Seguridad de los equipos y activos
fuera de las instalaciones.
1 ¿existe una política de seguridad de
activos fuera de la empresa?
2 ¿estas políticas son del conocimiento de
todos?
11.2.7 Reutilización o retirada segura de
dispositivos de almacenamiento.
1. ¿existe una política que mencione que
los activos de información pueden ser
reutilizados o retirados en forma segura?
2 ¿Cuándo datos o información es borrada
de dispositivos de almacenamiento es
debidamente comprobado antes de su
reutilización o eliminación?
11.2.8 Equipo informático de usuario
desatendido.
1. ¿La empresa tiene una política en torno a
cómo el equipo desatendido se debe
proteger?
89
2. ¿Existen controles técnicos para
garantizar que un equipo se ha dejado
inadvertidamente desatendido?
11.2.9 Política de puesto de trabajo despejado
y bloqueo de pantalla
1. ¿Existe una política de puesto de trabajo
despejado y bloqueo de pantalla?
12 SEGURIDAD EN LA OPERATIVA
12,2 Protección contra código malicioso
12.2.1 Controles contra el código malicioso.
1 ¿Tiene controles para detectar código
malicioso?
2 ¿Tiene controles para evitar la
propagación de códigos maliciosos?
3 ¿La empresa tiene controles y la
capacidad de recuperar de una infección de
un código malicioso?
12,3 Copias de seguridad
12.3.1 Copias de seguridad de la información
1. ¿Existe una política de copia de
seguridad programada?
2. ¿Cumple la política de copia de
seguridad de la organización con los
marcos legales pertinentes?
3. ¿Son las copias de seguridad hechas de
acuerdo con las políticas?
4. ¿Se probaron las copias de seguridad?
13 SEGURIDAD EN LAS TELECOMUNICACIONES
13,1 Gestión de la seguridad en las redes.
13.1.1 Controles de red. 1. ¿Existe un proceso de administración de
red en su empresa?
90
13.1.2 Mecanismos de seguridad asociados a
servicios en red.
1. ¿La Empresa implementa un enfoque de
gestión del riesgo que identifique todos los
servicios de red y los acuerdos de servicio?
2. ¿Está la seguridad exigida en los
acuerdos y contratos con proveedores de
servicios?
3. ¿Las políticas de seguridad en redes
están reglamentadas?
13.1.3 Segregación de redes.
1. ¿La topología de red cumple con la
segregación de las redes para las diferentes
tareas?
13,2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de
intercambio de información.
1 ¿las políticas organizacionales rigen
cómo se debe transferir la información?
2. ¿Están disponibles los procedimientos de
cómo se deben transferir los datos a todos
los empleados?
3. ¿Están los controles técnicos pertinentes
para prevenir las formas no autorizadas de
la transferencia de datos?
13.2.2 Acuerdos de intercambio.
1. ¿Hacen contratos con terceros y
acuerdos dentro de los detalles de la
empresa, los requisitos para obtener
información en el negocio de las
transferencias?
13.2.3 Mensajería electrónica.
1. ¿Las políticas de seguridad cubren el uso
de transferencia de información durante el
uso de sistemas de mensajería electrónica?
91
13.2.4 Acuerdos de confidencialidad y secreto
1. ¿Los empleados, contratistas y agentes
firman acuerdos de confidencialidad o de
no divulgación?
2. ¿Son estos acuerdos sujeta a revisión
periódica?
3. ¿Se mantienen registros de los acuerdos?
14
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
14,2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro de
software.
1. ¿La empresa desarrolla software o
tecnologías en sistemas?
2. ¿Si es así, hay políticas que ordenan la
implementación y evaluación de controles
de seguridad?
14.2.6 Seguridad en entornos de desarrollo.
1. ¿Se ha establecido un entorno de
desarrollo seguro?
2. ¿Todos los proyectos utilizan el entorno
de desarrollo seguro adecuadamente
durante el ciclo de vida de desarrollo del
sistema?
14.2.8 Pruebas de funcionalidad durante el
desarrollo de los sistemas.
1. ¿Cuándo los sistemas o aplicaciones son
desarrollados, la seguridad es probada
como parte del proceso de desarrollo?
14.2.9 Pruebas de aceptación
1. ¿Existe un proceso establecido para
aceptar nuevos sistemas, aplicaciones o
mejoras en la etapa de producción?
Fuente: Elaborado por el autor del documento.
92
Anexo 5: Formato encuesta clasificación de la información de la empresa.
Tabla 22: Cuestionario para clasificar la información de la empresa.
Cuestionario para clasificar la información de la empresa.
CUESTIONARIO PARA CLASIFICAR LA INFORMACIÓN
Nombre:
Dependencia:
Cargo:
Información Pública: Es toda aquella información creada y controlada por la empresa. a
la que cualquier ciudadano puede acceder.
Información reservada: Información que si es divulgada, vulnera, afecta o atenta contra el buen funcionamiento de las operaciones de empresa y la eficacia de las decisiones que
ésta tome.
Información confidencial: Información que si es divulgada, afecta o atenta contra: Estrategias de negocio, competitividad, y expansión de la empresa.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables. Ej.: datos de identificación, laborales,
académicos, ideológicos, patrimoniales, de salud, características físicas y personales, vida
y hábitos sexuales.
1. De acuerdo al cargo que desempeña, usted maneja información referente a:
Ordenes de
Financiación
Ordenes de
Cobros
Ordenes de PQR
Ordenes de
Recaudos
Personal
Presupuesto
Cuentas por
pagar
Costos ABC
Jurídica
Tesorería
Almacén
Compras
Nomina
Activos
fijos
Inventario
informático
Acceso de
personas a la
empresa
Otra_________
_________________
Ninguna
2. De acuerdo a la definición de información pública, reservada y confidencial, la
información objeto de trámite por su parte, es considerada:
Pública Reservada Confidencial
3. De acuerdo a la definición de dato personal, ¿usted maneja información de este tipo?
Sí No
Fuente: Elaborado por el autor del documento.