PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO ...repository.udistrital.edu.co/bitstream/11349/6737/1/MoyanoOrjuela... · plan de implementaciÓn del sgsi basado en la norma

PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO

27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES

LUZ ADRIANA MOYANO ORJUELA

YASMIN ELENA SUÁREZ CÁRDENAS

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTÁ, D.C.

2017

PLAN DE IMPLEMENTACIÓN DEL SGSI BASADO EN LA NORMA ISO

27001:2013 PARA LA EMPRESA INTERFACES Y SOLUCIONES

LUZ ADRIANA MOYANO ORJUELA

YASMIN ELENA SUÁREZ CÁRDENAS

TRABAJO DE GRADO PARA OPTAR AL TÍTULO DE:

INGENIERAS EN TELEMÁTICA

ASESOR. ING. JAIRO HERNÁNDEZ GUTIÉRREZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTÁ, D.C.

2017

Nota de aceptación

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

______________________________________

Tutor

______________________________________

Jurado

4

CONTENIDO

Pág.

RESUMEN ............................................................................................................... 9

ABSTRACT ............................................................................................................ 10

INTRODUCCIÓN ................................................................................................... 11

1. CAPÍTULO I. PLANEACIÓN ........................................................................... 12

1.1. TÍTULO ..................................................................................................... 12

1.2. TEMA ........................................................................................................ 12

1.3. PLANTEAMIENTO DEL PROBLEMA ....................................................... 12

1.3.1. Descripción del problema ................................................................... 12

1.3.2. Formulación del Problema ................................................................. 13

1.4. ALCANCES Y LIMITACIONES ................................................................. 13

1.5. OBJETIVOS .............................................................................................. 14

1.5.1. Objetivo General ................................................................................ 14

1.5.2. Objetivos Específicos ......................................................................... 14

1.6. JUSTIFICACIÓN ....................................................................................... 15

1.7. MARCO TEÓRICO ................................................................................... 15

1.8. FACTIBILIDAD ......................................................................................... 21

1.8.1. Factibilidad Técnica ............................................................................ 21

1.8.2. Factibilidad Operativa ......................................................................... 21

1.8.3. Factibilidad Legal ............................................................................... 21

1.8.4. Factibilidad Económica ...................................................................... 22

1.9. CRONOGRAMA DE ACTIVIDADES......................................................... 24

2. CAPÍTULO II. CONTEXTO ORGANIZACIONAL ............................................ 26

2.1. RECONOCIMIENTO DE LA ORGANIZACIÓN ......................................... 26

2.1.1. Descripción ........................................................................................ 26

2.1.2. Estructura Organizacional .................................................................. 26

2.1.3. Infraestructura .................................................................................... 27

5

2.2. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001 ............................. 30

2.2.1. A.5 Política de seguridad. .................................................................. 32

2.2.2. A.6 Organización de la seguridad de la información. ......................... 32

2.2.3. A.7 Seguridad de los RRHH. .............................................................. 33

2.2.4. A.8 Gestión de activos. ...................................................................... 33

2.2.5. A.9 Control de accesos. ..................................................................... 34

2.2.6. A.10 Criptografía. ............................................................................... 34

2.2.7. A.11 Seguridad física y ambiental. ..................................................... 35

2.2.8. A.12 Seguridad en las operaciones.................................................... 36

2.2.9. A.13 Seguridad en las Comunicaciones. ............................................ 36

2.2.10. A.14 Adquisición de sistemas, desarrollo y mantenimiento. ........... 37

2.2.11. A.15 Relación con proveedores. ..................................................... 37

2.2.12. A.16 Gestión de los incidentes de seguridad. ................................. 38

2.2.13. A.17 Continuidad del negocio. ........................................................ 39

2.2.14. A.18 Cumplimiento con requerimientos legales y contractuales. .... 39

3. CAPÍTULO III. GESTIÓN DE RIESGOS......................................................... 42

3.1. METODOLOGÍA ....................................................................................... 42

3.2. INVENTARIO DE ACTIVOS ..................................................................... 42

3.3. VALORACIÓN DE ACTIVOS .................................................................... 45

3.3.1. Confidencialidad ................................................................................. 45

3.3.2. Integridad ........................................................................................... 46

3.3.3. Disponibilidad ..................................................................................... 47

3.4. ANÁLISIS DE AMENAZAS ....................................................................... 48

3.5. VALORACIÓN DEL RIESGO ................................................................... 50

4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS ....................................... 52

4.1. ESTRATEGIAS PARA TRATAMIENTO DEL RIESGO............................. 52

4.2. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO .............................. 54

4.3. PLAN DE TRATAMIENTO DEL RIESGO ................................................. 56

4.3.1. Política de Seguridad SGSI ................................................................ 56

4.3.2. Controles recomendados ................................................................... 61

6

4.3.3. Monitoreo ........................................................................................... 69

4.3.4. Asignación de Responsabilidades...................................................... 72

5. CAPÍTULO V. EVALUACIÓN - AUDITORÍA DE CUMPLIMIENTO ................ 78

5.1. METODOLOGÍA ....................................................................................... 78

5.2. EVALUACIÓN DE MADUREZ .................................................................. 79

5.3. RESUMEN DE RESULTADOS ................................................................. 82

CONCLUSIONES .................................................................................................. 86

RECOMENDACIONES .......................................................................................... 88

BIBLIOGRAFÍA ...................................................................................................... 90

ANEXOS ................................................................................................................ 93

ANEXO A. DIAGNÓSTICO INICIAL ................................................................... 93

ANEXO B. INFORME DE HALLAZGOS ............................................................ 93

ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS ............................. 93

ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD .................... 94

ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013 ....................... 94

ANEXO F. EVALUACIÓN DE MADUREZ .......................................................... 94

7

LISTA DE TABLAS

Tabla 1 Factibilidad de recursos humanos ............................................................ 22

Tabla 2 Factibilidad Otros Recursos ...................................................................... 23

Tabla 3 Factibilidad Económica Costo Total .......................................................... 23

Tabla 4 Estaciones de Trabajo .............................................................................. 28

Tabla 5 Lista de Equipos ....................................................................................... 28

Tabla 6 Listado de Aplicaciones ............................................................................ 29

Tabla 7 Parámetros de respuesta a la encuesta .................................................... 30

Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013 .................................... 31

Tabla 9 Listado de activos (Fragmento) ................................................................. 43

Tabla 10 Criterios de valoración de Confidencialidad ............................................ 45

Tabla 11 Criterios de valoración de Integridad....................................................... 46

Tabla 12 Criterios de valoración de Disponibilidad ................................................ 47

Tabla 13 Resumen de Amenazas .......................................................................... 48

Tabla 14 Criterios de valoración según Probabilidad ............................................. 50

Tabla 15 Criterios de valoración según Impacto .................................................... 50

Tabla 16 Resumen Valoración del riesgo .............................................................. 51

Tabla 17 Estrategias para el Tratamiento de Riesgos ........................................... 53

Tabla 18 Resumen Técnicas de Tratamiento ........................................................ 55

Tabla 19 Listado de Políticas desarrolladas .......................................................... 61

Tabla 20 Asociación de riesgos con controles ISO 27001:2013 ............................ 64

Tabla 21 Lista de Controles ................................................................................... 67

Tabla 22 Plan de monitoreo ................................................................................... 69

Tabla 23 Matriz RASCI: A5-A9 .............................................................................. 75

Tabla 24 Matriz RASCI: A10-A13 .......................................................................... 76

Tabla 25 Matriz RASCI: A14-A18 .......................................................................... 77

Tabla 26 Elementos para Evaluación de Madurez................................................. 79

Tabla 27 Criterios Evaluación de Madurez ............................................................ 79

Tabla 28 Evaluación de Madurez (Fragmento) ...................................................... 80

Tabla 29 Resultados Evaluación de Madurez ........................................................ 82

8

LISTA DE FIGURAS

Figura 1 Estructura Organizacional ........................................................................ 27

Figura 2 Gráfico Resultado Evaluación inicial ........................................................ 30

Figura 3 Gráfico Resultados Evaluación Inicial ...................................................... 31

Figura 4 Evaluación Inicial A5 ................................................................................ 32





Figura 9 Evaluación Inicial A10 .............................................................................. 35

Figura 10 Evaluación Inicial A11 ............................................................................ 35








Figura 18 Mapa de Riesgo ..................................................................................... 51

Figura 19 Estrategias para el Tratamiento de riesgo ............................................. 52

Figura 20 Gráfico Resultado Evaluación de Madurez ............................................ 82

Figura 21 Evaluación de Madurez Dominios ISO 27001:2013 .............................. 83

9

RESUMEN

Interfaces y Soluciones S.A.S (I&S) es una organización desarrolladora de

software cuyo mercado se encuentra principalmente en proyectos de migración de

datos e integraciones. Se busca estandarizar los procesos y garantizar la

seguridad de los mismos en el área de Tecnologías de la Información de la

empresa a través del establecimiento de un Sistema de Gestión de la Seguridad

de la Información (SGSI) basado en la norma ISO 27001:2013. El desarrollo del

proyecto contempla las tareas de análisis y tratamiento de los riesgos haciendo

uso de las fases de la metodología PHVA (Planificar-Hacer-Verificar-Actuar) en

coordinación con los objetivos, estrategias y políticas de la organización.

Durante el desarrollo se especifican cinco capítulos, que se detallan de la

siguiente manera:

La planeación, en el cual se identifica el planteamiento del problema, los objetivos

del proyecto, así como el alcance y limitaciones, además de la factibilidad técnica,

operativa, legal y económica del proyecto.

En el contexto organizacional, se realiza el reconocimiento y se detalla la

estructura organizacional, mostrando el estado actual de la organización con

respecto a la ISO/IEC 27001, en lo que respecta a los diferentes dominios, como

lo son políticas de seguridad, organización de la seguridad de la información,

seguridad de los RRHH, gestión de activos, control de accesos, criptografía,

seguridad física y ambiental, seguridad en las operaciones, seguridad en las

comunicaciones, entre otros.

En la gestión de riesgos, se realiza el inventario de activos y su valoración, el

análisis de amenazas y la valoración de riesgos.

En la selección de salvaguardas se define las estrategias, técnicas y el plan de

tratamiento del riesgo, especificando la políticas del SGSI, los controles

recomendados, las opciones de monitoreo y la asignación de responsabilidades

de acuerdo al compromiso con la norma 27001:2013.

Por último, en la evaluación y/o auditoría de cumplimiento, se genera la evaluación

de madurez y las recomendaciones para la implementación del SGSI.

10

ABSTRACT

Interfaces y Soluciones S.A.S (I&S) is a software development company whose

market is mainly in data migration and integration projects. It seeks to standardize

the processes belonging to the area of Information Technology in the company and

ensure their safety, through the establishment of the Information Security

Management System (ISMS) based on ISO 27001:2013. The development of the

project contemplates the tasks of analysis and treatment of risks using the Deming

cycle or also known as PDCA methodology (Plan-Do-Check-Act) in coordination

with the objectives, strategies and policies of the organization.

During development five chapters are specified, which are detailed as follows:

Planning, which identifies the approach to the problem, the objectives of the

project, as well as the scope and limitations, as well as the technical, operational,

legal and economic feasibility of the project.

In the organizational context, the recognition is made and the organizational

structure is detailed, showing the current state of the organization with respect to

ISO / IEC 27001, in terms of different domains, such as security policies,

organization of Information security, RRHH security, asset management, access

control, cryptography, physical and environmental security, security of operations,

and security of communications, among others.

In risk management, the asset inventory and its valuation, the analysis of threats

and the assessment of risks are carried out.

The selection of safeguards defines the strategies, techniques and risk

management plan, specifying the ISMS policies, the recommended controls, the

monitoring options and the assignment of responsibilities according to the

commitment to the 27001: 2013 standard.

Finally, in the assessment and / or compliance audit, the maturity evaluation and

the recommendations for the implementation of the SGSI are generated.

11

INTRODUCCIÓN

Interfaces y Soluciones S.A.S (I&S) es una empresa que se ha especializado en

las integraciones y/o migración de datos, expertos en servicios web que tienen

como objetivo principal comunicar las aplicaciones que se encuentran en

diferentes plataformas, facilitando al personal técnico y no técnico de las

compañías el mejoramiento de la calidad y los procesos contables, comerciales,

producción, entre otros, permitiendo contar con la información en línea.

Actualmente no existe un control adecuado que asegure la confidencialidad,

proteja la integridad de la información en su totalidad y que garantice la

disponibilidad, así como la precisión durante el tratamiento de la información,

razón por la cual no se cuenta con la correcta protección de los datos de clientes,

empleados, socios comerciales y la sociedad en general.

El trabajo se enfoca en el aseguramiento de los controles adecuados sobre la

confidencialidad, integridad y disponibilidad de la información, a través del

establecimiento de un sistema de gestión de seguridad de la información (SGSI)

basado en la norma ISO 27001:2013, de forma que se garantice un tratamiento

adecuado de los problemas de seguridad de la información teniendo en cuenta las

mejores prácticas, valorando los riesgos y los procedimientos de gestión utilizados

en el modelo PHVA (planificar, hacer, verificar y actuar).

12

1. CAPÍTULO I. PLANEACIÓN

En el presente capítulo se realiza el planteamiento del problema, describiendo los

alcances y limitaciones del proyecto, así como los objetivos y la justificación para

la implementación del SGSI en la empresa Interfaces y Soluciones S.A.S,

detallando cómo se lograrán optimizar las tareas dentro de la organización. Así

mismo, se especifica la factibilidad técnica, operativa, legal y económica, la

viabilidad del proyecto y finalizando el cronograma de actividades.

1.1. TÍTULO

Plan de implementación del SGSI basado en la Norma ISO 27001:2013 para la

empresa Interfaces y Soluciones S.A.S

1.2. TEMA

El tema que abarca el desarrollo del proyecto está enmarcado en el

establecimiento del SGSI para los procesos del área de tecnologías de la

información, utilizando como guía principal la norma NTC-ISO-IEC 27001:2013, la

cual corresponde a un estándar, donde se especifica lo necesario para establecer,

implantar, mantener y mejorar un SGSI; dirigido al director de proyectos y los

implementadores de estos, con el fin de preparar a Interfaces y Soluciones en los

procesos de evaluación, auditoría y/o certificación correspondientes a la seguridad

de TI.

1.3. PLANTEAMIENTO DEL PROBLEMA

1.3.1. Descripción del problema

Interfaces y Soluciones (I&S) es una empresa de desarrollo de software apoyada

en tecnología de punta, la cual incursiona en el mundo de las integraciones y la

creación de portales, ofreciendo a sus clientes una herramienta que permite el

mejoramiento de la calidad y de los procesos internos de la empresa.

Como en muchas de las organizaciones existentes, actualmente apoya sus

procesos en el uso de tecnologías de la información y comunicaciones (TIC), esto

supone unos beneficios evidentes; pero también da lugar a ciertos riesgos que

deben gestionarse prudentemente con medidas de seguridad que permitan ganar

y mantener la confianza de los usuarios de los servicios.

13

Adicionalmente, en la actualidad la empresa es partner de Siesa, una empresa

internacional con certificaciones ServiCert nivel 5, CMMI e ISO 9001:2008, la cual

exige garantías de calidad a sus proveedores, motivo por el cual I&S busca

estandarizar sus procesos y garantizar la seguridad de los mismos, puesto que

hasta el momento se han realizado de forma empírica.

Cada uno de los procesos realizados, basados a través de la experiencia, no han

garantizado la seguridad de la información, y teniendo en cuenta que ésta es un

activo de gran valor para la organización, por la cantidad de datos contables,

financieros, comerciales, procesos de producción, datos de clientes y

proveedores, entre otros, se hace necesario una asesoría y seguimiento para la

gestión de la seguridad de la información.

Para I&S es de suma importancia asegurar la confidencialidad, integridad y

disponibilidad de sus datos, atributos que son inherentes a un Sistema de Gestión

de la Seguridad de la Información (SGSI). De forma que, se pueden establecer

políticas, procedimientos y controles relacionados a los objetivos de negocio de la

organización contribuyendo a la mejora continua de sus procesos y la consecución

de sus metas.

Con la implementación de un SGSI se busca generar sentido de pertenencia y

compromiso con los temas relativos a la seguridad, ya que se logra la participación

activa de los miembros de la organización en las diferentes etapas de su

desarrollo.

1.3.2. Formulación del Problema

¿De qué manera la implementación de un SGSI en Interfaces y Soluciones puede

garantizar la integridad, confidencialidad y disponibilidad de su información?

1.4. ALCANCES Y LIMITACIONES

En este proyecto se pretende analizar la situación actual de los procesos y

estándares relacionados a la seguridad de la información en Interfaces y

Soluciones S.A.S, para establecer un sistema de gestión de seguridad de la

información, de forma que la empresa pueda hacer frente a cualquier reto,

cumpliendo con los estándares que integran todos los principios de negocio en los

sistemas de gestión.

14

El director de proyectos contará con la documentación necesaria para el

establecimiento del SGSI para los procesos del área de tecnologías de la

información, especificando lo necesario para establecer, implantar, mantener y

mejorar el sistema de gestión de seguridad de la información, utilizando como guía

la norma NTC-ISO-IEC 27001 :2013.

Se establece generar los siguientes entregables:

- Informe de hallazgos de vulnerabilidades y riesgos.

- Informe sobre evaluación y tratamiento de riesgos.

- Documento de políticas de seguridad sobre los hallazgos encontrados.

- Documento de recomendaciones, con el propósito de preparar a I&S para

los procesos de evaluación, auditoría, certificación o acreditación

correspondientes a la seguridad de TI.

El proyecto estará limitado por los siguientes factores:

- Disponibilidad de tiempo del director de proyectos e implementadores de la

organización.

- Veracidad e integridad del campo de acción de la organización e inventario

de todos los datos críticos.

1.5. OBJETIVOS

1.5.1. Objetivo General

Establecer un sistema de gestión de la seguridad de la información (SGSI) basado

en la norma ISO 27001:2013 para los procesos del área de Tecnologías de la

Información en la empresa Interfaces y Soluciones S.A.S

1.5.2. Objetivos Específicos

● Identificar las necesidades y requerimientos de la empresa Interfaces y

Soluciones a tener en cuenta en la implementación del SGSI.

● Establecer el estado actual de los procesos del área de Tecnologías de la

Información en I&S identificando vulnerabilidades, amenazas y riesgos.

● Definir los controles, políticas y planes de mejoramiento necesarios para

minimizar y mitigar la probabilidad e impacto de los riesgos identificados.

15

● Definir los roles y responsabilidades al interior de la organización para la

implementación del SGSI.

● Preparar a I&S para los procesos de evaluación, auditoría, certificación o

acreditación correspondientes a la seguridad de TI.

1.6. JUSTIFICACIÓN

El establecimiento de un sistema de gestión de seguridad de la información

(SGSI), permitirá asegurar que I&S implemente los controles adecuados sobre la

confidencialidad, disponibilidad e integridad de la información, protegiendo de esta

forma la información de todas las partes interesadas, adicional a esto el

cumplimiento de la norma ISO 27001 permitirá demostrar a sus clientes y socio

principal (Siesa Enterprise) la seguridad con que se abordan todos los temas

relacionados con la seguridad de la información, la cual es la base para la gestión

de riesgos de seguridad y así mismo la determinación de los niveles de protección

que se requieran.

A través del SGSI se lograrán optimizar todas las áreas dentro de la organización,

relacionadas con la información, logrando de esta forma realizar mejor las tareas,

de manera mucho más rápida y segura; además de lograr obtener una

certificación bajo la norma 27001, facilitando de esta forma la comercialización de

los diferentes productos y/o servicios, valorando los diferentes riesgos, así como

los procedimientos de gestión necesarios.

1.7. MARCO TEÓRICO

El desarrollo de este proyecto no tiene como objetivo establecer una nueva base

teórica, se apoya en ciertos conceptos que permiten el avance hacia el objetivo

propuesto: la implementación de un SGSI. Por ello, en el desarrollo del proyecto

se destacarán términos como:

● Seguridad Informática: Es una disciplina que se enfoca en la protección

de la integridad y la privacidad de la información; según la RAE el término

seguro es la de “estar libre y exento de todo peligro, daño o riesgo”,

teniendo en cuenta esto, se podría decir que en la seguridad informática

este concepto tiene el mismo sentido aplicándolo a sistemas de

información. La seguridad informática se encarga de diseñar normas,

16

procedimientos, métodos y técnicas, consiguiendo de esta forma un

sistema de información seguro y confiable1.

Para el establecimiento de un sistema de seguridad informática, es necesario

tener claro ciertos puntos, como:

- Cuáles son los elementos que componen el sistema.

- Cuáles son los peligros que afectan al sistema, ya sean accidentales o

provocados.

- Cuáles son las medidas que se deberían acoger para lograr conocer y

prevenir los riesgos potenciales.

Por medio de la seguridad informática se debe asegurar que el acceso y la

modificación a cierta información sólo sea posible a las personas que estén

autorizadas; un sistema se considera seguro cuando tiene integridad,

confidencialidad y disponibilidad en la información.

● Integridad: Por medio de esta propiedad se garantiza que los datos

no han sido alterados y/o destruidos de modo no autorizado, es decir

se garantiza la autenticidad de la información sin importar el

momento.

● Confidencialidad: Este se refiere al atributo que deben tener los

datos y/o información, al encontrarse únicamente al alcance de las

personas y/o entidades autorizadas, en el momento autorizado.

● Disponibilidad2: se debe garantizar que la información se encuentra

disponible para los usuarios siempre que la necesiten. en caso

contrario se provocan interrupciones de servicio y con ello problemas

de calidad.

● Activo: es un recurso del sistema de información, necesario para garantizar

el correcto funcionamiento de los procesos de la organización. También son

fundamentales para lograr los objetivos definidos por la organización y

requieren de una especial protección.

1 (Vazquez, 2014))

2 (Tejada, 2015)

17

● Vulnerabilidad3: Es la probabilidad de que una amenaza se materialice

sobre un activo. Para identificar y estimar una vulnerabilidad, es necesario

conocer los distintos activos del sistema de información y las amenazas y

riesgos que puede sufrir.

● Riesgo: Permite estimar las probabilidades de que una amenaza se

materialice sobre los activos de la organización, causando efectos

negativos o pérdidas (económicas, reputacionales, etc).

● Gestión de Riesgos: Según el nivel del riesgo al que se someten los

activos de una organización, se encuentran diferentes alternativas para su

gestión. La política de gestión de riesgos decide qué tipo de control se

implementa en el sistema de información.

● ISO 27001. Se conoce como una norma internacional emitida por la

Organización Internacional de Normalización (ISO) y describe cómo

gestionar la seguridad de la información en una empresa. La revisión más

reciente de esta norma fue publicada en 2013 y ahora su nombre completo

es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue

desarrollada en base a la norma británica BS 7799-2(«¿Qué es norma ISO

27001?», s. f.). La importancia y reconocimiento de la norma ISO 27001 en

materia de seguridad de los sistemas de información permite establecer el

estándar a aplicar, documentación y procedimientos a seguir de acuerdo a

la evaluación de seguridad que se realice.

Entre las razones por las cuales se decide utilizar la ISO 27001 como guía, es que

aporta beneficios como los siguientes:

● Reduce el riesgo de que se produzcan pérdidas de información en las

organizaciones. Por pérdidas también entendemos robos y corrupciones en

la manipulación de la misma.

● Se hace una revisión continua de los riesgos a los que están expuestos los

clientes. Adicionalmente, se hacen controles de manera periódica.

● Establece una metodología gracias a la cual se puede gestionar la

seguridad de la información de forma clara y concisa.

● Implanta medidas de seguridad para que los propios clientes puedan

acceder a la información.

3 (Tejada, 2015)

18

● Contar un SGSI otorga a la organización una garantía frente a clientes y

socios estratégicos ya que muestra a la misma como un organismo

preocupado por la confidencialidad y seguridad de la información que es

depositada en la misma.

● Permite a las organizaciones continuar operando con normalidad en caso

de producirse problemas importantes.

1.7.1. Trabajos relacionados

De acuerdo a la encuesta realizada por Deloitte4 en el 2016: en Latinoamérica

existe una tendencia creciente a alinear la gestión de ciber riesgos y seguridad de

la información con el proceso general de administración de riesgos de la

organización. Este alineamiento es clave para que la inversión en seguridad de la

información sea adecuadamente percibida por el negocio puesto que en los

últimos dos años 4 de cada 10 organizaciones sufrieron una brecha de seguridad.

Se han realizado trabajos relacionados con la implementación de SGSI en

diferentes organizaciones, entre algunos destacados tenemos:

● Desarrollo de un Marco de Trabajo para la Gestión del SGSI en PYMES

Desarrolladoras de Software en Bogotá Basado en la Metodología MGSM-

PYME. 5Autores: Lorena Patricia Cardona Tovar, Alvaro Javier Ardila Garcia

Resumen

Desde la aparición de los sistemas de gestión de seguridad de la

información a hoy se han presentado una gran variedad de metodologías,

procesos, marco de referencia, entre ellos COBIT y la ISO 27001 que,

aunque son modelos robustos y maduros, suponen una inversión cuantiosa

y presentan dificultad al momento de querer ser implementado en una

pyme, esto debido a que estos modelos en general han sido creados para

empresas con mayor experiencia y capital para la implementación de estas.

Estos modelos al ser aplicables para grandes empresas hacen que para

poder realizar una implementación práctica en una pyme sea costosa y

4 («La Evolución de la Gestión de Ciber Riesgos y Seguridad de la Información | Deloitte Colombia |

Riesgo», s. f.) 5 (Garcia, Javier, Tovar, & Patricia, 2016)

19

como se nombraba anteriormente la resistencia de este tipo de empresas al

cambio empeora esta problemática.

● Desarrollo de un SGSI para los Colegios Profesionales en la Región

Lambayeque. Caso de estudio: Colegio de Ingenieros 6

Autores: César Augusto Córdova Oblitas, Gustavo Alfredo Morales Cueva, José

Antonio Samamé Martínez

Resumen

Los colegios profesionales (CP) son instituciones autónomas con

personería jurídica de derecho público interno, sin fines de lucro, creadas

por ley, agrupan a los profesionales en el ámbito de su jurisdicción. La

problemática radica en la falta de seguridad de la información (SI) en la

organización, en la actualidad la información es un activo clave para las

empresas, sin embargo no se resguarda de manera adecuada para cumplir

con los objetivos estratégicos de la organización. La información es parte

principal en los procesos, servicios y tecnologías en el sector público o

privado; sin importar el tamaño; es vital cumplir con las características de la

SI: confidencialidad, integridad, disponibilidad (CID), en general se suele

actuar de manera reactiva, desarrollar un Sistema de Gestión de Seguridad

de la Información (SGSI), permitirá actuar en forma proactiva ante eventos

que afecten la SI. Se analizó enfoques de estándares para gestionar la SI

(ISO 27000, COBIT, ITIL, MAGERIT). Como objetivos de esta investigación

culturizar a la alta dirección sobre SI, analizarlas brechas, la identificación

de los riesgos, identificar y evaluar los controles, y por último plantear los

proyectos de SI; finalmente se hace uso de la norma ISO 27001 en la

aplicación al caso: Colegio de Ingenieros del Perú (CIP), implicó gestión de

riesgos (GR), identificación de controles, normas, políticas y mejoras en los

procesos de negocio definidos en el documento de alcance.

● Diseño de un sistema de gestión de la seguridad informática – SGSI–, para

empresas del área textil en las ciudades de Itagüí, Medellín y Bogotá D.C.,

a través de la auditoría7

Autores: Alexander Guzmán García, Carlos Alberto Taborda Bedoya

Resumen

6 (Oblitas, Cueva, & Martínez, 2016)

7 (UNAD, 2015)

20

Se desarrolla un sistema de gestión de la seguridad informática (SGSI) para

empresas del sector textil de las Pymes en las ciudades de Medellín,

Bogotá D.C. he Itagüí (Colombia): el diseño se elaborará basados en la

norma ISO 27001, la cual provee prácticas apropiadas para el desarrollo e

implementación de cada uno de sus componentes, estableciendo las fases,

documentación y procedimientos requeridos y exigidos en el estándar para

continuar con el diseño y ejecución del SGSI de manera adecuada. En

consecuencia, se debe realizar un análisis cualitativo y cuantitativo de los

riesgos, vulnerabilidades y amenazas que se presentan en una Pyme, las

cuales al poseer recursos económicos limitados para inversiones de este

tipo, no pueden implementar un sistema de seguridad robusto, razón por la

cual se debe implementar un mecanismo que satisfaga las necesidades de

las pequeñas empresas, en el cual cada uno de los componentes

informáticos juega un papel importante para la permanencia en el mercado

de éstas. Asimismo, se podrá salvaguardar el recurso más importante de la

Pymes (datos – información), donde el diseño de un SGSI podrá

proporcionar una metodología sencilla y muy completa para proteger cada

uno de los activos informáticos y así establecer procesos de restauración y

mitigación de riesgos, tomando las medidas correctivas y preventivas que

sean necesarias. Finalmente, cuando se establece un sistema de seguridad

de la información, se logra detallar cada uno de los componentes y

elementos que se encuentran asociados a la Pyme y así tener un mayor

control sobre cada uno de los activos informáticos, por consiguiente durante

la permanencia en el tiempo, podrá adaptarse a las necesidades de las

pequeñas empresas, donde el ciclo de Deming, detalla el proceso de

mejora continua proporcionando una realimentación constante de cada uno

de los procesos.

Estos trabajos nos permiten evidenciar que la implementación de un SGSI debe

tener en cuenta el tamaño de la organización, los procesos a incluir en el alcance

de la norma, la criticidad de la información, la tecnología utilizada por la

organización y las disposiciones legales a enfrentar.

21

1.8. FACTIBILIDAD

1.8.1. Factibilidad Técnica

La realización del presente proyecto requiere conocimientos y experiencia a nivel

de seguridad de la información, aplicación de la norma NTC-ISO-IEC 27001:2013,

MAGERIT, análisis de amenazas, gestión de riesgos y aplicación de medidas que

permitan garantizar la confidencialidad, integridad y disponibilidad de la

información en la organización. La base de estos conocimientos se encuentra en

la formación profesional obtenida en el proyecto curricular de ingeniería en

telemática de la U.D.F.J.C y las asesorías prestadas por los docentes de la

universidad.

1.8.2. Factibilidad Operativa

El proyecto será desarrollado por los estudiantes de la Universidad Distrital

Francisco José de Caldas, del proyecto Ingeniería en Telemática, Luz Adriana

Moyano Orjuela y Yasmin Elena Suárez Cárdenas, contando con la colaboración y

asesoría del Ingeniero Jairo Hernández Gutiérrez.

A nivel operacional el proyecto es viable gracias a que se cuenta con el personal

requerido en condiciones óptimas para la elaboración de este.

1.8.3. Factibilidad Legal

Desde el punto de vista metodológico, el proyecto se ampara en metodologías

libres que no requieren de pagos a empresas por su implementación. Esto

garantiza de facto que la organización del proyecto cuente con factibilidad legal

desde el inicio.

Tanto la NTC-ISO-IEC 27001:2013 y MAGERIT son instrumentos que facilitarán la

ejecución del proyecto, servirán como guías de orientación para el plan de

implementación del SGSI en la organización. Adicionalmente, se tiene presente

las normativas que pueden ser susceptibles en el desarrollo de las actividades

relacionadas con los objetivos del presente documento. Por lo tanto, se listan a

continuación:

● Ley 1581 de 2012. Ley de protección de datos personales

● Ley 1273 “De la Protección de la información y de los datos”

22

● Decreto 1078 de 2015. “Decreto Único Reglamentario del Sector de

Tecnologías de la Información y las Comunicaciones”

1.8.4. Factibilidad Económica

En la factibilidad económica del proyecto, se ha buscado que la organización

posea los recursos necesarios para la implementación del SGSI, es importante

recordar que el objetivo principal de dicha implementación es proteger la

información de la empresa, por lo cual para el análisis de la factibilidad económica

se tienen en cuenta los costos de implementación y mantenimiento del mismo.

En la tabla que se presenta a continuación se identifican los costos de papelería,

del hardware, del software y de los recursos humanos necesarios para la

implementación del SGSI en la empresa I&S. La factibilidad económica del

proyecto se dividió en tres aspectos: recursos humanos, recursos técnicos y otros

recursos.

Tabla 1 Factibilidad de recursos humanos

Tipo Descripción Valor -

Hora

Cantidad Total

Tutor Asesorías del tutor

para la

implementación del

SGSI basado en la

Norma ISO

27001:2013, referente

a la metodología

correspondiente.

$ 40.000 200horas $ 8.000.000

Analistas -

Implementadores

Se necesitarán dos

analistas que realicen

la implementación del

SGSI.

$ 20.000 8 horas

semanales

$ 5.120.000

Total Recursos Humanos $ 13.120.000

Fuente: Elaboración Propia

23

Recursos Técnicos

La empresa actualmente cuenta con recursos para la seguridad de la información

que son parte del SGSI, como lo son:

- Antivirus

- Servidores (web y aplicaciones)

- Computadores

- Impresora

Tabla 2 Factibilidad Otros Recursos

Recurso Descripción Valor

Unitario

Cantidad Total

Capacitaciones Capacitaciones para el

uso del SGSI.

$300.000 2 $600.000

Norma ISO

27001:2013

Material para

capacitaciones y uso de

la empresa.

$100.000 1 $ 100.000

Papelería Fotocopias, impresiones,

resmas de papel y CDs.

$ 50.000 1 $ 50.000

Total Otros Recursos $ 750.000


Tabla 3 Factibilidad Económica Costo Total

Recurso Valor

Total Recursos Humanos $ 13.120.000

Total Otros recursos $ 750.000

Costos imprevistos (10%) $ 1.387.000

TOTAL COSTO $15.257.000 Fuente: Elaboración Propia

Teniendo en cuenta que la totalidad de los costos ya están solventados tanto por

los realizadores del proyecto, como por la empresa Interfaces y Soluciones S.A.S,

y se cuenta con los recursos necesarios, el proyecto es factible económicamente.

24

1.9. CRONOGRAMA DE ACTIVIDADES

25

26

2. CAPÍTULO II. CONTEXTO ORGANIZACIONAL

En el presente capítulo se desarrolla el contexto de la organización, realizando el

reconocimiento de ésta, así como un análisis para identificar el estado actual de la

seguridad de la información en Interfaces y Soluciones S.A.S, con respecto a la

norma ISO/IEC 27001:2013, donde se evalúa el cumplimiento de cada uno de los

dominios descritos en dicha norma.

2.1. RECONOCIMIENTO DE LA ORGANIZACIÓN

En el reconocimiento de la organización se realiza la descripción de la

organización, detallando las actividades de la empresa, así como la estructura

organizacional, adicional a esto se detalla la infraestructura actual de Interfaces y

Soluciones, teniendo en cuenta la red de datos, los equipos, aplicaciones y

servicios Cloud con los que la empresa cuenta en la actualidad.

2.1.1. Descripción

Interfaces y Soluciones S.A.S es una empresa de desarrollo de software con sede

en Bogotá y Medellín, que cuenta con 5 años en el mercado. Ha incursionado en

el mundo de las integraciones y la creación de portales. Trabaja en conjunto con

Siesa para ofrecer una herramienta tecnológica a sus clientes con el propósito de

mejorar la calidad de los procesos dentro de las organizaciones.

Las actividades de Interfaces y Soluciones comprenden el desarrollo,

mantenimiento, depuración, documentación y estudio de los procesos de negocio

de los clientes, para la migración de los diferentes sistemas hacia el ERP, así

como las consultorías o entrenamientos que se requieren, brindando múltiples

soluciones según las necesidades de los clientes.

2.1.2. Estructura Organizacional

La estructura organizacional de Interfaces y Soluciones está dada de forma

jerárquica. El rango de mayor autoridad se encuentra a cargo de la dirección

comercial y de proyectos.

Adicionalmente, existe personal asignado a gestión humana (encargados de caja,

recibo y seguridad), líder de proyectos y coordinadores de proyectos en cada una

27

de las sedes. En las que también se cuenta con analistas programadores y

personal de soporte. Como se puede evidenciar en la Figura 1.

Figura 1 Estructura Organizacional


2.1.3. Infraestructura

2.1.3.1. Red de Datos

Actualmente la red de datos de I&S es controlada por el proveedor de servicios de

comunicaciones Claro, con una velocidad de 5MB, se cuenta con un Gateway

MG6002N, proporcionado por el proveedor, el cual es un router inalámbrico que

integra WIFI y VoIP; adicional soporta diferentes conexiones de red como lo son

ASL/cable modem, 3G/WiMax modem y FTTH GEPON/PON.

Las puertas de enlace VoIP de la serie MG 600 XN incluyen puertos FXS de 2/4/8

puertos VoIP con WiFi IEEE 802.1 b/g/n, proporcionando un servicio de datos de

voz y ancho de banda flexible, conveniente y abundante.

Esta red de datos funciona de manera independiente para las sedes de Bogotá y

Medellín, contando con el mismo proveedor de servicios de comunicaciones.

Director Comercial

Director de Proyectos

Gestión Humana

Caja

Recibo

Seguridad

Coordinador Proyectos Medellín

Líder de Proyectos

Coordinador Proyectos Bogotá

Analista Programador

1


2


3


1


2


3

Soporte 1

Soporte 2

28

2.1.3.2. Equipos

A nivel de equipos en las dos sedes, se cuenta con el siguiente número de

estaciones de trabajo:

Tabla 4 Estaciones de Trabajo

Área Bogotá Medellín

Gerencia 1 1

Administración N/A 1

Desarrollo 5 4

Soporte N/A 3

Total 6 9 Fuente: Elaboración Propia

Además, se cuenta con dispositivos de telefonía, impresoras y servidores que se

listan en la próxima tabla.

Tabla 5 Lista de Equipos

Equipo Marca

Telefonía Panasonic KX-UT123

Router inalámbrico Gateway MG6002N

Servidor de correos Gmail empresarial

Impresora - Escáner

Epson Expression XP 231

Portátiles Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM

Disco duro externo Adata Hv620 Usb

Servidor pruebas SQL Server

Windows Server 2012 R2

Servidor pruebas Aplicación

Windows Server 2012 R2


29

2.1.3.3. Aplicaciones

I&S utiliza diferentes herramientas tecnológicas para la gestión de sus

operaciones, desarrollo de bases datos, integraciones, comunicación con clientes

y administración de los proyectos laborales a cargo. En la próxima tabla se listan

las aplicaciones que permiten las tareas anteriormente mencionadas.

Tabla 6 Listado de Aplicaciones

Aplicación Tipo de aplicación Comentarios

Siesa Cloud SBS Software ERP Gestión de procesos

Paquete Office Herramienta de ofimática

Redmine Organizativa Gestión de proyectos

Microsoft Windows Sistema operativo

Skype Comunicaciones Comunicación interna y con clientes

Visual Studio .NET Desarrollo Desarrollo de aplicaciones

SQL Server Bases de datos Sistema de administración de bases de datos

Generic Transfer Integration

Sistema de integración Servicio web para integrar sistemas automáticamente

generictransfer.com Generador de planos Página web para generación de planos


2.1.3.4. Servicios Cloud

Se cuenta con Azure como servicio en la nube, en el cual se encuentra alojado

www.generictransfer.com, un aplicativo web que permite al personal crear archivos

planos para la carga masiva de información a Siesa Enterprise, así como su

respectiva base de datos, como contingencia se cuenta con Amazon, en caso de

presentarse inconvenientes con la plataforma de Azure.

Por otro lado se tiene Arvixe, el cual es utilizado para generar pruebas con los

clientes, en caso que se requiera.

30

2.2. ESTADO ACTUAL CON RESPECTO ISO/IEC 27001

Entre los pasos iniciales para desarrollar el plan de implementación del SGSI

basado en ISO/IEC 27001:2013 se realiza un análisis que permite evaluar el

contexto de la organización, liderazgo, planificación, soporte, operación,

evaluación de desempeño y mejoras, los cuales se convierten en elementos

esenciales para actuar según la norma.

En el Anexo A - “Diagnóstico Inicial” (disponible en el CD, ver pg. 92) se

encuentra la encuesta aplicada a Interfaces y Soluciones S.A.S, la cual fue

realizada a Jorge Luis Pérez, gerente de proyectos de la organización, sobre el

cumplimiento de 106 ítems relacionados con los 14 dominios de seguridad que

establece ISO/IEC 27001:2013. Las respuestas posibles están dadas por: NC, CP,

CS. De acuerdo a la información que se presenta en la siguiente tabla:

Tabla 7 Parámetros de respuesta a la encuesta

Sigla Estado de Evaluación Descripción

NC NO CUMPLE No existe y/o no se está haciendo

CP CUMPLE PARCIALMENTE

Lo que la norma requiere (ISO/IEC 27001 versión 2013) se está haciendo de manera parcial, se está haciendo diferente, no está documentado, se definió y aprobó pero no se gestiona

CS CUMPLE

SATISFACTORIAMENTE

Existe, es gestionado, se está cumpliendo con lo que la norma ISO/IEC 27001 versión 2013 solicita, está documentado, es conocido y aplicado por todos los involucrados en el SGSI cumple 100%

Fuente: AutodiagnosticoSGSI_v2_09072015

Tras el análisis se obtienen los siguientes resultados:

Figura 2 Gráfico Resultado Evaluación inicial


54 de los ítems evaluados no se

cumplen.

41 de los ítems evaluados son

cumplidos parcialmente.

11 de los ítems evaluados se cumplen

satisfactoriamente.

31

Tabla 8 Resultados de Evaluación Inicial I&S 27001:2013

ID Dominio CS CP NC Ítems

Evaluados

A5 Política de seguridad 2 4 6

A6 Organización de la SI 2 3 3 8

A7 Seguridad de los RRHH 1 4 4 9

A8 Gestión de activos 3 3 6

A9 Control de accesos 1 6 11 18

A10 Criptografía 3 3

A11 Seguridad física y ambiental 2 5 3 10

A12 Seguridad en las operaciones 1 6 4 11

A13 Seguridad en las comunicaciones 1 2 3 6

A14 Adquisición de sistemas, desarrollo y mantenimiento

6 3 9

A15 Relación con proveedores 4 4

A16 Gestión de los incidentes de seguridad 1 3 2 6

A17 Continuidad del negocio 5 5

A18 Cumplimiento con requerimientos legales y contractuales

2 1 2 5

Suma total 11 41 54 106


Figura 3 Gráfico Resultados Evaluación Inicial La evaluación Inicial deja ver que gran parte de los elementos mínimos requeridos para el cumplimiento de la norma son inexistentes o se cumplen de forma parcial en Interfaces y Soluciones. A continuación, se describe dominio a dominio los hallazgos obtenidos por medio de la información entregada por el gerente de proyectos y algunos miembros de la organización.


32

2.2.1. A.5 Política de seguridad.

Se busca que la dirección brinde orientación y soporte para la seguridad de la

información de acuerdo con los requisitos del negocio y con las leyes y

reglamentos pertinentes. Se observa que I&S tiene carencia documental de

políticas, procedimientos y controles para garantizar la seguridad de la

información.

Figura 4 Evaluación Inicial A5


2.2.2. A.6 Organización de la seguridad de la información.

Se busca un marco de referencia de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información dentro de la

organización. Se observa que I&S ha avanzado en la tarea de acuerdos de

confidencialidad, la dirección junto con los miembros líder, intentan cambiar y

mejorar los temas de seguridad, sin embargo, falta una definición clara de roles y

responsabilidades con respecto a la seguridad.



33

2.2.3. A.7 Seguridad de los RRHH.

Se busca garantías de que los empleados y contratistas comprenden sus

responsabilidades y son idóneos en los roles para los que se consideran. Debido a

que no existe una definición clara de responsabilidades y roles de seguridad,

como se mencionó en el anterior dominio, se evidencia que I&S tiene deficiencias

para proteger los intereses de la organización, principalmente, en los procesos de

cambio o terminación de empleo y la detección de vulnerabilidades. Figura 6 Evaluación Inicial A7


2.2.4. A.8 Gestión de activos.

Se deben identificar los activos organizacionales y definir las responsabilidades de

protección adecuadas asegurando que la información recibe un nivel apropiado de

protección, de acuerdo con su importancia para la organización. Se observa que

I&S ha tomado la iniciativa de gestionar un inventario de activos, sin embargo, no

está totalmente actualizado y hacen falta procedimientos documentados y

comunicados al personal para la clasificación de la información según su criticidad.

34



2.2.5. A.9 Control de accesos.

Es de vital importancia limitar el acceso a información y a instalaciones de

procesamiento de información asegurando el acceso de los usuarios autorizados y

evitando el acceso no autorizado a sistemas y servicios. Se observa que I&S hace

uso de contraseñas como medida para restringir el acceso a sus sistemas y se

tiene conocimiento de la necesidad de desarrollar políticas de control de accesos,

gestión de contraseñas y gestionar correctamente el teletrabajo por lo cual han

tomado medidas basadas en el sentido común. Sin embargo, no existe

documentación formal y/o estandarizada.



2.2.6. A.10 Criptografía.

Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para

proteger la confidencialidad, autenticidad y/o la integridad de la información. Se

35

observa que en I&S no existen procedimientos sobre el uso, protección y tiempo

de vida de las llaves criptográficas. De hecho no existen controles criptográficos

de forma que la información crítica puede verse expuesta fácilmente a amenazas

de seguridad. Figura 9 Evaluación Inicial A10


2.2.7. A.11 Seguridad física y ambiental.

Se observa que I&S ha tomado medidas básicas para prevenir el acceso físico no

autorizado, el daño y la interferencia a la información. No obstante, se aconseja

tomar acciones específicas, documentadas y comunicadas para prevenir la

pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones

de la organización. Puesto que se evidencia falta de protección frente a fallos en la

alimentación eléctrica, falta de seguridad en el cableado y no existen restricciones

en el uso de equipos móviles.



36

2.2.8. A.12 Seguridad en las operaciones.

Con la seguridad en las operaciones se busca obtener operaciones correctas y

seguras de las instalaciones de procesamiento de información. Aquí, se incluyen

controles contra códigos maliciosos, respaldo de la información, separación de los

ambientes de desarrollo, pruebas y operación, registro de eventos. De forma

empírica I&S ha intentado gestionar este dominio y por ello tiene un alto índice de

cumplimiento parcial. Pero es necesario documentar y poner a disposición los

procedimientos que permitan controlar y hacer seguimiento a las operaciones. Se

detecta problemas principalmente en:

● Implementación de logs para la detección y seguimiento a fallos.

● Ausencia de auditorías internas y/o externas.

● Falta de controles para la gestión de medios informáticos (cintas, discos,

removibles, informes impresos).



2.2.9. A.13 Seguridad en las Comunicaciones.

El nivel de preocupación por asegurar la protección de la información en las redes

y la transferencia de información en I&S se ha enfocado en la implementación de

medidas para proteger la confidencialidad e integridad de información publicada y

acuerdos para intercambio de información y software con los clientes. Sin

embargo, se encuentran falencias en cuanto al control de las redes y

transacciones en línea, lo cual posibilita la ejecución de ataques que aprovechan

las vulnerabilidades existentes.

37



2.2.10. A.14 Adquisición de sistemas, desarrollo y

mantenimiento.

El personal de I&S ha implementado tareas correspondientes a los procesos de

adquisición de sistemas, desarrollo y mantenimiento basados en el sentido común.

Aunque, no hay comunicación formal de procedimientos estandarizados. Con las

tareas realizadas se busca garantizar la seguridad de la información durante todo

el ciclo de vida de los sistemas de información pero se requiere establecer y

aplicar reglas para el desarrollo de software y de sistemas, junto con, la

documentación, supervisión y seguimiento a las aplicaciones críticas del negocio.



2.2.11. A.15 Relación con proveedores.

38

En I&S la relación con los proveedores se ha basado en una confidencialidad

asumida pero no se ha establecido un acuerdo y/o contrato formal en el que se

estipulen todos los requisitos de seguridad de la información pertinentes con cada

proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar

componentes de infraestructura de TI para la información de la organización. En

este punto es indispensable asegurar la protección de los activos de la

organización que sean accesibles a los proveedores y mantener el nivel acordado

de seguridad de la información y de prestación del servicio alineado con los

acuerdos que corresponden a los proveedores.



2.2.12. A.16 Gestión de los incidentes de seguridad.

La Gestión de Incidentes comprende asegurar un enfoque coherente y eficaz para

el manejo de incidentes de seguridad de la información, incluida la comunicación

sobre eventos de seguridad y debilidades. Se observa que en I&S se comunican

las debilidades y eventos de seguridad en el grupo de trabajo pero falta definir

responsabilidades y procedimientos que faciliten la evaluación de tales eventos y

decisiones sobre ellos. Adicionalmente, no se encuentra con una gestión de

incidentes adecuada que incluya la recolección de evidencia y que permita reducir

la posibilidad o impacto de incidentes futuros a través del conocimiento adquirido.

39



2.2.13. A.17 Continuidad del negocio.

En este dominio se hace necesario planificar, implementar, verificar, revisar y

evaluar la continuidad de la seguridad de la información. I&S debe establecer,

documentar, implementar y mantener procesos, procedimientos y controles para

asegurar el nivel de continuidad requerido para la seguridad de la información

durante una situación adversa puesto que en la encuesta realizada no se muestra

evidencia de la existencia de los elementos esenciales para ello.



2.2.14. A.18 Cumplimiento con requerimientos legales y

contractuales.

Con el propósito de evitar el incumplimiento de las obligaciones legales,

estatutarias, reglamentarias o contractuales relacionadas con seguridad de la

información I&S ha optado por tomar medidas parciales como el resguardo de la

propiedad intelectual y de los registros de la organización: los documentos físicos

están bajo llave en zonas seguras y solo pueden ser accedidos por personal

40

autorizado. Sin embargo, la ausencia de políticas de seguridad, controles

criptográficos y conformidades técnicas crean un estado de incertidumbre con

respecto al cumplimiento de políticas y normas de seguridad incluyendo la

privacidad y protección de los datos.



Tras el análisis completo de los diferentes dominios se encontró que de un total de

106 ítems, 54 de estos no se cumplen, 41 se cumplen parcialmente y 11 se

cumplen satisfactoriamente.

En lo que respecta a las políticas de seguridad no se cuenta con la documentación

necesaria relativa a los procedimientos y controles que ayuden a garantizar la

seguridad de la información, con un 66,7 % de no cumplimiento y un 33,3 % de

cumplimiento parcial; por otro lado, se realizó el análisis de la seguridad de la

información en la organización, lo cual se cumple satisfactoriamente en un 25 %,

mientras que se observa un 37,5 % que no se cumple y/o se cumple parcialmente,

puesto que se cuenta con acuerdos de confidencialidad, sin embargo, no se tiene

una claridad en los roles para el control adecuado de la operación de la seguridad.

Adicional se observa que la seguridad de los RRHH solo se cumple

satisfactoriamente en un 44,4 %, puesto que no se cuenta con un control

adecuado en los procesos referentes a terminación de contratos y la detección de

vulnerabilidades; en la gestión de activos se puede observar, que aunque se ha

trabajado en el inventario de activos, este no se encuentra actualizado en su

totalidad y así mismo no se tienen procedimientos para la clasificación de la

información teniendo en cuenta su criticidad, contando con un 50 % de

cumplimiento parcial y 50 % que no se cumplen.

41

En el control de accesos únicamente se observa un 5,6 % de cumplimiento

satisfactorio, un 33,3 % de cumplimiento parcial y un 61,1 % de no cumplimiento,

puesto que se cuenta con el uso de contraseñas, sin embargo, no se cuenta con

documentación formal; mientras que en lo que respecta a la criptografía se

observa un 100 % de no cumplimiento, ya que no existen procedimientos en todo

lo relacionado al uso de las llaves criptográficas.

En la seguridad física y ambiental no se cuenta con una protección completa en la

alimentación eléctrica, lo que evidencia falta de seguridad en el cableado y

restricción en el uso de los equipos móviles; así mismo se detectan falencias en la

seguridad en las operaciones, puesto que no se cuenta con logs y/o controles en

la gestión de medios informáticos.

En la relación con los proveedores no se cuenta con un control adecuado

referente a los requisitos de seguridad, teniendo en cuenta toda la comunicación,

para el aseguramiento de la protección de los activos; así como en la gestión de

los incidentes de seguridad no se cuenta con una correcta gestión, para la

recolección de evidencia.

Según el análisis realizado, se observa a nivel general, que se requiere una

intervención inmediata a nivel de los dominios relacionados con políticas de

seguridad, continuidad del negocio, criptografía y relación con los proveedores,

puesto que son los que tienen mayor índice de incumplimiento con la norma y

afectan la seguridad de la información que se requiere.

42

3. CAPÍTULO III. GESTIÓN DE RIESGOS

El presente capítulo describe la metodología a utilizar para la gestión de riesgos,

con el fin de que los órganos de gobierno tomen decisiones correctas según los

riesgos derivados de las tecnologías de la información, así como el inventario de

activos de la organización y la valoración de estos, teniendo en cuenta la

confidencialidad, integridad y disponibilidad de la información, realizando de esta

forma el análisis de amenazas y la valoración de los riesgos, estimando así los

riesgos a los que se puede encontrar expuesta la organización.

3.1. METODOLOGÍA

Como metodología para la gestión de riesgos en el plan de implementación del

SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de

Gestión de Riesgos dentro de un marco de trabajo para que los órganos de

gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de

tecnologías de la información8. MAGERIT presenta los siguientes objetivos:

Directos:

1. Concienciar a los responsables de las organizaciones de información de la

existencia de riesgos y de la necesidad de gestionarlos

2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de

tecnologías de la información y comunicaciones (TIC)

3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los

riesgos bajo control

Indirectos:

4. Preparar a la Organización para procesos de evaluación, auditoría, certificación

o acreditación, según corresponda en cada caso.

3.2. INVENTARIO DE ACTIVOS

Para empezar con la gestión de riesgos se requiere un inventario de activos. Los

activos son componentes o funcionalidades de un sistema de información

susceptible de ser atacado deliberada o accidentalmente con consecuencias para

la organización. Incluye: información, datos, servicios, aplicaciones (software),

equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y

recursos humanos9. A continuación, se presenta un fragmento de los activos

8 PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información 9 [UNE 71504:2008]

43

identificados en Interfaces y Soluciones, el listado completo de activos se

encuentra en el Anexo B - “Informe de Hallazgos” (disponible en el CD, ver pg.

92).

Tabla 9 Listado de activos (Fragmento)

ID Tipo Activo Descripción

ACT_0001 Comunicaciones Internet

Navegador: Chrome Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos Servicio contratado con Claro: 5 Megas

ACT_0002 Comunicaciones Intranet cableado categoría 5E Router suministrado por Claro, sin configuraciones adicionales a las por defecto

ACT_0003 Comunicaciones Telefonía Panasonic KX-UT123

ACT_0004 Datos Backups

Se realizan backups manuales de: - BD GTIntegration (base de datos sistema de integración) - BDI (base de datos intermedia) - Satélites (código fuente) - Generic Transfer Integration (sistema de integración) - Ejecutables y archivos de configuración

ACT_0005 Datos

Código fuente aplicaciones de planta y administrativas

Código en Visual Basic .NET de: - Script estructura GTIntegration - Script datos GTIntegration - Ejecutables y archivos config de los satélites/aplicativos

ACT_0006 Datos Bases de datos corporativas

Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores - Modelo entidad relación Siesa - Programas - Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites.

44

ACT_0007 Hardware Router Inalámbrico

Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port

ACT_0008 Hardware Servidor de Correos

Gmail empresarial

ACT_0009 Hardware Servidor para pruebas de BD

opera con Windows Server 2012 R2

ACT_0011 Hardware Portátiles

Funcionan como estaciones de trabajo para el área de tecnologías de la información.Los equipos son de las siguiente marcas:- Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM- Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM- Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM

ACT_0012 Hardware

Unidades de CD , DVD y Memorias extraíbles

ACT_0013 Hardware

Discos duros de servidores y estaciones de trabajo

ACT_0014 Hardware Discos externos

Con información correspondiente a: - Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI

ACT_0015 Hardware UPS 8 tomas. Con autonomía de 5 a 20 min Da soporte a 5 equipos.

ACT_0016 Instalaciones Sedes de operación

Cuenta con dos sedes: - Bogotá - Medellín

ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio

ACT_0018 Instalaciones Sistema de aire acondicionado

Perteneciente al edificio donde funcionan las oficinas de la organización

ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio

ACT_0020 Recursos Humanos

Dirección

Se cuenta con: - Director comercial - Director de proyectos - Administración

ACT_0025 Software

Bases de datos: SQL server 2014 Management Studio


45

3.3. VALORACIÓN DE ACTIVOS

Siguiendo la metodología se define una tabla de valoración de activos que

depende de tres dimensiones de gran importancia para la seguridad de la

información, las cuales son: confidencialidad, integridad y disponibilidad.

3.3.1. Confidencialidad

La confidencialidad se refiere a que la información debe llegar únicamente a las

personas autorizadas. Esta es definida según las características de la información

gestionada y procesada por el activo. Para la presente valoración se toma en

cuenta los siguientes criterios de clasificación.

Tabla 10 Criterios de valoración de Confidencialidad

Escala de Valoración

Valor Confidencialidad

3 Alto

El activo gestiona y/o

procesa Información

Reservada, su uso

inadecuado puede

generar consecuencias

graves para la

organización.

Información disponible sólo para un proceso

de la entidad y que en caso de ser conocida

por terceros sin autorización puede

conllevar un impacto negativo de índole

legal, operativa, de pérdida de imagen o

económica.

2 Medio



Clasificada, su uso

inadecuado puede

generar medianas

consecuencias a la

organización, como por

ejemplo, reclamaciones

de las áreas que soporta.

Información disponible para todos los

procesos de la entidad y que en caso de ser

conocida por terceros sin autorización

puede conllevar un impacto negativo para

los procesos de la misma. Esta información

es propia de la entidad o de terceros y

puede ser utilizada por todos los

funcionarios de la entidad para realizar

labores propias de los procesos, pero no

puede ser conocida por terceros sin

autorización del propietario.

1 Bajo



Pública, no genera

consecuencias negativas

para la organización.

Información que puede ser entregada o

publicada sin restricciones a cualquier

persona dentro y fuera de la entidad, sin

que esto implique daños a terceros ni a las

actividades y procesos de la entidad.

0 No

Clasificada

Activos de Información

que deben ser incluidos

en el inventario y que

aún no han sido

clasificados.

Deben ser tratados como activos de

INFORMACIÓN RESERVADA hasta el

momento en que se defina una valoración

entre la escala del 1-3 definida.

Fuente: Elaboración Propia basado en Guía para la gestión y clasificación de activos MinTic

46

3.3.2. Integridad

La integridad es una característica o propiedad de la información que garantiza

que ésta no ha sido alterada (modificada o destruida) de manera no autorizada.

Los criterios de valoración de integridad para los activos de I&S se describen a

continuación:

Tabla 11 Criterios de valoración de Integridad


Valoración Integridad

3 Alto

El activo gestiona Información cuya pérdida de exactitud y

completitud puede conllevar un impacto negativo de índole

legal o económica, retrasar sus funciones, o generar pérdidas

de imagen severas de la entidad. Es información que apoya la

toma de decisiones estratégicas de la organización.

Los errores deben ser solucionados de inmediato.

2 Medio


completitud puede conllevar un impacto negativo de índole

legal o económica, retrasar sus funciones, o generar pérdida

de imagen moderada a funcionarios de la entidad. La

información gestionada por el activo permite una brecha de

errores que pueden ser solucionados a corto plazo.

1 Bajo


completitud conlleva un impacto no significativo para la entidad

o entes externos.

Los errores pueden ser solucionados en un mediano plazo

0 No

Clasificada

El activo de información debe ser incluido en el inventario y

aún no ha sido clasificado. Debe ser tratado como activo de

Integridad nivel 3 hasta el momento en que se defina una

valoración entre la escala del 1-3 definida.


47

3.3.3. Disponibilidad

La disponibilidad asegura que los usuarios autorizados tienen acceso a la

información y activos asociados cuando lo requieren, es decir, con esta propiedad

se previene la denegación de acceso a datos y servicios de información

autorizados. En la tabla se presentan los criterios de valoración de disponibilidad

para los activos de I&S.

Tabla 12 Criterios de valoración de Disponibilidad


Valoración Disponibilidad

3 Alto

El activo apoya los procesos críticos de la entidad y se

requiere de una recuperación inmediata en caso de falla.

Puesto que, la no disponibilidad de la información puede

conllevar un impacto negativo de índole legal o económica,

retrasar sus funciones, o generar pérdidas de imagen severas

a entes externos.

2 Medio

El activo apoya los procesos no críticos de la entidad y permite

su recuperación en un tiempo no mayor a 3 días. Puede

generar repercusiones económicas, legales o de imagen

moderadas.

1 Bajo

El activo apoya los procesos no críticos de la entidad y permite

su recuperación en un tiempo superior a 3 días. La no

disponibilidad de la información puede afectar la operación

normal de la entidad o entes externos, pero no conlleva a

implicaciones legales, económicas o de imagen.

0 No Clasificada

Activos de Información que deben ser incluidos en el

inventario y que aún no han sido clasificados. Deben ser

tratados como activos de Disponibilidad de nivel 3 hasta el

momento en que se defina una valoración entre la escala del

1-3 definida.


48

3.4. ANÁLISIS DE AMENAZAS

Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños

al sistema de información o a la organización. Tras el análisis de los activos en

I&S se detectan las amenazas listadas en la tabla.

Tabla 13 Resumen de Amenazas Fuente: Elaboración Propia

C = Comunicaciones; D = Datos; H = Hardware; S = Software;

I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo

ID

Riesgo Riesgo Vector Amenaza

C D H I R S Total

R_001 Abuso de privilegios de

acceso

Abuso de información privilegiada

y actos no autorizados 4 4

R_002 Acceso no autorizado Abuso de información privilegiada

y actos no autorizados 3 4 7

R_003 Alteración de la

información

Ataque interno y/o Ataque

externo 1 2 2 2 7

R_004 Caída del sistema por

sobrecarga

Fallos en el sistema y en el medio

ambiente 2 2 4

R_005

Condiciones

inadecuadas de

temperatura o

humedad

Condiciones peligrosas 1 1

R_006 Corrupción de la

información


externo 3 1 4

R_007 Corte del suministro

eléctrico Fallos de dependencia 1 1 2

R_008

Afectación de los

soportes de

almacenamiento de la

información

Errores y Omisiones 3 3

R_009 Denegación de servicio Sistemas Automatizados y

Código Malicioso 1 3 4

49

C = Comunicaciones; D = Datos; H = Hardware; S = Software;

I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo

ID

Riesgo Riesgo Vector Amenaza

C D H I R S Total

R_010 Desastres naturales Acciones de la naturaleza 3 3

R_011 Difusión de software

dañino

Sistemas Automatizados y

Código Malicioso 2 1 3 6

R_012 Errores de

configuración

Fallos en el sistema y en el medio

ambiente 11 11

R_013 Errores de los usuarios Errores y Omisiones 2 2

R_014

Errores de

mantenimiento /

actualización de

equipos (hardware)


R_015

Errores de

mantenimiento /

actualización de

programas (software)


R_016 Errores del

administrador Errores y Omisiones 6 6

R_017 Extorsión Ataque interno y/o Ataque

externo 2 2

R_018 Fuego Condiciones peligrosas 3 3

R_019 Fuga de información Abuso de información privilegiada

y actos no autorizados 2 3 3 4 12

R_020 Indisponibilidad del

personal Fallos de dependencia 4 4

R_021 Ingeniería social Ataque interno y/o Ataque

externo 2 2 4 8

R_022 Interceptación de

información (escucha)


externo 2 2

R_023 Introducción de falsa

información


externo 2 2

50

3.5. VALORACIÓN DEL RIESGO

La valoración del riesgo permite estimar la magnitud de los riesgos a los que está

expuesta la organización. La materialización de una amenaza consta de dos

elementos: probabilidad e impacto, estos determinan el nivel del riesgo.

De acuerdo a la probabilidad se determinan los siguientes criterios de valoración:

Tabla 14 Criterios de valoración según Probabilidad


Valoración Descripción

3 Alto

La amenaza se puede materializar mínimo una vez al

mes

2 Medio

La amenaza se puede materializar a lo sumo una vez

en el semestre

1 Bajo

La amenaza se puede materializar a lo sumo una vez al

año


Según el impacto se determinan los siguientes criterios de valoración:

Tabla 15 Criterios de valoración según Impacto

Escala de

Valoración Valoración Descripción

3 Alto La ocurrencia del evento tiene impacto a nivel de

confidencialidad, integridad y/o disponibilidad de la

información poniendo en riesgo la reputación de la

empresa y/o inconvenientes legales.

2 Medio La ocurrencia del evento tiene impacto a nivel de

confidencialidad, integridad y/o disponibilidad de la

información sin poner en riesgo la reputación de la

empresa o necesidad de medidas legales.

1 Bajo La ocurrencia del evento no tiene consecuencias

relevantes para la organización.


51

Por la combinación probabilidad - impacto se define el mapa de riesgo que se

presenta a continuación, los números en el interior de las celdas son calculados

por la multiplicación de la probabilidad por el impacto. Indican junto con los tonos

de colores la criticidad del riesgo.

Figura 18 Mapa de Riesgo

MAPA DE RIESGO

Probabilidad

3 - Alta 3 6 9

2 - Media 2 4 6

1- Baja 1 2 3

1 - Bajo 2 - Medio 3 -Alto

Impacto


El detalle de los niveles de riesgo y valoración de riesgo de todos los activos

estudiados se encuentra en el Anexo B - “Informe de Hallazgos” (disponible en

el CD, ver pg. 92) en la sección Valoración del riesgo. A continuación se presenta

un resumen de los resultados obtenidos:

Tabla 16 Resumen Valoración del riesgo

Promedio Probabilidad = PP Promedio Impacto = PI Estimado = E Valoración Riesgo = VR

ID Vector V. Amenaza PP PI E VR

VA_001 Abuso de información privilegiada y actos no autorizados

2 3 6 RC

VA_002 Acciones de la naturaleza 1 1 1 RB

VA_003 Ataque interno y/o Ataque externo 2 3 6 RC

VA_004 Condiciones peligrosas 1 1 1 RB

VA_005 Errores y Omisiones 3 2 6 RC

VA_006 Fallos de dependencia 2 2 4 RM

VA_007 Fallos en el sistema y en el medio ambiente 3 2 6 RC

VA_008 Intrusión física y/o robo 2 3 6 RC

VA_009 Sistemas Automatizados y Código Malicioso 2 2 4 RM


52

4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS

Luego de estimar el riesgo, se busca establecer medidas de protección, también

conocidas como salvaguardas o tratamiento que permiten prevenir, impedir,

reducir o controlar los riesgos identificados, para esto en el siguiente capítulo se

describen las estrategias para el tratamiento de riesgos, estudiando las diferentes

situaciones que se presentan dentro de la organización, así como las técnicas

como parte del tratamiento, teniendo en cuenta las prioridades de la compañía.

Por otro lado se establece la política de seguridad, con el fin de establecer las

reglas básicas, para garantizar la confidencialidad, integridad y disponibilidad de la

información, así como los controles recomendados, monitoreo y asignación de

responsabilidades, teniendo en cuenta la matriz RASCI.

4.1. ESTRATEGIAS PARA TRATAMIENTO DEL RIESGO

La principal estrategia para el tratamiento de riesgos es estudiar la situación y

determinar en cuáles de los siguientes casos se ubica el riesgo, con el propósito

de enfocarse en el objetivo correcto.

Figura 19 Estrategias para el Tratamiento de riesgo


53

● Cuando existe una vulnerabilidad (defecto, debilidad) es necesario

implementar técnicas que garanticen la reducción de la probabilidad de que

la vulnerabilidad sea explotada.

● Cuando se puede explotar una vulnerabilidad es necesario aplicar

protección en capas, diseños arquitectónicos y controles administrativos

para minimizar el riesgo o prevenir esta ocurrencia.

● Cuando el costo del ataque es menor que la ganancia potencial para el

atacante, es necesario aplicar protección para disminuir la motivación

aumentando el costo del atacante (por ejemplo, usar controles del sistema

para limitar lo que un usuario puede hacer).

● Cuando la pérdida puede ser demasiado grande, es necesario aplicar

principios de diseño, técnicas y procedimientos para limitar el alcance del

ataque, reduciendo así el potencial de pérdida.

A partir de lo anterior y la valoración de riesgos se definen las siguientes

estrategias:

Tabla 17 Estrategias para el Tratamiento de Riesgos

ESTRATEGIAS PARA TRATAMIENTO DE RIESGO

Probabilidad

3 - Alta

3.Zona de riesgo Moderado

Tratamiento:

Reducir la probabilidad de

ocurrencia

Evitar el riesgo

6. Zona de riesgo extremo

Tratamiento:

Reducir el riesgo

Evitar el riesgo

Compartir o transferir

9.Zona de riesgo Extremo

Tratamiento:

Reducir el riesgo

Evitar el riesgo


2 - Media

2. Zona de riesgo Bajo

Tratamiento:

Reducir la probabilidad de

ocurrencia


Tratamiento:

Reducir el riesgo

Evitar el riesgo

6. Zona de riesgo extremo

Tratamiento:

Reducir el riesgo

Evitar el riesgo


1 - Bajo


Tratamiento:

Asumir el riesgo


Tratamiento:

Reducir el riesgo

Evitar el riesgo


Tratamiento:

Reducir el riesgo

Evitar el riesgo

1 - Bajo 2 - Medio 3 - Alto

Impacto


54

4.2. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO

De acuerdo a las prioridades de la organización y el nivel de riesgo detectado se

definen diferentes técnicas como parte del tratamiento del riesgo:

● Aceptar (A): Indica una aceptación del riesgo tras una decisión informada a

favor de tomar el riesgo que tiene una muy baja probabilidad de ocurrencia.

Esta técnica reconoce el riesgo. La aceptación es una técnica "pasiva" que

se centra en permitir que cualquier resultado ocurra sin tratar de prevenir

ese resultado. Esta técnica se utiliza normalmente para los riesgos "bajos"

o "muy bajos" en los que no es evidente un medio eficiente de reducir el

riesgo.

● Evitar (E): Se intenta evitar la ocurrencia del riesgo puesto que presenta

una probabilidad media o alta y puede ocasionar daños graves a la

organización. Aquí se encuentran las salvaguardas preventivas en la que se

establece anticipadamente políticas, normas, controles y procedimientos

que buscan evitar las circunstancias que lo provocan y reducir las

posibilidades de ocurrencia. Las ideales son las que impiden

completamente la materialización de la amenaza.

● Controlar (C): Esta técnica se compone de acciones que deben tomarse

para reducir la probabilidad de riesgo o el impacto. Por lo general,

identifican una acción o producto que se convierte en parte de los planes de

trabajo y que son supervisados e informados como parte del análisis de

desempeño regular y el informe de progreso del Programa.

● Investigar (I): Esta técnica difiere todas las acciones hasta que se realiza

más trabajo y/o se conocen hechos. Las respuestas basadas en la

investigación no definen ninguna mitigación para reducir un riesgo

individual. Son respuestas a los riesgos en los que no se identifica una

solución clara, y se requiere más investigación.

● Mitigar (M): Se establecen salvaguardas que actúan en el momento que se

presenta o materializa la amenaza. Son medidas que limitan la posible

degradación del activo o permiten detectar inmediatamente el ataque para

frenar el daño que puede ocasionar. Algunas medidas se limitan a permitir

la pronta recuperación del sistema cuando la amenaza lo destruye.

● Transferir (T): Se busca pasar parcial o totalmente el riesgo a otra

compañía, ya sea por medio de una póliza de seguro o un contrato de

55

outsourcing. Es una medida en la que se busca compartir el riesgo. Hay dos

formas básicas de compartir riesgo10:

○ Riesgo cualitativo: se comparte por medio de la externalización de

componentes del sistema, de forma que se reparten

responsabilidades.

○ Riesgo cuantitativo: se comparte por medio de la contratación de

seguros, de forma que a cambio de una prima, el tomador reduce el

impacto de las posibles amenazas y el asegurador corre con las

consecuencias.

A partir del análisis realizado se determinan a grandes rasgos las técnicas para los

riesgos detectados. Para mayor información dirigirse a la sección Técnicas de

tratamiento del “Anexo C - Evaluación y Tratamiento de Riesgos” (disponible en

el CD, ver pg. 92).

Tabla 18 Resumen Técnicas de Tratamiento

Nro. de riesgos por Técnicas de

Tratamiento

ID V.

Amenaza Vector Amenaza A C E I M T Total

VA_001

Abuso de información privilegiada y actos no

autorizados 3 3 1 3

VA_002 Acciones de la naturaleza 1 1 1 1

VA_003 Ataque interno y/o Ataque externo 1 6 3 6

VA_004 Condiciones peligrosas 1 2 1 2

VA_005 Errores y Omisiones 4 5 2 5

VA_006 Fallos de dependencia 2 3 1 3 3

VA_007 Fallos en el sistema y en el medio ambiente 1 1 1 2

VA_008 Intrusión física y/o robo 2 2 1 1 2

VA_009 Sistemas Automatizados y Código Malicioso 2 1 1 2

Suma total 1 12 25 5 13 1 26


10

Magerit_v3

https://docs.google.com/document/d/1uypif92XhTxuohaWFi1A7q3TAGgUKfivxX-S8wIZHSE/edit#heading=h.brnc0a794f4l

https://docs.google.com/document/d/1uypif92XhTxuohaWFi1A7q3TAGgUKfivxX-S8wIZHSE/edit#heading=h.brnc0a794f4l

56

4.3. PLAN DE TRATAMIENTO DEL RIESGO

Una vez definidas las estrategias y técnicas, se establece el plan del tratamiento

del riesgo, en el cual, se hace la selección de salvaguardas, incluyendo políticas,

controles, monitoreo y asignación de las responsabilidades, con el fin de evitar,

controlar, transferir y mitigar los riesgos detectados.

4.3.1. Política de Seguridad SGSI

El Plan de implementación del SGSI, exige el desarrollo de una política de

seguridad en la que se establezcan las reglas necesarias para garantizar la

confidencialidad, integridad y disponibilidad de la información en todos los

procesos de Interfaces y Soluciones. Por tanto, esta debe ser definida, asignada y

comunicada a todos los miembros de la organización.

4.3.1.1. Objetivo

El objetivo principal de la política de seguridad del SGSI es establecer las reglas

básicas para garantizar la confidencialidad, integridad y disponibilidad de la

información en las actividades de gestión, procesamiento y almacenamiento en

Interfaces y Soluciones S.A.S.

4.3.1.2. Alcance

Está política aplica para todos los empleados y contratistas de Interfaces y

Soluciones que tienen acceso a la red y a los servicios informáticos disponibles.

Así como personas naturales y jurídicas que desarrollen actividades en Interfaces

y Soluciones que tengan acceso a la red y los servicios informáticos disponibles.

4.3.1.3. Responsables

Todos los empleados de Interfaces y Soluciones, contratistas y terceros externos a

la organización.

4.3.1.4. Definición

Interfaces y Soluciones es consciente de que la información con la que opera es

un recurso vital para el cumplimiento de sus objetivos, por lo tanto, es esencial

garantizar la confidencialidad, integridad y disponibilidad de la misma. De forma

que se compromete con:

● Proteger los activos de información.

57

● Garantizar los requerimientos legales y de la entidad relativos a la

seguridad de la información.

● Gestionar los riesgos identificados.

● Revisar el cumplimiento de las políticas de seguridad de la información.

● Desarrollar un plan de concientización sobre seguridad de la información

para todo el personal.

● Establecer controles de seguridad por medio de implantación de políticas,

estándares y procedimientos que permitan proteger los activos de

información disponibles.

I&S basada en las directrices de seguridad de la información nacional11 y

adaptándolas al caso de la compañía establece que:

● Antes de asignar el equipo de cómputo a un nuevo usuario, el Área de

desarrollo y gerencia debe asegurarse que no existe información

confidencial en dicho equipo, en caso contrario, debe proceder a respaldar

completamente la información y posteriormente deberá borrarla del equipo.

● El área de gerencia y administración debe establecer las medidas y

mecanismos de control, monitoreo y seguridad, para el correo electrónico y

los accesos a páginas o sitios de Internet con contenidos u orígenes

sospechosos.

● El área de soporte debe realizar pruebas (mínimo una vez al año) de

penetración, así como un análisis de vulnerabilidades de la red para la

medición de la seguridad perimetral de la red interna ante un ataque desde

el exterior.

● El administrador de la seguridad es el autorizado para habilitar páginas

bloqueadas siempre y cuando el acceso a estas se encuentre previamente

autorizado por el director respectivo existiendo una justificación para ello.

● El Área de desarrollo y soporte debe garantizar que los componentes de

red, cuentan con las configuraciones seguras contemplando la actualización

de parches y versiones indicadas por el proveedor.

● El área de gerencia y desarrollo debe llevar registro de todas las personas a

las que se les ha otorgado algún privilegio de acceso.

● El área de gerencia y desarrollo debe revisar los derechos de acceso de

forma bimestral.

● El área de administración es responsable de elaborar un inventario de los

activos de la información disponibles en la organización, éste debe incluir

11

(«L-TI-03-Administración-Seguridad.», 2016)

58

clasificación, ubicación y propietario designado. El inventario debe

mantenerse actualizado.

● El área de gerencia y administración debe garantizar que los empleados

retirados de la entidad devuelvan la información confidencial y reservada

que tiene bajo su resguardo.

● El personal de Interfaces y Soluciones debe utilizar el correo electrónico

únicamente con fines laborales.

● El uso de internet debe de estar controlado por un dispositivo de seguridad

como un proxy, permitiendo solamente a los usuarios autorizados el utilizar

el servicio.

● El uso de internet debe de ser sólo para fines laborales y no para realizar

actividades personales o con fines de lucro.

● En caso de sospecha de revelación de contraseñas a personas no

autorizadas, estas contraseñas deben ser cambiadas inmediatamente.

● Es responsabilidad de los usuarios revisar los archivos adjuntos con el

antivirus antes de descargarlos a cualquier equipo de cómputo.

● Está estrictamente prohibido el uso inapropiado de Internet para desarrollar

actividades ilegales, acceder y/o descargar contenido pornográfico,

descargar cualquier tipo de software sin autorización del área de gerencia,

cargar o descargar software comercial violando las leyes de derecho de

autor.

● Está prohibido ingresar a las áreas de trabajo o extraer de las instalaciones

de Interfaces y Soluciones medios removibles (CD, DVD, USB, Discos

Duros, ZIP, entre otros), sin la debida autorización.

● La clave de usuario debe ser única para cada usuario que solicite acceso.

● La información debe clasificarse en términos de su valor y criticidad como:

Pública, Clasificada o Reservada, y es responsabilidad del propietario que

se haya designado.

● La salida de equipos de cómputo fuera de las instalaciones de la

organización debe ser autorizada formalmente por el gerente y/o el

coordinador del área de desarrollo.

● Las contraseñas deben ser otorgadas a los usuarios de forma segura. Se

debe evitar enviar las contraseñas por correo.

● Las contraseñas deben tener una longitud mínima de 8 caracteres,

combinar caracteres alfanuméricos y ser cambiadas máximo cada 90 días.

● Las contraseñas referentes a las cuentas “predefinidas” incluidas en los

sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser

posible su desactivación, las contraseñas deben ser cambiadas después de

la instalación del producto.

59

● Los gerentes y coordinadores deberán garantizar que se comunica a todo el

personal claramente las responsabilidades relacionadas a la seguridad de

la información antes de darles acceso a la información.

● Los equipos de cómputo deben protegerse de riesgos del medio ambiente,

tales como: polvo, incendios, inundaciones, etc.

● Los puntos de acceso inalámbrico deben estar configurados de manera

segura, tomando en cuenta los siguientes aspectos:

○ Uso de encriptación de 128 bits mínimo.

○ Administración del filtrado de direcciones MAC de los dispositivos

inalámbricos conectados.

○ Establecer el número máximo de dispositivos que pueden

conectarse.

● Los usuarios de los equipos de cómputo no deben tener privilegios de

administrador con el propósito de evitar cualquier modificación a la

configuración estándar establecida por la gerencia de Interfaces y

Soluciones.

● Los usuarios deben garantizar que sus contraseñas no son reveladas ni

compartidas.

● Los usuarios son responsables de las actividades realizadas a través de su

cuenta asignada.

● Queda prohibido hacer uso de la cuenta de correo electrónico para las

siguientes actividades:

○ Generar o enviar correos electrónicos a nombre de otra persona sin

autorización o suplantándola.

○ Crear o reenviar cartas cadena o cualquier otro esquema de

pirámide de mensajes.

○ Enviar correo no deseado (spam).

○ Adjuntar archivos que contengan virus, archivos dañados, programas

que descarguen otros archivos, o cualquier otro programa o software

que pueda perjudicar el funcionamiento de los equipos de otros.

○ Anunciar, enviar, o emitir contenido del cual no se tiene el derecho

de transmisión por ley o bajo relación contractual tal como

información confidencial entregada como parte de las relaciones de

empleo o bajo contratos de confidencialidad.

○ Descargar e intercambiar música, video e imágenes de Internet en

cualquier medio y desde cualquier medio.

● Se debe llevar a cabo un estricto bloqueo de sitios Web que no son

necesarios, ya que consumen recursos de la red a excepción del personal

que por sus funciones lo requieran.

60

● Se debe tener instalados y configurados los siguientes dispositivos de

seguridad para salvaguardar los datos que se transmiten a través de la red:

○ Firewalls.

○ Sistema de prevención y detección de intrusos.

● Si el usuario está utilizando información sensible clasificada como

“reservada o confidencial”, no podrá abandonar su equipo de cómputo,

terminal o estación de trabajo sin antes salir o bloquear el sistema o

aplicación pertinente.

● Todo el personal al momento de su ingreso debe recibir dentro de su

programa de inducción y reinducción una presentación que contenga las

políticas y sanciones de seguridad de la información vigentes.

● Todo el personal será capacitado al menos 1 vez al año en temas y

problemas de seguridad de la información tales como:

○ Procedimientos para el uso adecuado de cuentas y contraseñas.

○ Uso adecuado de los activos de información.

○ Información referente al proceso disciplinario y sanciones.

● Todos los empleados, proveedores y terceras personas que puedan tener

acceso a información reservada o confidencial de Interfaces y Soluciones,

deben firmar un acuerdo de confidencialidad.

● Todos los responsables de equipos deben garantizar el resguardo de los

mismos y la información contenida en los equipos.

● Todos los usuarios deben acceder a los recursos de servicios de

información por medio de la cuenta de usuario asignada.

● Todos los usuarios deberán bloquear su equipo cuando por cualquier razón

dejen su lugar de trabajo, y apagar su equipo de cómputo al término de la

jornada laboral.

4.3.1.5. Sanciones

Cualquier empleado que se descubra que ha violado esta política puede estar

sujeto a medidas disciplinarias, en las que se puede incluir la terminación del

contrato. El incumplimiento de esta política conllevará como primera medida una

notificación al superior inmediato, con copia a Gestión Humana.

En el caso de terceros, esto conllevará una nota solicitando explicación al

representante legal de la firma.

En caso de manipulación indebida de la información puede conllevar a efectos

penales, de igual manera se notificará a los implicados.

61

4.3.2. Controles recomendados

Tras la identificación, estimación y priorización de riesgos se ha desarrollado una

investigación y definición de los controles recomendados a utilizar para su

tratamiento.

La determinación de controles se ha basado en los dominios del Anexo A de la

norma ISO/IEC 27001:2013.

- Documentación de Políticas

Debido a que la gran mayoría de vulnerabilidades detectadas en la organización

están relacionadas con la carencia de políticas y/o documentos formales de

seguridad de la información, se han desarrollado un conjunto de políticas

asociadas a los dominios de la norma con las cuales se busca disminuir la

probabilidad e impacto de materialización de alguna amenaza.

En el “Anexo D. Políticas para la Gestión de la Seguridad” (disponible en el

CD, ver pg. 93) se encuentra el desarrollo de las políticas en las que se incluye

objetivo, alcance, responsables y sanciones de acuerdo a las disposiciones en

ellas.

Tabla 19 Listado de Políticas desarrolladas Fuente: Elaboración Propia

Nivel Riesgo

ID Política Dominio V. Amenaza RB RC RM

P_0001 Política de Seguridad de la Información

A5 - A18

Abuso de información privilegiada y actos no autorizados

X

Ataque interno y/o Ataque externo

X

Errores y Omisiones

X

Intrusión física y/o robo

X

P_0002

Política de Dispositivos Móviles y Teletrabajo

A5, A6, A9

Errores y Omisiones

X

Sistemas Automatizados y Código Malicioso

X

62

P_0003

Política de Seguridad de los Recursos Humanos

A5, A7


X

Errores y Omisiones

X X

P_0004 Política de Control de Accesos

A5, A9


X

Fallos de dependencia

X


X

P_0005 Política de Controles Criptográficos

A5, A10


X


X


X

P_0006 Política de Seguridad Física y del Entorno

A5, A11 Fallos de dependencia

X


X

P_0007 Política de escritorio y pantalla limpios

A5, A11 Abuso de información privilegiada y actos no autorizados

X

P_0008 Política de Almacenamiento y respaldo

A5, A11, A12


X


X


X

P_0009 Política de Transferencia de Información

A5, A13


X


X

Errores y Omisiones

X


X

63

P_0010 Política de Desarrollo Seguro

A5, A14


X


X


X

P_0011 Política de S.I aplicable a proveedores

A5, A15


X

Errores y Omisiones

X

P_0012 Política de Gestión de Incidentes

A5, A16


X

Acciones de la naturaleza X


X X

Condiciones peligrosas X

Errores y Omisiones

X X

Fallos de dependencia X

X

Fallos en el sistema y en el medio ambiente

X X


X


X

P_0013

Política de Gestión de la continuidad del negocio

A5, A17, A18


X

Acciones de la naturaleza X


X X

Condiciones peligrosas X

Errores y Omisiones

X

Fallos de dependencia X

X

Fallos en el sistema y en el medio ambiente

X X


X

64

- Aplicación de controles correspondientes a los dominios de la norma

Como se ha mencionado en el apartado anterior la selección de controles está

conectada con los 14 dominios definidos por la norma ISO/IEC 27001:2013.

El primero A5 - Política de seguridad, corresponde a lo descrito en el Listado de

Políticas Desarrolladas, comprende todo un anexo en el que se definen las

técnicas y reglamento básico para controlar y evitar la explotación de las

vulnerabilidades.

Los controles de los dominios restantes se explican en el “Anexo C. Evaluación y

Tratamiento de Riesgos” (disponible en el CD, ver pg. 92). Aquí se presenta sólo

un breve fragmento de lo que se puede encontrar en la sección Opciones de

control recomendadas del anexo indicado.

Tabla 20 Asociación de riesgos con controles ISO 27001:2013 Fuente: Elaboración Propia

ID

Riesgo Riesgo V. Amenaza

N.

Riesgo A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 A18

R_001

Abuso de

privilegios de

acceso

Ataque

interno RC X X X X X X

R_002

Acceso no

autorizado

Errores y

Omisiones RC X X X X X X X X

R_003

Alteración de

la información

Ataque

interno RC X X X X X X X

R_004

Caída del

sistema por

sobrecarga

Fallos en el

sistema y en

el medio

ambiente RC X X X X

R_005

Condiciones

inadecuadas

de

temperatura o

humedad

Condiciones

peligrosas RB X X

R_006

Corrupción de

la información

Fallos de

dependencia RC X X X X

65

ID


N.


R_007

Corte del

suministro

eléctrico

Fallos de

dependencia RB X X X

R_008

Afectación de

los soportes de

almacenamiento

de la

información

Sistemas

Automatizados

y Código

Malicioso RM X X X X X X

R_009

Denegación de

servicio Ataque interno RM X X X X

R_010

Desastres

naturales

Acciones de la

naturaleza RB X X X X

R_011

Difusión de

software dañino

Sistemas

Automatizados

y Código

Malicioso RM X X X

R_012

Errores de

configuración

Fallos en el

sistema y en el

medio

ambiente RM X X X

R_013

Errores de los

usuarios

Errores y

Omisiones RM X X X

R_014

Errores de

mantenimiento /

actualización de

equipos

(hardware)

Errores y

Omisiones RC X X X X

R_015

Errores de

mantenimiento /

actualización de

programas

(software)

Errores y

Omisiones RC X X X X

R_016

Errores del

administrador

Errores y

Omisiones RM X X X X

66

ID


N.


R_018 Fuego

Condiciones

peligrosas RB X X X X

R_019

Fuga de

información

Errores y

Omisiones RC X X X X X X X

R_020

Indisponibilida

d del personal

Fallos de

dependencia RM X X X X

R_021

Ingeniería

social

Ataque

externo RM X X X X

R_022

Interceptación

de información

(escucha)

Ataque

externo RC X X X X X X

R_023

Introducción

de falsa

información

Ataque

interno RC X X X X X X X

R_024

Pérdida de

equipos

Intrusión

física y/o

robo RM X X X X

R_025

Robo de

equipos

Intrusión

física y/o

robo RM X X X X

R_026

Robo de

información

Intrusión física

y/o robo RM X X X X X X X X


67

En el “Anexo C. Evaluación y Tratamiento de Riesgos” (disponible en el CD,

ver pg. 92), adicional a la asociación de dominios también se puede encontrar los

diferentes controles o salvaguardas que permiten reducir el riesgo e identificar la

técnica apropiada según el caso. Así como se resume en la próxima tabla:

Tabla 21 Lista de Controles Fuente: Elaboración Propia

Tratamiento

Dominio Control A C E I M T

A6 Acuerdo de confidencialidad. X X

Base de Datos que permita gestionar personas,

responsabilidades, acuerdos, riesgos, activos, etc. X

Designar un líder para la administración de la

seguridad y comité de seguridad. X X

Registro documental de derechos y obligaciones

del personal. X

Separación de deberes. X

A7 Aplicación de medidas disciplinarias X X X

Entrenamiento en seguridad de la información X

Fijar roles y responsabilidades antes de

contratación X

Fijar términos y condiciones del contrato X

Formalizar devolución de recursos y finalización de

responsabilidades X

Generación de conciencia y compromiso con la

seguridad de la información. X

Revocar derechos tras finalización de contrato X

Verificación de hojas de vida X

A8 Clasificar y etiquetar la información X X

Inventario de Activos X X

A9 Firewall X

Gestión de Contraseñas X

Gestión(creación, modificación, bloqueado,

eliminación) de Usuarios basada en roles X

Reglas de acceso(IP, Protocolo, Puertos) X

VPN X

68

Tabla 19 Lista de Controles(Continuación) Tratamiento

Dominio Control A C E I M T

A10 Cifrado de clave pública X

Firmas digitales X

A11 Control de refrigeración y ventilación X

Medidas Contra Incendios(extintores) X

Registro de Ingresos X

Seguridad Perimetral X

Ubicación y protección de los equipos X

A12 Control de software operacional X

Protección contra códigos maliciosos X

Respaldo de la información X X

Restricciones sobre la instalación de software X

Separación de los ambientes de desarrollo,

pruebas y operación X

A13 Análisis periódico del tráfico de la red X

FTP/SSL X

Segmentación de redes para prevenir la intrusión

en la información X

A14 Protección de datos de prueba X

Revisión técnica de las aplicaciones X

Validación en la entrada y salida de datos X

A15 Cláusulas de seguridad para proveedores X

A16

Reporte de debilidades de seguridad de la

información X X X

Reporte de eventos de seguridad de la información X X X

A17 Control técnico de las pólizas de seguro X

Redundancia X X

Verificar la validez y la efectividad de las medidas

de continuidad X X X

A18 Derechos propiedad intelectual (DPI) X

Privacidad y protección de información de datos

personales X

69

4.3.3. Monitoreo

La unión del plan de tratamiento junto con un plan de monitoreo permite conocer

cuán pertinentes son las estrategias implementadas, para así ejecutar acciones

oportunas que permiten anticiparse a los problemas, garantizar la sostenibilidad de

los proyectos y retroalimentar los procesos de toma de decisiones. En la siguiente

tabla se establecen las medidas para monitorear los riesgos y los responsables a

cargo:

Tabla 22 Plan de monitoreo Fuente: Elaboración Propia

Riesgo Nivel Tratamiento

Plan de Monitoreo Responsable A E M T

Abuso de privilegios

de acceso RC x

Auditoría interna de las

funciones de los

empleados

Gerente de proyectos

Gerente comercial

Acceso no

autorizado RC x

Registro y evaluación

periódica de logs de

aplicaciones críticas


Coordinador de

proyectos

Alteración de la

información RC x

Evaluación periódica de

la información registrada

Coordinador de

proyectos

Analista Desarrollador

Caída del sistema

por sobrecarga RC x


los suministros eléctricos

Evaluación al proceso de

respaldo externo

Líder de proyectos

Soporte

Condiciones

inadecuadas de

temperatura o

humedad

RB x Evaluación de los

factores ambientales

Gerente comercial

Auxiliar Administrativa

Corrupción de la

información RC x


la información registrada


Coordinador de

proyectos

Corte del suministro

eléctrico RB x


los suministros eléctricos


respaldo externo

Gerente comercial


70

Afectación de los

soportes de

almacenamiento de

la información

RB x

Evaluación y

actualización de activos

de almacenamiento

Evaluación de activos de

respaldo

Líder de proyectos

Soporte

Denegación de

servicio RM x

Informes de errores y

excepciones

Coordinador de

proyectos


Desastres naturales RB x Evaluación al proceso de

respaldo externo

Gerente comercial


Difusión de software

dañino RM x

Informes de errores y

seguimiento a resultados

de antivirus

Reporte vía correo de

amenazas recientes y

logs de acciones

tomadas


Coordinador de

proyectos

Errores de

configuración RM x Informes de errores Analista Programador

Errores de los

usuarios RM x Informes de errores


Coordinador de

proyectos

Errores de

mantenimiento /

actualización de

equipos (hardware)

RC x Informes de errores


Coordinador de

proyectos

Errores de

mantenimiento /

actualización de

programas

(software)

RC x Informes de errores

Coordinador de

proyectos


Errores del

administrador RM x Informes de errores


Coordinador de

proyectos

Extorsión RM x

Análisis de riesgos e

impactos en la operación

empresarial

Gerente comercial


71

Fuego RB x

Evaluación de la

aplicación del modelo de

Seguridad y Salud en el

trabajo sugerido por la

ARL


respaldo externo

Gerente comercial


Fuga de información RC x

Seguimiento a

capacitaciones sobre

responsabilidad en el

manejo de información

Gerente comercial


Indisponibilidad del

personal RM x

Auditoría interna en

cuanto al proceso de

bienestar y garantías del

empleado

Gerente comercial


Ingeniería social RM x

Seguimiento a




Gerente comercial


Interceptación de

información

(escucha)

RC x

Evaluación de la

configuración de la red y

encriptación de la

información

Gerente comercial


Introducción de falsa

información RC x

Seguimiento a





Coordinador de

proyectos

Pérdida de equipos RM x

Evaluación del estado de

pólizas

Revisión de reportes de

accesos físicos al centro

de cómputo

Gerente comercial


Robo de equipos RM x

Evaluación del estado de

pólizas

Revisión de reportes de

accesos físicos al centro

de cómputo

Gerente comercial


Robo de información RM x


respaldo externo

Evaluación de procesos

de encriptación de

información crítica


Coordinador de

proyectos


72

4.3.4. Asignación de Responsabilidades

Con base en los controles proporcionados por la norma ISO/IEC 27001:2013 y el

diseño de una matriz RASCI12 se intenta que todos los miembros de I&S

comprendan claramente sus roles y responsabilidades correspondientes a la

seguridad de la información. La matriz cuenta con los siguientes roles:

● Encargado – Responsible (R)

Corresponde a quien realiza la tarea. Normalmente existe un solo encargado(R)

por tarea.

● Responsable – Accountable (A)

Es quien se hace responsable de que la tarea se realice y por lo tanto debe rendir

cuentas sobre su ejecución.

● Apoyo – Support (S)

Son recursos asignados al encargado(R) para cumplir la tarea. Estos también

trabajan en ella.

● Consultado – Consulted (C)

Suministra información o alguna capacidad necesaria para la realización de la

tarea.

● Informado - Informed(I)

Es el rol correspondiente a quien se le debe informar sobre el avance y los

resultados de la ejecución de la tarea.

Así, con el objetivo de definir los roles y responsabilidades al interior de la organización para la implementación del SGSI. Se fijan los roles que los implicados deben asumir frente a cada uno de los controles de la norma. Entre los implicados se incluye:

Propietarios de los activos de información, todos aquellos a quien ha sido asignado un activo de información en específico. Debe existir registro de ello.

Personal, todos aquellos que mantienen una vinculación laboral con Interfaces y Soluciones.

Director General, encargado de planificar y controlar las actividades relacionadas con el SGSI, así como todas las actividades administrativas y financieras, en el momento asumido por el Director Comercial, Francisco Pérez.

12

Guía tomada de la actualización de ISO27k Toolkit realizada por Manuel Garcia Zamora,

Quindell (version 3, March 2014).

73

Dirección ejecutiva, encargado de la coordinación y verificación de las actividades del SGSI, así como de la correcta administración de los recursos de la organización, en el momento asumido por el Director de Proyectos, Jorge Pérez.

Comité Directivo del SGSI, designado por la Dirección para el Plan de Implementación del SGSI.

Líder de seguridad de la información, encargado de la implementación de técnicas y/o procedimientos para la gestión de incidentes de seguridad de la información, así como, para la mejora de los procesos dentro de la organización, en el momento asumido por los coordinadores de proyectos.

Equipo de seguridad operacional, encargado de la seguridad de las operaciones y de la implementación de técnicas y/o procedimientos contra códigos maliciosos, así como el respaldo de la información y el registro de eventos en ambientes de pruebas, desarrollo y operación, en el momento asumido por los coordinadores de proyectos y analistas programadores.

Jefe de RRHH, encargado del manejo de toda la documentación enviada y/o recibida, así como de las relaciones con los proveedores y/o clientes, incluyendo las quejas y/o reclamos de los mismos, en el momento asumido por gestión humana.

Jefe de adquisiciones, encargado de la gestión de activos, salvaguardando el estado completo de los mismos y manteniendo el inventario actualizado, así como la adquisición y devolución de los mismos, en el momento asumido por gestión humana, director comercial y director de proyectos.

Jefe de conformidad legal, encargado de la organización de la seguridad de la información, en lo que respecta a los contactos con las autoridades, así como los términos y condiciones de los empleados y los acuerdos de confidencialidad o de no divulgación, en el momento asumido por gestión humana.

Jefe de Finanzas, encargado de la disposición de los medios y el registro de los hechos económicos, para la generación de informes ante la gerencia, en el momento asumido por gestión humana.

Delegado de gestión de las instalaciones, encargado de la seguridad física y del entorno, así como de la implementación de técnicas para el correcto control de trabajo en áreas seguras.

Jefe de TI, encargado de la correcta administración y funcionamiento de los recursos informáticos de la organización, así como el correcto uso de los mismos, en el momento asumido por el líder de proyectos (soporte).

74

Jefe de I+D, encargado de las políticas de desarrollo seguro y el correcto aseguramiento de la confidencialidad, disponibilidad e integridad de la información, en lo que respecta a las aplicaciones y ambientes de desarrollo, en el momento asumido por los coordinadores de proyectos.

La matriz que define los roles y responsabilidades para la seguridad de la

información en I&S se presenta a continuación:

75

Tabla 23 Matriz RASCI: A5-A9

Fuente: Elaboración Propia, basado en 2012 ISO27k Forum

76



77



78

5. CAPÍTULO V. EVALUACIÓN - AUDITORÍA DE CUMPLIMIENTO

El presente capítulo proporciona el análisis y resultado del proceso de evaluación

de la seguridad de la información basado en el cumplimiento de la norma ISO/IEC

27001:2013, de acuerdo a los avances obtenidos con el Plan de Implementación

del SGSI para la empresa Interfaces y Soluciones S.A.S. La auditoría de

cumplimiento incluye la evaluación de madurez del SGSI a través de los controles

descritos por la norma y los niveles de madurez definidos para la entidad.

5.1. METODOLOGÍA

La auditoría de cumplimiento está realizada bajo la metodología PHVA y el uso de

CMM (Modelo de Capacidad y Madurez). Este modelo facilita el control sobre los

procesos y así el desarrollo y la permanencia de un mejor SGSI.

CMM es un modelo apoyado en la mejora continua de los procesos13. Por

consiguiente, trata la identificación de elementos actuales y deseables en la

organización que permitan evaluar el progreso o no del cumplimiento de los

controles aplicables definidos para la implementación del SGSI. De manera que,

los elementos identificados para el proceso de evaluación de la auditoría de

cumplimiento son:

● Procedimientos Empíricos(PEmp)

● Documentos Formales(DF)

● Procedimientos Estandarizados(PEst)

● Capacitaciones(C)

● Mejora continua(MC)

● Monitoreo(M)

● Herramientas Automatizadas(HA)

A partir de la cantidad de elementos, esfuerzo y el compromiso tanto de la alta

gerencia como de cada uno de los integrantes de la organización se busca fijar

niveles y criterios de madurez.

Los niveles de madurez son progresivos y organizados de acuerdo a su

importancia y prioridad. Los propuestos para el caso de Interfaces y Soluciones

están dados de 0 a 5 y funcionan como una guía para mejorar la calidad del SGSI.

13

(El Modelo de Capacidad de Madurez y su Aplicación en Empresas Mexicana de Software,

2001)

79

Tabla 26 Elementos para Evaluación de Madurez

Procedimientos

Empíricos(PEmp) Documentos

Formales(DF) Procedimientos

Estandarizados(PEst) Capacitaciones(C)

Mejora

continua(MC) Monitoreo(M)

Herramientas

Automatizadas(HA)

0

1 x

2 x x x

3 x x x

4 x x x x x

5 x x x x x x


5.2. EVALUACIÓN DE MADUREZ

Como se ha mencionado a lo largo del documento, la norma guía para el Plan de

Implementación del SGSI (ISO 27001:2013), presenta 14 dominios. Estos

dominios incluyen 35 objetivos de control y 114 controles en total. El objetivo de

esta evaluación de madurez es verificar la aplicabilidad y nivel de implementación

de cada uno de los controles en Interfaces y Soluciones.

Tabla 27 Criterios Evaluación de Madurez

ID Nivel de Madurez Criterios

0 0 - Inexistente No se ha contemplado por parte de la organización que existe un problema por solucionar, por lo tanto, no se realiza el control.

1 1 - Inicial Se identifican problemas en la organización que requieren ser solucionados, sin embargo, no se evidencian procesos estandarizados sino procedimientos empíricos aplicados para cada caso, dichos métodos son desorganizados y no existe documentación formal.

2 2 - Repetible

Se realizan procedimientos rutinarios semejantes en las mismas tareas basadas en procedimientos empíricos y/o estandarizados bajo una documentación formal. No existe capacitación, mostrando un alto grado de confianza en los conocimientos de los empleados, con alta probabilidad de errores.

3 3 - Definido

Se cuenta con procedimientos estandarizados y documentados, notificados por medio de capacitaciones, sin embargo, el seguimiento de los procesos lo realizan los mismos empleados, lo que causa que no se identifiquen desviaciones. Los procedimientos han formalizado las prácticas existentes en la organización.

4 4 - Administrado Se realiza el monitoreo de los procedimientos estandarizados, generando las acciones necesarias en el caso que se identifiquen desviaciones. Las herramientas y la automatización se usan de forma limitada.

5 5 - Optimizado Se han llevado los procesos a la mejor práctica, obteniendo resultados de mejoramiento continuo. Se cuenta con herramientas para la automatización del flujo de trabajo, mejorando así la calidad y rapidez en los procesos de la organización.


80

Los criterios de madurez fijados anteriormente, permiten medir la situación de la

organización con respecto a los controles propuestos.

En la siguiente tabla se presenta un breve fragmento de la evaluación de madurez

realizada a Interfaces y Soluciones tras ultimar tareas del Plan de Implementación

del SGSI. Para mayor detalle dirigirse al “Anexo F. Evaluación de Madurez”

(disponible en el CD, ver pg. 93).

Tabla 28 Evaluación de Madurez (Fragmento) Fuente: Elaboración Propia, basado en AutodiagnosticoSGSI_v2_09072015 - MinTic

CONTROLES ISO/IEC 27001:2013 ID EST

ESTADO EVIDENCIA

A5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACION

A5.1 Orientación de la dirección para la gestión de la seguridad de la información

Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes

A5.1.1 Políticas para la seguridad de la información

Control: Se debe definir un conjunto de políticas para la seguridad de la información, aprobada por la dirección, publicada y comunicada a los empleados y a las partes externas pertinentes.

2 2 - Repetible Documento de PS-SGSI-01

A5.1.2 Revisión de las políticas para la seguridad de la información.

Control: Las políticas para la seguridad de la información se deben revisar a intervalos planificados o si ocurren cambios significativos, para para asegurar su conveniencia, adecuación y eficacia continuas.

1 1 - Inicial Documento de PS-SGSI-01

A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A6.1 Organización interna

Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.

A6.1.1 Roles y responsabilidades para la seguridad de la información

Control: Se deben definir y asignar todas las responsabilidades de la seguridad de la información.

2 2 - Repetible Matriz RASCI

I&S

81

A6.1.2 Separación de deberes

Control: Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los activos de la organización

1 1 - Inicial Matriz RASCI

I&S

A6.1.3 Contacto con las autoridades

Control: Se deben mantener contactos apropiados con las autoridades pertinentes. 0

0 - Inexistente

A6.1.4 Contacto con grupos de interés especial

Control: Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad

1 1 - Inicial

A6.1.5 Seguridad de la información en la gestión de proyectos.

Control: La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto.

2 2 - Repetible

A6.2 Dispositivos móviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles

A6.2.1 Política para dispositivos móviles

Control: Se deben adoptar una política y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles.

2 2 - Repetible Documento de PS-SGSI-01

A6.2.2 Teletrabajo Control: Se deben implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo.

1 1 - Inicial Documento de PS-SGSI-01

Fuente: Elaboración Propia, basado en AutodiagnosticoSGSI_v2_09072015 - MinTic

82

5.3. RESUMEN DE RESULTADOS

Luego de revisar el estado de cada uno de los controles proporcionados por la

NTC ISO 270001:2013 en Interfaces y Soluciones, se evidencio que la empresa se

encuentra en un nivel de madurez “1-Inicial”. Los 114 controles aplicables están

clasificados así:

Figura 20 Gráfico Resultado Evaluación de Madurez


11 en estado Inexistente (9,6%)

67 en estado Inicial(58,8%

16 en estado Repetible (14%)

9 en estado Definido (7,9%)

11 en estado Administrado (9.6%)

La siguiente tabla presenta los resultados de madurez por cada dominio evaluado

de la norma:

Tabla 29 Resultados Evaluación de Madurez

Dominio Controles

Aplicables 0 1 2 3 4 5

A5-Política de seguridad 2 1 1

A6-Organización de la SI 7 1 3 3

A7-Seguridad de los RRHH 6 4 2

A8-Gestión de activos 10 6 2 1 1

A9-Control de accesos 14 8 3 1 2

A10-Criptografía 2 1 1

A11-Seguridad física y ambiental 15 1 12 2

A12-Seguridad en las operaciones 14 1 8 1 2 2

A13-Seguridad en las comunicaciones 7 2 3 1 1

A14-Adquisición de sistemas, desarrollo y

mantenimiento 13 2 2 2 5 2

A15-Relación con proveedores 5 2 3

A16-Gestión de los incidentes de seguridad 7 7

A17-Continuidad del negocio 4 4

A18-Cumplimiento con requerimientos legales y

contractuales 8 2 5 1

Total 114 11 67 16 9 11 0


83

A partir de los datos obtenidos se generó el siguiente gráfico, que permite

observar de forma más clara el estado actual de la organización con respecto a la

aplicación de controles de seguridad de la información.

Figura 21 Evaluación de Madurez Dominios ISO 27001:2013


En los resultados de la evaluación de madurez del SGSI en I&S se destaca que:

● La organización ha dado poca importancia a 11 de los controles de la

norma, puesto que, se confía en una muy baja probabilidad de

materialización de amenazas relacionados con la ausencia de ellos. Estos

se encuentran en el nivel de madurez “0-Inexistente”. Los controles

pertenecientes a esta categoría son:

84

○ A6.1.3 Contacto con las autoridades

○ A11.1.6 Áreas de carga, despacho y acceso público

○ A12.4.4 Sincronización de relojes

○ A13.1.1 Controles de redes

○ A13.1.3 Separación en las redes

○ A14.1.2 Seguridad de servicios de las aplicaciones en redes públicas

○ A14.1.3 Protección de transacciones de los servicios de las

aplicaciones

○ A15.1.2 Tratamiento de la seguridad dentro de los acuerdos con

proveedores

○ A15.1.3 Cadena de suministro de tecnología de información y

comunicación

○ A18.2.2 Cumplimiento con las políticas y normas de seguridad

○ A18.2.3 Revisión del cumplimiento técnico

● En un 90,3% de los controles, pertenecientes a la NTC ISO 27001:2013,

Interfaces y Soluciones ha identificado los problemas y ha empezado a

tomar las medidas correspondientes. Muchas de ellas están aún en una

etapa “1-Inicial” en la que se empieza a tomar conciencia y aplicar

procedimientos empíricos al 58.8% de los controles.

● El Plan de Implementación del SGSI ha permitido fortalecer la seguridad de

la información con la documentación formal y procedimientos

estandarizados de alrededor del 31,5% de los controles.

● La capacitación hace parte del avance en las medidas de seguridad de al

menos el 17,5% de los controles evaluados y sólo el 9,6% cuentan

adicionalmente con supervisión y/o monitoreo de las actividades y en

algunos casos con herramientas que permiten automatizar las tareas de

forma limitada.

● Ninguno de los controles aplican en el nivel de madurez más alto (5 -

Optimizado), lo cual indica, que se carece de herramientas que permitan

automatizar los controles para el Sistema de Gestión de la Seguridad de la

Información.

Aunque, la organización se encuentra en un nivel bajo de madurez, se observa un

avance en varios de los dominios. Puesto que, gran parte del cumplimiento de los

controles para la seguridad de la información eran inexistentes al iniciar el Plan de

implementación del SGSI.

85

La implementación del SGSI es un proceso que requiere bastante tiempo, trabajo

y algunos costos económicos, Sin embargo, beneficia el crecimiento y alcance de

los objetivos de la organización si se gestiona de forma adecuada bajo el ciclo de

mejora continua. Por consiguiente, se sugiere establecer capacitaciones,

monitoreo, automatización de los controles y auditorías internas que permitan

incrementar los niveles de madurez del SGSI.

Además, se aconseja revisar el “Anexo E. Recomendaciones para el SGSI

27001:2013” (disponible en el CD, ver pg. 93), realizado con el propósito de

preparar a I&S para los procesos de evaluación, auditoría, certificación o

acreditación correspondientes a la seguridad de TI.

86

CONCLUSIONES

Al iniciar el Plan de Implementación del SGSI, para la empresa Interfaces

y Soluciones, la identificación de necesidades y requerimientos permitió

evidenciar la preocupación de la gerencia por los temas relacionados con

la seguridad de la información, la carencia de documentos, procedimientos

y guías formales para la correcta gestión de la información y datos de

clientes, empleados, socios comerciales, entre otros.

La Gestión de Riesgos realizada en la compañía estableció las bases

para la mejora continua del SGSI. Por tanto, se identificaron y clasificaron

los activos, se identificaron las amenazas, las vulnerabilidades y se

estimaron los riesgos de acuerdo a criterios de confidencialidad,

disponibilidad, integridad de la seguridad de la información y prioridades

de la organización. Se resalta una alta probabilidad e impacto de la

materialización de amenazas relacionadas con abuso de información

privilegiada y actos no autorizados, ataques internos, ataques externos,

intrusión física y/o robo, errores y omisiones, fallos en el sistema y en el

medio ambiente, mientras no se siga el plan de tratamiento y

recomendaciones realizadas.

De acuerdo al análisis realizado de riesgos y controles proporcionados por

la ISO/IEC 27001:2013 a través de sus 14 dominios, se estableció el plan

de tratamiento de la organización en el que se incluye:

o Definición y comunicación de Políticas de seguridad del SGSI

o Desarrollo, mantenimiento y monitoreo de Bases de Datos para la

Gestión de activos, responsables, riesgos y activos de información

o Adquisición e implementación de extintores, bases de refrigeración

para los portátiles y verificación de las condiciones ambientales de

las áreas con activos críticos de información

o Implementación de herramientas tecnológicas con una adecuada

configuración de firewall, VPN, etc.

o Uso de software para cifrado de información(DiskCryptor), para

backups automatizados (Cobian Backup), para monitoreo de la

red(Wireshark)

o Configuración de Directorios Activos para restringir la instalación de

programas, entre otros.

87

La definición, asignación y comunicación de las responsabilidades tienen

un papel trascendental en el correcto funcionamiento del SGSI; motivo por

el cual, se decidió el uso de la Matriz RASCI (Responsible, Accountable,

Support, Consulted, Informed). Puesto que, esta matriz busca establecer

el compromiso de todos los miembros con la protección de la información,

delimitar las actividades del personal dentro de la organización, alinear los

procesos con estándares, mejores prácticas y contribuye al

establecimiento de directrices de seguridad de la información.

El presente trabajo fija las bases mínimas para la implementación del

SGSI en Interfaces y Soluciones. El proceso está arraigado en la mejora

continua y por tanto, nunca concluye. Sin embargo, es posible preparar a

I&S para la certificación bajo la norma 27001 por medio de capacitaciones,

monitoreo, automatización de los controles y auditorías internas que

permitan incrementar los niveles de madurez del SGSI. Para todo este

proceso, es necesario la participación activa de todos los implicados

(gerentes, personal, clientes, proveedores, etc.) en la seguridad y

tratamiento de la información.

88

RECOMENDACIONES

La evaluación de madurez indica que la organización está avanzando en un

proceso de concientización y tomando las medidas preventivas adecuadas según

sus prioridades. Sin embargo, se recomienda revisar la posibilidad de aplicar las

medidas correspondientes a los controles que aún se encuentran en el nivel “0-

inexistente”. Para dichos controles se sugiere que14:

● Se deben mantener contactos apropiados con las autoridades pertinentes.

● Se deben controlar los puntos de acceso tales como las áreas de despacho

y carga y otros puntos por donde pueden entrar personas no autorizadas y,

si es posible, aislarlos de las instalaciones de procesamiento de información

para evitar el acceso no autorizado.

● Los relojes de todos los sistemas de procesamiento de información

pertinentes dentro de la organización o ámbito de seguridad se deben

sincronizar con una única fuente de referencia de tiempo.

● Las redes se deben gestionar y controlar para proteger la información en

sistemas y aplicaciones.

● Los grupos de servicios de información, usuarios y sistemas de información

se deben separar en las redes.

● La información involucrada en los servicios de las aplicaciones que pasan

sobre redes públicas se debe proteger de actividades fraudulentas, disputas

contractuales y divulgación y modificación no autorizadas.

● La información involucrada en las transacciones de los servicios de las

aplicaciones se debe proteger para evitar la transmisión incompleta, el

enrutamiento errado, la alteración no autorizada de mensajes, la

divulgación no autorizada, y la duplicación o reproducción de mensajes no

autorizada.

● Se deben establecer y acordar todos los requisitos de seguridad de la

información pertinentes con cada proveedor que pueda tener acceso,

procesar, almacenar, comunicar o suministrar componentes de

infraestructura de TI para la información de la organización.

14

Según Guía de seguridad y privacidad de la información nacional.

89

● Los acuerdos con proveedores deben incluir requisitos para tratar los

riesgos de seguridad de la información asociados con la cadena de

suministro de productos y servicios de tecnología de información y

comunicación.

● Los directores deben revisar con regularidad el cumplimiento del

procesamiento y procedimientos de información dentro de su área de

responsabilidad, con las políticas y normas de seguridad apropiadas, y

cualquier otro requisito de seguridad.

● Los sistemas de información se deben revisar periódicamente para

determinar el cumplimiento con las políticas y normas de seguridad de la

información.

Teniendo en cuenta los controles a intervenir por parte de Interfaces y Soluciones,

en especial aquellos que se encuentran en el nivel "0-inexistente", es importante

seguir las recomendaciones básicas, con el fin de preparar a la organización en

los procesos de evaluación, auditoría, certificación y/o acreditación en seguridad

de TI, siempre teniendo en cuenta difundir a los funcionarios de Interfaces y

Soluciones los resultados en los procesos de evaluación, y establecer medidas

con el fin de sostener y mejorar el SGSI, más allá del proceso de implementación,

siempre generando la revisión de las metas propuestas.

90

BIBLIOGRAFÍA

1) Alonso, C. G. M., Gabriel, D. O., Ignacio, A. A., & Elio, S. R. (2014). Procesos Y

Herramientas Para La Seguridad De Redes. Madrid: Editorial UNED.

2) Cisco. (s. f.). ¿Qué es un firewall? - Cisco. Recuperado a partir de

http://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html

3) Corrales, J. D., & Ponce, E. A. (2012). Técnicos de Soporte Informático de la

Comunidad de Castilla Y León. Temario Volumen II Ebook. Sevilla, España:

MAD-Eduforma.

4) Deloitte. (2016). Deloitte 2016 Cyber Risk Information Security Study -

Latinoamérica - Resultados Generales vf.pdf. Recuperado a partir de

https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Deloitte%20

2016%20Cyber%20Risk%20%20Information%20Security%20Study%20-

%20Latinoam%C3%A9rica%20-%20Resultados%20Generales%20vf.pdf

5) Estrada, A. C. (2011). Seguridad por niveles: Seguridad de acuerdo al modelo

de capas TCP/IP. Alejandro Corletti.

6) García, A., Javier, A., Tovar, C., & Patricia, L. (2016). Desarrollo de un Marco

de Trabajo para la Gestión del SGSI en PYMES Desarrolladoras de Software

en Bogotá Basado en la Metodología MGSM-PYME. Recuperado

.edu.co/handle/11349/2807

7) García Romero, Claudia Ivette. (2001). El Modelo de Capacidad de Madurez y

su Aplicación en Empresas Mexicana de Software. Universidad de las

Américas Puebla.

8) Gómez, N. (2010, abril 6). Calidad Y Gestión Empresarial. ISO 9001 e ISO

14001: Control de los registros según ISO 9001:2008. Recuperado a partir de

http://hederaconsultores.blogspot.com.co/2010/04/control-de-los-registros-

segun-iso.html

9) Gutiérrez, P. (2013, enero 3). Tipos de criptografía: simétrica, asimétrica e

hibrida. Recuperado a partir de https://www.genbetadev.com/seguridad-

informatica/tipos-de-criptografia-simetrica-asimetrica-e-hibrida

10) Guzmán García, Alexánder, & Taborda Bedoya, Carlos Alberto. (2015). Diseño

de un sistema de gestión de la seguridad informática – SGSI–, para empresas

del área textil en las ciudades de Itagüí, Medellín y Bogotá D.C., a través de la

auditoría. Recuperado a partir de

http://repository.unad.edu.co/handle/10596/3448

11) Henares, J. S. (2016). Elaboración de un plan de implementación de la

ISO/IEC 27001:2013 en un ayuntamiento. Recuperado a partir de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45704/7/jturhTFM0116

memoria.pdf

91

12) Huerta, A. (2012). Análisis de riesgos con MAGERIT en el ENS (I). Recuperado

a partir de https://www.securityartwork.es/2012/04/24/analisis-de-riesgos-con-

magerit-en-el-ens-i/

13) INEM, E. (s. f.). PHVA y los Sistemas de Gestión de Calidad - Emprendimiento

INEM. Recuperado a partir de

https://sites.google.com/site/emprendimientoinem08/phva-y-los-sistemas-de-

gesti%C3%B3n-de-la-calidad

14) J, A., & Bertolín, J. A. (2008). Seguridad de la información. Redes, Informática

y SI. Editorial Paraninfo.

15) López, P. A. (2010). Seguridad informática. Editex.

16) Luz, E. por S. D. (2011, mayo 12). SFTP y FTPS : Diferencias entre SFTP y

FTPS para la transferencia segura de ficheros. Recuperado a partir de

https://www.redeszone.net/2011/05/12/sftp-y-ftps-diferencias-entre-sftp-y-ftps-

para-la-transferencia-segura-de-ficheros/

17) Ministerio de Hacienda y administraciones Públicas. (2012). Magerit versión

3.0: Metodología de análisis y gestión de riesgos de los Sistemas de

Información. Libro I: Método - file.html. España. Recuperado a partir de

cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html

18) MINTIC. (2016, marzo 14). Controles_Seguridad.pdf. Recuperado a partir de

.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf

19) Moreno, J. Z. (2015). Ciberdiccionario: Conceptos de ciberseguridad en

lenguaje entendible. Javier Zubieta.

20) Oblitas, C. A. C., Cueva, G. A. M., & Martínez, J. A. S. (2016). Desarrollo de un

SGSI para los Colegios Profesionales en la Región Lambayeque. Caso de

estudio: Colegio de Ingenieros. Flumen, 8(2). Recuperado a partir de

.edu.pe/index.php/flumen/article/view/249

21) Pantheanet. (s. f.). Tema 4: Capa de transporte del modelo OSI. Recuperado a

partir de http://pantheanet.blogspot.com.co/2012/01/tema-4-capa-de-

transporte-del-modelo.html

22) Pérez Villa, M. V. F. N. (2017). Reflexiones para implementar un sistema de

gestión de calidad (ISO 9001: 2000) en cooperativas y empresas de economía

solidaria. Bogotá: U. Cooperativa de Colombia.

23) Rasmussen, N., & Standley, B. (2012). Estrategias de enfriamiento para salas

de cableado y otros espacios pequeños. Recuperado .com/salestools/NRAN-

6NDTJM/NRAN-6NDTJM_R1_LS.pdf

24) sbqconsultores. (2013, mayo 2). ISO 27001: ¿Qué beneficios nos aporta

implantarla? Recuperado a partir de http://www.sbqconsultores.es/iso-27001-

que-beneficios-nos-aporta-implantarla/

92

25) Tejada, E. C. (2015). Auditoría de seguridad informática. IFCT0109. Antequera,

Málaga: IC Editorial.

26) UNAD. (2015). Repositorio Institucional UNAD: Diseño de un sistema de

gestión de la seguridad informática – SGSI–, para empresas del área textil en

las ciudades de Itagüí, Medellín y Bogotá D.C., a través de la auditoría.

Recuperado a partir de http://repository.unad.edu.co/handle/10596/3448

27) Universidad de Colima. (s. f.). Las 7 capas del modelo OSI y sus funciones

principales. Recuperado a partir de

http://docente.ucol.mx/al950441/public_html/osi1hec_B.htm

28) Vazquez, E. (2014). 11. Politicas de seguridad y firewall - 605 Redes de

computadoras. Recuperado a partir de

https://sites.google.com/site/605bredesdecomputadoras/home/11-politicas-de-

seguridad-y-firewall

29) Viteri, J. T. M., Valero, M. I. G., Mayorga, J. A. C., Mayorga, I. I. C., & León, Á.

R. E. (2016). Análisis y Evaluación del Riesgo de la Información: Caso de

Estudio Universidad Técnica de Babahoyo. UNIANDES EPISTEME, 3(2, jun).

Recuperado .158.26/ojs/index.php/EPISTEME/article/view/224

30) Watkins, S. (2013). ISO27001:2013 Assessments Without Tears. Reino Unido:

IT Governance Publishing.

93

ANEXOS

Los Anexos desarrollados para el presente Plan de Implementación del SGSI para

la empresa Interfaces y Soluciones corresponden a:

ANEXO A. DIAGNÓSTICO INICIAL

ANEXO B. INFORME DE HALLAZGOS

ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS

ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD

ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013

ANEXO F. EVALUACIÓN DE MADUREZ

A continuación, sólo citaremos una breve descripción de ellos, la documentación

completa se podrá consultar en los anexos disponibles en el CD.

ANEXO A. DIAGNÓSTICO INICIAL

Describe el estado de la Seguridad de la Información (SI) en Interfaces y

Soluciones S.A.S hasta la fecha. El diagnóstico de la SI en la organización es de

los primeros pasos para la realización del plan de implementación del SGSI, de

forma que se evalúa el cumplimiento de cada uno de los catorce dominios

descritos por la norma ISO/IEC 27001:2013.

ANEXO B. INFORME DE HALLAZGOS

Se informa de los hallazgos correspondientes a riesgos y vulnerabilidades que

pueden afectar el buen desempeño del área de Tecnologías de la Información de

la Entidad. Se hace uso de la metodología MAGERIT, para la gestión de riesgos, a

través de la cual se identifican los activos de la organización, las posibles

amenazas y el impacto que puedan ocasionar. Así mismo, se definen los criterios

de clasificación según la probabilidad de ocurrencia e impacto.

ANEXO C. EVALUACIÓN Y TRATAMIENTO DE RIESGOS

Se presenta un resumen detallado de la evaluación y tratamiento de riesgos

realizado a Interfaces y Soluciones, la identificación y priorización de los riesgos y

el tratamiento de los mismos. Teniendo en cuenta los dominios y controles

correspondientes de la norma ISO/IEC 27001:2013 se definen las estrategias y

94

técnicas de tratamiento, junto con el grupo de controles recomendados para cada

uno de los riesgos.

ANEXO D. POLÍTICAS PARA LA GESTIÓN DE LA SEGURIDAD

Se describen formalmente los controles técnicos, responsables y configuraciones

de seguridad adecuados para la protección de los activos de información por

medio de políticas específicas para: Seguridad de la Información, Dispositivos

Móviles y Teletrabajo, Seguridad de los Recursos Humanos, Control de Accesos,

Controles Criptográficos, Seguridad Física y del Entorno, Escritorio y pantalla

limpios, Almacenamiento y respaldo, Transferencia de Información, Desarrollo

Seguro, Seguridad de la Información(S.I) aplicable a proveedores y Gestión de la

continuidad del negocio.

ANEXO E. RECOMENDACIONES PARA EL SGSI 27001:2013

El documento proporciona información relativa a la norma ISO/IEC 27001, los

beneficios que esta trae consigo tras su implementación, las etapas del proceso

de certificación y las recomendaciones básicas a tener en cuenta. Se incluye la

puntualización de controles pendientes a intervenir por Interfaces y Soluciones,

junto con, las sugerencias para preparar a la organización en materia de los

procesos de evaluación, auditoría, certificación o acreditación correspondientes a

la seguridad de TI.

ANEXO F. EVALUACIÓN DE MADUREZ

El documento se presenta en una hoja de cálculo que comprende:

● Definición de los niveles de madurez según los elementos existentes y

deseables en seguridad de la información de la organización.

● Evaluación individual de los 114 controles proporcionados por la norma

ISO/IEC 27001:2013 según los criterios de madurez establecidos.

● Resumen de resultados y gráficos correspondientes.