1

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S

JONATHAN EFREY GUARNIZO ARIAS

EDWARD JONATHAN PRIETO SARMIENTO

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

FACULTAD TECNOLOGICA

INGENIERIA EN TELEMATICA

BOGOTA

2016

2

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA EMPRESA AGILITY S.A.S

JONATHAN EFREY GUARNIZO ARIAS CODIGO: 20142678013

EDWARD JONATHAN PRIETO SARMIENTO CODIGO: 20142678036

DOCENTE:

ING. MIGUEL ANGEL LEGUIZAMON PAEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

FACULTAD TECNOLOGICA

INGENIERIA EN TELEMATICA

BOGOTA

2016

3

AGRADECIMIENTOS

En el presente proyecto primeramente nos gustaría agradecer a DIOS por bendecirnos para llegar hasta donde hemos llegado. A nuestras familias que sin su apoyo en momentos críticos quizás no hubiésemos salido adelante y que gracias a los consejos de nuestros padres a ellos principalmente les damos las gracias ya que sin su apoyo este objetivo no se habría cumplido. Queremos de gran manera agradecer a la UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS por darnos la oportunidad de ser mejores personas. A nuestro director de proyecto, Ing. Miguel Ángel Leguizamón por su esfuerzo y dedicación, por sus conocimientos, su experiencia, su paciencia y su motivación. También nos gustaría agradecer a nuestros profesores durante toda nuestra carrera porque todos han aportado con un granito de arena a nuestra formación. Gracias a nuestros amigos y novias que nos apoyaron a lo largo de nuestra vida universitaria y en el transcurso del desarrollo del proyecto que de nuestra parte siempre tendrán a alguien incondicional. Para todos: Muchas gracias y que Dios los bendiga.

4

RESUMEN Los sistemas de información están expuestos cada vez a un mayor número de amenazas que constituyen un riesgo sobre uno de los activos más críticos y vulnerables de las organizaciones como la información. Asegurar la disponibilidad, la confidencialidad y la conservación de los datos, es un servicio que debe brindar la organización por lo que la gestión de la seguridad de la información debe realizarse mediante un proceso documentado y conocido. Este proyecto describe un diseño metodológico para la implementación de un sistema de seguridad de la información SGSI en el sector de marketing que garantice el nivel de seguridad y permita obtener la certificación. Finalmente, se concluye que la seguridad es un proceso de implantación que exige un cambio cultural y organizativo en las empresas.

5

ABSTRACT

The information systems are exposed every time to a major number of threats that constitute a risk on one of the most critical and vulnerable assets of the organizations, the information. To assure the availability, the confidentiality and the conservation of the information, it is a service that the organization must offer, It is why the management of the safety of the information must be realized by a documented and known process. This project describes a methodological design for the implementation of a safety system of the information SGSI in marketing, which guarantees the safety level and allows to obtain the certification. Finally, one concludes that the safety is a process of implantation that demands a cultural and organizational change in the companies.

6

INTRODUCCION

La continua evolución, crecimiento y sofisticación de la tecnología, al igual que los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad de adoptar medidas y controles que permitan proteger a los activos informáticos de amenazas y así poder garantizar su confidencialidad, integridad y disponibilidad. En Agility S.A.S la información está definida como uno de los activos más valiosos y primordiales, la cual, sólo tiene sentido cuando está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y segura, lo que implica, que es necesario que la organización tenga una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar y controlar el debido acceso, tratamiento y uso de la información. En este sentido, el proyecto pretende hacer un diagnóstico del estado de la seguridad de la información en la empresa Agility, que permita identificar las vulnerabilidades, amenazas y riesgos a las que se encuentran expuestos los activos. De esta manera se hace necesario diseñar un sistema de gestión de seguridad de la información que permita salvaguardar los recursos informáticos, ayudando a cumplir los objetivos corporativos. La gestión para la seguridad debe ser conocida por toda la organización y así garantizar que los riesgos sean identificados, asumidos, gestionados y minimizados de una forma documentada, sistemática, estructurada, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Finalmente, este documento detalla el modelo de gestión de seguridad de la información SGSI, que será parte de la estructura planteada y que se integra al ciclo de vida PHVA y así ser un mecanismo de cumplimiento del modelo que le permita a Agility S.A.S ceñirse a sus políticas, objetivos, controles planteados, y de esta forma, mejorar su nivel de seguridad de la información, para ser una empresa competitiva y al mismo tiempo generar mayor confianza a sus clientes que hacen uso de productos y servicios.

7

CONTENIDO

1. Organización, Definición y Análisis .............................................................................. 12

1.1. Tema ........................................................................................................................ 12

1.2. Titulo ........................................................................................................................ 12

1.3. Objetivos .................................................................................................................. 12

1.3.1. Objetivo General ................................................................................................ 12

1.3.2. Objetivos Específicos ......................................................................................... 12

1.4. Descripción del Problema ......................................................................................... 13

1.5. Formulación Problema ............................................................................................. 13

1.6. Justificación .............................................................................................................. 13

1.7 Marco de Referencia. ................................................................................................ 14

1.7.1 Marco Teórico ..................................................................................................... 14

1.7.1.1 Vulnerabilidad Informática ................................................................................ 14

1.7.1.2 Amenazas Informática ...................................................................................... 15

1.7.1.3 Riesgos Informáticos ........................................................................................ 17

1.7.1.4 Seguridad de la Información ............................................................................. 18

1.7.1.5 SGSI ................................................................................................................ 19

1.7.1.6 Análisis de Riesgos Informáticos ...................................................................... 20

1.7.1.7 Control de Gestión ........................................................................................... 20

1.7.1.8 Mapa Estratégico ............................................................................................. 21

1.7.1.9 Auditoría........................................................................................................... 21

1.7.2 Marco Conceptual ............................................................................................... 22

1.7.3. Marco Legal. ...................................................................................................... 23

1.7.3.1 Ley 1273 de 2009. ........................................................................................... 24

1.7.3.2 La serie ISO 27000. ......................................................................................... 25

1.8 Estado del Arte .......................................................................................................... 25

1.9 Metodología ............................................................................................................... 27

1.10 Alcances y Delimitaciones ...................................................................................... 32

1.10.1. Alcance ............................................................................................................ 32

1.10.2. Delimitaciones .................................................................................................. 32

1.10.2.1. Técnica ......................................................................................................... 32

1.10.2.2. Temporal ....................................................................................................... 32

1.10.2.3. Geográfica .................................................................................................... 32

1.11 Factibilidad .............................................................................................................. 32

8

1.11.1. Factibilidad Técnica ......................................................................................... 32

1.11.2. Factibilidad Operativa....................................................................................... 33

1.11.3. Factibilidad Económica .................................................................................... 34

1.11.4. Factibilidad Legal ............................................................................................. 34

2. Situación Actual de la Empresa Agility S.A.S. .............................................................. 37

2.1 Enfoque Empresarial ................................................................................................. 37

2.2 Seguridad de la Información ...................................................................................... 37

2.3 Diagnóstico Situación Problema. ............................................................................... 37

3. Desarrollo de los objetivos planteados ......................................................................... 40

3.1. Alcance del SGSI. ................................................................................................. 40

3.1.1. Política del SGSI. ............................................................................................... 40

3.1.2. OBJETIVOS DEL SGSI ...................................................................................... 41

3.2. Identificación de los Activos .................................................................................. 41

3.2.1. Valoración de activos ......................................................................................... 45

3.3. Identificación y Valoración de las Vulnerabilidades ............................................... 51

3.4. Caracterización y valoración de las amenazas ...................................................... 56

3.4.1. Frecuencia de Amenazas ................................................................................... 56

3.4.2. Degradación de las Amenazas ........................................................................... 57

3.4.3. Identificación y Valoración de las Amenazas: ..................................................... 57

3.5. Identificación del Riesgo ....................................................................................... 62

3.5.1 Análisis de Riesgos. ............................................................................................ 64

3.5.2. Evaluación de riesgos. ....................................................................................... 67

3.5.3. Tratamiento del riesgo........................................................................................ 68

3.6. Selección de Controles ......................................................................................... 68

3.7. Definición de políticas de seguridad ...................................................................... 76

3.7.1 Política de Asignación de recursos y uso de los mismos ..................................... 76

3.7.2. Política de Seguridad en la Información ............................................................. 77

3.7.3. Política de Mantenimiento e infraestructura ........................................................ 77

3.7.4. Política de la instalación de equipo de cómputo. ................................................ 78

3.7.5. Política de mantenimiento de equipo de cómputo .............................................. 79

3.7.6. Política de la reubicación del equipo de cómputo. .............................................. 79

3.7.7. Política de acceso a áreas críticas. .................................................................... 80

3.7.8. Política de acceso al equipo de cómputo ........................................................... 80

3.7.9. Política de control de acceso local a la red. ........................................................ 81

3.7.10. Política de la adquisición de software. .............................................................. 81

3.7.11. Política de la instalación de software. ............................................................... 82

9

3.7.12. Política de la auditoría de software instalado. .................................................. 83

3.7.13. Política para el software propiedad de la compañía. ........................................ 83

3.9. Procedimientos Según el Sistema de Gestión ....................................................... 85

3.9.1. Procedimiento para verificar que las políticas y controles de seguridad de la

información están siendo aplicados ............................................................................. 85

3.9.2. Procedimiento para capacitar sobre las políticas y controles de seguridad de la

información y sus actualizaciones ................................................................................ 87

3.9.3. Procedimiento para aplicar sanciones por infracción sobre alguna política de

seguridad de la empresa. ............................................................................................. 89

4. Modulo Web………………………………………………………………………………………89

5. CONCLUSIONES………………………………………………………………………………..91

6. RECOMENDACIONES………………………………………………………………………….92

BIBLIOGRAFIA……………………………………………………………………………………...93

10

LISTADO DE FIGURAS

FIGURA 1 FLUJOS DE PHVA ............................................................................................ 28

FIGURA 2 MODELO MAGERIT .......................................................................................... 29

FIGURA 3 MARCO DE TRABAJO PARA LA GESTIÓN DE RIESGOS. ............................. 30

FIGURA 4 CRONOGRAMA DE ACTIVIDADES. ................................................................. 36

FIGURA 5 IDENTIFICACIÓN SITUACIÓN PROBLEMA ..................................................... 38

FIGURA 6 MATRÍZ DE PRIORIZACIÓN. ............................................................................ 65

FIGURA 7 AVG ................................................................................................................... 69

FIGURA 8 LECTOR DE HUELLAS. .................................................................................... 72

FIGURA 9 EXTINTOR. ....................................................................................................... 73

FIGURA 10 FIREWALL. ...................................................................................................... 74

FIGURA 11 DESTRUCTORA DE DOCUMENTOS. ............................................................ 75

11

LISTADO DE TABLAS

TABLA 1. FACTIBILIDAD ECONÓMICA. ............................................................................ 34

TABLA 2. FACTORES EMPRESA. ..................................................................................... 39

TABLA 3. ESCALAS DE VALORACIÓN. ............................................................................ 46

TABLA 4. LISTADO DE MOTIVOS. .................................................................................... 46

TABLA 5. ESCALAS ESTÁNDAR. ...................................................................................... 49

TABLA 6. VALORACIÓN ACTIVOS. ................................................................................... 50

TABLA 7. ESCALAS DE PROBABILIDAD DE EVALUACIÓN. ............................................ 51

TABLA 8. DETECCIÓN DE VULNERABILIDADES DE APLICACIONES INFORMÁTICAS. 52

TABLA 9. DETECCIÓN DE VULNERABILIDADES DE SERVICIOS. .................................. 53

TABLA 10. DETECCIÓN DE VULNERABILIDADES DE COMUNICACIONES. .................. 54

TABLA 11. DETECCIÓN DE VULNERABILIDADES DE EQUIPAMIENTO

INFORMÁTICO. ........................................................................................................... 55

TABLA 12. DETECCIÓN DE VULNERABILIDADES DE PERSONAL. ................................ 56

TABLA 13. FRECUENCIA DE AMENAZAS. ....................................................................... 56

TABLA 14. DEGRADACIÓN DE AMENAZAS. .................................................................... 57

TABLA 15. VALORACIÓN DE AMENAZAS SOBRE APLICACIONES INFORMÁTICAS. ... 58

TABLA 16. VALORACIÓN DE AMENAZAS SOBRE SERVICIOS....................................... 59

TABLA 17. VALORACIÓN DE AMENAZAS SOBRE COMUNICACIONES. ........................ 60

TABLA 18. VALORACIÓN DE AMENAZAS SOBRE EQUIPAMIENTO INFORMÁTICO. .... 61

TABLA 19. VALORACIÓN DE AMENAZAS SOBRE PERSONAL....................................... 62

TABLA 20. IDENTIFICACIÓN DE RIESGOS. ..................................................................... 64

TABLA 21. ANÁLISIS DE RIESGOS. .................................................................................. 66

TABLA 22. CRITERIOS DE EVALUACIÓN DE RIESGO. ................................................... 67

TABLA 23. EVALUACIÓN DE RIESGOS. ........................................................................... 68

12

1. Organización, Definición y Análisis

1.1. Tema

El proyecto se centra en la creación de una propuesta para el diseño de un Sistema

de Gestión de Seguridad de la Información SGSI el cual ofrece la oportunidad de

optimizar las áreas, dentro de la organización, relacionadas con la información que

más le importan a la alta dirección de la empresa.

1.2. Titulo

Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para la

Empresa Agility S.A.S

1.3. Objetivos

1.3.1. Objetivo General

Diseñar un Sistema de Gestión de Seguridad de la Información para la empresa Agility

S.A.S, que busque mejorar la seguridad informática y la protección de la información.

1.3.2. Objetivos Específicos

● Recolectar información sobre las vulnerabilidades, amenazas y riesgos que

permitan conocer el estado actual de la seguridad en la empresa.

● Establecer la política, alcance y objetivos del Sistema de Gestión de Seguridad

de la información.

● Identificar los activos de la información para su clasificación y valoración en el

análisis de riesgo.

● Definir controles, políticas y planes de mejoramiento que permitan mitigar las

causas que originan los riesgos de seguridad que se presentan en la empresa.

● Desarrollar un módulo web para el control y seguimiento del correcto

funcionamiento del SGSI.

13

1.4. Descripción del Problema

Actualmente la empresa Agility S.A.S se desempeña en el campo de publicidad y

mercadeo ofreciendo servicios de Eventos Empresariales, Diseño Gráfico

Corporativo, Material POP, Regalos Empresariales, Papelería Comercial e Impresión

Digital, ha venido experimentando un alto grado de pérdida y alteración de

información propia del negocio debido a la falta de controles, políticas, sistemas de

firewall, antivirus adecuados y actualizados, y en general falta una infraestructura de

protección acorde a las necesidades que tiene la organización, para detectar a tiempo

algunas vulnerabilidades, amenazas y riesgos informáticos que afectan la integridad,

confidencialidad y disponibilidad de los datos.

En consecuencia se pueden encontrar activas las amenazas informáticas, las cuales

son eventualidades que pueden producir un daño sobre los elementos del sistema,

generando costos y pérdidas de tipo parcial o total del negocio, causando un mal

funcionamiento de la empresa. A la vez la falta de información y desconocimiento de

los principios y procedimientos básicos de seguridad son las principales causas de

los inconvenientes que se están presentando, produciendo una vulneración en el

manejo de la información de la compañía, generando resultados como la pérdida de

la confianza de los clientes, de la marca, pérdida de negocio y, en algunos casos

hasta sanciones civiles.

1.5. Formulación Problema

¿Cómo un Sistema de Gestión de Seguridad de la Información permitirá mejorar la

seguridad informática y tratamiento de los riesgos asociados al uso de la información

de la empresa Agility S.A.S?

1.6. Justificación

Los cambios tecnológicos y de negocios que han surgido y que surgirán en la

empresa, requieren el fortalecimiento de la auditoría y la seguridad informática, por lo

tanto se debe invertir en su adecuada protección, para de esta forma estar en

capacidad de garantizar Confidencialidad, Integridad y Disponibilidad.

El diseño de un Sistema de Gestión de Seguridad de la Información demuestra el

compromiso de la organización hacia la Seguridad de la Información y provee los

elementos requeridos para gestionar de manera eficiente los riesgos que puedan

atentar con la seguridad de su información, lo cual genera confianza en sus clientes

que es fundamental para el crecimiento y la sostenibilidad de la entidad.

14

Un SGSI le permitirá a la empresa estar compuesto por una estructura organizacional

con roles y responsabilidades y un conjunto coherente de políticas, procesos y

procedimientos, con el objetivo de forjar, promover y extender una cultura de

seguridad en todos los niveles de la organización y de esta forma gestionar de manera

adecuada la seguridad de su información.

1.7 Marco de Referencia.

1.7.1 Marco Teórico

En la actualidad la información se ha convertido en el activo más valioso de las

empresas, es por esto que se debe implementar estrategias, no solo a nivel lógico,

como la protección de las bases de datos y archivos de gestión, si no que se debe

complementar con la contratación de personal calificado, con alto grado de

pertenencia institucional y ética profesional.

1.7.1.1 Vulnerabilidad Informática

Son las posibilidades del mismo ambiente, en el cual las características proporcionan

y se vuelve susceptible a una potencial amenaza, por lo tanto se puede considerar

como la capacidad de reaccionar ante la presencia de una amenaza o un daño.

Se es vulnerable a cualquier evento, sin importar su naturaleza, sea esta interna o

externa, pero aplicando los controles adecuados es posible minimizar las

posibilidades de que estas se materialicen, por lo tanto los tipos de vulnerabilidades

son:

❖ Vulnerabilidad Física: Es la vulnerabilidad del entorno físico del sistema de

información, equipos de cómputo y servidores, debido a que algún hacker ha

violentado el acceso a la información de manera persuasiva para robar,

modificar o eliminar información confidencial.

❖ Vulnerabilidad Natural: Son las ocasionadas por los desastres o eventos

fortuitos en el medio ambiente, el cual ocasiona daños en los sistemas de

cómputo por medio de los picos eléctricos, inundaciones, terremotos,

temperatura alta y todos aquellos desastres naturales que son ocasionados

por las variaciones atmosféricas y rozamiento de las placas tectónicas.

❖ Vulnerabilidad del hardware y del software

➢ Hardware: Las vulnerabilidades de hardware, hace referencia a las

probabilidades de que las piezas físicas y/o dispositivos presenten fallas

15

por descuido, mal uso o por que se ha dejado desprotegido los equipos

de cómputo sin la seguridad adecuada para su manipulación.

➢ Software: Son conocidas como bugs del sistema o errores del software,

el cual permite acceder a la funcionalidad y aplicación sin mayor

esfuerzo por parte del hacker, ya que conoce el código fuente, tiene un

mal diseño el software o ha encontrado una puerta trasera para

adherirse y conseguir información.

❖ Vulnerabilidad humana: Las vulnerabilidades humanas radican en la falta de

conocimiento sobre los métodos para proteger los datos y el acceso completo

a las configuraciones del sistema informático, sin tener las restricciones

adecuadas para identificar por medio de roles y usuarios el acceso conforme a

la auditoría de cambio en el sistema.

1.7.1.2 Amenazas Informática

Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante

de tiempo, en el cual existe un daño material o inmaterial, sobre los sistemas

de información, por lo tanto se puede clasificar en:

➔ Amenaza criminal: son aquellas acciones en las que intervienen seres

humanos violando las normas y las leyes.

➔ Sucesos de origen físico: son los eventos naturales que se pueden

presentar, o aquellos eventos en los que el ser humano propicia las

condiciones para determinar un hecho físico.

➔ Negligencia: son las omisiones, decisiones o acciones que pueden

presentar algunas personas por desconocimiento, falta de

capacitación y/o abuso de autoridad porque tienen influencia sobre los

sistemas de información, algunos porque no tienen ética para el desarrollo

de la profesión.

Las amenazas a los sistemas de información están latentes cada que se

interactúa con los mismos, desde la utilización de dispositivos de

almacenamiento externos, hasta el ingreso a sitios web, o la inconformidad de

empleados insatisfechos dentro de la misma compañía, por lo tanto los tipos de

amenazas según el efecto causado en el sistema:

16

❖ Intercepción: Es cuando un hacker o grupo de personas, logran ingresar

a los sistemas de información sin autorización para escuchar, visualizar

y copiar archivos confidenciales de las empresas, organizaciones y/o Pymes.

❖ Modificación: Es cuando un hacker o grupo de personas, han logrado ingresar

al sistema de información y además pueden modificar los archivos y/o

líneas de código del software para ocasionar pérdida de información, mal

funcionamiento de los equipos de cómputo o programar cambios en los

contenidos de las bases de datos.

❖ Interrupción: La interrupción se da cuando los sistemas de información

son saturados por medio de inyección SQL, código malicioso, virus, troyanos,

gusanos y todas las aplicaciones que pueden ocasionar entorpecimiento

en el sistema de información para un mal funcionamiento.

❖ Generación: La generación de amenazas se da cuando se añade información

en las bases de datos, registros y programas confidenciales, ocasionando

daños internos y externos en los equipos de cómputo y prestación del servicio,

ya que introduce mensajes no autorizados en cada uno de los comandos,

registros y datos requeridos para un buen funcionamiento.

❖ Amenazas Involuntarias: Las amenazas involuntarias son aquellas

que se producen por desconocimiento sobre las medidas de seguridad

mínimas que se deben tener al manipular cualquier tipo de información,

asimismo los casos más comunes se encuentran en la eliminación de

archivos básicos del sistema sin darse cuenta, dejar la contraseña de

acceso en lugares visibles o simplemente no bloquean el equipo cuando

salen de la oficina o se desplazan a otro lugar por alguna razón.

❖ Amenazas Naturales o Físicas: Las amenazas naturales son aquellas que

se producen por los efectos naturales y cambios ambientales en el entorno,

ocasionando un desastre tales como el polvo, las inundaciones, terremotos,

etc.

❖ Amenazas Intencionadas: Las amenazas intencionadas son aquellas en la

cual un grupo de hackers o una sola persona quiere conocer, modificar,

eliminar y/o robar información para sus fines personales, por lo tanto se puede

clasificar en dos tipos:

➢ Intencionadas internas: Las amenazas intencionadas internas, se

dan por personas que en algún momento trabajaron en la empresa,

Pyme u organización y se quieren vengar porque ya no tienen trabajo,

o se encuentran descontento del trabajo o quieren su propio beneficio

al sacar información confidencial.

17

➢ Intencionadas externas: Las amenazas intencionadas externas, se

dan cuando un grupo de hackers y/o hacker a través de los

conocimientos informáticos, aprovecha las fallas del software o

conexiones de red para ingresar al sistema de manera no autorizada

para obtener la información requerida, o pueden ingresar a las oficinas

sin ser detectados.

1.7.1.3 Riesgos Informáticos

Los riesgos informáticos son problemas potenciales, que pueden afectar a los

sistemas de información u ordenadores, si no se poseen las medidas

adecuadas para salvaguardar los datos, dichos riesgos informáticos se pueden

presentar por las vulnerabilidades y amenazas en cualquier momento, por lo

tanto los riesgos se pueden clasificar en:

❖ Riesgos de integridad: Son aquellos que se relacionan con el acceso,

autorización y procesamiento de las aplicaciones que integran los reportes

de las organizaciones, aplicados en cada uno de sus sistemas de

operaciones como por ejemplo:

➢ Interfaz del usuario

➢ Procesamiento, procesamiento de errores

➢ Interfaz

➢ Administración de cambios

➢ Información

❖ Riesgos de relación: Son aquellos que se relacionan con la toma de

decisiones de manera oportuna a partir de la información recolectada y en

momento preciso, integrada a través de las aplicaciones para tomar

decisiones.

❖ Riesgos de acceso: Son aquellos que por una inadecuada configuración del

sistema, en el cual no se poseen las metodologías apropiadas para

salvaguardar la integridad y confidencialidad de la información, los datos

podrían estar expuestos y son vulnerables a cualquier hacker, dependiendo

del nivel de estructura en el cual se encuentra la seguridad de la

información, de los cuales se pueden mencionar:

➢ Procesos de negocio

➢ Aplicación

➢ Administración de la información

18

➢ Entorno de procesamiento

➢ Redes

➢ Nivel físico

❖ Riesgos de utilidad: Los riesgos de utilidad se enfocan desde 3 sectores, en

primer lugar se tienen los backups y/o planes de contingencia para la

seguridad informática, en segundo lugar se tiene las técnicas para recuperar

el sistema cuando existen caídas de los sistemas operativos y en tercer lugar

los procesos que acompañan las posibles problemáticas debido al entorno

para mitigar o minimizar la ocurrencia del hecho (amenaza y/o vulnerabilidad

informática).

❖ Riesgo de infraestructura: Son aquellos que no poseen una estructura

tecnológica efectiva a la hora de enfrentar alguna eventualidad en sus

sistemas de información, en el cual el software, hardware, personal,

procesos, redes y canales de comunicación son los elementos que soportan

las necesidades de operación, desarrollo, mantenimiento y procesamiento

de la información de una organización, los cuales se deben determinar a

partir de:

➢ Planeación organizacional

➢ Definición de las aplicaciones

➢ Administración de seguridad

➢ Operaciones de red y operaciones computacionales

➢ Administración de sistemas de bases de datos

➢ Información / Negocio

➢ Riesgos de seguridad general

➢ Riesgos de choque de eléctrico

➢ Riesgos de incendio

➢ Riesgos de niveles inadecuados de energía eléctrica

➢ Riesgos de radiaciones

➢ Riesgos mecánicos

1.7.1.4 Seguridad de la Información

La seguridad de la información es un agregado de medidas preventivas, con el fin de

salvaguardar y proteger la información bajo la confidencialidad, disponibilidad

e integridad, en este sentido la información se puede presentar en diferentes

características; no solamente en los medios electrónicos, sino también en los

medios físicos.

19

En consecuencia la información se ha convertido en el activo más valioso para las

compañías, donde se ejecutan metodologías para proteger los registros y mantener

una infraestructura adecuada para la custodia y salvaguardar la información, por

consiguiente la seguridad de la información abre el campo a la auditoría

informática y a muchas áreas afines que apoyan la seguridad de los datos

manteniendo los principios de la seguridad.

❖ Integridad: La integridad garantiza la modificación, manipulación, borrado

y almacenamiento de archivos solo por el personal autorizado de

forma controlada, en este sentido provee metodologías de seguridad por

niveles y logs de auditoría para salvaguardar la información de las

organizaciones, Pymes, empresas y/o compañías. Igualmente el sistema

de información, proporcionara accesos a las configuraciones, conforme a los

roles o privilegios otorgados por los administradores del sistema.

❖ Disponibilidad: Es la capacidad del sistema de información para mantener

el acceso en cualquier instante de tiempo, por lo tanto se controla los

intentos de eliminar archivos o modificar registros, por medio de la

identificación de usuario y clave de acceso.

❖ Confidencialidad: La confidencialidad provee las garantías, para identificar

los usuarios que acceden al sistema de información, identificando la hora y

fecha a través de los controles adecuados.

1.7.1.5 SGSI

Un sistema de gestión de la seguridad informática es el enfoque sistemático,

con el propósito de establecer los mecanismos de gestión, para la

confidencialidad integridad y disponibilidad de la información dentro de un

conjunto de estándares seguros, teniendo como objetivo identificar cada una de las

personas que apoyan los sistemas informáticos a través del proceso de gestión

de riesgos asociados a la compañía. De esta manera se pueden establecer

controles de seguridad de manera adecuada para cada componente y/o elemento

que conforma los activos informáticos tangibles e intangibles.

★ Activos intangibles: Son los bienes inmateriales como:

○ Relaciones inter-empresas

○ Capacitaciones empresariales

○ Habilidades y motivación de los empleados y/o trabajadores

○ Bases de datos, Herramientas tecnológicas

○ Procesos operativos

20

★ Activos tangibles: Son los bienes de naturaleza material, los cuales son

perceptibles a la vista del ser humano, como:

○ Mobiliario, capital

○ Infraestructura y área de terreno

○ Material, elementos de trabajo

○ Equipos informáticos

○ Teléfonos, cableado de red

○ Entre otros.

1.7.1.6 Análisis de Riesgos Informáticos

Es el proceso mediante el cual se identifican los activos informáticos de una

organización o Pyme, la cual permite indagar sobre las posibles

vulnerabilidades y amenazas a las cuales se puede encontrar expuesta una

empresa grande o pequeña, por lo tanto se identifica la probabilidad de

ocurrencia y el impacto de cada una, con el fin de implementar los controles y medidas

preventivas necesarias para aceptar, transferir, evitar, o mitigar el riesgo

identificado. Asimismo se podrá realizar una presunción o estimación del impacto a

través de la matriz de riesgo, con el fin de identificar el riesgo total por medio

de la fórmula:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

1.7.1.7 Control de Gestión

Es el proceso que permite organizar y guiar la gestión de las actividades

empresariales, el cual inicia con el planteamiento de un objetivo para ser

evaluado y medido a través del tiempo. De esta manera se centra en la

verificación constante de cada proceso dentro de la organización, asimismo se podrá

implementar los principios de control, los cuales pueden ser:

● Control por responsabilidades

● Desarrollo económico

● Integración de sistemas informáticos

● Control de excepciones

● Indicadores de gestión

● Medidas de comparación

● Entre otras

21

1.7.1.8 Mapa Estratégico

Un mapa estratégico, es el que determina a través de una ruta de navegación el

camino a seguir durante cada uno de los instantes del tiempo, en el cual se

establecen: a) objetivos estratégicos, b) perspectivas, c) líneas o temas estratégicos

y d) relación de causa efecto (matriz DOFA). Así mismo permite comunicar y

permear a toda la organización los procedimientos, procesos y actividades que

se llevan a cabo para el mejoramiento continuo.

1.7.1.9 Auditoría

La auditoría es la herramienta para diagnosticar el sistema de información de

una empresa y/o Pyme, el cual proporciona metodologías en la toma de

decisiones sobre los sistemas auditados, por lo tanto se debe tener en cuenta que no

todas las empresas manejan y manipulan la información de la misma manera,

esto quiere decir que la auditoría puede diagnosticar y examinar diferentes

aspectos conforme al área a inspeccionar.

❖ Auditoría Interna: Según el Instituto de Auditores Internos (The Institute of

Internal Auditors - IIA), definieron la auditoría interna como “La actividad

independiente y objetiva de aseguramiento y consulta concebida para

agregar valor y mejorar las operaciones de una organización. Ayuda a

una organización a cumplir sus objetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de

riesgos, control y gobierno”

❖ Auditoría Externa: La auditoría externa son los métodos utilizados por

una empresa ajena para examinar sistemáticamente las herramientas que

soportan la gestión de la empresa, como por ejemplo: el sistema de

información administrativo, el sistema de información contable y aquellos

sistemas que soportan algún procedimiento que pueda ser auditado para

determinar la integridad del estado actual de los documentos, expedientes

e información que ocasionó el ingreso de información. Como resultado se

emite un concepto independiente sobre los sistemas de información y se

realizarán sugerencias conforme a los hallazgos y evidencias encontradas, con

el objetivo de:

➢ Dar fe pública sobre el procedimiento desarrollado para examinar

los procesos.

➢ Validar las evidencias ante terceros.

➢ Formular los procedimientos de mejora continua.

22

1.7.2 Marco Conceptual

❖ Activo de información: aquello que es de alta validez y que contiene

información vital de la empresa que debe ser protegida.

❖ Amenaza Informática: Vulnerabilidades que se pueden presentar en un

sistema de información, donde una mala configuración y un mal

funcionamiento del sistema de control pueden denegar o no detectar las

causas potenciales que pueden afectar la infraestructura.

❖ Confidencialidad Informática: Medidas y herramientas que permiten a los

sistemas de información, evitar el acceso de personas no autorizadas, con el

fin de custodiar la información contenida en sus bases de datos.

❖ Disponibilidad Informática: Es la técnica para que los sistemas de

información se puedan recuperar de fallos tecnológicos, con el propósito de

mantener el acceso a las funcionalidades en la gran mayoría del tiempo.

❖ Integridad Informática: Medidas y herramientas que permiten asegurar la

procedencia de la información, los cuales se identifican como datos seguros

porque no se ha producido ninguna modificación o cambio desde su emisión y

es exactamente igual al dato o información original.

❖ Gestión de Incidentes: Conjunto de procesos con el fin de gestionar cada uno

de los incidentes hallados, para recuperar el sistema y minimizar el impacto

negativo en las empresas.

❖ Normas: Conjunto de elementos constituidos por reglas y pautas con el fin de

ser ajustadas a un protocolo o procedimiento establecido por las

organizaciones internacionales que lo rigen, estableciendo un orden de valores

los cuales proporcionan una regulación entre los diversos comportamientos y

estados que se pueden presentar dentro de una organización.

❖ Vulnerabilidad: Debilidad de un activo o grupo de activos de información que

puede ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por

ausencia en controles de seguridad que permite ser explotada.

❖ Riesgo: Representa el potencial de perjuicios que se pueden presentar en una

organización, por la falta de una estrategia de seguridad, asociándose al

peligro o daño de un acontecimiento, a través de la probabilidad de ocurrencia

dentro de un instante de tiempo.

23

❖ Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la

ejecución de ningún control.

❖ Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicación

de medidas de seguridad sobre el activo.

❖ Administración del riesgo: Es la capacidad que tiene la Entidad para

emprender acciones necesarias que le permitan el manejo de los eventos que

puedan afectar negativamente el logro de los objetivos institucionales,

protegerla de los efectos ocasionados por su ocurrencia.

❖ Gestión del riesgo: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo.

❖ Análisis del riesgo: El uso sistemático de información disponible para

determinar con qué frecuencia un determinado evento puede ocurrir y la

magnitud de sus consecuencias.

❖ Control: Medida que modifica el riesgo.

❖ Control Preventivo: aquellos que actúan para eliminar las causas del riesgo

para prevenir su ocurrencia o materialización.

❖ Control Correctivo: Aquellos que permiten el restablecimiento de actividad,

después de ser detectado un evento no deseable; también la modificación de

las acciones que propiciaron su ocurrencia.

❖ Mejora continua: Acción permanente realizada, con el fin de aumentar la

capacidad para cumplir los requisitos y optimizar el desempeño.

1.7.3. Marco Legal.

El uso de herramientas de la Web 2.0 donde existe un intercambio de información

constante permite tener como base la Ley de TIC que constituye el reconocimiento

por parte del Estado que la promoción del acceso, uso y apropiación de las

tecnologías de la información y las comunicaciones, el despliegue y uso eficiente de

la infraestructura, el desarrollo de contenidos y aplicaciones, la protección a los

usuarios, la formación de talento humano en estas tecnologías y su carácter

transversal son pilares para la consolidación de las sociedades de la información y

del conocimiento e impactan en el mejoramiento de la inclusión social y de la

competitividad del país.

24

Con base a esta información el marco de referencia del entorno jurídico de los

servicios de tecnologías en Colombia es:

➔ Constitución Política de Colombia Ley estatutaria No. 1581 del 17 de octubre

de 2012.

➔ Circular 05 del 9 de octubre de 2001.

➔ Dirección Nacional de Derecho de Autor DNDA Ley 23 del 28 de enero de

1982.

➔ Artículo 3 de la Decisión Andina 351 de 1993.

1.7.3.1 Ley 1273 de 2009.

Los tres principios fundamentales de la seguridad son la confidencialidad, la

integridad y la disponibilidad, por lo tanto para preservar estos principios el 5 de enero

de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio

del cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado,

denominado “De la Protección de la información y de los datos” , que pretende

proteger la información, los datos y la preservación integral de los sistemas que

utilicen tecnologías de la información y las comunicaciones.

La ley en su primer capítulo tiene en cuenta los siguientes artículos, que son los más

esenciales y directos con la información:

➔ Acceso abusivo a un sistema informático.

➔ Obstaculización ilegítima de sistema informático o red de telecomunicación.

➔ Interceptación de datos informáticos.

➔ Daño informático.

➔ Uso de software malicioso.

➔ Violación a datos personales.

➔ Suplantación de sitios web para capturar datos personales.

➔ Circunstancias de agravación punitiva.

25

Esta ley es de gran importancia como un apoyo legal para proteger la información de

las organizaciones o personas, ya que no están exentas a estos problemas. Además,

conocer las multas y penas de estas violaciones, posibilitan un mecanismo de

respuesta rápido de las organizaciones o personas para defender su activo más

importante que es la información.

1.7.3.2 La serie ISO 27000.

La ISO 27000 es un conjunto de estándares desarrollados que explican cómo

implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La

implantación de una ISO 27000 en una organización permite proteger la información

de ésta de la forma más fiable posible. Se persiguen 3 objetivos:

1. Preservar la confidencialidad de los datos de la empresa

2. Conservar la integridad de estos datos

3. Hacer que la información protegida se encuentre disponible

A continuación, se relacionan algunas de las normas que están relacionadas con el

proyecto:

ISO 27001: La norma es certificable y contiene los requisitos para la implantación del

Sistema de Gestión de Seguridad de la Información.

ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y

controles recomendables en la seguridad de la información.

ISO 27005: Establece las directrices para la Gestión del riesgo en la seguridad de la

información.

ISO 27034: Es una guía de seguridad en aplicaciones.

1.8 Estado del Arte

Para enfocar la investigación sobre el diseño de un sistema de Gestión de Seguridad

de Información, se tomaron los siguientes proyectos a nivel nacional e internacional,

con el propósito de identificar los avances y los hallazgos encontrados.

Diseño de un sistema de gestión de la seguridad informática para empresas del

área textil en las ciudades de Itagüí, Medellín

En abril de 2015 fue presentado en la facultad de ingeniería de la universidad Nacional

Abierta a Distancia, el trabajo especial de grado por Alexander Guzmán García y

26

Carlos Alberto Taborda Bedoya como requisito para optar por el título de ingeniería

de sistemas y computación. La investigación trata de diseñar un SGSI para el grupo

empresarial la Ofrenda del área textil la cual busca generar una herramienta que le

permita a esta mejora los niveles de seguridad de sus activos de información y

posteriormente lograr la certificación correspondiente a la seguridad de la información.

Este trabajo aporta experiencia en el diseño de un SGSI para el proyecto que se está

realizando, con elementos funcionales que permiten tener un mejor panorama acerca

de este tipo de investigación (Guzmán & Taborda, 2015).

Diseño de un sistema de gestión de seguridad de la información para una

entidad financiera.

En Febrero de 2015 fue presentado en la facultad de especialización del Institución

Universitaria Politécnico Gran-colombiano, el trabajo de grado es de Carlos Alberto

Guzmán Silva como requisito para optar por la Especialización en seguridad de la

información. El proyecto presenta el diseño de un SGSI que permite gestionar la

seguridad de los activos de información que interviene en diferentes procesos

financieros, además sirve como guía para evidenciar la manera de afrontar las

diferentes etapas de un SGSI, las técnicas utilizadas para la identificación de

vulnerabilidades y riesgos, y la manera de definir controles a los diferentes hallazgos

(Silva, 2015).

Planeación y diseño de un sistema de gestión de seguridad de la información,

basado en la norma ISO/IEC 27001 – 27002.

En diciembre de 2013, es presentado en la universidad Politécnica de Perú en la

facultad de ingeniería, el proyecto como trabajo de grado por Buenaño Quintana José

Luis, Granada Luces Marcelo Alfonso, para optar por el título de Ingeniero de

Sistemas. El proyecto se enmarca en el diseño de un SGSI basado en la norma ISO

27000 y enfocado a las necesidades directas de las mismas Universidad, en ella

describe todas las etapas realizadas desde la necesidad puntual de tener un sistema

que mejore la seguridad de la información, hasta los controles aplicables a los riesgos

y vulnerabilidades hallados.

Es un aporte que permite indicar y adentrarse en el manejo y la aplicabilidad de la

norma ISO 27000, como base de diseño de un SGSI, con todas sus recomendaciones

y buenas Prácticas, para obtener a través de los análisis, el más adecuado resultado

con información de los riesgos encontrados y los controles que se pueden aplicar a

estos (Silva, 2015).

27

Implementación de un Sistema de Gestión de Seguridad de la Información, en

el Ecuador

En este artículo se presenta un resumen de la metodología general de

implementación del modelo de gestión de seguridad de información y su certificación

para un proveedor de servicios de telecomunicaciones. Aunque da un amplio espectro

sobre la totalidad de la metodología empleada para alcanzar este logro, se hace un

énfasis particular en las tareas llevadas a cabo para el análisis y evaluación del riesgo,

siendo este un esfuerzo multidisciplinario y bajo un enfoque cualitativo puesto que se

pudo abarcar todos los activos con mayor facilidad. Una de las conclusiones

particulares que este trabajo arrojó, se refiere a las personas como el eslabón más

débil de la cadena recomendando por tanto dentro del análisis y evaluación del riesgo

del SGSI dar el énfasis necesario para considerar este tipo de amenazas (Pincay,

2005).

1.9 Metodología

Ciclo PHVA

La metodología PHVA es un elemento fundamental, ya que proporciona una solución

sistemática de los problemas y mejora de procesos, asegurando la reducción de

costes de la no calidad y manteniendo la eficacia y eficiencia de las organizaciones.

Además, contribuye a generar una sinergia interdepartamental en beneficio de la

satisfacción del cliente, posibilitando la participación de los empleados en los

procesos de transformación. El ciclo PHVA "Es la concepción básica que dinamiza la

relación entre las personas y los procesos y entre los procesos y los resultados".

Dentro del contexto de un sistema de gestión de calidad el PHVA es un ciclo dinámico

que puede desarrollarse dentro de cada proceso de la organización, y en el sistema

de procesos como un todo. Está íntimamente asociado con la planificación,

implementación, control y mejora continua, tanto en la realización del producto como

en otros procesos del sistema de gestión de calidad.

El ciclo de mejora continua PHVA, desarrollado por Shewhart y popularizado por

Deming, es una de las principales herramientas para el mejoramiento continuo de la

calidad dentro de las empresas, el cual consiste en una serie lógica de cuatro pasos

repetidos que se deben llevar a cabo consecutivamente, los cuales se detallan a

continuación:

Planear: Consiste en desarrollar objetivos, establecer los planes de implementación

y definir los métodos que sean necesarios para conseguir resultados de acuerdo con

los requisitos del cliente y las políticas de la organización.

28

En esta fase se debe planificar la gestión de calidad, asegurando la política de calidad,

la definición y cumplimiento de los objetivos de calidad, la asignación de recursos de

acuerdo a un horizonte estratégico que dé prioridad a la competitividad de la empresa.

Hacer: Consiste en hacer las actividades previstas para los procesos según lo

planificado, a partir de la toma de conciencia sobre la importancia de estar enfocados

hacia el cliente y cumplir los requisitos, la asignación de responsabilidades y niveles

de autoridad, la formación y el entrenamiento, la administración de la documentación

y los registros, la gestión efectiva de las comunicaciones internas y externas, y el

control sobre las variables críticas relacionadas con las características críticas de la

calidad de productos y procesos.

Verificar: Consiste en comparar y comprobar los resultados obtenidos con los

esperados, analizando las causas de las desviaciones. Se realiza el seguimiento de

los procesos y los productos respecto a los objetivos, las políticas y los requisitos para

el producto e informar sobre los resultados. Se verifica los resultados contra lo

planeado, considerando el monitoreo y la medición, la auditoría sobre los procesos

del SGC, el control de las no conformidades, el control de las mediciones y el

seguimiento al cumplimiento de los objetivos.

Actuar: Consiste en eliminar las causas de rendimiento insatisfactorio e

institucionalizar los rendimientos óptimos, así como volver a planificar acciones sobre

resultados indeseables todavía existentes. Se mantiene y mejora el desempeño,

mediante el desarrollo de las acciones necesarias para atacar los problemas tanto en

su efecto e impacto, como en su causa o riesgo.

Figura 1. Flujos de PHVA

Fuente: Pérez, P. E. V. & Múnera, F. N. V. Reflexiones para implementar un sistema de gestión de calidad (p.52). Bogotá, Colombia, 2007. Editorial Universidad Cooperativa de Colombia.

29

Para la ejecución de la presente etapa del Hacer del Ciclo de PHVA se selecciona a

Magerit V3 como metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información.

MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información”.

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior

de Administración Electrónica ha elaborado y promueve como respuesta a la

percepción de la Administración (y en general toda la sociedad) depende de forma

creciente de las tecnologías de la información para la consecución de sus objetivos

de servicio. La razón de ser de Magerit está directamente relacionada con la

generalización del uso de los medios electrónicos, informáticos y telemáticos, que

supone unos beneficios evidentes para los ciudadanos; pero también da lugar a

ciertos riesgos que deben minimizarse con medidas de seguridad que generen

confianza en el uso de tales medios. El análisis de riesgos se ha consolidado como

paso necesario para la gestión de la seguridad. Así se recoge claramente en las guías

de la OCDE que, en su principio dice “Evaluación del riesgo. Los participantes deben

llevar a cabo evaluaciones de riesgo”.

Conocer los riesgos al que están sometidos los sistemas de información con los que

se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud

de guías informales para la realización del análisis y gestión de riesgos,

aproximaciones metódicas y herramientas de soporte.

Todas estas guías (informales, metódicas) buscan poder evaluar cuánto de seguros

(o inseguros) están los sistemas de información, para evitar llevarse a engaño. Una

aproximación metódica no dejar lugar a la improvisación, como es el caso de Magerit,

no depende de la arbitrariedad del analista.

Figura 2. Modelo Magerit

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita

Ministerio de Hacienda y Administraciones Públicas

30

Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se

denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la

Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras,

MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de

trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los

riesgos derivados del uso de tecnologías de la información.

Figura 3. Marco de trabajo para la gestión de riesgos.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid, España, octubre de 2012. Edita

Ministerio de Hacienda y Administraciones Públicas

Hay varias aproximaciones al problema de analizar los riesgos soportados por los

sistemas TIC: guías informales, aproximaciones metódicas y herramientas de

soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o

inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas

aproximaciones es la complejidad del problema al que se enfrentan; complejidad en

el sentido de que hay muchos elementos que considerar y que, si no se es riguroso,

las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una

aproximación metódica que no deje lugar a la improvisación, ni dependa de la

arbitrariedad del analista.

Magerit persigue los siguientes objetivos:

31

● Directos:

1. concienciar a los responsables de los sistemas de información de la

existencia de riesgos y de la necesidad de atajarlos a tiempo.

2. ofrecer un método sistemático para analizar tales riesgos.

3. ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.

● Indirectos:

1. preparar a la Organización para procesos de evaluación, auditoría,

certificación o acreditación

A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y

las conclusiones de un proyecto de análisis y gestión de riesgos. También se ha

buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones

de las actividades de análisis y gestión de riesgos:

Modelo de valor: Caracterización del valor que representan los activos para la

Organización así como de las dependencias entre los diferentes activos.

Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.

Declaración de aplicabilidad. Para un conjunto de salvaguardas, se indica sin son de

aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de

sentido.

Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas

existentes en relación al riesgo que afrontan.

Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por

lo que puede pasar tomando en consideración las salvaguardas desplegadas.

Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen

como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las

vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los

que las amenazas podrían materializarse.

Cumplimiento de normativa: Satisfacción de unos requisitos. Declaración de que se

ajusta y es conforme a la normativa correspondiente.

Plan de seguridad: Conjunto de proyectos de seguridad que permiten materializar

las decisiones de tratamiento de riesgos.

32

1.10 Alcances y Delimitaciones

1.10.1. Alcance

El alcance del proyecto abarca el diseño un Sistema de Gestión de Seguridad de la

información para la empresa Agility S.A.S , el cual está orientado a cubrir la primera

fase de la implantación de un Sistema de Gestión de Seguridad de la Información,

que corresponde a la etapa de planeación.

1.10.2. Delimitaciones

1.10.2.1. Técnica

El proyecto no abarca las fases de implementación, mantenimiento y mejora del

Sistema de Gestión de Seguridad de la Información. Se entregará la documentación

para su puesta en marcha y control.

1.10.2.2. Temporal

El desarrollo del SGSI, se ha proyectado a un tiempo de (6) meses, a partir de abril

del 2016.

1.10.2.3. Geográfica

El proyecto se realizará en la ciudad de Bogotá, para la empresa Agility S.A.S.

1.11 Factibilidad

1.11.1. Factibilidad Técnica

Para el presente proyecto se requiere experiencia y conocimientos en los siguientes

temas: SGSI, Gestión de vulnerabilidades y riesgos amenazas y riesgos en una

organización, Normas ISO/IEC 27000 y metodología Magerit. Estos conocimientos

fueron adquiridos durante el proceso de formación profesional como Ingeniero en

Telemática y las asesorías correspondientes se realizarán en conjunto con el jurado

del proyecto y docentes de plantas de la universidad.

33

Para la Realización del proyecto en cuanto a recurso se requiere lo siguiente:

❖ HARDWARE

➢ Portatil Acer E5-411-P74S

➢ Procesador: intel Core i5 5200u

➢ Pantalla: 14" HD,LED, Delgada

➢ Ram: 4GB

➢ Disco Duro: 500GB

➢ LAN: Gigabit Ethernet

➢ Unidad de DVD Super Multi

➢ Puerto HDMI Acer CineCrystal™ LED-backlit

➢ Lector multitarjeta Wireless

➢ Web Cam HD, 802.11 b/g/n

➢ Sistema Operativo: Windows

❖ SOFTWARE

➢ Dominios de Internet y alojamiento WEB

➢ XAMPP para Windows v5.6.23 (PHP 5.6.23)

➢ MySQL Workbench 6.3

➢ Bootstrap Currently v3.3.7

➢ CodeIgniter Version 3.1.0

1.11.2. Factibilidad Operativa

El grupo de desarrollo del proyecto cuenta con el siguiente personal humano:

❖ Estudiantes de la Universidad Distrital Francisco José de Caldas, Ingeniería en

Telemática.

➢ Jonathan Efrey Guarnizo Arias

➢ Edward Jonathan Prieto Sarmiento

❖ Director del proyecto.

➢ Miguel Ángel Leguizamón Páez

❖ Representante de la Empresa.

➢ Danny Javier Díaz

34

1.11.3. Factibilidad Económica

En el estudio de la Factibilidad Económica, se determinó el presupuesto de costos de

los recursos técnicos y materiales tanto para el desarrollo como para la implantación.

Además nos ayudará a realizar el análisis costo-beneficio de nuestro sistema, el

mismo que nos permitirá determinar si es factible a desarrollar económicamente el

proyecto.

A continuación, se describe los costos del recurso necesario para el desarrollo de

nuestro Sistema de Información:

Tabla 1. Factibilidad económica.

Fuente: Autores

1.11.4. Factibilidad Legal

Cuando se piensa en la implementación de un sistema de gestión, en este caso el de

seguridad informática, es necesario y obligatorio tener en cuenta desde el diseño,

que se cumplan todas las leyes, decretos, normas, entre otras que apliquen

durante el desarrollo de las actividades, buscando establecer la manera

adecuada de proteger a las organizaciones y sus activos, sus colaboradores,

a terceros, y a las personas en general de cualquier delito, infracción, proceso,

procedimiento o acto mal ejecutado, que vulnere sus derechos, y ponga en

riesgo su integridad, su buen nombre, sus activos y cualquier otro bien al que

tengan pertenencia.

Durante el diseño del SGSI , se debe tener en cuenta que elementos de

infraestructura hardware y software, políticas, sistemas y metodologías de

gestión del riesgo, procesos, procedimientos, planes de seguridad y demás

elementos serán necesarios para la implementación de SGSI, estos elementos

durante su aplicación o implementación son susceptibles a que se pueda

omitir el cumplimiento de alguna ley, y tener consecuencias sobre la organización

35

o sobre una o más personas en particular, por eso es necesario conocer algunas

leyes, decretos y normas que rigen sobre estos elementos buscando la

protección del bien individual o colectivo, algunas de estas leyes, decretos o normas

son:

❖ “Decreto 1360 de 1989, donde se reglamenta el soporte lógico

(software) en el registro nacional del derecho de autor, considerando al

software como una creación del dominio literario en conformidad a la ley 23 de

1982 sobre derechos de autor”

❖ “Ley 527 de 1999, que establece y reglamenta el acceso y uso de los

mensajes de datos, del comercio electrónico y las firmas digitales, además

de establecer las entidades de certificación y otras disposiciones”

❖ “Decreto 1747 de 2000, que reglamenta parcialmente la ley 527 de 1999,

con lo relacionado a las entidades de certificación, los certificados y las firmas

digitales”

❖ “Resolución 26930 de 2000, la cual fija los estándares para la

autorización y el funcionamiento de las entidades de certificación y sus

auditores”

❖ “Ley estatutaria 1266 de 2008, que establece las disposiciones

generales del hábeas data y regula el manejo de la información que se contiene

en las bases de datos personales, especialmente la financiera, crediticia,

comercial, de servicios y la proveniente de terceros países”

❖ “Ley 1273 de 2009, con la que se modifica el código penal, se crea u

nuevo bien jurídico denominado "de la protección de la información y de los

datos", y se preservan integralmente los sistemas que utilicen las

tecnologías de información y de comunicaciones”

36

1.12 Cronograma de Actividades.

Figura 4. Cronograma de Actividades.

Fuente: Autores

37

2. Situación Actual de la Empresa Agility S.A.S.

2.1 Enfoque Empresarial

Agility S.A.S es una empresa colombiana, constituida por profesionales en Publicidad

y Mercadeo, que ofrece servicios para Eventos Empresariales, Diseño Gráfico

Corporativo, Material POP, Regalos Empresariales, Papelería Comercial, Impresión

Digital.

La empresa cuenta con clientes como Adidas Colombia Ltda., Digicom System

Corporation S.A., Softmanagement S.A., Processa S.A.S, entre otros, con los cuales

ha hecho diferentes campañas publicitarias, eventos y proyectos de marketing,

siempre manteniendo óptimas condiciones de Creatividad, Calidad y Cumplimiento.

2.2 Seguridad de la Información

El estado de la seguridad de la infraestructura tecnológica se encuentra con un nivel

alto de exposición ante ataques informáticos debido a los distintos puntos vulnerables

que tienen sus recursos tecnológicos a causa de la no existencia de un sistema que

apoye la gestión de riesgos de seguridad y la poca concienciación, apropiación y

conocimiento en temas de seguridad por parte de los funcionarios de la empresa,

debido a que en algunos casos no le dan la importancia a la protección de la

información por su intangibilidad, generando la poca efectividad de las acciones que

en materia de seguridad se realicen en la compañía.

Agility S.A.S requiere asegurar sus activos de información con el propósito de

proteger su exactitud y totalidad con el fin de que los mismos solo sean accesibles

por aquellas personas que estén debidamente autorizadas. La empresa no cuenta

con una metodología para la identificación y clasificación de sus activos de

información y para la valoración y tratamiento de riesgos de seguridad de la

información, lo que implica, que no cuenta con una visión global del estado de su

seguridad.

2.3 Diagnóstico Situación Problema.

Con base en el análisis del estado de la seguridad de la compañía y la identificación

de situaciones que de alguna forma afectan su seguridad, la siguiente figura ilustra la

identificación de la situación problema:

38

Figura 5. Identificación Situación Problema

Fuente: Autores

A continuación, se describen los diferentes factores que se presentan en la empresa

y que están asociados a cada una de las situaciones que generan el problema:

39

Situación Factores

No existe una cultura de seguridad de la

información en la Entidad.

• Falta de concienciación y conocimiento

en temas de seguridad por parte de los

empleados.

• No hay prácticas de mejora continua

para seguridad.

• No existe una participación activa de

toda la organización con relación a la

definición de procedimientos adecuados

y a la planeación e identificación de

controles de seguridad basados en una

evaluación de riesgos.

No existe un modelo para la gestión de

riesgos.

•No existe una valoración e identificación

de riesgos de seguridad de los activos de

la información.

•Falta de clasificación de los activos

para poder determinar los controles

necesarios.

•La empresa no cuenta con una visión

global del estado de su seguridad, y por

lo tanto no tiene presente sus

vulnerabilidades.

Falta de políticas y medidas de

seguridad alineadas con los objetivos del

negocio.

•La dirección de tecnología no ha

definido políticas de seguridad.

•No se encuentran separadas las

funciones para la seguridad informática y

seguridad de la información.

Tabla 2. Factores Empresa.

Fuentes: Autores

Con base en las anteriores situaciones, se puede determinar que el problema

corresponde a falta de un Sistema de Gestión de Seguridad de la Información en

Agility S.A.S.

40

3. Desarrollo de los objetivos planteados

Este capítulo corresponde al desarrollo de las diferentes etapas que se definieron

para el diseño del Sistema de Gestión de Seguridad de la Información de la empresa

Agility S.A.S, las cuales contemplan una serie de actividad cuya ejecución permite

alcanzar los objetivos específicos establecidos para el logro del objetivo general del

presente trabajo de grado.

A lo largo de este capítulo, se relaciona los diferentes elementos, datos recolectados

y valoraciones para el desarrollo de cada una de las actividades de las etapas de la

metodología definida para el diseño del SGSI de la empresa Agility.

3.1. Alcance del SGSI.

El alcance del sistema de gestión de la seguridad de la información (SGSI) abarca

el proceso de gestión de riesgos, vulnerabilidades y amenazas asociadas a la

empresa AGILITY S.A.S mediante los respectivos controles y enmarcados en la

política de seguridad para establecer las mejores prácticas.

El Sistema de Gestión de la Seguridad de la información aplica para la sede principal

de la compañía, ubicada en la ciudad de Bogotá, en función de los procesos core del

negocio, activos, tecnología y actividades que se desarrollan en esta sede.

3.1.1. Política del SGSI.

La política del Sistema de Gestión de Seguridad de la información de la empresa

Agility S.A.S estará enfocada en promover el progreso sostenible de su negocio, en

cumplimiento de su misión, visión y objetivo estratégico, y para satisfacer las

necesidades de sus clientes, empleados y accionistas, estableciendo la función de

Seguridad de la Información en la Entidad, con el objetivo de:

❖ Garantizar la continuidad de los servicios y la seguridad de la información.

❖ Fortalecer la cultura de seguridad de la información en los empleados de la

compañía.

❖ Mantener buenas prácticas de seguridad de la información que garantizan la

Disponibilidad, Integridad y Confidencialidad de la información, proporcionando

confianza en los clientes.

41

❖ Cumplir con los requerimientos legales y reglamentarios aplicables a la

empresa y al Sistema de Gestión de Seguridad de la Información.

La política aplica a toda la compañía, sus clientes, proveedores y terceros, con el fin

de lograr establecer una adecuada seguridad de la información encaminada a que

todos los recursos relacionados con el manejo de la información sean cuidados y

aprovechados de la manera más eficiente, por todos los empleados, con niveles de

seguridad acordes a los recursos tecnológicos, a los requisitos legales y a las

obligaciones de seguridad contractuales.

3.1.2. OBJETIVOS DEL SGSI

El objetivo principal del Sistema de gestión de seguridad de la información es

mantener un ambiente razonablemente seguro que permita proteger los activos de

información que componen las líneas de negocio de Agility para asegurar credibilidad

y confianza en los clientes y en general todo el equipo de trabajo.

Como objetivos estratégicos del Modelo SGSI se plantean los siguientes:

● Mantener la integridad de la información de la organización, teniendo en cuenta

los requisitos de seguridad aplicables y los resultados de la valoración y el

tratamiento de los riesgos identificados.

● Asegurar que la información de AGILITY S.A.S esté disponible para los

usuarios autorizados y procesos en el momento en que así lo requieran.

● Proteger los recursos de la empresa del uso indebido del personal durante el

desempeño de sus funciones.

● Garantizar el acceso a la información de AGILITY S.A.S de acuerdo con los

niveles de la organización y criterios de seguridad que establezca la empresa.

● Cuidar la información transmitida o almacenada dentro de la empresa contra

pérdida o modificación, mediante mecanismos para prevenir que usuarios y

atacantes manipulen la información.

3.2. Identificación de los Activos

Se denominan activos a los recursos vitales de la empresa AGILITY S.A.S, los cuales

son necesarios para que la Organización funcione correctamente y alcance los

objetivos propuestos por su dirección.

42

El activo esencial es la información que maneja la empresa; o sea los datos. Y

alrededor de estos datos se pueden identificar otros activos relevantes:

● Bases de datos

● Servidores

● Switches

● Routers

● Información de clientes

● Clientes

● Equipos de cómputo (PC’S)

● Aplicaciones

● Recurso Humano

● Capital Financiero

● Imagen empresarial

● Sistemas periféricos.

● Cableado estructurado

● Software (Programas ofimática, Sistemas operativos, etc.)

Los datos y la información es lo que se pretende proteger en última instancia, es por

esto que la información merece ser un poco más detallada para su conocimiento e

identificación dentro de la organización.

Datos/ Información

● Datos de carácter personal

● De interés comercial

● Administración pública

● Administración interna

● De Configuración

● Código Fuente

● Registros

● Datos de prueba

Los datos pueden ser de varios tipos según la clasificación de confidencialidad la cual

sea otorgada:

● Secretos

● Reservados

● Confidenciales

● Sin clasificar

43

Activos de AGILITY S.A.S

➢ Servicios: Los servicios son activos importantes porque contribuyen a un aumento

en ingresos o utilidades por medio de su empleo en el ente económico, a la vez

brindan ventajas de competencia.

Implementación.

Capacitación.

Bases de conocimiento (Comunidad).

Asesorías.

BPO outsourcing.

➢ Información: La información es el activo más valioso e importante para la empresa

porque es la base para la toma de decisiones y definición de nuevas estrategias de

negocios.

Información de clientes.

Información propietaria.

Información del personal.

Información en inteligencia de negocios.

➢ Aplicaciones: Las aplicaciones son activos importantes para la empresa porque

hacen parte del core del negocio y son mediante las cuales se manejan los procesos

de la organización.

Toodledo: Es una aplicación web que permite organizar las listas de tareas por

prioridad y favoritas, con la flexibilidad de organización (por carpetas,

subcarpetas, etiquetas, contextos), posibilidad de aplicar un tiempo estimado

que llevará a finalizar la tarea, añadir notas en cualquier momento y posibilidad

de compartirlas con amigos o compañeros de trabajo y acceder a ellas desde

dispositivos móviles.

Expensify: Es una aplicación web, en la que se puede agregar gatos y revisar

en una lista los registros que se han hecho. De igual modo, se podrán clasificar

y generar reportes con todos los gastos. Así, estos se sumarán automáticamente

y la aplicación mostrará totales por cada categoría.

Evernote: Es una aplicación informática cuyo objetivo es la organización de

información personal mediante el archivo de notas. Para la versión de

empresas se potencia el uso compartido tanto de libros, de notas como de

documentación corporativa y pueden tenerse también carpetas privadas para

la información o notas que así quieran mantenerse.

44

CloudOn: Es una completa suite de ofimática en la nube, sincronizada con los

principales servicios de almacenamiento en nube como Dropbox, Box y Google

Drive. Con esta aplicación se puede crear y reproducir archivos de Word,

Excel, PowerPoint, así como pdf e imágenes.

World Office: Es un programa integrado que trabaja en ambiente Windows

multiusuario para el manejo de la información contable y financiera de la

empresa, con una sencilla interfaz que permite sacar el mejor provecho de sus

múltiples funciones para mostrar la información de manera sencilla y agradable

por medio de gráficos.

Suite de Microsoft office: Es una suite ofimática que abarca el mercado

completo en Internet e interrelaciona aplicaciones de escritorio, servidores y

servicios para los sistemas operativos Microsoft Windows y Mac OS X.

➢ Software Base: El software base es un activo valioso para la empresa porque es

el medio del funcionamiento correcto de las aplicaciones y equipos de la organización.

Microsoft SQL Server: Es un sistema de administración y análisis de bases de

datos relacionales de Microsoft para soluciones de comercio electrónico, línea

de negocio y almacenamiento de datos.

Sistema operativo (Windows 10 Pro): Es el último sistema

operativo desarrollado por Microsoft como parte de la familia de sistemas

operativos Windows NT, con un enfoque en la armonización de experiencias

de usuario y funcionalidad entre diferentes tipos de dispositivos.

➢ Equipamientos: Los equipamientos son activos valiosos e importantes para la

empresa porque se utilizan para el funcionamiento correcto de la operación diaria de

la compañía.

Servidor de Datos.

Servidor Web.

Servidor de ficheros.

Impresoras.

Computadoras.

Switches.

Red de área local (LAN).

Firewall.

Sistema de alimentación.

Sistema de alimentación cuarto de servidores.

Sistema de climatización.

Periféricos (Cámaras, Huellero).

45

3.2.1. Valoración de activos

Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que

se averiguo en la empresa Agility S.AS para poderlos proteger de las distintas

incidencias a las que estuvieran expuestos los activos.

Cada activo tiene una valoración distinta en la empresa Agility, puesto que cada uno

cumple una función diferente, La metodología Magerit contempla dos tipos de

valoraciones, cualitativa y cuantitativa. La primera hace referencia al de calcular un

valor a través de una escala cualitativa donde se valora el activo de acuerdo al

impacto que puede causar en la empresa su daño o pérdida y la segunda hace

referencia a una cantidad numérica.

A la vez se utilizan unas dimensiones que son las características o atributos que

hacen valioso un activo, con el fin de valorar las consecuencias de la materialización

de una amenaza. La valoración que recibe un activo en cierta dimensión es la

medida del perjuicio para la organización si el activo se ve dañado con respecto a

dicho aspecto, Las dimensiones que se van a valorar para AGILITY S.A.S son las

siguientes:

❖ Disponibilidad [D]. - Disposición de los servicios a ser usados cuando

sea necesario. La carencia de disponibilidad supone una interrupción del

servicio. La disponibilidad afecta directamente a la productividad de las

organizaciones.

❖ Integridad [I].- Mantenimiento de las características de completitud y

corrección de los datos. Contra la integridad, la información puede

aparecer manipulada, corrupta o incompleta. La integridad afecta

directamente al correcto desempeño de las funciones de una Organización.

❖ Confidencialidad [C].- Que la información llegue solamente a las

personas autorizadas. Contra la confidencialidad o secreto pueden darse

fugas y filtraciones de información, así como accesos no

autorizados. La confidencialidad es una propiedad de difícil recuperación,

pudiendo minar la confianza de los demás en la organización que

no es diligente en el mantenimiento del secreto, y pudiendo suponer el

incumplimiento de leyes y compromisos contractuales relativos a la custodia

de los datos.

En la empresa AGILITY S.A.S se ha elegido emplear una escala detallada de diez

valores, dejando el valor 0 como determinante de lo que sería un valor despreciable

(a efectos de riesgo):

46

VALOR CRITERIO

10 Muy Alto Daño muy grave a la organización.

7 a 9 Alto Daño grave a la organización.

4 a 6 Medio Daño importante a la organización.

1 a 3 Bajo Daño menor a la organización.

0 Ninguno Irrelevante a efectos prácticos.

Tabla 3. Escalas de valoración.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis

y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

Las siguientes tablas permiten valorar con más detalle de forma homogénea los

activos cuyo valor es importante por diferentes motivos.

Sigla Nombre

olm Operaciones

si Seguridad

lpo Obligaciones legales

cei Intereses comerciales o económicos

da Interrupción del servicio

adm Administración y gestión

lg Pérdida de confianza (reputación)

lbl Información clasificada

pi Información de carácter personal

Tabla 4. Listado de Motivos.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis

y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

47

VALOR CRITERIO

10

Olm Probablemente cause un daño excepcionalmente serio a la

eficacia o seguridad de la misión operativa o logística.

Si

Probablemente sea causa de un incidente

excepcionalmente serio de seguridad o dificulte la

investigación de incidentes excepcionalmente serios.

9

Si Probablemente sea causa de un serio incidente de

seguridad o dificulte la investigación de incidentes serios.

cei.a Causa de muy significativas ganancias o ventajas para

individuos u organizaciones.

da Probablemente cause una interrupción excepcionalmente

seria de las actividades propias de la Organización.

olm Probablemente cause un daño serio a la eficacia o

seguridad de la misión operativa o logística.

adm Probablemente impediría seriamente la operación efectiva

de la Organización, pudiendo llegar a su cierre.

lg.a Probablemente causaría una publicidad negativa

generalizada por afectar de forma excepcionalmente grave

a las relaciones a las relaciones con otras organizaciones.

lg.b Probablemente causaría una publicidad negativa

generalizada por afectar de forma excepcionalmente grave

a las relaciones a las relaciones con el público en general.

8 lbl Datos clasificados como confidenciales.

7

lpo Probablemente cause un incumplimiento grave de una ley

o regulación.

si Probablemente sea causa de un grave incidente de

seguridad o dificulte la investigación de incidentes graves.

cei.a Causa de graves pérdidas económicas.

da

Probablemente cause una interrupción seria de las

actividades propias de la Organización con un impacto

significativo en otras organizaciones.

48

olm Probablemente perjudique la eficacia o seguridad de la

misión operativa o logística.

adm Probablemente impediría la operación efectiva de la

Organización.

lg.a Probablemente causaría una publicidad negativa

generalizada por afectar gravemente a las relaciones con

otras organizaciones.

lg.b Probablemente causaría una publicidad negativa

generalizada por afectar gravemente a las relaciones con

el público en general.

6

pi.a Probablemente afecte gravemente a un grupo de

individuos.

pi.b Probablemente quebrante seriamente la ley o algún

reglamento de protección de información personal.

5

pi.a Probablemente afecta gravemente a un individuo.

da.a Probablemente cause la interrupción de actividades

propias de la Organización con impacto en otras

organizaciones.

da.b Probablemente cause un cierto impacto en otras

organizaciones.

adm Probablemente impediría la operación efectiva de más de

una parte de la Organización.

lg.a Probablemente sea causa una cierta publicidad negativa

por afectar negativamente a las relaciones con el público.

4

pi.a Probablemente afecte a un grupo de individuos.

pi.b Probablemente quebrante leyes o regulaciones.

3

cei.a Causa de pérdidas financieras o merma de ingresos.

da Probablemente cause la interrupción de actividades

propias de la Organización.

olm Probablemente merme la eficacia o seguridad de la misión

operativa o logística (alcance local).

49

adm Probablemente impediría la operación efectiva de una

parte de la Organización.

Lg Probablemente afecte negativamente a las relaciones

internas o externas de la Organización.

2

pi.a Pudiera causar molestias a un individuo.

pi.b Pudiera quebrantar de forma leve leyes o regulaciones.

cei.a De bajo interés para la competencia.

lg Probablemente cause una pérdida menor de la confianza

dentro de la Organización.

1

si Pudiera causar una merma en la seguridad o dificultar la

investigación de un incidente.

da Pudiera causar la interrupción de actividades propias de la

Organización.

olm Pudiera mermar la eficacia o seguridad de la misión

operativa o logística (alcance local).

lg Pudiera causar una pérdida menor de la confianza dentro

de la Organización.

Tabla 5. Escalas Estándar.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis

y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

La valoración de los activos identificados de la empresa AGILITY S.A.S se encuentra

en la siguiente tabla:

ACTIVO

Disponibilidad

Integridad

Confidencialidad

Valor Criterio Valor Criterio Valor Criterio

Capacitación de

usuarios.

2 [pi.b]

2 [lg] 2 [lg]

Bases de Datos. 7 [da],[si] 6 [pi.b] 8 [lbl]

50

Asesorías. 2 [pi.a] 3 [cei.a],[adm] 3 [lg]

BPO Outsourcing. 3 [da] 3 [cei.a] 2 [lg]

Información de clientes. 7 [adm],[da] 8 [lbl] 9 [lg.b]

Información propietaria. 7 [da],[adm] 7 [lpo] 8 [lbl]

Información del personal 7 [adm,[da 7 [lpo 8 [lbl]

Información inteligencia

de negocios.

7 [da],[adm] 9 [olm] 8 [lbl]

Código Fuente. 9 [cei.a],[da] 9 [si],[olm] 8 [lbl]

Microsoft SQL Server. 9 [da] 9 [si] 8 [lbl]

Sistema Operativo. 9 [adm,[da] 4 [pi.a] 2 [lg]

Servidor de Datos. 9 [da],[olm] 9 [si] 8 [lbl]

Servidor Web. 9 [olm] 9 [si] 8 [lbl]

Servidor de ficheros. 6 [pi.a] 6 [pi.b] 5 [da.b],[lg.a]

Impresoras. 3 [da] 2 [pi.a] 3 [olm]

Computadoras. 9 [adm],[da] 4 [pi.a] 5 [da.a],[pi.a]

Switches. 7 [adm] 7 [si] 7 [lg.b]

Red de área local. 9 [da] 7 [olm] 8 [lbl]

Sistema de alimentación 9 [da] 7 [olm] 8 [lbl]

Sistema de alimentación

cuarto de servidores

9 [da] 7 [si] 8 [lbl]

Toodledo 9 [da] 7 [olm],[cei.a] 8 [lbl]

Expensify 9 [da] 7 [cei.a],[olm] 7 [lg.a]

Evernote 9 [da] 7 [olm],[cei.a] 8 [lbl]

CloudOn 9 [adm] 7 [olm],[cei.a] 8 [lbl]

World Office 9 [adm] 7 [olm] 8 [lbl]

Suite de microsoft office 9 [adm] 7 [olm] 8 [lbl]

Tabla 6. Valoración Activos.

Fuente: Autores

51

Los activos con mayor valor en la valoración de los activos son de vital importancia

dentro del enfoque de negocio y son los pilares para llevar a cabo el objetivo de

negocio de la empresa AGILITY S.A.S.

3.3. Identificación y Valoración de las Vulnerabilidades

El objetivo de este punto es determinar las debilidades de los activos que pueden ser

explotados por amenazas. Es necesario conocer de forma detallada las debilidades y

medidas de protección, que pueden facilitar el éxito a las amenazas potenciales.

Probabilidad de

ocurrencia

Descripción Valor

Muy Frecuente

(MF)

A diario 75% - ­100% Critico

Frecuente (F) Una vez al mes 50% - ­75% Alto

Frecuencia Normal

(FN)

Una vez al año 25% - ­50% Medio

Poco Frecuente

(PF)

Cada varios Años 0 - ­25% Bajo

Tabla 7. Escalas de Probabilidad de Evaluación.

Fuente: Medina Javier. Evaluación de vulnerabilidades. Laderas del Campillo, Murcia, Julio 2014.

Editorial sg6.es.

Al igual que los activos las vulnerabilidades deben valorarse y priorizarse,

en donde se describe claramente los criterios y la frecuencia de ocurrencia, a

continuación, se agrupan las vulnerabilidades de acuerdo a algunas características

de AGILITY S.A.S.

❖ Vulnerabilidades de Aplicaciones Informáticas

Las vulnerabilidades detectadas que se presentan en este grupo son la extracción de

información y la manipulación inadecuada de los datos.

52

Vulnerabilidad Probabilidad de

Ocurrencia

Valoración de la

Vulnerabilidad

Exposición al público de

documentos o datos

FN Medio

Falla en los datos respaldados. PF Bajo

Corrupción de datos. FN Medio

Almacenamiento inadecuado o

impropio.

F Alto

Exposición a intercepción

visual auditiva o

electromagnética.

PF Bajo

Control de acceso inadecuado. MF Critico

Capacitación inadecuada. F Alto

Falta en tiempo de

sincronización.

F Alto

Control de configuración

inadecuado.

MF Critico

Conexión de equipo no

autorizado.

MF Critico

Tabla 8. Detección de vulnerabilidades de Aplicaciones Informáticas.

Fuente: Autores

❖ Vulnerabilidades de Servicios

Las vulnerabilidades detectadas en este grupo van con el uso, mantenimiento y

administración de los servicios.

Vulnerabilidad Probabilidad de

Ocurrencia

Valoración

Interface de usuario

inadecuada o complicada.

PF Bajo

Control de acceso

inadecuado.

FN Medio

53

Control inadecuado de

versión.

PF Bajo

Uso impropio y no

controlado.

FN Medio

Contraseñas no protegidas. F Alto

Administración periódica de

contraseña.

FN Medio

Incompatibilidad Software. PF Bajo

Falta de documentación. F Alto

Falta de protección contra

virus y código malicioso.

FN Medio

Administración de

configuración inadecuada.

FN Medio

Tabla 9. Detección de vulnerabilidades de Servicios.

Fuente: Autores

❖ Vulnerabilidades de Comunicaciones

Las vulnerabilidades relacionadas en este grupo tienen que ver con el sistema de

comunicación.

Vulnerabilidad Probabilidad de

Ocurrencia

Valoración

Líneas de comunicación no

protegidas.

PF Bajo

Uniones de cables y conexiones

deficientes.

FN Medio

Transferencia de información de

forma inadecuada.

MF Critico

Accesos no controlados. FN Medio

Protección inadecuada de

tráfico.

MF Critico

54

Administración de red

inadecuada.

PF Bajo

Protección inadecuada para

acceso público.

FN Medio

Comunicaciones inadecuadas

para móviles.

FN Medio

Capacidad inadecuada de red. PF Bajo

Tabla 10. Detección de vulnerabilidades de Comunicaciones.

Fuente: Autores

❖ Vulnerabilidades de Equipamiento Informático

Las vulnerabilidades ligadas a este grupo son todas aquellas relacionadas a la

infraestructura y el medio ambiente que rodea al sistema

Vulnerabilidad Probabilidad de Ocurrencia Valoración

Protección física

inadecuada.

FN Medio

Protección física

inadecuada de los equipos

tecnológicos.

FN Medio

Control de acceso

inadecuado a la

infraestructura.

PF Bajo

Control de acceso

inadecuado de los equipos

tecnológicos.

PF Bajo

Abastecimiento de energía

eléctrica inestable.

FN Medio

Desastres naturales. PF Bajo

Desastre provocado por el

hombre.

FN Medio

Monitoreo de medidas de

seguridad.

FN Medio

55

Mantenimiento a la

infraestructura.

PF Bajo

Inadecuada prevención

contra incendio/detección.

PF Bajo

Disponibilidad de Servicios

de Topografía.

FN Medio

Disponibilidad de red

topográfica.

FN Medio

Capacidad adecuada del

suministro eléctrico.

FN Medio

Tabla 11. Detección de vulnerabilidades de equipamiento informático.

Fuente: Autores

❖ Vulnerabilidades de Personal

Las vulnerabilidades identificadas en este grupo son todas aquellas ligadas al

personal que trabaja en AGILITY S.A.S.

Vulnerabilidad Probabilidad de Ocurrencia Valoración

Ausentismo personal

insuficiente.

PF Bajo

Control inadecuado de

reclutamiento.

FN Medio

Falta de conciencia de

seguridad.

FN Medio

Falta de capacitación de

trabajo.

PF Medio

Falta de mecanismos de

monitoreo.

FN Medio

Falta de políticas,

normas, procedimientos.

F Alto

Falta de los deberes por

circunstancias

personales.

FN Medio

56

Falta de delegación,

participación y sucesión

PF Bajo

Empleados molestos. FN Medio

Manipulación de usuarios

legítimos.

PF Bajo

Falta de capacitación

específica, para

trabajadores.

FN Medio

Tabla 12. Detección de vulnerabilidades de Personal.

Fuente: Autores

3.4. Caracterización y valoración de las amenazas

El objetivo de este punto es determinar la degradación del activo; proceso que

consiste en evaluar el valor que pierde el activo (en porcentaje) en caso que se

materialice una amenaza. Para el desarrollo fue necesario tener presente los rangos

dados en los siguientes cuadros tanto de frecuencia como de degradación.

3.4.1. Frecuencia de Amenazas

Valor Frecuencia Abreviatura Criterio

4 Muy Frecuente MF A diario

3 Frecuente F Mensualmente

2 Normal FN Una vez al año

1 Poco Frecuente PF Cada varios años

Tabla 13. Frecuencia de Amenazas.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis

y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

57

3.4.2. Degradación de las Amenazas

Valor Criterio Abreviación

100% Degradación MUY ALTA del activo MA

80% Degradación ALTA considerable del activo A

50% Degradación MEDIANA del activo M

10% Degradación BAJA del activo B

1% Degradación MUY BAJA del activo MB

Tabla 14. Degradación de Amenazas.

Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis

y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid,

España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones Públicas

3.4.3. Identificación y Valoración de las Amenazas:

Tipo: Aplicaciones Informáticas

➢ A.1 Errores de los usuarios: Se considera que este tipo de amenaza llegue a

presentarse frecuentemente debido a que los usuarios o personal nuevo no es

capacitado adecuadamente en el uso de los activos “aplicaciones informáticas”

y su degradación es considerada de muy alto impacto en la dimensión de

Disponibilidad porque dichos activos están directamente relacionados con los

servicios y el modelo de negocio de la empresa Agility; en caso de

materializarse esta amenaza se tendrá una paralización de casi el 90% de los

servicios.

➢ A.2 Errores del administrador: Se da un valor Alto, ya que si llegase a presentar

un error por parte del administrador, la disponibilidad de las aplicaciones y

servicios se verá seriamente afectada y debido a que el personal encargado

de la administración de estos servidores es altamente calificado; la

probabilidad de ocurrencia es Poco Frecuente.

➢ A.3 Errores de configuración: Se valora como de Alta degradación porque

debido a una mala configuración en las aplicaciones informáticas llevaría a

ataques como intrusión, denegación de servicios, robo de información, etc.

➢ A.4 Escapes de información: Se considera que la afectación sería Alta para la

dimensión de Confidencialidad, ya que si hay escape de información esta

58

puede ser modificada o usada para beneficios propios llevando a pérdida de

confianza empresarial.

➢ A.5 Destrucción de información: Dado el caso de llegarse a presentar esta

amenaza las dimensiones más afectadas son la Disponibilidad y la

Confidencialidad, porque las aplicaciones informáticas guardan toda la

información que se maneja a diario dentro de los procesos de la empresa.

➢ A.6 Acceso no autorizado: La dimensión que afecta directamente es la

Disponibilidad y se considera muy alta porque al presentarse una intrusión

desencadenaría la materialización de las amenazas [A.4], [A.5] y [A.7] entre

otras.

➢ A.7 Modificación de la información: Afectará directamente la dimensión de

integridad en un nivel muy alto, porque de presentarse ataques de modificación

de información se van a ver alterados los datos almacenados en los activos,

causando un caos informático y arrojando datos erróneos a la hora de las

consultas y transacciones en cada uno de los procesos normalizados dentro

de las labores diarias.

Amenaza Frecuencia Degradación

[A.1] Errores de los usuarios F MA

[A.2] Errores del administrador FN A

[A.3] Errores de configuración FN A

[A.4] Escapes de información PF A

[A.5] Destrucción de información PF MA

[A.6] Acceso no autorizado FN MA

[A.7] Modificación de la información PF MA

Tabla 15. Valoración de Amenazas sobre Aplicaciones Informáticas.

Fuente: Autores

Tipo: Servicios.

➢ A.8 Suplantación de la identidad del usuario: Este es quizá una de las mayores

amenazas visibles dentro de la empresa debido a que no se han implementado

normativas para el uso de contraseñas fuertes para el acceso a los equipos y

servicios, por lo que se puede presentar con mucha frecuencia.

59

➢ A.9 Difusión de Software dañino: Esta amenaza es considerada de alto grado

de degradación y que pudiese presentar en un nivel de frecuencia normal ; con

afectación directa a la disponibilidad; debido a la gran cantidad de equipos de

cómputo que están destinados para los empleados y por la falta de

concientización que hay sobre el uso de software licenciado.

➢ A.10 Denegación de Servicio: Se ha valorado de muy alta degradación en la

dimensión de disponibilidad, porque se pueden llegar a presentar errores de

programación que no permiten a usuarios autorizados acceder al sistema. Esta

amenaza puede ser causa de una reacción en cadena con otras amenazas;

pero con poca frecuencia de ocurrencia.

Amenaza Frecuencia Degradación

[A.8] Suplantación de la identidad del usuario FN A

[A.8] Difusión de Software dañino FN A

[A.10] Denegación de Servicios PF MA

Tabla 16. Valoración de Amenazas sobre servicios.

Fuente: Autores

Tipo: Redes de Comunicaciones

➢ A.11 Desastres Naturales: Se puede llegar a presentar y la disponibilidad de

los activos de redes de comunicaciones tendría un deterioro muy alto porque

se caerían todos los servicios llevando a una paralización total de las

actividades en los procesos.

➢ A.12 Avería de origen físico o lógico: Se considera que afecta la disponibilidad

en un nivel Muy Alto porque las zonas (lugares) donde se han ubicado no

fueron los más adecuados físicamente para su protección o por el contrario el

proceso de instalación y/o configuración no fue el adecuado por mala

manipulación.

➢ A.13 Fallo de Servicio de comunicaciones: El activo de redes de

comunicaciones se ha calificado con grado de afectación en la disponibilidad

de nivel Alto porque se han presentado casos en que por algún fallo en las

redes del proveedor de servicios de internet se ha visto seriamente afectado

los demás servicios configurados y administrados internamente dentro de la

empresa.

60

➢ A.14 Manipulación de Configuración: Este ítem está ligado directamente con el

numeral y las razones expuestas anteriormente en A.2.

Amenaza Frecuencia Degradación

[A.11]Desastres Naturales PF MA

[A.12] Avería de origen físico o lógico PN MA

[A.13] Fallo de Servicio de comunicaciones PF A

[A.14] Manipulación de Configuración. PF A

Tabla 17. Valoración de Amenazas sobre comunicaciones.

Fuente: Autores

Tipo: Equipamiento Informático

➢ A.15 Fuego: Se consideró de muy alto impacto en todas las dimensiones

(disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad) porque

al llegarse a presentar fuego como desastre natural, se perdería todo el

equipamiento informático que es el soporte de los demás activos de

información como los relacionados en aplicaciones informáticas, servicios,

redes de comunicaciones.

➢ A.16 Daños por Inundaciones: La degradación se consideró como alta en

disponibilidad y de poca frecuencia porque el equipamiento informático se

encuentra ubicado sin ninguna precaución.

➢ A.17 Errores de mantenimiento / actualización de equipos (hardware): La

disponibilidad por errores de mantenimiento o actualización de equipos

(hardware) es valorada como de Alto impacto porque a pesar de contar con

personal capacitado para realizar esta tarea no siempre se cuenta con el

tiempo suficiente y se han presentado casos en que no es posible ejecutar esta

actividad de manera completa.

➢ A.18 Acceso no Autorizado: La confidencialidad para este ítem dentro del

equipamiento informático es alto debido a que no se tienen implementados

normas estrictas de seguridad para el acceso a los centros de datos.

➢ A.19 Manipulación de los equipos: Se considera que el grado de degradación

que se puede llegar a experimentar es alto en la dimensión de confidencialidad

especialmente en los equipos de cómputo porque no se han tomado medidas

61

de seguridad que concienticen a los usuarios en el uso exclusivo del personal

contratado en la empresa y del uso de contraseñas parame-trizadas. Pudiendo

dar pie a accesos no autorizados a información y a extracción de partes

hardware de los equipos.

Amenaza Frecuencia Degradación

[A.15] Fuego. PF MA

[A.16] Daños por Inundaciones PF MA

[A.17] Errores de mantenimiento/actualización

de equipos (hardware).

FN A

[A.18] Acceso no autorizado. FN A

[A.19] Manipulación de los equipos. FN A

Tabla 18. Valoración de Amenazas sobre equipamiento informático.

Fuente: Autores

Tipo: Personal

➢ A.20 Deficiencia en la organización: Se valora como frecuencia normal y de

degradación de disponibilidad como Alta porque las directivas de la compañía

no contratan el personal suficiente para implementar el SGSI necesario dentro

de la empresa y lograr minimizar todas estas amenazas encontradas.

➢ A.21 Alteración accidental de la información: Se puede llegar a materializar la

amenaza de alteración accidental de la información por el personal debido a la

falta de capacitación y la mala comunicación que existe internamente en la

empresa, ya se ha mencionado que el personal nuevo que ingresa no es

capacitado adecuadamente en sus labores y mucho menos en base al tema

de seguridad de la información. Por esta razón se puede ver afectada

altamente la confidencialidad e integridad de los datos.

➢ A.22 Ingeniería Social: Hasta el momento la empresa no ha tenido ningún tipo

de inconveniente relacionado con la ingeniería social en el activo de personal,

pero es una amenaza latente enlazada con las razones dadas en A.21, y la

falta de concientización del personal en las mejores prácticas de seguridad de

la información. Llevando a una afectación Alta en la dimensión de

confidencialidad.

62

Amenaza Frecuencia Degradación

[A.20] Deficiencia en la Organización. FN A

[A.21] Alteración accidental de la información FN A

[A.22] Ingeniería Social PF A

Tabla 19. Valoración de Amenazas sobre Personal.

Fuente: Autores

3.5. Identificación del Riesgo

En la siguiente tabla se establecen todos los potenciales riesgos, por los cuales se

podría ver afectada la operatividad de AGILITY S.A.S. La identificación incluye los

riesgos independientemente de que estén bajo control o no en la organización.

ID Tipo de riesgo Riesgo Descripción Consecuencias

1 Externo/Interno Corte de energía

Falla red eléctrica,

que alimenta a los

equipo.

Inoperatividad de

los equipos de

comunicaciones y

de acceso.

2 Interno Falla en la UPS

Falla equipo de

respaldo eléctrico

Interrupción del

servicio de

interconexión

momentáneamente

3 Interno

Falla en equipos

de ventilación

Temperatura no

adecuada

Baja el desempeño

de los equipos de

comunicaciones a

la red

4 Externo/Interno Inundaciones

Agua en las

instalaciones

Daño total del

equipamiento.

5 Externo Terremotos Eventos naturales

Daño total del

equipamiento.

6 Externo/Interno Incendios

Fuego en las

instalaciones

Daño total del

equipamiento.

63

7 Interno

Desconexión

física hacia

proveedor

principal

Corte cable, cable

desconectado o en

mal estado

Desconexión de la

red

8 Interno

Desconexión

física hacia

proveedor de

respaldo

Corte cable, cable

desconectado o en

mal estado

No hay

desconexión, pero

enlace principal

queda sin respaldo

9 Interno

Corte de servicio

en servidores

internos

Servicios no

disponibles

Usuarios no

obtendrán el

acceso a servicios

internos ni tampoco

a intranet.

10 Interno

Corte de servicio

en servidores

externos

Servicios Web y

DNS no disponibles

Usuarios externos

no tendrán acceso

web y pérdida de

navegación web

para usuarios

internos.

11 Interno

Interrupción de

servicio

Callmanager

Servidor de

enrutamiento de

llamadas deja de

funcionar

Interrupción del

servicio telefónico

12 Interno

Falla sobre

equipos de

comunicaciones

Desperfecto eléctrico

o cualquier problema

interno los equipos

de comunicaciones.

Desconexión de la

red

13 Interno

Saturación en el

equipos de

comunicaciones

Problemas en

memoria,

procesamiento entre

otras

Pérdida de

desempeño hasta

posible

desconexión de la

red

14 Externo

Interrupción

servicio de

Internet

Falla en el acceso al

servicio de internet

Operaciones que

necesiten internet

para efectuarse se

ven afectadas.

64

15 Externo/Interno

Interrupción

Firewall

Falla en el equipo de

filtraje

Desconexión hacia

servidores y hacia

Internet

16 Interno

Acceso no

autorizado a

equipos de

comunicaciones

Acceso no

autorizado equipos

de comunicaciones

Desconexión de la

red

17 Interno

Seguridad de los

procesos de la

información del

negocio

Es las

Confidencialidad,

Integridad,

Disponibilidad,

Autenticación o

autentificación en la

gestión de la

información.

Retraso y pérdida

en las operaciones

de los usuarios

18 Interno

Administración

de la

información local

y pública por los

usuarios

Los procesos deben

estar diseñados para

asegurar la

información y reducir

el potencial de

redundancia.

Retraso y pérdida

en las operaciones

de los usuarios

Tabla 20. Identificación de riesgos.

Fuente: Autores

3.5.1 Análisis de Riesgos.

Se debe tener un total entendimiento y comprensión de los riesgos, para poder

determinar cómo deben ser tratados de manera costo-efectiva.

Involucra:

● La probabilidad de ocurrencia.

● La determinación de su impacto potencial (consecuencias).

● Análisis de riesgos, mediante una combinación de Impacto y su probabilidad

de ocurrencia.

65

La Magnitud del Riesgo:

La Magnitud de un riesgo se determina por su probabilidad de ocurrencia y sus

consecuencias o impactos asociados.

Magnitud = Probabilidad x Impacto

Matriz de Priorización:

El riesgo se debe medir de acuerdo al impacto y la probabilidad y se debe ubicar en

la Matriz de Priorización.

Probabilidad: Frecuencia que podría presentar el riesgo.

ALTA: Es muy factible que el riesgo se presente

MEDIA: Es factible que el riesgo se presente

BAJA: Es muy poco factible que el riesgo se presente

Impacto: Forma en la cual el riesgo podría afectar los resultados del proceso.

ALTO: afecta en alto grado la disponibilidad del servicio

MEDIO: afecta en grado medio la disponibilidad del servicio

BAJO: afecta en grado bajo la disponibilidad del servicio

A continuación se presenta la Matriz de Priorización, con la cual se clasificarán los

riesgos de acuerdo a su Magnitud, donde:

Magnitud A: Nivel Alto de riesgo

Magnitud B: Nivel Medio de riesgo

Magnitud C: Nivel Bajo de riesgo

Figura 6. Matriz de Priorización.

Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernandez. Recuperado de

https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/

66

En la siguiente tabla, primordialmente se entrega información sobre la magnitud de

los riesgos analizados. La cual será de suma importancia para la etapa de evaluación,

en donde serán priorizados o clasificados según los criterios definidos.

ID Riesgo Probabilidad Impacto Magnitud

1 Corte de energía Baja Medio B

2 Falla en la UPS Baja Alto B

3 Falla en equipos de ventilación Baja Bajo C

4 Inundaciones Baja Alto B

5 Terremotos Baja Alto B

6 Incendios Baja Alto B

7 Desconexión física hacia proveedor

principal

Baja Alto B

8 Desconexión física hacia proveedor de

respaldo

Baja Medio B

9 Corte de servicio en servidores internos Baja Alto B

10 Corte de servicio en servidores externos Baja Medio B

11 Interrupción de servicio Callmanager Baja Bajo C

12 Falla sobre equipos de comunicaciones Media Alto A

13 Saturación en el equipos de

comunicaciones

Media Alto A

14 Interrupción servicio de Internet Media Alto A

15 Interrupción Firewall Media Alto A

16 Acceso no autorizado a equipos de

comunicaciones

Baja Alto B

17 Seguridad de los procesos de la

información del negocio

Media Alto A

18 Administración de la información local y

pública por los usuarios

Media Alto A

Tabla 21. Análisis de riesgos.

Fuente: Autores

67

3.5.2. Evaluación de riesgos.

El propósito de la evaluación de riesgos es tomar decisiones basadas en los

resultados del análisis de riesgos, identificar cuáles deben ser tratados y la prioridad

para su tratamiento.

Riesgos con Magnitud alta (A), sin controles efectivos, requieren acciones

preventivas inmediatas

Riesgos con Magnitud alta (A) y media (B) con controles no efectivos, requieren

acciones de preventivas

Magnitud alta (A) y media (B) con controles efectivos, pero no documentados,

requieren acciones preventivas

Riesgos con priorización baja (C) o alta (A) y media (B) que tienen controles

documentados y efectivos, Requieren seguimiento

Tabla 22. Criterios de evaluación de riesgo.

Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernandez. Recuperado de

https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/

A continuación, se relaciona la tabla de los riesgos y la determinación del tratamiento,

a la vez se establece la prioridad de cada riesgo.

ID Riesgo Criterio Tratar

Riesgo

1 Corte de energía 4 NO

2 Falla en la UPS 3 SI

3 Falla en equipos de ventilación 4 NO

4 Inundaciones 3 NO

5 Terremotos 2 SI

6 Incendios 2 SI

7 Desconexión física hacia proveedor principal 4 NO

8 Desconexión física hacia proveedor de respaldo 4 NO

9 Corte de servicio en servidores internos 3 SI

68

10 Corte de servicio en servidores externos 3 SI

11 Interrupción de servicio Callmanager 4 NO

12 Falla sobre equipos de comunicaciones 1 SI

13 Saturación en equipos de comunicaciones 1 SI

14 Interrupción servicio de Internet 2 SI

15 Interrupción Firewall 2 SI

16 Acceso no autorizado a equipos de comunicaciones 4 NO

17 Seguridad de los procesos de la información del

negocio

2 SI

18 Administración de la información local y pública por

los usuarios

2 SI

Tabla 23. Evaluación de riesgos.

Fuente: Autores

3.5.3. Tratamiento del riesgo

La gestión de los riesgos es un proceso en el cual se implementan las medidas

técnicas y organizativas necesarias para impedir, reducir o controlar los riesgos

analizados e identificados, de forma que las consecuencias que puedan generar sean

eliminadas o, si esto no es posible, se puedan reducir lo máximo posible. El objetivo

es reducir los riesgos que estén por encima de los niveles aceptables, a niveles

que puedan ser asumidos por AGILITY S.A.S.

Una vez se han analizado y conocido los riesgos de la organización, se determinó el

tratamiento que deben recibir los activos, que es mitigación del riesgo para de esta

forma reducir el riesgo hasta un nivel aceptable mediante la selección e implantación

de controles.

3.6. Selección de Controles

Los controles para la empresa Agility se seleccionaron e implementaron para

minimizar los riesgos detectados en el análisis de riesgos de manera que se

encuentren por debajo del riesgo asumido por la empresa. Es aconsejable revisar

periódicamente los controles implantados para validar si cumplen con el

funcionamiento esperado.

69

Se tuvieron en cuenta diferentes factores y restricciones en el momento de la

selección de los controles como son el costo de la implementación y

mantenimiento del control, la disponibilidad, la ayuda que se debe brindar a los

colaboradores para desempeñar el control y su aplicabilidad con respecto a los

riesgos que se han detectado.

A continuación se relacionan los controles implementados:

3.6.1. Antivirus y Spyware

En la actualidad, es prácticamente imposible navegar la web sin tener una protección

ante las amenazas agazapadas detrás de cada sitio que se visita. Los engaños son

muchos, y las probabilidades de ser víctimas de un ataque de virus o malware

también. Es por ello que una de las mejores tácticas de prevención es la utilización

de un buen antivirus.

Por lo anterior, se ha escogido como solución primordial los servicios que ofrece AVG

(AVG Internet Security Business Edition), en la cual brinda protección de la siguiente

manera y a un costo/ beneficio esencial.

Figura 7. AVG

Fuente: www.avg.com

● Antimalware (Protección Residente AVG)

Funciona en segundo plano y brinda protección continua al analizar archivos de

sistema y ayuda a detectar, eliminar y prevenir la propagación de virus, gusanos y

troyanos.

● AVG Anti-Spyware

Ayuda a proteger su identidad del spyware que rastrean la información personal,

también protege las contraseñas y los números de tarjetas de crédito.

70

● AVG Anti-Rootkit

Ayuda a detectar y eliminar software de rootkits peligrosos que esconden otro

software malicioso que busca tomar el control del equipo.

Detección avanzada:

● Detección de irrupciones en tiempo real

Tecnología de detección de irrupciones basada en la nube para ayudar a identificar

incluso las variantes de malware más recientes y las irrupciones en tiempo real.

● Detección de IA

Inteligencia artificial avanzada en la PC, diseñada para identificar proactivamente las

muestras de malware que aún no fueron catalogadas por el equipo de AVG Threat

Labs. La Detección con Inteligencia Artificial se entrena constantemente a través de

los datos de telemetría de los usuarios.

Seguridad de Servidor de Correos Electrónicos:

● Protección para servidores de correos electrónicos AVG

Ayuda a mantener el servidor de correo electrónico de Windows sin basura y seguro

frente al malware y los virus, reduciendo así el tiempo de inactividad y las

distracciones del usuario y el equipo.

● AVG Anti-Spam

Ayuda a evitar que los spammers y estafadores lleguen a los datos personales o

empresariales, al analizar y verificar los correos electrónicos en busca de códigos

sospechosos.

● Analizador de correos electrónicos AVG

Ayuda a detectar los archivos adjuntos infectados del correo entrante antes de que

puedan dañar o ralentizar los equipos.

71

También funciona como complemento para las aplicaciones de correo electrónico,

como Microsoft Outlook, o como un analizador para las cuentas de correo electrónico

POP3, SMTP e IMAP.

3.6.2. Sistema de detección de intrusos (IDS)

El sistema de protección perimetral integrará un módulo de detección y prevención

contra intrusos, este módulo protegerá de posibles intentos de acceso no autorizado

desde Internet y también está activo en la red inalámbrica para proteger el acceso de

los servicios y aplicaciones en las dimensiones de Confidencialidad, Integridad,

Autenticidad y Disponibilidad, para esto se utilizara Dragón - Enterasys Networks.

El IDS de Enterasys Networks, Dragón, toma información sobre actividades

sospechosas de un sensor denominado Dragón Sensor y de un módulo llamado

Dragón Squire que se encarga de monitorizar los logs de los firewalls y otros sistemas.

Esta información es enviada a un producto denominado Dragón Server para

posteriores análisis y correlaciones. Cada componente tiene ventajas que compensan

con debilidades de otro, por ejemplo, el sensor Dragón Sensor es incapaz de

interpretar tráfico codificado de una sesión web SSL, pero el producto Dragón Squire

es capaz de reconocer los logs del servidor web y pasarlos a la máquina de análisis.

Veamos un poco más en detalle cada uno de estos componentes

El sensor de Dragón monitoriza una red en busca de evidencias de actividades

hostiles. Cuando éstas ocurren, envía informes junto con un registro de análisis

forense al servidor Dragón, el cual lo analiza y lo almacena durante largo tiempo.

Características del sensor:

● Detección de actividades sospechosas tanto mediante firmas como mediante

técnicas basadas en anomalías.

● Decodificación robusta a nivel de aplicación: el sensor tiene un conocimiento

avanzado de los protocolos a nivel de aplicación, evitando muchos falsos que

los atacantes utilizan para burlar los IDS

● Incorporación de filtros para disminuir los falsos positivos.

● Monitorización de redes de alta velocidad (100 Mb/s)

72

3.6.3. Lector De Huellas Ep 300 Control De Asistencia Anviz Colombia

Figura 8. Lector de Huellas.

Fuente: anvizcolombia.com.co

Los cuartos de comunicaciones y servidores se resguardarán mediante el empleo del

lector de huellas Ep 300, para establecer un control de acceso físico, a fin de permitir

el ingreso sólo al personal autorizado.

EP300 es un dispositivo de control equipado con un rápido algoritmo de lectura de

huella, el sensor de lectura de huella es a prueba de rayones, de agua y de polvo,

convirtiéndose en una excelente solución para el control de asistencia.

Su diseño lo hace amigable y fácil de usar para empleados y administradores. En el

momento que requiera los datos de entrada y salida de los empleados puede

obtenerlos a través del USB (no requiere driver) o mediante la salida TCP/IP. Además,

la carcasa del EP300 ha sido hecha con material reciclado de carbón y no tiene pintura

en su superficie.

Especificaciones:

● Diseño agradable

● Procesador de alta velocidad de 32 bits Texas Instruments con bajo consumo

de energía

● Algoritmo del núcleo biométrico BioNANO V10 de alta velocidad y estabilidad

● Transferencia de datos en tiempo real y rastreo desde la Web

● Sensor completamente sellado, a prueba de agua y polvo AFOS300

● Indicador de voz claro para todas las operaciones

● Conexión mediante USB "Plug & Play". No requiere drivers

● Se carga mediante USB o DC 5V

73

● Métodos de autenticación de empleado: ID + clave, ID + huella, huella

únicamente

● Rápida lectura de huella en menos de 0.5 segundos

● 16 estados de asistencia personalizados

3.6.4. Extintores portátiles

Figura 9. Extintor.

Fuente: seguridadportalweb.com

En la organización de un plan de protección contra incendios en un centro de trabajo

merece especial importancia la elección de los elementos materiales más adecuados

y eficaces. Si se tiene en cuenta que el extintor es el primer elemento que se usa en

los primeros minutos de iniciación de un fuego se puede afirmar que de él depende

que la propagación del fuego se aborte o no.

Elegir un buen extintor significa conocer qué agente extintor es el más adecuado y

que tipo y eficacia de extintor conviene. Además la efectividad de su uso depende de

que se efectúe la actuación según lo recomendado por las entidades de reconocido

prestigio en la lucha contra incendios y de que su mantenimiento y ubicación sea el

correcto según la reglamentación o normativa correspondiente.

Por eso Segmatic posee una gama de soluciones para cada cliente y ambiente. Lo

cual contamos con Agentes extintores como son:

1. Polvo Químico

2. Hidrocarburos Halogenados

3. Agua a Chorro

4. Espuma Física

74

3.6.5. Firewall - Sonic WALL NSA 3600.

Figura 10. Firewall.

Fuente: www.sonicwall.com

● Seguridad y control centralizados

El firewall de próxima generación (NGFW) Sonic WALL ™ Network Security Appliance

(NSA) 3600 consolida la prevención de intrusiones, el antivirus y antispyware para la

puerta de enlace, la protección contra malware basada en la red y la inteligencia y el

control de aplicaciones. Además, puede agregar la administración del ancho de

banda, el bloqueo de aplicaciones y capacidades de conectividad y seguridad, como

VPN SSL, VPN IPSec, filtrado de contenido, antivirus y anti spam.

● Protección contra amenazas emergentes

Proteger a la empresa durante todo el día con las capacidades sofisticadas de

seguridad del firewall NSA 3600. El motor RFDPI™ inspecciona cada byte de cada

paquete y analiza todo el tráfico de la red, independientemente del puerto o el

protocolo. La inspección y el descifrado SSL en tiempo real le permite visualizar y

controlar el tráfico de las aplicaciones a medida que cruzan la red, y el firewall NSA

3600 tiene acceso a una base de datos actualizada en la nube que cuenta con más

de 12,6 millones de variantes de malware para proteger a la empresa de amenazas

emergentes.

● Seguridad simplificada y costos más bajos

Reduce el costo total de propiedad (TCO) con fácil implementación, configuración y

mantenimiento. El diseño intuitivo y la eficiencia superior en energía del firewall NSA

3600 facilitan el logro de la seguridad profunda.

75

3.6.6. Destructora de documentos, Ref. SC170 – GBC

Figura 11. Destructora de documentos.

Fuente: www.megaoffice.com

Tipo de corte recto (5.8 mm), capacidad de corte de 12 hojas por pasada, nivel de

seguridad 2, diseño ergonómico que facilita la entrada de las hojas, destruye grapas,

clips y tarjetas de crédito, incluye botón de modo reversa para eliminar atascos,

ventana indicadora en el cesto para notar cuando esté llena, capacidad del cesto de

22 litros (180 hojas), tiempo de trabajo 4 minutos, auto apagado después de

permanecer sin utilizarse, operación silenciosa. Uso personal.

3.6.7. Sistema de Administración de Contraseñas

El sistema de administración de contraseñas sugerirá el uso de contraseñas

individuales para determinar responsabilidades, permitir que los usuarios seleccionen

y cambien sus propias contraseñas e incluir un procedimiento de confirmación para

contemplar los errores de ingreso, obligar a los usuarios a cambiar las contraseñas

provisorias en su primer procedimiento de identificación, en los casos en que ellos

seleccionen sus contraseñas, evitar mostrar las contraseñas en pantalla, cuando son

ingresadas, almacenar en forma separada los archivos de contraseñas y los datos de

sistemas de aplicación, almacenar las contraseñas utilizando un algoritmo de cifrado.

3.6.8. Control de Acceso a las Aplicaciones

Restricción del Acceso a la Información: Los usuarios de los sistemas de aplicación,

tendrán acceso a la información y a las funciones de los sistemas de aplicación de

conformidad con la política de control de acceso definida, sobre la base de los

requerimientos de cada aplicación, y conforme a los permisos otorgados de acuerdo

al perfil solicitado por cada coordinador de área, administradores o responsables de

los Sistemas de Información.

76

Validación de Datos de Entrada: Se validará durante la etapa de diseño los controles

que aseguren la validez de los datos ingresados, tan cerca del punto de origen como

sea posible, controlando también datos permanentes y tablas de parámetros.

3.7. Definición de políticas de seguridad

Las políticas de seguridad que se plantean a continuación para la empresa Agility, se

basan en el análisis de riesgos, las cuales representan directrices generales de alto

nivel que deben ser adoptadas por todos los participantes en las líneas de negocio.

3.7.1 Política de Asignación de recursos y uso de los mismos

➢ Área Encargada: Infraestructura

➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,

Gerente General y Usuarios.

➢ Descripción:

1. La persona encargada del área de infraestructura (Gerente de infraestructura)

asigna a cada empleado un equipo de cómputo en el cual debe ser asignado

un usuario y clave para su uso pertinente.

2. Los usuarios deben hacer uso adecuado de los recursos informáticos

(Computadoras, impresoras, programas, correo, etc.) y el área de

infraestructura debe realizar un monitoreo para el cumplimiento de la misma.

Además, todo el personal (Usuarios) deberá informar al área de infraestructura

sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su

adecuado seguimiento.

3. Cada usuario tendrá una cuenta de correo electrónico empresarial, que les

permitirá recibir y enviar información indispensable para sus actividades

laborales. Estas cuentas de correo son de uso exclusivo de la empresa.

4. El uso de internet queda reservado solo para las actividades laborales que se

requieran. por lo cual cada vez que el usuario ingrese a internet deberá estar

logueado con un usuario y clave que se defina por el área de infraestructura.

77

3.7.2. Política de Seguridad en la Información

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,

Gerente General y Usuarios.

➢ Descripción:

1. Diariamente se realizan backups automáticos a la base de datos y el tiempo

establecido para hacer estos procesos se realizan después de la jornada

laboral diaria.

2. Los equipos de cómputo tendrán salvapantallas, protegido por clave personal

y con un tiempo de espera de 2 minutos para evitar los accesos no

autorizados.

3. Los usuarios no pueden dejar sus claves de acceso en lugares visibles.

4. El área de infraestructura designará periódicamente nuevas claves (Cada 6

meses) para el acceso a su entorno de trabajo.

5. Todos los equipos deben estar restringidos al uso de dispositivos externos

(Memorias USB, Medios magnéticos (CD’S, DVD’S), etc.), en caso de ser

necesario su usabilidad se deberá informar al área de infraestructura.

3.7.3. Política de Mantenimiento e infraestructura

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura, Gerentes de proyecto,

Gerente General y Usuarios.

➢ Descripción:

1. Una vez al año se realizará una revisión en la red para detectar desperfectos

y dar así mantenimiento a la organización.

2. Periódicamente, por espacio de 4 meses, se realizará una limpieza física a

toda la infraestructura de equipo de cómputo por parte del personal de

infraestructura.

78

3. Toda actividad elaborada por el equipo de infraestructura deberá de estar

debidamente documentada para darle seguimiento y que sirva como evidencia

en los procesos de auditoría interna.

4. El servidor y la máquina principal del área administrativa deberán conectarse

a un equipo no-break para evitar la pérdida de información en los equipos por

variaciones o fallas de energías.

3.7.4. Política de la instalación de equipo de cómputo.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura, Gerente General y Usuarios.

➢ Descripción:

1. Todo el equipo de cómputo (computadoras, estaciones de trabajo,

supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red

Agility Net, o aquel que en forma autónoma se tenga y que sea propiedad de

la compañía debe de sujetarse a las normas y procedimientos de instalación

que emite el departamento de sistemas y/o redes.

2. El departamento de infraestructura deberá tener un registro de todos los

equipos propiedad de Agility S.A.S.

3. El equipo de la compañía que sea de propósito específico y tenga una misión

crítica asignada, requiere estar ubicado en un área que cumpla con los

requerimientos de: seguridad física, las condiciones ambientales, la

alimentación eléctrica, su acceso que el departamento de infraestructura de la

empresa Agility tiene establecido en su normatividad de este tipo.

4. Los responsables de las áreas de apoyo interno de los departamentos deberán

en conjunción con el departamento de infraestructura dar cabal cumplimiento

con las normas de instalación, y notificaciones correspondientes de

actualización, reubicación, reasignación, y todo aquello que implique

movimientos en su ubicación, de adjudicación, sistema y misión.

5. La protección física de los equipos corresponde a quienes en un principio se le

asigna, y corresponde notificar los movimientos en caso de que existan, a las

autoridades correspondientes (área de infraestructura).

79

3.7.5. Política de mantenimiento de equipo de cómputo

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura.

➢ Descripción:

1. Al departamento de infraestructura corresponde la realización del

mantenimiento preventivo y correctivo de los equipos, la conservación de su

instalación, la verificación de la seguridad física, y su acondicionamiento

específico.

2. En el caso de los equipos atendidos por terceros, el departamento de

infraestructura deberá informar al respecto de ello.

3. El personal técnico de apoyo interno de los departamentos se regirá los

requerimientos establecidos en las normas y procedimientos que el

departamento de infraestructura emita.

4. Los responsables de las áreas de Cómputo de un departamento pueden

otorgar mantenimiento preventivo y correctivo, a partir del momento en que

sean autorizados por el departamento de infraestructura.

5. Corresponde al departamento de infraestructura dar a conocer las listas de las

personas, que puedan tener acceso a los equipos y brindar los servicios de

mantenimiento básico, a excepción de los atendidos por terceros.

3.7.6. Política de la reubicación del equipo de cómputo.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura y usuarios.

➢ Descripción:

1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y

procedimientos que el departamento de infraestructura emita para ello.

2. En caso de existir personal técnico de apoyo de los departamentos, éste

notificará de los cambios tanto físicos como de software de red que realice al

departamento de infraestructura, y en su caso si cambia de responsable (el

80

equipo). Notificando también los cambios de equipo inventariado (cambio de

monitores, de impresoras etc.).

3. El equipo de cómputo a reubicar sea propiedad de Agility o bien externo se

hará únicamente bajo la autorización del responsable contando el lugar a

donde se hará la ubicación con los medios necesarios para la instalación del

equipo.

3.7.7. Política de acceso a áreas críticas.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura.

➢ Descripción:

1. El acceso de personal se llevará a cabo de acuerdo a las normas y

procedimientos que dicta el departamento infraestructura.

2. En concordancia con la política de la compañía y debido a la naturaleza de

estas áreas se llevará un registro permanente del tráfico de personal, sin

excepción.

3. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el

acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las

autoridades superiores de la compañía.

3.7.8. Política de acceso al equipo de cómputo

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura.

➢ Descripción:

1. Todos y cada uno de los equipos son asignados a un responsable, por lo que

es de su competencia hacer buen uso de los mismos.

2. Las áreas donde se tiene equipo de propósito general cuya misión es crítica

estarán sujetas a los requerimientos que el departamento de infraestructura

emita.

81

3. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo

propósito reúna características de imprescindible y de misión crítica, deberán

sujetarse también a las normas que establezca el área de infraestructura.

4. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la

red, el área de infraestructura tiene la facultad de acceder a cualquier equipo

de cómputo que no estén bajo su supervisión.

3.7.9. Política de control de acceso local a la red.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura.

➢ Descripción:

1. El área de infraestructura es responsable de proporcionar a los usuarios el

acceso a los recursos informáticos.

2. El área de infraestructura es el responsable de difundir el reglamento para el

uso de la red y de procurar su cumplimiento.

3. Dado el carácter unipersonal del acceso a la red local Agility Net, el área de

infraestructura verificará el uso responsable, de acuerdo al Reglamento para

el uso de la red.

4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores,

bases de datos, equipo de súper cómputo centralizado y distribuido, etc.)

conectado a la red es administrado por el área de infraestructura.

5. Todo el equipo de cómputo que esté o sea conectado a la red local Agility Net,

o aquellas que en forma autónoma se tengan y que sean propiedad de la

compañía, debe de sujetarse a los procedimientos de acceso que emite el área

de infraestructura.

3.7.10. Política de la adquisición de software.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura y Gerente General.

82

➢ Descripción:

1. En concordancia con la política de la institución, el área de infraestructura es

el organismo oficial de la compañía para establecer los mecanismos de

procuración de sistemas informáticos.

2. Corresponderá al área de infraestructura emitir las normas para el tipo de

licenciamiento, cobertura, transferibilidad, certificación y vigencia.

3. De acuerdo a los objetivos globales del área de infraestructura se deberá

propiciar la adquisición y asesoramiento en cuanto a software de vanguardia.

4. El área de infraestructura promoverá y propiciará que la adquisición de

software de dominio público provenga de sitios oficiales y seguros.

5. El área de infraestructura deberá promover el uso de sistemas programáticos

que redunden en la independencia de la institución con los proveedores.

3.7.11. Política de la instalación de software.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura, usuarios.

➢ Descripción:

1. Corresponde al área de infraestructura emitir las normas y procedimientos para

la instalación y supervisión del software básico para cualquier tipo de equipo.

2. En los equipos de cómputo únicamente se permitirá la instalación de software

con licenciamiento apropiado y de acorde a la propiedad intelectual.

3. El área de infraestructura es el responsable de brindar asesoría y supervisión

para la instalación de software informático.

4. La instalación de software que desde el punto de vista del área de

infraestructura pudiera poner en riesgo los recursos de la institución no está

permitida.

5. Con el propósito de proteger la integridad de los sistemas informáticos y de

telecomunicaciones, es imprescindible que todos y cada uno de los equipos

83

involucrados dispongan de software de seguridad (antivirus, vacunas,

privilegios de acceso, y otros que se apliquen).

6. La protección lógica de los sistemas corresponde a quienes en un principio se

les asigna y les compete notificar cualquier movimiento al área de

infraestructura.

3.7.12. Política de la auditoría de software instalado.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura y Gerente general.

➢ Descripción:

1. El área de infraestructura es el responsable de realizar revisiones periódicas

para asegurar que sólo programación con licencia esté instalada en las

computadoras de la institución.

2. El área de infraestructura propiciará la conformación de un grupo especializado

en auditoría de sistemas de cómputo y sistemas de información.

3. Corresponderá al grupo especializado dictar las normas, procedimientos y

calendarios de auditoría.

3.7.13. Política para el software propiedad de la compañía.

➢ Área Encargada: Infraestructura.

➢ Personas Involucradas: Jefe de infraestructura y Gerente general.

➢ Descripción:

1. Toda la programática adquirida por la compañía es propiedad de ella misma y

mantendrá los derechos que la ley de propiedad intelectual le confiera.

2. El área de infraestructura deberá tener un registro de todos los paquetes de

programación y/o programas propiedad de Agility S.A.S.

3. Todos los sistemas programáticos (programas, bases de datos, sistemas

operativos, interfaces) desarrollados con o a través de los recursos de Agility

se mantendrán como propiedad de la compañía respetando la propiedad

intelectual del mismo.

84

4. Es obligación de todos los usuarios que manejen información masiva,

mantener el respaldo correspondiente de la misma ya que se considera como

un activo de la compañía que debe preservarse.

5. Los datos, las bases de datos, la información generada por el personal y los

recursos informáticos de la compañía deben estar resguardados.

6. Corresponderá al área de infraestructura promover y difundir los mecanismos

de respaldo y salvaguarda de los datos y de los sistemas programáticos.

7. El área de infraestructura propiciará la gestión de patentes y derechos de

creación de software propiedad de la institución.

8. El área de infraestructura administra los diferentes tipos de licencias de

software y vigilará su vigencia en concordancia con la política informática.

3.8. Planes de Mejoramiento.

Prevención:

● La empresa Agility debe buscar ser preventiva antes que reactiva, por esta

razón debe realizar procesos de verificación para la manipulación de bases de

datos, y la realización de pruebas por parte del equipo a cargo.

● Las instalaciones debe contar con sensores de humo, movimiento y cámaras

de vigilancia, que permitan determinar posibles causantes de problemas en la

planta física fácilmente.

● Realizar áreas de mantenimiento preventivo al equipamiento, de acuerdo con

los intervalos de servicio y especificaciones recomendados por el comité de

sistemas.

● Realizar el montaje de un sistema de copias de seguridad automatizado

basado en un NAS (Network Attached Storage) para la información que se

catalogue y organice de acuerdo a la criticidad y que será definida por el

administrador de bases de datos, iniciando con pruebas para las copias de

seguridad de servidores y bases de datos, luego para el resto de información

que administre cada funcionario.

● Realizar actualizaciones al software y hardware de servidores y equipos de red

para evitar colapsos de infraestructura.

85

Disuasión:

● Realizar listados de sitios y direcciones ip que representan potenciales

amenazas a la seguridad de los equipos locales, se restringe el acceso y se

guarda en logs para su estudio de forma automática.

Recuperación:

● La recuperación de la información en caso de desastre no está implementada

para equipos terminal lo cual supone un riesgo de seguridad por la pérdida de

información, por lo tanto se debe contar con la herramienta Apache Subversion

(SVN) y repositorios de respaldo que no permitan la pérdida.

Monitorización:

● Realizar monitoreo constante de flujo de información y acceso a internet de

forma automática, para determinar qué usuario accedió a que sitio web en

determinada fecha y a determinada hora.

Detección:

● Una vez se realiza la detección de una posible infección o comportamiento

anormal por parte de un equipo terminal, aislar el equipo de forma automática

denegando el acceso a internet y a recursos locales hasta su verificación de

forma manual.

Concienciación:

● Concientizar a los usuarios de abstenerse de intentar acceder a sitios web no

autorizados.

3.9. Procedimientos Según el Sistema de Gestión

3.9.1. Procedimiento para verificar que las políticas y controles de seguridad

de la información están siendo aplicados

❖ Objetivo:

Verificar que las políticas y controles de seguridad de información instalados

en la empresa estén siendo aplicados y mediante los mismos se mantenga el

desenvolvimiento de AGILITY S.A.S.

86

❖ Alcance:

La empresa AGILITY S.A.S. debe a los empleados, contratistas y usuarios de

terceras partes aplicar la seguridad en concordancia con las políticas y los

controles establecidos de la organización. La aplicación y cumplimiento de éste

procedimiento es responsabilidad del departamento de Recursos Humanos.

❖ Descripción del Procedimiento

➢ Necesidades de Verificación de Aplicabilidad de Seguridades: Las

razones por la cuales se podría considerar que se necesite de realizar

verificación de la aplicabilidad de las políticas y controles de seguridad

son:

■ Infringir alguna de las políticas de seguridad que cree dificultades

graves dentro de la organización.

■ Seguimiento de la aplicabilidad de las seguridades.

■ Cumplir el seguimiento a la aplicabilidad de las políticas y

procedimientos de seguridad.

■ Sugerencias de los empleados.

Cualquier requerimiento para verificación de aplicabilidad del personal puede

ser canalizado por escrito.

❖ Plan de Verificación de Aplicabilidad de Seguridades:

➢ Al inicio de cada año elabora el “Plan de Verificación de Aplicabilidad de

Seguridades” en la planilla correspondiente al plan a elaborar, el cual

debe ser aprobado.

➢ En caso de que se hubieran detectado Necesidades de Verificaciones

de Aplicabilidad por cualquiera de los puntos indicados, estas deben ser

consideradas por “Actualización del Plan de Verificación de

Aplicabilidad de Seguridades”.

➢ El Plan de Verificación de Aplicabilidad prevé aplicar el formulario de

verificación de aplicabilidad de las políticas de seguridad que incluye

serie de preguntas acerca de las seguridades implementadas en la

empresa y como es aplicada por el cuestionado.

87

➢ Serán informados sobre la ejecución del Plan de Verificación de

Aplicabilidad mediante un boletín de información publicado en la

cartelera de AGILITY S.A.S.

➢ No se permitirán faltas ni atraso durante la ejecución del Plan de

Verificación, sin importancia de índoles. Cualquier empleado que no

cumpla con lo estipulado, será considerado para sanción, según

procedimientos disciplinarios.

❖ Actualización del Plan de Verificación de Aplicabilidad de Seguridades:

Si se presentan actividades que se consideren como necesidades de verificación de

aplicabilidad adicionales a las previstas en el Plan de Verificación de Aplicabilidad,

estas se ingresarán mediante solicitud escrita. Dicha verificación de aplicabilidad

deberá ser aprobada por la AGILITY S.A.S.

3.9.2. Procedimiento para capacitar sobre las políticas y controles de seguridad

de la información y sus actualizaciones.

❖ Objetivo:

Comunicar las políticas y procedimientos de seguridad de información

instalados en la empresa, a través de capacitaciones pertinentes para ser

aplicadas en el desarrollo de las actividades diarias.

❖ Alcance:

La Dirección debería capacitar a empleados, contratistas y usuarios de

terceras partes acerca de la seguridad en concordancia con las políticas y los

controles establecidos de la organización. La aplicación y cumplimiento de éste

procedimiento es responsabilidad del departamento de Recursos Humanos.

❖ Descripción del Procedimiento.

Las razones por la cuales se podría considerar que se necesite de capacitación

son:

➢ Infringir alguna de las políticas de seguridad por desconocimiento de la

misma.

88

➢ Desarrollar conciencia con respecto a la seguridad de la información.

➢ Calificación del personal que indique necesidad de capacitación.

➢ Se considera que los empleados desconocen sobre las políticas y los

procedimientos de seguridad.

➢ Sugerencias de los empleados.

Cualquier requerimiento para capacitación del personal debe ser canalizado

por escrito.

❖ Plan de Capacitación: Seguridad de la Información

➢ Al inicio de cada año elabora el “Plan de Capacitación: Seguridad de

Información” en la planilla correspondiente al plan a elaborar, el cual

debe ser aprobado.

➢ En caso de que se hubieran detectado Necesidades de Capacitación

por cualquiera de los puntos indicados, estas deben ser consideradas

para “Actualización del Plan de Capacitación: Seguridad de la

Información”.

➢ El Plan de Capacitación incluye la información referente a: tema,

participantes, horas, y fechas aproximadas.

➢ Serán informados del inicio de una capacitación con un tiempo prudente,

mediante carta de convocatoria.

➢ No se permitirán faltas ni atraso para ninguna capacitación, sin

importancia de índoles, siempre y cuando el empleado haya sido

convocado.

❖ Actualización del Plan de Capacitación: Seguridad de la Información.

Si se presentan actividades de capacitación adicionales a las previstas en el

Plan de Capacitación, estas se ingresarán mediante solicitud escrita. Dicha

capacitación deberá ser aprobada por la Gerencia. Esto se aplica

principalmente cuando se requiere de capacitaciones externas.

89

3.9.3. Procedimiento para aplicar sanciones por infracción sobre alguna política

de seguridad de la empresa.

❖ Objetivo:

Aplicar sanciones por infracción o violación de alguna política de seguridad que

rige en la empresa, por parte del personal que ha sido capacitado, a través, de

distintos procedimientos disciplinarios.

❖ Alcance:

Debería existir un proceso formal disciplinario para empleados que produzcan

brechas en la seguridad.

❖ Descripción del Procedimiento

➢ Tipos de Infracciones o Violaciones a las Políticas de Seguridad:

Algunos tipos de infracción o violaciones a las políticas de seguridad por

la cuales se podría considerar aplicar procedimiento disciplinario son:

■ Alteración, destrucción, divulgación y cambio de ubicación de

información.

■ (Dentro y fuera de la compañía).

■ Uso inapropiado de los diferentes recursos (Acceso no

autorizado).

■ Usurpación de identidad.

■ Manipulación de credenciales de acceso (Ingreso del trabajo).

■ Manipulación de la configuración de los aplicativos de las

estaciones de trabajo.

■ Errores de administración aplicados a los aplicativos.

■ Abuso de privilegios de acceso.

■ Desconocimiento de sus funciones y responsabilidades dentro de

la empresa.

■ Extorsión.

❖ Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de

Políticas de Seguridad

Todas las infracciones se verán afectadas por el siguiente flujo:

90

➢ Cualquier violación a las políticas y normas de seguridad deberá ser

sancionada de acuerdo al reglamento emitido por el área de

infraestructura.

➢ Las sanciones pueden ser desde una llamada de atención o informar al

usuario hasta la suspensión del servicio dependiendo de la gravedad de

la falta y de la malicia o perversidad que ésta manifiesta.

➢ Corresponderá al área de infraestructura, hacer las propuestas finales

sobre las sanciones a quienes violen las disposiciones en materia de

informática de la compañía.

➢ Todas las acciones en las que se comprometa la seguridad de la red

Agility Net y que no estén previstas en las políticas, deberán ser

revisadas por la Dirección General para dictar una resolución

sujetándose al estado de derecho.

➢ Cada política de seguridad deberá seguir un proceso de actualización

periódica sujeto a los cambios organizacionales relevantes: crecimiento

de la planta de personal, cambio en la infraestructura computacional,

desarrollo de nuevos servicios, entre otros.

❖ Actualización de los Procedimientos Disciplinarios:

Si se presentan infracciones o violaciones a políticas de seguridad que se

consideran relevantes y que se realicen por primera vez, se debe adjuntar a

los Tipos de Infracciones y Violaciones de Políticas de Seguridad.

4. Modulo Web

Para visualizar el funcionamiento del módulo web desarrollado, dirigirse al anexo del

manual de usuario, el cual se encuentra en el CD adjunto al documento.

91

5. CONCLUSIONES

Identificando los riesgos, amenazas y vulnerabilidades de la empresa

Agility mediante la aplicación de instrumentos de recolección de

información (entrevistas, encuestas y lista de verificación de buenas

prácticas), se evidencio el desconocimiento de metodologías y procesos

para gestionar la seguridad de la información por parte del personal, y

el grado de desprotección en que se encontraban los activos en la

organización.

Se identificó cada uno de los activos informáticos que tiene la empresa

Agility, determinando su valoración con respecto a cada uno de los

pilares de la seguridad de la información como lo son Disponibilidad,

Integridad y Confidencialidad, permitiendo de esta forma conocer los

activos que son de vital importancia dentro del Core del negocio y el

impacto que puede causar en la empresa su daño o perdida.

Con los resultados obtenidos durante la etapa de identificación, se logró

definir los controles y políticas que mitiguen el riesgo en la empresa

Agility, implementando el desarrollo de acciones preventivas y

correctivas en cada uno de las áreas seleccionadas para garantizar en

un porcentaje alto un óptimo funcionamiento de la organización con

respecto a la seguridad de la información.

Se realizó una aplicación web, la cual se centra en el inventario y control

de los activos informáticos de la empresa, teniendo en cuenta el diseño

del SGSI se determinó que es adecuada como una versión inicial, pero

es a criterio del usuario si requiere realizar versiones posteriores que se

centren en necesidades más concretas.

El diseño del Sistema de Gestión de la Seguridad de la Información en

la empresa Agility proporcionara herramientas para cada uno de los

activos, recursos humanos y aquellas áreas que por sus actividades

requieren de la utilización e implementación de las tecnologías de la

información (TI) para desarrollar la gestión de cada uno de sus

procesos, utilizando controles y estándares que permitan proporcionar

herramientas que mitiguen el riesgo y dar un mayor grado de

confiabilidad a la dirección, clientes y proveedores.

92

6. RECOMENDACIONES

Complementar la versión inicial del módulo web, adicionando el uso de imágenes para visualizar los activos y así tener una descripción más detallada para el usuario, el formato de las imágenes podría ser JPG previamente optimizado para no afectar el rendimiento de la aplicación.

Perfeccionar el funcionamiento del módulo web con la generación de informes y tener la posibilidad de exportar los mismos.

Implementar el modelo de referencia COSO, que permita extender la gestión de los riesgos a un sistema de control interno que abarque a la organización desde su planteamiento estratégico hasta procesos de autoevaluación, con el fin de minimizar el nivel de riesgo.

Se recomienda a la Universidad apoyar este tipo de proyecto como opción de grado ya que permite reforzar los conocimientos adquiridos durante la carrera y desarrollar las competencias académicas y profesionales, generando la posibilidad de construir un conocimiento colectivo con futuros trabajos.

93

BIBLIOGRAFIA

[1]. Buenaño & Granada (2013). Planeación y diseño de un sistema de gestión de seguridad de la información [en línea] [Consultado el 01/08/2016]. Disponible en Internet: http://www.dpace.epol.edu.ec/bitstream/123456789/6962/8/Tesis%20de%20

[2]. Pincay, F. (2005). Implementación del Primer Sistema de Gestión de Seguridad de la Información, en el Ecuador, Certificado bajo la Norma.

[3]. Gestión de calidad por procesos [en línea]. Cali, Universidad Libre. [Consultado el 09/07/2016]. Disponible en Internet: http://www.unilibre.edu.co/Ingenieria/ingIndustrial/GuiasIngIndustrial/LABORATORIOS/VIII%20SEMESTRE/GESTI%C3%93N%20DE%20CALIDAD/GESTI%C3%93N%20DE%20CALIDAD-LABGU%C3%8DA.pdf [4]. Magerit-versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I-Método, [en línea] [Consultado el 04/08/2016]. Disponible en Internet: https://www.ccn-cert.cni.es/publico/heramienta/pilar5/magerit, Pág. 5

[5]. Calidad y seguridad de la información y auditoría informática, [en línea]

[Consultado el 14/06/2016]. Disponible en internet

en: http://earchivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jse

ssionid=10850A53006DB846CED4EDCEDEDE1C40?sequence=1

[6]. Jihong Song, Guiying Hu Y Quansheng Xu.(2009). Operating System Security

and Host Vulnerability Evaluation [Version electronica]. Management and Service

Science, 2009. MASS '09. International Conference on, IEEE.

[7]. La auditoría interna como una herramienta para establecer controles internos

eficientes en las pequeñas y medianas empresas ferreteras de la Ciudad de San

Miguel, [en línea] [Consultado el 17/07/2016]. Disponible en internet

en:http://168.243.33.153/infolib/tesis/50107386.pdf

[8]. Hallberg, J.; Hunstad, A.; Peterson, M. (2005). A framework for system security

assessment [Version electronica]. Information Assurance Workshop, 2005. IAW '05.

Proceedings from the Sixth Annual IEEE SMC.

94

[9]. De la seguridad informática a la seguridad de la información, María Jesús Recio,

[en línea] [Consultado el 14/08/2016]. Disponible en internet en:

http://www.aec.es/c/document_library/get_file?uuid=e25028ca-cb3b-4ffd-ada0-

4ce2efa86f80&groupId=10128

[10]. Anwar, M.M.; ICCC, Islamabad ; Zafar, M.F.; Ahmed, Z. (2007). A Proposed

Preventive Information Security System [Version electronica]. Electrical Engineering,

2007. ICEE '07. International Conference on

[11]. ISO 27001, [en línea] [Consultado el 14/06/2016]. Disponible en internet

en:http://www.iso27000.es/sgsi.html

[12]. Shames, I.; Dept. of Electr. & Electron. Eng., Univ. of Melbourne, Melbourne, VIC,

Australia; Teixeira, A.M.H.; Sandberg, H. ; Johansson, K.H..(2012).Fault Detection

and Mitigation in Kirchhoff Networks [Version electronica]. Signal Processing Letters,

IEEE (Volumen: 19, Issue: 11).

[13]. Metodología que Integra Seguridad en ITIL Evolucionada y Orientada a la

Normalización, [en línea] [Consultado el 12/07/2016]. Disponible en internet

en:http://e-spacio.uned.es:8080/fedora/get/tesisuned:IngInf-Eruiz/Documento.pdf