ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001:2013

Transcripción

1 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2015 ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001:2013 Asesr Antni Jsé Segvia Henares EMPRESA FICTICIA LINEA S.A.S UNIVERSITAT OBERTAT DE CATALUNYA ESPAÑA Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 1

2 Máster Interuniversitari en Seguridad de las TIC (MISTIC) FICHA DE TRABAJO FINAL DE MASTER Títul del trabaj Elabración de un plan de implementación de la nrma ISO 27001:2013 Nmbre del autr Rubén Darí Zuleta Arang Nmbre del cnsultr Antni Jsé Segvia Henares Fecha de entrega Titulación MISTIC Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 2

3 Máster Interuniversitari en Seguridad de las TIC (MISTIC) RESUMEN. La empresa ficticia Línea S.A.S, requiere mejrar la seguridad de la infrmación empezand desde prcess de sensibilización para empleads, prveedres y clientes. Dnde se muestre riesgs, impacts pr amenazas y la frma cm la empresa puede perder prtunidades de negci, verse en situacines legales pr delits infrmátics, entre muchas situacines fundamentadas pr mals prcedimients humans dirigids a la inestabilidad rganizacinal fundamentand pérdida de cnfianza pr clientes. Pr tant, la empresa Línea S.A.S recnce el valr de la infrmación en su razón scial sbre la industria de servicis de recreación y alegría en sus parques. Tiene clar la buena práctica de buscar acercarse a un prces de certificación de la seguridad de la infrmación a través de la nrma certificable ISO 27001:2013 y la fijación de plíticas y cntrles de seguridad pr etapas cn ayuda de la guía de buenas prácticas ISO 27002:2013. En primera instancia la empresa pretende mitigar ls riesgs y ls impacts sbre la aplicación ICG desde ls punts de venta lcalizads en ls parques j y pn, para ell se cuenta cn el apy de la alta gerencia, quien prprcinará ls recurss necesaris y tmará decisines sbre la implementación del sistema de gestión de la seguridad de la infrmación SGSI. La segunda instancia desarrllar las fases del sistema de gestión de la seguridad de la infrmación, cncer las exigencias de gbiern en línea en materia del SGSI para empezar a establecer ls criteris de desarrll de las fases de auditria, la frma de trabaj, cmprmiss, liderazg y tip de perfiles a cntratar para el desarrll del SGSI Otra etapa fundamental cnsiste en canalizar ls prcesamients para implementación del sistema de gestión de la seguridad de la infrmación pr el cmité de seguridad de la infrmación cnfrmad en la empresa para determinar la frma de ejecución del SGSI, ls beneficis que se btendrán en cada área y la frma cm la empresa mejrará la eficiencia de ls prcess de la estructura rganizacinal. Pryectand así, su imagen crprativa a nuevas tendencias financieras, en términs de rentabilidad y slidez financiera. Dnde la mirada de ls clientes, se enfatizará en la satisfacción y cnfianza de bienes y servicis btenids pr calidad. Permitiend liderazg cmpetente para enfrentar la glbalización del mercad del turism, haciend fuerte la estructura rganizacinal para cmpetir en una era mderna y exigente, dnde las tecnlgías de la infrmación serán siempre el pilar fundamental y pr tant la seguridad de la infrmación de la empresa deberá significar plena imprtancia en términs de cnfidencialidad, alta dispnibilidad e integridad de ls dats sensibles. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 3

4 Máster Interuniversitari en Seguridad de las TIC (MISTIC) ASTRACT. The fictitius cmpany LINEA S.A.S, requires imprving infrmatin security prcesses starting frm awareness t emplyees, suppliers and custmers. Where risks, threats and impacts hw a cmpany can lse business pprtunities, seen in legal situatins cybercrime, amng many bad situatins substantiated by human prcedures aimed at rganizatinal instability basing lss f cnfidence by custmers is displayed. Therefre, the cmpany LINEA S.A.S recgnizes the value f infrmatin in its name n the industry f recreatinal and jy in their parks. Is clear gd practice t seek clser t a certificatin prcess f infrmatin security thrugh certifiable standard ISO 27001: 2013 and setting security plicies and cntrls in stages using the gd practice guide ISO : At first the cmpany intends t mitigate risks and impacts n the CGI applicatin frm utlets lcated in the jy parks pn, fr it is has the supprt f senir management, wh will prvide the necessary resurces and take decisins n the implementatin f the management system f infrmatin security ISMS. The secnd instance develping phases f system management infrmatin security, meet the requirements f egvernment in ISMS t begin t establish the criteria develpment phases f audit, hw t wrk, cmmitment, leadership and type f prfiles t hire fr the develpment f the ISMS Anther key step is t channel prsecutins fr implementatin f the management system f infrmatin security cmmittee fr infrmatin security in the cmpany frmed t determine hw t implement the ISMS, the benefits t be gained in each area and hw the cmpany will imprve the efficiency f prcesses f rganizatinal structure. Prjecting s, yur crprate image t new financial trends, in terms f prfitability and financial strength. Where the eye f custmers, will emphasize the satisfactin and trust f gds and services btained by quality. Allwing cmpetent leadership t face the glbalizatin f turism market, making strng rganizatinal structure t cmpete in a mdern and demanding era where infrmatin technlgy will always be the crnerstne and therefre the infrmatin security cmpany shall mean full significance in terms f cnfidentiality, high availability and integrity f sensitive data. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 4

5 Máster Interuniversitari en Seguridad de las TIC (MISTIC) LISTA DE PALABRAS CLAVES 1. Plítica de Seguridad: Nrmativa interna que debe cncer y cumplir td el persnal afectad pr el alcance del Sistema de Gestión de Seguridad de la Infrmación. El cntenid de la Plítica debe cubrir aspects relativs al acces de la infrmación, us de recurss de la Organización, cmprtamient en cas de incidentes de seguridad, etc. 2. Prcedimient de Auditrías Internas: Dcument que debe incluir una planificación de las auditrías que se llevarán a cab durante la vigencia de la certificación (una vez se btenga), requisits que se establecerán a ls auditres interns y se definirá el mdel de infrme de auditría. 3. Gestión de Indicadres: Es necesari definir indicadres para medir la eficacia de ls cntrles de seguridad implantads. Igualmente es imprtante definir la sistemática para medir. 4. Prcedimient Revisión pr Dirección: La Dirección de la Organización debe revisar anualmente las cuestines más imprtantes que han sucedid en relación al Sistema de Gestión de Seguridad de la Infrmación. Para esta revisión, la ISO/IEC define tant ls punts de entrada, cm ls punts de salida que se deben btener de estas revisines. 5. Gestión de Rles y Respnsabilidades: El Sistema de Gestión de Seguridad de la Infrmación tiene que estar cmpuest pr un equip que se encargue de crear, mantener, supervisar y mejrar el Sistema. Este equip de trabaj, cncid habitualmente cm Cmité de Seguridad, debe estar cmpuest al mens pr una persna de Dirección, para que de esta manera las decisines que se tmen puedan estar respaldadas pr alguien de Dirección. 6. SGSI. Sistema de gestión de la seguridad de la infrmación. 7. SSI. Seguridad de ls sistemas de infrmación. 8. Nagis. Es un sftware libre para mnitre de redes, permite cncer su estad de funcinamient y ls punts crítics ante un incidente. 9. ICG. Sftware para equips cliente ps y manager para el recaud, inventaris, ventas, facturación y análisis financier. 10. SICOF. Sftware financier para las finanzas, cntabilidad y presupuest, tesrería, nómina y gestión humana. 11. FIREWALL. Barrera de seguridad para el cntrl de tráfic en la red, aplicacines, equips, cntrl de credenciales de usuaris. 12. AM prgrama para la prgramación del mantenimient de tdas las atraccines y el cntrl de tdas las bras civiles que se realizan, generand reprtes y csts pr bra. 13. TIMESOFT Sftware para cntrl de ingres y salida del persnal perativ de la empresa, reprte y cntrl de hras extras. 14. MAGERIT es el acrónim de "Metdlgía de Análisis y Gestión de Riesgs de ls Sistemas de Infrmación de las Administracines Públicas". 15. Vulnerabilidad se define en este métd de Gestión del Riesg, cm un estad de debilidad capacidad para resistir un fenómen amenazante y que al ser expltad afecta el estad de ls activs del pryect, dich en tras palabras es la ptencialidad 'cercanía' previsible de la materialización de la Amenaza en Agresión. 16. Impact es el dañ que causa puede causar sbre el activ derivad de la materialización de una amenaza. 17. Riesg Es la prbabilidad de que las amenazas explten ls punts débiles (vulnerabilidades), causand pérdidas dañs a ls activs e impact al pryect sistema. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 5

6 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Listad de imágenes Pg. 1. Img 1. Estructura rganizacinal actual Img 2. Mapa de prcess del sistema de calidad certificad ISO Img 3. Red LAN t LAN mnitreada cn nagis Img 2. Evidencia de resultads del análisis diferencial de ISO 27001: Img 3. Evidencia análisis diferencial prcentual de ISO 27001: Img 4. Evidencia análisis diferencial Anex 2, cntrles y dminis Img 5. Evidencia prcentual de análisis diferencial Anex 2 cntrles y dminis Img 6. Metdlgía de análisis de riesgs para la empresa LINEA S.A.S Img 7. Resultads de riesg residual Img 8. Resultads de riesgs pr activs Img 9. Rieg residual anual pr activ Listad de tablas 1. Tabla 1. Valr umbral para ls indicadres Tabla 2. Prcedimient de revisión pr la dirección Tabla 3. Valración cualitativa de ls riesgs pr amenazas Tabla 4. Valración cuantitativa de ls riesgs pr amenazas Tabla 5. Frecuencia de currencia de amenazas Tabla 6. Calificación de ls dañs generads pr ls riegs Tabla 7. Valres a cnsiderar en la gestión de riesgs Tabla 8. Activs de la empresa LINEA S.A.S Tabla 9. Valres asciads a las dimensines de seguridad de la infrmación Tabla 10. Dimensines de la seguridad de la infrmación pr activ Tabla 11. Relación de amenazas Tabla 12. Tabla de valres para evaluar impact generad pr amenazas Tabla 13. Nivel de riesg aceptable pr la dirección Tabla 14. Identificación de riesgs n aceptables Tabla 15. Salvaguardas para tratar ls riesgs Tabla Dirección general de la rganización Tabla Persnal administrativ y financier Tabla Persnal de TI Tabla Servidr ICG Tabla Servidr SICOF Tabla Servidr Dcument Tabla Servidr de virtualización Tabla Cuart de telecmunicacines Tabla Swiches capa 2 y Tabla FIREWALL Tabla Planta telefónica Tabla Red eléctrica Tabla Cablead estructura hrizntal y vertical Tablas Sftware financier...64 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 6

7 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Tabla de Cntenid 1 FASE 1: SITUACIÓN ACTUAL: CONTEXTUALIZACIÓN, OBJETIVOS Y ANÁLISIS DIFERENCIAL Intrducción Prcess estratégics de LINEA S.A.S Ls recurss crítics TIC imprtantes para prteger en la rganización Cnciend la ISO/IEC Cntextualización Incidentes sprtads Objetivs del SGSI rganizacinal ALCANCE DEL SGSI Descripción del Alcance Objetivs del plan directr de seguridad de la infrmación Análisis diferencial Resultads del análisis diferencial Anex A ISO 27001: Cnclusines FASE 2: SISTEMA DE GESTIÓN DOCUMENTAL Esquema Dcumental Plítica de seguridad de la infrmación de la empresa LINEA S.A.S Prpósit Alcance Us aprpiad Uss inaceptables e inaprpiads para la seguridad de la infrmación Us de Internet Seguridad Respnsabilidades de ls administradres Respnsabilidades de ls usuaris Crre electrónic Privacidad y supervisión Respnsabilidades de ls usuaris frente al us del crre electrónic Respnsabilidad de ls administradres de ls sistemas de crre Las respnsabilidades y deberes de ls administradres de sistemas infrmátics de la empresa LINEA S.A.S Prcedimients de auditrías internas Objetiv Ámbit Planificación Respnsables Equip auditr Prgramación Ejecución Gestión de indicadres Prcedimient de revisión pr la dirección Ficha de prces Cmpsición del cmité de la seguridad de la infrmación Declaración de la aplicabilidad Metdlgía de análisis de riesgs Identificación de activs Identificación de Amenazas Valración de activs Valración e identificación de vulnerabilidades Identificación y valración de impacts Criteris para evaluar ls impacts pr activ..40 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 7

8 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 3 FASE 3: ANÁLISIS DE RIESGO Inventari de activs Dimensines de seguridad [D] Dispnibilidad [I] Integridad [C] Cnfidencialidad [T] Trazabilidad [A] Autenticidad Tabla resumen de valración Análisis de amenazas Impact ptencial La degradación [del valr] de un activ Nivel de Riesg Aceptable y riesg Residual Valración de riesg aceptable Riesg residual Salvaguardas Valr Salvaguarda pr activ Cste salvaguarda pr amenaza Preventivas Crrectivas Resultads FASE 4: PROPUESTAS DE PROYECTOS Intrducción Elabración de prpuestas Determinación de las salvaguardas Presentación de prpuestas Resultads ver anex diagrama de Gantt.xls 5 FASE 5: AUDITORÍA DE CUMPLIMIENTO Intrducción Metdlgía Observar anex, Infrme de auditria.dc Evaluación de la madurez ver anex Análisis diferencial ISO xls. 6 FASE 6: PRESENTACIÓN DE RESULTADOS Y ENTREGA DE INFORMES Intrducción Objetivs de la fase Entregables Bibligrafía Anexs Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 8

9 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 1. Fase 1: Situación actual: Cntextualización, Objetivs y Análisis Diferencial 1.1 Intrducción. EMPRESA LINEA S.A.S, es un ente públic descentralizad del estad Yucatán, desde hace 25 añs se ha dedicad a la industria y cmerci de bienes y servicis de recreación de la ciudad Tur, actualmente cuenta 392 empleads aprximadamente, distribuids entre el Parque N Atraccines Mecánicas y el parque J Zna Acuática. En cada un de ells existen punts de venta para aliments y bletería en general. A nivel perativ cuenta cn la dependencia de mantenimient en cargada de sprtar las atraccines y mantener el parque asead y en perfectas cndicines; tiene servici extern de guardas de seguridad para cntrlar ls access y cuidad de ls bienes; la parte administrativa cnsta de las siguientes dependencias: Gerencia General, Secretaria General, Gerencia Financiera, Gerencia de Mercade, Administración J, Administración N, cntabilidad, csts y presupuest, tesrería, Jurídica, Cntrl Intern, Cntrl disciplinari, Archiv, cmpras y almacén, lgística, mantenimient J, mantenimient N, cmunicacines y talent human. En la estructura rganizacinal falta realizar seris ajustes dnde se invlucre tdas las dependencias y el rl de usuari. Img 1. Estructura rganizacinal actual Junta Directiva Gerente General Secretaria General Cntrl Intern Jurídica Cntrl disciplinari Gerencia de mercade y ventas Gerencia administrativa y financiera Unidad de mantenimient N Cmunicacin es Unidad de sistemas Unidad de cmpras y almacén Unidad de cntabilidad y presupuest Unidad de mantenimient J Unidad de mantenimient N Unidad lgística de events Unidad de aliments Unidad de talent human Ls prcess de cada dependencia, actualmente se encuentran certificads pr el sistema de gestión de la calidad ISO 9001, expedid pr el ente certificadr, cada añ el ente certificadr verifica el cumplimient de ls prcess en cada área y trga las cnsideracines necesarias para la cntinuidad de la certificación. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 9

10 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Img 2, Mapa de prcess del sistema de calidad certificad ISO Prcess estratégics de LINEA S.A.S: Prcess estratégics. Sn ls Dirigids pr la Alta Dirección y sn ls respnsables de analizar las necesidades y cndicinantes de la sciedad, del mercad y de ls directivs. A través de ests, se define cóm pera el negci y cóm se crea valr para el cliente / usuari y para la rganización. Ests sprtan la tma de decisines sbre planificación, estrategias y mejras en la rganización y prprcinan directrices y límites de actuación para ejecución de ls prcess. Prcess misinales. Sn ls prcess que tienen cntact direct cn el cliente, de hech sn ls prcess a partir de ls cuales el cliente percibirá y valrará nuestra calidad. Impactan directamente, en el día a día, en ls resultads de negci, el mercad y de ls directivs. Prcess de apy. Sn ls prcess respnsables de prveer a la rganización de tds ls recurss necesaris en cuant a persnas, maquinaria y materia prima, para a partir de ls misms pder generar el valr añadid desead pr ls clientes. Su principal cliente es el cliente intern. Prcess de evaluación y cntrl. Es el encargad de evaluar en frma permanente la efectividad del cntrl intern la eficiencia, la eficacia, la efectividad de ls prcess; el nivel de ejecución de ls planes y prgramas; ls resultads de la gestión detectand desviacines, Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 10

11 Máster Interuniversitari en Seguridad de las TIC (MISTIC) estableciend tendencias y generand recmendacines para rientar las accines de mejramient. Se busca una crrecta integración del sistema de calidad implementad cn el sistema de gestión de la seguridad SGSI, de acuerd a las exigencias de gbiern en línea del estad Yucatán, para el cuidad de la infrmación sensible en términs de dispnibilidad, cnfidencialidad e integridad; dnde se implemente el SGSI acrde a la nrma internacinal certificable ISO 27001/2013, permitiend cn ell fijación de cntrles de acuerd al ISO 27002/2013 para identificación y valración de riesgs pr amenazas e impacts en cas de materializarse alguna de ellas, cncer el estad de la seguridad de la infrmación de la rganización tant intern cm externamente, selección y aplicación de medidas de cntrl para salvaguardar la infrmación sensible, cncienciación del persnal de la rganización y de la gerencia general sbre el valr y significad que debe tener la infrmación para el frtalecimient del cntext industrial y cmercial que caracteriza a la empresa; pder identificar y cntrlar las brechas de seguridad, prteger ls sistemas de fugas rbs de infrmación n cnsentids, elabración de planes de cntingencia para el cuidad de la infrmación ante una psible eventualidad, pder reaccinar y garantizar ls servicis sin afectar la prductividad y desarrll de la rganización; prevenir psibles intrusines en ls sistemas y aplicacines de la rganización. Se espera lgrar una mirada cnfiable de nuestrs clientes, prveedres y empleads de la rganización sbre ls bienes y servicis fertads Ls recurss crítics TIC imprtantes para prteger en la rganización sn: Las persnas: Empleads, prveedres y clientes sn el recurs más imprta a cuidar de acuerd al nivel de acces a ls recurss TIC de la rganización y al us de la infrmación. Redes de dats y redes WIFALL, sn ls medis de cmunicación sensibles para las cmunicacines de ls parques, sin ests se genera cas en ls prcess de la empresa. Páginas Web administrativa y para ls parques de recreación. Intranet y chat intern, sftware para cmunicación lcal. EXCHANGE sftware para crre crprativ de la rganización. PQRSD sftware WEB para las quejas, reclams y peticines de ls clientes y empleads. DOCUMENT aplicación para el registr dcumental de la empresa. SICOF prgrama financier de la rganización cmpuest de varis móduls: Cntabilidad, presupuest, almacén y cmpras, nómina y talent human. ICG prgrama para stck de ventas de ls parques pr equips pst ICG y un servidr manager ICG encargad de recibir recauds, brindar estadísticas, balances financiers, actualizacines de valres de ls servicis a cmercializar, cntrl de inventari, prgramación lgística, entre trs. AM prgrama para la prgramación del mantenimient de tdas las atraccines y el cntrl de tdas las bras civiles que se realizan en ls parques, generand reprtes y csts pr bra. TIMESOFT Sftware para cntrl de ingres y salida del persnal perativ de la empresa, reprte y cntrl de hras extras. SYMANTEC prgrama para las cpias de seguridad. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 11

12 Máster Interuniversitari en Seguridad de las TIC (MISTIC) DLO SYMANTEC sftware para cpias de seguridad de usuaris crítics de jefes y gerentes. MCAFEE sftware antivirus crprativ para 138 equips cliente y 12 servidres. Directri activ Sirve para crear, mdificar y cntrlar credenciales de usuaris para ls access a ls equips cliente y servidres. Micrsft Hyper-V es un prgrama de virtualización basad en un hipervisr para ls sistemas de 64 bits cn ls prcesadres basads en AMD-V tecnlgía de virtualización Intel (el instrumental de gestión también se puede instalar en sistemas x86. Licenciamient: Bases de dats Oracle 10g y 11g standard, Sftware ICG, SICOF, Micrsft Windws versines prfesinal 8, 8.1, 7; Licencia de LAN t LAN para cnectar ls ds parques a nivel lcal; SYMANTEC para las cpias de seguridad, licencia del sftware financier SICOF, Licencias ICG para las ventas en ls punts de cmerci abierts al públic y usuaris manager para gestión administrativa y financiera de la empresa, licencia de TIMESOFT para el cntrl de access de empleads, licencia de AM para la gestión y manej de ls recurss pr la dependencia mantenimient, 150 Licencias antivirus MCAFEE distribuidas entre 138 equips de cómput clientes y 12 servidres, licencia firewall marca SONY WALL emplead para cntrlar tráfic de red en la rganización y para ayudar prteger ls sistemas de algunas amenazas, licencias del DOCUMENT sistema dcumental utilizad y cntrlad desde el archiv para el registr de prcedimients legales. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 12

13 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Cnciend la ISO/IEC ISO/IEC (anterirmente denminada ISO 17799) es un estándar para la seguridad de la infrmación publicad pr la Internatinal Organizatin fr Standardizatin y la Cmisión Electrtécnica Internacinal. La versión más reciente es la ISO/IEC 27002:2013. Precedentes y evlución histórica. El estándar ISO/IEC tiene su rigen en el British Standard BS que fue publicad pr primera vez en En el añ 2000 la Internatinal Organizatin fr Standardizatin y la Cmisión Electrtécnica Internacinal publicarn el estándar ISO/IEC 17799:2000, cn el títul de Infrmatin technlgy - Security techniques - Cde f practice fr infrmatin security management. Tras un perid de revisión y actualización de ls cntenids del estándar, se publicó en el añ 2005 el dcument mdificad ISO/IEC 17799:2005. Cn la aprbación de la nrma ISO/IEZAC en ctubre de 2005 y la reserva de la numeración para la Seguridad de la Infrmación, el estándar IGFSO/DIEC 17799:2005 pasó a ser renmbrad cm ISO/IEC en el añ Publicación de la nrma en diverss países. En España existe la publicación nacinal UNE- ISO/IEC 17799, que fue elabrada pr el cmité técnic AEN/CTN 71 y titulada Códig de buenas prácticas para la Gestión de la Seguridad de la Infrmación, que es una cpia idéntica y traducida del inglés de la Nrma Internacinal ISO/IEC 17799:2000. La edición en españl equivalente a la revisión ISO/IEC 17799:2005 se estima que esté dispnible en la segunda mitad del añ En Perú la ISO/IEC 17799:2000 es de us bligatri en tdas las institucines públicas desde agst del 2004, estandarizand de esta frma ls diverss pryects y metdlgías en este camp, respndiend a la necesidad de seguridad pr el us intensiv de Internet y redes de dats institucinales, la supervisión de su cumplimient está a carg de la Oficina Nacinal de Gbiern Electrónic e Infrmática - ONGEI ( En Chile, se empleó la ISO/IEC 17799:2005 para diseñar la nrma que establece las características mínimas bligatrias de seguridad y cnfidencialidad que deben cumplir ls dcument electrónics de ls órgans de la Administración del Estad de la República de Chile, y cuya aplicación se recmienda para ls misms fines, denminad Decret Suprem N. 83, "NORMA TÉCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRÓNICO". En Blivia, se aprbó la primera traducción baj la sigla NB ISO/IEC 17799:2003 pr el Institut de Nrmalización y calidad IBNORCA el 14 de nviembre del añ Durante el añ 2007 se aprbó una actualización a la nrma baj la sigla NB ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitid la nrma NB ISO/IEC y NB ISO/IEC La versión de 2013 del estándar describe ls siguientes catrce dminis principales: 1. Organización de la Seguridad de la Infrmación. 2. Seguridad de ls Recurss Humans. 3. Gestión de ls Activs. 4. Cntrl de Access. 5. Criptgrafía. 6. Seguridad Física y Ambiental. 7. Seguridad de las Operacines: prcedimients y respnsabilidades; prtección cntra malware; resguard; registr de actividad y mnitrización; cntrl del sftware perativ; 2 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 13

14 Máster Interuniversitari en Seguridad de las TIC (MISTIC) gestión de las vulnerabilidades técnicas; crdinación de la auditría de sistemas de infrmación. 8. Seguridad de las Cmunicacines: gestión de la seguridad de la red; gestión de las transferencias de infrmación. 9. Adquisición de sistemas, desarrll y mantenimient: requisits de seguridad de ls sistemas de infrmación; seguridad en ls prcess de desarrll y sprte; dats para pruebas. 10. Relacines cn ls Prveedres: seguridad de la infrmación en las relacines cn ls prveedres; gestión de la entrega de servicis pr prveedres. 11. Gestión de Incidencias que afectan a la Seguridad de la Infrmación: gestión de las incidencias que afectan a la seguridad de la infrmación; mejras. 12. Aspects de Seguridad de la Infrmación para la Gestión de la Cntinuidad del Negci: cntinuidad de la seguridad de la infrmación; redundancias. 13. Cnfrmidad: cnfrmidad cn requisits legales y cntractuales; revisines de la seguridad de la infrmación. Dentr de cada sección, se especifican ls bjetivs de ls distints cntrles para la seguridad de la infrmación. Para cada un de ls cntrles se indica asimism una guía para su implantación. El númer ttal de cntrles suma 114 entre tdas las seccines aunque cada rganización debe cnsiderar previamente cuánts serán realmente ls aplicables según sus prpias necesidades. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 14

15 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 1.3 Cntextualización. Gestión de tecnlgías de la infrmación y la cmunicación. La infraestructura tecnlógica está dtada de 12 servidres, 9 de ells sn virtuales pr el sftware Hyper-v y 3 sn físics, ls sistemas perativs sprtads sn Windws 2003 server y Windws 2008 server 64 bits, 138 cmputadres clientes para td el persnal administrativ cn sistema perativ Windws 8 prfesinal 64 bits, 31 equips pst ICG para las ventas en ls parques cn sistema perativ Windws 7 64 bits. La tplgía de red es estrella bus, la cnexión lcal entre parques se cntrata pr servici de red LAN t LAN cn un prveedr de servicis X, tiene 2 firewall crprativ marca SONYWALL para el cntrl de tráfic de red, tiene 2 swiches capa 3 para la gestión y direccinamient ip, Se cuenta cn varis swiches de fibra para la cnectividad, file server para cmpartir archivs entre usuaris, cuenta cn sistema de almacenamient para las cpias de seguridad de la infrmación entre máquinas cliente y servidres cn aplicacines críticas, el internet es 20Mb dedicads para ls ds parques, cuenta cn servici de red wifi para ls clientes separad del segment de red de la empresa prprcinad pr el municipi x, zna wifi para empleads administrativs, directri activ para la gestión de cuentas de usuari; clúster de red para alt rendimient, alta dispnibilidad, balance de carga y escalabilidad de ls sistemas de infrmación y cuenta cn un sftware antivirus MCAFEE crprativ que ayuda a prteger ls sistemas de instruccines, amenazas, visita de sitis maliciss, eliminación y reprte autmátic de malware, gestión de funcines desde la cnsla Incidentes sprtads: Denegación de servicis DS de internet, prblemas de segmentación de la red cableada UTP categría 5E, Perdida del servici Wifi pr alta demanda de usuaris y alt tráfic de red cupand ls canales de la frecuencia 2.4 G, perdida de la base de dats de crre crprativ paralizand la empresa pr 1 día, swiches de fibra cn puerts mals quemads pr las sbre cargas eléctricas, mala cnectividad en ls punts de venta ps ICG; Alguns servidres tienen pcas características de rendimient, de alta escalabilidad y dispnibilidad de servicis para sprtar la demanda de recurss de aplicacines ICG y SICOF; falta de cncienciación de ls usuaris sbre el cuidad y manej de ls recurss tic de la rganización; pcas medidas de seguridad sbre el cntrl y us de cntraseñas debid a que muchs usuaris se prestan las credenciales; falta cncienciación desde la alta gerencia para asumir el valr y cuidad que debe tener la infrmación y l más crític la alta rtación de persnal ha generad fugas de infrmación imprtantes, paralización y desarrll de la empresa en ls prcess. Actualmente se realiza la gestión de mejramient de la red cableada a categría 6A, prpuesta de cambi de la telefnía análga pr la de vz sbre ip, integración de AP WIFI desde una cntrladra gestinada pr sftware, ampliación del almacenamient para las cpias de seguridad, Web Applicatin Firewall para el aseguramient de aplicacines públicas ante psibles intrusines pr inserción códig malicis y la renvación de servidres para sprtar crrectamente las aplicacines SICOF e ICG. Observar img 3, el mntaje de la infraestructura actual Pg 18. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 15

16 Máster Interuniversitari en Seguridad de las TIC (MISTIC) OBJETIVOS DEL SGSI ORGANIZACIONAL Objetivs Elabrar el sistema de gestión de la seguridad SGSI, ajustad a la nrma ISO 27001/2013 para el buen funcinamient de la infraestructura tecnlógica y el desempeñ adecuad de ls prcess. Implementar un sistema de gestión de la seguridad de la infrmación rganizacinal para el cumplimient de las exigencias de gbiern en Línea del estad Yucatán. Indicadr Cbertura de las plíticas. Efectividad de la plítica de cumplimient. Efectividad de las auditrías revisines nrmativas. Efectividad de la planificación de la revisión pr la dirección. Mejrar el nivel de cncienciación de ls usuaris sbre el crrect manej y us de la infrmación rganizacinal. Respnsabilidad sbre la SI en la rganización. Verificar la seguridad de la infrmación de la estructura rganizacinal de acuerd a las plíticas de seguridad de la infrmación y a las mejras de ls cntrles implementads. Auditar interna y externamente el us eficiente de la infrmación rganizacinal. Refrzar y cntrlar ls access a ls sistemas de infrmación cn ayuda de plíticas claras y cntrles de seguridad física. Mejrar la alta dispnibilidad, escalabilidad y rendimient segur de las aplicacines y servidres destinads al servici de las distintas labres rganizacinales. Alcance de la gestión de riesgs de SI. % de Cntrles ISO 27002:2013 Implementadas Existencia y efectividad de plíticas, prcedimients y cntrles para el intercambi segur de infrmación relevante Efectividad del SSI para cntrlar mitigar ls riesgs. Efectividad de las auditrías revisines nrmativas. Grad de despliegue efectividad de ls cntrles aplicads. % de Cntrles ISO 27002:2013 Implementadas Eficacia del cntrl de acces a sistemas y aplicacines. Efectividad de las revisines de seguridad física. Existencia y efectividad de estándares, directrices, prcedimients y herramientas de seguridad de redes Cumplir cn las exigencias reglamentarias en la legislación vigente en materia de salvaguardar infrmación sensible de persnas, derechs de autr, delits infrmátics, sciedades de la infrmación y la cmunicación. Efectividad del SSI Efectividad de la cntinuidad de la seguridad de la infrmación. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 16

17 Máster Interuniversitari en Seguridad de las TIC (MISTIC) ALCANCE DEL SGSI La rganización desea enfcar el SGSI basad en la nrma ISO 27001:2013 principalmente para el prgrama de ventas ICG y la red de la rganización de la siguiente manera: Ls sistemas de infrmación que dan sprte al prgrama de ventas ICG y la red interna de la Organización, según la declaración de aplicabilidad vigente Descripción del Alcance. Ls prcess tienen un cmpnente liderad pr persnal perativ y persnal administrativ. Interesa enfcar el sistema de gestión de la seguridad de la infrmación, al tratamient y mejra de incidencias sbre equips infrmátics de la administración de la infraestructura tecnlógica de la empresa ligads al prgrama de ventas ICG y la red interna. Inicia cn identificar la infraestructura tecnlógica y termina cn la identificación de amenazas, valración y análisis de riesgs, selección y aplicación de cntrles de seguridad de la infrmación, elabración de planes de cntingencia, recmendacines mnitre de la red y recmendacines generales de aplicabilidad. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 17

18 Img 3. Red LAN t LAN mnitreada cn nagis Máster Interuniversitari en Seguridad de las TIC (MISTIC)

19 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 1.5 Objetivs del plan directr de seguridad de la infrmación. Aplicar la nrmatividad vigente para el manej y tratamient adecuad de la infrmación rganizacinal cn apy recurss financiers, tecnlógics y humans necesaris e indispensables para su desarrll y cumplimient. Elabrar planes de cntingencia ante eventualidades inesperadas de seguridad causads vluntaria invluntariamente desde de la prpia rganización aquells prvcads externamente pr delincuentes infrmátics, accidentalmente pr catástrfes naturales y falls técnics. Implementar cntrles de seguridad adecuads para la garantía de la seguridad de la infrmación en términs de cnfidencialidad, integridad, dispnibilidad, autrización y n repudi, y trazabilidad. Hacer patente el cmprmis de la Dirección cn la seguridad de la infrmación, para la garantía de cntinuidad de las actividades de la Organización. Definir, desarrllar y pner en funcinamient ls cntrles técnics, legales y de gestión necesaris para la garantía del cumplimient, en td mment, de ls niveles de riesg aprbads para la Organización. Cumplir en td mment la legislación vigente en materia de prtección de dats y sciedad de la infrmación, y evaluación de trs factres de riesg sbre alteración de la seguridad de ls activs de la Organización. Crear una cultura de seguridad cmpartida pr td el persnal de la Organización. Tratar la seguridad de la infrmación cm un prces de mejra cntinua para la ptimización de ls cntrles de seguridad. 1.6 Análisis diferencial de medidas de seguridad existente en la rganización y las impartidas pr ISO/IEC e ISO/IEC Actualmente la empresa cuenta cn una certificación ISO 9001 de calidad de ls prcess certificada. Entre ells está la gestión de tecnlgías de la infrmación y la cmunicación. La cual actualmente, tiene implementada la plítica de seguridad per su aplicabilidad radica sl en la gestión de cntraseñas, nrmas de us de ls equips infrmátics, administración de la red de dats, gestión antivirus, sistemas de backup y almacenamient, plan de mejramient cntinu de la infraestructura tecnlógica, sprte a usuaris y sprte de infraestructura tecnlógica. Se diferencia de la guía de aplicabilidad ISO 27002/2013, pr ser una guía puntual de cntrles de seguridad de la infrmación que se pueden aplicar para frtalecer el sistema de calidad actual en la rganización y para estructurar, y aplicar las plíticas de seguridad de la rganización para cumplir cn ls pilares de la seguridad de la infrmación en términs de cnfidencialidad, integridad y dispnibilidad. Se realiza una entrevista en cada dependencia para evaluar el nivel de cumplimient de la nrma ISO 27001:2013 de ls apartads del 4 al 10 y l referente a la guía de cntrles ISO 27002:2013. En la siguiente tabla del anex 2, se expne ls resultads de la entrevista y se encntrará el estad de la seguridad de la infrmación de la empresa en sus diferentes prcess. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 19

20 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Anex 1. Análisis diferencial ISO xls. Cnsideracines baj la nrma ISO 27001:2013 y Anex A de cntrles para la declaración de aplicabilidad de ls cntrles Resultads del análisis diferencial Anex 1. Análisis diferencial ISO xls Img 2. Evidencia de resultads del análisis diferencial de ISO 27001:2013 %de madurez Mejra cntinua100% N cnfrmidades y 90% Mejra 80% 70% Revisión pr la dirección 60% 50% Auditria Interna 40% 30% 20% Seguimient, medición, 10% 0% Evaluación del desempeñ CONTEXTO DE LA Determinación del alcance Liderazg Plítica Rles, respnsabilidades y Planificación Accines para tratar ls Objetivs de la seguridad Tratamient riesgs de la Valración de riesgs de la SOPORTE Recuss Planificación y cntrl Tma de cnciencia Operación La cmunicación Cntrl de la infrmación Infrmación dcumentada Creación y actualización %de madurez La img 2, indica el grad de madurez de ls prcess de seguridad de la infrmación cn respect a la nrma ISO 27001:2013. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 20

21 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Img 3. Evidencia análisis diferencial prcentual de ISO 27001:2013 Prprción 140 Ttal 12 Implementad 100% 80% 60% 40% 20% 0% 25 Parcialmente implementad 103 N implementad La img 3, indica cantidad ttal de criteris cnsiderads de la nrma para verificar el estad de cumplimient rganizacinal Cnclusines. En la imagen 3, se puede verificar que la empresa cumple cn 26 cnsideracines de la nrma ISO 27001:2013 cntempladas en ls apartads 4 al 10, dnde resulta 12 cnsideracines implementadas eficazmente, 25 cnsideracines de frma parcial pr estar incmplets le falta grad de madurez y 103 n se cumplen n hay razón de existencia. El análisis diferencial de ISO 27001:2013, permite a la empresa cncer su situación actual sbre el estad de ls fundaments base para iniciar una etapa de implementación del sistema de gestión de la seguridad SGSI. Ls resultads arrjads sn pertinentes para determinar ls criteris necesaris para enmarcar la imprtancia y el valr que debe tener la infrmación para una rganización. De la imagen 3, 74% de las cnsideracines n se han implementad n se aplican; un 18% se cumple de frma parcial y un 9% se cumplen y se aplican al cntext rganizacinal. Se verifica cnsideracines pertinentes al frtalecimient de ls prcess para el cuidad y tratamient de la infrmación sensible y ls apartads para salvaguardar y tratar la infrmación en términs de cnfidencialidad, dispnibilidad e integridad dnde muchas de las cnsideracines exigidas pr la nrma aún n están cntempladas pr la dirección de la empresa. El análisis diferencial cn base a la nrma ISO 27001:2013, ayuda a la tma de cnciencia, saber que se está sujet a riesgs pr pérdida fuga de infrmación y permite establecer ls criteris de valrar riesgs de una amenaza que al llegarse materializar puede generar un impact cnsiderable y crític para la rganización. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 21

22 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Ver Anex 2. Análisis diferencial ISO xls, permite indagar sbre el estad inicial de la seguridad de la infrmación de la empresa ficticia LINEA S.A.S. Img 4. Evidencia análisis diferencial Anex 2, cntrles y dminis Madurez de ls cntrles actuales Aspects de seguridad de la infrmación de la gestión Gestión de incidentes de seguridad de la infrmación Relacines cn ls prveedres Cumplimient Plítica rganización 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Organización de la seguridad de la infrmación. Seguridad en ls recurss humans Gestión de activs. Cntrl de acces. Adquisición, desarrll y mantenimient de sistemas Seguridad de las cmunicacines Seguridad de las peracines Criptgrafía Seguridad física y del entrn La img 4, indica el grad de madurez de ls 114 cntrles de acuerd a la situación actual de la rganización. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 22

23 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Img 5. Evidencia análisis diferencial Anex 2, cntrles y dminis Madurez de ls cntrles actuales Plítica rganización Organización de la seguridad de la infrmación. Seguridad en ls recurss humans Gestión de activs. Cntrl de acces. 10% 5% 8% 4% 9% 10% 1%5% 8% 10% 12% 10% 0% 8% Criptgrafía Seguridad física y del entrn Seguridad de las peracines Seguridad de las cmunicacines Adquisición, desarrll y mantenimient de sistemas Relacines cn ls prveedres Gestión de incidentes de seguridad de la infrmación Aspects de seguridad de la infrmación de la gestión de cntinuidad del negci Cumplimient Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 23

24 Máster Interuniversitari en Seguridad de las TIC (MISTIC) La img 5, indica ls prcentajes de madurez de ls cntrles de la rganización cn respect a ls dminis del ANEXO A de la nrma ISO y la guía de cntrles ISO del añ Cnclusión La img 4 y la img 5. Según guía de cntrles del anex A que sn también cnsiderads en la guía ISO 27002:2013, indica de 114 cntrles, la empresa sl tiene ptimizads 20 cntrles y 23 cntrles sn inexistentes pr tener incnsistencias en la efectividad de la plítica de seguridad de la infrmación, pr n haber claridad en ls prcedimients y pr n estar actualizand ls prcess; 12 cntrles están en estad inicial, aún n se aplican puede ser pr descncimient de la nrma, la tranquilidad del persnal, pr falta de cncienciación sbre el valr e imprtancia que debe tener la infrmación dentr y fuera de la rganización prque sn esfuerzs individuales que n tienen en cuenta ls criteris del equip de trabaj de la rganización. Se verifica también 14 cntrles cn una efectividad del 90% dnde ls prcess están implementads, dcumentads y cmunicads, y 45 cntrles de un 95% de efectividad; pr tant, pr ser prcess gestinables y medibles pueden seguirse evaluand cn ayuda de indicadres. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 24

25 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2. FASE 2. SISTEMA DE GESTIÓN DOCUMENTAL DEL SGSI 2.1 Esquema dcumental. Elabración mínima de dcuments exigids para el cumplimient de las exigencias de la nrma ISO 27001:2013 y para el cumplimient de un prces de certificación POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA LINEA S.A.S Prpósit. Cntribuir al lgr de la seguridad de la infrmación pr etapas, partiend de cncienciación de la alta dirección y del persnal sbre el valr e imprtancia de la infrmación, us aprpiad de ls sistemas de infrmación y de las aplicacines; hasta la cnslidación de una rganización sólida y cmprmetida cn el cumplimient de la legislación vigente en materia de delits infrmátics y sciedad de la infrmación, respect pr ls derechs de autr prpiedad intelectual, cumplimient de ls tres pilares de la seguridad de la infrmación en términs de cnfidencialidad, integridad y dispnibilidad para establecimient de alta cnfianza y calidad de servicis para empleads, clientes y prveedres Alcance Esta plítica es de aplicación en el cnjunt de áreas que cmpnen la Empresa, a sus recurss, a la ttalidad de ls prcess interns externs vinculads a través de cntrats acuerds cn tercers y a td el persnal cualquiera sea su situación cntractual. En particular, ls bjetivs cmprenden: Asegurar que ls recurss tecnlógics de infrmación y cmunicacines prprcinads al servici de la infrmación, se utilicen en frma cnsistente cn la misión de empresa, cnsiderand la ética, ls aspects legales, ls valres de hnradez y respnsabilidad, cnsiderada aprpiada, de cnfrmidad cn ésta plítica institucinal y leyes aplicables vigentes. Asegurar que las interrupcines y perturbacines en el préstam de ls servicis asciads a ls sistemas infrmátics y de cmunicacines, casinads pr us inaprpiad inaceptable, sean mínims, al igual que ls deterirs y dañs casinads pr mal us accidental prvcad. Dar a cncer a ls usuaris que en general, la infrmación electrónica está sujeta a las mismas leyes, regulacines, plíticas y requerimients aplicables a la infrmación que se cmunica en tras frmas y frmats escrits, per también hay múltiples aspects adicinales pr cnsiderar, dada la naturaleza excepcinal de la infrmación electrónica Us Aprpiad El us de ls recurss infrmátics y servicis asciads que se prprcinan a ls usuaris debe ser cnsistente cn ls fines de la Empresa, igual que curre cn cualquier tr recurs que se suministra cm herramienta de trabaj. Se espera que las persnas actúen respnsablemente en la frma cm acceden transmiten infrmación desde a través de las redes de cómput de la Empresa. Ls usuaris deberán ser respnsables de sus accines y misines. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 25

26 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Uss inaceptables e inaprpiads para la seguridad de la infrmación. Ls recurss infrmátics n deberán: 1. Utilizarse para llevar a cab actividades pr fuera de la Ley. 2. Utilizarse para fines particulares en hrari labral. 3. Entregarse a tercers dats infrmación de ls pryects sin tener la debida autrización de ls directivs de la Empresa. 4. Utilizar ls recurss sin el respet pr las leyes de Derechs de Autr. Aplicable entre trs, a texts, elements multimedia (gráfics, ftgrafías, vides, música, etc), dats y sftware. 5. Utilizar ls recurss de tal frma que n se vile ésta u tras plíticas, reglaments directrices institucinales. 6. Utilizar ls recurss para actividades n relacinadas cn la misión y bjetivs de la Empresa. 7. Utilizar ls recurss en frma inaprpiada, pniend en peligr la infrmación, ls recurss ls intereses de la Empresa. 8. Utilizar ls recurss en frma inaprpiada, interfiriend cn ls sistemas de cómput y telecmunicacines. 9. Utilizar ls recurss sin respetar el trabaj derechs de trs usuaris. 10. Utilizar recurss sin tener autrización autridad para hacerl; permitir facilitar que usuaris n autrizads hagan us de ls recurss de la Empresa. 11. Distribuir dats infrmación cnfidencial de la Empresa sin autrización. 12. Difamar de tras persnas vía crre electrónic pr trs medis. 13. Alterar cnfiguracines de sftware hardware del sistema sin autrización. 14. Usar, alterar acceder sin autrización a ls dats a ls archivs de trs usuaris, así esa infrmación se encuentre accesible. 15. Leer la crrespndencia electrónica ajena, a mens que se esté específicamente autrizad para hacer es. 16. Prestar las cntraseñas persnales, ls dats ls archivs de trs. 17. Suplantar a tras persnas, haciend us de una falsa identidad, utilizand pr ejempl cuentas ajenas de crre electrónic. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 26

27 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 18. Llevar a cab actividades particulares en nada relacinadas cn ls fines institucinales, pr ejempl, utilizar Internet para cnsulta de páginas cn cntenids prngráfics, utilizar ls discs durs de ls cmputadres del Institut para almacenar archivs de música mp3 similares. 19. Intentar evitar ls mecanisms de seguridad de la red de cntrl impuests, perjudicar la funcinalidad de la red, saltarse las restriccines establecidas pr ls administradres de la red. 20. Sacar tmar prestads ls recurss de la Empresa sin tener la debida autrización. 21. Utilizar sftware sin respetar ls Derechs de Autr, pr ejempl: Duplicar, instalar utilizar sftware en una frma diferente a la permitida autrizada. 22. Evadir las restriccines cndicines impuestas en las licencias términs de us del sftware. Instalar sftware gratuit sftware btenid de Internet sin dispner de algún respald legal que claramente autrice su us, ya sea impres digital. 23. Interferir trastrnar deliberadamente el sistema el trabaj de trs, pr ejempl: Cargar excesivamente un sistema de cómput ejecutar códigs dañins tales cm virus. 24. Crear, cpiar, enviar reenviar cadenas de mensajes en nada relacinads cn la Empresa. 25. Escribir en papel las cntraseñas asignadas mantenerlas en medis digitales sin prtección alguna. 26. Instalar sftware sin estar debidamente autrizad para ell, sea n el sftware de prpiedad de la empresa LINEA. 27. Crear, btener, desplegar, almacenar, cpiar transmitir materiales sexualmente rientads sexualmente explícits. 28. Utilizar ls recurss infrmátics para juegs Us de Internet La empresa LINEA S.A.S y el us de Internet que se lleva a cab utilizand las direccines y nmbres de dmini La empresa LINEA, prmueve el us de Internet para que ls usuaris puedan llevar a cab sus labres de una mejr frma y anima a sus empleads, clabradres y persnal de cntrat a desarrllar las destrezas necesarias para utilizar esta herramienta en frma efectiva en el desarrll de las labres institucinales. El us de Internet debe realizarse únicamente para actividades relacinadas cn Empresa, salv el us particular eventual, limitad y permitid pr fuera del hrari labral. Se espera que ls funcinaris utilicen Internet para incrementar su cncimient, para acceder a infrmación técnica y científica y de trs tips sbre temas de relevancia para empresa, y para cmunicarse cn clegas y tras persnas en el desarrll del quehacer institucinal. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 27

28 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Es respnsabilidad de cada usuari hacer ejercici de buen juici cuand se acceda a sitis de Internet y evitar sitis que ninguna relación tengan cn el trabaj que pngan en peligr la buena imagen, ls equips ls recurss de la Empresa. El us de la cnexión a Internet debe realizarse sin interferir cn el trabaj de ls demás, debe ser legal, en particular, bservand respet pr las leyes de derechs de autr Seguridad El acces y us de Internet se debe realizar utilizand una cmpuerta segura, equipada de un crtafuegs (firewall) que cntrle td paquete entrante saliente y que impida cnexines entrantes n autrizadas a las redes de dats de la Empresa. Ls servicis de red institucinales debidamente autrizads, que se habiliten para su acces desde Internet, deben clcarse en peración sl después de aplicar unas medidas de seguridad básicas (pr ejempl, para cierts servicis mediante el us de cnexines encriptadas). Cuand se requiera acceder remtamente a ls equips de la empresa Linea, se deberán utilizar cnexines seguras, evitand servicis tales cm Telnet, ftp y trs que se sabe sn de alt riesg. Ls servicis de red cnexines autrizads desde la prpia rganización hacia Internet incluyen: cnsultas web (http y https), crre electrónic, cnexines remtas tip ssh telnet, transferencia de archivs vía FTP, cnsultas DNS, sincrnización de tiemp y cpias remtas usand rsync. Otrs servicis y cnexines se irán autrizand de acuerd a necesidad y cnveniencia institucinal. N está permitid cnectarse a Internet utilizand equips diferentes a ls que se encuentran ficialmente en servici, así pr ejempl, n está permitid cnectar usar ls módems de ls PCs de ls usuaris para ese prpósit. Tenga en cuenta que cualquier dcument que se envía a través de Internet puede caer en mans de tercers, pr l tant, actúe de acuerd a las plíticas de cnfidencialidad de la empresa Respnsabilidades de ls administradres Sn respnsabilidades de ls administradres de las redes de dats de la Empresa LINEA S.A.S: Instalar y cnfigurar aprpiadamente ls dispsitivs de prtección necesaris para que el acces a Internet se realice siempre de frma segura. Velar siempre que el acces a Internet se realice de frma segura. Instalar y cnfigurar ls servidres intermediaris (prxies) y sftware adicinal necesari que permita cntrlar el us de la cnexión a Internet. Realizar pruebas que demuestren que las redes de dats institucinales se encuentran seguras, prtegidas de access remts n autrizads. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 28

29 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Verificar que la cnexión a Internet se utilice de acuerd a l cntratad cn ls prveedres del servici de Internet. Pr seguridad, el Administradr n debe cnectarse a Internet desde cuentas privilegiadas para llevar a cab actividades que pueden efectuarse desde cuentas n privilegiadas de usuaris, tales cm cnsultar páginas web, acceder a un servidr FTP, etc Respnsabilidades de ls usuaris Ls usuaris sn respnsables pr: Es respnsabilidad de cada usuari utilizar ls recurss infrmátics en frma aprpiada, de la manera detallada descrita, en benefici de ls intereses de la empresa. Cada usuari es respnsable de leer, dcumentarse y cmprender está y demás plíticas infrmáticas institucinales, para darles cabal cumplimient. Seguir las plíticas de seguridad y prcedimients para su us de ls servicis de Internet y, abstenerse de cualquier práctica que pdría pner en peligr ls sistemas de cómput, la infrmación ls dats de la Empresa. Verificar que el sftware antivirus institucinal se encuentre en ejecución y vigilante en frma permanente. Familiarizarse cn cualquier requisit necesari para acceder, prteger y utilizar dats, incluyend materiales prtegids pr Leyes de Privacidad, materiales cn Cpyright y btención de dats cnfidenciales. Cm funcinaris públics, actuar de tal frma que siempre se refleje psitivamente sbre la Empresa Crre electrónic N está permitid el enví de dats infrmación cnfidencial n autrizads vía Internet. Cuand necesite enviar infrmación cnfidencial pr crre electrónic vía Internet, cnsidere cmunicarla pr teléfn pr crre nrmal. Las cuentas de crre electrónic que se asignan a ls usuaris sn exclusivamente para us ficial, salv el enví recepción eventual de mensajes breves de sól text. La lista glbal de direccines debe ser creada cn ls nmbres y ls ds apellids de las persnas, y ls crres deben tener una estructura estandarizada en su creación. Cuand una persna deje de trabajar en la empresa, la cuenta de crre de esta persna debe ser blqueada inmediatamente y deshabilitada en un tiemp máxim de 1 mes; n sin antes realizar un respald de la misma. Está prhibid abrir archivs adjunts de crre electrónic recibids de remitentes descncids, ya que pueden cntener virus u trs códigs dañins. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 29

30 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Td usuari debe supervisar que el sftware antivirus institucinal siempre se encuentre en ejecución permanente, para minimizar ls riesgs de activación de virus ya sea al enviar al revisar el crre recibid. N está permitid que ls usuaris cmpartan sus cntraseñas de sus cuentas de crre Privacidad y supervisión La empresa LINEA S.A.S, se reserva el derech de revisar ls archivs de crre electrónic de ls usuaris en cualquier mment, ya sea para verificar el cumplimient de las plíticas Institucinales, pr raznes de seguridad, pr raznes técnicas para trs prpósits legítims de la Empresa. En particular, la privacidad n se puede garantizar dad que, en el cumplimient de su deber, ls administradres de ls sistemas de crre pueden necesitar supervisar las transmisines u casinalmente bservar ls cntenids de ls mensajes de crre de ls usuaris. Pr tr lad, pr la naturaleza excepcinal de la infrmación electrónica, ls usuaris n deberían tener expectativas de privacidad Respnsabilidades de ls usuaris frente al us del crre electrónic. Es deber y respnsabilidad de tds ls usuaris utilizar en frma aprpiada el servici de crre electrónic prprcinad pr la empresa para el cumplimient de su deber. En particular, bservar ls debids cuidads en la selección y manej de cntraseñas, n dejar sesines de trabaj abiertas y tras precaucines y cnductas que impidan uss indebids de terceras persnas Respnsabilidad de ls administradres de ls sistemas de crre. Actuar de manera ética cuand en el cumpliment de sus deberes necesiten mirar ls crres de ls usuaris, pr ejempl, inspeccinand al nivel mens invasiv psible. Respnder a ls crres de ls usuaris en frma aprpiada y prtuna. N deben brrar ningún archiv de usuari que se encuentre almacenad en ls sistemas de cómput al servici de la Empresa sin el permis de su prpietari, a mens que la presencia del archiv interfiera cn la peración del sistema. Pueden pr raznes de seguridad pr uss inaceptables, deshabilitar tempralmente las cuentas de crre de ls usuaris Las respnsabilidades y deberes de ls administradres de sistemas infrmátics de la empresa LINEA S.A.S. Orientar y cnfigurar ls sistemas que administran de tal frma que en cualquier mment se pueda identificar a ls usuaris que acceden usan un determinad recurs infrmátic. Realizar revisines periódicas a ls cmputadres persnales y estacines de trabaj de ls usuaris que se encuentren baj su cuidad, para verificar que slamente se esté utilizand en ells sftware legal autrizad y que el us que se les da a ests equips esté acrde a las plíticas institucinales. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 30

31 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2.2. PROCEDIMIENTOS DE AUDITORIAS INTERNAS Objetiv. Definir el alcance de ls prcedimients para las auditrías internas Ámbit. Se incluye ls sistemas de gestión de la seguridad rganizacinal dnde el respnsable es el analista de seguridad de la infrmación rganizacinal Planificación. Las auditrías internas se deben realizar pr l mens una vez al añ, el equip auditr debe ser independiente de las áreas que va auditar, debe cntar cn el acmpañamient del analista de la seguridad de la infrmación rganizacinal y cn el apy de la alta dirección. Se debe verificar pr etapas y lapsus de tiemp la revisión de las plíticas y cntrles implementads. Se debe realizar auditrías de caja negra sin cncimient de ls prcess que se requieran auditar y tras de caja blanca dnde el auditr tiene infrmación suministrada pr el equip de seguridad de la rganización Las auditrías internas deberán cmprbar la efectividad y madurez de ls cntrles, bjetivs y plíticas de seguridad; cmprbar las debilidades de seguridad y frtalecer al equip de seguridad de la infrmación sbre las mejras psibles para evitar riegs frente amenazas. Se debe trgar a ls administradres de la seguridad de la infrmación sbre ls mecanisms de seguridad implementads sn adecuads n, aspects a mejrar, identificación y cntrl de amenazas. Ls auditres deben plasmar en una acta la planificación detallada de las auditrías que se van a realizar durante el añ para que la dirección de la rganización pueda llevar seguimient de igual manera para futuras auditrias planear ls prcedimients a seguir Respnsables: Dirección General de la rganización. Respnsable de la aprbar el prgrama de auditrías internas. Representante de la dirección. Cncer el prcedimient de auditrías Internas Revisión del plan de Auditrías; Actualizacines del plan de auditrias Revisión de infrmes de las auditrias pr la dirección general de la empresa. Respnsable de Seguridad de la Infrmación Elabración y actualización del prcedimient de auditrías internas Planificación de las auditrías internas Revisión de ls infrmes de las Auditrías Internas Determinación de medidas para acmeter las n cnfrmidades Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 31

32 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Equip Auditr Ser independientes de las áreas que va auditar. Firmar acuerds de cnfidencialidad sbre la infrmación sensible suministrada. Frmación de ls auditres: Prfesinal en infrmática áreas afines Prfesinal cn certificacines cmprbadas en ISO 27001:2013 cn sólids cncimients en implementación de un SGSI. Frmación para realizar auditrías internas Experiencia mínima de 1 añ sbre auditrías internas Persna cn cncimient de la rganización auditar Capacidad para cmunicarse y hablar en públic Capacidad para elabrar y preparar infrmes Ser imparcial y respnsable. Capacidad y habilidad para verificar registrs y dats Persna cn cmprmis cn el desarrll y ejecución de las actividades establecidas para el SGSI rganizacinal Prgramación El respnsable de la seguridad de la infrmación rganizacinal debe fijar acuerds cn las áreas que se van a intervenir y cn el equip auditr para acrdar el crngrama de actividades y fechas en que se va a desarrllar ls prcedimients de la auditria. Se debe fijar un instructiv que indique: Fechas y hra de auditria Áreas a intervenir Tips de prcess a evaluar Fijación del tip de slicitudes Tiemp para la auditria. El auditr equip auditr debe llevar l necesari para el desarrll de las labres cm: frmulari, dcuments de sprte, entre trs. El equip auditr debe realizar: Revisines de dcumentación El respnsable de seguridad de infrmación y las áreas auditadas deben suministrar la infrmación necesaria para cumplimient de las labres. Preparación de la auditria interna Scialización del prgrama de auditria interna cn suficiente tiemp de antelación para que sea revisad pr la dirección general de la empresa y pr las áreas a intervenir Ejecución Auditria de las áreas en fechas acrdadas Realización de reunión de apertura cn la dirección general y áreas a intervenir. Scialización del tip de auditria y prcedimients a realizar. Apy del persnal de la rganización para que clabren cn ls prcedimients de auditria y cn la infrmación slicitada. Ls auditres deben ser clars cn ls prcedimients. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 32

33 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Ls auditres deberán entregar infrme técnic para el persnal de TI y un ejecutiv para la alta dirección y el rest del persnal auditad. Fijar reunión de cierre y scialización de resultads. Cuand el equip Auditr cnsidere finalizada su tarea, deberá presentar un Infrme cn ls resultads btenids de la auditría. El infrme deberá incluir: Nmbre del equip auditr y/ auditr líder Fecha de la auditría Prcess auditads Respnsables de las actividades prcess Objetivs, alcances y criteris Hra de inici y duración de la auditría Hallazgs y n cnfrmidades encntradas Oprtunidades de mejra Requerimient de accines crrectivas. Nmbre, carg y firma de la persna respnsable del auditad Firma de ls Auditres El infrme de auditría debe emitirse en un plaz máxim de cinc días hábiles después de su ejecución. Dirección debe exigir la entrega de este infrme. 2.3 GESTIÓN DE INDICADORES Ls indicadres se determinan a partir de ls cntrles seleccinads de cada dmini de la nrma ISO 27001:2013, se elabra una tabla de Excel dnde se define el tip de dmini, métrica asciada, y etapa de medición. Se define las siguientes cnsideracines para el valr umbral: Clr %Umbral Descripción Amarill 75% más Cumple meta Rj Mens de 45% N cumple meta Verde De 45% mens 75% Tabla 1. Valr umbral para ls indicadres Cumple meta a términ medi El valr umbral es un valr que permite la tma de decisines cuand una meta frente a un indicadr n se cumple para indicar que también estams en el cumplimient de ls cntrles. Ver Anex 3. Gestión de indicadres.xls Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 33

34 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2.4 PROCEDIMIENTO DE REVISIÓN POR LA DIRECCIÓN. La dirección de la rganización LINEA S.AS. Tendrá cm cmprmis la revisión del sistema de gestión de la seguridad de la infrmación a intervals planificads para medir la cnveniencia, la adecuación y la eficacia de mejra cntinua. A cntinuación se relacina prcedimient: Fecha Tip de revisines Estad de las revisines Cnsideracines externas Cnsideracines internas Retralimentación N cnfrmidades Accines crrectivas Seguimient Resultads Cumplimient de bjetivs Retralimentación de partes interesadas Valración de riesgs Estad plan de tratamient de riesg Oprtunidades de mejra cntinua Decisines Cnclusines Las reunines se realizaran en las instalacines de la empresa LINEA S.AS, se acrdará fecha y hra de reunión para scialización del sistema de gestión de la seguridad, la reunión n pdrá exceder de 2 hras, el infrme debe ser puntual y cncret en relación cn el bjet de ls servicis acrdads relacinads cn ls lineamients de la plítica de seguridad de la infrmación rganizacinal y el alcance del SGSI pactad. Las Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 34

35 Máster Interuniversitari en Seguridad de las TIC (MISTIC) FICHA DE PROCESO RECURSOS DESCRIPCIÓN RESPONSABLE Instalacines de la empresa, recurss humans y ecnómics. Se establece acuerds pr parte de la dirección general de la empresa sbre el prces de implementación del SGSI. Gerente general de la rganización, respnsable de la seguridad de la infrmación, respnsable de las áreas auditadas. Entradas Interaccines Salidas Amenazas en ls sistemas cliente y servidres de aplicacines. Resultads de las actividades de análisis y tratamient de riesgs.. Cncimients de técnicas y prducts de seguridad. Resultads de auditrias Prcedimients para la mejra cntinua. Supervisión de cumplimient de las auditrías internas. Prces de mnitrización, evaluación y resultads. Actas de reunines Dispnibilidad de recurss Objetivs para ls indicadres Destinación de tiemps y recurss humans. Evaluación de actividades y prcess. Cambis que puedan afectar ls sistemas Relación de prgramas de seguridad. Catálgs de prducts y servicis de seguridad. Prcedimients de mejra cntinua. Indicadres de prcess y servicis. Indicadres Riesgs Dcuments Cumplimient cn ls requerimients del SGSI. Resultads del SGSI Adaptación de las plíticas y bjetivs del SGSI a la rganización. Incumplimient del alcance del SGSI. SGSI n cumpla cn la exigencias de gbiern en línea Ls resultads n sean ls esperads pr mals prcedimients para evaluar la situación actual de la rganización. Infrme final del SGSI Actas de reunines Cntrats Pólizas de cumplimient Dcumentación de auditres. Auditres irrespnsables cn bajs criteris para rientar ls prcess de la rganización. Tabla 2. Prcedimient de revisión pr la dirección. Se expne las cnsideracines que deben ser revisadas pr la dirección para el cumplimient del alcance plantead en el SGSI. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 35

36 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2.5 Cmpsición del Cmité de Seguridad de la infrmación. Gerente administrativ y financier. Encargad de tmar las decisines, asignar recurss, establecer las tareas a cada dependencia de acuerd al rl y credenciales que tenga dentr de la rganización. Respnsable de la seguridad de la infrmación Prfesinal analista de sistemas de infrmación ls cuales deben de presidir dich cmité puest que sn las persnas que realmente manejan el tema sbre seguridad de la infrmación. Respnsable de Infrmática. encargad de administrar la platafrma tecnlógica. Muchas de las decisines que se puedan dar van de la man cn el desarrll de las tecnlgías dentr de la rganización y prque realmente sn muy pcs ls prcess manuales. Respnsable de Seguridad Física del edifici, y asunts generales. Se entrega la respnsabilidad a ls jefes administradres de ls parques. Respnsable del Departament Jurídic. Es el encargad de aplicar la ley en tds ls prcess legales de la empresa y de defender ls intereses y bienes de la misma. Respnsable de Calidad. Es el líder encargad de llevar una cntinuidad de mejra y cumpliment de ls prcess de acuerd a ls lineamients del sistema de gestión de la calidad ISO 9001 de la rganización y de ls prcess requerids para el sistema de gestión de la seguridad de la rganización SGSI. Líderes de las áreas de negci (directres gerentes de cada dependencia). La seguridad de la infrmación rganizacinal, es un tema de tdas las persnas que hacen parte de una rganización. Pr tant es indispensable ls líderes de cada dependencia cmprendan cm es el benefici y us de medidas de cntrl en cada una de las áreas, dnde ells misms aprenden aprtar ideas para mejrar ls cntrles y las medidas de seguridad que se generen para la rganización. Es imprescindible que en el Cmité de Seguridad se encuentre persnal del Cmité de Dirección. De esta frma se garantizará el apy direct de la Dirección. Rles RESPONSABLE: Gerente General, Gerente Administrativ y Financier LÍDER: Jefe Unidad de Sistemas. EJECUTORES: Prfesinal analista de sistemas de infrmación, Prfesinal administrativ, técnic administrativ, Auxiliar Administrativ y practicante (según dispnibilidad). Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 36

37 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 2.6 Declaración de la aplicabilidad Se realiza una verificación de ls cntrles para determinar si aplica n aplica para alcanzar ls bjetivs prpuests para el SGSI de LINEA S.A.S. Ver Anex 4. Declaración de la aplicabilidad.xls 2.7 Metdlgía de análisis de riesgs Se define la metdlgía de análisis y gestión de riesgs Magerit, la cual es una metdlgía elabrada pr el Cnsej Superir de Administración Electrónica españl, para dar respuesta al análisis de riesgs que pueden generar las tecnlgías de la infrmación rganizacinal. Pr tant, se pretende aplicar de acuerd a ls cntrles a implementar en la empresa LINEA S.A.S para el tratamient de riesgs pr amenazas. Se va utilizar la metdlgía de riesgs Magerit, las etapas a desarrllar serán: 3 Img 6. Metdlgía de análisis de riesgs para la empresa LINEA S.A.S 3 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 37

38 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Identificación de Activs. Permite la gestión de riesgs rganizacinal. Ls activs a prteger han de tener asignad un prpietari en la cmpañía. A cada prpietari de ls activs debe tener unas medidas para tratamient de ls riegs. Ls tips de activs identificables para el análisis de riesgs: Físics: Activs de Hardware cm: rdenadres, teléfns móviles, Tablets, Impresras, entre trs. Lógics: Activs de sftware, cm ls sistemas perativs, utilidades, instalación de aplicacines de tercers, entre trs. Persnas: Persnal de la rganización, prveedres, visitantes. Entrn e Infraestructura: Elements de la infraestructura tecnlógica, red de dats, red eléctrica, entre trs. Intangibles: Elements n materiales de la rganización (cnfianza de ls clientes, experiencia, knw-hw entre trs). Ls dats que se manejan: especificacines y dcumentación de ls sistemas, códig fuente, manuales del peradr y del usuari, dats de prueba Identificación de amenazas. Sn asciadas a ls activs una vez se haya detectad ls activs imprtante en la empresa LINEA S.A.S, se debe iniciar la respectiva identificación de la amenazas a ls que están expuests ls sistemas de infrmación en especial las identificadas en el servidr ICG de la cmpañía Relación a seguir: Activ Amenaza La identificación de amenazas se analiza cn ls siguientes criteris: Perdida de cntinuidad de servicis de red, ICG, alteración de bases de dats SQL, intrusines a sistemas pr salt de privilegis pr usuaris mal intencinads. Requerimients legales, cntractuales de la rganización, las slucines realizadas e implementadas, entre trs. Hallazgs de amenazas en sistemas de infrmación. Servidres de punts de venta ICG afectads pr virus infrmátics. Identificación y tratamient de amenazas pr el persnal de TI. Scialización de riesgs de la infrmación al persnal de la rganización. Prgramas de sensibilización y cncienciación sbre el valr y cuidad de la infrmación. Registr de Riesgs: Identificación de amenazas Se registrarán tds aquells riesgs que tengan una prbabilidad n nula de currir en el períd de un añ y que, de materializarse, tendrían un efect negativ en activs de infrmación de la rganización. El registr de riesgs se hará en el dcument Mapa de riesgs que está baj la respnsabilidad del Respnsable de Seguridad de la Infrmación y cn el sprte de la persna persnas que hubieran identificad la vulnerabilidad. En el mment del registr de riesgs se identificarán: Activ tip de activ afectad y su prpietari Vulnerabilidad del activ Amenazas que pueden expltar la vulnerabilidades Prbabilidad frecuencia cn la que las amenazas pdrían materializarse Impact esperad en cas de materializarse la amenaza Alternativas de tratamient de ls riesgs. Imprtante analizar trs criteris de riesg cuand una amenaza llegue a materializarse. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 38

39 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Valración de activs. Se define criteri para trgar a ls activs un valr que puede ser cualitativ, cuantitativ ambs. 4 Valración Cualitativa: Escala de valración Valr Descripción MB: Muy baj 1 N imprtante en ls prcess práctics B: Baj 2 Imprtancia menr M: Medi 3 Imprtante para el pryect A: Alt 4 Altamente imprtante para el pryect MA: Muy alt 5 Muy imprtante para el lgr de bjetivs del SGSI. Tabla 3. Valración cualitativa de ls riesgs pr amenazas Valración cuantitativa: Escala de valración Escala Descripción cuantitativa Muy Alt = MA 5 $ Alt = A 4 $ Medi = M 3 $ Baj = B 2 $ Muy Baj = MB 1 $ Tabla 4. Valración cualitativa de ls riesgs pr amenazas Si se tma en cuenta tant la escala cuantitativa cm cualitativa se deben prmediar riegs haciend relevancia en aquells cn valr mayr a Identificación y valración de las Vulnerabilidades. Se identifican las amenazas y se valran de acuerd a la frecuencia de currencia. FRECUENCIA / ARO (Annualized Rate f Occurrence) EF 0,9973 Extremadamente frecuente Mens que 1 día MF 0,1425 Muy Frecuente Mens que 1 semana F 0,0329 Frecuente Mens que un mes FN 0,0055 Frecuencia Nrmal Mens que medi añ PF 0,0027 Pc Frecuente Mens que un añ EPF 0,0003 Extremadamente Pc Frecuente Mens que diez añs Tabla 5. Frecuencia de currencia de amenazas. La frma cm se realiza el cálcul es de la siguiente manera: Ejempl: Si teng la frecuencia de que curra una vulnerabilidad 1 vez cada semana y partiend de que el añ tiene 52 semanas, entnces el cálcul sería: númer de semanas/númer de días añ 52/365=0, La relación a cnsiderar es: Activ-amenaza-vulnerabilidad-valración-prbabilidad de currencia Sirve para estimar el riesg, definid cm el impact pnderad cn la tasa de currencia ( expectativa de materialización) de la amenaza. 4 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 39

40 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Identificación y valración de impacts. La rganización valra ls impacts frente amenaza de acuerd a ls siguientes criteris: Pérdida de cnfidencialidad Pérdida de integridad TÉCNICOS Pérdida de dispnibilidad IMPACTO ORGANIZACIONALES Trazabilidad Autenticidad Pérdidas Pérdida de ecnómicas imagen Calificación de ls dañs Tabla 6. Calificación de ls dañs generads pr ls riegs Criteris para evaluar ls impacts pr activ. Se trga un nivel de dañ riesg que puede causar una amenaza en un activ, para ell se determina una escala de degradación del activ, ls valres para determinar la disminución de ls impacts y de las vulnerabilidades representadas pr una amenaza. IMPACTO / EF (Expsure Factr) C Crític 90% 90% de degradación A Alt 75% 75% de degradación M Medi 50% 50% de degradación B Baj 20% 20% de degradación DISMINUCIÓN DEL IMPACTO MA Alta 90% A Media 60% M Baja 30% B Nula 0% DISMINUCIÓN DE LA VULNERABILIDAD MA Alta 90% A Media 60% M Baja 30% B Nula 0% Tabla 7. Valres para ls impacts a cnsiderar para evaluar ls riesgs. 5 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 40

41 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Fase 3: Análisis de Riesgs. Se verifican, valran ls activs de la rganización LIENA S.AS se prcede a buscar ls riesgs asciads a causa de una amenaza y sus impacts. 3.1 Inventari de activs Categría Id 1 Activ Gerencia general Respnsable Junta directiva de la rganización Criticidad Valración Físics Lógics Entrn e infraestructura Dats Persnal Servicis MA 5 X Encargad de dirigir y asignar recurss para el funcinamient de la rganización. Misión Presidir reunines del cnsej directiv y tmar decisines. 2 Persnal administrativ y financier Gerente administrativ y financier A 4 x Gestina, aprueba y asigna ls recurss para el funcinamient de la rganización. Verificar y cntrlar el estad de las finanzas de la rganización 3 Secretaria General Gerente General A 4 x Verifica la cntratación y cntrla ls gasts e inversines de la rganización Vigilar que ls estads financiers de la rganización se realicen de frma crrecta cnfrme la ley y estatuts rganizacinales. 4 Persnal de cntrl intern Jefe de cntrl intern A 4 X Cntrla y verifica que ls funcinaris de la rganización cumplan cn sus funcines de frma crrecta. Cntrlar e intervenir en ls prcedimients legales de la empresa y en las diferentes áreas de gestión administrativa. 5 Persnal de cmunicacines, mercade y lgístic Jefe de cmunicacine s A 4 X Encargada de ls medis audivisuales y cmunicacines, imagen crprativa de la empresa, realización de events y cmerci para la empresa. Pryectar y vender la imagen crprativa. 6 Persnal de TI Jefe de sistemas MA 5 x Gestina y garantiza la seguridad de la infrmación y el funcinamient de la infraestructura de TI. Garantizar la seguridad de la infrmación y el funcinamient de ls recurss TIC. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 41

42 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 7 Persnal de peracines Jefe de mantenimient MA 5 x Respnsable del mantenimient de ls parques y peracines de las atraccines. Garantizar la dispnibilidad de ls servicis a ls clientes de la empresa. 8 Servidr backup de Analista de seguridad de la infrmación A 4 X Equip cn Windws 2008 server r2, aplicación Symantec para backups Permite salvaguardar infrmación sensible de bases de dats y de usuaris crítics. 9 Servidr antivirus de Analista de seguridad de la infrmación A 4 X Equip cn Windws 2008 server y sftware antivirus MCAFEE Permite el cntrl de sftware malicis. 10 Servidr desarrll de Desarrlladr de aplicacines A 4 X Equip para prbar desarrlls de aplicacines nuevas Permitir el ensay previ de nuevas instalacines de aplicacines. 11 Servidr ICG Encargad de la infraestructura A 4 X Permite el recaud financier de las ventas Servidr para la administración financiera de ls dats ICG. 12 Servidr SICOF Encargad de la infraestructura MA 5 X Permite la gestión de las finanzas de la rganización. Ayudar a ls prcedimients financiers de la rganización. 13 Servidr DOCUMENT Encargad de la infraestructura A 4 X Permite la gestión dcumental de la empresa para tds ls prcess. Cntribuir a la dcumentación digital del archiv y agilidad en ls prcedimients rganizacinales. 14 Servidr virtualización de Encargad de la infraestructura MA 5 X Dispsitiv de hardware que integra tdas las máquinas virtuales cn ayuda de la aplicación de virtualización hyperv Cntribuir a la virtualización de equips de alt rendimient para mejrar la escalabilidad, crecimient y alta dispnibilidad de ls servicis. 15 Servidr de directri activ Encargad de la infraestructura A 4 X Ayuda a la gestión de usuaris. Mejrar ls niveles de gestión de usuaris para cntrl de rles y credenciales para perar ls equips infrmátics 16 Servidr AM Encargad de la infraestructura M 3 X Servidr destinad para manej de la aplicación AM de cntraccines civiles y cntrl de activs. Permitir la gestión de activs pr bras civiles en la aplicación AM. 17 Servidr TIMESOFT Encargad de la infraestructura A 4 X Servidr para cntrl de acces de empleads temprales Ayudar a la gestión del cntrl de usuaris temprales en ls parques de la rganización. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 42

43 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 18 Servidr intranet de Encargad de la infraestructura A 4 X Permite la interacción de ls prcess institucinales. Agilizar la cmunicación y la interacción cn ls prcess de la empresa y el sistema de calidad. 19 Cuart de telecmunicacine s Encargad de la infraestructura MA 5 X Lugar para salvaguardar ls sistemas de infrmación de la empresa Permitir integración, gestión salvaguardar infrmación sensible. la la y la 20 Swiches capa 2 y 3 Encargad de la infraestructura A 4 X Permiten el direccinamient del tráfic de red Permitir la gestión de servicis de red. 21 FIREWALL Analista de seguridad de la infrmación MA 5 X Permite el cntrl de tráfic de la red. Gestinar la seguridad de la red y permiss a nivel de rl de usuari. 22 Equips ps ICG Encargad de la infraestructura A 4 X Hardware destinad para las recaud y registr de ventas Permitir la gestión financiera en punts de venta. 23 Datafns Persnal de sprte técnic A 4 X Permitir pags pr transaccines electrónicas Manejar pags electrónics clientes. ls de 24 Cmputadres prtátiles y de escritri Persnal de sprte técnic MA 5 X Cntribuye al de desarrll y cnstrucción de la infrmación rganizacinal pr prcess. Permitir pr rl de usuari prcesar, guardar y salva guardar la infrmación sensible de la rganización. 25 Tablets Persnal de sprte técnic M 3 X Acces a Internet a usuaris invitads Permitir la interacción de usuaris invitads a la red de internet para el registr de tareas y navegación entre aplicacines de internet. 26 Celulares Persnal de sprte técnic A 4 X Recepción y realización de llamadas de vz, chat y mail para gestión de pryects de la empresa. Permitir el víncul de clientes a ls negcis de la empresa y la cmunicación rganizacinal. 27 Memrias usb, sd Persnal de sprte técnic A 4 X Sn imprtante para la prtación de infrmación Permitir el acces a la infrmación. 28 Discs durs Persnal de sprte técnic MA 5 X Almacenar la infrmación de ls usuaris. Permitir salvaguardar infrmación la 29 Almacenamient SAN Encargad de la infraestructura MA 5 X Gestinar la alta escalabilidad de ls recurss de almacenamient y servicis para servidres. Escalar el rendimient de ls servicis pr ls servidres activs para las labres y cumplimient de ls prcess de la empresa. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 43

44 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 30 Nw Hw Gerente general MA 5 X Cncimient de servicis de diversión y alegría para chics y grandes mediante simuladres 7D, 4D, 5D, atraccines mecánicas, zna acuática, events y lgística, mercade. Cncimient y estrategias para el cmerci de servicis de diversión y recreación. 31 Dcuments financiers Gerencia administrativa y financiera MA 5 x Evidencia la infrmación de ls estads de las finanzas pr las negciacines, inversines, gasts y cuentas pr cbrar. Permitir ls registrs de las finanzas crprativas. 32 Dcuments archiv del Jefe archiv del MA 5 X Registr de tda la infrmación de la empresa Permitir guardar las evidencias de la infrmación prcesada de empleads, clientes, prveedres y de tds ls demás prcess. 33 Dcuments del sistema de calidad ISO 9001 Jefe de calidad A 4 X Se registra la gestión de ls prcedimients y prcess de calidad pr dependencia para cumplimient de la nrma. Auditar ls prcess de la cmpañía para cumplir cn el estándar de calidad ISO Dcuments del área de mercade y lgística. Gerencia mercade lgística de y A 4 X Registr de la gestión de mercads para el cmerci de servicis de recreación y lgística de events. Registrar ls negcis para cumplimient de metas y trazabilidad de ls prcess. 35 Dcuments del área de sistemas Jefe sistemas de MA 5 X Evidencia de infrmación de ls sistemas. Salvaguardar el registr de evidencias de peración y us de la red y seguridad infrmática para ls prcess de la empresa. 36 Dcuments de registr de peracines de las atraccines mecánicas y acuáticas. Jefe de mantenimient MA 5 X Infrmación sensible de las peracines en ls parques de recreación. Salvaguardar el registr de peración para el cntrl de prcess. 37 Manuales de peracines de redes y seguridad de la infrmación Jefe de sistemas y analista de la seguridad de ls sistemas de infrmación. MA 5 X Gestión de prcedimients y seguridad de ls sistemas de infrmación. Gestinar la cnfidencialidad, la integridad y dispnibilidad de la infrmación rganizacinal. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 44

45 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 38 Registr de lgs de sistemas y claves de seguridad de la infrmación. Analista de seguridad de la infrmación MA 5 X Prcesamient de infrmación sensible para us de administradres de TI. Permitir infrmación sensible para la gestión de TI pr administradres del sistema. 39 Sistema seguridad perimetral de Analista de seguridad de la infrmación A 4 X Cntrl de acces Impedir ls access n autrizads a ls sistemas de infrmación y áreas restringidas. 40 Planta de teléfn Persnal de sprte técnic A 4 X Registr las cmunicacines pr vz Permitir la cmunicación para la gestión de prcess. 41 Red eléctrica Jefe de mantenimient A 4 X Suministr de energía eléctrica para ls sistemas de infrmación y para la infraestructura rganizacinal. Permitir el fluid eléctric para ls equips y sistemas de infrmación en las diferentes dependencias de la empresa Cablead estructurad vertical hrizntal y Persnal de sprte técnic Puest de trabaj Persnal de sprte técnic Aplicación dcumental A 4 X Permite la cnectividad a la red de dats. M 3 X Destin de ls lugares de trabaj para cada rl de usuari. Jefe de archiv A 4 X Permite la gestión dcumental de la empresa. Brindar cnectividad a ls depósits de red. Garantizar puests de trabaj para cada funcinari de la empresa. Garantizar la trazabilidad, dispnibilidad, integridad y cnfidencialidad de la infrmación rganizacinal. 45 Sftware financier Jefe sistemas de MA 5 X Gestión y cntrl de las finanzas. Permitir la gestión administrativa y cntrl de las finanzas. 46 Sftware ventas ICG para Jefe sistemas de A 4 X Ayuda al cntrl de peracines y registrs de ventas para el recaud financier. Gestinar causacines las ventas. de 47 Sftware para el sistema de inventari Jefe sistemas de A 4 X Ayuda al cntrl y gestión de bienes. Cntrlar y salvaguardar ls bienes de la rganización. 48 Aplicación antivirus Analista de seguridad de la infrmación A 4 X Cntrl y gestión de amenazas de sftware pr intruss gestión de events pr peracines malicisas en la red. Garantizar la seguridad de la infrmación en ls equips infrmátics pr amenazas de red y sftware malicis dañin. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 45

46 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 49 Sistemas perativs Persnal de sprte técnic A 4 X Ayuda al trabaj de ls usuaris para ejecutar sus tareas y prcesamient de infrmación. Permitir el prcesamient de infrmación Aplicación web Bases de dats Desarrlladr de aplicacines Desarrlladr de aplicacines Tabla 8. Activs de la empresa LINEA S.AS A 4 X Permitir la publicación de infrmación. MA 5 X Imprta pr su cntenid y dispnibilidad de infrmación. Gestinar niveles servicis públic. ls de al Permitir el almacenamient y escalabilidad de ls dats, 3.2 Dimensines de seguridad de ls activs. Se trga un valr a cada activ y se dimensina de acuerd a la criticidad del activ para ls sistemas de infrmación de la rganización. 6 Sn las características atributs que hacen valis un activ. Una dimensión es una faceta aspect de un activ, independiente de tras facetas. Pueden hacerse análisis de riesgs centrads en una única faceta, independientemente de l que curra cn trs aspects. Las dimensines se utilizan para valrar las cnsecuencias de la materialización de una amenaza. La valración que recibe un activ en una cierta dimensión es la medida del perjuici para la rganización si el activ se ve dañad en dicha dimensión [D] Dispnibilidad. Prpiedad característica de ls activs cnsistente en que las entidades prcess autrizads tienen acces a ls misms cuand l requieren. [UNE 71504:2008] [I] Integridad. Prpiedad característica cnsistente en que el activ de infrmación n ha sid alterad de manera n autrizada. [ISO/IEC :2004] [C] Cnfidencialidad. Prpiedad característica cnsistente en que la infrmación ni se pne a dispsición, ni se revela a individus, entidades prcess n autrizads. [UNE-ISO/IEC 27001:2007] [T] Trazabilidad. Prpiedad característica cnsistente en que las actuacines de una entidad pueden ser imputadas exclusivamente a dicha entidad. [UNE 71504:2008] [A] Autenticidad. Prpiedad característica cnsistente en que una entidad es quien dice ser bien que garantiza la fuente de la que prceden ls dats. [UNE 71504:2008] valr criteri 10 extrem dañ extremadamente grave 9 muy alt dañ muy grave 6-8 alt dañ grave 3-5 medi dañ imprtante 1-2 baj dañ menr 0 despreciable irrelevante a efects práctics Tabla 9. Valres asciads a las dimensines de seguridad de la infrmación. 6 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 46

47 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Cn ls criteris asciads para dimensinar la seguridad de la empresa LINEA S.A.S se verifica el estad de seguridad de cada activ. 3.5 TABLA RESUMEN DE VALORACIÓN. A cntinuación de bserva la evaluación de ls pilares de la seguridad de la infrmación para cada activ de la empresa LINEA S.A.S DIMENSIONES DE SEGURIDAD Id 1 2 Activ Gerente General de la rganización Persnal administrativ y financier Criticidad C D MA A I T A Secretaria General A Persnal de cntrl intern A Persnal de cmunicacines, 9 10 A mercade y lgístic 6 Persnal de TI MA Persnal de peracines MA Servidr de backup A Servidr de antivirus A Servidr de desarrll A Servidr ICG A Servidr SICOF MA Servidr DOCUMENT A Servidr de virtualización MA Servidr de directri activ A Servidr AM M Servidr TIMESOFT A Servidr de intranet A Cuart de telecmunicacines MA Swiches capa 2 y 3 A FIREWALL MA Equips ps ICG A Datafns A Cmputadres prtátiles y de 9 10 MA escritri 25 Tablets M Celulares A Memrias usb, sd A Discs durs MA Almacenamient SAN MA Nw Hw MA Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 47

48 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 31 Dcuments financiers MA Dcuments del archiv MA Dcuments del sistema de 8 10 A calidad ISO 9001 Dcuments del área de 6 10 A mercade y lgística. 35 Dcuments del área de sistemas MA Dcuments de registr de peracines de las atraccines MA mecánicas y acuáticas. Manuales de peracines de redes y seguridad de la MA infrmación Registr de lgs de sistemas y claves de seguridad de la MA infrmación. 39 Sistema de seguridad perimetral A Planta de teléfn A Red eléctrica A Cablead estructurad vertical y 4 10 A hrizntal 43 Puest de trabaj M Aplicación dcumental A (dcument) 45 Sftware financier SICOF MA Sftware para ventas ICG A Sftware para el sistema de 8 10 A inventari AM 48 Aplicación antivirus MCAFEE A Sistemas perativs WINDOWS A Aplicación web JOOMLA A Infrmación almacenada base de MA dats Tabla 10. Dimensines de la seguridad de la infrmación pr activ 3.6 Análisis de amenazas. Se presenta a cntinuación un catálg de amenazas psibles según Magerit sbre ls activs de un sistema de infrmación. Para cada amenaza se presenta un cuadr cm el siguiente: [códig] descripción sucinta de l que puede pasar Tips de activs: que se pueden ver afectads pr este tip de amenazas Dimensines: 1. de seguridad que se pueden ver afectadas pr este tip de amenaza, rdenadas de más a mens relevante Descripción: cmplementaria más detallada de la amenaza: l que le puede currir a activs del tip indicad cn las cnsecuencias indicadas. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 48

49 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Las amenazas se pueden clasificar de acuerd a ls siguientes criteris establecids pr Magerit: Nº Amenazas Descripción 1 AM-01 Incendi 2 AM-02 Desastre natural 3 AM-03 Ataque físic 4 AM-04 Fall / avería de equip 5 AM-05 Avería climatización 6 AM-06 Falls suministr eléctric 7 AM-07 Rb persnal intern 8 AM-08 Rb persnas externas 9 AM-09 Ataque infrmátic 10 AM-10 Indispnibilidad física 11 AM-11 Indispnibilidad lógica 12 AM-12 Indispnibilidad persnal 13 AM-13 Errres humans 14 AM-14 Indispnibilidad de cmunicacines 15 AM-15 Errr de diseñ 16 AM-16 Acces n autrizad a sistemas 17 AM-17 Divulgación n autrizada 18 AM-18 Fall en cpias 19 AM-19 Ingeniería inversa 20 AM-20 Falls de sftware 21 AM-21 Carencia de mantenimient sftware 22 AM-22 Fall en las cmunicacines 23 AM-23 Eliminación n autrizada Psibilidad de que el fueg queme las instalacines de la infraestructura tecnlógica y tras dependencias de la empresa LINEA S.A.S Incidentes que se prducen sin intervención humana: ray, trmenta eléctrica, terremt, ciclnes, avalancha, crrimient de tierras, entre trs. Pudiend afectar zna de TI y funcinamient de la empresa. Vandalism, terrrism, acción militar, salt de privilegis en ls sistemas. Falls en ls equips y/ falls en ls prgramas. Puede ser debida a un defect de rigen sbrevenida durante el funcinamient del sistema Cuart de TI expuest a altas temperaturas pudiend afectar las peracines. Alteración ausencia del servici eléctric pdría significar pérdidas imprtantes de prductividad en la empresa y más aún si n existe una cntingencia. Muchs usuaris rban las pertenencias activs de trs usuaris y n hay un cntrl sbre ell. Existe persnas ajenas a la empresa que ingresan sin ser autrizads y rban activs imprtantes que afectan el nw hw de la empresa y la fuga n cnsentida de infrmación. La prbabilidad de que un intrus un usuari escalen privilegis para afectar la zna de TI y llevar acab sus accines descncidas. La carencia de espacis para el persnal genera pérdidas imprtantes de prductividad y de ingress para la empresa. Muchs espacis n están acndicinads pr falta de asignación de recurss y de persnal calificad para implementar ls requerimients. La n dispnibilidad de persnal para las diferentes labres y actividades puede afectar significativamente la cntinuidad de ls servicis de TI en la empresa y de tras labres pr dependencias. Ls errres humans en las peracines sueles ser frecuentes, l que genera alteración y detriment patrimnial. Es frecuente que muchs sistemas de cmunicacines al tiemp actual n deberían perar pr ser analógics y pr n sprtar la demanda de usuaris actuales. En cmunicacines y en plans de cnstruccines las adecuacines y planeacines n sn adecuadas, l que genera a futur perdida en patrimni. N existen cntrles acts para hacer cumplir la plítica rganizacinal sbre cntrl de usuaris a cuarts de TI. N hay cntrles pr actas de cnfidencialidad sbre infrmación cnfidencial. Las cpias de seguridad fallan pr falta de almacenamient y cnfiguración adecuada de ls agentes y credenciales de las bases de dats. Hay persnal que trata de sacar infrmación cnfidencial mediante técnicas de ingeniería scial basas en la cnfianza de persnas. Sn habituales pr una mala parametrización, filtrs para ls access n adecuads y vulnerables ataques infrmátics. Las inspeccines y tratamient técnic a ls prgramas sn pcs y n eficaces. Las peracines para cmunicacines sn regular debidas que n se planea adecuadamente las inversines y ls diseñs para las implementacines. Errres humans en la manipulación de equips, prgramas, e infrmación. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 49

50 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 24 AM-24 Pérdida de infrmación Evidente cuand se daña un servidr, existe un rb pr un extrañ cuand hay un pare inesperad de ls servicis de la empresa. 25 AM-25 Cacción Existe persnal bligad hacer csas en cntra su vluntad cmprmetiend gravemente ls intereses rganizacinales. 26 AM-26 Extraví de dcuments Se puede perder fácilmente infrmación de una dependencia n hay cntrles de access clars. 27 AM-27 Negligencia 28 AM-28 Difusión a persnas n autrizadas 29 AM-29 Manipulación de equipamient Tabla 11. Relación de amenazas La pereza y el descncimient de ls prcess hacen que se alteren. Cmentaris n adecuads a tercers que cmprmeten el nw hw rganizacinal. Manipulación n adecuada del equipamient pr descncimient pr caprich. Ver Anex 5, AnálisisDeRiesgs-Magerit.xls El valr de riesg intrínsec se calcula = valr del activ* frecuencia de currencia de la amenaza* pr el impact que puede generar en cas de materializarse. Riesg intrínsec diari pr activ= es la suma de tds ls riesgs intrínsecs diaris pr activ Riesg anual pr activ= riesg intrínsec diari pr activ / númers de días del añ (365). Riesg diari pr amenaza= suma de tds ls riesgs diaris de cada activ pr amenaza. Riesg intrínsec anual pr amenaza= riesg diari pr amenaza* 365 días del añ 3.7 Impact ptencial. Ver anex 5, AnálisisDeRiesgs-Magerit.xls, dnde se pdrá bservar el impact ptencial pr amenazas que sbrepasen el 50% de degradación. Ls valres del impact ptencial se pueden apreciar en la tabla 12. El impact ptencial representativ para la estimación de riesgs se relacina en la siguiente tabla: IMPACTO / EF (Expsure Factr) C Crític 90% 90% de degradación A Alt 75% 75% de degradación M Medi 50% 50% de degradación B Baj 20% 20% de degradación Tabla 12. Tabla de valres para evaluar impact generad pr amenazas. El impact ptencial estimad para ls riesgs de la empresa LINEA S.A.S va desde el valr 50% hasta 90%, siend 50% un impact mderad medi sbre ls activs de la empresa, 75% impact alt y 90% muy alt. Td depende qué tan representativ es el activ para la rganización y qué tan riesgs sería que le curran dañs al activ. Pr determinación planteada desde el nivel de rieg aceptable pr la dirección de la empresa, sl se tendrán en cuenta ls efects crítics medis, alts y muy alts de las amenazas sbre el activ La degradación [del valr] de un activ. Cuand un activ es víctima de una amenaza, una parte de su valr se pierde. Intuitivamente, se habla de un prcentaje de degradación del activ, de frma que se puede perder entre un 0% y un 100%. 7 Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 50

51 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Para calcular el impact ptencial se tiene en cuenta el valr del activ y el % de degradación que puede tener frente a una amenaza cnsiderada en la tabla Nivel de riesg aceptable y riesg residual Valración de riesg aceptable Se define el nivel de riesg aceptable de acuerd a ls valres reflejads en Alt, medi, baj, y nul despreciable, debid a ls criteris establecids pr la dirección de la rganización para mitigar las amenazas que puedan representar riesgs y pérdidas de valr imprtantes, dnde interesa tratar ls riesgs cn prbabilidad de currencia muy alts; ls demás niveles de riegs serán cnsiderads cm aceptables. Impact/Perdidas Leves Mderadas Graves Muy Alt (MA) Alt Muy Alt Muy Alt Prbabilidad Alta (A) Medi Alt Alt Medi (M) Baj Medi Alt Baja (B) Baj Baj Medi Nul (N) Null Null Null VALORACIÓN DE ACTIVOS MA $ Muy Alt A $ Alt M $ Medi B $ Baj MB $ Muy Baj Tabla 13. Nivel de riesg aceptable pr la dirección. Ls riegs bajs sn imprtantes tratar per pr falta de asignación de recurss, la alta dirección pta sól pr tratar riesgs en estad muy alt Riesg residual. Es una medida del estad presente, entre la inseguridad ptencial (sin Salvaguarda alguna) y las medidas adecuadas que reducen impact y riesg a valres aceptables. Según Magerit, dad un ciert cnjunt de salvaguardas desplegadas y una medida de la madurez de su prces de gestión, el sistema queda en una situación de psible impact que se denmina residual. Se dice que hems mdificad el impact, desde un valr ptencial a un valr residual. El cálcul del impact residual. Cm n han cambiad ls activs, ni sus dependencias, sin slamente la magnitud de la degradación, se repiten ls cálculs de impact cn este nuev nivel de degradación. La magnitud de la degradación tmand en cuenta la eficacia de las salvaguardas, es la prprción que resta entre la eficacia perfecta y la eficacia real. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 51

52 Máster Interuniversitari en Seguridad de las TIC (MISTIC) El riesg residual puede calcularse acumulad sbre ls activs inferires, repercutid sbre ls activs superires. Las salvaguardas seleccinadas permiten determinar cuán eficaces sn frente al riesg. En el cas de la empresa LINEA S.A.S, el nivel de riesg aceptable se determina pr el riesg cntrlad diari pr activ = Riesg Intrínsec diari pr activ El riesg efectiv diari pr activ Salvaguardas: Sn medidas de aseguramient que se tienen en cuenta para mitigar ls riesgs pr amenazas, estas salvaguardas pr activ tienen un cst y tr valr pr la cantidad de amenazas cnsideradas. Cálculs: Valr Salvaguarda pr activ= valr cuantitativ de activ / númer de activs cnsiderads Cste salvaguarda pr amenaza= Valr Salvaguarda pr activ / númer de amenazas cnsideradas. Para ell existen ds tips fundamentales de cntrles de seguridad salvaguardas: Preventivas. Sn aquellas medidas de seguridad que reducen las vulnerabilidades (La frecuencia de currencia). Nueva vulnerabilidad = Vulnerabilidad Prcentaje de disminución de vulnerabilidad Crrectivas. Sn aquellas medidas de seguridad que reducen el impact de las amenazas. Nuev impact = Impact Prcentaje de disminución de impact 8 La decisión entre realizar un análisis de riesgs intrínsec residual depende de si una rganización pretende analizar, si la inversión que ha realizad en seguridad ha sid la crrecta si, pr el cntrari, l que pretende es estudiar la situación real en la que se encuentra. L más habitual es realizar el análisis de riesgs residual, puest que, si una rganización ya psee unas medidas de seguridad implantadas y pretende mejrar su seguridad, deberá cntemplar estas slucines teniend en cuenta la situación actual en la que se encuentra, ya que, aunque la inversión n haya sid la crrecta, n pdrá recuperarla. En este cas la empresa tiene uns cntrles implementads y trs n implementads, pr tant se analiza ls riesgs intrínsecs y el riesg residual de ls activs, ver img 8 Ver Anex 5, AnálisisDeRiesgs-Magerit.xls 8 Módul 2. Análisis de riesgs.pdf_ Universitat Oberta de Catalunya, Asignatura SGSI. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 52

53 Máster Interuniversitari en Seguridad de las TIC (MISTIC) 3.9 RESULTADOS Ver anex 5, AnálisisDeRiesgs-Magerit.xls Img 7. Resultads de riesg residual anual pr amenaza $ Resultads de riesg residual anual pr amenaza $ $ $ $ $ $ $ $ La img 7. Indica el riesg cntrlad pr las salvaguardas anuales pr amenaza, dnde al cmparar cn ls resultads de la gráfica cn ls del anex de Excel llamad FASE 3, AnálisisDeRiesgs- Magerit.xls, se puede ver que el riesg residual más alt tiene un valr de $ y el más pequeñ es de $ y en trs cass ls cntrles n surtiern efect dand un valr de cer. Est indica para ls cass de activs cn amenazas que generan riesgs y perdidas ecnómicas muy alts para la empresa hay que implementar tras medidas de cntrl para que el riesg residual sea adecuad. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 53

54 Máster Interuniversitari en Seguridad de las TIC (MISTIC) Img 8. Resultads de riesgs pr activs $ Riesg intrínsec ttal anual Riesg efectiv anual Riesg cntrlad pr salvaguardas $ $ $ $ $ $ $ $ $ $- Resultads pr activs Bases de dats Aplicación web Sistemas perativs Aplicación antivirus Sftware para el Sftware para ventas Sftware financier Aplicación Puest de trabaj Cablead Red eléctrica Planta de teléfn Sistema de Registr de lgs de Manuales de Dcuments de Dcuments del Dcuments del Dcuments del Dcuments del Dcuments Nw Hw Almacenamient SAN Discs durs Memrias usb, sd Celulares Tablets Cmputadres Datafns Equips ps ICG FIREWALL Swiches capa 2 y 3 Cuart de Servidr de intranet Servidr TIMESOFT Servidr AM Servidr de Servidr de Servidr DOCUMENT Servidr SICOF Servidr ICG Servidr de Servidr de antivirus Servidr de backup Persnal de Persnal de TI Persnal de Persnal de cntrl Secretaria General Persnal Gerente General de Activs En la img 8, se puede apreciar el riesg intrínsec ttal, riesg efectiv y el riesg cntrlad anual. Dnde al bservar las variacines del riesg intrínsec sn muy altas y ls cntrles actuales n sn capaces de mitigar ls impacts generads pr las amenazas psibilitand su materialización, dañs y pérdidas medias desde el activ gerente hasta el servidr de intranet, lueg ls riesgs se elevan pasand pr el firewall, y lueg retman un impact mderad medi hasta el activ de dcuments de sistema. Después ls riesgs efectivs crecen exageradamente y ls cntrles l mitigan hasta el activ aplicación dcumental retrnand nuevamente un valr medi de criticidad y pr últim ls riesgs minimizan hasta el activ de bases de dats. Edición: 1 Guía de referencia: TMF-SGSI-CAST.dc.x Dcument: Memria-TMF Autr: Rubén Darí Zuleta Arang 54