INSTITUTO POLITÉCNICO NACIONAL PLANEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CORPORATIVA SENSIBLE CONTRA AMENAZAS INTERNAS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INSTITUTO POLITÉCNICO NACIONAL PLANEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CORPORATIVA SENSIBLE CONTRA AMENAZAS INTERNAS"

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN UNIDAD CULHUACAN PLANEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CORPORATIVA SENSIBLE CONTRA AMENAZAS INTERNAS T E S I S QUE PARA OBTENER EL GRADO DE MAESTRO EN INGENIERÍA EN SEGURIDAD Y TECNOLOGÍAS DE LA INFORMACIÓN PRESENTA ING. JORGE DAVID ALBA CRUZ ASESORES: Dr. ANTONIO CASTAÑEDA SOLÍS Dra. KARINA TOSCANO MEDINA MEXICO D.F. DICIEMBRE 2011

2 ii

3 iii

4 DEDICATORIA A mis padres, especialmente a mi madre Soraya, por ser siempre un gran ejemplo a seguir, por todo el apoyo, la motivación y el esfuerzo que ha invertido en mí para sacarme adelante y enseñarme a ser una gran persona. A mis hermanos Diego y Andrea por ser fuente de inspiración y admiración a lo largo de mi vida. A mis tíos y primos por el constante apoyo y por estar pendientes siempre de mí. A todas aquellas personas que han estado junto a mí a lo largo de estos dos años en México, y de las cuales he aprendido muchas cosas valiosas que han marcado gratos momentos en vida. iv

5 AGRADECIMIENTOS Al Doctor Gabriel Sánchez Pérez quien me apoyó en primer lugar a poder ingresar al programa de la MISTI y que me ayudó a lo largo de mi estancia en México. Al Doctor Antonio Castañeda Solís quien me aconsejó y me motivó a seguir adelante y a desarrollar mis habilidades como estudiante y profesional. Al Doctor Enrique Escamilla Hernández por recibirme y apoyarme amablemente en todo momento. A mis maestros y amigos de la SEPI por acompañarme y brindarme su amistad y apoyo a lo largo de estos 2 años dentro del programa de posgrado. Especialmente a mi madre, Soraya, mis hermanos Diego y Andrea, mis tíos Anita, Edison y Diego, y mi abuelita; por creer en mí, por todo el apoyo y afecto que me han dado y por estar siempre pendientes aún estando lejos. A todas aquellas personas que de una u otra forma colaboraron en el desarrollo de este trabajo. A Dios por guiar mi camino, mis acciones y mi vida en todo momento. v

6 Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México vi

7 EXTRACT All companies need to protect sensitive business information in order to avoid data leakage commited by employees. However, many companies in the medium and small enterprise do not have guides or frameworks about information security that are easy to implement for IT Managers and the staff. In many cases the enterprises do not have specialized staff to fulfill this task. The implementation of information security standards such as ISO / IEC 27001:2005, are aimed at companies with a technological infrastructure, and an extensive list of employees in the IT and security departments. This kind of standards are complicated to be implemented in small and medium enterprises. This document develops a scheme as a guide to implement the protection of sensitive business information. The scheme has a defined series of steps, as shown in Figure 22, with supporting documents for each step. This document try to give an idea to the IT staff that do not have a good knowlegde about standarts of information security such as ISO/IEC 27001:2005. The document focuses on evaluating employees or human resources that use and manage sensitive information in the enterprise. The proposed scheme is based on the Deming Cycle developed by ISO / IEC 27001:2005. Also this document use MAGERIT as the methodology for risk analysis in the enterprise. Additionally this document incorporates a group of documents to guide to the IT Managers through every step of the proposed scheme. vii

8 EXTRACTO Para evitar la fuga o robo de datos de forma intencional o involuntaria por parte de un empleado, se debe proteger la información corporativa sensible de las empresas. Sin embargo, muchas empresas de la mediana y pequeña industria no cuentan con guías o esquemas de seguridad de la información que sean claros, detallados y que sirvan de apoyo. En muchos casos tampoco cuentan con el personal especializado que pueda cumplir con esta tarea. La implementación de estándares y normas de seguridad en TI, como el ISO/IEC 27001:2005, están orientadas a empresas con una gran infraestructura tecnológica y con una amplia nómina de empleados en los departamentos de seguridad y TI por lo que muchas veces no puede ser implementada en las pequeñas y medianas empresas. El presente trabajo desarrolla un esquema como una guía para implementar la protección de la información confidencial sensible. El esquema cuenta con una serie de etapas definidas, como se muestra en la ilustración 22, y con documentos de apoyo para cada etapa; con el propósito de facilitar el proceso de la planeación de la seguridad de la información corporativa sensible que es llevado a cabo por el personal de TI que no está tan familiarizado con normas como el ISO El trabajo se centra en evaluar a los activos de tipo persona o recursos humanos. El esquema propuesto se basa en el Ciclo de Deming desarrollado en el estándar ISO/IEC 27001:2005, y en la metodología de MAGERIT para el desarrollo del análisis de riesgos del personal de una empresa. Adicionalmente se incorpora una serie de documentos que puedan servir de guía, en cada etapa del esquema propuesto, al responsable que lleva a cabo el proceso. viii

9 CONTENIDO INTRODUCCIÓN... xiv ANTECEDENTES... xiv PLANTEAMIENTO DEL PROBLEMA... xv PROBLEMA DE INVESTIGACIÓN... xvi OBJETIVOS... xvii GENERAL... xvii ESPECÍFICOS... xvii JUSTIFICACIÓN... xviii ALCANCE... xx POBLACIÓN Y MUESTRA... xxi MÉTODOS Y TÉCNICAS UTILIZADAS... xxi ORGANIZACIÓN DEL TRABAJO... xxii 1. MARCO TEÓRICO Definición de la Información Clasificación de la Información Confidencial Interna Pública Seguridad de la Información Soluciones de Seguridad para Protección de Información Corporativa Gestión de la Seguridad de la Información ISO/IEC 27001: ISO/IEC 27002: Análisis de Riesgos MAGERIT v ISO/IEC 27005: Síntesis Controles de Seguridad Tipos de Controles Impacto en el Negocio ix

10 Bajo Moderado Alto ESTADO DEL ARTE DE LA SEGURIDAD EN LAS PYMES Guías y Estándares de Seguridad para PYMES Seguridad de la Información para la Pequeña y Mediana Empresa Guía de Seguridad de la Información para PYMES IS2ME Guías Complementarias para PYMES Paquete Informativo para PYME para la Gestión y Evaluación de Riesgos Proceso para el Manejo de Incidentes para la Pequeña y Mediana Empresa Guía Metodológica para la Gestión Centralizada de Logs de Seguridad Marco de Trabajo para Protección de Información Sensible DEFICIT Síntesis SEGURIDAD INFORMÁTICA EN LAS PYMES DE ECUADOR LABORATORIOS FARMACÉUTICOS Preámbulo Clasificación Tecnología Certificados de Calidad Legislación relacionada a la Seguridad de la Información Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos Ley de Propiedad Intelectual Hábeas Data Síntesis Laboratorios Farmacéuticos Procesos de Negocio Áreas que manejan información corporativa Activos asociados a las áreas de negocio x

11 3.5. Seguridad de la Información Preámbulo Gestión de la Seguridad Información Corporativa en las Empresas Clasificación de la Información Corporativa Incidentes en el Manejo de la Información Corporativa Análisis PEST Políticos/Legales Económicos Socio/Culturales Tecnológicos Matriz PEST ESQUEMA PROPUESTO PARA LA PLANEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CORPORATIVA SENSIBLE Preámbulo Visto Bueno de la Dirección General Grupo de Trabajo Generar los Roles y Responsabilidades Definir la Información Sensible Identificación de la Información Sensible Definición del Alcance y los Límites Áreas Involucradas Personal Involucrado Análisis de Riesgos Activos Activos Tipo Persona (Recursos Humanos) Relación con Otros Activos Valoración de los Activos Amenazas Valoración de las Amenazas Determinación del Impacto Determinación del Riesgo Tratamiento del Riesgo xi

12 4.11. Mecanismos de Control Políticas de Seguridad Segregación de Funciones Roles y Responsabilidades Plan de Entrenamiento y Concientización Controles Físicos de Seguridad Monitoreo y Revisión Mantenimiento y Mejora Reporte de Resultados CONCLUSIONES Y TRABAJOS FUTUROS Conclusiones Trabajos Futuros BIBLIOGRAFÍA GLOSARIO DE TÉRMINOS LISTA DE ANEXOS xii

13 Índice de Ilustraciones ILUSTRACIÓN 1: MODELO PDCA PARA UN SGSI ILUSTRACIÓN 2: METODOLOGÍA DE MAGERITV ILUSTRACIÓN 3: ESQUEMA DE LA METODOLOGÍA DEL ISO ILUSTRACIÓN 4: ESQUEMA PROPUESTO PARA LAS PYMES EN LA NORMA ISSA-UK ILUSTRACIÓN 5: ESQUEMA DEL MÉTODO IS2ME ILUSTRACIÓN 6: FASES DE LA EVALUACIÓN DE RIESGOS ILUSTRACIÓN 7: TRIÁNGULO DE LA FUGA DE LA INFORMACIÓN ILUSTRACIÓN 8: DEFICIT ALINEADO AL TRIÁNGULO DE LA FUGA DE LA INFORMACIÓN ILUSTRACIÓN 9: CLASIFICACIÓN DE LAS MIPYMES SEGÚN SUS VENTAS ILUSTRACIÓN 10: CLASIFICACIÓN DE LAS MIPYMES SEGÚN SUS ACTIVOS ILUSTRACIÓN 11: CLASIFICACIÓN DE LAS MIPYMES SEGÚN EL NÚMERO DE EMPLEADOS ILUSTRACIÓN 12: PROCESOS QUE SOBRESALEN EN LAS MIPYMES ILUSTRACIÓN 13: IMPLEMENTACIÓN DE ESTÁNDARES EN LAS MIPYMES ILUSTRACIÓN 14: DEPARTAMENTO DE LA EMPRESA DONDE ESTÁ INTERESADO EN IMPLEMENTAR PROTECCIÓN DE LA INFORMACIÓN SENSIBLE QUE LOS EMPLEADOS ADMINISTRAN ILUSTRACIÓN 15: PRIORIDADES PARA LOS GASTOS EN TI DE LAS EMPRESAS ANALIZADAS ILUSTRACIÓN 16: DATOS SOBRE CUMPLIMIENTO CON NORMATIVIDAD DE LAS EMPRESAS ENCUESTADAS ILUSTRACIÓN 17: RESPUESTA DE LAS EMPRESAS ENCUESTADAS SOBRE LA CLASIFICACIÓN DE LA INFORMACIÓN ILUSTRACIÓN 18: PRINCIPALES AMENAZAS QUE PREOCUPAN A LAS EMPRESAS EVALUADAS ILUSTRACIÓN 19: NIVEL DE CONOCIMIENTO DE LOS EMPLEADOS SOBRE SEGURIDAD DE LA INFORMACIÓN ILUSTRACIÓN 20: CONDUCTAS ARRIESGADAS COMETIDAS POR LOS EMPLEADOS EN LAS EMPRESAS ILUSTRACIÓN 21: MATRIZ PEST ILUSTRACIÓN 22: ESQUEMA PROPUESTO ILUSTRACIÓN 23: ETAPA DE ANÁLISIS DE RIESGOS ILUSTRACIÓN 24: MATRIZ PARA DETERMINAR EL IMPACTO ILUSTRACIÓN 25: MATRIZ PARA DETERMINAR EL RIESGO Índice de Tablas TABLA 1: TABLA COMPARATIVA GUÍAS Y NORMAS DE SEGURIDAD PARA PYMES TABLA 2: ROLES DEL GRUPO DE TRABAJO TABLA 3: RESPONSABILIDADES DEL GRUPO DE TRABAJO TABLA 4: CLASIFICACIÓN DE LOS ACTIVOS DEFINIDA POR MAGERITV TABLA 5: RELACIÓN RECURSOS HUMANOS CON LOS DEMÁS TIPOS DE ACTIVOS TABLA 6: VALORACIÓN DE LOS RECURSOS HUMANOS TABLA 7: AMENAZAS ASOCIADAS A LOS RECURSOS TABLA 8: AMENAZAS ASOCIADAS A LOS RECURSOS HUMANOS TABLA 9: VULNERABILIDADES ASOCIADAS A LOS RECURSOS HUMANOS TABLA 10: CONSECUENCIAS DE LAS AMENAZAS ASOCIADAS A LOS RECURSOS HUMANOS TABLA 11: NIVEL DE DEGRADACIÓN DE UN EMPLEADO TABLA 12: NIVEL DE FRECUENCIA DE UNA AMENAZA TABLA 13: NIVELES DE ACEPTACIÓN DEL RIESGO xiii

14 INTRODUCCIÓN ANTECEDENTES La información corporativa debe ser utilizada y administrada adecuadamente por los empleados que trabajan en las distintas áreas que manejan información sensible de la empresa. Varios ejemplos de departamentos que manejan información sensible son el departamento de investigación y desarrollo que almacena propiedad intelectual, el departamento de sistemas que almacena en sus servidores la información de los clientes y los proveedores que tienen la organización; o el departamento financiero que maneja la información de los activos de la empresa. Por tal motivo, la seguridad de la información corporativa sensible tiene que ser planificada adecuadamente para disminuir los riesgos que afectan la confidencialidad, integridad y disponibilidad de los activos críticos de la empresa y en general al negocio. Existen varias soluciones de seguridad para proteger la información corporativa. Estas soluciones son de tres tipos (uso, distribución y reposo) de acuerdo a la ubicación de la información. Su objetivo es proteger la red, la información que viaja a través de la misma y la información almacenada en cualquier dispositivo electrónico mediante la implementación de equipos y el monitoreo de los eventos asociados a la información que se está protegiendo. Los equipos implementados para cumplir con estas tareas son los DLPs, firewalls, IPS, IDS, etc. Estas soluciones son controles lógicos que brindan seguridad a la información ya que establecen mecanismos de hardware o software para mantener la confidencialidad y la integridad de la información dentro de un sistema informático. En muchos casos debido a los costos y requerimientos de infraestructura para ser implementados, una solución de seguridad de este tipo no puede ser adquirida por empresas de la mediana y pequeña industria. xiv

15 Por otro lado, proteger la información que es utilizada y administrada por un empleado abarca un proceso más complejo como el diseño e implementación de políticas de seguridad, controles físicos, lógicos y el monitoreo de estos. Un empleado es considerado una amenaza interna en el manejo y administración de la información corporativa, y que puede poner en riesgo la integridad, confidencialidad y disponibilidad de la información crítica de la organización a la que pertenece. Existen normas o guías diseñadas para las PYMES, pero muchas no presentan un esquema y un procedimiento claro para implementar la seguridad de la información en las empresas. Más aún, no están orientadas a evaluar a los empleados que administran la información confidencial sensible de la organización como se propone realizar en el presente trabajo. Acerca de Ecuador, la seguridad de la información se encuentra en una fase inicial de crecimiento dentro de la pequeña y mediana empresa debido a la falta de conocimientos sobre el tema, a la falta de especialistas en el área, o porque se desconoce cómo aplicarla adecuadamente. Muchas empresas no cuentan con suficiente personal o con el personal capacitado que se encargue de diseñar e implementar mecanismos o procesos que contribuyan a mejorar la seguridad de la información, y con esto fortalecer los procesos de negocio de las empresas. PLANTEAMIENTO DEL PROBLEMA Las PYMES en Ecuador no cuentan con procedimientos y mecanismos detallados que sirvan de apoyo para proteger la información sensible de sus empresas y de este modo minimizar la pérdida o fuga de información administrada por los empleados. xv

16 PROBLEMA DE INVESTIGACIÓN La gran cantidad de fuentes de información no oficiales o consideradas como no confiables, implica que la bibliografía relacionada a los esquemas, guías de seguridad de la información orientadas a las PYMES, y a la protección de la información corporativa sensible; sea escasa y difícil de determinar. La falta de fuentes de información sobre las PYMES y sobre los datos relacionados a las tecnologías de la información en Ecuador, provoca un problema ya que no se cuenta con bases sólidas y actualizadas que puedan servir de apoyo al presente trabajo. El no contar con organismos gubernamentales responsables de publicar de forma oficial las normas, leyes y datos asociados a la seguridad de la información, implica que involuntariamente no se contemple alguna norma o ley durante la investigación, o que no se pueda evaluar adecuadamente el nivel de conocimiento de las empresas sobre la seguridad de la información. Es necesario contar con la apertura y apoyo de las PYMES en Ecuador. La falta de colaboración debido al desconocimiento, al miedo por ayudar, la indiferencia, etc.; provoca que la generación de resultados no sea la deseada. La aplicación de una encuesta a un sector determinado permitirá evaluar el nivel de conocimiento y establecer las necesidades de las PYMES en temas relacionados a la seguridad de la información. De esta forma se logrará establecer un panorama más real de las necesidades de estas empresas en temas de seguridad de la información. xvi

17 OBJETIVOS GENERAL Diseñar un esquema de seguridad para la protección de la información corporativa sensible, basada en la norma ISO/IEC 27001:2005 para implementar mecanismos de seguridad aplicables en las PYMES de Ecuador a los empleados responsables de administrar y utilizar esta información. ESPECÍFICOS a) Investigar la madurez que tienen varias empresas del sector farmacéutico en Ecuador sobre la seguridad de la información. b) Definir los principales incidentes de seguridad relacionados a los empleados que utilizan y administran la información corporativa sensible. c) Investigar la legislación informática vigente en el país que pueda ser aplicada para disminuir la fuga de información provocada por un empleado. d) Sugerir los roles y responsabilidades que los empleados deben cumplir al utilizar y administrar la información corporativa sensible. e) Proponer una serie de documentos para las etapas del proceso de la planeación de la protección de la información corporativa sensible para que sirvan de guía a los encargados que llevan a cabo esta tarea. xvii

18 JUSTIFICACIÓN Los empleados comparten información corporativa de forma libre, entre ellos e incluso con personas externas a la empresa como amigos, proveedores, etc., debido a la falta de capacitación y conocimiento sobre seguridad. Esto provoca una falta de control de la información que es importante para la empresa. Un empleado descontento o descuidado, puede ser considerado el eslabón más débil al manejar información sensible corporativa; y la mayor amenaza interna dentro de una organización. Las personas dan soporte a otros activos importantes como son los datos y los servicios de la organización y pueden provocar la fuga o robo de información corporativa, por tal motivo los riesgos asociados a los empleados pueden producir en el negocio un impacto económico severo que puede desestabilizar y llevar a la empresa a la banca rota. Estos puntos se ven reflejados en varias encuestas realizadas por diferentes empresas u organismos como Deloitte, ISACA, CERT, ACIS, etc. Deloitte en la publicación de su Estudio de Seguridad Global en la Industria de los Servicios Financieros indica que las 2 principales iniciativas de seguridad para el año 2010 fueron la Identificación y Administración de Acceso de los usuarios, y la protección de datos de sus empresas. Además solo el 34% de encuestados indica que están seguros de cómo mitigar ataques internos. Por otro lado un 64% de encuestados por ISACA en su estudio Barómetro de Riesgos en TI en Sudamérica en el 2010, establece como un alto factor de riesgo dentro de sus empresas a los empleados que no protegen la información confidencial adecuadamente. El CERT de la Universidad Carnegie Mellon, publica en su Encuesta de Seguridad Cibernética realizada en el 2011 que el 63% de xviii

19 sus encuestados revelan que las mayores violaciones internas en una empresa son el acceso no autorizado y el mal uso de información corporativa. Adicionalmente, en la Encuesta Latinoamericana de Seguridad de la Información realizada en el 2011 por la Asociación Colombiana de Ingenieros en Sistemas a varias empresas en Latinoamérica muestra que el segundo y tercer rubro para invertir en seguridad son la seguridad de la información y la protección de los datos críticos de las empresas. Estas estadísticas muestran lo importante que se vuelve evaluar los riesgos asociados a los empleados con el propósito de mejorar los niveles de seguridad de la información sensible de las empresas. Por otro lado, cumplir con las normas internas de la empresa, con las regulaciones del sector industrial y con la legislación del país; son puntos muy importantes por los cuales las PYMES deben proteger su información sensible. Las empresas deben contar con guías de seguridad alineadas a los estándares actualmente implementados dentro de sus empresas y que les permita proteger la información de sus clientes, su propiedad intelectual, etc. El presente trabajo está orientado a apoyar a las empresas que no cuentan con procedimientos y mecanismos de seguridad diseñados, implementados y documentados dentro de sus organizaciones. Por otra parte, proteger la integridad del negocio, es decir, proteger su reputación, marca y activos; es un requerimiento que debe ser considerado con el fin de que el negocio no sufra pérdidas, gastos innecesarios o demandas por un mal uso y administración de su información corporativa. Adicionalmente, el propósito es fortalecer y seguir promoviendo el desarrollo de la seguridad de la información dentro de Ecuador. xix

20 ALCANCE Proporcionar un documento con una serie de etapas que una pequeña o mediana empresa pueda adoptar para establecer un proceso de planeación de la seguridad de la información corporativa sensible para disminuir la pérdida, robo o fuga de información corporativa que es administrada por los empleados de las empresas. Los mecanismos de control sugeridos serán independientes en su mayor parte de la implementación de controles lógicos que implican gastos que no pueden ser cubiertos por la pequeña y mediana empresa. El esquema propuesto se basa en la norma internacional ISO/IEC 27001:2005 y se centra en la protección de la información corporativa confidencial que es administrada y usada por los activos de tipo persona (recursos humanos) como se encuentra definido en MAGERITv2 y en el ISO/IEC 27005:2008. No se enfoca en activos de tipo tecnología, instalaciones o procesos. Debido a esto, el presente trabajo no cumple con un proceso de certificación en la norma ISO/IEC 27001:2005, pero si se encuentra alineada a dicho estándar internacional de seguridad. Se evalúa a los activos de tipo persona ya que toda empresa cuenta con recursos humanos que manejan y administran información corporativa; independientemente de la infraestructura tecnológica que tiene la empresa. Se asume que la empresa que quiera aplicar el esquema es considerada una pequeña o mediana empresa y que cuenta con al menos un empleado en el departamento de TI que sea responsable de coordinar las tareas que se definen en el esquema y con otro empleado capaz de cumplir con las actividades delegadas por el responsable. Adicionalmente se investigará el grado de conocimiento y madurez sobre la seguridad de la información en las PYMES del Ecuador, xx

21 especialmente en los laboratorios farmacéuticos, ya que las empresas de este sector administran y utilizan información muy sensible que debe ser protegida adecuadamente. El presente trabajo de investigación está orientado a las PYMES de Ecuador del sector farmacéutico catalogadas como laboratorios farmacéuticos. POBLACIÓN Y MUESTRA Para tener un panorama del nivel de conocimiento sobre la seguridad de la información en las PYMES de Ecuador, el presente trabajo se enfoca a evaluar varias empresas del sector farmacéutico, específicamente a los laboratorios farmacéuticos debido a que estas empresas manejan una gran cantidad de información corporativa sensible que debe ser protegida adecuadamente. Se toma como base a las empresas que están agrupadas en la Asociación de Laboratorios Farmacéuticos del Ecuador (ALFE) como población para la presente investigación, debido a que es una Asociación formalmente establecido y porque brindó el apoyo con información referente al sector. Se encuentran afiliadas a este organismo 11 empresas según lo indicado por el presidente de ALFE. Bajo este contexto se estableció contacto con todas las empresas, de las cuales 8 brindaron la información requerida. Adicionalmente se pudo obtener la colaboración de 2 laboratorios no asociados a ALFE para el presente trabajo. MÉTODOS Y TÉCNICAS UTILIZADAS Para definir la información que se requería obtener para el presente trabajo dentro de las empresas, se generó una encuesta para xxi

22 ser evaluada por los jefes responsables de los departamentos de TI dentro de cada empresa. Esta encuesta abordó una serie de preguntas que tienen el propósito de investigar el nivel de madurez, además de información que permita evaluar cuáles son los requerimientos de estas empresas sobre la seguridad de la información. Se estableció contacto telefónico con los jefes responsables de cada departamento de TI para solicitar el apoyo a la presente investigación. Posteriormente se procedió a enviar la encuesta a través de correo electrónico para obtener la respuesta de la misma manera. La información obtenida fue procesada una vez que se contó con la respuesta de toda la muestra definida. ORGANIZACIÓN DEL TRABAJO El Capítulo I contiene el marco teórico que debe ser conocido y entendido por el personal que va a hacer uso del presente trabajo para la implementación del esquema y que no ha tenido una capacitación adecuada en seguridad de la información. El Capítulo II abarca las normas y guías que fueron investigadas y que hacen referencia al establecimiento de seguridad de la información en las PYMES, y a la protección de información sensible corporativa. El Capítulo III engloba el estado del arte que se logró evaluar sobre la seguridad de la información en las PYMES de Ecuador. Adicionalmente se desarrolla el trabajo de investigación en los laboratorios farmacéuticos referente a la seguridad de la información dentro de estas empresas. El Capítulo IV contiene el esquema para la planeación de la seguridad de la información corporativa sensible que se propone establecer en una PYME. Este capítulo incluye información de cada etapa definida para que pueda servir de guía a la persona responsable de llevar a cabo la propuesta establecida. xxii

23 El Capítulo V abarca las conclusiones obtenidas en la presente investigación y los trabajos futuros que se espera lograr. Al final del presente trabajo se anexan los documentos generados como material de apoyo para el responsable de llevar a cabo el esquema definido en el Capítulo IV. xxiii

24 1. MARCO TEÓRICO 1.1. Definición de la Información La Real Academia de la Lengua Española define a la información como: Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada. Acoplando este término a un entorno empresarial, la información corporativa es el conjunto de datos que permiten determinar la operación, estructura y organización que tiene una empresa. La documentación que contiene información corporativa se encuentra en formato digital o físico, siendo la información digital la que mayores vulnerabilidades y ataques presenta; pero a la vez la que cuenta con la mayor cantidad de mecanismos de seguridad implementados para su protección. El robo y la pérdida de la información corporativa por parte de los empleados son los riesgos más comunes en las empresas, por lo que proteger la información sensible se ha convertido en una prioridad para muchas organizaciones. 1

25 1.2. Clasificación de la Información La clasificación de la información permite categorizar a los datos considerados como activos dentro de la empresa y establecer un nivel de confidencialidad. Estos datos pueden ser clasificados por los titulares de las áreas administrativas cuando lo solicitan o cada vez que se genera información dentro de las áreas de negocio [1]. Con una adecuada clasificación de la información se facilita la selección de los mecanismos de seguridad que son implementados de acuerdo a la importancia con que requiere ser tratada la información. Toda la información que se genera en las áreas o departamentos que manejan información corporativa crítica, debe ser creada y tratada con un nivel máximo de seguridad. De esta forma se evita que la información que se genera pueda ser manipulada por cualquier empleado de una forma indebida antes de que tenga designado un adecuado nivel de seguridad. Sin una clasificación adecuada, la información corre un mayor riesgo de estar vulnerable contra ataques, ya que los controles que se establezcan no serán los adecuados, lo que implicaría que los datos quedan expuestos a ser manipulados ilegalmente por empleados no autorizados. Los esquemas más comunes clasifican a la información en 3 grupos que son: confidencial, interna y pública [2] Confidencial La información confidencial es aquella cuya divulgación no autorizada puede tener un importante efecto adverso sobre la organización, incluyendo daños financieros, legales y de reputación. 2

26 Esta información se encuentra almacenada en dispositivos físicos o lógicos dentro de zonas seguras y de acceso restringido. El personal capaz de acceder y manejar esta información debe ser limitado y debidamente controlado. incluye [3]: Ejemplos de datos considerados como información confidencial Base de datos de los empleados o clientes. Propiedad intelectual o secretos de la compañía. Planes de marketing y negocio. Documentación legal. Planes para adquirir capital. Información de terceros sujeta a contratos de no divulgación. Planes operativos específicos, estratégicos que no se encuentran en registros públicos, etc Interna La información interna es aquella que no es sensible a la divulgación pero que es administrada exclusivamente dentro de la organización. Es decir, no es destinada a ser divulgada fuera de la empresa. Esta información requiere un nivel de protección de seguridad menor a la otorgada a la información confidencial. Ejemplos de este tipo de información incluye: Políticas internas de la empresa. Reportes operacionales. Anuncios y comunicados internos. 3

27 Organigrama de la empresa. Directorio de empleados. Memos Pública La información pública es aquella que ha sido aprobada por los responsables de las áreas de negocio para ser distribuida libremente fuera de la organización. No requiere ningún tipo de protección ya que no implica ningún riesgo para la empresa. Ejemplos de este tipo de información incluye: Material de marketing. Balances económicos anuales de dominio público. Ofertas de trabajo. Productos y servicios que ofrece la empresa. La información confidencial, interna y pública debe tener un diferente nivel de seguridad. Mientras más importante sea para el negocio, mejor debe estar resguardada. Por ejemplo, no se protegerá de igual manera la información de los gastos en suministros, que la información contenida en los servidores de la lista de los clientes. Ambos tipos de información deben estar clasificados en diferente nivel, por lo tanto necesitan diferentes mecanismos de protección. La clasificación de la información es un requisito previo para establecer prioridades en la protección de la información corporativa. 4

28 1.3. Seguridad de la Información La seguridad de la información es determinar qué requiere ser protegido, por qué requiere ser protegido, quién es el responsable de su protección y cómo se lo debe realizar; con el propósito de evitar la pérdida, daño o modificación no autorizada de los datos. En una organización, la seguridad de la información se centra en minimizar las pérdidas del negocio debido a la falta de integridad, confidencialidad y disponibilidad de la información [4]. La integridad es la propiedad de proteger la información contra modificaciones no autorizadas que alteran el contenido de la información. La confidencialidad es la propiedad de proteger la información contra el acceso no autorizado de las personas, instituciones o procesos que quieran manipularla. La disponibilidad de la información es la propiedad de acceder a la información siempre y cuando sea requerido por una persona. Se desarrollan prácticas y técnicas con el propósito de establecer estrategias para la protección de la información. Entre las más comunes se puede mencionar: Respaldo y Recuperación: Guardar la información realizando copias de los datos, para ser restaurados en caso de que ocurra un desastre o una modificación no autorizada de la información. Almacenamiento Remoto: Colocar la información dentro de un dispositivo ubicado en otro punto geográfico al sistema de almacenamiento primario, Así se evita cualquier pérdida de información por algún daño físico al sistema. Este almacenamiento debe ser en tiempo real y tiene el propósito de entrar en operación cuando se active el plan de respuesta a incidentes dentro de una organización. 5

29 Seguridad del sistema de almacenamiento: Aplicar mejores prácticas y el uso de la tecnología para aumentar las medidas de seguridad física. Administración del ciclo de vida de los datos: Respaldo automático de la información a un lugar dentro de la red o fuera de esta. La información debe estar en un estado de solo lectura para evitar cualquier modificación no autorizada. Dependiendo la antigüedad, la información debe ser reubicada en otro tipo de dispositivo. El uso conjunto de estas prácticas provee una estrategia para la protección de datos. Proteger la información confidencial siempre es importante desde cualquier punto de vista. Para una organización minimizar las pérdidas financieras, cumplir con la legislación y mantener altos niveles de producción, son requerimientos que pueden solventarse si se plantea una adecuada planeación de la seguridad. Si una empresa pierde información que es considerada como un activo que da soporte a un proceso importante del negocio, sufre pérdidas económicas de forma directa; incluso si esta información es propia de terceros se producen pérdidas indirectas. Existen regulaciones internacionales y nacionales a las cuales las empresas se deben regir, además de leyes para asegurar la privacidad de la información contenida en documentos, archivos y base de datos. Si existiera una pérdida de la información sensible, se puede considerar una violación a estas leyes y la empresa puede caer en sanciones legales por incumplimiento. 6

30 Soluciones de Seguridad para Protección de Información Corporativa Existen soluciones de seguridad para la protección de la información corporativa. A estos métodos se los conoce como soluciones DLP (Data Loss Protection). Estas herramientas se encuentran en un proceso de desarrollo, y están asociadas con varios términos [5] como: Data Loss Prevention/Protection. Data Leak Prevention/Protection. Information Loss Prevention/Protection. Information Leak Prevention/Protection. Extrusion Prevention. Content Monitoring and Filtering. Content Monitoring and Protection. Una clasificación para las soluciones DLP según la ubicación de los datos en el ciclo de vida de la información [6] se muestra a continuación: DLP para información en reposo. DLP para información en movimiento. DLP para información en uso. Por otro parte existe una segunda clasificación según el enfoque de la protección de la información [7]. Esta es: Soluciones que proveen protección a usuarios. Soluciones que ofrecen protección a la red. Productos diseñados alrededor de DLP. Productos que resuelven otros problemas pero tienen características DLP. 7

31 Las organización pueden implementar conjuntamente las tres soluciones, pero debe existir un estudio previo, a través de un análisis de riesgos, para determinar qué tipo de método debe ser específicamente implementado. Por ejemplo, si en una organización un análisis de riesgos sobre robo de información muestra que existe una mayor vulnerabilidad a través del robo de laptops, que a través del manejo inadecuado cuando se traslada entre diferentes áreas de la empresa; es mejor implementar una solución DLP para información en reposo que una solución DLP para información en movimiento. Si se estableciera como más importante el segundo punto, se debería poner más énfasis en una solución DLP para información en movimiento. De esta forma se establece cómo se puede hacer uso de las soluciones DLP para proteger la información confidencial corporativa de la empresa contra la pérdida o fuga de la información confidencial. Las soluciones DLP identifican qué información es confidencial y crítica en una organización para luego establecer políticas que regulan el acceso a esta información solo al personal autorizado. Adicionalmente estos mecanismos impiden que la información pueda ser copiada, publicada o trasladada sin una previa autorización para hacerlo. Inicialmente las soluciones DLP fueron desarrollas para ser implementadas en la información que se encuentra en movimiento, es decir aquella información que es transportada de un lugar a otro a través de correo electrónico, servicios FTP, páginas web, servicios de mensajería instantánea, etc. La protección se la realiza través del monitoreo de los distintos equipos por los cuales se transmite la información, además del control proactivo de las comunicaciones a lo largo de la red de datos por donde es transmitida la información de la organización. Así se tiene un control de todos los datos que circulan por la red. 8

32 Luego de los soluciones DLP para la información en movimiento, surgen las soluciones DLP para la información en reposo. Esta se emplea cuando la información no está siendo utilizada y se encuentra almacenada en algún dispositivo electrónico o equipo físico. Para la protección de la información almacenada en las estaciones de trabajo y que está en uso, surge la solución DLP para usuario final, la cual se basa en la utilización de antivirus, firewalls, anti-spyware, etc.; implementados en los equipos de los empleados. La información es más susceptible a ser extraviada o mal manejada en este punto, por lo que muchas empresas se enfocan principalmente en proteger la información que es usada y administrada por el usuario final. El principal mecanismo de protección para el usuario final es la encriptación de información, existiendo en la actualidad diferentes marcos de referencias como el NIST Sin embargo, estas soluciones requieren de una infraestructura de TI bien definida, organizada y que cuente con equipos especializados de seguridad. Estas son algunas de las principales causas por las cuales estos sistemas no pueden ser implementados en las empresas de la mediana y pequeña industria, ya que estas muchas veces no cuentan con la tecnología necesaria para cubrir la implementación de estos sistemas Gestión de la Seguridad de la Información Un Sistema de Gestión de la Seguridad de la Información (SGSI) diseña e implementa una adecuadamente planeación de la seguridad de la información en una empresa. La gestión de la seguridad debe estar alineada a los objetivos, misión, misión de seguridad y valores de la organización. De esta forma se garantiza la integridad, confidencialidad y disponibilidad de la información. 9

33 La gestión de la seguridad de la información abarca un proceso de análisis de riesgos y vulnerabilidades para determinar los activos que son relevantes y críticos para una empresa, y que deben ser protegidos adecuadamente. Además se debe contar con el establecimiento de protocolos, controles, el monitoreo de estos y el establecimiento de un plan de mejora continua para lograr que la gestión de la seguridad de la información sea eficiente, continua y genere valor para la empresa. Existen varios procesos que son considerados necesarios para planear adecuadamente la seguridad [8]. Estos son: Establecer políticas de seguridad y procedimientos efectivos. Configurar adecuadamente servidores, estaciones de trabajo y equipos de red para disminuir sus tiempos de inoperatividad. Asegurar que todos los usuarios entiendan sus responsabilidades y roles en el manejo de la seguridad. Establecer un grupo de seguridad que se encargue del manejo general de la seguridad total de la empresa. Asegurar que los riesgos son efectivamente entendidos y controlados. Generar revisiones, con el propósito de crear una mejora continua. Adicionalmente, en la planeación de la seguridad se debe tomar en cuenta los siguientes puntos [9]: Leyes, normas y reglamentos establecidos en el país. La misión, visión y estrategia de la organización. Valores, cultura y orientación de la organización Políticas, estándares y normatividad interna de la empresa. Existen varias normas internacionales que pueden ser utilizadas para trabajar conjuntamente y desarrollar una mejor gestión de la seguridad de la información en una empresa. La serie de la norma 10

34 ISO/IEC se enfoca a la seguridad de la información y al establecimiento de un SGSI [10] que sea aplicable a cualquier empresa que requiera cubrir sus necesidades y objetivos sobre la seguridad de la información. La norma ISO/IEC 27000:2009 fue publicada en mayo del Es una guía de conceptos y términos relacionados a la seguridad de la información para que sean aplicados de forma estándar por todas las empresas que van a desarrollar un SGSI. El estándar ISO/IEC 27001:2005 fue publicado en octubre del Este estándar desarrolla los requerimientos de seguridad de la información que son necesarios para obtener la certificación ISO que garantiza una adecuada gestión de la seguridad de la información dentro de una empresa. Cuenta con un anexo donde se resume los objetivos de control y los controles de seguridad que se encuentran desarrollados en la norma ISO/IEC 27002:2005. Esta norma puede apoyarse de otras como MAGERIT o el ISO/IEC 27005:2008 para el proceso de análisis de riesgos que determina la importancia de los activos o de un proceso de negocio para una organización. La norma ISO/IEC 27002:2005 fue publicada en julio del 2007 manteniendo el año 2005 como la fecha de edición. Desarrolla el código de prácticas para la gestión de la seguridad de la información donde se describen los objetivos de control y los controles de los 11 dominios de seguridad que abarca la norma. Esta norma no es certificable. El estándar ISO/IEC fue publicado en febrero del Es una guía para la implementación de los requerimientos del SGSI definido en la norma ISO/IEC 27001:2005. Define el plan de requerimientos que deben ser tomados en cuenta en cada etapa del Ciclo de Deming durante la implementación del SGSI, pero no cubre las actividades operacionales. Esta guía puede ser utilizada cuando se necesita implementar un SGSI por primera vez. 11

35 La norma ISO/IEC fue publicada en diciembre del Contiene el desarrollo e implementación de métricas dentro de un SGSI para determinar la eficiencia del mismo. El estándar ISO/IEC 27005:2008 fue publicado en junio del Se centra en el desarrollo de un proceso para la gestión de riesgos asociados a la seguridad de la información. Desglosa el proceso a través de una serie de etapas que abarcan desde el establecimiento del entorno, hasta el tratamiento de los riesgos tecnológicos encontrados en el análisis de riesgos. La norma ISO/IEC 27006:2007 fue publicada en febrero del Esta indica los requerimientos que una empresa debe cumplir para ser certificadora o auditora en Sistemas de Gestión de Seguridad de la Información. No es una norma certificable. Con un adecuado nivel de madurez dentro de una organización se puede implementar el concepto de Gobierno de TI. Un ejemplo de Gobierno de TI puede ser la implementación de COBIT para llevar a cabo procesos de auditoría de TI y alinear los objetivos de TI con los del negocio, ITIL para la gestión de TI y el ISO/IEC 27001:2005 para la gestión de la seguridad. Estos marcos de trabajo apoyan el proceso de gestión de la seguridad de la información para que sea bien diseñado e implementado dentro de la organización ISO/IEC 27001:2005 El ISO/IEC 27001:2005 enuncia los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la documentación que se tiene acerca del Sistema de Gestión de la Seguridad de la Información sobre los riesgos del negocio [11]. 12

36 Adicionalmente el estándar presenta una guía de controles de seguridad que pueden ser implementados para proteger los activos y generar una mejor seguridad en la organización. El ISO/IEC 27001:2005 está diseñado para varios propósitos entre los cuales se destacan: Utilizado por las organizaciones para formular requerimientos y objetivos de seguridad. Implementa una forma de asegurar que los riesgos de seguridad son manejados de forma rentable. Cumplir con regulaciones y leyes. Guía para la implementación y manejo de controles para asegurar que los objetivos específicos de seguridad de una organización se cumplan. Definición de nuevos procesos de gestión de seguridad. Identificación de los actuales procesos de gestión de la seguridad de la información. Empleado por la gestión de las organizaciones para determinar el estado de las actividades de la gestión de la seguridad. Utilizado por auditores internos y externos para determinar el grado de cumplimiento con las políticas, directivas y estándares adoptados por la organización. Utilizado por las organizaciones para proveer información relevante sobre políticas, directivas, estándares y procesos de seguridad a socios corporativos con los que se mantienen negocios. Manejado por las organizaciones para proveer información relevante sobre seguridad de la información a los clientes. El ISO/IEC 27001:2005 adopta el Ciclo de Deming que se basa en 4 fases conocidas como PDCA Plan Do Check Act para establecer el SGSI. Este ciclo se describe a continuación: 13

37 Ilustración 1: Modelo PDCA para un SGSI Fuente: Instituto Uruguayo de Normas Técnicas, Plan (Planificar): Establece las políticas, objetivos, procesos y procedimientos del SGSI para administrar el riesgo, y para mejorar la seguridad, conforme a las políticas y objetivos generales de la organización. Do (Hacer): Implementa y opera las políticas, objetivos, procesos y procedimientos del SGSI. Check (Verificar): Evalúa y, cuando es posible, mide el desempeño de los procesos respecto a la política del SGSI, los objetivos y la experiencia. En este paso, se reportan los resultados para su revisión. Act (Actuar): Adopta medidas correctivas y preventivas basadas en los resultados de la evaluación y revisión, para establecer las mejoras convenientes, de manera continua. El estándar incluye 11 clausulas de control que contienen 39 categorías de seguridad. También incluye una clausula de introducción sobre la evaluación de los riesgos así como de su tratamiento. La norma indica que para poder hablar de cumplimiento se debe tomar en cuenta todos los elementos de las cláusulas 4, 5, 6, 7 y 8. 14

38 El ISO/IEC 27001:2005 está alineado a estándares de calidad como el ISO 9001:2000 y el ISO 14001:2004 para lograr una consistente integración y operación de la gestión de estas normas internacionales ISO/IEC 27002:2005 El código de prácticas para la gestión de la seguridad tiene como objetivo crear una guía para establecer la gestión de la seguridad de la información en una empresa en base a los requerimientos en seguridad que esta requiere cumplir. Esta norma está compuesta por 11 clausulas con controles de seguridad que abarcan un total de 39 categorías de seguridad y una clausula sobre la gestión de riesgos [12]. Las 11 clausulas de seguridad definidas son: Política de Seguridad. Organización de la Seguridad de la Información. Administración de los Activos. Seguridad de los Recursos Humanos. Seguridad Física y de las Instalaciones. Administración de las Comunicaciones y las Operaciones. Control de Acceso. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Administración de los Incidentes de Seguridad de la Información Administración de la Continuidad del Negocio. Cumplimiento. Cada una de las clausulas enuncia el objetivo del control y uno o más controles que pueden ser implementados para cumplir con el objetivo dentro de cada categoría. Cada control propuesto es explicado y tiene una guía con información que puede tomarse en cuenta para su implementación. 15

39 1.5. Análisis de Riesgos Un análisis de riesgos permite evaluar los niveles de peligro a los que están expuestos los activos relevantes de una empresa, y dependiendo este nivel, se toman decisiones que permitan controlar las inseguridades debido a la falta de la conservación de la integridad, confidencialidad y disponibilidad de la información. Existen diferentes metodologías de apoyo para cumplir con este proceso, entre las que se destacan MAGERTIv2 y el ISO/IEC 27005: MAGERIT v2 La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT) es una metodología que evalúa la importancia de la información y apoya a proteger dicha información. MAGERITv2 define 3 objetivos: Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de controlarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Dentro de esta metodología se definen 2 conceptos muy importantes. El primero es el Análisis de Riesgos que es definido como el proceso sistemático para estimar la magnitud de los riesgos. El proceso de Análisis de Riesgos está dividido en 5 pasos: 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (costo) supondría su degradación 2. Determinar a qué amenazas están expuestos los activos. 16

40 3. Determinar qué controles se tienen implementados actualmente y determinar su eficiencia frente al riesgo. 4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. En este proceso, la metodología propone realizar el paso 3 al final del proceso para determinar el peor escenario de riesgo posible, y una vez realizado esto, se incorpora los controles que se encuentran implementados hasta ese momento. De esta forma se tiene una mejor visión de los posibles riesgos a los que están expuestos los activos. El esquema de la metodología se muestra a continuación: Ilustración 2: Metodología de MAGERITv2 Fuente: Ministerio de Política Territorial y Administración Pública del Gobierno de España, MAGERIT v2, Libro 1, El segundo concepto dentro de la metodología es la Gestión de Riesgos que incluye la revisión de los valores de impacto y riesgo determinados en el análisis, además de la selección e implementación de 17

41 los controles que ayudarán a prevenir, reducir o controlar los riesgos identificados. MAGERIT versión 2 está dividido en tres libros: El primer libro describe la metodología propuesta estableciendo las fases para realizar el análisis y la gestión de riesgos. La metodología de MAGERIT parte de la identificación de los activos que generan valor para la empresa. En base a estos se identifican las amenazas para luego determinar el nivel de impacto y riesgo al que están expuestos dichos activos. Definidos los riesgos, la metodología propone el establecimiento de controles que permitan mitigar, aceptar o transferir dichos riesgos. Este libro está dividido en 3 enfoques diferentes para guiar al grupo de riesgos encargado de realizar las diferentes actividades. El segundo libro presenta un catálogo de elementos como los tipos de activos, amenazas y controles; que son una guía de elementos utilizados como apoyo en el proceso de análisis y gestión de riesgos. A la vez con esta guía se pretende manejar una presentación de resultados de forma estándar de los análisis realizados. El tercer libro presenta una guía de técnicas que se pueden emplear en el análisis de riesgos. Se encuentra dividido en técnicas generales y específicas. Se presenta por ejemplo una técnica específica como el árbol de ataques que parte de un objetivo a atacar y que es definido como la raíz del árbol. Sobre este objetivo se establecen ramas u objetivos más específicos a atacar. De esta forma se identifican los ataques a los que puede estar expuesto un activo, y a la vez se pueden definir los controles para mitigar estos ataques. Como ejemplo de una técnica general se puede mencionar el Análisis Costo-Beneficio, el cual determina los costos en los que se incurre al realizar un proyecto de riesgos y evaluar si el beneficio sobrepaso los costos esperados. 18

42 En síntesis, MAGERITv2 es una metodología para el análisis y gestión de riesgos que parte de la identificación de los activos relevantes para una empresa; a los cuales se los evalúa para determinar el nivel de impacto y riesgo que pueden tener. Identificados los riesgos, se establecen los mecanismos de control que ayudan a mitigar los riesgos encontrados ISO/IEC 27005:2008 El ISO/IEC 27005:2008 provee una guía para establecer una gestión de riesgos de seguridad de la información, y está diseñado para dar soporte a los procesos de negocio de cualquier tipo de empresa. Acorde con el estándar, la gestión de riesgos es necesaria para identificar las necesidades de la organización en relación a los requerimientos de seguridad de la información. Un análisis de riesgos forma parte de un sistema de gestión de seguridad de la información (SGSI). A través de una serie de actividades establecidas en el ISO/IEC 27005:2008, se identifican los activos, sus amenazas y vulnerabilidades, así como la probabilidad de ocurrencia y el impacto; para identificar controles que permitan aceptar, eliminar, transferir o mitigar el riesgo. Un proceso de análisis de riesgos es aplicable a cualquier área de negocio por lo que establecer una metodología clara y sistemática, permite obtener resultados confiables y que apoyan de forma eficiente a los altos directivos de una empresa en la toma de decisiones sobre el negocio. El ISO 27005:2008 define las siguientes etapas de forma general para el análisis de riesgos: Establecer el Contexto 19

43 Evaluación del Riesgo Tratamiento del Riesgo Aceptación del Riesgo Comunicación del Riesgo Monitoreo y Revisión del Riesgo Estas etapas se encuentran definidas en el esquema de la ilustración 3. La etapa de Establecer el Contexto se centra en identificar toda aquella información relevante para el proceso de gestión de riesgos. Información relacionada a la empresa como su misión, sus objetivos y valores, y más específicamente el proceso de negocio que se va a analizar. También se define el grupo de trabajo y los roles y responsabilidades de cada uno. La etapa de Evaluación del Riesgo está dividida en tres puntos importantes que son la identificación, estimación y valoración del riesgo. Los dos primeros son definidos como el proceso de análisis de riesgos. La identificación del riesgo es el proceso en el cual se identifican los activos, sus vulnerabilidades, amenazas, controles implementados actualmente y por último la identificación de las posibles consecuencias de los riesgos sobre los activos que se van a evaluar. La estimación del riesgo es el proceso en el cual se establecen las escalas o niveles de riesgos que la empresa define como indicadores para los criterios que serán aplicados en el tratamiento de los riesgos. La valoración del riesgo es el proceso en el cual se definen las prioridades de los riesgos encontrados para su posterior tratamiento, dependiendo de las prioridades de la empresa, las cuales fueron definidas en la etapa Contextual y en la estimación del riesgo La etapa de Tratamiento del Riesgo define los mecanismos o procesos que serán implementados a los riesgos encontrados en el 20

44 proceso de evaluación. En base a los criterios de riesgos definidos dentro del establecimiento del contexto, se procede a mitigar, transferir, eliminar o aceptar los riesgos. Ilustración 3: Esquema de la Metodología del ISO Fuente: Organización Internacional de Estandarización, Norma ISO/IEC 27005:2008,

45 La etapa de Aceptación del Riesgo es ejecutada una vez que se trataron todos los riesgos encontrados. En esta etapa se presenta el informe con los riesgos tratados, transferidos, mitigados o eliminados, para que sean aprobados por la alta dirección de la empresa. Las etapas de Comunicación, Monitoreo y Revisión del Riesgo están asociadas a cada etapa del proceso de gestión de riesgos de la seguridad. Su propósito es controlar y coordinar todos los eventos o incidentes que se presentan a lo largo del empleo de la metodología con el fin de establecer mecanismos de mejora continua del proceso de gestión de riesgos Síntesis MAGERIT es una metodología que está orientada a los activos. Por tal motivo, la metodología se centra en analizar e identificar los riesgos asociados a los mismos. Por otro loado, la norma ISO/IEC 27005:2008 está orientada a procesos por lo que se requiere definir un proceso de negocio como parte inicial del proceso de análisis de riesgos. El proceso para el tratamiento de riesgos utilizada en la norma ISO/IEC 27005:2008 está mejor estructurada que en MAGERIT, ya que en la norma se establecen 4 procesos para el tratamiento (mitigar, transferir, eliminar, aceptar) que permiten administrar de mejo manera los riesgos encontrados. MAGERIT propone el tratamiento de los riesgos solo con la implementación de diferentes controles que reducen la frecuencia de las amenazas y limitan el daño causado. Para la etapa de análisis de riesgos, definida en la ilustración 16, el presenta trabajo utiliza la metodología y los conceptos de análisis de riesgos definidos en MAGERIT y para el tratamiento de los riesgo encontrados se toman los conceptos definidos en el ISO/IEC

46 1.6. Controles de Seguridad La selección de controles y su implementación son una parte importante dentro de un proceso de análisis de riesgos y de un programa de seguridad que se lleva a cabo en una empresa. El empleo de controles depende de las prioridades para mitigar los riesgos encontrados, y de los costos que implica su implementación. Para la selección e implementación de los controles, se debe tomar en cuenta las siguientes consideraciones [13]: Qué controles son los necesarios para proteger adecuadamente la información corporativa confidencial? Los controles de seguridad seleccionados han sido implementados? Cuál es el nivel de garantía requerido que el control debe cumplir una vez que es implementado? Un análisis de costo-beneficio basado en la mitigación de los riesgos. Sea fácil de usar. Compatibilidad con los controles actualmente implementados. Integración con las herramientas o aplicaciones existentes en la empresa Tipos de Controles Controles Físicos: Son mecanismos de seguridad que controlan el acceso físico a las instalaciones de una organización. Controles Técnicos: Son mecanismos tecnológicos que controlan el acceso lógico a la información confidencial. Controles Administrativos o de Proceso: Son mecanismos como políticas, procedimientos y procesos que definen guías que ayudan a los 23

47 usuarios a manejar y administrar de mejor manera la información confidencial. Estos tipos de controles son implementados de acuerdo a la acción que realizan: Prevenir: Los controles preventivos anticipan y limitan la probabilidad de que una amenaza efectúe la divulgación no autorizada intencional o no intencional de la información confidencial. Detectar: Los controles de detección revelan y reportan eventos no autorizados que cometen acciones perjudiciales y que provocan fallas en la seguridad de la empresa. Corregir: Los controles correctivos responden a incidentes que se suscitaron y que ponen en riesgo la estabilidad de las operaciones de la empresa. La implementación de controles de seguridad debe partir de una adecuada planeación de la seguridad y de los resultados obtenidos del análisis de riesgos. De esta forma se hace una selección adecuada de los diferentes tipos de controles que pueden ser implementados para minimizar los riesgos asociados a los activos. Es importante tomar en cuenta guías de apoyo para implementar los controles de seguridad como las definidas por el ISO/IEC 27001:2005 o por el NIST. De esta forma el proceso de implementación de controles está bien fundamentado dentro de la empresa. 24

48 1.7. Impacto en el Negocio El nivel de impacto en el negocio se determina de acuerdo a la pérdida de la confidencialidad, integridad o disponibilidad de la información [14]. Es importante tener en cuenta que cualquier incidente de seguridad que sufra una empresa puede poner en riesgo la continuidad de las operaciones diarias que esta realiza. En un corto o largo plazo se producen pérdidas económicas que definen el nivel de impacto que sufre la empresa. Por eso es importante tener en cuenta los riesgos a los que está expuesta una empresa por más pequeña que esta sea Bajo El impacto potencial es bajo si la pérdida de la confidencialidad, integridad o disponibilidad, tiene un efecto desfavorable pero limitado en las operaciones, en los activos de la organización o en los empleados. Este efecto desfavorable puede generar: Un impacto operacional que difícilmente genera inconvenientes en la continuidad del negocio. Daños menores a los activos de la organización. Una desventaja competitiva de menor importancia. Una pérdida financiera menor. Una baja pérdida de clientes, accionistas, o socios comerciales. Las personas perjudicadas sufren daños o molestias mínimas. Si el impacto potencial es bajo o limitado, el propietario de los datos puede determinar las acciones correctivas necesarias, o decidir si está dispuesto a aceptar el riesgo de no proteger la información. 25

49 Moderado El impacto potencial es moderado si la pérdida de confidencialidad, integridad o disponibilidad tiene un efecto desfavorable, pero moderado en las operaciones, los activos de la organización o en los empleados. Este efecto desfavorable puede generar: Un impacto operacional que genera inconvenientes relevantes en la continuidad del negocio. Un daño significativo a los activos de la organización. Una desventaja competitiva importante con la consiguiente pérdida de mercado. Una pérdida financiera substancial. Una pérdida importante de clientes, accionistas, o socios comerciales. Las personas perjudicadas sufren daños o molestias moderadas. Si el impacto potencial es moderado, deben aplicarse acciones correctivas necesarias y se debe desarrollar un plan para incorporar dichas acciones dentro de un plazo razonable de tiempo Alto El impacto potencial es alto si la pérdida de confidencialidad, integridad o disponibilidad, tiene un impacto negativo fuerte o catastrófico en las operaciones, en los activos de la organización o en los empleados. Este efecto desfavorable puede generar: Un impacto operacional que genere grandes inconvenientes en la continuidad del negocio. Grandes daños a los activos de la organización, incluyendo daños importantes a la reputación de la empresa. 26

50 Una alta desventaja competitiva con la consiguiente pérdida de mercado. Una pérdida financiera muy alta. La pérdida de secretos comerciales o la protección de patentes. Un impacto negativo en el valor de las acciones de la compañía. Una pérdida a gran escala de clientes, accionistas, o socios comerciales. Daños muy severos en las personas perjudicadas, incluyendo la pérdida de información personal y la exposición al fraude y al robo de identidad. Si el impacto potencial es alto, hay una fuerte necesidad de implementar medidas correctivas. A pesar de que el negocio pueda estar funcionando, un plan con medidas correctivas debe ponerse en marcha tan pronto como sea posible. En términos generales, establecer una planeación adecuada para la protección de los datos de una empresa es una tarea que debe estar orientada a minimizar los riesgos asociados a la información. De esta forma se espera obtener un bajo y controlado impacto en el negocio ante cualquier incidente de seguridad que se genera en la empresa y que pueda poner en peligro su continuidad. Es fundamental evitar un moderado o alto impacto en el negocio ya que estos pueden ocasionar pérdidas económicas y sanciones graves a la empresa provocando en el común de los casos el cierre permanente de sus actividades. 27

51 2. ESTADO DEL ARTE DE LA SEGURIDAD EN LAS PYMES 2.1. Guías y Estándares de Seguridad para PYMES Seguridad de la Información para la Pequeña y Mediana Empresa La Asociación de la Seguridad de los Sistemas de Información (ISSA) del Reino Unido estableció una serie de recomendaciones sobre varios controles de seguridad para la pequeña y mediana industria [15]. El estándar tiene como objetivo definir mecanismos de seguridad que deben ser implantados en una micro, pequeña o mediana empresa, acorde a sus necesidades en seguridad, a los riesgos de seguridad que deben cubrir, a los requerimientos de cumplimiento o a las expectativas de los clientes. El esquema diseñado es mostrado en la ilustración 4. El criterio para considerar una PYME es el número de empleados que forman parte de una organización. Una empresa es considerada como micro cuando cuenta con un número menor a 10 personas, pequeña cuando cuenta con varias docenas de personas o mediana cuando cuenta con algunos cientos de personas. 28

52 Ilustración 4: Esquema propuesto para las PYMES, norma ISSA-UK 5163 Fuente: Asociación de la Seguridad de los Sistemas de Información del Reino, Norma ISSA-UK 5163, Para la microempresa, este estándar propone los siguientes requerimientos mínimos de seguridad que deben implementarse: Compromiso del Director/Dueño: La responsabilidad y compromiso sobre la seguridad de la información debe estar documentada y firmada por el dueño o el director general para que pueda ser transmitida oficialmente al personal y a los socios de la empresa. Entender las Obligaciones: Gerentes y empleados que manejan información sensible o que utilizan los sistemas importantes de la empresa tienen que conocer los requerimientos legales, regulatorios o comerciales que deben cumplir. Además hay que asegurar que los empleados están conscientes de los requerimientos de seguridad asociados a sus tareas diarias. Respuesta a los Riesgos de Seguridad: Los directores y gerentes deben conocer los riesgos a los que están expuestos los activos y las actividades de sus organizaciones. Medidas Básicas de Seguridad: Las medidas de seguridad mínimas son la implementación de un control de acceso, 29

53 procedimientos y controles técnicos como firewalls, antivirus, etc. De esta forma se protege los equipos y los datos de robo, daño o acceso no autorizado. Para la pequeña empresa, adicionalmente a los 4 puntos anteriores el estándar propone implementar: Reglas de Seguridad: Establecer reglas que definan lo que un empleado debe y no debe hacer al utilizar o administrar información sensible. Responsabilidades de seguridad: Definir las responsabilidades que tiene el empleado que resguarda los activos importantes o que realiza actividades específicas de seguridad. Plan de Respuesta a Incidentes: Diseñar un plan de respuesta a incidentes para los principales riesgos como la falla de equipos, hacking, inundaciones, fuego, etc. Vigilancia de la Seguridad: Establecer un monitoreo de los diferentes mecanismos de seguridad implementados para verificar que estos son cumplidos por todo el personal. Para la mediana empresa el estándar propone la implementación de los siguientes 4 puntos adicionales a los ya mencionados anteriormente: Políticas y Procedimientos: Establecer un conjunto de políticas y procedimientos de seguridad que sean fáciles de interpretar por el personal de la empresa. Gestión de los Sistemas: Planear, implementar, revisar y mejorar las actividades de seguridad a través de objetivos claros de 30

54 seguridad, actividades de seguridad claramente definidas y una revisión por parte de la dirección general sobre los avances. Tecnología: Utilizar equipos especializados de seguridad para proteger la información sensible y prevenir o detectar incidentes de seguridad. Educación: Capacitar constantemente al personal sobre las amenazas de seguridad asociados a sus labores para disminuir los riesgos a un nivel aceptable para la organización Guía de Seguridad de la Información para PYMES Fue desarrollada por La Consejería de Industria y Medio Ambiente y la Dirección General de Innovación Tecnológica y Sociedad de la Información, con la colaboración de la Asociación Murciana de Empresas de Tecnologías de la Información y las Comunicaciones TIMUR [16]. Esta propuesta incorpora la legislación Española sobre la seguridad de la información que debe ser tomada en cuenta por las empresas durante la implementación de la guía. Adicionalmente está basada en la norma ISO/IEC 27002:2005 para la definición de los controles de seguridad que son propuestos. A través de un breve ejemplo se define el proceso de la gestión de la seguridad, partiendo de la definición de un proceso de negocio, los activos relevantes y varias amenazas asociadas a dichos activos. No explica el proceso de análisis de riesgos para la selección de los controles de seguridad que pueden ser aplicables en el proceso de seguridad de la información. Los controles de seguridad que se mencionan parten de la norma ISO/IEC 27002:2005. Para cada control se plantea su objetivo, un ejemplo 31

55 de lo que sucede si se cuenta o no con dicho control, además de la ubicación del control dentro del estándar ISO/IEC 27002:2005. Los controles están definidos dentro de 4 grupos que son: Controles relacionados con el negocio: Establece controles como políticas de seguridad, clasificación de la información, relación con terceros, comité de seguridad y validez jurídica de las evidencias. Controles relacionados con el personal: Define controles como roles y responsabilidades, cláusulas de confidencialidad, concientización y educación de las normas de seguridad, normas para la utilización de contraseñas, servicios públicos y correos electrónicos y la formación sobre el manejo de incidentes. Controles relacionados con los sistemas informáticos: Define controles físicos como el control de acceso, además de controles lógicos para los sistemas y comunicaciones. Controles relacionados con la revisión del sistema: Define mecanismos como la sincronización de relojes y el control de registro de acceso que son útiles en un proceso de auditoría del sistema. La guía es definida como un primer acercamiento a la seguridad de la información a través de 32 pasos que una PYME puede seguir para implementar seguridad dentro de sus empresas IS2ME Samuel Linares e Ignacio Paredes desarrollaron un método para acercar e implementar la seguridad de la información en las pequeñas y medianas empresas denominado IS2ME (Seguridad de la Información a la Mediana Empresa) [17]. 32

56 El método propuesto en esta investigación, presentado en la ilustración 5, parte de la evaluación de la seguridad actual de la empresa, luego desarrolla un plan de acción, continúa con la implementación del plan de acción de seguridad y concluye con la implementación de un Sistema de Gestión de la Seguridad de la Información. Se menciona que el proceso debe ser desarrollado por un grupo de trabajo externo a la empresa, el cual debe tener un conocimiento sobre seguridad de la información y sobre aspectos técnicos como la evaluación de las configuraciones de los sistemas informáticos. Ilustración 5: Esquema del Método IS2ME Fuente: Linares S. & Paredes I., Seguridad de la Información a la Mediana Empresa, El método comprende 4 fases principales. La primera fase, la Evaluación de la Seguridad está dividida en una serie de etapas en las cuales se define el propósito de cada una. Las etapas son: Identificación de Interlocutores: Definir una persona de la empresa que va a ser el nexo entre el grupo de trabajo que lleva a cabo el proyecto de evaluación de la seguridad y la organización. Recolección General de Información: Identificar toda la información referente a la seguridad de la información, la cual incluya información técnica como la topología y arquitectura de la red, dispositivos de seguridad existentes, etc.; información organizativa como el organigrama, políticas y procedimientos existentes; e 33

57 información de cumplimiento en legislación de las tecnologías de la información Recolección Técnica de Información: Identificar toda la información referente a los sistemas y dispositivos con los que cuenta la empresa a través de una muestra que representa al conjunto. En esta fase se enumera y se obtienen las características de los sistemas y las aplicaciones, se realiza un análisis de tráfico para determinar fallos y retrasos en la red, se realiza un análisis de vulnerabilidades de los equipos que son considerados como parte de los procesos importantes de la empresa o que están expuestos a mayores ataques, se realiza una revisión de las configuraciones y una revisión de la información de la empresa que puede ser obtenida desde internet. En esta etapa interviene el personal especializado en los sistemas y en los equipos para recopilar toda la información de una forma eficiente. Análisis de la Información: Revisar la falta de seguridad en la información que se recopiló anteriormente. Se menciona que se debe tomar como base estándares y buenas prácticas de seguridad para identificar donde evaluar la seguridad que se está analizando. Desarrollo del Informe: Proporcionar una visión global y detallada del estado de la organización y proponer donde se pueden hacer mejoras a través de las recomendaciones técnicas que se deben sugerir en esta etapa. Se definen puntos que deben ser tomados en cuenta para presentar de forma concisa las acciones que se deben llevar a cabo como la realización de un informe ejecutivo, conclusiones y propuestas de acción, entre otros. Presentación del Informe: Define puntos que deben ser tomados en consideración para la presentación a la Alta Dirección. Esta presentación debe tener un lenguaje de negocio y no un lenguaje técnico, además de tener el propósito de que el informe sea 34

58 aprobado por la Alta Dirección para continuar con el desarrollo del Plan de Acción de Seguridad. La segunda fase, Desarrollo del Plan de Acción de Seguridad, debe contener detalladamente las medidas de seguridad que se llevarán a cabo para cubrir los requerimientos mencionados en el informe del Estado de Seguridad. Estas medidas parten de los requisitos de seguridad y de las normas legales de la empresa una vez que ya se evaluaron y se priorizaron sus riesgos. Se incluye una serie de acciones que se recomienda tomar en cuenta como la planificación completa y detallada de cada acción, la identificación de los recursos humanos necesarios, mejoras en los dispositivos de seguridad, entre otros. Una vez concluido el Plan de Acción de Seguridad, se realiza la presentación del documento a la Alta Dirección para que esta apruebe y de el apoyo para la Implementación del Plan de Acción de Seguridad. La última fase es la Implementación del Sistema de Gestión de Seguridad de la Información en el cual se desarrollan todas las actividades que fueron propuestas y que han sido aprobadas por la Alta Dirección. A la par se debe implementar un proyecto de coordinación de la implementación para definir la asignación de los recursos, las labores de seguimiento de las tareas y la programación de las reuniones para la revisión de los avances realizados. IS2ME es un método para establecer la seguridad de la información como un paso previo a la adopción de una metodología o norma de un Sistema de Gestión de la Seguridad de la Información para una pequeña o mediana empresa. 35

59 2.2. Guías Complementarias para PYMES Paquete Informativo para PYME para la Gestión y Evaluación de Riesgos Esta propuesta [18] desarrollada por el Departamento Técnico de la ENISA (European Network and Information Security Agency), Sección de Gestión de Riesgos, se basa en los principios de OCTAVE. Tiene como objetivo ofrecer un nivel de seguridad aceptable mediante la implementación de una gestión de riesgos sencilla de llevar a cabo por las PYMES. La implementación de los controles mencionados en esta publicación son tomados de OCTAVE, pero la metodología establece que se puede tomar en cuenta los controles de seguridad sugeridos por otros estándares como el ISO, NIST, BSI. La metodología se base en 4 fases que son: Selección del Perfil de Riesgos: Identificar los riesgos asociados a una empresa en base al sector económico y a la importancia de la información que se maneja en el sector empresarial. Se definen 4 áreas de riesgos que son Riesgos jurídicos, Riesgos de productividad, Riesgos para la estabilidad financiera y Riesgos para la reputación y de pérdida de confianza de los clientes. Para cada área se define 3 niveles de riesgos (alto, medio y bajo) para que cada empresa que se está evaluando identifique el perfil que mejor se alinea a los riesgos asociados a la empresa. Identificación de los Activos Críticos: Define cuales son los activos críticos para el desarrollo de las operaciones importantes de la empresa. Se presenta una tabla donde se clasifica a los activos en 4 grupos que son aplicaciones, sistemas, red y personas. Una vez que se selecciona los activos hay que establecer los requisitos de seguridad que estos deben cumplir para posteriormente implementar los controles que cubrirán los requisitos de seguridad mencionados. 36

60 Selección de las Tarjetas de Controles: Se propone una lista de controles organizativos en base al perfil de riesgos y a la importancia dada a cada uno de los perfiles. Estos controles son aplicados de forma general para toda la organización como parte de la gestión de riesgos. También se propone una lista de controles para cada grupo de activos definidos en la fase 2 y para cada nivele de riesgos definidos en la fase 1. Ejecución y Gestión: Debido a que no todos los controles pueden ser aplicables por falta de presupuesto, hay que definir las prioridades en seguridad que la empresa tiene. De esta forma se seleccionan los controles que se van a implementar en el proceso de gestión de riesgos que se lleva a cabo. Ilustración 6: Fases de la Evaluación de Riesgos Fuente: ENISA, Paquete Informativo para PYME para la Gestión y Evaluación de Riesgos, Como completo a la guía, se integra un anexo en el cual se mencionan consejos sencillos sobre seguridad de la información que pueden ser útiles al momento de implementar la seguridad dentro de una PYME. 37

61 Proceso para el Manejo de Incidentes para la Pequeña y Mediana Empresa Este documento desarrollado por el SANS Institute, InfoSec Reading RoomProvee provee una guía [19] para implementar un grupo de respuesta a incidentes que pueda ser capaz de resolver los incidentes de seguridad que se presentan dentro de una PYME. Esta publicación parte del supuesto de que la empresa tiene un equipo para incidentes que cuenta con el conocimiento sobre el manejo de incidentes de seguridad, pero que necesitan implementar el proceso con recursos limitados. Define dos roles como mínimo con los que se debe contar. Un técnico que sea el encargado de administrar los sistemas y de identificar los incidentes de seguridad que aparezcan. El segundo rol es para una persona con un cargo administrativo el cual debe tomar las decisiones cuando un incidente de seguridad se genera. La propuesta parte de la definición de los seis pasos para el manejo de incidentes definidos por el SANS Institute [9]. Estos son Preparación: Definir que consideraciones se deben tener antes de empezar a monitorear las actividades de los usuarios. La inclusión de políticas que aprueban las tareas de monitoreo para el desarrollo de futuras auditorias son contempladas en esta etapa. Identificación: Se definen dos decisiones principales que se deben llevar a cabo en este punto. La primera es cómo se va a definir un incidente; mientras que la segunda es cómo se va a identificar un incidente que se presenta. Aclarar estos puntos es importante para que el personal pueda identificar rápidamente el incidente, a la vez de que sepa como corregirlo o reportarlo según sea necesario. Contención: Cuando se presenta un incidente de seguridad hay que permitir el acceso limitado a los sistemas a quienes tienen los 38

62 derechos para utilizarlos, mientras se bloquea el acceso a cualquier otra persona o programa no autorizado. De esta forma se desea aislar las máquinas infectadas para luego proceder a analizarlas. Es un error apagar los sistemas cuando sucede un incidente ya que pone en riesgo la continuidad de las operaciones del negocio. Erradicación: A las máquinas aisladas donde se produjo el incidente de seguridad se las analiza para entender el origen y cómo se produjo el incidente para proceder a limpiar los sistemas infectados. El proceso de limpieza puede ser desde escanear los equipos con un antivirus hasta restaurar toda la información en un equipo formateado. Todo depende del grado de incidencia de la amenaza. Recuperación: Una vez que se hizo la limpieza, hay que volver a colocar los equipos infectados en producción. Pero luego de un incidente de seguridad hay que monitorear constantemente los reportes y los logs que se generan en el equipo para tratar de identificar si el atacante está tratando de vulnerar nuevamente al sistema. Lección aprendida: Una vez que el incidente de seguridad es superado se analiza toda la información que se logró recopilar con el propósito de mejorar los controles de seguridad y de minimizar las brechas por donde se generó el incidente. Generar un documento bien detallado con los incidentes de seguridad puede servir de ayuda al momento de solicitar apoyo e inversión en el área de seguridad de la información a la Dirección General. Exponer a la junta directiva que la falta de mecanismos de seguridad en ciertas áreas provocó que se generen varios incidentes de seguridad, y con la documentación de respaldo, se puede lograr obtener inversión para la adquisición de nuevos mecanismos de control y así mejorar la seguridad de la información. 39

63 Guía Metodológica para la Gestión Centralizada de Logs de Seguridad El propósito de esta guía técnica [20] desarrollada por el Ing. Edgar Enrique Ruiz, Diana Carolina Niño Mejía y Alejandro Sierra Múnera es establecer el proceso de implementación de la infraestructura para centralizar los logs que se generan en los equipos de la empresa mediante la utilización de software de código abierto y propietario de libre distribución. De esta forma facilitar la labor de monitoreo y establecer una base para tareas forenses que se pretenda implementar en las PYMES. La guía técnica cuenta con 6 pasos que son orientados a sistemas Windows y Linux. Cada paso es desarrollado de una forma técnica y abarca varios comandos necesarios para cumplir con el proceso de la centralización de los logs de los sistemas. Los pasos de esta guía son: Sincronización de los relojes. Transporte de eventos. Creación de túnel de SSH. Instalación y creación del repositorio de datos. Instalación y configuración de herramientas de envío de incidentes. Definición de procedimiento para copias de respaldo. Esta guía técnica sirve de apoyo a las PYMES que quieran llevar a cabo el proceso de auditoría interna, monitoreo de los sistemas, manejo de incidentes de seguridad, entre otras. 40

64 2.3. Marco de Trabajo para Protección de Información Sensible DEFICIT Wong Onn Chee propone un framework [21] para evitar la fuga de información dentro de una empresa. Basa su propuesta en lo que define el triángulo de la fuga de información, presentado en la ilustración 7, compuesto por los activos de información, la motivación para robar información y las formas por las cuales se pueda dar la fuga de datos. Ilustración 7: Triángulo de la Fuga de la Información Fuente: Onn Chee, W., DEFICIT Framework. DEFICIT es desarrollado desde el punto de vista de que los productos y la tecnología por sí sola no pueden evitar la fuga de información. El framework está desarrollado en las siguientes fases y se encuentra alineado al triángulo de la fuga de la información como se muestra en la ilustración 8. Disuasión (Deterrence): Demostrar que se monitorea las actividades que se realizan y que se pueden adoptar sanciones si es necesario hacerlo. Medidas de seguridad propuestas son la educación del personal, monitorear las actividades de los usuarios, definir clausulas de penalidades sobre el mal uso de la información sensible de la empresa. Encriptación (Encryption): La encriptación de la información debe ser realizada en todas las actividades que involucran información sensible. No debe ser implementada solo en la red sino también en las terminales de los usuarios finales. Las medidas de seguridad son la 41

65 encriptación de los dispositivos de almacenamiento, de la red y de los archivos. Forensia (Forensics): Proveer información necesaria para identificar y rectificar una fuga de información. Medidas de seguridad propuestas son las herramientas forenses existentes para red y usuario final, el diseño de bitácoras que vayan alineadas a los formatos de evidencia de las leyes vigentes. Protección de la Identidad (Identity Protection): Es considerado un punto clave dentro del framework de DEFICIT. El propósito es prevenir el robo de identidad a través de un control de acceso eficiente. Contempla mecanismos de seguridad como control de acceso con múltiples factores de autenticación, desarrollo de contraseñas complejas y con tiempo de vida definido. Clasificación (Classification): Permite diferenciar los controles de seguridad sobre los activos relevantes para asegurar una adecuada operación del negocio. Se sugiere mecanismos de seguridad como la clasificación de la información con al menos un nivel para información secreta y un nivel para información pública. Protección Instantánea (Instant Protection): Detectar y bloquear un intento de fuga de información para eliminar las formas (egress) por las que se genera una fuga de información. Se identifica mecanismos de seguridad como el filtrado de contenido para la red y para los dispositivos extraíbles, la restricción de la captura del contenido de la pantalla de un monitor, entre otros. Clientes Ligeros (Thin Clients): Utilización de clientes ligeros físicos o virtuales con los cuales las tareas de administración, los riesgos por robo de equipo y las formas por las que se genera la fuga de información en los equipos de cómputo son eliminados 42

66 Ilustración 8: DEFICIT Alineado al Triángulo de la Fuga de la Información Fuente: Onn Chee, W., DEFICIT Framework Síntesis Las guías y los estándares analizados presentan varias metodologías y características únicas, como se presenta en la tabla 1, que son desarrolladas con el fin de ser aplicadas por las PYMES para implementar seguridad de la información dentro de sus empresas. Varias guías se basan en estándares o mejores prácticas de seguridad para la implementación de los controles, sin embargo no especifican o desarrollan la forma para hacerlo. No cuentan con una guía para la implementación de las fases o etapas que proponen. Para una PYME en la cual el personal de TI no tiene una buena capacitación en seguridad, puede resultar un tanto ambiguo o complejo utilizar algunas de las guías mencionadas. Adicionalmente es muy importante definir un esquema claro del proceso se quiera implementar con el fin de que los empleados del departamento de TI de una PYME logren tener una mejor idea de todo el proceso y de cómo llevarlo a cabo. Se requiere también que el proceso no sea complejo de realizar o implique una serie de requerimientos 43

67 Norma ISSA-UK 5173 (ISSA) Guía de Seguridad de la Información (Gobierno de Murcia) IS2ME (Samuel Linares e Ignacio Paredes) Gestión y Evaluación de Riesgos (ENISA) Proceso para el Manejo de Incidentes para PYMES (SANS Institute) Guía para la Centralización de Logs de Seguridad (Varios) DEFICIT (Wong Onn Chee) tecnológicos difíciles de implementar en la empresa o que requieran de la contratación de personal externo. Por otra parte, partir de un análisis de riesgos es muy importante para determinar cuáles son los principales activos que requieren una adecuada protección debido a los riesgos que tienen y que pueden comprometer las operaciones de la empresa y provocar un impacto grave en el negocio. Sin un análisis previo se corre el riesgo de implementar controles innecesarios o que no cumplan con una adecuada protección de los activos relevantes de la empresa. Tabla 1: Tabla Comparativa Guías y Normas de Seguridad para PYMES Características Se alinea a estándares internacionales o mejores prácticas de seguridad. Presenta una metodología o esquema formal y sencillo. Parte de un Análisis de Riesgos. Establece controles de seguridad y proporciona información sobre los mismos. Tiene una guía o información para la implementación. Define documentación de apoyo para la implementación de las etapas. Es fácil de interpretar. Requiere de personal especializado. x x x x x x x x x x N/A N/A N/A N/A x x x x x x x x x x x x x x x x x x Se enfoca en el empleado. Fuente: Realizado por el autor del presente trabajo. Las metodologías analizadas toman como parte principal la evaluación de la tecnología con la que cuenta la PYME, y los controles que se sugieren van orientados a proteger los equipos de red y las 44

68 estaciones de trabajo. Debe haber un mayor énfasis en el empleado que maneja y administra la información de la empresa. Una guía de seguridad para las PYMES no solo debe enfocarse en la implementación de controles de seguridad, adicionalmente debe establecer una adecuada y sencilla planeación de la seguridad para que sirva de apoyo al personal del área de TI que no tiene un gran conocimiento sobre la seguridad de la información. 45

69 3. SEGURIDAD INFORMÁTICA EN LAS PYMES DE ECUADOR LABORATORIOS FARMACÉUTICOS 3.1. Preámbulo A través de un estudio realizado por el Ministerio de Industrias y Competitividad (MIC) y la Federación Nacional de Cámaras de la Pequeña Industria (FENAPI) [22], se obtienen los datos más recientes sobre las micros, pequeñas y mediana empresas denominadas como MIPYMES. Se toman 2 aspectos importantes del estudio realizado que son la clasificación de las MIPYMES y la información referente al uso de las tecnologías de la información Clasificación La clasificación de las MIPYMES se basa en los criterios utilizados por los países de la Comunidad Andina (CAN) según el Estatuto Andino de las PyMEs. Esta es: Según sus ventas Según sus activos Según sus empleados De acuerdo a su nivel de ventas, las empresas encuestadas están clasificadas como se muestra en la ilustración 9. 46

70 Ilustración 9: Clasificación de las MIPYMES Según sus Ventas Fuente: Stratega, Encuesta Nacional a Micro, Pequeñas y Medianas Empresas de la Industria Manufacturera, En Guayas y Pichincha, de acuerdo al estudio existe un 81.7% de microempresas, 14.1% de pequeñas empresas, un 4.2% de empresas medianas y un 5.1% que no sabe o responde al estudio. De acuerdo al nivel de activos fijos los resultados obtenidos se muestran en la ilustración 10. Ilustración 10: Clasificación de las MIPYMES Según sus Activos Fuente: Stratega, Encuesta Nacional a Micro, Pequeñas y Medianas Empresas de la Industria Manufacturera,

71 En Guayas y Pichincha, de acuerdo al estudio existe un 80.1% de empresas con capital menor a dólares, 43.5% de empresas con activos valorados entre y dólares, un 5.4% con activos entre y dólares, un 0.9% que tiene activos valorados en más de y un 5.8% que no sabe o responde al estudio. De acuerdo al número de empleados, los resultados obtenidos se muestran en la ilustración 11. Ilustración 11: Clasificación de las MIPYMES Según el Número de Empleados Fuente: Stratega, Encuesta Nacional a Micro, Pequeñas y Medianas Empresas de la Industria Manufacturera, En Guayas y Pichincha, el número de empleados por empresas es de 69.8% entre 1 y 9 empleados, de 26,4% entre 10 y 49 empleados y de 3,9% entre 50 y 199 empleados. Un 1.8% no sabe o no responde al estudio. 48

72 Tecnología En cuanto al uso de tecnología, el estudio realizado muestra que la innovación en tecnología y los procesos de producción son los procesos que sobresalen en las MIPYMES como se muestra en la ilustración 12. Ilustración 12: Procesos que Sobresalen en las MIPYMES Fuente: Stratega, Encuesta Nacional a Micro, Pequeñas y Medianas Empresas de la Industria Manufacturera, Certificados de Calidad Las empresas buscan certificarse en estándares de calidad como el ISO 9001, el cual certifica que una empresa lleva de una forma adecuada sus procesos. En Guayas y Pichincha, el 2.1% de empresas buscan principalmente cumplir con este estándar. En la ilustración 13 se muestran los certificados de calidad que las MIPYMES están implementando dentro de sus empresas. 49

73 Ilustración 13: Implementación de Estándares en las MIPYMES Fuente: Stratega, Encuesta Nacional a Micro, Pequeñas y Medianas Empresas de la Industria Manufacturera, Legislación relacionada a la Seguridad de la Información Existen pocas leyes nacionales y del sector de económico a las cuales las empresas deben estar alineadas. En cuanto a legislación informática, hay muy poca normatividad vigente en el país. Existen varias leyes que contemplan determinado número de artículos sobre cómo debe ser usada o almacenada la información personal; o sobre cómo una persona es libre de acceder a la información relacionada a ella misma y que está almacenada en una empresa. Ecuador es uno de los países más atrasados en cuanto al establecimiento de leyes referentes a informática y protección de datos. Un ejemplo es la aprobación de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos en el año 2002, mientras que los países vecinos contaban con leyes semejantes con mayor anterioridad. Colombia expidió, el 18 de agosto de 1999, la Ley No. 527, llamada Ley de Comercio Electrónico, y Perú lo hizo el 26 de mayo del 2000, con la Ley No denominada Ley de Firmas y Certificados Digitales. 50

74 Actualmente se cuenta con varias normas de seguridad de la información que están publicadas como parte del registro oficial del Ecuador, pero sin embargo no son aplicadas o implementadas en las instituciones a las cuales están dirigidas. El 29 de julio del 2011 mediante el acuerdo ministerial Nro. 804 y el acuerdo ministerial Nro. 837 del 19 de agosto del 2011, la Secretaría Nacional de la Administración Pública creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación [23]. Los objetivos de esta comisión son: Establecimiento de los lineamientos de seguridad informática, protección de la infraestructura computacional y de la información custodiada por la entidades de la Administración Pública Especificación de las normas y protocolos de seguridad informática que serán aplicados en la Administración Pública, previa aprobación del Consejo Nacional Evaluar el estado de las herramientas y tecnologías de la información para seguridad informática y del personal a cargo de las mismas Especificar recomendaciones sobre el manejo de las herramientas y tecnologías de la información para seguridad informática en las entidades de la Administración Pública Las siguientes leyes se encuentran vigentes en el país y contemplan artículos relacionados a la seguridad de la información: Ley de comercio electrónico, firmas electrónicas y mensajes de datos (Ley No ). Ley de propiedad intelectual (Ley No ). Habeas Data NTE INEN-ISO/IEC : 2009 Gestión del servicio: Especificaciones 51

75 NTE INEN-ISO/IEC : 2009 Gestión del servicio: Código de buenas prácticas NTE INEN-ISO/IEC 26300: 2009 Formato de documento abierto para aplicaciones de oficina ODF (Open Document Format) versión 1.0 NTE INEN-ISO/IEC 27002: 2009 Técnicas de la seguridad: Código de práctica para gestión de la seguridad de la información Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos El Ecuador cuenta con la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Registro Oficial No. 557, el 17 de abril de 2002 [24], mediante la cual se incorporan determinadas figuras jurídicas informáticas que permiten garantizar el resguardo de la información, así como su transmisión a través de medios electrónicos mediante el uso de técnicas criptográficas [25]. En el artículo 1 se suscribe, lo siguiente: Esta Ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. Adicionalmente, está sujeta a leyes y acuerdos internacionales respecto a propiedad intelectual (Art.4). Se establece la confidencialidad y reserva de los mensajes de datos y menciona que hay sanciones a los usuarios que incurran en violación del secreto profesional (Art. 5) Dentro del Art. 9, se indica que para la creación, transferencia o utilización de una base de datos que ha sido obtenida de un mensaje de datos, debe haber consentimiento de las personas que forman parte de la 52

76 base de datos, para que terceros usen su información. Esta no aplica a bases de datos obtenidas de fuentes públicas. En los Art. 13 y 14, se habla de la firma electrónica y como esta es un mecanismo para identificar al titular de la firma en relación al mensaje de datos. Esta es la autenticación del usuario, validándose así al usuario que envía un mensaje de datos. Dentro del Art. 52, se establece que los mensajes de datos, firmas, documentos y certificados electrónicos; que son emitidos conforme a esta ley, son considerados medios de prueba para cualquier efecto legal. A partir del Art. 57 hasta el 63, se establecen las sanciones a las que una persona estará sujeta si comete alguna infracción informática. Estas sanciones se incluyen como reformas al Código Penal, a partir de su Art Haciendo referencia a un entorno corporativo, las sanciones a las que está sujeto un empleado que hace uso indebido de información corporativa son las siguientes: Art A continuación del Art. 202, inclúyanse los siguientes artículos enumerados: Artículo...- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica. Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica. 53

77 La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o industriales, será sancionada con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realiza por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Artículo...- Obtención y utilización no autorizada de Información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica.. Artículo 59.- Sustitúyase el Art. 262 por el siguiente: Art Serán reprimidos con tres a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo. Aplicando los artículos de esta ley a un entorno empresarial, específicamente al uso y administración de información corporativa sensible por parte de un empleado. Se puede concluir que: 54

78 Los Art. 13 y 14, pueden ser utilizado para entablar una demanda contra un empleado que haya incurrido en la divulgación de información corporativa, esta es una prueba que autentica al usuario del correo electrónico enviado. El Art. 52, implicaría que un correo electrónico saliente de un empleado, en el que se pueda identificar una fuga de información. Puede ser tomada como prueba por parte de la empresa para establecer una acción penal contra el empleado. El Art. 58 permite enjuiciar a un empleado que ha violentado las seguridades de los dispositivos electrónicos de la empresa, con el propósito de robar información confidencial o privada de la misma. Estas sanciones aumentan de acuerdo al nivel de acceso a la información que tiene un empleado. Por ejemplo, el administrador de un servidor de datos de clientes que robe información de la base de datos, tendrá una mayor sanción que una secretaria que roba la base de datos. Es por esto que es importante la segregación de funciones y niveles de acceso de los empleados dentro de una organización. En ambos casos, la empresa tiene la autoridad para levantar una demanda contra un empleado. (debe integrarse con los contratos de trabajo que firma un empleado) Los Art. 59 y 61, permiten enjuiciar a un empleado, que por motivos de despido u otro motivo; destruya las instalaciones, información del computador o equipo electrónico que tenía a cargo dentro de la empresa. De esta forma la empresa puede tomar sanciones en contra de los malos empleados. (Se debe coordinar con el área de TI para que antes de un despido, se logre custodiar la información y así evitar la destrucción de la misma y no llegar a enjuiciar al empleado). El Art. 62, establece sanciones para empleados que intenten ingresar a instalaciones seguras o privadas dentro de la empresa, utilizando medios electrónicos o tarjetas magnéticas, con el propósito de obtener información confidencial de la empresa. 55

79 Ley de Propiedad Intelectual Publicada en el Registro Oficial N#320, la Ley de Propiedad Intelectual [26] detalla lo siguiente. En el Artículo 1, se da a conocer que el Estado reconoce, regula y garantiza la propiedad intelectual que es adquirida de forma legal. Como propiedad intelectual se determina los derechos de autor, la propiedad industrial y la obtención de vegetales. Esta ley está dividida en 5 libros. Los 3 primeros abarcan cada tipo de propiedad intelectual, el cuarto trata sobre la competencia desleal y sanciones, mientras que el último libro trata sobre el Instituto Ecuatoriano de la Propiedad Intelectual (IEPI) que es el órgano regulador que se encarga de todos los temas relacionados a propiedad intelectual. Sobre propiedad industrial se destaca lo siguiente: Invenciones Dibujos y modelos industriales La información no divulgada y los secretos comerciales e industriales Las marcas de fábrica, de comercio, de servicios y los lemas comerciales Los nombres comerciales Cualquier otra creación intelectual que se destine a un uso agrícola, industrial o comercial Las leyes referentes a estos temas son desglosados en el libro 2, del capítulo 4 al capítulo 8. La ley se aplica tanto para personas nacionales como extranjeras. En el artículo 120 se describe que las invenciones en el campo de la tecnología están protegidas por la concesión de patentes de invención. 56

80 En la Sección II, Artículo 127, se indica que si varias personas realizan una misma invención, la patente será otorgada a aquella que la registre primero. Esta es una causa por la cual se puede promover el espionaje industrial dentro de las empresas. Si existe fuga de información dentro de la organización, una empresa competidora que se apropia de una u otra forma de la patente, la puede registrar antes y así llevarse la patente y todo el reconocimiento que conlleva el nuevo descubrimiento. Razones como están son justificación por las cuales se debe proteger la información sensible de las empresas. En el Artículo 149 se indica que el dueño de una patente es el único capaz de hacer uso de la misma. Además se indica todas aquellas acciones que son prohibidas realizar por terceros, como la venta de la patente, o como su importación para beneficio propio. Esto implica que ningún empleado debe copiar en algún dispositivo externo la información que es catalogada como patente como son los secretos comerciales o invenciones de la empresa en la que trabaja. Capítulo 4 Indica que si un inventor quiere proteger una invención que está en desarrollo, puede solicitar un certificado de protección que durará un año. De esta forma tiene la preferencia para presentar la solicitud de patente y protegerse de eventuales competidores. Capítulo 5 Describe artículos sobre los modelos y dibujos industriales. Como dibujos industriales está catalogada la combinación de líneas, formas o colores que sirvan para la fabricación de un producto industrial. Modelo industrial es toda aquella forma plástica asociada a un dibujo industrial. 57

81 Capítulo 7 Este capítulo se centra en la información no divulgada. En el artículo 183 se describe la información que es considerada de no divulgación como las características propias de un producto, los procesos de fabricación, producción, distribución y comercialización. También el conocimiento tecnológico y el conocimiento relacionado al empleo de técnicas industriales que son almacenadas con carácter confidencial Se menciona también que se debe proteger la información de no divulgación, y que el responsable de esta información es aquella que tiene un control sobre la misma. Esto por eso que es muy importante establecer roles y responsabilidades a los empleados con el fin de definir los responsables de la información en cada etapa de su ciclo de vida, y durante su uso o administración. Así es más fácil determinar sanciones a aquellas personas que hagan un mal uso de la información. En el artículo 186 se indica que serán responsables por la divulgación de información, aquellas personas que cometan el acto y aquellas que obtengan beneficios. El artículo 191 hace referencia a entidades químicas productoras. Este artículo indica lo siguiente: Si como condición para aprobar la comercialización de productos farmacéuticos o de productos químicoagrícolas que utilizan nuevas entidades químicas productoras de químicos, se exige la presentación de datos de pruebas u otra información no divulgada cuya elaboración suponga un esfuerzo considerable, las autoridades protegerán esos datos contra todo uso desleal, excepto cuando sea necesario para proteger al público y se adopten las medidas necesarias para garantizar la protección de los datos contra todo uso desleal. 58

82 Esto implica que las entidades químicas al tratar de comercializar un producto, deben presentar su información de no divulgación a las autoridades respectivas para su posterior aprobación de comercialización. Se debe recalcar este punto, ya que durante todo el proceso de traslado desde la empresa a las autoridades respectivas para la presentación de la información de no divulgación, se corre es riesgo de una fuga de información. Por lo que se deben establecer adecuados mecanismos de protección de la información que garanticen la confidencialidad, integridad y disponibilidad de la información a lo largo de este proceso. Capítulo 8 En este capítulo se habla sobre las marcas. Se define los requisitos, procedimientos, derechos, cancelación y nulidad del registro de una marca. En el artículo 194 se define Marca como: cualquier signo que sirva para distinguir productos o servicios en el mercado. En el libro IV, de la Ley de Propiedad Intelectual se habla sobre la competencia desleal. Citando el artículo 285, está considerado como acto de competencia desleal cualquier acto susceptible de dañar o diluir el activo intangible o la reputación de la empresa. Se entenderá por dilución del activo intangible el desvanecimiento del carácter distintivo o del valor publicitario de una marca. Adicionalmente en el artículo 286 establece como competencia desleal acciones que procedan por violación de información no divulgada. Por último en el artículo 287 se establece que la persona o empresa que sea perjudicada pueden establecer acciones previstas en esta ley. El artículo 292 suscribe: Si la violación de los derechos se realiza a través de redes de comunicación digital, tendrá responsabilidad solidaria el operador o cualquier otra persona natural o jurídica que tenga el control de un sistema informático interconectado a dicha red, a través del cual se permita, induzca o facilite la comunicación, reproducción, 59

83 transmisión o cualquier otro acto violatorio de los derechos previstos en ésta Ley, siempre que tenga conocimiento o haya sido advertido de la posible infracción, o no haya podido ignorarla sin negligencia grave de su parte. Se entenderá que ha sido advertido de la posibilidad de la infracción cuando se le ha dado noticia debidamente fundamentada sobre ella. Este artículo responsabiliza directamente a un empleado que usa o administra un sistema informático ante una fuga de información; siempre y cuando el empleado sea consciente del acto. Los artículos 303 y 304 indican los criterios para la indemnización y la distribución de los valores recaudados para el perjudicado y otras instituciones como el IEPI. El artículo 320 establece la pena de 3 meses a 3 años a las personas que divulguen, adquieran o utilicen secretos comerciales, secretos industriales o información confidencial. En resumen, si una persona roba o pierde información confidencial que es catalogada como propiedad industrial, está sujeta a sanciones legales descritas en esta ley. Al redactarse un contrato entre una empresa y un empleado que vaya a ingresar en un departamento dentro de la empresa donde se maneja información corporativa confidencial sensible, se deben establecer acuerdos de confidencialidad de la información en donde sean tomados aspectos descritos por esta ley, de esta forma las empresas tienen mecanismos para sancionar a sus empleados, y estos a su vez tienen la conciencia de que cualquier acto mal intencionado puede provocar una sanción grave. 60

84 Hábeas Data Dentro del documento de Ley de Control Constitucional, que se centra en asegurar la eficacia de varias normas que garanticen los derechos de las personas, se describe el Hábeas Data en el Título II, capítulo II, artículo 34. Este artículo declara que toda persona es libre de acceder a la información que se encuentra almacenada sobre sí misma y sobre sus bienes en las bases de datos de distintas instituciones públicas, de personas naturales o jurídicas privadas, así como conocer el uso y finalidad que se les haya dado o se les esté por dar [27]. Una persona que solicite el Hábeas Data, podrá obtener certificaciones de que el poseedor de su información, no la ha modificado, divulgado a terceros o puede solicitar que eliminen información personal que sea considerada como confidencial. En el caso de que una persona solicite este amparo ante un juez, bajo el artículo 39, la empresa debe presentar la información del solicitante. En este artículo se describe que documentación se debe presentar, entre la que se destaca el tipo de tecnología que se utiliza para almacenar la información; y las medidas de seguridad aplicadas para precautelar dicha información. Si la empresa no justifica debidamente su documentación, puede ser expuesta a una investigación por parte del solicitante y peritos judiciales. A una organización a la cual se le interponga el Habeas Data, deberá presentar la documentación sobre el uso y administración de sus bases de datos de clientes. Es por eso que la base de datos de clientes y proveedores dentro de una empresa, es considerada como un activo que debe ser resguardado y documentado efectivamente, bajo una serie de medidas de protección. Adicionalmente, todo proceso debe siempre ser correctamente documentado para tener un periodo de tiempo corto de respuesta a incidentes. 61

85 Si la organización no cumple con el proceso en el tiempo establecido y de la forma correcta, está expuesta a sanciones, como no poder ejercer sus operaciones por un año, lo que implicaría un impacto alto en el negocio. Todo dependerá del plan de respuesta que tenga la organización y principalmente de la forma en que se maneja la gestión de la seguridad de la información dentro de la empresa Síntesis En base a los resultados obtenidos por este estudio sobre las MIPYMES encuestadas, se resaltan los siguientes puntos: La proporción de empresas según su tipo, es de , o sea por cada empresa mediana, hay 4 pequeñas y 28 micro empresas. Un 70% de las empresas emplean menos de 9 trabajadores, un 26% emplean entre 10 y 49, y un 4% emplean más de 49 pero menos de 199 personas. Los principales requerimientos no financieros de apoyo del Estado, son la capacitación, la mejora de procesos y productividad, la certificación de calidad y la información sobre proveedores y competidores. Solamente un 5% de las empresas ha obtenido alguna certificación de calidad. Las principales actividades de las empresas medianas, son la impresión, la elaboración de alimentos, la producción de químicos y la de plásticos. Los servicios gremiales que no se reciben y que son más solicitados, son la capacitación técnica especializada, el apoyo para participar en ferias y misiones comerciales del exterior, la asesoría en proyectos de inversión, la representación ante organismos públicos y el apoyo a la incubación de empresas. 62

86 Los factores más críticos dentro del clima de negocios son la competencia desleal, los apagones o sobre voltajes, la corrupción pública o privada y el robo. Existe una alta preocupación entre los consultados por perseguir la innovación tanto en procesos como en productos. El establecimiento de políticas y programas que faciliten estos procesos probablemente tendría una favorable acogida. Analizando los resultados de este estudio, y con la investigación realizada a los laboratorios farmacéuticos, se puede resaltar que la mayoría de laboratorios se encuentran catalogados como medianas empresas ya que cuentan con un personal de hasta aproximadamente 200 personas. Con el fin de mejorar sus procesos, muchos laboratorios están adoptando estándares de calidad y de buena manufactura en la elaboración de sus productos. Por otro lado, la capacitación técnica especializada dentro de las organizaciones es una necesidad que muchas empresas requieren cubrir con el propósito de contar con personas que logren aportar de mejor manera al crecimiento y expansión del negocio. En base a estos requerimientos, el crecimiento de las empresas y a la desarrollo de las tecnologías de la información, contar con un especialista en informática y más aún, en seguridad de la información, es una necesidad que actualmente en el país no puede ser cubierta en cada empresa. La información corporativa puede ser usada y administrada de una forma inadecuada y que puede poner en riesgo las operaciones de las empresas si no es protegida apropiadamente. 63

87 Sobre la utilización o implementación de esquemas o controles de seguridad que deben implementarse tanto en seguridad física como lógica, ninguna de las leyes descritas anteriormente, mencionan algo al respecto. Existen sanciones para las personas que incurran en un mal uso o administración de la información, pero no se estipula leyes que contemplen como debe ser manejada la información. La seguridad de la información se está empezando a considerar en la ley del país. Es importante que estas sean desarrolladas para que puedan ser implementadas por las instituciones públicas o privadas. Sin legislación sobre seguridad de la información, cada empresa deberá encargarse de implementar sus propias medidas adecuadas de seguridad con el fin de garantizar la confidencialidad, integridad y disponibilidad de la información que manejan. Si existieran leyes que describan los requerimientos de seguridad con los que deben cumplir las instituciones para el uso y administración de información, se establecerían bases con las cuales las empresas pueden saber qué medidas y controles mínimos de seguridad deben adoptar. Esta es una forma de seguir promoviendo la cultura de la seguridad en las empresas. Muchos artículos hablan sobre medidas adecuadas, (artículo 183 de la Ley de Propiedad Intelectual) o medidas necesarias (artículo 191 de la Ley de Propiedad Intelectual), para proteger la información. Pero no describen que tipos de mecanismos deben implementarse como mínimo para garantizar la protección. Las leyes quedan muy abiertas a interpretación, por lo que deben ser analizadas y en la medida de lo posible, más explícitas para que puedan ser adoptadas en el caso de que sea necesario. 64

88 3.3. Laboratorios Farmacéuticos Se realizó una encuesta 1 en varias empresas del sector farmacéutico, especialmente en los laboratorios farmacéuticos afiliados a la Asociación de Laboratorios Farmacéuticos del Ecuador (ALFE) debido a que estas empresas manejan una gran cantidad de información sensible que debe ser resguardada adecuadamente. La encuesta fue dirigida a la persona responsable del departamento de TI de las empresas para que en base a su conocimiento y experiencia evalúe la encuesta diseñada. En Ecuador existen 11 laboratorios farmacéuticos agrupados bajo la Asociación de Laboratorios Farmacéuticos del Ecuador, de los cuales 2 no cuentan con un departamento de TI ya que contratan a otras empresas para cubrir este departamento. De las 9 restantes, la encuesta fue respondida por 6 empresas. Adicionalmente se pudo obtener el apoyo de 2 laboratorios no asociados a ALFE para responder la encuesta propuesta. De esta forma, de un total de 11 empresas definidas como población, el 72% accedió a responder la encuesta planteada. El propósito de la encuesta fue conocer el nivel de madurez de los empleados sobre seguridad de la información e investigar el nivel de conocimiento y las expectativas que tienen los encargados del área de TI sobre la seguridad informática. Los laboratorios farmacéuticos se dedican a la elaboración y distribución de medicamentos para prevenir o tratar enfermedades de personas o animales. Estas empresas contienen áreas enfocadas a procesos de investigación y desarrollo de mejoras o nuevos medicamentos que puedan ser de uso humano o animal y que representan una aportación en base a los medicamentos ya existentes. Sin embargo, muchos laboratorios solo se dedican a la producción de medicamentos genéricos, es decir aquellos cuya patente de producción exclusiva ha caducado. 1 Formato ubicado en la sección de anexos. 65

89 Con el propósito de mejorar la oferta de su servicio y de generar un valor agregado en la empresa, varias PYMES se encuentran en un proceso de implementación de estándares de calidad, los cuales tienen como propósito definir requisitos para establecer un sistema de gestión de la calidad que garantice la satisfacción del cliente Procesos de Negocio Las industrias farmacéuticas cuentan con varios procesos de negocio que a su vez proporcionan servicios o productos a los clientes, o que son entrada o salida para otro proceso. Entre los principales procesos de negocio de las empresas farmacéuticas se mencionan los siguientes: Producción de fármacos Investigación de Fármacos Comercialización de los Productos Áreas que manejan información corporativa Los principales departamentos de una empresa farmacéutica que manejan información corporativa se desatacan los siguientes: Control y Aseguramiento de la Calidad. Investigación y Desarrollo. Producción Ventas y Cobros. Compras e Importaciones. Bodegas de Despacho. El principal departamento donde las empresas están interesadas en implementar la protección de la información sensible que es 66

90 administrada por los empleados es el departamento de ventas y cobros como se muestra en la ilustración 14. Ilustración 14: Departamentos Donde Están Interesados en Implementar Protección de la Información Sensible que los Empleados Administran Departamentos de la Empresa 38% 12% 12% Investigación y Desarrollo Bodegas de despacho 13% 25% Producción Desconoce Ventas y Cobros. Fuente: Realizado por el autor del presente trabajo. En el área de Control y Aseguramiento de la Calidad se concentra toda la información referente a los sistemas de gestión de calidad de la empresa. Esta área se encarga de aprobar o rechazar componentes, materiales y productos que son manufacturados, procesados o embalados por la empresa o por otra empresa con las cual se tiene una relación comercial. Además de aprobar y monitorear los contratos con terceros [28]. En el área de Investigación y Desarrollo se utiliza y administra información sobre fórmulas y archivos maestros con los que cuenta la empresa en relación a los productos que manejan. Dentro de este departamento también se investigan nuevos tratamientos o mejoras a los fármacos existentes con el fin de obtener nuevos productos que proporcionan una ventaja competitiva para la empresa dentro del mercado. 67

91 Todo desarrollo que forma parte de la empresa se encuentra en esta área, por lo que existe información corporativa que debe ser usada y administrada adecuadamente con el propósito de evitar fuga de información en esta área. En el área de Producción se centra la información de las fórmulas de producción. El área debe asegurar que los productos son manufacturados y almacenados de acuerdo con la documentación apropiada para obtener la calidad requerida. Además debe garantizar que los registros de las fórmulas de producción son evaluados y firmados por una persona autorizada, manteniendo la integridad y confidencialidad de esta información. En el área de Ventas y Cobros se utiliza y administra la información referente a los clientes o proveedores que tienen relación con la empresa. La información se encuentra almacenada en las bases de datos, y al ser información crítica, hay que resguardarla adecuadamente. Una base de datos que es usada en esta área, involucra también al área que administra dicha información como es el área de sistemas informáticos en muchos casos. La pérdida de esta información puede provocar un daño a la imagen de la empresa si se hace público este hecho. En el área de Compras e Importaciones se concentra la información sobre la adquisición de insumos, materiales, equipo y productos que la empresa adquiere y maneja dentro de su inventario. Por otro lado, en esta área también se conserva la información referente a la importación de productos que son comercializados por la empresa. En el área de Bodega de Despacho es manipulada la información referente a los procesos de facturación y a todo lo referente al reparto del producto. 68

92 Activos asociados a las áreas de negocio Para las empresas encuestadas los datos más importante que requiere ser protegidos adecuadamente a través de un plan de seguridad para evitar la fuga de información son la propiedad intelectual, los secretos corporativos y la base de datos de clientes. Como propiedad intelectual se encuentran los prototipos de fórmulas que son investigadas dentro de la organización, además de las fórmulas maestras. Estos documentos especifican las materias primas, sus cantidades, materiales de envase y empaque. Además incluyen una descripción de los procedimientos y precauciones que deben tomarse para producir una cantidad específica de un producto; como también las instrucciones para el proceso y el control del mismo. Esta información debe ser utilizada y administrada con la adecuada seguridad para evitar una posible pérdida o fuga de información Seguridad de la Información Preámbulo Los procesos de negocios más importantes de una empresa son alineados a estándares de calidad como el ISO 9001:2008, ISO 14001:2004 y Buenas Prácticas de Manufactura de Productos. Sin embargo estas normas no proporcionan una adecuada orientación o lineamientos sobre controles de seguridad de la información que pueden ser implementados para el uso y administración de información relacionada a los procesos de calidad. Si la información que forma parte de un proceso de negocio no cuenta con adecuados mecanismos de seguridad, es posible que potenciales amenazas exploten las vulnerabilidades a las que están expuestos estos procesos y así puedan poner en riesgo la continuidad del negocio. Es por esto que la seguridad de la información juega un papel 69

93 importante en la protección de información corporativa que es relevante para el negocio. El modelo de sistema de gestión de la calidad del ISO 9001:2008 está basado en el Ciclo de Deming, el mismo que se emplea en un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma la implementación de un SGSI puede ser tratado como un proceso de calidad, que puede formar parte del sistema de gestión de una empresa. Dentro de este estándar la Gestión de los Recursos, mapeada como Hacer en el Ciclo de Deming, especifica los recursos involucrados durante la implementación y mantenimiento del sistema de gestión de la calidad. Respecto a la seguridad de la información dentro de la Gestión de Recursos se abarca el tema de Recursos Humanos e Infraestructura. Sobre el primero se menciona las competencias que un empleado involucrado en algún proceso de calidad debe tener. Este punto deja un campo abierto para la seguridad de la información sobre las medidas de seguridad que un empleado debe cumplir respecto al uso y administración de información involucrada en algún proceso de calidad. Sobre el punto de infraestructura, se menciona que se debe proporcionar y mantener la tecnología que da soporte a los procesos. Esta involucra, software, hardware y los sistemas de información. Implementar un proceso de seguridad de la información alineado a un proceso de calidad aporta a mejorar la administración y el uso de la información sensible que es manipulada por un empleado involucrado en algún proceso de calidad. A la vez que se alinea este proceso a estándares de calidad como el ISO 9001:2008, el cual está siendo adoptado por muchas PYMES del sector farmacéutico. Dentro de este estándar la Realización del Producto, mapeada como Revisar en el Ciclo de Deming, especifica los recursos involucrados 70

94 durante la implementación y mantenimiento del sistema de gestión de la calidad. Aquí se contempla la planificación y el desarrollo de los procesos para la realización del producto. Para la producción y prestación del servicio se deben establecer condiciones controladas. Los activos que son utilizados dentro de la fabricación de un producto deben contar con mecanismos de seguridad para su almacenamiento, protección, recuperación, retención y disposición. De igual forma estos controles deben implementarse en los registros de planificación, operación y control de los procesos de calidad Gestión de la Seguridad En el sector analizado pocas empresas no cuentan con un departamento de sistemas o TI por lo que hacen uso de los servicios de otras compañías para cubrir sus requerimientos o necesidades de TI. El 37% de empresas encuestas tienen un departamento de seguridad, dentro del cual trabajan entre 1 a 5 personas. Sin embargo las empresas comentaron que el personal que labora en el área de seguridad requiere de una mejor capacitación y una visión más estratégica en el campo. Personal que sea capaz de entender el negocio e implementar controles o procedimientos de seguridad que generen valor para la empresa. Todas las empresas establecieron que la información corporativa es un activo indispensable a proteger. Para esto es necesario contar con una serie de mecanismos de seguridad que permitan llevar de mejor manera el control sobre la información sensible de la empresa. La inversión dentro de las empresas evaluadas es considerada como buena, y las prioridades para los gastos en TI son mostradas en la ilustración 15 según lo evaluado en la encuesta realizada. Adquirir o actualizar software es la principal prioridad para las empresas, sin 71

95 embargo la adquisición de un sistema DLP para evitar la fuga de información no fue considerada por las mismas. Esto implica que de alguna forma se debe controlar la fuga de información en una empresa, lo cual puede ser cubierto con una adecuada planeación de la seguridad de la información. Ilustración 15: Prioridades Para los Gastos en TI de las Empresas Cuál es la prioridad para sus gastos en TI? Expandir o Actualizar la Red 13% 0% 13% 13% 12% 12% 37% Adquirir o Actualizar Software Protección de los Activos de la Empresa Adquirir o Actualizar Hardware Capacitación del Personal Adquirir un Sistema DLP Mejorar la capacidad de almacenamiento Fuente: Realizado por el autor del presente trabajo. Por otro lado, el 87% de las empresas encuestadas no implementan un marco de trabajo para la seguridad de la información. El 13% restante desconoce del tema. Adicionalmente se puede concluir que su propósito es cumplir con estándares de gestión de la calidad como el ISO 9001, y en un futuro empezar a alinearse a estándares de seguridad. Esto demuestra que la seguridad de la información no es una prioridad a corto plazo para las empresas por lo que son vulnerables a sufrir incidentes de seguridad que pongan en peligro la continuidad del negocio en cualquier momento. El 50% de encuestados no conocen o requieren apoyo para diseñar e implementar un plan de seguridad para la protección de la 72

96 información sensible de sus empresas. Aquellos que conocen del tema mencionaron tener conocimientos básicos o tener implementados algunos mecanismos de seguridad. Se requiere definir de mejor manera el proceso de la seguridad de la información sensible de las empresas, por lo que contar con una guía para realizar esta tarea, es de interés de todas las empresas. Adicionalmente el 62% de empresas encuestadas deben cumplir con normas internacionales o nacionales como se muestra en la ilustración 16. Ilustración 16: Datos Sobre Cumplimiento con Normatividad de las Empresas Encuestadas Debe cumplir con alguna ley o norma internacional, nacional, o del sector económico al que se dedica para el uso y administración de información corporativa? 13% 25% 62% SI No Desconoce Fuente: Realizado por el autor del presente trabajo. Las normas que se mencionaron fueron el ISO 9001, el informe 32 de la Organización Mundial de la Salud, la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y el Servicio de Rentas Internas. Se pudo determinar que existe un desconocimiento sobre leyes relacionadas a la informática ya que pocas empresas mencionaron que deben cumplir con las mismas. Es importante que se alineen a estándares de seguridad para garantizar que sus operaciones son llevadas de una forma segura y 73

97 organizada; y en el futuro cuando se requiera cumplir con alguna ley o norma sobre seguridad de la información, la transición a este paso sea más fácil de realizar. Por otra parte, las empresas determinaron que la implementación de políticas y controles para determinar la conducta inapropiada de un empleado no son llevados a cabo adecuadamente debido a la falta de apoyo de la alta dirección y del conocimiento sobre los riesgos que implica la falta de seguridad de la información. Además estos mecanismos no son implementados adecuadamente por la falta de comunicación y capacitación de los empleados. Adicionalmente se mencionó en la investigación que las empresas que si definen políticas y procedimientos no cuentan con sanciones por incumplimiento. Las personas entrevistadas determinaron que el nivel de madurez de las empresas del sector en temas de seguridad de la información está creciendo debido a la criticidad de la información que se maneja y a la importancia que esta tiene dentro del sector económico Información Corporativa en las Empresas Todas las empresas analizadas definieron a la información corporativa como un activo indispensable a proteger. A pesar de que el 87% de empresas indicaron no haber sufrido pérdidas económicas significativas por la fuga o pérdida de información interna, el 87% de encuestados está preocupado por sufrir incidentes de seguridad cometidos por sus empleados. Comentan que están preocupadas por proteger la información corporativa adecuadamente ya que los empleados realizan acciones no autorizadas que provocan que se filtren fuera de las empresas los datos de clientes, fórmulas maestras, listas de contactos, etc. 74

98 Clasificación de la Información Corporativa En base a los resultados obtenidos, el 62% de empresas encuestadas clasifican su información corporativa como se muestra en la ilustración 17. Esto facilita el proceso para implementar una adecuada planeación de la protección de la información sensible de la empresa. Se debe formalizar y documentar todos los procedimientos para que el empleado sepa cómo realizar esta labor sin poner en riesgo la información sensible que maneja. Ilustración 17: Estadísticas Sobre la Clasificación de la Información Dentro de la empresa, Se clasifica la información corporativa según su confidencialidad (confidencial, privada y pública)? 38% 0% 62% SI Parcialmente No Desconoce Fuente: Realizado por el autor del presente trabajo Incidentes en el Manejo de la Información Corporativa En las empresas la mayoría de incidentes sobre robo o fuga de información provienen de ataques internos. Es decir, los propios empleados de la empresa se convierten en una de las mayores amenazas para la empresa. Adicionalmente las principales amenazas que preocupan a las empresas del sector son los cyber ataques o ataques desde el exterior de la red de datos de la empresa como se muestra en la ilustración

99 Ilustración 18: Principales Amenazas que Preocupan a las Empresas Principales amenazas contra las cuales la empresa está interesada en protegerse 14% 14% 43% Fuga o Pérdida de Información Corporativa Cyber Ataques 29% Empleados Descontentos, Negligentes, Deshonestos Malwares Fuente: Realizado por el autor del presente trabajo. Por otro lado, la mayoría de empresas consideran que el nivel de educación y conocimiento sobre seguridad de la información que tiene un empleado se encuentra entre medio y muy bajo como se muestra en la ilustración 19. Adicionalmente el personal está poco capacitado y no es consciente del papel que desempeña sobre el uso y administración de la información sensible. Ilustración 19: Nivel de Conocimiento de los Empleados Sobre Seguridad de la Información Nivel de educación y conocimiento sobre seguridad de la información que tiene un empleado 25% 0% 12% 25% Muy Buena Buena Media 38% Bajo Muy Bajo Fuente: Realizado por el autor del presente trabajo. 76

100 Adicionalmente la conducta arriesgada que comúnmente comete un empleado es el desacato a las políticas de seguridad como se muestra en la ilustración 20. El empleado copia información que es propietaria de la empresa de forma deliberada porque asume que al ser partícipe de la generación de esta información, la misma le pertenece. Ilustración 20: Conductas Arriesgadas Cometidas por los Empleados Conductas arriesgadas que comete con mayor frecuencia un empleado 13% 23% 8% 5% 8% 33% 5% 5% Desacato de las políticas de seguridad Ausencia de la disponibilidad de personal Destrucción de equipo o dispositivos Uso de dispositivos móviles para transferencia de Información Uso de programas no autorizado Uso no autorizado de equipo Estaciones de trabajo compartidas Acceso no autorizado a las Áreas de Seguridad Fuente: Realizado por el autor del presente trabajo. Es muy importante crear planes de concientización para informar a los empleados de los roles y las responsabilidades sobre seguridad de la información que deben cumplir y que están asociados al cargo que desempeñan dentro de la empresa. De esta manera se logrará disminuir los incidentes de seguridad en el manejo inadecuado de la información de las empresas 77

101 3.6. Análisis PEST En relación al mercado del sector farmacéutico y la necesidad de cubrir los requerimientos de seguridad que son requeridos por las empresas, se presenta un análisis PEST que muestra los factores del entorno que afectan a las organizaciones. Este análisis PEST evalúa el mercado del sector de los laboratorios farmacéuticos en relación a la protección de información corporativa Políticos/Legales Existe una falta de legislación o marco regulatorio nacional sobre protección de la información. La Ley de Compañías no hace mención alguna sobre cómo se debe usar o administrar la información corporativa en una empresa, en referencia a seguridad de la información. La Ley de Comercio Electrónico hace referencia a las transacciones a través de medios electrónicos pero no especifica mecanismos de seguridad que las empresas deben adoptar para poder garantizar la seguridad de sus transacciones. Las empresas están adoptando estándares de gestión de la calidad para la manufacturación de sus productos Económicos La falta de apoyo económico del Gobierno Nacional para incentivar el sector farmacéutico y en la capacitación del personal implica que las empresas farmacéuticas no cuentan con mayor inversión y no crezcan en capital, producción, desarrollo e investigación. El presupuesto limitado que se designa al área de TI en la mayoría de empresas implica que no se adquiera la infraestructura 78

102 necesaria para implementar una adecuada seguridad de la información sensible de la empresa. Pequeñas empresas están constituidas por un número limitado de personas por lo que no requieren incurrir en gastos en infraestructura de TI Socio/Culturales En las empresas una persona desempeña más de un rol importante, quedando a cargo de mucho trabajo y manejando gran cantidad de información corporativa que fluye de forma libre de un área a otra dentro de la empresa, inclusive fuera de esta. La falta de procedimientos definidos dentro de las empresas provoca que no se adopten adecuados mecanismos de seguridad para la protección de la información corporativa sensible. Bajo nivel de concientización y educación de los empleados sobre seguridad de la información y del valor que tienen la información para la empresa Tecnológicos La media o baja infraestructura en TI en las PYMES implica la ausencia de mecanismos de control para la protección de la información. Los Sistemas DLP son mecanismos de protección de información cuyo costo y requerimientos en infraestructura sobrepasa lo que una empresa está dispuesta a invertir en TI. La implementación de controles de seguridad está basada en los requerimientos descritos en los estándares de gestión de calidad y manufactura. 79

103 El Outsourcing de servicios de TI no brindan una adecuada gestión de la seguridad de la información Matriz PEST - Falta de normatividad sobre seguridad de la información. - Ley de Compañías. - Ley de Comercio Electrónico. - ISO 9001:2008 / ISO 14001:2004 / Buenas Prácticas de Manufactura de Productos. Políticos Sociales Ilustración 21: Matriz PEST Protección de Información Corporativa - Falta de apoyo del Gobierno en capacitación del personal. - Presupuesto limitado del área de TI. Económicos Tecnológicos - Personal con roles y responsabilidades no definidas. - Procedimientos no definidos ni documentados adecuadamente. - Bajo nivel de educación y concientización de los empleados. - Media o baja infraestructura en TI. - Costos Sistemas DLP. - Controles de seguridad mencionados en estándares de calidad y manufactura. - Outsourcing de servicios de TI. Fuente: Realizado por el autor del presente trabajo. 80

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez 1 IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA, ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001 Andrés Fabián Díaz, Gloria Isabel

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

no exponga a su empresa, tome las precauciones necesarias

no exponga a su empresa, tome las precauciones necesarias TECnOLOGÍA Fausto Escobar Sánchez seguridad de las TI Panorama actual en las Pymes no exponga a su empresa, tome las precauciones necesarias para evitar un ataque informático que dejaría inutilizadas las

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen tipo EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5 Lic. Franco N. Rigante, CISA,CRISC,PMP Conferencista Biografía Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Seguridad de la Información

Seguridad de la Información Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

INSTITUTO POLITÉCNICO NACIONAL

INSTITUTO POLITÉCNICO NACIONAL INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN REVISIÓN DE NORMAS Y ESTÁNDARES DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles

DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO

DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO TRABAJO DE GRADO CARLOS ALBERTO GUZMAN SILVA COD. 1412010642 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Calidad de Servicios de. Juan Manuel Fernández Peña 2011

Calidad de Servicios de. Juan Manuel Fernández Peña 2011 Calidad de Servicios de Tecnologías de la Información Juan Manuel Fernández Peña 2011 Informática y servicios de TI La Informática, al unirse con medios de comunicación, ha dado paso a las llamadas Tecnologías

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Gestión de la Seguridad de la Información

Gestión de la Seguridad de la Información Gestión la la UNIVERSIDAD SAN PABLO CEU ESCUELA POLITÉCNICA SUPERIOR Dep. Ingeniería Sist. Electr. y Telecomunicación Preámbulo De qué vamos a hablar? De un molo formal para la Gestión la en Sistemas :

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Curso Sistemas de Información Hospitalarios. Principios de COBIT 5 (Control Objectives for Information and related Technology)

Curso Sistemas de Información Hospitalarios. Principios de COBIT 5 (Control Objectives for Information and related Technology) Curso Sistemas de Información Hospitalarios Principios de COBIT 5 (Control Objectives for Information and related Technology) Aplicación a Sistemas de Información Hospitalarios Docente: Ing. Luis Osorio

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 NORMA ISO 27002:2013 Esta nueva versión mantiene las cláusulas 0, 1, 2 y 3 de la versión 2005 aunque intercala otra referida a Referencias Normativas

Más detalles

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II TRABAJO: COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA PRESENTADO POR:

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Actualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque

Actualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque Actualización en Protección Contra Incendios y Continuidad del Negocio Bernardo Lenis Duque Entorno Social y Ambiental Agresión Instrumental Sociedad informada y tecnológicamente compleja Identidad

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC CONTADOR EDUARDO LUIS GARCÍA egarcia@criba.edu.ar Departamento de Ciencias de la Administración Universidad acional del Sur CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO Propuesta de contenido. MODALIDAD

Más detalles

C O N S I D E R A N D O

C O N S I D E R A N D O Juan Ignacio Martín Solís, Secretario de Finanzas, Inversión y Administración, en ejercicio de las atribuciones que me confieren los artículos 80 y 100 de la Constitución Política para el Estado de Guanajuato;

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles