anÁlisis de riesgo del dominio 8 gestiÓn de activo de la

UNIVERSIDAD COOPERATIVA DE COLOMBIA

SEDE ARAUCA

PROGRAMA DE INGENIERÍA DE SISTEMA

ANÁLISIS DE RIESGO DEL DOMINIO 8 GESTIÓN DE ACTIVO DE LA ISO

27001-2013 A LA UNIVERSIDAD COOPERATIVA DE COLOMBIA ÁREA GESTIÓN

TECNOLÓGICA SEDE ARAUCA

Presentado Por:

Hugo Fernando Sotto Cepeda

Anderson Daniel Chavez Vargas

Fabian Mauricio Gonzalez Botello

Asesor de modalidad de grado:

Ing. CARLOS EDUARDO PUENTES FGUEROA

ARAUCA - ARAUCA

MAYO

2021

Nota de autor:

Correspondencia enviada con este documento ser enviada a:

[email protected]

2

Tabla de contenido

Tabla de contenido Tabla de contenido ................................................................................................ 2

Lista de Figuras..................................................................................................... 4

Lista de Tablas ...................................................................................................... 4

Lista de Anexos .................................................................................................... 5

Resumen ........................................................................................................... 6

Introducción.......................................................................................................... 7

1. CONTEXTO DEL PROYECTO .............................................................. 8

1.1 Planteamiento del problema...................................................................... 8

1.2 Justificación ............................................................................................. 8

1.3 Objetivo ................................................................................................... 9

1.3.1 Objetivo General....................................................................................................... 9

1.3.2 Objetivos Especifico ................................................................................................. 9

2. MARCO TEÓRICO ............................................................................... 10

2.1 Marco conceptual ................................................................................... 10

2.2 Metodología........................................................................................... 11

2.3 Contextualización de la empresa ............................................................. 13

2.3.1 Misión .................................................................................................................... 13

2.3.2 Visión ..................................................................................................................... 13

3. CARACTERIZACIÓN DE LA ENTIDAD ............................................. 15

3.1 Inventario .................................................................................................. 15

3.2 Matriz GAP ........................................................................................... 15

3.2.1 Nivel de Madurez .................................................................................................. 15

3.2.2 Nivel de cumplimiento ........................................................................................... 16

4 ANÁLISIS DE RIESGO ............................................................................ 17

4.1 Determinar los activos ............................................................................ 17

3

4.2 Valoración de los activos ........................................................................ 18

4.3 Amenazas .............................................................................................. 19

4.4 Riesgos .................................................................................................. 24

4.5 Riesgos acumulados................................................................................... 25

5. Recomendaciones ........................................................................................ 26

5.1 Matriz de gap ....................................................................................... 26

5.2 Analís de riesgo ........................................................................................ 27

Conclusiones....................................................................................................... 29

Referentes bibliográficos ..................................................................................... 30

Anexos ............................................................................................................... 31

4

Lista de Figuras

Figura 1: Ciclo de la metodología Deming .......................................................... 11

Figura 2: Metodología de los 9 pasos para el análisis de riesgo del dominio 8 de la

ISO 27001:2013. ............................................................................................................ 12

Figura 3: Resultados Matriz De GAP .................................................................. 16

Figura 4: Riesgo POTENCIAL ........................................................................... 24

Figura 5: Riesgo PILAR ...................................................................................... 24

Lista de Tablas

Tabla 1. Activos por bloques ................................................................................ 17

Tabla 2. Criterios de valoración en niveles .......................................................... 18

Tabla 3. Valoración de activos esenciales ............................................................ 19

Tabla 4. Tipos de amenazas ................................................................................. 19

Tabla 5. Amenazas Identificadas .......................................................................... 20

Tabla 6. riesgos acumulados Potencial ................................................................ 25

Tabla 7. Riesgos acumulados Pilar ...................................................................... 25

5

Lista de Anexos

Anexo A. Inventario de activos ............................................................................ 31

Anexo B. Preguntas de GAP ................................................................................ 31

Anexo C. Tipo de Amenazas Y Elementos Relacionados...................................... 31

6

Resumen

Con el inicio de la emergencia sanitaria (COVID-19), muchas empresas se vieron

obligadas adaptarse a nuevas modalidades de trabajo como lo es el trabajo remoto, debido

al modo de contagio del virus y a las políticas del distanciamiento social, llevando a estas

empresas a realizar sus actividades sin un plan de contingencia.

La Universidad Cooperativa de Colombia se vio en la necesidad de realizar un

análisis de riesgos a los activos que posee, siguiendo los lineamientos de ISO 27001-2013

más específicamente su Dominio 8 Gestión de Activos.

En el presente documento se plasma un cronograma de actividades donde se

especifica las fechas y las actividades a realizar en el transcurso de la auditoria.

Palabras claves: Matriz, Gestión tecnológica, metodología DEMING, metodología

MAGERIT, Activos.

Abstract

With the onset of the health emergency (COVID-19), many companies were forced

to adapt to new work modalities such as remote work, due to the virus contagion mode and

social distancing policies, leading these companies to carry out your activities without a

contingency plan.

The Universidad Cooperativa de Colombia found it necessary to carry out a risk

analysis of the assets it owns, following the guidelines of ISO 27001-2013, more

specifically in Domain 8 Asset Management.

This document contains a schedule of activities that specifies the dates and activities

to be carried out during the audit.

Keywords: Matrix, Technological management, DEMING methodology, MAGERIT

methodology, Assets.

7

Introducción

Los activos de una empresa simbolizan los recursos que posee para el debido

desarrollo de su actividad productiva, los cuales traen consigo beneficios económicos a

futuro, debido a esto son considerados parte muy fundamental de cualquier empresa.

Debido al dicho nivel de importancia y a la actual situación que nos proporciona la

pandemia (COVID-19) en la cual gran parte de empresas se vieron obligadas a la

implementación del teletrabajo, se requiere llevar una buena gestión de dichos activos.

El informe que se presenta a continuación evidencia los resultados de un análisis de

riesgo realizado a la Universidad Cooperativa de Colombia en su área de gestión

tecnológica tomando como referencia la norma ISO 27001:2013 más específicamente su

dominio 8 (Gestión de Activos), en el cual de igual manera todos los datos procesados se

obtuvieron directamente del encargado del área de sistemas y TI, los resultados ilustrados

representan el estado actual en términos de seguridad de sus activos.

8

1. CONTEXTO DEL PROYECTO

1.1 Planteamiento del problema

El 5 marzo de 2020 inicio con la pandemia del nuevo coronavirus en todo el mundo,

causando que todas las empresas, colegios y universidades cambien la modalidad de trabajo

presencial a virtual. Abriendo una brecha de vulnerabilidad para todos los activos y

personas que hacen parte de las empresas, colegios y universidades.

Teniendo en cuenta la situación del año 2020 la gestión de activos paso hacer más

relevante, porque los equipo o implementos de trabajo pasaron de estar en la empresa a las

casas de los trabajadores.

La UNIVERSIDAD COPERATIVA DE COLOMBIA CAMPUS ARAUCA fue

una de esas universidades donde envió tanto a sus trabajadores como estudiantes a realizar

sus respectivas actividades desde casa. Al inicio fue complicado ya que la mayoría de

trabajadores y estudiantes no tenían equipos de cómputo o conexión a internet para ejercer

sus actividades. Una de las medidas que tomo la UCC fue gestionarles equipos a los

trabajadores y estudiantes, dejando aquí la importancia de que tengan un control de activos.

Por lo mencionado es importante realizar un análisis de riesgo a la gestión de activo

basándonos en el dominio 8 de ISO 27001 del 2013.

1.2 Justificación

Beneficiar el área de gestión tecnológica de la Universidad Cooperativa de

Colombia campus Arauca, con un análisis de riesgo al dominio 8 de la ISO 27001:2013.

Aportando un buen manejo en sus activos en época de pandemia, permitiendo

identificar, asegurar y asignar los activos correspondientes al personal, para que la

Universidad puede tomar medidas preventivas en el aseguramiento de sus activos.

9

1.3 Objetivo

1.3.1 Objetivo General

Analizar los riesgos del dominio 8 haciendo énfasis en los controles 8.1 y 8.3 de la

norma ISO 27001:2013, del área de Gestión tecnológica de la Universidad Cooperativa de

Colombia campus Arauca.

1.3.2 Objetivos Especifico

• Caracterizar los diferentes procesos del área gestión tecnológica basados en

el dominio 8 mediante la matriz de GAP.

• Elaborar un inventario de activos según el objetivo 8.1.1 de la ISO

27001:2013 utilizando la herramienta PILAR BASIC.

• Aplicar la metodología Magerit v.3 dentro del marco de trabajo del área de

Gestión tecnológica para detectar posibles riesgos.

• Determinar medidas preventivas teniendo en cuenta los riesgos encontrados

derivados del análisis.

10

2. MARCO TEÓRICO

2.1 Marco conceptual

Se utilizo la herramienta PILAR BASIC 3.0 basada en la metodología MAGERIT

3.0, para ejecutar el análisis de riesgo de los activos Recuperados mediante la metodología

DEMING, que permitió realizar la caracterización de los activos en la entidad.

Con lo mencionado anteriormente se realizó el análisis de GAP basados en el

dominio 8 (análisis de riesgo) de la ISO 27001:2013

11

2.2 Metodología

• METODOLOGÍA DEMING.

Según el físico Walter A. Shewhart Deming es "Un proceso metodológico elemental

aplicable en cualquier campo de la actividad, con el fin de asegurar la mejora continua de

dichas actividades”.

Fuente: Autores del proyecto

Objetivos Deming:

• Planificar

Se posiciona como la fase más influyente, ya que en dicha fase se

formula el plan de desarrollo (secuencia de actividades lógicas).

• Hacer

Es la fase que precede al planeamiento, en esta se procede con el

inicio del plan a través de pruebas.

• Verificar

En esta fase se realiza la revisión del cumplimiento de los objetivos.

• Actuar

Se socializa los resultados para establecer soluciones

Figura 1: Ciclo de la metodología Deming

12

Implementación de la metodología

La metodología Deming permitirá realizar un análisis de riesgo al domino 8 de la

ISO:27001 dividiendo el proceso en 9 pasos.


Los 9 pasos permitirán identificar los riesgos que se encuentra en al área de gestión

tecnológica de la Universidad Cooperativa de Colombia campus Arauca, basándonos en el

control 8.1 y 8.3 del dominio 8 de la ISO 27001:2013.

• Planear:

a. Caracterizar los procesos del área gestión tecnológica

➢ Conocer los procesos que se encuentra en el área de gestión

tecnológica de la Universidad Cooperativa de Colombia campus

Arauca

b. Identificar los activos

➢ Seleccionar los activos del área de gestión tecnológica de la Universidad Cooperativa de Colombia campus Arauca basándonos

en el objetivo 8.1.1.

• Hacer:

a. Crear una matriz de GAP

➢ Ingresar los datos a la matriz de gap de acuerdo a los procesos encontrados en el área de gestión tecnológica de la Universidad

Cooperativa de Colombia campus Arauca

b. Crear un inventario de activos

➢ Registrar los activos en la herramienta PILAR BASIC

c. Diseñar un análisis de riesgo

➢ Ejecutar el análisis en la herramienta PILAR BASIC

• Verificación:

Figura 2: Metodología de los 9 pasos para el análisis de riesgo

del dominio 8 de la ISO 27001:2013.

13

a. Evaluar los resultados de la matriz de GAP

➢ Analizar los resultados encontrados en la matriz de gap b. Evaluar los resultados de la matriz de riesgo

➢ Analizar los riesgos encontrados en la matriz de riesgos

• Actuar

a. Plantear medidas preventivas

➢ Se darán recomendaciones, basados en los resultados del análisis de

riesgo

2.3 Contextualización de la empresa

La Universidad Cooperativa de Colombia data su trayectoria desde el año 1958

cuando un grupo de cooperativistas, liderados por los hermanos Henry y Rymel Serrano

Uribe junto con Carlos Uribe Garzón, deciden apostarle al fortalecimiento de la economía

solidaria y en particular al cooperativismo, a partir de la formación de adultos dentro de

esta doctrina.

La Universidad Cooperativa de Colombia avanza permanentemente hacia la

excelencia y la acreditación institucional, fortaleciendo sus relaciones en el país y en el

mundo, mejorando su infraestructura física y tecnológica, innovando en los procesos

académicos y los programas, para responder a las necesidades de los territorios y sus

comunidades. Estamos comprometidos con la construcción de un mejor país para todos;

somos “Una Universidad, todo un país”.

2.3.1 Misión

Somos una Institución multicampus de propiedad social, educamos personas con las

competencias para responder a las dinámicas del mundo, contribuimos a la construcción y

difusión del conocimiento, apoyamos el desarrollo competitivo del país a través de sus

organizaciones y buscamos el mejoramiento de la calidad de vida de las comunidades,

influidos por la economía solidaria que nos dio origen.

2.3.2 Visión

Para 2025, la Universidad Cooperativa de Colombia será una institución sostenible

que aprende continuamente para transformarse de acuerdo con las exigencias del contexto,

reflejándose en:

14

Una educación y un aprendizaje a lo largo de la vida soportado en nuestro modelo

educativo con una oferta educativa pertinente, en diferentes modalidades. Una gestión

inclusiva que integre entornos individuales, físicos y digitales con nuevos desarrollos

tecnológicos. Una cultura innovadora que responda a las demandas del contexto, a la

generación de conocimiento colectivo y experiencias compartidas.

15

3. CARACTERIZACIÓN DE LA ENTIDAD

3.1 Inventario

Debido al imprevista necesidad de adaptarse a una nueva modalidad de trabajo, la

Universidad Cooperativa de Colombia se vio en la obligación de proteger sus activos ya

que estos son utilizados por sus empleados fuera de la estructura física de la organización,

porque consiguiente es necesario el debido registro inventariado de dichos activos.

Mediante las entrevistas realizadas al Ing. CARLOS EDUARDO PUENTES

FGUEROA (encargado del aria de sistemas y TI) se pudo identificar 186 activos divididos

en 4 Bloques como se muestra en el ANEXO A.

Con la información obtenida se puede agrupar loa activos esenciales para ejecutar el

análisis de riesgo.

3.2 Matriz GAP

A continuación, se realizará una evaluación de madurez para verificar que tan bien

se desarrollan los procesos de gestión con respecto a los controles del dominio 8 de la ISO

27001:2013.

3.2.1 Nivel de Madurez

Para continuar con el proceso se debe tener en cuenta los siguientes niveles:

• Nivel 0: No hay reconocimiento de las necesidades del control o requisitos

• Nivel 1: Existe cierto reconocimiento de la necesidad de control interno o

requisito. Se aplica para algún problema o tarea específica, no generalizable.

• Nivel 2: Los controles existen, pero no están documentados.

• Nivel 3: Los controles están en su lugar y están documentados

adecuadamente.

• Nivel 4: Existe un control interno sobre la aplicación de controles y

cumplimiento de requisito.

16

• Nivel 5: Existe un control interno y continúo sobre la aplicación de controles

y cumplimiento de requisitos. Se mide la eficacia de los controles

estableciendo objetivos de mejora.

3.2.2 Nivel de cumplimiento

Reconociendo los niveles de madurez se debe llevar a cabo un listado de preguntas

para obtener el nivel de cumplimiento de la entidad en el dominio 8 de la ISO 27001:2013.

En el ANEXO B se visualiza las preguntas realizadas al encargado del área de

sistemas y TI.

Fuente: Autores del Proyecto

Culminado el análisis se evidencia que el nivel de madurez en la manipulación de

soporte y clasificación de la información se encuentra por debajo del criterio de evaluación

para el cumplimiento de la norma, sin embargo, también se evidencia un buen nivel de

madurez en la responsabilidad sobre los activos.

Figura 3: Resultados Matriz De GAP

17

4 ANÁLISIS DE RIESGO

Utilizando la herramienta PILAR Basic se podrá trazar los riesgos en varias dimensiones:

confidencialidad, integridad, disponibilidad y autenticidad. Basado en la metodología MAGERIT en

la versión 3.0, permitiendo detectar los riesgos a los que se enfrenta la entidad.

4.1 Determinar los activos

Una vez hecha la caracterización se descubrieron ciento ochenta y seis (186)

activos, que se dividen en cuatro (4) bloques los cuales son:

Tabla 1. Activos por bloques

Dirección Cantidad Activos

Cll 20 #29-139 B/Corocoras 29

Km 1 Via aeropuerto 11

Cr 12 N° 21-70 B/Unión 51

Cll 15 N°18-07 Br Cristo rey 95


De los cuales se eligieron quince (15) activos esenciales como se evidencia a

continuación:

[B] Activos esenciales

• [Scan] Escáner

• [Impresora] Impresora

• [PC] PC Escritorio (ALL IN ONE)

• [Proyector] Proyector Multimedia

• [Portátil] PC Portátil

• [DVR] DVR

• [Impresora funcional] Impresora Multifuncional

• [Servidor] Servidor

• [Periferico] Otros Periféricos

• [WiFi] Wifi Estudiantil

• [LAN] Red LAN

• [Switch] Switch

18

• [Router] Router Mikrotik

• [UI] Usuario Internos

• [ADM] Administrador de Sistemas

4.2 Valoración de los activos

Una vez determinado los activos esenciales, se realiza la valoración considerando

las dimensiones a evaluar: confidencialidad, integridad, disponibilidad y autenticidad las

cuales PILAR identifica de la siguiente manera:

Dimensiones:

• [D] Disponibilidad.

• [I] Integridad de los datos.

• [C] Confidencialidad de los datos.

• [A] Autenticidad del usuario y de la información.

Tabla 2. Criterios de valoración en niveles

Fuente: Pilar Basic v2021

A continuación, se realiza la calificación por nivel como se representa en la tabla 2.

Para asignar los niveles es por cada criterio del activo, entre más nivel tenga significa que

tiene mayor protección en la dimensión calificada. Como se muestra la tabla 3 es el

resultado de la valoración tenido en cuenta los criterios de la entidad.

Nivel Criterio

10 Nivel 10

9 Nivel 9

8 Alto (+)

7 Alto

6 Alto (-)

5 Medio (+)

4 Medio

3 Medio (-)

2 Bajo (+)

1 Bajo

0 Despreciable

19

Tabla 3. Valoración de activos esenciales

activo [D] [I] [C] [A]

[Scan] Escáner [7] [5] [3] [5]

[Impresora] Impresora [8] [7] n.a. [4]

[PC] PC Escritorio (ALL IN ONE) [7] [7] [7] [7]

[Proyector] Proyector Multimedia [8] [5] [4] [5]

[Portátil] PC Portátil [8] [7] [7] [8]

[DVR] DVR [7] [5] [5] [4]

[Impresora funcional] Impresora

Multifuncional

[8] [7] n.a. [5]

[Servidor] Servidor [8] [8] [8] [8]

[Periferico] Otros Periféricos [7] [5] [5] [5]

[WiFi] WiFi Estudiantil [10] [10] [10] [10]

[LAN] Red LAN [10] [10] [10] [10]

[Switch] Switch [10] [10] [9] [10]

[Router] Router Mikrotik [10] [9] [10] [10]

[UI] Usuario Internos [7] [7]

[ADM] Administrador de sistemas [9] [9] Fuente: Autores del proyecto utilizando la valoración de dominios de Pilar Basic v2021.1

4.3 Amenazas

A continuación, Se identifican un listado de amenazas posibles sobre los activos

esenciales que se muestra en la tabla 5. El cual PILAR representa unos tipos de amenazas

(Tabla 4), las cuales disponen de unos elementos relacionados como se adjunta en el

ANEXO C.

Tabla 4. Tipos de amenazas

Código Nombre Descripción

[N] Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos

como causa directa o indirecta.

[I] De origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la

actividad humana de tipo industrial. Estas amenazas pueden darse de

forma accidental o deliberada.

[E] Errores y fallos no

intencionados Fallos no intencionales causados por las personas.

[A] Ataques intencionados Fallos deliberados causados por las personas.

Fuente: Pilar Basic Magerit II -Catálogo de Elementos

20

Tabla 5. Amenazas Identificadas

Activos Amenazas

[Scan] Escáner

• [N.*] Desastres naturales

• [I.*] Desastres industriales

• [A.25] Robo de equipos

• [A.26] Ataque destructivo

• [E.25] Pérdida de equipos

• [E.24] Caída del sistema por agotamiento de

recursos

• [I.5] Avería de origen físico o lógico

[Impresora] Impresora





• [A.23] Manipulación del hardware

• [I.7] Condiciones inadecuadas de

temperatura o humedad

• [E.23] Errores de mantenimiento /

actualización de equipos (hardware)

[PC] PC Escritorio (ALL IN ONE)





recursos


• [A.11] Acceso no autorizado

• [A.24] Denegación de servicio



• [A.7] Uso no previsto

[Proyector] Proyector Multimedia






recursos





[Portátil] PC Portátil





21





[DVR] DVR

• [N.1] Fuego

• [N.2] Daños por agua







[Impresora funcional] Impresora Multifuncional









recursos

[Servidor] Servidor







[Periferico] Otros Periféricos








[WiFi] WiFi Estudiantil

• [I.8] Fallo de servicios de comunicaciones

• [E.2] Errores del administrador del sistema /

de la seguridad

• [E.9] Errores de [re-]encaminamiento

• [E.10] Errores de secuencia

• [E.19] Fugas de información


recursos

• [A.5] Suplantación de la identidad


• [A.9] [Re-]encaminamiento de mensajes

• [A.10] Alteración de secuencia

22


• [A.14] Interceptación de información

(escucha)

• [A.15] Modificación de la información

• [A.18] Destrucción de la información


[LAN] Red LAN

• [I.8] Fallo de servicios de comunicaciones

• [E.2] Errores del administrador del sistema /

de la seguridad

• [E.9] Errores de [re-]encaminamiento

• [E.10] Errores de secuencia



recursos

• [A.5] Suplantación de la identidad


• [A.9] [Re-]encaminamiento de mensajes

• [A.10] Alteración de secuencia





[Switch] Switch

• [I.1] Fuego

• [I.2] Daños por agua


• [I.3] Contaminación medioambiental

• [I.4] Contaminación electromagnética


• [I.6] Corte del suministro eléctrico






recursos








[Router] Router Mikrotik


• [I.1] Fuego

• [I.2] Daños por agua


• [I.3] Contaminación medioambiental

• [I.4] Contaminación electromagnética


• [I.6] Corte del suministro eléctrico

23






recursos








[UI] Usuario Internos

• [E.15] Alteración de la información


• [E.28] Indisponibilidad del personal



• [A.19] Revelación de información

• [A.28] Indisponibilidad del personal

• [A.29] Extorsión

• [A.30] Ingeniería social (picaresca)

[ADM] Administrador de sistemas

• [E.15] Alteración de la información


• [E.28] Indisponibilidad del personal



• [A.19] Revelación de información

• [A.28] Indisponibilidad del personal

• [A.29] Extorsión

• [A.30] Ingeniería social (picaresca)

Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1

El anterior listado permite crear estrategias contra las amenazas, previniendo los

futuros problemas para la entidad.

24

4.4 Riesgos

Observando la valoración realizada a cada activo de la entidad, la hermanita PILAR

realiza dos tipos de riesgos los cuales son riesgo POTENCIAL y PILAR.

Figura 4: Riesgo POTENCIAL


Figura 5: Riesgo PILAR


25

En el grafico 4 se observa que la criticidad es catastrófica en los activos: WiFi,

LAN, Swicht, Router. Por el cual tiene una valoración alta.

En el grafico 5 se observa el nivel de criticidad es medio en los activos: WiFi, LAN,

Swicht, Router.

4.5 Riesgos acumulados

Se presentan los principales riesgos POTENCIALES y PILAR en cada dominio de

seguridad del sistema en las diferentes fases de trabajo.

A – Amenaza

Presenta la amenaza dentro del catálogo de PILAR. Una amenaza aparece

cuando algún activo del sistema está expuesto a ella.

D – Dimensión

Se muestra la dimensión (o dimensiones) de seguridad a las que afecta la

amenaza.

I – Impacto

Se muestra el máximo impacto causado por esta amenaza en algún activo del sistema.

R – Riesgo

Se muestra el máximo riesgo al que está expuesto el sistema por causa de

esta amenaza.

Tabla 6. riesgos acumulados Potencial

Amenaza D I R

[E.24] Caída del sistema por agotamiento de recursos D [6] {5,4}

[A.24] Denegación de servicio D [7] {5,4}

[A.19] Revelación de información C [6] {5,4} Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1

Tabla 7. Riesgos acumulados Pilar

Amenaza D I R

[E.24] Caída del sistema por agotamiento de recursos D [2] {2,5}

[A.19] Revelación de información C [2] {2,5}

[A.24] Denegación de servicio D [3] {2,4} Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1

Observando que la tabla 6 y 7 manejan las mismas amenazas indica que es más

probable que existan caídas de sistemas por agotamiento de recursos, que haya una

revelación de información y/o denegación de servicio.

26

5. Recomendaciones

Durante el desarrollo del proyecto, uno de los propósitos es determinar medidas

preventivas de los riesgos o falencias encontrados, para fortalecer la entidad y puedan tener

un buen uso de la ISO 27001:2013. Se dividieron las recomendaciones por la matriz de gap

y los riesgos de los activos.

5.1 Matriz de gap

A lo largo de la caracterización de la entidad, se detectó que en la matriz de

gap la entidad presenta un nivel de cumplimiento bajo en el objetivo 8.3 manejo de

los soportes del dominio 8 de la ISO:27001:2013.

Con lo mencionado, se sugiere las siguientes pautas basadas en la norma ISO

27100:2013 para mejorar el nivel de cumplimiento del objetivo 8.3 teniendo

encienta los siguientes controles:

• 8.3.1 Gestión de soportes extraíbles

➢ La necesidad de su uso.

➢ los soportes reutilizables que deberían retirarse de la organización y

hacerse irrecuperables.

➢ Cuando sea practico debemos requerir autorización para su uso.

➢ Mantener un registro de altas y bajas.

➢ Considerar especificaciones de almacenamiento según

especificaciones del fabricante.

➢ Encriptar datos para proteger aquellos que se consideren importantes.

➢ Renovar dispositivos con un periodo determinado para evitar la

degradación de datos necesarios e importantes.

➢ Proteger la información almacenada con copias de seguridad en

soportes independientes.

➢ Crear un registro de soportes extraíbles para limitar la posibilidad de

pérdida de datos.

➢ Controlar la transferencia de información hacia medios extraíbles

➢ Documentar los procedimientos de autorización.

• 8.3.2 Eliminación de soportes

27

➢ Establecer un proceso de eliminación segura de datos que no permita

su recuperación.

➢ Identificar que dispositivos requieren de un proceso de eliminación

segura.

➢ Controlar la utilización de empresas externas para la realización de

tareas de eliminación segura estableciendo algún tipo de control.

➢ Mantener un registro dispositivo que han sido dados de baja de forma

segura por contener información sensible.

• 8.3.3 Traslado de soportes físicos

➢ El registro de salida de los soportes para su cotejamiento con el

transportista y el lugar de destino de mismo incluyendo un control de

tiempos de transporte.

➢ Control de transportistas (Utilizar transportistas de confianza).

➢ Mantener una lista de transportistas autorizados.

➢ Controlar la identificación del transportista o mensajero.

➢ Establecer un procedimiento de cifrado cuando sea necesario y

posible.

➢ Controlar los embalajes y las condiciones ambientales (Humedad,

temperatura, polvo etc.) con las especificaciones del fabricante.

Recordar que esta son la sugerencia que indica la ISO 27001:2013, para

mejorar el objetivo 8.3 del domino 8 Manejo de medios.

5.2 Analís de riesgo

Una vez desarrollado el análisis de riesgo, se evidencia que los activos con

mayor nivel de criticidad son el WiFi, LAN, Swicht, Router.

Por consiguiente, se dio la tarea de investigar cuales son la mejores practicas

para salvaguardar cada activo.

➢ Red Wi-Fi:

• Utilice tecnología de cifrado Wi-Fi (WPA y WPA2)

• Autenticación Hotspot

➢ Red LAN

28

• Autenticación

• Control de acceso

➢ Swicht

• Contraseña segura

• Doble autentificación

• Actualizar

• Mantenimiento

➢ Router

• Contraseña segura

• Mantenimiento

Estas son unas posibles recomendaciones que pueden salvaguardar los

activos que tienen un mayor riesgo en momentos de crisis.

29

Conclusiones

Una vez culminado todo el análisis de riesgo se logran evidenciar el estado de

madurez en el cual se encuentra la seguridad de los activos de la empresa.

En el proceso de análisis se destaca el punto de caracterización donde se logra

identificar los activos pertenecientes a la entidad, puesto que es importante tener claro la

cantidad y condición física para lograr unos resultados claros y precisos.

Una vez determinados los activos se realiza una Matriz de GAP la cual nos permite

evidenciar el nivel de cumplimiento del dominio 8 de la norma ISO 27001:2013.

Con ayuda de la herramienta PILAR BASIC la cual esta basada en la metodología

Magerit 3.0 para el debido análisis y detección de los posibles riesgos.

Se desarrollaron medidas preventivas para salvaguardar los activos basados en los

resultados Recuperados de la Matriz de GAP y el Análisis de riesgo, fomentando el debido

cumplimiento de la norma ISO 27001:2013.

30

Referentes bibliográficos

A8 GESTION DE ACTIVOS. (s.f.). Recuperado de ISO 27001:

https://normaiso27001.es/a8-gestion-de-activos/

Carreño Garcias, N., & Alfonso Sarmiento, M. C. (2020). ANÁLISIS DE LA SEGURIDAD

A LA RED WIFI EVENTOS_COOP DE LA UNIVERSIDAD COOPERATIVA DE

COLOMBIA CAMPUS ARAUCA. Arauca.

EAR / PILAR Basic / descarga. (s.f.). Recuperado de EAR: https://www.ar-

tools.com/es/tools/pilar_basic/v20211/down.html

Implementar ISO 27001 paso a paso - 1 como hacer un Analisis Previo. (s.f.). Recuperado

de ISO 27001: https://normaiso27001.es/1-auditoria-inicial-iso-27001-gap-

analysis/#:%7E:text=Un%20an%C3%A1lisis%20de%20brechas%20GAP%20es%2

0un%20m%C3%A9todo%20para%20evaluar,que%20se%20cumplan%20con%20

%C3%A9xito

MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información. (s.f.). Recuperado de Portal Administracion Electronica:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod

olog/pae_Magerit.html

Públicas, M. d. (2021). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. . Madrid.

Rico Galindo, C. D., Rincon Navarro, M. C., & Rubiano Romero, Y. A. (2020). Análisis de

Riesgos de la Seguridad de la alcaldia de Arauca. Arauca.

Software ISO Riesgos y Seguridad. (s.f.). Recuperado de ISOTools:

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

Trucos para proteger conexiones inalámbricas. (s.f.). Recuperado de SOPHOS:

https://www.sophos.com/es-es/security-news-trends/best-practices/wi-fi.aspx

31

Anexos

Anexo A. Inventario de activos

Anexo B. Preguntas de GAP

Anexo C. Tipo de Amenazas Y Elementos Relacionados

anÁlisis de riesgo del dominio 8 gestiÓn de activo de la

Documents