anÁlisis de riesgo del dominio 8 gestiÓn de activo de la
TRANSCRIPT
UNIVERSIDAD COOPERATIVA DE COLOMBIA
SEDE ARAUCA
PROGRAMA DE INGENIERÍA DE SISTEMA
ANÁLISIS DE RIESGO DEL DOMINIO 8 GESTIÓN DE ACTIVO DE LA ISO
27001-2013 A LA UNIVERSIDAD COOPERATIVA DE COLOMBIA ÁREA GESTIÓN
TECNOLÓGICA SEDE ARAUCA
Presentado Por:
Hugo Fernando Sotto Cepeda
Anderson Daniel Chavez Vargas
Fabian Mauricio Gonzalez Botello
Asesor de modalidad de grado:
Ing. CARLOS EDUARDO PUENTES FGUEROA
ARAUCA - ARAUCA
MAYO
2021
Nota de autor:
Correspondencia enviada con este documento ser enviada a:
2
Tabla de contenido
Tabla de contenido Tabla de contenido ................................................................................................ 2
Lista de Figuras..................................................................................................... 4
Lista de Tablas ...................................................................................................... 4
Lista de Anexos .................................................................................................... 5
Resumen ........................................................................................................... 6
Introducción.......................................................................................................... 7
1. CONTEXTO DEL PROYECTO .............................................................. 8
1.1 Planteamiento del problema...................................................................... 8
1.2 Justificación ............................................................................................. 8
1.3 Objetivo ................................................................................................... 9
1.3.1 Objetivo General....................................................................................................... 9
1.3.2 Objetivos Especifico ................................................................................................. 9
2. MARCO TEÓRICO ............................................................................... 10
2.1 Marco conceptual ................................................................................... 10
2.2 Metodología........................................................................................... 11
2.3 Contextualización de la empresa ............................................................. 13
2.3.1 Misión .................................................................................................................... 13
2.3.2 Visión ..................................................................................................................... 13
3. CARACTERIZACIÓN DE LA ENTIDAD ............................................. 15
3.1 Inventario .................................................................................................. 15
3.2 Matriz GAP ........................................................................................... 15
3.2.1 Nivel de Madurez .................................................................................................. 15
3.2.2 Nivel de cumplimiento ........................................................................................... 16
4 ANÁLISIS DE RIESGO ............................................................................ 17
4.1 Determinar los activos ............................................................................ 17
3
4.2 Valoración de los activos ........................................................................ 18
4.3 Amenazas .............................................................................................. 19
4.4 Riesgos .................................................................................................. 24
4.5 Riesgos acumulados................................................................................... 25
5. Recomendaciones ........................................................................................ 26
5.1 Matriz de gap ....................................................................................... 26
5.2 Analís de riesgo ........................................................................................ 27
Conclusiones....................................................................................................... 29
Referentes bibliográficos ..................................................................................... 30
Anexos ............................................................................................................... 31
4
Lista de Figuras
Figura 1: Ciclo de la metodología Deming .......................................................... 11
Figura 2: Metodología de los 9 pasos para el análisis de riesgo del dominio 8 de la
ISO 27001:2013. ............................................................................................................ 12
Figura 3: Resultados Matriz De GAP .................................................................. 16
Figura 4: Riesgo POTENCIAL ........................................................................... 24
Figura 5: Riesgo PILAR ...................................................................................... 24
Lista de Tablas
Tabla 1. Activos por bloques ................................................................................ 17
Tabla 2. Criterios de valoración en niveles .......................................................... 18
Tabla 3. Valoración de activos esenciales ............................................................ 19
Tabla 4. Tipos de amenazas ................................................................................. 19
Tabla 5. Amenazas Identificadas .......................................................................... 20
Tabla 6. riesgos acumulados Potencial ................................................................ 25
Tabla 7. Riesgos acumulados Pilar ...................................................................... 25
5
Lista de Anexos
Anexo A. Inventario de activos ............................................................................ 31
Anexo B. Preguntas de GAP ................................................................................ 31
Anexo C. Tipo de Amenazas Y Elementos Relacionados...................................... 31
6
Resumen
Con el inicio de la emergencia sanitaria (COVID-19), muchas empresas se vieron
obligadas adaptarse a nuevas modalidades de trabajo como lo es el trabajo remoto, debido
al modo de contagio del virus y a las políticas del distanciamiento social, llevando a estas
empresas a realizar sus actividades sin un plan de contingencia.
La Universidad Cooperativa de Colombia se vio en la necesidad de realizar un
análisis de riesgos a los activos que posee, siguiendo los lineamientos de ISO 27001-2013
más específicamente su Dominio 8 Gestión de Activos.
En el presente documento se plasma un cronograma de actividades donde se
especifica las fechas y las actividades a realizar en el transcurso de la auditoria.
Palabras claves: Matriz, Gestión tecnológica, metodología DEMING, metodología
MAGERIT, Activos.
Abstract
With the onset of the health emergency (COVID-19), many companies were forced
to adapt to new work modalities such as remote work, due to the virus contagion mode and
social distancing policies, leading these companies to carry out your activities without a
contingency plan.
The Universidad Cooperativa de Colombia found it necessary to carry out a risk
analysis of the assets it owns, following the guidelines of ISO 27001-2013, more
specifically in Domain 8 Asset Management.
This document contains a schedule of activities that specifies the dates and activities
to be carried out during the audit.
Keywords: Matrix, Technological management, DEMING methodology, MAGERIT
methodology, Assets.
7
Introducción
Los activos de una empresa simbolizan los recursos que posee para el debido
desarrollo de su actividad productiva, los cuales traen consigo beneficios económicos a
futuro, debido a esto son considerados parte muy fundamental de cualquier empresa.
Debido al dicho nivel de importancia y a la actual situación que nos proporciona la
pandemia (COVID-19) en la cual gran parte de empresas se vieron obligadas a la
implementación del teletrabajo, se requiere llevar una buena gestión de dichos activos.
El informe que se presenta a continuación evidencia los resultados de un análisis de
riesgo realizado a la Universidad Cooperativa de Colombia en su área de gestión
tecnológica tomando como referencia la norma ISO 27001:2013 más específicamente su
dominio 8 (Gestión de Activos), en el cual de igual manera todos los datos procesados se
obtuvieron directamente del encargado del área de sistemas y TI, los resultados ilustrados
representan el estado actual en términos de seguridad de sus activos.
8
1. CONTEXTO DEL PROYECTO
1.1 Planteamiento del problema
El 5 marzo de 2020 inicio con la pandemia del nuevo coronavirus en todo el mundo,
causando que todas las empresas, colegios y universidades cambien la modalidad de trabajo
presencial a virtual. Abriendo una brecha de vulnerabilidad para todos los activos y
personas que hacen parte de las empresas, colegios y universidades.
Teniendo en cuenta la situación del año 2020 la gestión de activos paso hacer más
relevante, porque los equipo o implementos de trabajo pasaron de estar en la empresa a las
casas de los trabajadores.
La UNIVERSIDAD COPERATIVA DE COLOMBIA CAMPUS ARAUCA fue
una de esas universidades donde envió tanto a sus trabajadores como estudiantes a realizar
sus respectivas actividades desde casa. Al inicio fue complicado ya que la mayoría de
trabajadores y estudiantes no tenían equipos de cómputo o conexión a internet para ejercer
sus actividades. Una de las medidas que tomo la UCC fue gestionarles equipos a los
trabajadores y estudiantes, dejando aquí la importancia de que tengan un control de activos.
Por lo mencionado es importante realizar un análisis de riesgo a la gestión de activo
basándonos en el dominio 8 de ISO 27001 del 2013.
1.2 Justificación
Beneficiar el área de gestión tecnológica de la Universidad Cooperativa de
Colombia campus Arauca, con un análisis de riesgo al dominio 8 de la ISO 27001:2013.
Aportando un buen manejo en sus activos en época de pandemia, permitiendo
identificar, asegurar y asignar los activos correspondientes al personal, para que la
Universidad puede tomar medidas preventivas en el aseguramiento de sus activos.
9
1.3 Objetivo
1.3.1 Objetivo General
Analizar los riesgos del dominio 8 haciendo énfasis en los controles 8.1 y 8.3 de la
norma ISO 27001:2013, del área de Gestión tecnológica de la Universidad Cooperativa de
Colombia campus Arauca.
1.3.2 Objetivos Especifico
• Caracterizar los diferentes procesos del área gestión tecnológica basados en
el dominio 8 mediante la matriz de GAP.
• Elaborar un inventario de activos según el objetivo 8.1.1 de la ISO
27001:2013 utilizando la herramienta PILAR BASIC.
• Aplicar la metodología Magerit v.3 dentro del marco de trabajo del área de
Gestión tecnológica para detectar posibles riesgos.
• Determinar medidas preventivas teniendo en cuenta los riesgos encontrados
derivados del análisis.
10
2. MARCO TEÓRICO
2.1 Marco conceptual
Se utilizo la herramienta PILAR BASIC 3.0 basada en la metodología MAGERIT
3.0, para ejecutar el análisis de riesgo de los activos Recuperados mediante la metodología
DEMING, que permitió realizar la caracterización de los activos en la entidad.
Con lo mencionado anteriormente se realizó el análisis de GAP basados en el
dominio 8 (análisis de riesgo) de la ISO 27001:2013
11
2.2 Metodología
• METODOLOGÍA DEMING.
Según el físico Walter A. Shewhart Deming es "Un proceso metodológico elemental
aplicable en cualquier campo de la actividad, con el fin de asegurar la mejora continua de
dichas actividades”.
Fuente: Autores del proyecto
Objetivos Deming:
• Planificar
Se posiciona como la fase más influyente, ya que en dicha fase se
formula el plan de desarrollo (secuencia de actividades lógicas).
• Hacer
Es la fase que precede al planeamiento, en esta se procede con el
inicio del plan a través de pruebas.
• Verificar
En esta fase se realiza la revisión del cumplimiento de los objetivos.
• Actuar
Se socializa los resultados para establecer soluciones
Figura 1: Ciclo de la metodología Deming
12
Implementación de la metodología
La metodología Deming permitirá realizar un análisis de riesgo al domino 8 de la
ISO:27001 dividiendo el proceso en 9 pasos.
Fuente: Autores del proyecto
Los 9 pasos permitirán identificar los riesgos que se encuentra en al área de gestión
tecnológica de la Universidad Cooperativa de Colombia campus Arauca, basándonos en el
control 8.1 y 8.3 del dominio 8 de la ISO 27001:2013.
• Planear:
a. Caracterizar los procesos del área gestión tecnológica
➢ Conocer los procesos que se encuentra en el área de gestión
tecnológica de la Universidad Cooperativa de Colombia campus
Arauca
b. Identificar los activos
➢ Seleccionar los activos del área de gestión tecnológica de la Universidad Cooperativa de Colombia campus Arauca basándonos
en el objetivo 8.1.1.
• Hacer:
a. Crear una matriz de GAP
➢ Ingresar los datos a la matriz de gap de acuerdo a los procesos encontrados en el área de gestión tecnológica de la Universidad
Cooperativa de Colombia campus Arauca
b. Crear un inventario de activos
➢ Registrar los activos en la herramienta PILAR BASIC
c. Diseñar un análisis de riesgo
➢ Ejecutar el análisis en la herramienta PILAR BASIC
• Verificación:
Figura 2: Metodología de los 9 pasos para el análisis de riesgo
del dominio 8 de la ISO 27001:2013.
13
a. Evaluar los resultados de la matriz de GAP
➢ Analizar los resultados encontrados en la matriz de gap b. Evaluar los resultados de la matriz de riesgo
➢ Analizar los riesgos encontrados en la matriz de riesgos
• Actuar
a. Plantear medidas preventivas
➢ Se darán recomendaciones, basados en los resultados del análisis de
riesgo
2.3 Contextualización de la empresa
La Universidad Cooperativa de Colombia data su trayectoria desde el año 1958
cuando un grupo de cooperativistas, liderados por los hermanos Henry y Rymel Serrano
Uribe junto con Carlos Uribe Garzón, deciden apostarle al fortalecimiento de la economía
solidaria y en particular al cooperativismo, a partir de la formación de adultos dentro de
esta doctrina.
La Universidad Cooperativa de Colombia avanza permanentemente hacia la
excelencia y la acreditación institucional, fortaleciendo sus relaciones en el país y en el
mundo, mejorando su infraestructura física y tecnológica, innovando en los procesos
académicos y los programas, para responder a las necesidades de los territorios y sus
comunidades. Estamos comprometidos con la construcción de un mejor país para todos;
somos “Una Universidad, todo un país”.
2.3.1 Misión
Somos una Institución multicampus de propiedad social, educamos personas con las
competencias para responder a las dinámicas del mundo, contribuimos a la construcción y
difusión del conocimiento, apoyamos el desarrollo competitivo del país a través de sus
organizaciones y buscamos el mejoramiento de la calidad de vida de las comunidades,
influidos por la economía solidaria que nos dio origen.
2.3.2 Visión
Para 2025, la Universidad Cooperativa de Colombia será una institución sostenible
que aprende continuamente para transformarse de acuerdo con las exigencias del contexto,
reflejándose en:
14
Una educación y un aprendizaje a lo largo de la vida soportado en nuestro modelo
educativo con una oferta educativa pertinente, en diferentes modalidades. Una gestión
inclusiva que integre entornos individuales, físicos y digitales con nuevos desarrollos
tecnológicos. Una cultura innovadora que responda a las demandas del contexto, a la
generación de conocimiento colectivo y experiencias compartidas.
15
3. CARACTERIZACIÓN DE LA ENTIDAD
3.1 Inventario
Debido al imprevista necesidad de adaptarse a una nueva modalidad de trabajo, la
Universidad Cooperativa de Colombia se vio en la obligación de proteger sus activos ya
que estos son utilizados por sus empleados fuera de la estructura física de la organización,
porque consiguiente es necesario el debido registro inventariado de dichos activos.
Mediante las entrevistas realizadas al Ing. CARLOS EDUARDO PUENTES
FGUEROA (encargado del aria de sistemas y TI) se pudo identificar 186 activos divididos
en 4 Bloques como se muestra en el ANEXO A.
Con la información obtenida se puede agrupar loa activos esenciales para ejecutar el
análisis de riesgo.
3.2 Matriz GAP
A continuación, se realizará una evaluación de madurez para verificar que tan bien
se desarrollan los procesos de gestión con respecto a los controles del dominio 8 de la ISO
27001:2013.
3.2.1 Nivel de Madurez
Para continuar con el proceso se debe tener en cuenta los siguientes niveles:
• Nivel 0: No hay reconocimiento de las necesidades del control o requisitos
• Nivel 1: Existe cierto reconocimiento de la necesidad de control interno o
requisito. Se aplica para algún problema o tarea específica, no generalizable.
• Nivel 2: Los controles existen, pero no están documentados.
• Nivel 3: Los controles están en su lugar y están documentados
adecuadamente.
• Nivel 4: Existe un control interno sobre la aplicación de controles y
cumplimiento de requisito.
16
• Nivel 5: Existe un control interno y continúo sobre la aplicación de controles
y cumplimiento de requisitos. Se mide la eficacia de los controles
estableciendo objetivos de mejora.
3.2.2 Nivel de cumplimiento
Reconociendo los niveles de madurez se debe llevar a cabo un listado de preguntas
para obtener el nivel de cumplimiento de la entidad en el dominio 8 de la ISO 27001:2013.
En el ANEXO B se visualiza las preguntas realizadas al encargado del área de
sistemas y TI.
Fuente: Autores del Proyecto
Culminado el análisis se evidencia que el nivel de madurez en la manipulación de
soporte y clasificación de la información se encuentra por debajo del criterio de evaluación
para el cumplimiento de la norma, sin embargo, también se evidencia un buen nivel de
madurez en la responsabilidad sobre los activos.
Figura 3: Resultados Matriz De GAP
17
4 ANÁLISIS DE RIESGO
Utilizando la herramienta PILAR Basic se podrá trazar los riesgos en varias dimensiones:
confidencialidad, integridad, disponibilidad y autenticidad. Basado en la metodología MAGERIT en
la versión 3.0, permitiendo detectar los riesgos a los que se enfrenta la entidad.
4.1 Determinar los activos
Una vez hecha la caracterización se descubrieron ciento ochenta y seis (186)
activos, que se dividen en cuatro (4) bloques los cuales son:
Tabla 1. Activos por bloques
Dirección Cantidad Activos
Cll 20 #29-139 B/Corocoras 29
Km 1 Via aeropuerto 11
Cr 12 N° 21-70 B/Unión 51
Cll 15 N°18-07 Br Cristo rey 95
Fuente: Autores del proyecto
De los cuales se eligieron quince (15) activos esenciales como se evidencia a
continuación:
[B] Activos esenciales
• [Scan] Escáner
• [Impresora] Impresora
• [PC] PC Escritorio (ALL IN ONE)
• [Proyector] Proyector Multimedia
• [Portátil] PC Portátil
• [DVR] DVR
• [Impresora funcional] Impresora Multifuncional
• [Servidor] Servidor
• [Periferico] Otros Periféricos
• [WiFi] Wifi Estudiantil
• [LAN] Red LAN
• [Switch] Switch
18
• [Router] Router Mikrotik
• [UI] Usuario Internos
• [ADM] Administrador de Sistemas
4.2 Valoración de los activos
Una vez determinado los activos esenciales, se realiza la valoración considerando
las dimensiones a evaluar: confidencialidad, integridad, disponibilidad y autenticidad las
cuales PILAR identifica de la siguiente manera:
Dimensiones:
• [D] Disponibilidad.
• [I] Integridad de los datos.
• [C] Confidencialidad de los datos.
• [A] Autenticidad del usuario y de la información.
Tabla 2. Criterios de valoración en niveles
Fuente: Pilar Basic v2021
A continuación, se realiza la calificación por nivel como se representa en la tabla 2.
Para asignar los niveles es por cada criterio del activo, entre más nivel tenga significa que
tiene mayor protección en la dimensión calificada. Como se muestra la tabla 3 es el
resultado de la valoración tenido en cuenta los criterios de la entidad.
Nivel Criterio
10 Nivel 10
9 Nivel 9
8 Alto (+)
7 Alto
6 Alto (-)
5 Medio (+)
4 Medio
3 Medio (-)
2 Bajo (+)
1 Bajo
0 Despreciable
19
Tabla 3. Valoración de activos esenciales
activo [D] [I] [C] [A]
[Scan] Escáner [7] [5] [3] [5]
[Impresora] Impresora [8] [7] n.a. [4]
[PC] PC Escritorio (ALL IN ONE) [7] [7] [7] [7]
[Proyector] Proyector Multimedia [8] [5] [4] [5]
[Portátil] PC Portátil [8] [7] [7] [8]
[DVR] DVR [7] [5] [5] [4]
[Impresora funcional] Impresora
Multifuncional
[8] [7] n.a. [5]
[Servidor] Servidor [8] [8] [8] [8]
[Periferico] Otros Periféricos [7] [5] [5] [5]
[WiFi] WiFi Estudiantil [10] [10] [10] [10]
[LAN] Red LAN [10] [10] [10] [10]
[Switch] Switch [10] [10] [9] [10]
[Router] Router Mikrotik [10] [9] [10] [10]
[UI] Usuario Internos [7] [7]
[ADM] Administrador de sistemas [9] [9] Fuente: Autores del proyecto utilizando la valoración de dominios de Pilar Basic v2021.1
4.3 Amenazas
A continuación, Se identifican un listado de amenazas posibles sobre los activos
esenciales que se muestra en la tabla 5. El cual PILAR representa unos tipos de amenazas
(Tabla 4), las cuales disponen de unos elementos relacionados como se adjunta en el
ANEXO C.
Tabla 4. Tipos de amenazas
Código Nombre Descripción
[N] Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos
como causa directa o indirecta.
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la
actividad humana de tipo industrial. Estas amenazas pueden darse de
forma accidental o deliberada.
[E] Errores y fallos no
intencionados Fallos no intencionales causados por las personas.
[A] Ataques intencionados Fallos deliberados causados por las personas.
Fuente: Pilar Basic Magerit II -Catálogo de Elementos
20
Tabla 5. Amenazas Identificadas
Activos Amenazas
[Scan] Escáner
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
• [E.25] Pérdida de equipos
• [E.24] Caída del sistema por agotamiento de
recursos
• [I.5] Avería de origen físico o lógico
[Impresora] Impresora
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [A.26] Ataque destructivo
• [A.25] Robo de equipos
• [A.23] Manipulación del hardware
• [I.7] Condiciones inadecuadas de
temperatura o humedad
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
[PC] PC Escritorio (ALL IN ONE)
• [N.*] Desastres naturales
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.24] Caída del sistema por agotamiento de
recursos
• [E.25] Pérdida de equipos
• [A.11] Acceso no autorizado
• [A.24] Denegación de servicio
• [A.25] Robo de equipos
• [A.11] Acceso no autorizado
• [A.7] Uso no previsto
[Proyector] Proyector Multimedia
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.24] Caída del sistema por agotamiento de
recursos
• [A.25] Robo de equipos
• [A.24] Denegación de servicio
• [A.26] Ataque destructivo
• [A.11] Acceso no autorizado
[Portátil] PC Portátil
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
21
• [A.7] Uso no previsto
• [A.24] Denegación de servicio
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
[DVR] DVR
• [N.1] Fuego
• [N.2] Daños por agua
• [I.*] Desastres industriales
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.25] Pérdida de equipos
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
[Impresora funcional] Impresora Multifuncional
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [I.7] Condiciones inadecuadas de
temperatura o humedad
• [E.25] Pérdida de equipos
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
• [E.24] Caída del sistema por agotamiento de
recursos
[Servidor] Servidor
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
• [E.25] Pérdida de equipos
• [A.24] Denegación de servicio
[Periferico] Otros Periféricos
• [N.*] Desastres naturales
• [I.*] Desastres industriales
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.25] Pérdida de equipos
• [A.11] Acceso no autorizado
• [A.25] Robo de equipos
[WiFi] WiFi Estudiantil
• [I.8] Fallo de servicios de comunicaciones
• [E.2] Errores del administrador del sistema /
de la seguridad
• [E.9] Errores de [re-]encaminamiento
• [E.10] Errores de secuencia
• [E.19] Fugas de información
• [E.24] Caída del sistema por agotamiento de
recursos
• [A.5] Suplantación de la identidad
• [A.7] Uso no previsto
• [A.9] [Re-]encaminamiento de mensajes
• [A.10] Alteración de secuencia
22
• [A.11] Acceso no autorizado
• [A.14] Interceptación de información
(escucha)
• [A.15] Modificación de la información
• [A.18] Destrucción de la información
• [A.24] Denegación de servicio
[LAN] Red LAN
• [I.8] Fallo de servicios de comunicaciones
• [E.2] Errores del administrador del sistema /
de la seguridad
• [E.9] Errores de [re-]encaminamiento
• [E.10] Errores de secuencia
• [E.19] Fugas de información
• [E.24] Caída del sistema por agotamiento de
recursos
• [A.5] Suplantación de la identidad
• [A.7] Uso no previsto
• [A.9] [Re-]encaminamiento de mensajes
• [A.10] Alteración de secuencia
• [A.11] Acceso no autorizado
• [A.15] Modificación de la información
• [A.18] Destrucción de la información
• [A.24] Denegación de servicio
[Switch] Switch
• [I.1] Fuego
• [I.2] Daños por agua
• [I.*] Desastres industriales
• [I.3] Contaminación medioambiental
• [I.4] Contaminación electromagnética
• [I.5] Avería de origen físico o lógico
• [I.6] Corte del suministro eléctrico
• [I.7] Condiciones inadecuadas de
temperatura o humedad
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.24] Caída del sistema por agotamiento de
recursos
• [E.25] Pérdida de equipos
• [A.7] Uso no previsto
• [A.11] Acceso no autorizado
• [A.23] Manipulación del hardware
• [A.24] Denegación de servicio
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
[Router] Router Mikrotik
• [N.*] Desastres naturales
• [I.1] Fuego
• [I.2] Daños por agua
• [I.*] Desastres industriales
• [I.3] Contaminación medioambiental
• [I.4] Contaminación electromagnética
• [I.5] Avería de origen físico o lógico
• [I.6] Corte del suministro eléctrico
23
• [I.7] Condiciones inadecuadas de
temperatura o humedad
• [E.23] Errores de mantenimiento /
actualización de equipos (hardware)
• [E.24] Caída del sistema por agotamiento de
recursos
• [E.25] Pérdida de equipos
• [A.7] Uso no previsto
• [A.11] Acceso no autorizado
• [A.23] Manipulación del hardware
• [A.24] Denegación de servicio
• [A.25] Robo de equipos
• [A.26] Ataque destructivo
[UI] Usuario Internos
• [E.15] Alteración de la información
• [E.19] Fugas de información
• [E.28] Indisponibilidad del personal
• [A.15] Modificación de la información
• [A.18] Destrucción de la información
• [A.19] Revelación de información
• [A.28] Indisponibilidad del personal
• [A.29] Extorsión
• [A.30] Ingeniería social (picaresca)
[ADM] Administrador de sistemas
• [E.15] Alteración de la información
• [E.19] Fugas de información
• [E.28] Indisponibilidad del personal
• [A.15] Modificación de la información
• [A.18] Destrucción de la información
• [A.19] Revelación de información
• [A.28] Indisponibilidad del personal
• [A.29] Extorsión
• [A.30] Ingeniería social (picaresca)
Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1
El anterior listado permite crear estrategias contra las amenazas, previniendo los
futuros problemas para la entidad.
24
4.4 Riesgos
Observando la valoración realizada a cada activo de la entidad, la hermanita PILAR
realiza dos tipos de riesgos los cuales son riesgo POTENCIAL y PILAR.
Figura 4: Riesgo POTENCIAL
Fuente: Autores del Proyecto
Figura 5: Riesgo PILAR
Fuente: Autores del Proyecto
25
En el grafico 4 se observa que la criticidad es catastrófica en los activos: WiFi,
LAN, Swicht, Router. Por el cual tiene una valoración alta.
En el grafico 5 se observa el nivel de criticidad es medio en los activos: WiFi, LAN,
Swicht, Router.
4.5 Riesgos acumulados
Se presentan los principales riesgos POTENCIALES y PILAR en cada dominio de
seguridad del sistema en las diferentes fases de trabajo.
A – Amenaza
Presenta la amenaza dentro del catálogo de PILAR. Una amenaza aparece
cuando algún activo del sistema está expuesto a ella.
D – Dimensión
Se muestra la dimensión (o dimensiones) de seguridad a las que afecta la
amenaza.
I – Impacto
Se muestra el máximo impacto causado por esta amenaza en algún activo del sistema.
R – Riesgo
Se muestra el máximo riesgo al que está expuesto el sistema por causa de
esta amenaza.
Tabla 6. riesgos acumulados Potencial
Amenaza D I R
[E.24] Caída del sistema por agotamiento de recursos D [6] {5,4}
[A.24] Denegación de servicio D [7] {5,4}
[A.19] Revelación de información C [6] {5,4} Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1
Tabla 7. Riesgos acumulados Pilar
Amenaza D I R
[E.24] Caída del sistema por agotamiento de recursos D [2] {2,5}
[A.19] Revelación de información C [2] {2,5}
[A.24] Denegación de servicio D [3] {2,4} Fuente: Autores del proyecto utilizando la herramienta Pilar Basic v2021.1
Observando que la tabla 6 y 7 manejan las mismas amenazas indica que es más
probable que existan caídas de sistemas por agotamiento de recursos, que haya una
revelación de información y/o denegación de servicio.
26
5. Recomendaciones
Durante el desarrollo del proyecto, uno de los propósitos es determinar medidas
preventivas de los riesgos o falencias encontrados, para fortalecer la entidad y puedan tener
un buen uso de la ISO 27001:2013. Se dividieron las recomendaciones por la matriz de gap
y los riesgos de los activos.
5.1 Matriz de gap
A lo largo de la caracterización de la entidad, se detectó que en la matriz de
gap la entidad presenta un nivel de cumplimiento bajo en el objetivo 8.3 manejo de
los soportes del dominio 8 de la ISO:27001:2013.
Con lo mencionado, se sugiere las siguientes pautas basadas en la norma ISO
27100:2013 para mejorar el nivel de cumplimiento del objetivo 8.3 teniendo
encienta los siguientes controles:
• 8.3.1 Gestión de soportes extraíbles
➢ La necesidad de su uso.
➢ los soportes reutilizables que deberían retirarse de la organización y
hacerse irrecuperables.
➢ Cuando sea practico debemos requerir autorización para su uso.
➢ Mantener un registro de altas y bajas.
➢ Considerar especificaciones de almacenamiento según
especificaciones del fabricante.
➢ Encriptar datos para proteger aquellos que se consideren importantes.
➢ Renovar dispositivos con un periodo determinado para evitar la
degradación de datos necesarios e importantes.
➢ Proteger la información almacenada con copias de seguridad en
soportes independientes.
➢ Crear un registro de soportes extraíbles para limitar la posibilidad de
pérdida de datos.
➢ Controlar la transferencia de información hacia medios extraíbles
➢ Documentar los procedimientos de autorización.
• 8.3.2 Eliminación de soportes
27
➢ Establecer un proceso de eliminación segura de datos que no permita
su recuperación.
➢ Identificar que dispositivos requieren de un proceso de eliminación
segura.
➢ Controlar la utilización de empresas externas para la realización de
tareas de eliminación segura estableciendo algún tipo de control.
➢ Mantener un registro dispositivo que han sido dados de baja de forma
segura por contener información sensible.
• 8.3.3 Traslado de soportes físicos
➢ El registro de salida de los soportes para su cotejamiento con el
transportista y el lugar de destino de mismo incluyendo un control de
tiempos de transporte.
➢ Control de transportistas (Utilizar transportistas de confianza).
➢ Mantener una lista de transportistas autorizados.
➢ Controlar la identificación del transportista o mensajero.
➢ Establecer un procedimiento de cifrado cuando sea necesario y
posible.
➢ Controlar los embalajes y las condiciones ambientales (Humedad,
temperatura, polvo etc.) con las especificaciones del fabricante.
Recordar que esta son la sugerencia que indica la ISO 27001:2013, para
mejorar el objetivo 8.3 del domino 8 Manejo de medios.
5.2 Analís de riesgo
Una vez desarrollado el análisis de riesgo, se evidencia que los activos con
mayor nivel de criticidad son el WiFi, LAN, Swicht, Router.
Por consiguiente, se dio la tarea de investigar cuales son la mejores practicas
para salvaguardar cada activo.
➢ Red Wi-Fi:
• Utilice tecnología de cifrado Wi-Fi (WPA y WPA2)
• Autenticación Hotspot
➢ Red LAN
28
• Autenticación
• Control de acceso
➢ Swicht
• Contraseña segura
• Doble autentificación
• Actualizar
• Mantenimiento
➢ Router
• Contraseña segura
• Mantenimiento
Estas son unas posibles recomendaciones que pueden salvaguardar los
activos que tienen un mayor riesgo en momentos de crisis.
29
Conclusiones
Una vez culminado todo el análisis de riesgo se logran evidenciar el estado de
madurez en el cual se encuentra la seguridad de los activos de la empresa.
En el proceso de análisis se destaca el punto de caracterización donde se logra
identificar los activos pertenecientes a la entidad, puesto que es importante tener claro la
cantidad y condición física para lograr unos resultados claros y precisos.
Una vez determinados los activos se realiza una Matriz de GAP la cual nos permite
evidenciar el nivel de cumplimiento del dominio 8 de la norma ISO 27001:2013.
Con ayuda de la herramienta PILAR BASIC la cual esta basada en la metodología
Magerit 3.0 para el debido análisis y detección de los posibles riesgos.
Se desarrollaron medidas preventivas para salvaguardar los activos basados en los
resultados Recuperados de la Matriz de GAP y el Análisis de riesgo, fomentando el debido
cumplimiento de la norma ISO 27001:2013.
30
Referentes bibliográficos
A8 GESTION DE ACTIVOS. (s.f.). Recuperado de ISO 27001:
https://normaiso27001.es/a8-gestion-de-activos/
Carreño Garcias, N., & Alfonso Sarmiento, M. C. (2020). ANÁLISIS DE LA SEGURIDAD
A LA RED WIFI EVENTOS_COOP DE LA UNIVERSIDAD COOPERATIVA DE
COLOMBIA CAMPUS ARAUCA. Arauca.
EAR / PILAR Basic / descarga. (s.f.). Recuperado de EAR: https://www.ar-
tools.com/es/tools/pilar_basic/v20211/down.html
Implementar ISO 27001 paso a paso - 1 como hacer un Analisis Previo. (s.f.). Recuperado
de ISO 27001: https://normaiso27001.es/1-auditoria-inicial-iso-27001-gap-
analysis/#:%7E:text=Un%20an%C3%A1lisis%20de%20brechas%20GAP%20es%2
0un%20m%C3%A9todo%20para%20evaluar,que%20se%20cumplan%20con%20
%C3%A9xito
MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. (s.f.). Recuperado de Portal Administracion Electronica:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod
olog/pae_Magerit.html
Públicas, M. d. (2021). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. . Madrid.
Rico Galindo, C. D., Rincon Navarro, M. C., & Rubiano Romero, Y. A. (2020). Análisis de
Riesgos de la Seguridad de la alcaldia de Arauca. Arauca.
Software ISO Riesgos y Seguridad. (s.f.). Recuperado de ISOTools:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
Trucos para proteger conexiones inalámbricas. (s.f.). Recuperado de SOPHOS:
https://www.sophos.com/es-es/security-news-trends/best-practices/wi-fi.aspx
31
Anexos
Anexo A. Inventario de activos
Anexo B. Preguntas de GAP
Anexo C. Tipo de Amenazas Y Elementos Relacionados