luz marina mina calderÓn -...

AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN E INFRAESTRUCTURA DE TI,

AL ÁREA DE TI DE LA EMPRESA DE ENERGÍA DE ARAUCA ENELAR E.S.P. DEL

DEPARTAMENTO DE ARAUCA.

LUZ MARINA MINA CALDERÓN

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA DE SISTEMAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

ARAUCA, ARAUCA. II – 2015

2

AUDITORIA DE SEGURIDAD DE LA INFORMACIÓN E INFRAESTRUCTURA DE TI,

AL ÁREA DE TI DE LA EMPRESA DE ENERGÍA DE ARAUCA ENELAR E.S.P. DEL

DEPARTAMENTO DE ARAUCA.

LUZ MARINA MINA CALDERÓN

Trabajo de Practica social, empresarial o solidaria para optar al título de ingeniero de sistemas

Directores:

CARLOS EDUARDO PUENTES FIGUEROA

Ingeniero en telecomunicaciones, especialista en servicios telemáticos y telecomunicaciones

ANÍBAL FUENTES GALVIS

Ingeniero de sistemas, subdirector del área de TI de Enelar E.S.P.

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA DE SISTEMAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

ARAUCA, ARAUCA. II – 2015

3

Dedicatoria

Dedico de manera especial éste trabajo de grado a mis padres Fredy Mina y Ana

Calderón quienes con su apoyo incondicional me ayudaron alcanzar esta meta, asimismo a mis

hermanos Ana Mina, Carolina Calderón y Alberto Calderón que de alguna u otra manera

también colocaron su granito de arena para que culminara satisfactoriamente mis estudios.

4

Agradecimientos

Principalmente doy gracias a Dios quien es el único que hace posible todas las cosas. A

mis padres y hermanos que con su inmenso apoyo me ayudaron a alcanzar la meta de ser

profesional. A mi tutor el ingeniero Carlos Eduardo Puentes por compartir conmigo sus

conocimientos, dedicarme el tiempo necesario, orientarme, confiar en mí y en mi capacidad

para ejecutar este proyecto. Muchas gracias.

5

Tabla de contenido

Pág.

Resumen 9

Abstract 10

Introducción 11

Capítulo 1: Presentación del proyecto de grado 13

1.1 Planteamiento del problema 14

1.1.1 Descripción del problema 14

1.1.2 Formulación del problema 16

1.2 Justificación 16

1.3 Objetivos 17

1.3.1 Objetivo general 17

1.3.2 Objetivos específicos 18

1.4 Metodología 18

1.4.1 Tipos de investigación 18

1.4.2 Población 19

1.4.3 Muestra 19

1.4.4 Instrumento de recolección de la información 20

Capítulo 2: Marco Referencial 21

2.1 Marco legal 22

2.2 Marco conceptual 23

2.3 Marco Teórico 24

2.4 Marco contextual 34

2.4.1 Misión 34

2.4.2 Visión 34

2.4.3 Valores corporativos 35

2.4.4 Estructura organizacional 36

Capítulo 3: Análisis de Riesgos Asociados a las TI en la Empresa de Energía de Arauca 37

3.1 Identificación y clasificación de los activos 38

3.2 Determinación de activos críticos 40

3.3 Identificación de salvaguardas existentes aplicadas a los activos críticos 42

6

3.4 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos 43

3.5 Determinación del riesgo 44

3.6 Identificación y clasificación de los activos de información del Centro de Control 47

3.7 Determinación de activos críticos de información del Centro de Control 48

3.8 Identificación de salvaguardas existentes aplicadas a los activos críticos de

información del Centro de Control

49

3.9 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos de

información del Centro de Control

49

3.10 Determinación del riesgo de los activos críticos de información del Centro de

Control

50

Capítulo 4: Evaluación de Cumplimiento de los controles de la Norma ISO/IEC

27002:2013 en la Empresa de Energía de Arauca

53

4.1 Elaboración del checklist en base a la Norma ISO/IEC 27002:2013 54

4.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 54

4.3 Relación de Fichas de No conformidades y recomendaciones 57

4.4 Presentación de resultados 59

Capítulo 5: Políticas de seguridad de la información de Enelar E.S.P. 61

5.1 Políticas de seguridad de la información de Enelar E.S.P. 62

5.1.1 Política de seguridad de la información 62

5.1.2 Gestión de activos 62

5.1.3 Control de acceso 63

5.1.4 La seguridad física y ambiental 63

5.1.5 Seguridad en la operativa 64

5.1.6 Seguridad en las telecomunicaciones 64

5.1.7 Adquisición, desarrollo y mantenimiento de los sistemas de información 64

5.1.8 Cumplimiento 65

6. Conclusiones 66

7. Recomendaciones 67

8. Cronograma de actividades 69

Referencias bibliográficas 70

Anexos 73

7

Lista de Tablas

Tabla 1: Normativa ISO/IEC 27000. ......................................................................................... 30

Tabla 2: Clasificación de los activos. ........................................................................................ 39

Tabla 3: Abreviaturas. ............................................................................................................... 41

Tabla 4: Dimensiones de Valoración......................................................................................... 41

Tabla 5: Escala de Valoración. ................................................................................................. 42

Tabla 6: Valoración de activos. ................................................................................................. 42

Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos. ............................................... 44

Tabla 8: Matriz de riesgos. ........................................................................................................ 45

Tabla 9: Análisis de riesgos. ...................................................................................................... 46

Tabla 10: Clasificación de activos de información del Centro de Control de Enelar E.S.P. ... 48

Tabla 11: Valoración de los Activos de información del Centro de control de Enelar E.S.P. .. 49

Tabla 12: Vulnerabilidades y Amenazas de los activos críticos del Centro de Control. .......... 50

Tabla 13: Análisis de riesgos de los activos críticos del Centro de Control. ............................ 51

Tabla 14: Niveles de Madurez. .................................................................................................. 55

Tabla 15: Valoración de Controles. .......................................................................................... 56

Tabla 16: Evaluación de controles. ........................................................................................... 57

Tabla 17: Ficha de No Conformidades: Políticas de Seguridad. .............................................. 58

Tabla 18: Caracterización de los activos. ................................................................................. 74

Tabla 19: Identificación de amenazas y vulnerabilidades......................................................... 75

Tabla 20: Formato de identificación de amenazas y vulnerabilidades. .................................... 78

Tabla 21: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013. .................. 81

Tabla 22: Cuestionario para clasificar la información de la empresa. .................................... 92

8

Lista de Gráficas

Gráfica 1: Porcentaje de riesgo. ................................................................................................ 47

Gráfica 2: Porcentaje de riesgo Centro de Control. .................................................................. 52

Gráfica 3: Nivel de cumplimiento por objetivo de control. ...................................................... 59

Gráfica 4: Nivel de cumplimiento por dominio. ....................................................................... 60

Gráfica 5: Estado de madurez de los controles. ........................................................................ 60

Lista de Figuras

Figura 1: Ciclo PDCA. .............................................................................................................. 25

Figura 2: Marco de trabajo para la gestión de riesgos. ............................................................. 29

Figura 3: Organigrama ENELAR E.S.P. .................................................................................. 36

Lista de Anexos

Anexo 1: Formato caracterización de los activos de información. ............................................ 74

Anexo 2: Checklist identificación del riesgo de los activos de información. ............................ 75

Anexo 3: Formato de identificación de amenazas y vulnerabilidades. ..................................... 78

Anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013. .................... 81

Anexo 5: Formato encuesta clasificación de la información de la empresa. ............................. 92

9

Resumen

Este proyecto de práctica social, empresarial o solidaria efectuado en la empresa de Energía

de Arauca ENELAR E.S.P., tuvo como fin la realización de una auditoria en seguridad de la

información con la cual se pudo identificar los riesgos a los que se encuentran expuestos los

activos de información de la empresa a causa de factores humanos, ambientales, internos,

externos, deliberados e involuntarios, entre otros.

Este proceso de identificación de riesgos se realizó mediante el uso de la metodología de

análisis y gestión de riesgos de sistemas de información “MAGERIT”, así mismo, se utilizó el

método de observación y herramientas de recolección de información como el checklist, para

identificar los controles o medidas existentes desplegados por la empresa para proteger la

información, a partir de estos métodos se pudo identificar los activos de información, sus

vulnerabilidades y las amenazas bajo las cuales se encontraban expuestos.

De igual manera, a través de la auditoria se pudo evaluar el grado de cumplimiento de la

empresa en base a los controles de la norma ISO/IEC 27002:2013, mediante la aplicación de

un checklist en el cual se abordaron algunos controles establecidos dentro de los dominios,

entre ellos: políticas de seguridad de la información, gestión de activos, control de acceso,

seguridad física y ambiental, seguridad en la operativa, seguridad en las telecomunicaciones,

adquisición, desarrollo y mantenimiento de los sistemas de información.

A partir de los resultados obtenidos en el análisis de riesgos y la evaluación de los controles

de la norma ISO/IEC 27002:2013, se elaboraron unas políticas de seguridad de la información

en las cuales se establecieron una serie de controles que permiten a la empresa mitigar los

riesgos y a su vez gestionar adecuadamente sus activos de información, garantizándoles su

confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

Palabras claves: Auditoria, análisis de riesgos, ISO/IEC 27002:2013, seguridad de la

información y políticas de seguridad de la información.

10

Abstract

This project of social practice, business or solidarity made in the Energy Company

ENELAR E.S.P. in Arauca, it had as finality performing an information security audit with

which were identified the risks to that are exposed the information assets of company because

of human factors, environmental, internal, external, deliberate and involuntary, among others.

This process of risk identification was conducted using the methodology of analysis and

risk management of information systems "MAGERIT", likewise, the method of observation

and data collection tools as the checklist, these were used to identify controls or existing

measures deployed by the company to protect the information, from these methods were

identified information assets, their vulnerabilities and threats under which they were exposed.

Similarly, through the audit was assessed the degree of compliance of the company in

accordance the controls of ISO / IEC 27002: 2013, through applying a checklist in which used

some controls established within domains, among them: policies on information security,

assets management, access control, physical and environmental security, security in the

operative, security in the telecommunications, acquisition, development and maintenance of

information systems.

From the results got in risk analysis and evaluation of the controls the ISO/IEC 27002:

2013 norm, security policies of information were developed in which established a set of

controls that allow the company mitigate risks and at the same time properly manage their

information assets, ensuring its confidentiality, integrity, availability, authenticity and

traceability.

Keywords: Audit, risk analysis, ISO/IEC 27002: 2013, information security and

information security policies.

11

Introducción

En la actualidad, los sistemas de información apoyan en gran medida la actividad gerencial

y la toma de decisiones en las empresas; incluso, la propia información y el acceso a la misma,

los productos y servicios que se intercambian se han convertido en sus principales activos. Por

ello, la gestión de la información no sigue siendo concebida como el resultado de un accionar

para preservar los otros activos de la empresa, sino que se ha transformado en un

condicionante estratégico para operar y/o competir en los sectores productivos y de esta

manera generar valor para la misma.

Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la

Seguridad de la Información y de las redes de datos en empresas y Organizaciones, cualquiera

que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen estructuras

empresariales que requieren que estos temas sean analizados con una estrategia diferente, ya

sea por la criticidad de la información que manejan, su dimensión o su estructura empresarial.

Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos

de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y

confidencialidad de la información y evaluarlos periódicamente con el objeto de evidenciar su

nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria de

seguridad de la información con la cual, se podrá determinar las vulnerabilidades del sistema y

en base a estos resultados los directivos podrán tomar decisiones y establecer las mejores

medidas para dar solución a los inconvenientes de seguridad.

Por consiguiente, gestionar adecuadamente la seguridad de la información no solo permite

a la empresa dar cumplimiento a sus obligaciones y regulaciones, sino que además genera

confianza en sus clientes y potenciales inversores, al garantizarles que cuentan con la

infraestructura tecnológica y las medidas de seguridad pertinentes para proteger la

información y realizar eficientemente las distintas actividades administrativas, financieras,

comerciales y operativas de la empresa.

12

De esta manera, en el presente documento se dará a conocer el desarrollo de las distintas

actividades realizadas en la ejecución de la respectiva auditoria en seguridad de la información

en la empresa de Energía de Arauca Enelar E.S.P. Este documento se encuentra estructurado

en cinco capítulos los cuales contienen los siguientes temas respectivamente: la descripción

del proyecto, un marco referencial donde se presenta una breve definición de los diferentes

términos utilizados, el análisis de riesgos asociados a los activos de información en la Empresa

caso de estudio, la evaluación de cumplimiento de los controles de la Norma ISO/IEC

27002:2013 y las políticas de seguridad de la información que se desarrollaron como valor

agregado de esta práctica social, empresarial o solidaria.

13

Capitulo

1

Presentación del proyecto de

grado

14

Introducción

En el presente capítulo se hablará acerca de las características principales del proyecto de

práctica social, empresarial o solidaria realizado en la Empresa de Energía de Arauca Enelar

E.S.P. a través de la Subdirección de sistemas, informática y telecomunicaciones que tuvo

como objeto la realización de una auditoria en seguridad de la información con el fin de

identificar los riesgos a los que se encuentra expuestos los activos de información de la

Empresa, y posteriormente generar estrategias que permitieran mitigar en gran medida esos

niveles de riesgo.

1.1. Planteamiento del problema

1.1.1 Descripción del problema.

La globalización de la información, la articulación de los procesos comerciales con las

herramientas tecnológicas, la aparición de la interacción de transacciones internacionales a

través de redes de comunicaciones como el Internet, el aumento de la movilidad empresarial o

áreas de trabajo, la masificación de las redes corporativas, entre otros valores son los que han

generado el interés de las organizaciones en la aplicación e implementación de estrategias que

contribuyan a minimizar la perdida de información, el cual es el insumo más preciado de toda

organización.

La información es uno de los activos más valiosos que poseen las organizaciones y por ello

las tecnologías de la información y la comunicación se han convertido en una herramienta

imprescindible para realizar cualquier actividad económica, así como un factor clave para

mejorar su productividad. Como consecuencia de su uso, las organizaciones se enfrenten a

múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de

información y comunicación. A su vez, internamente, se viven situaciones que podrían afectar

la seguridad por descuidos internos, falta de procedimientos, un software mal configurado o la

falta de políticas de seguridad. A esto se le suma la posible inexperiencia, falta de

conocimiento o capacitación del administrador de la red, que en muchos casos conlleva a

15

realizar actividades no planeadas que pueden afectar la operación diaria de los distintos

sistemas.

La infraestructura de TI (Tecnologías de Información), es parte vital dentro de toda

organización, debido a que son los elementos transversales a todos los procesos operativos y

funcionales. Dentro de los elementos que componen la infraestructura de TI, se pueden

mencionar todos y cada uno de los dispositivos activos y pasivos necesarios para la

transmisión de la información, al igual que los distintos medios guiados y no guiados que

permiten la interacción de la misma. La infraestructura de TI soporta todos los servicios y

aplicaciones necesarias para el desarrollo de la organización, siendo este un punto crítico a

salvaguardar.

Teniendo en cuenta la importancia que la información representa para las organizaciones,

es necesario administrar sus riesgos con procesos y tecnologías adecuadas que permitan

salvaguardarla y garantizar su respectiva disponibilidad, confidencialidad, integridad,

autenticidad y trazabilidad. Para ello, es indispensable hacer uso de técnicas que permiten

cuantificar el nivel de riesgo al que están sujetos los principales activos de información de las

organizaciones, de tal manera que la inversión en seguridad se oriente a analizar los problemas

que afecten principalmente la continuidad y operación diaria del organización, alcanzando así

la mejor relación costo/beneficio. Estas técnicas lo que buscan es identificar y valorar los

activos, vulnerabilidades, amenazas, e identificar los controles de seguridad ya

implementados. Una vez cuantificado el nivel de riesgo, se puede adoptar controles y medidas

de seguridad que permitan minimizar las amenazas, vulnerabilidades y disminuir los

incidentes de riesgos.

Como podemos ver el papel de la seguridad es importante y trascendente para garantizar la

operación diaria y para controlar los procesos críticos de las organizaciones, las cuales, hoy en

día están optando por hacer uso de estándares de seguridad de la información articuladas con

las TI (Tecnologías de Información), según lo demuestra el reporte entregado por el Instituto

de Gobierno de TI (IT Governance Institute – IGTI) en el Global Status Report on the

Governance of Enterprise It (GEIt) en el 2011, en el cual, se evidencia que la norma ISO

16

27000 ocupa el segundo lugar con un 21.1% de las normas más utilizadas por las

organizaciones. Igualmente, dentro de este reporte se plantea el aumento en desarrollo de

auditorías relacionadas con la infraestructura de TI, basados en los estándares ISO/IEC 11801.

Teniendo como referencia lo mencionado anteriormente y según visitas previas en donde se

evidenció que la organización caso de estudio no realiza periódicamente auditorias en TI que

le permita identificar los distintos riesgos a los que están expuestos continuamente sus activos.

Se pretende realizar una auditoria TI que permita identificar los activos con que cuenta la

entidad, las amenazas a que están expuestos y posteriormente, se harán las recomendaciones

pertinentes que permitan salvaguardar la información y la infraestructura de TI de la

organización.

1.1.2 Formulación del problema.

¿De qué forma el área de TI de la empresa de Energía de Arauca “ENELAR E.S.P.,”

mejorará sus procesos de calidad relacionados en infraestructura de TI y sistemas de

información utilizando como herramienta la auditoria?

1.2 Justificación

Actualmente, la seguridad de la información se ha convertido en el mayor soporte para

todas las empresas y esto se ha generado como consecuencia de las constantes amenazas como

lo son los sucesos naturales, accidentales e intencionales a los que están expuestos

continuamente los activos de las organizaciones. Igualmente, las redes de datos han sido

factores fundamentales para el éxito de las empresas siempre y cuando éstas estén disponibles

constantemente, no presenten interrupciones y su rendimiento sea óptimo.

Por ello, es fundamental que las empresas realicen periódicamente un estudio de riesgos

basado en una metodología que permita identificar claramente los activos, las amenazas y las

salvaguardas que poseen, para posteriormente diseñar estrategias que permitan el buen

funcionamiento del negocio.

17

Es por eso, que en este proceso se realizará una auditoria en seguridad de la información e

infraestructura de TI basada en la norma ISO/IEC 27002:2013 e ISO/IEC 11801 en la

Empresa de Energía de Arauca ENELAR ESP del Departamento de Arauca. La cual tiene el

propósito de identificar los puntos débiles de la empresa y a partir de ellos establecer medidas

que mitiguen los riesgos a que está expuesta la información.

En base a lo anterior, la Empresa de Energía de Arauca ENELAR ESP siendo una entidad

pública que ofrece su servicio a toda la población del Departamento de Arauca y en pro de

ejecutar lo propuesto en su misión, es primordial que realice un estudio de seguridad en el cual

se identifiquen los posibles riesgos derivados del uso de las Tecnologías de La información y

la Comunicación y de esta forma establezca medidas que le permitan proteger sus activos,

especialmente la información personal de sus usuarios. Y de esta manera puedan alcanzar los

objetivos previstos en su visión.

Además, antes los problemas presentados se propone realizar un análisis del diseño de la

red que permita mejorar los servicios prestados a todos sus usuarios, es decir optimizar a cada

uno de los componentes de esta y obtener un mayor desempeño.

El manejo centralizado de las aplicaciones informáticas permite obtener informes de

confiabilidad y fiabilidad en el menor tiempo, permitiendo de esta forma a los directivos y

autoridades realizar de una forma más ágil los análisis de la información. Con el

mejoramiento en las comunicaciones dentro de la empresa se facilitara la ejecución inmediata

del transporte de información y datos generando una mejora en los servicios prestados a los

distintos usuarios de la red.

1.3 Objetivos

1.3.1 Objetivo general.

Realizar una auditoría de Seguridad de la información e Infraestructura de TI basada en las

normas ISO/IEC 27000:2013 e ISO/IEC 11801 ANSI/TIA/EIA al área de TI de la Empresa

de Energía de Arauca ENELAR E.S.P. del Departamento de Arauca.

18

1.3.2 Objetivos específicos.

Planificar las distintas actividades que permitan realizar el proceso de auditoría.

Desarrollar la auditoria apoyada en una herramienta de recolección de datos.

Informar a los miembros del área de TI los hallazgos obtenidos en el proceso de la

auditoria.

Presentar mejoras al área de TI en cuanto a la seguridad de la información teniendo en

cuenta los hallazgos obtenidos.

1.4 Metodología

Para la realización de este proyecto se pretende utilizar las dos primeras fases del ciclo

PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo principal que es la auditoria en

seguridad de la información. Además, se usará MAGERIT que es una metodología de análisis

y gestión de riesgos de los sistemas de información elaborada por el Consejo Superior de

Administración Electrónica de España y el modelo SSE-CMM (Systems Security Engineering

– Capability Maturity Model) como parte del desarrollo de la primera etapa del ciclo PDCA,

donde se elabora y aplica los diferentes instrumentos para recopilar la información, se evalúan

los controles de seguridad de la información existentes, y posteriormente se crean las

respectivas medidas de seguridad que permitan proteger los activos de información de la

Empresa caso de estudio.

1.4.1 Tipos de Investigación.

Para la realización de este proyecto se utiliza una investigación cuantitativa y cualitativa.

La primera de ellas permite medir la cantidad y el nivel de efectiva de cada uno de los

controles de seguridad de la información existentes en la Empresa y en base a este resultado

generar medidas que protejan los activos de información. Por otra parte, con la investigación

cualitativa se puede analizar e interpretar los datos mediante la observación del entorno y

entrevistas hechas al personal que interactúa directamente con el sistema.

19

1.4.2 Población.

La población caso de estudio está constituida por cinco personas quienes integran la

Subdirección de sistemas, informática y telecomunicaciones, dos de nómina, un pasante del

SENA y dos contratistas.

Subdirector de sistemas, informática y telecomunicaciones

Coordinar de sistemas, informática y telecomunicaciones

Pasante del SENA

Contratista de apoyo para el desarrollo de software

Contratista de apoyo a las actividades del área

1.4.3 Muestra.

La muestra para la recopilación de la información necesaria en la ejecución de este

proyecto se selecciona de la población que constituye la Subdirección de sistemas, informática

y telecomunicaciones a través de la aplicación de la siguiente ecuación:

Z2NPQ

n=

e2(N-1) + Z

2PQ

(1.96)2*(5)*(0.5)*(0.5)

n= = 4,87

(0.08)2*(5-1)+ (1.96)

2*(0.5)*(0.5)

En donde:

N= población

n= tamaño de la muestra

Z= grado de confianza: 1.96

P= probabilidad de éxito: 0.5

Q= probabilidad de fracaso: 0.5

e= error: 0.08

20

La muestra seleccionada es:

Subdirector de sistemas, informática y telecomunicaciones

Coordinar de sistemas, informática y telecomunicaciones

Contratista de apoyo desarrollo de software

1.4.4 Instrumentos de Recolección de la Información.

Los instrumentos para recopilar la información son los siguientes:

El Checklist y el cuestionario, herramientas que permiten identificar los controles

existentes en la organización y su nivel de eficiencia, están compuestos por un conjunto

sistemático de preguntas que van dirigidas principalmente al personal de la Subdirección de

sistemas, informática y telecomunicaciones, quienes son los que poseen la mayor información

que interesa al presente proyecto.

Otro de los métodos a utilizar en este proceso práctico son las entrevistas y la observación

que tienen como objeto recopilar aquella información que no es posible obtener a través de los

cuestionarios y checklist.

21

Capitulo

2

Marco Referencial

22

Introducción

En este capítulo se describen las distintas reglamentaciones, teorías y conceptos

relacionados con la seguridad de la Información y datos relevantes de la Empresa caso de

estudio con el objeto de permitir al lector familiarizarse con los temas tratados en los próximos

capítulos y contextualizarse en el ámbito de ejecución de este proyecto.

2.1 Marco legal

En esta sección se expondrán las leyes que rigen lo concerniente a la protección de la

información y los datos a nivel nacional.

En la Constitución Política de Colombia en el Artículo 15 nos dice “Todas las personas

tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe

respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar

las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de

entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se

respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y

demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o

registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención

del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos

privados, en los términos que señale la ley.”

Ley 1266 de 2008 en su Artículo 4: Principios de la Administración de Datos e inciso (f):

Principio de Seguridad, promulga lo siguiente: “La información que conforma los registros

individuales constitutivos de los bancos de datos a que se refiere la ley, así como la resultante

de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas

que sean necesarias para garantizar la seguridad de los registros evitando su adulteración,

pérdida, consulta o uso no autorizado”.

23

Ley 1581 de 2012 en su Artículo 4: Principios para el tratamiento de datos personales e

inciso (g): Principio de Seguridad, promulga lo siguiente: “La información sujeta a

Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere

la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que

sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida,

consulta, uso o acceso no autorizado o fraudulento.”

Ley 1273 de 2009 denominada “de la protección de la información y los datos” describe las

distintas sanciones por los atentados contra la confidencialidad, la integridad y la

disponibilidad de los datos y de los sistemas informáticos. En su artículo 269C: Interceptación

de datos informáticos menciona lo siguiente: “El que, sin orden judicial previa intercepte datos

informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones

electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena

de prisión de treinta y seis (36) a setenta y dos (72) meses.”

2.2 Marco conceptual

Carlos Guerrero en el 2014 definió a la auditoria como “un proceso de apoyo estratégico a

la organización a través del cual es posible medir, revisar y evaluar el nivel de cumplimiento y

desempeño de eventos, procedimientos, actividades u objetos que se aborden.”

Las auditorías se pueden realizar haciendo uso de la Norma ISO 27002 que contiene

las mejores prácticas recomendadas en Seguridad de la información para desarrollar,

implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la

Información (SGSI).Ésta normativa hace parte de la ISO 27000.Ésta última está compuesta

por una serie de estándares de seguridad publicados por la Organización Internacional para la

Estandarización (ISO), la cual, es reconocida por ser una entidad no gubernamental que

promueve el desarrollo de la estandarización y las actividades con ella relacionada en el

mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la

cooperación en la esfera de lo intelectual, científico, tecnológico y económico, y la Comisión

Electrotécnica Internacional (IEC), que se caracteriza por ser la organización líder a nivel

http://es.wikipedia.org/wiki/Mejores_pr%C3%A1cticas

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3%B3n

http://es.wikipedia.org/wiki/Comisi%C3%B3n_Electrot%C3%A9cnica_Internacional

http://es.wikipedia.org/wiki/Comisi%C3%B3n_Electrot%C3%A9cnica_Internacional

24

mundial encargada de preparar y publicar Normas Internacionales para todas las tecnologías

eléctricas, electrónicas y afines.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su

tratamiento, dentro de una organización.

2.3 Marco Teórico

Activos.

Son los recursos que forman parte del sistema de la empresa como el hardware, software,

datos, infraestructura y personas. (Mifsud, 2012)

Activo crítico.

Son todos aquellos bienes materiales e inmateriales que al ser deteriorados, perdidos,

divulgados sin autorización, etc., perjudican el patrimonio organizacional. (Guerrero Julio,

2014)

Amenaza.

Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un

daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad

Informática, los Elementos de Información. (Erb, 2011)

Antivirus.

Es una aplicación dedicada a la prevención, búsqueda, detección y eliminación de

programas malignos en sistemas informáticos. (Alegsa, 2009)

Autenticidad.

Permite asegurar el origen de la información. La identidad del emisor puede ser validada,

de modo que se puede demostrar que es quien dice ser. (Alonso, s.f.)

25

Backup.

Es un duplicado o copia que se le hace a la información contenida en discos duros,

memorias usb, bases de datos, etc., y que es de gran importancia para su propietario.

Ciclo PDCA.

Según (Bernal, 2013), el ciclo PDCA, Es la sistemática más usada para implantar un

sistema de Gestión de la Seguridad de la Información. El nombre del Ciclo PDCA (o PHVA)

viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”.

También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards

Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a

cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al

mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y

eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El

círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final

se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son

reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta

metodología está enfocada principalmente para para ser usada en empresas y organizaciones.

Figura 1: Ciclo PDCA.

Fuente: (Bernal, 2013)

26

Las cuatro etapas que componen el ciclo son las siguientes:

Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los

objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo,

escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se

están usando ahora, etc. (Bernal, 2013)

Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente

conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios

a gran escala. (Bernal, 2013)

Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de

prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas

iniciales habrá que modificarla para ajustarla a los objetivos esperados. (Bernal, 2013).

Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los

resultados y compararlos con el funcionamiento de las actividades antes de haber sido

implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma

definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si

desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para

estudiar nuevas mejoras a implantar. (Bernal, 2013).

Confidencialidad.

Es una de las propiedades de los activos de información que garantiza que solo personas

autorizadas pueden acceder a esta. (Instituto Nacional de Tecnologías de la comunicación de

España, 2013)

Controles.

Son todos aquellos mecanismos desplegados con el fin de garantizar que los distintos

procesos se realicen correctamente.

27

Cuarto de telecomunicaciones.

Es el área o sitio específico de un edificio donde se encuentran ubicados todos los equipos

y dispositivos de telecomunicaciones.

Datos.

Son todos aquellos conceptos, cifras, instrucciones que se tienen aisladas entre sí, sin seguir

una organización o un orden específico. (MasterMagazine, 2009)

Disponibilidad.

Característica de los activos que implica el acceso a la información y los sistemas de

tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran.

(Instituto Nacional de Tecnologías de la comunicación de España, 2013)

Ficha de no conformidades.

Es un formato donde se establecen los aspectos que no cumplen con los criterios

establecidos en las normas.

Hardware.

Es la parte que puedes ver del computador, es decir todos los componentes de su estructura

física. (GCF Community Foundation International, s.f.)

Información.

Es el conjunto de datos, añadidos, procesados y relacionados, de manera que pueden dar

pauta a la correcta toma de decisiones según el fin previsto. (Informática moderna, 2008)

28

Integridad.

Cualidad de los activos de información donde se asegura que la información y sus métodos

de proceso se mantengan exactos y completos. (Instituto Nacional de Tecnologías de la

comunicación de España, 2013)

Mantenimiento correctivo.

“Es el proceso mediante el cual se realizan las correcciones de las averías o fallas, de un

equipo de cómputo, cuando éstas se presentan.” (Solutek, 2015)

Mantenimiento preventivo.

Es el conjunto de actividades que se desarrollan con el objeto de proteger los equipos de

posibles fallas, utilizando métodos de limpieza física y también métodos basados en el uso de

Software. (Informaticamoderna, 2008)

Metodología Magerit.

El (Ministerio de Hacienda y Administraciones Públicas de España, 2012) menciona que:

Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina

“Proceso de Gestión de los Riesgos”. En otras palabras, MAGERIT implementa el Proceso de

Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen

decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.

29

Magerit persigue los siguientes objetivos directos e indirectos, según el (Ministerio de

Hacienda y Administraciones Públicas de España, 2012) :

Directos:

Concienciar a los responsables de las organizaciones de información de la existencia

de riesgos y de la necesidad de gestionarlos.

Ofrecer un método sistemático para analizar los riesgos derivados del uso de

tecnologías de la información y comunicaciones (TIC).

Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo

control.

Indirectos:

Preparar a la Organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda en cada caso.

La metodología Magerit está compuesta por tres libros; método, catálogo de elementos y

guía de técnicas. Estos presentan una serie de pasos para analizar y tratar los riesgos, ofrecen

elementos estándar que ayuda a las organizaciones a centrarse en lo específico del sistema

objeto del análisis, y un conjunto de técnicas que se emplean habitualmente para llevar a cabo

proyectos de análisis y gestión de riesgos.

Figura 2: Marco de trabajo para la gestión de riesgos.

Fuente: (Ministerio de Hacienda y Administraciones Públicas de España, 2012)

30

Libro I: Método: En este libro se enmarcan las actividades de análisis y tratamiento dentro

de un proceso integral de gestión de riesgos. También describe opciones y criterios para el

tratamiento adecuado de los riesgos.

Libro II: Catalogo de elementos: En este libro se presenta, una clasificación de los

activos, distintas dimensiones para valorarlos y criterios para realizar su valoración. Además,

se plantean las amenazas típicas sobre los sistemas de información y las salvaguardas a

considerar para protegerlos.

Norma ISO/IEC 27000.

Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission), que

proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier

tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014).

A continuación se incorpora una relación con la serie de normas ISO 27000 y una

descripción de las más significativas:

Tabla 1: Normativa ISO/IEC 27000.

Normativa ISO/IEC 27000.

Norma

ISO/IEC Descripción

ISO

27000

Esta Norma Internacional proporciona una visión general de los sistemas de

gestión de seguridad de la información, y los términos y definiciones de uso

común en la familia de normas de SGSI. Esta norma es aplicable a todo tipo y

tamaño de organización (por ejemplo, empresas comerciales, agencias

gubernamentales, organizaciones sin ánimo de lucro). (International Organization

for Standardization/International Electrotechnical Commission, 2014)

ISO

27001

Especifica los requisitos para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar los sistemas de gestión de seguridad de la información

(SGSI) formalizado dentro del contexto de los riesgos globales de negocio de la

organización. Especifica los requisitos para la aplicación de los controles de

31

seguridad de la información adaptados a las necesidades de las organizaciones o

partes de las mismas. (International Organization for

Standardization/International Electrotechnical Commission, 2014)

ISO

27002

Proporciona una lista de objetivos de control comúnmente aceptados y las

mejores prácticas para ser utilizadas como una guía de implementación en la

selección y la aplicación de controles para lograr la seguridad de la información.

(International Organization for Standardization/International Electrotechnical

Commission, 2014)

ISO

27003

Proporciona una guía práctica de implementación y proporciona más información

para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un

SGSI según ISO / IEC 27001. (International Organization for


ISO

27004

Proporciona orientación y asesoramiento sobre el desarrollo y uso de las

mediciones con el fin de evaluar la eficacia del SGSI, los objetivos de control y

controles utilizados para implementar y administrar la seguridad de la

información, tal como se especifica en la norma ISO / IEC 27001. (International

Organization for Standardization/International Electrotechnical Commission,

2014)

ISO

27005

Proporciona directrices para la gestión de riesgos de seguridad de la información.

El método descrito en esta norma es compatible con los conceptos generales

especificados en la norma ISO / IEC 27001. (International Organization for


ISO

27006

Especifica los requisitos y proporciona una guía para los organismos que realizan

la auditoría y la certificación del SGSI según ISO / IEC 27001. Ésta norma está

destinada principalmente para apoyar la acreditación de organismos de

certificación que ofrecen certificación SGSI según ISO / IEC 27001.

(International Organization for Standardization/International Electrotechnical

Commission, 2014)

ISO

27007

Proporciona orientación sobre la realización de auditorías de SGSI, así como

orientación sobre la competencia de los auditores de sistemas de gestión de

seguridad de la información. (International Organization for


Fuente: Elaborado por el autor del documento.

32

Políticas de seguridad.

La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera

de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de

seguridad informática dentro de la misma. (Universidad Nacional Autónoma de México,

2015)

Riesgo.

Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad, la

cual puede estar prevista. (Téllez, 1988)

Salvaguarda.

Son todos aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.

(Ministerio de Hacienda y Administraciones Públicas de España, 2012)

Seguridad de la Información.

Tiene como fin la protección de la información y de los sistemas de la información del

acceso, uso, divulgación, interrupción o destrucción no autorizada. (Asociación Española para

la Calidad, 2014).

Servidor.

Un servidor es un equipo informático que forma parte de una red y provee servicios a otros

equipos cliente. (Anerdata, s.f.)

33

Sistema de gestión de seguridad de la información SGSI.

Según (INTECO, 2014), SGSI es una herramienta de gran utilidad y de importante ayuda

para la gestión de las organizaciones. Además del concepto central sobre el que se construye la

norma ISO 27001.

Software.

Son todos los programas informáticos que hacen posible la realización de tareas específicas

dentro de un computador. (GCF Community Foundation International, s.f.)

Software malicioso.

Es un programa diseñado para dañar la información contenida en una computadora e

incluso a esta misma. (Google, 2015)

Trazabilidad.

Propiedad de los activos de información que permite asegurar que en todo momento se

podrá determinar quién realizó cierta actividad y en qué momento lo hizo. (Ministerio de

Hacienda y Administraciones Públicas de España, 2012)

Vulnerabilidad.

Es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad

que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En

otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una

amenaza o de recuperarse de un daño. (Erb, 2011)

34

2.4 Marco contextual

La empresa de Energía eléctrica ENELAR E.S.P, se encuentra ubicada en la carrera 22 #

22-46 en el barrio siete de agosto del Municipio de Arauca.

Fue creada mediante Acuerdo 004 de 1985 del Consejo Intendencial de Arauca, como una

entidad descentralizada con personería jurídica, autonomía administrativa y patrimonio propio,

como soporte institucional para la prestación del servicio de energía eléctrica a los araucanos,

teniendo como referente el inicio en la explotación del complejo petrolífero de Caño Limón y

la interconexión al Sistema Interconectado Nacional -SIN- a través de la Línea Bucaramanga –

Caño Limón - Arauca, aprobada por el Consejo de Ministros el 3 de diciembre de ese año,

ante la necesidad de garantizar el suministro de energía necesario para la actividad petrolífera

que en gran escala se iniciaba en la entonces Intendencia Nacional de Arauca. (ENELAR

E.S.P., 2013)

2.4.1 Misión.

“Ofrecer servicio con calidad en las áreas de energía, optimizando el uso de los recursos

humanos, naturales, económicos y tecnológicos” (ENELAR E.S.P., 2013).

2.4.2 Visión.

“Para el año 2015, Enelar ESP será una empresa modelo en la comercialización y

distribución de energía e innovadora en ciencia, tecnología y comunicaciones, con

responsabilidad social, haciendo uso óptimo de los recursos para el beneficio de la comunidad

Araucana” (ENELAR E.S.P., 2013).

35

2.4.3 Valores Corporativos.

(ENELAR E.S.P., 2012) Define los siguientes valores corporativos:

Compromiso: Los funcionarios de ENELAR E.S.P trabajan conjuntamente para lograr el

cumplimiento de los objetivos de la organización guiados por la política de calidad.

Integridad: Responsabilidad permanente de los funcionarios de ENELAR ESP por realizar

prácticas laborales enmarcadas dentro de los parámetros de disciplina, orden, respeto y

entusiasmo.

Calidad: Los servidores públicos de ENELAR E.S.P., darán atención amable, oportuna y a

satisfacción del cliente en la prestación de los servicios, en procura de la eficacia y la

eficiencia.

Honestidad: Los servidores públicos de ENELAR ESP, actuarán con rectitud, honradez y

veracidad en todos y cada uno de los actos laborales.

Tolerancia: Los empleados de ENELAR ESP mostrarán respeto hacia las opiniones,

prácticas, actitudes y comportamientos individuales de los demás.

Ética: Los servidores públicos de ENELAR ESP actuarán de acuerdo con el conjunto de

preceptos morales y normas legales y profesionales que rige la conducta de los funcionarios.

36

2.4.4 Estructura organizacional.

Figura 3: Organigrama ENELAR E.S.P.

Fuente: (ENELAR E.S.P., 2013)

37

Capitulo

3

Análisis de Riesgos Asociados a las TI

en la Empresa de Energía de Arauca

38

Introducción

En el presente capítulo se evidencia el desarrollo del proceso de análisis de riesgos

realizado en la empresa caso de estudio siguiendo los pasos planteados en la Metodología de

análisis y gestión de riesgos de los sistemas de información - Magerit. En esta sección no se

muestra alguna de la información relacionada con la empresa por motivos de mantener la

confidencialidad de la misma.

Para llevar a cabo el análisis de riesgos, inicialmente se hizo la respectiva identificación de

los activos de la empresa en mención, se determinaron aquellos que eran más críticos; se

identificaron las amenazas asociadas a estos últimos y las respectivas salvaguardas

desplegadas. Posteriormente, se identificaron las vulnerabilidades y amenazas asociadas a los

activos críticos y por último se evaluaron los riegos.

3.1 Identificación y clasificación de los activos

La identificación de los activos se logró a través de entrevistas realizadas al personal del

Área de TI donde ellos suministraron el inventario de activos de la empresa, igualmente, por el

método de observación, a través de las respectivas visitas al área de TI y al cuarto de

Telecomunicaciones. Para cada uno de los activos identificados se determinó una serie de

características, las cuales se plantean en la Metodología de Análisis y Gestión de Riesgos de

los Sistemas de Información – MAGERIT en el libro I: Método, en este se describe claramente

el proceso para llevar a cabo el análisis y la gestión de los riesgos.

En la caracterización de los activos fue necesario determinar para cada uno de ellos una

serie de características que se encuentran descritas en MAGERIT, como código, nombre,

descripción, tipo (Según clasificación propuesta por Magerit en el Libro II: Catalogo de

elementos), unidad responsable (se identifica la unidad que lo mantiene, es decir, la encargada

de que el activo funcione correctamente, y la unidad que lo explota, en otras palabras, la que

hace uso de este ), persona responsable (es necesario identificar la persona responsable por la

integridad del activo y aquella que se encarga de operarlo), ubicación y cantidad. El formato

39

para la caracterización de los activos se presenta en el anexo 1, pero en este no se consigna la

información de los activos de la empresa porque ésta sólo es de interés de la misma.

Luego de haber realizado la caracterización de los activos, se prosiguió a su respectiva

clasificación teniendo en cuenta lo planteado en MAGERIT, en el libro II: Catalogo de

Elementos, en este se describen los tipos de activos, las distintas dimensiones para hacer su

respectiva valoración, además, en este se presenta la clasificación de amenazas y salvaguardas.

Como resultado de esta actividad se obtuvo la siguiente clasificación (En la clasificación de

Datos y/o información, software y personal no se presenta de forma específica los activos

identificados porque es necesario mantener la confidencialidad de la información):

Tabla 2: Clasificación de los activos.

Clasificación de los activos.

Tipo de Activo Activo

Datos y/o Información Información contenida en las bases de datos sobre usuarios,

estados financieros, etc.

Software Sistemas utilizados por la empresa para realizar las respectivas

operaciones.

Equipamiento

Informático (Hardware)

Servidor de Base de Datos

Servidor Proxy

Servidor de Intranet

Pc’s

Portátiles

Switch

Router

Firewall

Impresoras

Redes de Comunicaciones Intranet

Red telefónica

40

Red de datos

Red Inalámbrica

Internet

Soportes de Información Disco Duro Externo

Equipamiento Auxiliar

Ups

Fibra Óptica

Aire Acondicionado

Instalaciones Cuarto de Telecomunicaciones

Personal Miembros del área de TI


3.2 Determinación de activos críticos

Después de clasificados los activos, se procedió a valorarlos teniendo en cuenta las distintas

dimensiones de valoración, definidas por (Ministerio de Hacienda y Administraciones

Públicas, 2012) como “las características o atributos que hacen valioso un activo y se utilizan

para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe

un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo

se ve dañado en dicha dimensión.”, y propuestas en la Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información – MAGERIT, en el libro II: Catalogo de Elementos,

en este se establecen las dimensiones integridad, disponibilidad, confidencialidad, autenticidad

y trazabilidad para determinar el valor que representa cierto activo para la empresa.

La valoración de los activos, se realizó a través de una entrevista hecha al coordinador de

Sistemas, informática y telecomunicaciones de la empresa caso de estudio, a quien se le

explico en qué consistía la actividad y seguidamente se procedió a hacerle los interrogantes

planteados en la tabla “Dimensiones de valoración” y como respuesta a cada uno de ellos, él

debía seleccionar uno de los niveles establecidos en la tabla “Escala de valoración” para

determinar el valor de cada uno de los activos en las distintas dimensiones.

A continuación, se hace una descripción de los términos usados en la Valoración de

Activos, con el objeto de facilitar su comprensión:

41

Tabla 3: Abreviaturas.

Abreviaturas.

Abreviaturas

C: Confidencialidad

I: Integridad

D: Disponibilidad

A: Autenticidad

T: Trazabilidad


Tabla 4: Dimensiones de Valoración.

Dimensiones de Valoración.

Dimensiones de

valoración Descripción

Disponibilidad ¿Qué nivel de daño representaría para la empresa que el activo no

estuviera disponible?

Integridad ¿Qué nivel de daño representaría para la empresa que los datos

fueran modificados fuera de control?

Confidencialidad ¿Qué nivel de daño representaría para la empresa que el dato

fuera conocido por personas no autorizadas?

Autenticidad ¿Qué nivel de daño representaría para la empresa que quien

accede al servicio no sea realmente quien se cree?

Trazabilidad ¿Qué nivel de daño representaría para la empresa que no quedara

constancia del uso del servicio o el acceso a los datos?


42

Tabla 5: Escala de Valoración.

Escala de Valoración.

Ítem Descripción

1 Daño Muy bajo

2 Daño Bajo

3 Daño Medio

4 Daño alto

5 Daño muy alto


Tabla 6: Valoración de activos.

Valoración de activos.

ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN

Escala de 1 - 5

C I D A T

Red de datos 5 5 5 5 5

Servidor de base de datos 5 5 5 5 5

Servidor de Intranet 5 5 5 5 5

Servidor Proxy 5 5 5 5 5


El cuadro anterior presenta la valoración de los activos considerados como críticos en cada

una de las distintas dimensiones. Estos fueron identificados como activos críticos tomando

como base el resultado de la valoración obtenida y teniendo en cuenta que estos son la fuente

de almacenamiento, procesamiento y transporte de la información, y que representan la base

para la realización de las operaciones de la empresa.

3.3 Identificación de salvaguardas existentes aplicadas a los activos críticos

Las salvaguardas de los activos críticos que se identificaron a través de entrevistas al

personal de del área de TI fueron las siguientes:

43

Mantenimiento Preventivo de Hardware.

Se tienen establecidos determinados periodos para realizar mantenimiento a los distintos

equipos de la empresa de manera que se garantice su correcto funcionamiento.

Backup de la información de las bases de datos.

Las respectivas copias de la información contenida en las bases de datos, se realizan todos

los días a una hora establecida.

Afinamiento de las bases de datos.

Con la cual se busca la optimización de los procesos de la empresa y dar mejor uso a los

recursos de TI.

3.4 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos

En una de las entrevistas efectuadas al coordinador de Sistemas, Informática y

Telecomunicaciones de la empresa caso de estudio, se le aplicó el checklist de identificación

del riesgo mediante el cual se pudo identificar las amenazas y vulnerabilidades asociadas a los

activos críticos. Cada una de las preguntas descritas en este checklist se encuentra relacionada

a una amenaza y a una vulnerabilidad, las cuales están definidas en el formato de

identificación de amenazas y vulnerabilidades. La forma como se estableció la relación fue a

través de su respectiva numeración.

Los dos formatos utilizados para la identificación de vulnerabilidades y amenazas de los

activos críticos de información de la Empresa de Energía de Arauca se encuentran ubicados en

el anexo 2 y 3 del presente documento:

La siguiente tabla muestra cada uno de los activos críticos de la empresa caso de estudio a

quienes se les identifico su respectiva vulnerabilidad y se les asocio una posible amenaza que

44

podría afectarlos. En éste cuadro se presenta sólo determinada información y de manera muy

general, esto se hace con el objeto de no divulgar información que sólo es de interés para la

empresa.

Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos.

Vulnerabilidades y Amenazas de los Activos Críticos.

ACTIVO VULNERABILIDAD AMENAZA


Servidor Proxy


Red de datos

Humedad Se genere un corto circuito.

Electricidad estática Daños a los equipos.

Polvo Disminución del

rendimiento de los equipos.

Red de datos Diseño de red no

documentado, lo que dificulta

la identificación de puntos

exactos en caso de ocurrir

daños en la red.

Detención parcial de

determinadas actividades de

la empresa.

Red de datos Inexistencia de un registro de

fallas de la red.

No se minimiza la

posibilidad de que los

sucesos ocurridos

anteriormente se vuelvan a

generar.


Servidor Proxy


Red de datos

No están actualizadas las

políticas de seguridad

informática.

No se controlen

adecuadamente los distintos

sucesos que afectan los

equipos y la información.


3.5 Determinación del riesgo

Para determinar el riesgo de los activos críticos de la empresa caso de estudio, se tomó

como guía la siguiente matriz de riesgo, en la cual se establece una escala de valoración de 1 a

4 para determinar la probabilidad de explotación de una vulnerabilidad y la probabilidad de

ocurrencia de una amenaza:

45

Tabla 8: Matriz de riesgos.

Matriz de riesgos.

Análisis de Riesgos

Riesgo = Amenaza x Vulnerabilidad

Pro

bab

ilid

ad d

e

Explo

taci

ón

(Vuln

erab

ilid

ad)

4 4 8 12 16

3 3 6 9 12

2 2 4 6 8

1 1 2 3 4

1 2 3 4

Probabilidad de Ocurrencia

(Amenaza)

Valores

Alto Riesgo (12 - 16)

1 = Insignificante

2 = Baja

3 = Mediana

4 = Alta

Medio Riesgo (8 - 9)

Bajo Riesgo (1 -6)

Fuente: (Erb, 2011)

La siguiente tabla se utilizó para establecer el nivel de probabilidad de explotación de las

vulnerabilidades y la probabilidad de ocurrencia de las amenazas y posteriormente para

determinar el nivel de riesgo al que están expuestos los activos críticos de la empresa. Esta

actividad se desarrolló mediante entrevista con el Coordinador de Sistemas, informática y

telecomunicaciones de la empresa caso de estudio, quien fue designado por el Subdirector del

área para realizar el acompañamiento durante el desarrollo de todas las actividades de este

proyecto. La tabla no contiene la valoración asignada para cada una de las vulnerabilidades y

amenazas, ni la identificación de los niveles de riesgos a los que está expuesta la empresa.

46

Tabla 9: Análisis de riesgos.

Análisis de riesgos.

ACTIVO VULNERABILIDAD P.E AMENAZA P.O NIVEL

RIESGO

Servidor de

Base de Datos

Servidor Proxy

Servidor de

Intranet

Red de datos

Humedad

Se genere un corto

circuito

Electricidad estática

Daños a los

equipos

Polvo

Disminución del

rendimiento de los

equipos

Red de datos Diseño de red no

documentado, lo que

dificulta la identificación

puntos exactos en caso de

ocurrir daños en la red.

Detención parcial

de determinadas

actividades de la

empresa.

Red de datos Inexistencia de un registro

de fallas de la red

No se minimiza la

posibilidad de que

los sucesos

ocurridos

anteriormente se

vuelvan a generar.

Servidor de

Base de Datos

Servidor Proxy

Servidor de

Intranet

Red de datos

Políticas de seguridad

desactualizadas

No se contralan

adecuadamente los

distintos sucesos

que afectan los

equipos y la

información


Por último, se representó mediante un gráfico el porcentaje por cada uno de los niveles de

riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel de riesgo

se encontraban los activos de información de la empresa en ese momento.

47

Gráfica 1: Porcentaje de riesgo.


Luego de realizado el análisis de riesgos de manera general a la Empresa de Energía de

Arauca y la posterior entrega de resultados a la Subdirección de Sistemas, Informática y

Telecomunicaciones, el Subdirector de esta área solicito que el mismo proceso se realizará al

Centro de Control ubicado en el casco urbano del Municipio de Arauca con el objeto de

identificar posibles puntos débiles que puedan afectar la información y operatividad de la

Empresa desde este punto.

Para la realización del análisis de riesgos al Centro de Control se usó la misma metodología

y se aplicaron los mismos formatos, por ello, a continuación sólo se presenta el resultado

obtenido de este proceso.

3.6 Identificación y clasificación de los activos de información del Centro de Control

A continuación se presenta la clasificación de los activos de información del Centro de

Control de Enelar E.S.P., los cuales fueron identificados a través del método de observación y

entrevistas realizadas al personal que opera en estas instalaciones:

27%

46%

27%

Porcentaje de Riesgo de los activos de información de Enelar E.S.P.

Bajo Medio Alto

48

Tabla 10: Clasificación de activos de información del Centro de Control de Enelar E.S.P.

Clasificación de activos de información del Centro de Control de Enelar E.S.P.

Tipo de Activos Activos

Datos y/o Información Información relacionada con factores eléctricos.

Software SCADA

OMS

Equipamiento

Informático

(Hardware)

Servidor Scada

Servidor Oms

Servidor Elastix

Switchs

Radios GPRS

Relojes sincronizadores

Controlador de subestación

Sky Edge II

Pc’s

Impresoras

Redes de

comunicaciones

Intranet

Red telefónica

Red de datos

Red Inalámbrica

Internet

Equipamiento Auxiliar

Ups

Fibra Óptica

Aire Acondicionado

Instalaciones Cuarto de Telecomunicaciones del centro de control

Personal Ingenieros jefe del Centro de Control


3.7 Determinación de activos críticos de información del centro de control

Los activos críticos fueron determinados mediante entrevista con el Ingeniero encargado de

la operatividad del Centro de Control quien realizó su respectiva valoración teniendo en

cuenta las distintas dimensiones de valoración de los activos de información y las cuales se

plantean en el análisis anterior.

49

A continuación se presenta la valoración de los activos críticos, los cuales se identificaron

de esta manera dado el resultado de la valoración obtenida y teniendo en cuenta que estos son

la fuente de almacenamiento, procesamiento y transporte de la información, y en caso de

generarse fallas en estos afectarían el normal desarrollo de las operaciones de la empresa.

Tabla 11: Valoración de los Activos de información del Centro de control de Enelar E.S.P.

Valoración de los Activos de información del Centro de control de Enelar E.S.P.

ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN

Escala de 1 - 5

C I D A T

Servidor Scada 3 5 1 4 5

Servidor OMS 3 5 1 4 5

Servidor Elastix 2 5 5 4 2

Red de datos 3 5 5 3 3


3.8 Identificación de salvaguardas existentes aplicadas a los activos críticos del centro de

control

Las salvaguardas de los activos críticos que se identificaron a través de entrevistas al

personal del Centro de Control de Enelar E.S.P. son las siguientes: Mantenimiento Preventivo

y correctivo de Hardware, y Backup de la información contenida en los servidores.

3.9 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos del

centro de control

A continuación se establecen una serie de vulnerabilidades y amenazas asociadas a los

activos críticos del Centro de Control. Estas fueron identificadas a través de la aplicación del

mismo instrumento de recolección de datos (Checklist) utilizado en el análisis anterior.

50

Tabla 12: Vulnerabilidades y Amenazas de los activos críticos del Centro de Control.

Vulnerabilidades y Amenazas de los activos críticos del Centro de Control.

ACTIVO VULNERABILIDAD AMENAZA

Servidor Scada

Servidor OMS

Servidor Elastix

Red de datos

La infraestructura tecnológica del

centro de control no es

administrada directamente por un

profesional de esta área.

Perdida de información y/o

deterioro de los equipos por el

manejo inadecuado de los mismos

o la atención inoportuna en caso de

presentarse fallos.

Servidor Scada

Servidor OMS

Las cuentas de usuario para el

acceso al sistema en el Centro de

control no son administradas por

el área de sistemas de la empresa.

Deterioro, hurto y/o pérdida de

información por no establecer

correctamente los privilegios de

acceso de los usuarios.

Red de datos Los activos físicos de

información del Centro de control

no tienen asignado un

responsable directo.

Pérdida o deterioro de los equipos

por no existir un responsable

directo por cada uno de ellos.

Servidor Scada

Servidor OMS

Red de datos

Los pasantes usan las cuentas de

usuario de los ingenieros jefe para

realizar sus labores.

Personal no autorizado tenga

acceso información sensible

almacenada en los servidores.

Red de datos No todas las fallas que se generan

en la red de datos son registradas.

No se atienda eficientemente las

fallas reincidentes debido a la

inexistencia de un registro.


3.10 Determinación del riesgo de los activos críticos del centro de control

En la siguiente tabla se establece el nivel de probabilidad de explotación de una

vulnerabilidad y la probabilidad de ocurrencia de una amenaza y posteriormente se determina

el nivel de riesgo al que están expuestos los activos críticos del centro de control de Enelar

E.S.P. Al igual que en el análisis anterior en este cuadro se omite la valoración asignada a las

vulnerabilidades y amenazas, y la posterior determinación del riesgo.

51

Tabla 13: Análisis de riesgos de los activos críticos del Centro de Control.

Análisis de riesgos de los activos críticos del Centro de Control.

ACTIVO VULNERABILIDAD P.E. AMENAZA P.O. NIVEL DE

RIESGO

Servidor Scada

Servidor OMS

Servidor Elastix

Red de datos

La infraestructura tecnológica del centro

de control no es administrada

directamente por un profesional de esta

área.

Perdida de información y/o

deterioro de los equipos por el

manejo inadecuado de los mismos o

la atención inoportuna en caso de

presentarse fallos.

Servidor Scada

Servidor OMS

Las cuentas de usuario para el acceso al

sistema en el Centro de control no son

administradas por el área de sistemas de

la empresa.

Deterioro, hurto y/o pérdida de

información por no establecer

correctamente los privilegios de

acceso de los usuarios.

Red de datos Los activos físicos de información del

Centro de control no tienen asignado un

responsable directo.

Pérdida o deterioro de los equipos

por no existir un responsable directo

por cada uno de ellos.

Servidor Scada

Servidor OMS

Red de datos

Los pasantes usan las cuentas de usuario

de los ingenieros jefe para realizar sus

labores.

Personal no autorizado tenga acceso

información sensible almacenada en

los servidores.

Red de datos No todas las fallas que se generan en la

red de datos son registradas.

No se atienda eficientemente las

fallas reincidentes debido a la

inexistencia de un registro.


52

Gráfica 2: Porcentaje de riesgo Centro de Control.


La grafica anterior representa en porcentajes cada uno de los niveles de riesgos

evidenciados en el Centro de Control.

33%

45%

22%

Porcentaje de Riesgo de los activos de información del Centro de Control de ENELAR E.S.P.

Bajo Medio Alto

53

Capitulo

4

Evaluación de Cumplimiento de los

controles de la Norma ISO/IEC

27002:2013 en la Empresa de Energía

de Arauca

54

Introducción

En el presente capítulo se evidencia todo el proceso que se llevó a cabo para evaluar el

estado en materia de seguridad de la información de la Empresa caso de estudio en base a los

controles seleccionados de la Norma ISO/IEC 27002:2013.

4.1 Elaboración del checklist en base a la Norma ISO/IEC 27002:2013

Antes de iniciar la elaboración del instrumento de recolección fue necesario seleccionar los

controles de la Norma ISO/IEC 27002:2013, con los cuales, se evaluó la seguridad de la

información en la empresa. De los 114 controles establecidos en la norma anteriormente

mencionada, se seleccionaron 54 porque son los más acordes con la funcionalidad de la

empresa desde el ámbito de las Tecnologías de la información.

Estos se evidencian en el formato del checklist (ver anexo 4) que se aplicó mediante

entrevista al Coordinador de Sistemas, informática y telecomunicaciones con el objetivo de

evaluar el nivel de cumplimiento de la empresa en cuanto a controles de seguridad de la

información.

4.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013

La evaluación de cumplimiento de cada uno de los 54 controles seleccionados de la norma

ISO/IEC 27002:2013, se realizó de acuerdo a las respuestas obtenidas mediante la aplicación

del checklist y en base a las cuales se determinó el nivel de madurez de los controles,

siguiendo el modelo de madurez de procesos establecidos en la norma ISO 21827:2008.

Además, se estableció una valoración de bajo, medio, alto para cada uno de los dominios,

objetivos de control y controles para evidenciar cuales de los controles evaluados en la

Empresa de Energía de Arauca son los más críticos o que no se han gestionado de manera

adecuada.

55

Con el objeto de facilitar la comprensión del proceso realizado, se hace una breve pero

concisa descripción de los términos usados en el desarrollo de esta actividad, la cual está

plasmada en la tabla evaluación de controles.

Tabla 14: Niveles de Madurez.

Niveles de Madurez.

NIVELES DE MADUREZ

ISO/IEC 21827:2008

Criterio Porcentaje Descripción

No realizado 0% No hay controles de seguridad de la información

establecidos.

Realizado

informalmente 20%

Existen procedimientos para llevar a cabo ciertas

acciones en determinado momento. Estas prácticas

no se adoptaron formalmente y/o no se les hizo

seguimiento y/o no se informaron adecuadamente.

Planificado 40%

Los controles de seguridad de la información

establecidos son planificados, implementados y

repetibles.

Bien definido 60%


además de planificados son documentados,

aprobados e implementados en toda la

organización.

Cuantitativamente

controlado 80%

Los controles de seguridad de la información están

sujetos a verificación para establecer su nivel de

efectividad.

Mejora continua 100%


definidos son periódicamente revisados y

actualizados. Estos reflejan una mejora al

momento de evaluar el impacto.


56

En la tabla anterior se modificó el tipo de valor para establecer el grado de cumplimiento de

los controles. En la norma se maneja una escala de 0 a 5 respectivamente para cada criterio y

en la realización de esta actividad se maneja un porcentaje de 0% a 100%.

Tabla 15: Valoración de Controles.

Valoración de Controles.

VALORACIÓN DE CONTROLES

Porcentaje Escala Representación

0% - 30% Bajo

31% - 74% Medio

75% - 100% Alto


La valoración de los controles se estableció de la siguiente manera, un porcentaje del 0-

30% para los controles con más bajo nivel de cumplimiento y por ende son más críticos. Del

31-74% para aquellos controles que se han desarrollado pero que en ocasiones no se

documentan. Por último, un porcentaje del 75-100% para identificar los controles que además

de haber sido planificados y documentados, están sujetos a revisión y actualizaciones con

cierta periodicidad.

A continuación sólo se muestra el porcentaje de cumplimiento para los controles del

dominio políticas de seguridad. La evaluación realizada a los otros controles de la norma

ISO/IEC 27002:2013 fueron omitidos de este documento a fin de mantener la confidencialidad

de la información de la empresa caso de estudio. Los demás controles que fueron evaluados se

pueden evidenciar en el anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC

27002:2013.

57

Tabla 16: Evaluación de controles.

Evaluación de controles.

Norma Sección Puntos a Evaluar Cumplimiento

5 POLITICAS DE SEGURIDAD 20%

5,1 Directrices de la Dirección en seguridad de la

información 20%

5.1.1 Conjunto de

políticas para la

seguridad de la

información

Existen políticas de seguridad

desactualizadas que continúan

rigiendo el uso de los activos de la

información, estas no fueron

publicadas y comunicadas al

personal de la empresa en su

debido momento.

Realizado

informalmente 20%

5.1.2 Revisión de las

políticas para la

seguridad de la

información

Las políticas de seguridad están

sujetas a revisión, pero esta

actividad no se realiza en base a un

procedimiento establecido que

permita hacerle las respectivas

mejoras en determinado momento.

Realizado

informalmente 20%


4.3 Relación de Fichas de No conformidades y recomendaciones

En este apartado se relacionan los controles de la Norma ISO/IEC 27002:2013 que

presentan un porcentaje de cumplimiento menor o igual al 60%.

Estos controles se consignan en una Ficha de No Conformidades, la cual está constituida de

la siguiente manera: La primera Fila corresponde al nombre del Dominio evaluado, en la

segunda fila se ubica el numeral que identifica a cada control con su respectiva inconformidad

o aspecto por el cual la empresa no está cumpliendo la norma, y por último, en la tercera fila

se plantean las posibles soluciones o acciones que la empresa debe realizar con el objeto de

58

mejorar el estado de cumplimiento de cada uno de los controles y de esta manera garantizar la

seguridad de los activos de la información.

En este numeral sólo se muestra la ficha de no conformidad del dominio políticas de

seguridad a manera de ejemplo, la información contenida en las demás fichas sólo es de

interés para la empresa.

Tabla 17: Ficha de No Conformidades: Políticas de Seguridad.

Ficha de No Conformidades: Políticas de Seguridad.

Políticas de Seguridad

Descripción de las No Conformidades

5.1.1 Se identificó la existencia de políticas de seguridad desactualizadas.

5.1.2 Las políticas de seguridad están sujetas a revisión, pero esta actividad hasta el momento

no genera modificaciones a la misma.

Acción correctora Propuesta

Formular políticas de seguridad en base a los 54 controles aplicados en esta evaluación.

Establecer periodos para la revisión de las políticas de seguridad, lo recomendado sería una

vez al año o cuando se implementen nuevas tecnologías.


59

4.4 Presentación de resultados

Luego de evaluados los diferentes controles se presenta gráficamente los resultados

obtenidos tras la evaluación de los 54 controles de la Norma ISO/IEC 27002:2013 en la

Empresa de Energía de Arauca Enelar ESP. Estos se presentan de la siguiente manera:

inicialmente se hace una descripción del porcentaje de cumplimiento de los controles

evaluados categorizándolos por objetivos de control, luego se muestra una gráfica con el

porcentaje de cumplimiento de cada uno de los dominios y por último, se presenta una gráfica

con el porcentaje de cumplimiento de cada uno de los niveles de madurez de los distintos

controles evaluados.

Con el objeto de mantener la confidencialidad de la información de la empresa caso de

estudio, las siguientes gráficas no contienen la información real del proceso realizado sino que

se hacen a manera de ejemplo.

Gráfica 3: Nivel de cumplimiento por objetivo de control.


0%

20%

40%

60%

80%

100%

120%

Dir

ectr

ices

de

la D

irec

ció

n e

nse

guri

dad

de

la in

form

ació

n

Res

po

nsa

bili

dad

so

bre

los

Act

ivo

s

Cla

sifi

caci

on

de

la In

form

acio

n

Man

ejo

de

los

sop

ort

es

de

alm

ace

nam

ien

to

Req

uis

ito

s d

e n

ego

cio

par

a el

con

tro

l de

acce

sos

Ges

tió

n d

e ac

ceso

de

usu

ario

.

Res

po

nsa

bili

dad

es d

el u

suar

io

Co

ntr

ol d

e ac

ceso

a s

iste

mas

yap

licac

ion

es

Are

as S

egu

ras

Segu

rid

ad d

e lo

s Eq

uip

os

Pro

tecc

ión

co

ntr

a có

dig

om

alic

ioso

Co

pia

s d

e se

guri

dad

Ges

tió

n d

e la

seg

uri

dad

en

las

red

es.

Inte

rcam

bio

de

info

rmac

ión

con

par

tes

exte

rnas

.

Segu

rid

ad e

n lo

s p

roce

sos

de

des

arro

llo y

so

po

rte

5,1 8,1 8,2 8,3 9,1 9,2 9,3 9,4 11,1 11,2 12,2 12,3 13,1 13,2 14,2

Nivel de cumplimiento por objetivo de control

60

Gráfica 4: Nivel de cumplimiento por dominio.


Gráfica 5: Estado de madurez de los controles.


0%

20%

40%

60%

80%

100%

120%

Po

lític

as d

e se

guri

dad

Ges

tió

n d

e ac

tivo

s

Co

ntr

ol d

e ac

ceso

Segu

rid

ad f

ísic

a y

amb

ien

tal

Segu

rid

ad e

n la

op

erat

iva

Segu

rid

ad e

n la

ste

leco

mu

nic

acio

nes

Ad

qu

isic

ión

, des

arro

llo y

man

ten

imie

nto

de

los

sist

emas

de

info

rmac

ión

5 8 9 11 12 13 14

Nivel de cumplimiento por dominio

16%

16%

17% 17%

17%

17%

Estado de madurez de los controles

No realizado

Realizado informalmente

Planificado

Bien definido

Cuantitativamente controlado

Mejora continua

61

Capitulo

5

Políticas de Seguridad de la

Información de la Empresa de

Energía de Arauca Enelar E.S.P.

62

Introducción

En este capítulo se presenta una breve descripción de las políticas de seguridad de la

información que se desarrollaron para proteger los activos de información de la Empresa de

Energía de Arauca Enelar E.S.P., es por ello que en esta sección sólo se explicarán los puntos

más relevantes de las políticas que son los siete dominios de la norma ISO/IEC 27002:2013,

los cuales se mencionan a continuación: Políticas de seguridad de la información, Gestión de

activos, Control de acceso, Seguridad física y ambiental, Seguridad en la operativa, Seguridad

en las telecomunicaciones, y Adquisición, desarrollo y mantenimiento de los sistemas de

información. Además, se expondrán las sanciones que se crearon por el incumplimiento de

estas políticas.

5.1 Políticas de seguridad de la información de la Empresa de Energía de Arauca Enelar

E.S.P.

5.1.1 Política de seguridad.

Este dominio establece como mandato la oportuna creación, aprobación, publicación,

comunicación y aplicación del conjunto de políticas de seguridad de la información con el

objeto de preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad

de la información, de igual manera recomienda su revisión con cierta regularidad ya sea una

vez al año, o antes, en caso de implementarse una nueva tecnología en la empresa o surjan

nuevos incidentes de seguridad, esto se hace con el fin de garantizar la efectividad de las

políticas.

5.1.2 Gestión de activos.

Ésta política conlleva a la empresa a identificar y clasificar sus activos de información,

definir las respectivas responsabilidades para su adecuada protección, además regula las

prácticas para su uso adecuado y la devolución por parte del personal al finalizar su contrato

63

laboral. Igualmente reglamente la gestión de los soportes de almacenamiento estableciendo

una serie de indicaciones para evitar el hurto, modificación, eliminación de la información a

través de la deshabilitación de los puertos usb, la activación del escaneo automático de virus y

el bloqueo de la reproducción automática de archivos ejecutables.

5.1.3 Control de acceso.

Reglamenta una serie de controles para evitar el acceso de personas no autorizadas a las

instalaciones de la empresa, a las áreas de procesamiento de información y a las diferentes

oficinas. Entre los controles establecidos se encuentran: autorizaciones para el ingreso a áreas

sensibles, registrar información de acceso en bitácoras, tener un sistema lector de tarjetas o

biométrico para controlar el acceso al edificio y a los cuartos de telecomunicaciones.

Igualmente regula la adecuada gestión de cuentas de usuario desde su creación hasta su

desactivación estableciendo parámetros de acceso para el personal de acuerdo a sus funciones,

el cambio de contraseña a determinados intervalos para minimizar el riesgo de que hackers

accedan a los sistemas y a la información confidencial de la empresa.

5.1.4 Seguridad física y ambiental.

Regula el acceso al edificio, las instalaciones de procesamiento de información y a las

oficinas, establece medidas para la protección de los activos de información tales como: el uso

de extintores, sistemas de alarma contra incendios, cámaras de seguridad, el registro de

ingreso y salida de los visitantes de la empresa y del acceso del personal autorizado a las

instalaciones donde reside el archivo, la constante revisión de los soportes eléctricos y

ambientales para garantizar el óptimo funcionamiento de los equipos de cómputo ubicados en

los cuartos de telecomunicaciones, la instalación adecuada del cableado para evitar posibles

interferencias en la transmisión de la información, el mantenimiento preventivo y correctivo

de los dispositivos informáticos.

64

5.1.5 Seguridad en la operativa.

Rige diversos controles que permiten la detección, prevención y recuperación en caso de

que el sistema sea infectado por programas maliciosos, a través del uso de antivirus

licenciados con un control de acceso a su configuración para evitar que el personal no

autorizado la modifique. Además, tiene en cuenta la adecuada gestión de las respectivas copias

de seguridad de la información de manera que se garantice su integridad y debida protección

durante la generación, transporte y almacenamiento.

5.1.6 Seguridad en las telecomunicaciones.

Determina la segmentación física y lógica de la red de datos en función de los usuarios y

los servicios con la finalidad de mejorar el tráfico de la red y de esta manera darle mayor

rendimiento a las distintas operaciones de la empresa. La división de estos segmentos debe ser

realizada por medio de dispositivos perimetrales e internos de enrutamiento (Switch o Router),

a los cuales se les debe verificar los puertos físicos y lógicos que no están en uso para tenerlos

restringidos y monitoreados con el fin de prevenir accesos no autorizados. Por otra parte,

establece el uso de acuerdos de transferencias seguras de la información entre las

dependencias de la empresa y con entes externos por los diferentes canales de transmisión a

fin de garantizar su confidencialidad e integridad.

5.1.7 Adquisición, desarrollo y mantenimiento de los sistemas de información.

Busca controlar los entornos de desarrollo y soporte de los sistemas durante todo su ciclo

de vida garantizando la seguridad de la información. Además, establece medidas para

controlar la realización de las respectivas pruebas de funcionamiento de forma que no afecten

el normal desarrollo de las operaciones de la empresa.

65

5.1.8 Cumplimiento.

Para dar cumplimiento a las políticas de seguridad de la información se crearon ciertas

sanciones que varían de acuerdo al nivel de afectación que le generen a la empresa, estas

pueden ser amonestaciones escritas, suspensiones, destitución y/o sanciones de tipo legal que

conllevarían al pago de multas hasta de 1.500 salarios mínimos y pena de prisión de hasta 120

meses.

66

6. Conclusiones

Luego de realizada la auditoria en seguridad de la información se evidenciaron una serie de

factores que ponen en riesgo los activos de información de la empresa, entre ellos se

encuentran los bajos controles de acceso físico desplegados para evitar el acceso de personas

no autorizadas a las áreas de procesamiento de información, ésta incidencia aumenta la

probabilidad de perdida, deterioro e indisponibilidad de la información y los equipos de

cómputo, también, el mal funcionamiento de los sistemas de detención de fuego y niveles de

temperatura que no permiten al personal actuar oportunamente en caso de presentarse

incendios o un aumento de calor en el cuarto de telecomunicaciones por el mal

funcionamiento de los aires acondicionados.

Así mismo, la inadecuada gestión de los activos de información debida a la falta de

prácticas para su uso adecuado, no tener definidas las responsabilidades del personal sobre

ellos, ni tener establecidos controles que garanticen su devolución al finalizar el contrato

laboral de los empleados. Igualmente, que la infraestructura tecnológica de la empresa no sea

administrada por personal idóneo, los programas de detención de software malicioso sean

desactivados en ciertas ocasiones y su configuración esté expuesta a la modificación de

personas no autorizadas.

Otro de los factores que aumentan significativamente los niveles de riesgo de los activos de

información es el desconocimiento o la falta de conciencia por parte del personal para evitar

aquellas situaciones que pueden afectar la disponibilidad, integridad y confidencialidad de la

información.

Por otra parte, se evidenciaron determinadas causas que afectan la óptima gestión de la

información tales como: la unificación de la red de datos que genera un retardo en la

transmisión de la información debido a la gran cantidad de tráfico de broadcast y no

documentar los distintos procesos y procedimientos realizados en la empresa.

67

7. Recomendaciones

Concientizar al personal sobre los distintos riesgos a los que está expuesta la información

de la empresa y enfatizar sobre la importancia que esta representa para la empresa, exponerles

las sanciones que dicta la ley nacional en relación a la protección de la información, las cuales

le pueden generar a la empresa multas hasta de 2000 salarios mínimos, suspensión de las

actividades referentes al tratamiento de la información por un tiempo determinado. Además,

sanciones para las personas que atenten contra la confidencialidad, la integridad y la

disponibilidad de los datos y de los sistemas informáticos con multas hasta de 1500 salarios

mínimos y pena de prisión hasta de 120 meses.

Por otra parte, dar a conocer las políticas de seguridad de la información al personal de la

empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella y de esta

manera brindar mayor protección a los activos de información de la empresa. Posteriormente,

hacerle un seguimiento a esos controles, evaluar su nivel de efectividad y hacerle las

respectivas mejoras ya sea anualmente o cuando surjan determinados factores que así lo

ameriten.

Además, elaborar formatos para: registrar las visitas a los cuartos de telecomunicaciones a

fin de determinar quienes ingresan a estas áreas y que te tipo de actividad realizan, tener toda

la información relacionada con los equipos de cómputo y de comunicación de propiedad de la

empresa a través del levantamiento de su respectiva hoja de vida, garantizar que los equipos de

cómputo sean devueltos luego de la terminación del contrato de los empleados y de esta

manera se pueda evidenciar el estado en que se entregan, determinar los diferentes aspectos

vinculados a la realización de pruebas de funcionamiento del software.

Asimismo, crear procedimientos que permitan realizar de forma segura la eliminación de

los soportes de almacenamiento, restrinjan y controlen el uso de programas no autorizados en

los equipos de la empresa, establezcan los pasos a seguir para el transporte seguro de los

soportes de almacenamiento, y proteger los activos de información de amenazas externas y

ambientales.

68

La subdirección de sistemas, informática y telecomunicaciones se haga cargo de la

administración de la infraestructura tecnológica de toda la empresa y de crear las respectivas

cuentas de usuario para el acceso del personal al sistema.

Se verifique y se corrija la configuración de los antivirus instalados en el Centro de control

para permitir el normal funcionamiento del sistema y el desarrollo de las funciones del

personal y de esta manera evitar la intrusión de software malicioso al sistema.

Crear cuentas de usuarios para los pasantes del Sena con los privilegios de acceso acordes a

las actividades que ellos deban desarrollar y de esta manera evitar que usen las cuentas de sus

jefes inmediatos, las cuales tienen mayor nivel de privilegios.

Finalmente, con el objeto de reducir el retardo en la transmisión de la información debido a

la gran cantidad de tráfico de broadcast, se recomienda segmentar la red de datos de la

empresa en el Municipio de Arauca por áreas de trabajo, estableciendo tres segmentos para la

dirección administrativa, comercial y operativa respectivamente.

69

8. Cronograma de actividades

ÍTEM ACTIVIDADES MES 1 MES 2 MES 3 MES 4

SEGURIDAD DE LA

INFORMACIÓN 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1

Planificar las distintas

actividades que permitan

realizar el proceso de auditoría

1.1

Revisar información

relacionada con el área de TI,

identificando los activos, las

amenazas a que estos están

expuestos y las respectivas

salvaguardas.

1.2 Analizar y valorar los riesgos

1.3 Elaborar el instrumento de

recolección de la información

2

Desarrollar la auditoria apoyada

en una herramienta de

recolección de datos

2.1 Aplicar el instrumento de

recolección de la información

2.2

Analizar la información

recopilada en la actividad

anterior

3

Informar a los miembros del

área de TI los hallazgos

obtenidos en el proceso de la

auditoria

3.1 Elaborar un informe con los

resultados obtenidos

3.2

Comunicar a los miembros del

área de TI los resultados

obtenidos

4

Presentar mejoras al área de TI

en cuanto a la seguridad de la

información teniendo en cuenta

los hallazgos obtenidos

4.1 Formular y socializar las

políticas de seguridad

70

Referencias bibliográficas

Alegsa, L. (2009). Alegsa. Obtenido de http://www.alegsa.com.ar/Dic/antivirus.php

Alonso, P. (s.f.). Federación de Servicios a la Ciudadanía-CCOO. Obtenido de

http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_informatica.pdf

Anerdata. (s.f.). Anerdata. Obtenido de http://www.anerdata.com/que-es-un-servidor.html

Asociación Española para la Calidad. (2014). AEC. Recuperado el 21 de 10 de 2014, de

http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion

Bernal, J. J. (2013). pdcahome. Recuperado el 21 de 10 de 2014, de

http://www.pdcahome.com/5202/ciclo-pdca/

ENELAR E.S.P. (2012). Plan estratégico y prospectivo 2012-2015. Arauca, Arauca,

Colombia.

ENELAR E.S.P. (2013). Historia Enelar. Obtenido de

http://www.enelar.com.co/content.php?id=7

ENELAR E.S.P. (2013). Misión. Obtenido de http://www.enelar.com.co/content.php?id=4

ENELAR E.S.P. (2013). Organigrama ENELAR. Obtenido de

http://www.enelar.com.co/set.php?set=8

ENELAR E.S.P. (2013). visión. Obtenido de http://www.enelar.com.co/content.php?id=5

Erb, M. (2011). Matriz de riesgo. Recuperado el 18 de 02 de 2015, de

https://protejete.wordpress.com/gdr_principal/matriz_riesgo/

Erb, M. (2011). Amenazas y vulnerabilidades. Obtenido de

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

GCF Community Foundation International. (s.f.). Gcfaprendelibre. Obtenido de

http://www.gcfaprendelibre.org/tecnologia/curso/informatica_basica/empezando_a_us

ar_un_computador/2.do

Google. (2015). Protéjase del software malicioso. Obtenido de

https://support.google.com/adwords/answer/2375413?hl=es-419

Guerrero Julio, M. L. (2014). Gestión de riesgos de TI. Universidad Cooperativa de Colombia.

Bogotá. pg 28

Informática moderna. (2008). Definición de información. Obtenido de

http://www.informaticamoderna.com/Info_dat.htm

71

Informaticamoderna. (2008). Mantenimiento preventivo. Obtenido de

http://www.informaticamoderna.com/Mant_comp.htm

Instituto Nacional de Tecnologías de la comunicación de España. (2013). INCIBE. Obtenido

de

https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.p

df

INTECO. (2014). INTECO. Recuperado el 14 de 10 de 2014, de

https://www.inteco.es/Formacion_eu/SGSI_eu/Conceptos_Basicos_eu/Normativa_SG

SI_eu/

International Organization for Standardization. (2013). iso.org. Recuperado el 07 de 03 de

2015, de iso.org: http://www.iso.org/iso/catalogue_detail?csnumber=54533

International Organization for Standardization/International Electrotechnical Commission. (15

de 01 de 2014). International Standard ISO/IEC 27000. Obtenido de

http://k504.org/attachments/article/819/ISO_27000_2014.pdf

iso27000. (2005). iso27000. Recuperado el 20 de 03 de 2015, de iso27000:

http://www.iso27000.es/iso27002.html

ISO27000. (21 de 10 de 2014). EL PORTAL DE ISO 27000. Recuperado el 21 de 10 de 2014,

de http://www.iso27000.es/iso27000.html

MasterMagazine. (2009). MasterMagazine. Obtenido de

http://www.mastermagazine.info/termino/4532.php

Mifsud, E. (26 de 03 de 2012). MONOGRÁFICO: Introducción a la seguridad informática -

Vulnerabilidades de un sistema informático. Obtenido de

http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-

introduccion-a-la-seguridad-informatica?start=3

Ministerio de Hacienda y Administraciones Públicas de España. (2012). Magerit – versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid:

Ministerio de Hacienda y Administraciones Públicas.

Ministerio de Hacienda y Administraciones Públicas, G. d. (2012). MAGERIT-Metodología de

Analisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Dirección

General de Modernización Administrativa, procedimientos e Impulso de

administración Electrónica.

Solutek. (2015). Definición de mantenimiento correctivo. Obtenido de

http://www.solutekcolombia.com/servicios_tecnologicos/mantenimientos/correctivos/

72

Téllez, V. J. (1988). Contratos informáticos. Ciudad universitaria: Universidad Nacional

Autónoma de México.

Universidad Nacional Autónoma de México. (2015). Definición de política de seguridad.

Obtenido de http://redyseguridad.fi-

p.unam.mx/proyectos/seguridad/DefinicionPolitica.php

73

Anexos

74

Anexo 1: Formato caracterización de los activos de información.

Tabla 18: Caracterización de los activos.

Caracterización de los activos.

CARACTERIZACIÓN DE LOS ACTIVOS

IDENTIFICACIÓN DE LOS ACTIVOS

EMPRESA:

FUNCIONARIO:

CARGO: FECHA:

ITEM Activo Código Descripción Tipo Unidad Responsable Persona Responsable

Ubicación Cantidad Mantiene Explota Responsable Operador

1

2

3

4

5


75

Anexo 2: Checklist identificación del riesgo de los activos de información.

Tabla 19: Identificación de amenazas y vulnerabilidades.

Identificación de amenazas y vulnerabilidades.

CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS

CHECKLIST EMPRESA:

FUNCIONARIO:

CARGO: FECHA:

Nº PREGUNTAS SI NO NA OBSERVACIONES

FISICA

1 ¿Están las instalaciones del data center protegidas de acceso no autorizado?

2 ¿Cuál de los siguientes controles físicos aplican para las instalaciones del cuarto de telecomunicaciones?

a) Perímetro de seguridad definido

b) Sistema de detección de intrusos

c) Puertas de seguridad con sistema de acceso

d) Otro (especifíquelo en la casilla de observaciones)

3 ¿Cuál de los siguientes controles físicos aplican para acceder al Área de TI?

a) Carnet de Identificación

b) Registro de visitantes

c) Otro (especifíquelo en la casilla de observaciones)

76

4 ¿La instalación donde está ubicado el cuarto de telecomunicaciones cuenta con condiciones físicas adecuadas de acuerdo a la norma?

a) Paredes

b) Piso

c) Techo

5 ¿Cuáles de las siguientes medidas contra incendios tienen implementadas?

a) Alarma

b) Extintores

c) Sistema contra incendios

d) Otro (especifíquelo en la casilla de observaciones)

6 ¿El Sistema de Cableado Estructurado está diseñado e instalado cumpliendo las normas internacionales vigentes?

7 ¿Tienen documentado el diseño de la red?

8 ¿Tienen establecido controles para llevar a cabo el mantenimiento preventivo y correctivo de los equipos de la empresa?

9 ¿Se tiene establecido controles para llevar a cabo el mantenimiento de las instalaciones donde se encuentra ubicado el cuarto de telecomunicaciones?

RED

10 ¿Se tiene determinado quienes comparten los datos a través de la red y como los utilizan?

11 ¿Se tienen documentados y/o actualizados los inventarios de activos físico y lógicos de la red?

12 ¿Son documentadas las fallas y/o problemas que ocurren en la red?

13 ¿Existen controles definidos de acceso a la red interna?

14 ¿Cuenta con un dispositivo firewall para protección y aseguramiento de la red?

77

SOFTWARE

15 ¿Los equipos de cómputo cuentan con Antivirus actualizados?

16 ¿Las aplicaciones instaladas en el servidor de BD están debidamente actualizadas?

17 ¿Se monitorea constantemente el rendimiento y el acceso a los servidores?

18 ¿Son guardados de manera segura los datos sensibles de los equipos antes de una reinstalación?

19 ¿Los datos que viajan por intranet están cifrados?

ORGANIZACIÓN

20 ¿Existe un departamento o dependencia que se dedique a la administración de la red y los servicios de TI?

21 ¿Existe una estructura orgánica para dicha Área con sus correspondientes funciones?

22 ¿El número de personas que constituyen actualmente el Área de TI son suficientes para controlar los diferentes procesos de TI?

23 ¿Existe un plan de capacitación para el personal del Área de TI en aspectos relacionados con las TIC y procesos de certificación?

24 ¿Están claramente definidas las responsabilidades del recurso humano para proteger los activos así como la ejecución del proceso de seguridad?

25 ¿Existen políticas de seguridad actualizadas?

26 ¿Las políticas de seguridad están debidamente socializadas con el personal de la empresa?

27 ¿Para ser movidos los equipos, software o información fuera de las instalaciones requiere de una autorización?


78

Anexo 3: Formato de identificación de amenazas y vulnerabilidades.

Tabla 20: Formato de identificación de amenazas y vulnerabilidades.

Formato de identificación de amenazas y vulnerabilidades.

CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y

SALVAGUARDAS

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS

EMPRESA:

FUNCIONARIO:

CARGO: FECHA:

ITEM VULNERABILIDADES AMENAZAS

1

El cuarto de telecomunicaciones no está

protegido del acceso de personas no

autorizadas.

Robo de información

Daños a los equipos

Intrusión de software malicioso

Manipulación de la

información

2

No se tiene establecido Controles

físicos de acceso al cuarto de

telecomunicaciones

Acceso de personal no

autorizado

3 No se tiene establecido Controles

físicos de acceso al área de TI

Acceso de personal no

autorizado

4

Humedad Se genere un corto circuito

Electricidad estática Daños a los equipos

Polvo Disminuye rendimiento de los

equipos

5

Obstáculo para reaccionar de manera

eficaz ante incidentes ocasionados

Daño parcial o total de los

equipos

Inexistencia de un sistema que reduzca

el nivel de daño en caso de un incendio Perdida de información

6 Dificultad para la localización de daños

Perdida de información Interferencias en la transmisión de

79

datos

Dificultad para el mantenimiento de la

red

7

Dificultad para identificar puntos

exactos en caso de ocurrir daños en la

red

Paralización de actividades

8 El mantenimiento de los equipos no se

realice en el momento requerido Fallos en los equipos

9 Acumulación de partículas dañinas

Disminuye el rendimiento de

los equipos

Se genere un corto circuito

10 No se monitorea el tráfico de la red Intrusos obtengan y mantengan

acceso a la red

11

Inventario no tiene la información

completa de algunos de los activos

informáticos de la empresa

Perdida de los activos

12 Inexistencia de un registro de fallas de

la red

No se minimiza la posibilidad

de que los sucesos ocurridos

anteriormente se vuelvan a

generar.

13 La LAN no está segmentada No se controla el acceso de

usuarios no autorizados

14 Fácil acceso al sistema

Robo de información

Destrucción de la información

Interrupción del

funcionamiento del sistema

15 Los equipos no tienen Antivirus

actualizados Intrusión de software malicioso

16 Software de base de datos

desactualizado

Intrusos

Software malicioso

17 Desconocimiento del rendimiento de

los servidores

Mal funcionamiento de los

servidores

80

No se cuenta con un registro de acceso

a los servidores hacker

18 No se hacen copia de los datos antes de

una reinstalación Perdida de la información

19

No se cuenta con un sistema de cifrado

para proteger la información que se

transporta por intranet

Intercepción de información

confidencial

20 No se administra eficazmente los

procesos de TI

Bajo rendimiento de las

operaciones de la empresa

21 No se tiene una distribución de

responsabilidades

Nadie se hace responsable por

los daños ocasionados

22 No se cuenta con el personal suficiente

para controlar los distintos procesos

Deficiente funcionamiento de

los procesos de la empresa

23

No se capacita al personal del área de

TI en tecnologías de la información y la

comunicación y procesos de

certificación

Los procesos de la empresa no

se desarrolla eficientemente

24

No se tiene establecidas las

responsabilidades del personal para la

protección de los activos

Los activos están propensos a

sufrir daños

25 No están actualizadas las políticas de

seguridad

No se contralan adecuadamente

los distintos sucesos que

afectan los equipos y la

información

26 No se socializa las políticas de

seguridad con el personal de la empresa

No se protegen los activos de la

información

27 Los activos son sacados fácilmente de

las instalaciones de la empresa

Extracción de información

confidencial

Robo del activo


81

Anexo 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

Tabla 21: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN

Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013

Empresa:

Funcionario:

Cargo:

Fecha:

Norma Sección Puntos a Evaluar SI NO N/A Observaciones

5 POLITICAS DE SEGURIDAD

5,1 Directrices de la Dirección en seguridad de la información

5.1.1 Conjunto de políticas para la seguridad

de la información

1. ¿La empresa tiene políticas de seguridad

de la información?

2. ¿Las políticas de seguridad de la

información son aprobadas por la

administración?


información han sido publicadas y

comunicadas adecuadamente a los

empleados?

5.1.2 Revisión de las políticas para la

seguridad de la información

1. ¿Están las políticas de seguridad de la

información sujetas a revisión?

82

2. ¿Regularmente se hacen revisiones de

las políticas de seguridad de la

información? Especifique la periodicidad

en la casilla observaciones.


información son revisadas cuando las

circunstancias lo amerita?

8 GESTION DE ACTIVOS

8,1 Responsabilidad sobre los Activos

8.1.1 Inventario de activos.

1. ¿Existe un inventario de todos los

activos asociados a las instalaciones de

procesamiento de información?

2. ¿El inventario de activos de información

contiene información precisa y

actualizada?

8.1.2 Propiedad de los activos.

¿Tienen los activos de la información un

responsable definido que sea consciente de

sus responsabilidades?

8.1.3 Uso aceptable de los activos.

1. ¿Existe una política de uso aceptable

para cada clase o tipo de activos de

información?

2. ¿Están los usuarios conscientes de esta

política antes de su uso?

8.1.4 Devolución de activos.

1. ¿Existe algún proceso para asegurar que

los empleados y los contratistas hagan

devolución de los activos de información

de propiedad de la empresa a la

terminación de su contrato laboral?

83

8,2 Clasificación de la Información

8. 2.1 Directrices de clasificación.

1. ¿Existe una política que rige la

clasificación de la información?

2. ¿Existe un proceso por el cual toda la

información se pueda clasificar de manera

adecuada?

8.2.2 Etiquetado y manipulado de la

información.

1. ¿Existe un proceso o procedimiento que

garantice el etiquetado y la correcta

manipulación de los activos de

información?

8.2.3 Manipulación de activos.

1. ¿Existe un procedimiento para el manejo

de cada clasificación de los activos de

información?

2. ¿Están los usuarios de los activos de

información al tanto de este

procedimiento?

8,3 Manejo de los soportes de almacenamiento

8.3.1 Gestión de soportes extraíbles.

1. ¿Existe alguna política que rige el uso de

los soportes de almacenamiento?

2. ¿Existe algún proceso que diga cómo

utilizar adecuadamente los soportes de

almacenamiento?

3. ¿Existen políticas de procesos o

comunicados a los empleados que informe

el uso adecuado de los soportes de

almacenamiento?

8.3.2 Eliminación de soportes.

1. Existe algún procedimiento formal que

rija como se debe eliminar los soportes de

almacenamiento?

84

8.3.3 Soportes físicos en tránsito

1. ¿Existe alguna política documentada y

detallada que defina la forma cómo se debe

transportar los soportes físicos de

almacenamiento?

2. ¿Están protegidos los soportes de

comunicación contra el acceso no

autorizado, mal uso o perdida durante su

transporte?

9 CONTROL DE ACCESO

9,1 Requisitos de negocio para el control de accesos

9.1.1 Política de control de accesos.

1. ¿Existe una política de control de acceso

documentada?

2. ¿Se basa la política en los

requerimientos del negocio?

3. ¿Está la política comunicada

apropiadamente?

9.1.2 Control de acceso a las redes y servicios

asociados.

1. ¿Están los controles establecidos para

asegurar que los usuarios sólo tienen

acceso a los recursos de la red que

necesitan para realizar sus funciones?

9,2 Gestión de acceso de usuario.

9.2.1 Gestión de altas/bajas en el registro de

usuarios.

1. ¿Existe un proceso formal de registro de

acceso de usuario en su lugar?

9.2.2 Gestión de los derechos de acceso

asignados a usuarios.

1. ¿Hay un proceso formal para asignar

derechos de acceso para todos los tipos de

usuario y servicios?

85

9.2.3 Gestión de los derechos de acceso con

privilegios especiales.

1. ¿Separadamente son manejadas las

cuentas de acceso privilegiadas y

controladas?

9.2.4 Gestión de información confidencial de

autenticación de usuarios.

1. ¿Hay un proceso de dirección formal

para controlar la asignación de información

secreta de autenticación de usuarios?

9.2.5 Revisión de los derechos de acceso de

los usuarios.

1. ¿Existe un proceso para los propietarios

de activos para revisar los derechos de

acceso a sus activos de forma regular?

2. ¿Se verifica este proceso de revisión?

9.2.6 Retirada o adaptación de los derechos

de acceso

1. ¿Existe un proceso para asegurar que los

derechos de acceso de un usuario sean

eliminados en la terminación de su

contrato, o ajustados sobre el cambio de

funciones?

9,3 Responsabilidades del usuario

9.3.1 Uso de información confidencial para la

autenticación

1. ¿Existe algún documento de políticas de

la empresa que diga la forma en secreto de

cómo se debe autenticar y manejar la

información?

2. ¿Este documento lo conoce los

empleados que manejan información

secreta y clasificada de la empresa?

9,4 Control de acceso a sistemas y aplicaciones

9.4.1 Restricción del acceso a la información.

1. ¿El acceso a las funciones de las

aplicaciones de los sistemas de información

se encuentra restringidas al igual que las

políticas de control de acceso?

86

9.4.2 Procedimientos seguros de inicio de

sesión.

1. ¿El acceso es controlado por un

procedimiento de inicio de sesión seguro?

9.4.3 Gestión de contraseñas de usuario.

1 ¿Son los sistemas de contraseñas

dinámicas?

2 ¿Se requieren contraseñas complejas?

9.4.4 Uso de herramientas de administración

de sistemas.

1. ¿Los programas utilitarios con

privilegios son restringidos y

monitoreados?

9.4.5 Control de acceso al código fuente de

los programas

1. ¿Está protegido el acceso al código

fuente de las aplicaciones de la empresa?

11 SEGURIDAD FISICA Y AMBIENTAL

11,1 Áreas Seguras

11.1.1 Perímetro de seguridad física.

1. ¿existe un perímetro de seguridad

designado?

2. ¿Las áreas de información sensible o

críticas se encuentran separadas y

controladas adecuadamente?

11.1.2 Controles físicos de entrada.

1. ¿Las áreas seguras tienen sistemas de

control de acceso adecuado para que sólo

personal autorizado ingrese?

11.1.3 Seguridad de oficinas, despachos y

recursos.

1. ¿Tienen las oficinas, despachos e

instalaciones seguridad perimetral?

2. ¿Realiza procesos de concientización

con los empleados por mantener la

seguridad en puertas, escritorios,

archivadores, etc., de las oficinas?

87

11.1.4 Protección contra las amenazas externas

y ambientales.

1. ¿Tiene diseños o medidas de protección

física para prevenir desastres naturales,

ataques maliciosos o accidentes de la

empresa?

11.1.5 El trabajo en áreas seguras.

1. ¿existen áreas seguras?

2. ¿Dónde existen, las áreas seguras

cuentan con políticas y procesos

adecuados?

3. ¿Estas políticas y procesos son aplicadas

y supervisadas?

11.1.6 Áreas de acceso público, carga y

descarga

1 ¿Las áreas de acceso público están

separadas de las áreas de carga y descarga?

2 ¿El acceso a estas áreas están

controladas?

3 ¿Esta el acceso a las áreas de carga

aislado de las instalaciones de los procesos

de información?

11,2 Seguridad de los Equipos

11.2.1 Emplazamiento y protección de

equipos.

1 ¿Están los peligros ambientales

identificados y considerados cuando se

selecciona la ubicación de los equipos?

2 ¿Son los riesgos de acceso no autorizado

o transeúntes considerados al

emplazamiento de equipos?

11.2.2 Instalaciones de suministro.

1. ¿Existe un sistema de UPS o generador

de respaldo?

2. ¿Han sido probados en simulacros?

88

11.2.3 Seguridad del cableado.

1. ¿se han realizado evaluaciones de

riesgos sobre la ubicación de los cables de

energía y telecomunicaciones?

2. ¿Están ubicadas para evitar

interferencias, interceptación o daños?

11.2.4 Mantenimiento de los equipos. 1. ¿Existe una programación de

mantenimiento de equipos?

11.2.5 Salida de activos fuera de las

dependencias de la empresa.

1 ¿Existe un proceso de control de la salida

de activos fuera de empresa?

2 ¿Se aplica este proceso?

3 ¿se realizan controles en sitio?

11.2.6 Seguridad de los equipos y activos

fuera de las instalaciones.

1 ¿existe una política de seguridad de

activos fuera de la empresa?

2 ¿estas políticas son del conocimiento de

todos?

11.2.7 Reutilización o retirada segura de

dispositivos de almacenamiento.

1. ¿existe una política que mencione que

los activos de información pueden ser

reutilizados o retirados en forma segura?

2 ¿Cuándo datos o información es borrada

de dispositivos de almacenamiento es

debidamente comprobado antes de su

reutilización o eliminación?

11.2.8 Equipo informático de usuario

desatendido.

1. ¿La empresa tiene una política en torno a

cómo el equipo desatendido se debe

proteger?

89

2. ¿Existen controles técnicos para

garantizar que un equipo se ha dejado

inadvertidamente desatendido?

11.2.9 Política de puesto de trabajo despejado

y bloqueo de pantalla

1. ¿Existe una política de puesto de trabajo

despejado y bloqueo de pantalla?

12 SEGURIDAD EN LA OPERATIVA

12,2 Protección contra código malicioso

12.2.1 Controles contra el código malicioso.

1 ¿Tiene controles para detectar código

malicioso?

2 ¿Tiene controles para evitar la

propagación de códigos maliciosos?

3 ¿La empresa tiene controles y la

capacidad de recuperar de una infección de

un código malicioso?

12,3 Copias de seguridad

12.3.1 Copias de seguridad de la información

1. ¿Existe una política de copia de

seguridad programada?

2. ¿Cumple la política de copia de

seguridad de la organización con los

marcos legales pertinentes?

3. ¿Son las copias de seguridad hechas de

acuerdo con las políticas?

4. ¿Se probaron las copias de seguridad?

13 SEGURIDAD EN LAS TELECOMUNICACIONES

13,1 Gestión de la seguridad en las redes.

13.1.1 Controles de red. 1. ¿Existe un proceso de administración de

red en su empresa?

90

13.1.2 Mecanismos de seguridad asociados a

servicios en red.

1. ¿La Empresa implementa un enfoque de

gestión del riesgo que identifique todos los

servicios de red y los acuerdos de servicio?

2. ¿Está la seguridad exigida en los

acuerdos y contratos con proveedores de

servicios?

3. ¿Las políticas de seguridad en redes

están reglamentadas?

13.1.3 Segregación de redes.

1. ¿La topología de red cumple con la

segregación de las redes para las diferentes

tareas?

13,2 Intercambio de información con partes externas.

13.2.1 Políticas y procedimientos de

intercambio de información.

1 ¿las políticas organizacionales rigen

cómo se debe transferir la información?

2. ¿Están disponibles los procedimientos de

cómo se deben transferir los datos a todos

los empleados?

3. ¿Están los controles técnicos pertinentes

para prevenir las formas no autorizadas de

la transferencia de datos?

13.2.2 Acuerdos de intercambio.

1. ¿Hacen contratos con terceros y

acuerdos dentro de los detalles de la

empresa, los requisitos para obtener

información en el negocio de las

transferencias?

13.2.3 Mensajería electrónica.

1. ¿Las políticas de seguridad cubren el uso

de transferencia de información durante el

uso de sistemas de mensajería electrónica?

91

13.2.4 Acuerdos de confidencialidad y secreto

1. ¿Los empleados, contratistas y agentes

firman acuerdos de confidencialidad o de

no divulgación?

2. ¿Son estos acuerdos sujeta a revisión

periódica?

3. ¿Se mantienen registros de los acuerdos?

14

ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

DE INFORMACIÓN.

14,2 Seguridad en los procesos de desarrollo y soporte

14.2.1 Política de desarrollo seguro de

software.

1. ¿La empresa desarrolla software o

tecnologías en sistemas?

2. ¿Si es así, hay políticas que ordenan la

implementación y evaluación de controles

de seguridad?

14.2.6 Seguridad en entornos de desarrollo.

1. ¿Se ha establecido un entorno de

desarrollo seguro?

2. ¿Todos los proyectos utilizan el entorno

de desarrollo seguro adecuadamente

durante el ciclo de vida de desarrollo del

sistema?

14.2.8 Pruebas de funcionalidad durante el

desarrollo de los sistemas.

1. ¿Cuándo los sistemas o aplicaciones son

desarrollados, la seguridad es probada

como parte del proceso de desarrollo?

14.2.9 Pruebas de aceptación

1. ¿Existe un proceso establecido para

aceptar nuevos sistemas, aplicaciones o

mejoras en la etapa de producción?


92

Anexo 5: Formato encuesta clasificación de la información de la empresa.

Tabla 22: Cuestionario para clasificar la información de la empresa.

Cuestionario para clasificar la información de la empresa.

CUESTIONARIO PARA CLASIFICAR LA INFORMACIÓN

Nombre:

Dependencia:

Cargo:

Información Pública: Es toda aquella información creada y controlada por la empresa. a

la que cualquier ciudadano puede acceder.

Información reservada: Información que si es divulgada, vulnera, afecta o atenta contra el buen funcionamiento de las operaciones de empresa y la eficacia de las decisiones que

ésta tome.

Información confidencial: Información que si es divulgada, afecta o atenta contra: Estrategias de negocio, competitividad, y expansión de la empresa.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias

personas naturales determinadas o determinables. Ej.: datos de identificación, laborales,

académicos, ideológicos, patrimoniales, de salud, características físicas y personales, vida

y hábitos sexuales.

1. De acuerdo al cargo que desempeña, usted maneja información referente a:

Ordenes de

Financiación

Ordenes de

Cobros

Ordenes de PQR

Ordenes de

Recaudos

Personal

Presupuesto

Cuentas por

pagar

Costos ABC

Jurídica

Tesorería

Almacén

Compras

Nomina

Activos

fijos

Inventario

informático

Acceso de

personas a la

empresa

Otra_________

_________________

Ninguna

2. De acuerdo a la definición de información pública, reservada y confidencial, la

información objeto de trámite por su parte, es considerada:

Pública Reservada Confidencial

3. De acuerdo a la definición de dato personal, ¿usted maneja información de este tipo?

Sí No


luz marina mina calderÓn -...

Documents