mejora de la seguridad de la informaciÓn en...

FACULTAD DE INGENIERÍA

Carrera de Ingeniería Empresarial y de Sistemas

MEJORA DE LA SEGURIDAD DE LA INFORMACIÓN EN LA AUTORIDAD PORTUARIA NACIONAL,

APLICANDO LA NORMA ISO 27001

Trabajo de Suficiencia Profesional para optar el Título Profesional

de Ingeniero Empresarial y de Sistemas

FERNANDO ESTEBAN SORIANO MEDRANO

Asesor:

Angela Teresa Barreda Ramírez de Santillán

Lima – Perú

2019

2

INDICE GENERAL

INDICE GENERAL 2

INTRODUCCIÓN 7

CAPÍTULO I 8

GENERALIDADES DE LA EMPRESA 8

Datos Generales 8

Nombre o Razón Social 8

Ubicación de la Empresa 8

Giro de la Empresa 9

Tamaño de la Empresa 10

Breve Reseña de la Empresa 10

Estructura de la Organización de la APN 11

Misión 12

Visión 12

Valores 12

Política de Calidad 12

Política de Seguridad de la Información 13

Productos y Clientes 13

Clientes 13

Premios y certificaciones 16

Relación de la Organización con la Sociedad 16

CAPÍTULO II 19

PLANTEAMIENTO DEL PROBLEMA QUE FUE ABORDADO 19

Caracterización del área en que se participó 19

Antecedentes y Definición del Problema 23

Problema General 32

Problemas Específicos 32

Objetivo General 32

Objetivos Específicos 33

Justificación 33

Alcances y Limitaciones 34

CAPÍTULO III 36

MARCO TEÓRICO 36

Organización Internacional de Estandarización ISO/IEC 27001 36

Organización Internacional de Estandarización ISO/IEC 27002 37

3

Antecedentes Internacionales 38

Antecedentes Nacionales 39

CAPÍTULO IV 41

DESARROLLO DEL PROYECTO 41

Entregables del Proyecto 41

Cronograma y Planificación de Actividades 42

Organización del Proyecto 42

Fases del Proyecto de Implementación de la Norma ISO/IEC 27001 44

ANALISIS Y RESULTADOS 81

CONCLUSIONES 99

RECOMENDACIONES 101

ANEXOS 102

REFERENCIAS 123

Electrónicas 124

Tesis 125

4

INDICE DE TABLAS

Tabla 1 Tipos de Ataques entre 2008 – 2015 31

Tabla 2 Tabla de Roles y Responsabilidades 43

Tabla 3 Tabla de Actividades y Productos 44

Tabla 4 Tabla de Roles para la formulación de la Metodología de Gestión de riesgos 57

Tabla 5 Resultado de la Implementación de acciones para el tratamiento de riesgos 73

Tabla 6 Resultado de la Implementación de acciones para la gestión de eventos 75

Tabla 7 Normas consideradas en el desarrollo del Proyecto 80

Tabla 8 Implementación de Acciones para el tratamiento de riesgos 88

Tabla 9 Capacitaciones del Personal 91

Tabla 10 Evaluaciones del Personal 92

Tabla 11 Evaluación de Incidentes de Seguridad 94

Tabla 12 Costo de Eventos e Incidentes de Seguridad anuales 96

INDICE DE FIGURAS

Figura 1.- Ubicación Geográfica de la APN 8

Figura 2.- Logo 1 10



Figura 5.- Estructura de la Autoridad Portuaria Nacional 11

Figura 6.- Portal WEB de la APN muestra Certificación ISO 9001: 2015 16

Figura 7.- Portal WEB de la APN muestra Certificación ISO/IEC 27001: 2013 16

Figura 8.- Estructura de la Oficina de Tecnologías de la Información 20

Figura 9.- Procesos de la Oficina de Tecnologías de la Información 22

Figura 10.- Reporte de Riesgo Global para el 2019 25

Figura 11.- Panorama de los riesgos mundiales 2019 26

Figura 12.- Riesgos y Amenazas Informáticas – América Latina 27

Figura 13.- Estadística América Latina-Ataques 28

Figura 14.- Diagrama de Ishikawa con la definición del Problema de APN 30

Figura 15.- Estadísticas de Ataques Cibernéticos 2008-2015 31

5

Figura 16.- Mapa de procesos de la APN 35

Figura 17.- Portada Inicial del Material del Taller 46

Figura 18.- Temática del Taller sobre Seguridad de la Información 47

Figura 19.- Alcance del Sistema de Gestión de Seguridad de la Información 48

Figura 20.- Política de Seguridad de la Información de la APN 50

Figura 21.- Objetivos de la Seguridad de la Información 51

Figura 22.- Contexto Interno y Externo de la APN. 51

Figura 23.- Requisitos de las Partes Interesadas de la APN 52

Figura 24.- Manual del Sistema del SGSI 53

Figura 25.- Manual de Funciones y Responsabilidades del SGSI 54

Figura 26.- Creación, Actualización y Control de Documentos 55

Figura 27.- Plan de Comunicaciones Interna y Externa del SGSI de la APN 56

Figura 28.- Metodología de Gestión de Riesgos y Oportunidades 58

Figura 29.- Formato de Inventario de Activos 60

Figura 30.- Formato de Gestión de Riesgos y Oportunidades 62

Figura 31.- Formato de Plan de Tratamiento de Riesgo 65

Figura 32.- Declaración de Aplicabilidad. Documento interno de la organización 66

Figura 33.- Eventos e Incidentes de Seguridad 76

Figura 34.- Cronograma de Proyecto Pág. 1 103



Figura 37.- Matriz FODA 106

Figura 38.- Método de Trabajo de Desarrollo de Software 107

Figura 39.- Acuerdo de Confidencialidad Trabajadores Pág. 1 108

Figura 40.- Acuerdo de Confidencialidad Trabajadores Pág. 2 109

Figura 41.- Acuerdo de Confidencialidad Proveedores Pág. 1 110

Figura 42.- Acuerdo de Confidencialidad Proveedores Pág. 2 111

Figura 43.- Flujo de Caja 114

Figura 43.- Acta de Constitución de Proyecto Pág. 1 115




6





TABLA DE ABREVIATURAS

ISO: International Standard Organization

SGSI: Sistema de Gestión de Seguridad de la Información

TIC: Tecnologías de la Información y Comunicación

APN: Autoridad Portuaria Nacional

IEC: International Electrotechnical Commission

SPN: Sistema Portuario Nacional

OEA: Organización de Estados Americanos

PBIP: Protección de Buques e Instalaciones Portuarias

OTI: Oficina de Tecnologías de la Información

MTDS: Método de Trabajo de Desarrollo de Software

ASBANC: Asociación de Bancos

GESDOC: Gestor Documental

COBIT: Control Objectives for Information and Related Technology

CID: Confidencialidad, Integridad y Disponibilidad

SOA: Statement of Applicability

7

INTRODUCCIÓN

Hoy en día el flujo de información es lo que genera la sinergia en los procesos de

negocio de las empresas, con la finalidad que estos puedan cumplir su misión al interior

de las organizaciones.

En ese contexto, la Autoridad Portuaria Nacional (en adelante APN), es un

organismo técnico que opera bajo la administración del Ministerio de Transportes y

Comunicaciones, la APN es la entidad gubernamental que se encarga del desarrollo y

evolución de todo el Sistema Portuario a nivel Nacional, es el promotor de la inversión

por parte de capitales privados en los diferentes puertos del país, también es la

encargada conciliar los intereses de las partes tanto pública como privada y realizar la

coordinación que amerite, considerando que estas partes interactúan en las diferentes

operaciones y servicios portuarios, por lo que, la APN, se constituye en el principal

gestor de información, a fin de fortalecer la comunidad del sector portuario.

La información, al ser un activo critico de los procesos de negocio de las

organizaciones y de sus respectivas transacciones comerciales, evidencian su

necesidad de ser protegidos y resguardados, a fin de garantizar los pilares de

confidencialidad de sus activos, la integridad de su información y la disponibilidad de

los servicios y datos.

El objeto del presente trabajo es demostrar como la aplicación de la Norma

Internacional ISO/IEC 27001, mejoró y optimizó la seguridad de la información en la

APN, contribuyendo al ahorro en los costos al reducirse los incidentes de seguridad,

permitiendo que la APN continúe operando en caso de suscitarse problemas

relevantes, minimizando el riesgo que se produzca pérdida de información.

8

CAPÍTULO I

GENERALIDADES DE LA EMPRESA

Datos Generales

Mediante la Ley N° 27943 de marzo del 2003, Ley del Sistema Portuario Nacional, se

da por creada la Autoridad Portuaria Nacional, la que se convierte en la entidad a cargo

de promover el desarrollo sostenible del sistema portuario peruano, también viene a ser

la principal interesada y responsable de la promoción de la inversión del sector privado

en los diferentes puertos a nivel nacional.

Nombre o Razón Social

Autoridad Portuaria Nacional

Ubicación de la Empresa

Teléfono: 6309600

Av. Santa Rosa 135 La Perla – Callao

Figura 1.- Ubicación Geográfica de la APN

Fuente: Google Maps

9

Giro de la Empresa

Órgano Técnico especializado del sector de gobierno, que conduce y promueve el

sistema portuario en el país, también se encarga de la prestación de servicios tales

como el otorgamiento de licencias para la prestación de servicios y operaciones

portuarias, por parte de las empresas logísticas del sector.

La APN tiene como prerrogativas absolutas lo referido a la normativa técnica, así

como otras funciones que pueden ser delegadas a sus pares a nivel de región, según

lo establecido en la Ley del SPN y el Plan Nacional de Desarrollo del SPN. Las

atribuciones entre otras son:

1. Formula y eleva la propuesta al Ministerio de Transportes y Comunicaciones el Plan

Nacional de Desarrollo del SPN.

2. Formular y elevar la propuesta de planes de inversión pública, así como las

convocatorias referidas a la inversión privada en el sector privado.

3. Aprobar y supervisar los expedientes referidos a obras de infraestructura portuaria

y las especificaciones técnicas de las maquinarias y equipos, que deben incluir

medidas efectivas para la protección del medio ambiente y de la comunidad donde

se desarrollen.

4. Suscribir con los privados los convenios y contratos que la Ley le permite, en el

marco de las licitaciones públicas.

5. Conducir la generación de las diferentes actividades y servicios comerciales en el

sector portuario.

6. Establecer la normativa para las actividades en las Zonas de Actividades Logísticas.

7. Regular los terminales, la respectiva infraestructura e instalaciones portuarias del

sector privado.

8. Fomentar la modernización constante del SPN, asimismo cautelar que los servicios

portuarios sean prestados de manera óptima.

9. Definir las normas técnicas para la ejecución de las diferentes actividades y

operaciones portuarias. De acuerdo a la libre competencia.

10. Normar la parte operativa, así como la administrativa en lo referido a la

infraestructura en los terminales portuarios, recepción, permanencia y despacho de

10

naves, embarque y desembarque de carga. En los terminales, apertura y cierre de

puertos y terminales portuarios.

Tamaño de la Empresa

La Autoridad Portuaria Nacional cuenta con una sede central y diez sedes (oficinas

desconcentradas) a nivel nacional; asimismo la APN cuenta con aproximadamente 220

empleados.

Breve Reseña de la Empresa

El 1 de marzo del 2003 fue promulgada la Ley N° 27943, Ley del Sistema Portuario

Nacional, que tiene como objetivo promocionar el desarrollo y la competitividad de todo

el SPN.

La Ley del Sistema Portuario Nacional (LSPN) contempla la creación de la

Autoridad Portuaria Nacional (APN) como un órgano técnico quien está a cargo del

Sistema Portuario a nivel de todo el Perú. Sus actividades son efectuadas bajo la

administración del Ministerio de Transportes y Comunicaciones, por lo que cuenta con

autonomía administrativa, en sus funciones, en lo técnico, económico y presupuestal.

La APN está encargada del desarrollo del Sistema Portuario Nacional, el fomento

de la inversión privada en los puertos y la coordinación de los distintos actores públicos

o privados que participan en las actividades y servicios portuarios, su propósito es definir

y fortalecer una integra comunidad portuaria que unifique los diferentes actores de

desarrollo portuario, tanto del sector público como el privado con el propósito de

fomentar la competitividad de los puertos del país en el marco de la globalización. A

continuación, se muestran Logos de la APN a lo largo del tiempo y su evolución:

Periodo 2003 - 2007

Figura 2.- Logo 1

Fuente: www.apn.gob.pe

11

Periodo 2008 - 2016

Figura 3.- Logo 2


Periodo 2017 - 2019

Figura 4.- Logo 3


Estructura de la Organización de la APN

Figura 5.- Estructura de la Autoridad Portuaria Nacional


12

Misión

“Es la responsable de la conducción del Sistema Portuario Nacional, planificando,

promoviendo, normando y efectuando las supervisiones de su desarrollo, con el objeto

de lograr su competitividad y sostenibilidad en el tiempo.”

Visión

“Ser reconocida como la institución líder en la conducción del desarrollo del SPN.”

Valores

✓ Liderazgo y autoridad: "Enseñar con el ejemplo"

✓ Eficiencia y calidad: "Hacerlo bien a la primera"

✓ Ética y transparencia: "Ser íntegro"

✓ Trabajo en equipo: "Ponerse en el lugar del otro para lograr el objetivo común"

✓ Responsabilidad social: "Ser conscientes del impacto social y ambiental"

✓ Compromiso: "Identificarse con la institución y sus objetivos"

Política de Calidad

• Fomentar el desarrollo y la competitividad de los diferentes puertos y del Sistema

Portuario Peruano.

• Normar todas las actividades y los diferentes servicios en los terminales e

instalaciones portuarias del Sistema Portuario Nacional, cumpliendo con los

requisitos establecidos en la normativa relacionada.

• Supervisar las distintas operaciones portuarias en general, cautelando que estas se

brinden con protección, seguridad, eficiencia y calidad.

• Contribuir a la mejora continua del Sistema Portuario peruano, de la seguridad en los

puertos y del Sistema de Gestión de la Calidad.

13

Política de Seguridad de la Información

✓ Proteger los activos del sistema de gestión de seguridad de la información de la APN,

frente a amenazas que puedan ser de origen interno o externo, deliberadas o

accidentales, con el propósito de asegurar su confidencialidad, integridad y

disponibilidad.

✓ Proporcionar los recursos necesarios para asegurar la aplicación de las medidas de

control necesarias para evitar que los riesgos de la seguridad de la información se

materialicen.

✓ Mejorar de forma continua la eficacia el sistema de gestión de seguridad de la

información a fin de reducir constantemente los riesgos de la seguridad de la

información.

✓ Dar cumplimiento a los requisitos legales y regulatorios que afectan a la organización

en lo referido a la seguridad de la información.

Productos y Clientes

La APN como entidad pública brinda diferentes servicios a la comunidad portuaria,

quienes son sus principales clientes:

Clientes

Agencias y empresas

Agencias Fluviales – 1era Categoría

Agencias Fluviales – 2da Categoría

Agencias Lacustres – 1era Categoría

Agencias Marítimas – 1era Categoría

Agencias Marítimas – 2da Categoría

Empresas de Estiba y Desestiba Fluvial – 1ra Categoría

Empresas de Estiba y Desestiba Fluvial – 2da Categoría

Empresas de Estiba y Desestiba Marítima – 1ra Categoría

Empresas de Estiba y Desestiba Marítima – 2da Categoría

14

Organizaciones licenciadas por APN:

Servicios Portuarios Básicos

Otorgamiento de Licencias - Fluvial:

Abastecimiento de Combustible

Avituallamiento

Buceo

Practicaje

Recojo de residuos

Transporte

15

Otorgamiento de Licencias - Marítimo:

Abastecimiento de Combustible

Amarre y desamarre

Avituallamiento

Buceo

Practicaje

Remolcaje

Transporte

Servicios generales:

1. Organización, coordinación y control del tráfico portuario marítimo terrestre.

2. Señalación, balizamiento y otras ayudas a la navegación para el acceso de la nave

a puerto.

3. Vigilancia y seguridad

4. Dragado

5. Alumbrado

6. Limpieza

7. Prevención y control de emergencias

8. Recepción y Despacho de Naves

Los servicios portuarios generales se prestarán en los puertos de la República, las 24

horas del día y los 365 días del año.

Certificaciones:

✓ Auditor Interno PBIP (Protección de buques e instalaciones portuarias).

✓ Curso Básico I PBIP

✓ Curso Básico II PBIP

✓ Gestión de Mercancías Peligrosas

16

✓ Gestión de Seguridad

✓ Oficial de Protección de Instalación Portuaria (OPIP)

Premios y certificaciones

✓ Certificación ISO 9001: Sistema de gestión de Calidad

Figura 6.- Portal WEB de la APN muestra Certificación ISO 9001: 2015


✓ Certificación ISO/IEC 27001 Sistema de gestión de Seguridad de la Información

Figura 7.- Portal WEB de la APN muestra Certificación ISO/IEC 27001: 2013


Relación de la Organización con la Sociedad

La APN realizó en Trujillo el Foro Universitario “El Desarrollo del Sistema Portuario

Nacional y la Importancia de la Cadena Logística en el Terminal Portuario de Salaverry”,

el cual tuvo como foco principal, el informar sobre todos los avances en el Sistema

Portuario y estrechar los lazos con la academia, que permitan coadyuvar en el desarrollo

portuario del país. Este magno evento se realizó el jueves 20 de octubre del 2016

teniendo como sponsor a la Universidad Nacional de Trujillo (UNITRU), a su vez recibió

a alumnos de las carreras de Ingeniería Civil, Ingeniería Industrial, Ingeniería Hidráulica,

quienes aprovecharon la oportunidad para conocer sobre diversos aspectos del ámbito

portuario.

http://www.apn.gob.pe/http://www.apn.gob.pe/

17

La Autoridad Portuaria Nacional realizó reuniones de sensibilización social en

instituciones educativas de Supe el 14 de agosto del 2018, como parte de las actividades

estipuladas en el Plan de Responsabilidad Social Institucional y las acciones del Comité

Técnico Consultivo de Responsabilidad Social Corporativa, Equidad de Género y

Empoderamiento de la Mujer, de la Comisión Interamericana de Puertos de la OEA,

presidido por la APN. Estas actividades comprendieron talleres ligados al cuidado del

ambiente y la igualdad de género, dirigidos a niños en educación primaria de la I.E.

Santa Rosa de Lima y estudiantes del nivel secundaria de la I.E. Pedro Ruiz Gallo,

ambas instituciones ubicadas en Puerto Supe. Las dinámicas, dirigidas a un total de 120

alumnos, reafirman el compromiso de la Autoridad Portuaria Nacional por promover

prácticas socialmente responsables en la población ubicada en zonas de influencia

portuaria.

Con el objetivo de sensibilizar a niños y jóvenes en etapa escolar sobre temas de

importancia social como el cuidado ambiental y la igualdad de género, la Autoridad

Portuaria Nacional (APN), en el marco de su Campaña ‘Cambiando juntos’ desarrolló

talleres y dinámicas en la ciudad de Ilo el 14 de noviembre del 2018. En esta ciudad, los

alumnos del 3er grado de primaria de la I.E. ‘Almirante Miguel Grau’ participaron de

manera lúdica sobre la importancia de preservar la fauna y flora, cuidar los mares y

reciclar. Mientras que, los alumnos de 4to de secundaria participaron de las dinámicas

sobre la igualdad de oportunidades entre varones y mujeres.

La APN desarrolló el Foro Universitario de Puertos, llamado ‘Situación actual del

Sistema Portuario Nacional y la importancia de la cadena logística en el Terminal

Portuario del Callao’, llevado a cabo el 27 de junio del 2019, en el Auditorio del Colegio

San Antonio Marianistas. El referido evento académico, fue presidido por la gerente

general de la APN, Verónica Zambrano Copello, estuvo dirigido a alumnos y docentes

de la Universidad Marítima del Perú (UMP), de la Escuela Nacional de Marina Mercante

‘Almirante Miguel Grau’ (ENAMM) y a los alumnos de 5° de secundaria del colegio

anfitrión.

Promoviendo un cambio social en la niñez y juventud ubicada en los diferentes

puertos del país, la APN, ha continuado con su campaña ‘Cambiando Juntos’ en la

ciudad de Yurimaguas. Las actividades, desarrolladas en la I.E. Monseñor Atanasio

Jáuregui, tienen como objetivo sensibilizar de manera lúdica a niños y jóvenes en etapa

escolar en dos puntos en particular: el cuidado ambiental y la igualdad de género. En

ese sentido, los alumnos de 2do y 3er grado de educación primaria de dicha institución

educativa fueron los primeros en ‘aprender jugando’ sobre la importancia de preservar

18

la fauna y flora, cuidar los ríos y reciclar. Mientras tanto, los alumnos de 4to y 5to de

educación secundaria participaron de las actividades para concientizar sobre la igualdad

de género, resaltando la igualdad de oportunidades para los hombres y las mujeres. Es

oportuno indicar que estas actividades están contempladas en el Plan de

Responsabilidad Social institucional y enmarcadas en la política institucional de unir el

puerto con la ciudad. Con esta actividad en Yurimaguas, la APN reafirma su compromiso

social con las zonas donde se desarrollan actividades portuarias, prosiguiendo con la

campaña ‘Cambiando Juntos’ en las ciudades de Puno, Ilo y Mollendo.

Con estas actividades, la APN reafirma su compromiso social con las zonas donde

se desarrollan actividades portuarias.

19

CAPÍTULO II

PLANTEAMIENTO DEL PROBLEMA QUE FUE ABORDADO

Caracterización del área en que se participó

La Autoridad Portuaria Nacional es un órgano técnico bajo el ámbito administrativo del

Ministerio de Transportes y Comunicaciones, La APN está conformado estructuralmente

por las siguientes áreas: a nivel estratégico cuenta con un Consejo Directivo y la

Gerencia General, a nivel operativo cuenta con la Dirección de Operaciones y Medio

Ambiente, la Dirección Técnica, la Dirección de Planeamiento y Estudios Económicos y

la Unidad de Protección y Seguridad; como órganos de asesoría cuenta con la Unidad

de Asesoría Jurídica, la Unidad de Relaciones Institucionales y por último como órganos

de apoyo cuenta con la Oficina General de Administración y la Oficina de Tecnologías

de la Información.

La oficina en la cual se ha desarrollado el presente trabajo es la Oficina de

Tecnologías de la Información (en adelante OTI) y está conformada por las siguientes

áreas: la Jefatura de la OTI, el área de Cumplimiento y Riesgos, el área de Gestión de

Proyectos, el área de Sistemas de Información, el área de Infraestructura y Operaciones,

y el área de Soporte Técnico, lo que se puede apreciar en la Figura 8 a continuación:

20

Figura 8.- Estructura de la Oficina de Tecnologías de la Información

Fuente: Plan Estratégico de Tecnologías de la Información-APN

21

La Jefatura de la OTI, es la encargada de promover las iniciativas estratégicas

para el uso de las TIC en la organización, el área de Cumplimiento y Riesgos es

responsable de la gestión y mantenimiento de la seguridad de la información, de la

gestión de los riesgos asociados a los activos de la organización y del establecimiento

de políticas, controles y buenas prácticas para garantizar la seguridad de la información

en la APN, el área de Gestión de Proyectos se encarga de la evaluación y el seguimiento

en la ejecución de los proyectos de TI, el área de Sistemas de Información es

responsable de la gestión y desarrollo de aplicaciones, así como el mantenimiento los

sistemas propios de la APN, el área de Infraestructura y Operaciones es responsable

de la infraestructura de red de la APN, así como de la administración y control de los

recursos informáticos, finalmente el área de Soporte Técnico es responsable de la

administración del servicio de mesa de ayuda así como del mantenimiento y soporte del

equipamiento tecnológico.

Como parte de la mejora continua, la OTI ha identificado sus procesos a fin de

gestionarlos de manera eficiente según se muestra en el mapa de procesos de la Figura

9:

22

Figura 9.- Procesos de la Oficina de Tecnologías de la Información

Fuente: Mapa de Procesos Sistema de Gestión de Seguridad de la Información APN

23

Antecedentes y Definición del Problema

Cuando la OTI inicio sus funciones en el 2011, tenía como función el dar soporte a los

usuarios, y a brindar soporte a los sistemas con los que se contaban en ese entonces

tales como el sistema GesDoc (Registro de Documentos) además del soporte técnico

para los equipos a nivel de usuario. Posteriormente en el año 2014, el Consejo Directivo

de la APN, le otorgo funciones de gestión como la unidad orgánica encargada de los

proyectos de innovación tecnológica.

En ese contexto, se debe tener en cuenta que la OTI no había definido ni

documentado sus procedimientos operativos, por lo que no contaba con herramientas

que le permitieran gestionar sus procesos a fin de salvaguardar la información de la

organización. Por otro lado, la OTI no había considerado la aplicación de un estándar o

buena práctica alguna para la prevención y gestión de los riesgos asociados a la pérdida

de información, que incluya la identificación, el análisis y la evaluación de los diferentes

riesgos de seguridad; teniendo en cuenta que ya se habían materializado ataques

informáticos a las partes interesadas de la comunidad portuaria. A fin de ilustrar este

punto se ha formulado una matriz FODA la que se puede visualizar en el Anexo 1.

El 24 de junio del 2017 la empresa APM Terminals se vio obligada a paralizar sus

operaciones en sus terminales, al ser víctimas de un ataque cibernético, lo que tuvo un

impacto social, económico y tecnológico significativo, ya que al no contar con la

adecuada planificación para la continuidad de sus operaciones ante dichos eventos

disruptivos como es un ciberataque, la operacionalización de sus servicios debió

efectuarse de manera restringida, generando sobrecostos para exportadores e

importadores; colas de hasta 30 buques a la espera de ser atendidos; el costo de

almacenaje en los depósitos (donde los exportadores guardan su carga a la espera de

ser embarcada) se incrementó en USD 25 por contenedor (costo de almacén era de

USD 250 paso a costar USD 275 por contenedor); lo que significó para el sector que:

• Las navieras perdieron contratos al no poder embarcar la carga a tiempo, por

embarque aproximadamente USD 615,000,

• Los Exportadores perdieron contratos al no poder gestionar la carga de manera

oportuna por un aproximado de USD 2´000,000

24

• Para los almacenes (quienes tienen programados los almacenajes), representó

la perdida de costo oportunidad.

• Las empresas de transportes perdieron contratos valorizados en USD 650,000.

(Gestión.pe. (2017, junio). Terminal del Muelle Norte del Puerto del Callao sufrió ataque

cibernético).

El 18 de agosto del 2018 ASBANC, confirmó ataques cibernéticos al sistema

financiero peruano, como resultado de estos eventos, se tuvieron que suspender los

servicios de diferentes organizaciones bancarias, a modo de prevenir un ataque más

crítico, Luego de estos incidentes, los ciberataques a las organizaciones y empresas del

Perú, se incrementaron en un 600% a lo largo de doce meses después, explicaron

ejecutivos de Bafing, empresa orientada a la implementación de soluciones de

seguridad informática. Los ataques más frecuentes que se han detectado son los

de denegación de servicios a los recursos de red o los conocidos ransomware, un

conocido tipo de virus que busca controlar el computador.

En esta parte es oportuno señalar que en su Reporte de Riesgo Global para el

2019, el Foro Económico Mundial ha señalado la materialización de ciberataques como

un riesgo con mayor probabilidad de ocurrencia ubicándolo en el quinto lugar, según se

muestra en la Figura 10 siguiente:

25

Figura 10.- Reporte de Riesgo Global para el 2019

Fuente: Informe de riesgos Mundiales 2019 - 14va Edición-World Economic Forum

26

Figura 11.- Panorama de los riesgos mundiales 2019

Fuente: Informe de riesgos Mundiales 2019-14va. Edición-World Economic Forum

27

Según se aprecia en la Figura 11, en el panorama de los riesgos mundiales para

el 2019, dentro de los 10 principales riesgos a nivel mundial con mayor probabilidad de

ocurrencia, y a su vez entre los 10 más importantes riesgos a nivel global, orientados a

impacto, se ubican los ciberataques.

Por otro lado, a nivel Latinoamérica según lo señalado por la División de

Investigación de Delitos de Tecnología de la Policía Nacional del Perú, la evolución de

los riesgos y amenazas informáticas del año 2013 al año 2016 fueron las siguientes,

según se visualiza en la Figura 12 a continuación:

Figura 12.- Riesgos y Amenazas Informáticas – América Latina

Fuente: Evolución de Riesgos-División de Investigación de Delitos de Tecnología de la PNP

Se debe mencionar que según las estadísticas para américa latina, presenta por

la empresa ESET, el 25.1 % de ataques de ransomware (secuestro de datos), fueron

identificados en el Perú, siendo la cifra más alta en la región durante el 2017, como se

muestra en la Figura 13 a continuación:

28

Figura 13.- Estadística América Latina-Ataques

Fuente: www.portal.andina.pe

En líneas generales se debe señalar que, al producirse un ataque cibernético, que

afecte la funcionalidad de los sistemas o aplicativos que dan soporte a los servicios de

recepción de naves y despacho de naves a nivel nacional, dichos servicios se paralizan

afectando directamente a:

Las operaciones de las naves y de los operadores portuarios

✓ Al no poder ser recibida por el proceso de recepción de naves, la nave no puede

ingresar al terminal portuario, el costo de perdida es del 5 por % de cada

contenedor, cada nave puede albergar hasta 1000 contenedores, cuya carga

puede llegar a estar valorizada en USD 1’000,000 dólares por contenedor, las

pérdidas pueden llegar a bordear los USD 50’000,000

✓ Se ven afectados las empresas de transporte, considerando que el costo del

transporte por contenedor es de un aproximado de USD 300 dólares, la perdida

puede ser de hasta USD 300,000 dólares. (dejan de percibir ingresos cuando la

nave cancela la recalada - costo oportunidad).

✓ Para el caso de las naves con mercadería, se debe considerar el costo de

almacenamiento extraportuario por contenedor, de USD 250 dólares, lo que

representa una pérdida de USD 250,000 dólares aproximadamente.

✓ Son afectados las agencias de servicios portuarios, al no poder efectuar la

prestación de sus servicios, dichos costos de servicios logísticos se estiman en

29

USD 750 dólares por servicio (embarque, desembarque, despacho y recepción)

por contenedor, sus pérdidas se estiman en 750,000.

La paralización de las operaciones portuarias representa aproximadamente USD

51´300,000, solo en el puerto del callao. Frente a estos ataques cibernéticos antes

mencionados, en ese sentido la tendencia a nivel mundial se ha orientado a la

implementación de medidas preventivas a fin de salvaguardar la información de las

organizaciones, entre las se pueden señalar las siguientes:

• Implementación de medidas de ciberseguridad.

• Concientización del Personal

• Implementación del Sistema de Gestión de Seguridad de la Información alineado

a la norma ISO/IEC 27001

• Implementación de herramientas tecnológicas para la prevención y

administración de eventos de seguridad.

• Implementación de servicio para la evaluación y análisis de vulnerabilidades de

la infraestructura tecnológica de la organización.

Considerando todo lo antes precitado, la problemática planteada se puede

plasmar en un diagrama de Ishikawa, el mismo que se puede apreciar en la Figura 14,

que se muestra a continuación:

30

Figura 14.- Diagrama de Ishikawa con la definición del Problema de APN

Fuente: Diagnostico situacional SGSI - APN

Al no haberse considerado estándares para garantizar la seguridad de la

información, la APN no contaba con los controles apropiados para una eficiente gestión

de seguridad, tampoco se contaba con las políticas o los protocolos basados en un

estándar para la seguridad de datos y activos de información, finalmente se debe

señalar que el personal interno no había sido capacitado y concientizado en seguridad

de información.

Es oportuno señalar que entre los años 2008 al 2015, se produjeron

aproximadamente, 2600 ciberataques como se puede apreciar en la Figura 15 a

continuación:

31

Figura 15.- Estadísticas de Ataques Cibernéticos 2008-2015

Fuente: Informe Técnico de Infraestructura y Operaciones 2008-2015

Posteriormente se puede visualizar en la siguiente Tabla 1, cuáles fueron los tipos de

ataques más recurrentes durante ese lapso:

Tabla 1 Tipos de Ataques entre 2008 – 2015

Fuente: Informe Técnico de Infraestructura y Operaciones 2008-2015

GusanoInyecccion

ficheros

Explotación

Vulnerabilida

des

Inyección SQLInfección por

correo maliciosoTotal por año

2008 9 15 20 12 20 76

2009 23 20 25 15 25 108

2010 28 32 72 20 32 184

2011 37 34 56 27 42 196

2012 54 43 45 80 51 273

2013 89 50 87 112 62 400

2014 103 78 132 201 97 611

2015 154 113 173 213 117 770

2618

32

Como consecuencia de los ataques cibernéticos antes citados, se produjo la

perdida de información, ello también debido a malas prácticas de almacenamiento de

información por parte de los usuarios, debido a que estos almacenaban su información

en los equipos, la que se vio comprometida durante los ataques antes señalados, por lo

que dicha información no pudo ser recuperada ocasionando un gran perjuicio a la

entidad. Se debe resaltar que, al no haberse considerado estándares de gestión de

seguridad alguno, el riesgo de pérdida de información era alto.

Problema

Problema General

¿Cómo la aplicación de la Norma ISO/IEC 27001, mejora la seguridad de la información

en la Autoridad Portuaria Nacional (APN)?

Problemas Específicos

1. ¿Por qué la aplicación de la Norma ISO/IEC 27001, permite documentar los

procedimientos operativos de tecnologías de la información de la Autoridad Portuaria

Nacional, para mejorar la seguridad de la información?

2. ¿Como la aplicación de la Norma ISO/IEC 27001, permite efectuar una óptima

gestión de riesgos, asociada a la pérdida de información y la seguridad de la

información?

3. ¿Por qué la aplicación de la Norma ISO/IEC 27001, permite contar con políticas de

seguridad específicas para proteger los activos de la organización?

4. ¿Como la aplicación de la Norma ISO/IEC 27001, permite concientizar al personal de

la organización sobre seguridad de la información?

Objetivos

Objetivo General

Determinar como la aplicación de la Norma ISO/IEC 27001, mejoró la seguridad de la

Información en la Autoridad Portuaria Nacional (APN).

33

Objetivos Específicos

1. Contar con procedimientos estandarizados que incluyan requisitos de seguridad para

proteger los activos de información.

2. Efectuar una óptima gestión de los riesgos que contemple la identificación de activos

de información, la evaluación de los riesgos y su correspondiente plan de tratamiento

asociada a la pérdida de información, de acuerdo con la Norma ISO/IEC 27001.

3. Desarrollar políticas específicas de seguridad asociadas al personal interno y al

personal externo de la APN, para proteger los activos de la organización.

4. Concientizar al personal de la Autoridad Portuaria Nacional con relación a la

seguridad de la información.

5. Reducir el número de eventos de seguridad de la información gracias a la aplicación

de la Norma ISO/IEC 27001.

Justificación

Considerando que la APN es una entidad pública que lidera el desarrollo del

sistema portuario nacional y administra información sensible e importante, y que,

durante los últimos años, el número de ciberataques se ha incrementado, especialmente

en nuestra región, la aplicación de dicha norma internacional brinda a las partes

interesadas de la comunidad portuaria, la seguridad que se aplican criterios de nivel

internacional para salvaguardar la información. El aplicar la Norma ISO /IEC 27001 en

la Autoridad Portuaria Nacional, le otorga los siguientes beneficios:

✓ Contar con procedimientos operativos documentados, basados en un estándar

especializado en seguridad de información tecnológica.

✓ Disminuir la probabilidad de materialización de los riesgos referidos a la pérdida

de información, al realizarse una adecuada gestión de los riesgos, efectuando el

tratamiento de estos de manera oportuna.

✓ Contar con políticas de seguridad específicas para la gestión de proveedores y

terceros que mantengan vínculo contractual alguno con la organización, lo que

permitirá establecer acuerdos de confidencialidad para proteger los activos de

información de la organización.

34

✓ Efectuar una óptima gestión de los sistemas de información contemplando sus

diferentes etapas tales como diseño, desarrollo, producción y mantenimiento;

protegiéndolos mediante la aplicación de los controles necesarios para prevenir

ataques informáticos que puedan afectar la continuidad de las operaciones.

✓ Implementar los controles necesarios para efectuar un apropiado mantenimiento

para la prevención y corrección en el equipamiento tecnológico de la

organización, considerando controles de seguridad.

Alcances y Limitaciones

El alcance del presente proyecto de implementación de un Sistema de Gestión de

Seguridad de la Información (en adelante SGSI), aplicando la Norma ISO /IEC 27001,

en la APN; incluye solo tres procesos, los cuales son:

• Gestión de Licencias

• Gestión de Recepción y Despacho de Naves

• Gestión de Sistemas de Información

Se incluyeron los dos primeros procesos debido a que son procesos misionales,

importantes para la organización y a su vez por estrategia, debido que estos cuentan

con la certificación ISO 9001 (Sistema de Gestión de Calidad), no obstante, no se han

incluido los demás procesos de Tecnologías de la Información, a fin de darle madurez y

estabilidad al SGSI.

Para el desarrollo del presente trabajo se debe señalar que la APN es una entidad

perteneciente al sector público, por lo que la documentación e información presentada

es de carácter reservado al tratarse de un tema de seguridad, en ese sentido se ha

considerado que en algunos casos dicha información se mostrará de forma parcial, solo

algunos gráficos, imágenes o inclusive solo los encabezados de los documentos.

En la Figura 16 que se muestra a continuación, se puede apreciar el mapa de

procesos de la APN en el cual se visualizan los procesos misionales y soporte que han

sido incluidos como parte del SGSI.

35

Procesos comprendidos en el alcance del Sistema de Gestión de Seguridad de la Información

GESTION DE LA DIRECCIÓN

SISTEMA INTEGRADO DE

GESTIÓN

CAPITAL HUMANO

Proc

esos

Mis

iona

les

Proc

esos

Es

trat

égic

os

Proc

esos

de

sopo

rte

Programación y formulación

de presupuesto

GESTIÓN DE ATENCIÓN AL

USUARIO

ASESORÍA JURÍDICA

GESTIÓN DE DESARROLLO PORTUARIO

GESTIÓN DE INFRAESTRUCTURA Y EQUIPAMIENTO

GESTIÓN DE OPERACIONES

GESTIÓN DE SOSTENIBILIDAD, PROTECCIÓN Y SEGURIDAD

GESTIÓN LOGISTICA Y

PATRIMONIO FINANZAS

GESTIÓN DE ADMINISTRACIÓN

Desarrollo del

PNDP

Revisión y

validación de

Planes Maestros.

Gestión de

licencias

Gestión recepción

y despacho de

naves

Gestión de

control y

fiscalización

Otorgamiento

de habilitación

portuaria

Viabilidad Técnica

Portuaria (temporal

y definitiva)

Gestión de

protección

portuaria

Inspección de

término de

obra

Inspección bianual

de estructura

Supervisión

ambiental Capacitación

portuaria

G. DE COMUNICACIONES

Gestión de

seguridad portuaria

GESTIÓN DE PLANEAMIENTO Y DESARROLLO

Gestión de

innovación y

conocimiento

Gestión de mesa de servicio

Gestión de Sistemas de la información

TECNOLOGIA DE LA INFORMACIÓN Y COMUNICACION

G. Dragado

GESTIÓN DOCUMENTAL

G. de infraestructura y

mantenimiento de

equipos

G. de Seguridad de la

Información**

Satis

facc

ión,

Res

ulta

dos

del S

iste

ma

de G

estió

n

Figura 16.- Mapa de procesos de la APN

Fuente: Sistema Integrado de Gestión de la APN

36

CAPÍTULO III

MARCO TEÓRICO

Organización Internacional de Estandarización ISO/IEC 27001:2013

La norma ISO/IEC 27001: 2013 fue publicada en el año 2013, sucediendo a la Norma

ISO 27001:2005. Este modelo incorpora las características sobre las que los entendidos

en este campo han llegado a un consenso como el estado internacional del arte. ISO /

CEI JTC 1 / SC 27 es un subcomité de estandarización del Comité Técnico Conjunto de

la Organización Internacional de Estandarización, dispone de expertos dedicados al

desarrollo de normas internacionales para sistemas de seguridad de la información,

también conocida como la familia de estándares del Sistema de Gestión de la Seguridad

de la Información (SGSI).

A través de la familia de normas ISMS (Información Security Management

System), las organizaciones pueden desarrollar e implementar un modelo de referencia

para administrar la seguridad de sus activos de información, incluyendo información

financiera, propiedad intelectual y detalles de los empleados, o información que les

confíen los clientes o terceros. Estas normas también pueden utilizarse para preparar

una evaluación independiente de su SGSI aplicado a la protección de la información.

Esta Norma Internacional ofrece una visión general de los sistemas de gestión para la

seguridad de la información y define términos relacionados.

La familia de normas ISMS incluye normas que permiten:

a) Definir requisitos para un SGSI y para aquellos que certifiquen dichos sistemas;

b) Proporcionar apoyo directo, orientación detallada y / o interpretación para el proceso

general para establecer, Implementar, mantener y mejorar un SGSI;

c) Abordar las directrices sectoriales específicas para el SGSI;

d) Abordar la evaluación de la conformidad para el SGSI.

Los términos y definiciones proporcionados en esta Norma Internacional:

• Cubren los términos y las definiciones comúnmente utilizados en la familia de

normas del SGSI;

• No limita la familia de normas ISMS en la definición de nuevos términos de uso.

37

Organización Internacional de Estandarización ISO/IEC 27002: 2013

El estándar ISO/IEC 27002: 2013, fue publicado en el año 2013 y sucede a la

versión del 2005. Este estándar internacional establece las mejores prácticas para la

administración de la seguridad de información en una organización, teniendo en cuenta

cómo implantar, darle sostenibilidad y optimizar un SGSI. El estándar comprende 14

dominios de seguridad, 35 objetivos de control que indica lo que se quiere lograr y 114

controles de seguridad que se pueden aplicar para el cumplimiento de cada objetivo;

cada uno de estos controles precisa requisitos y medidas de seguridad.

Los dominios citados previamente son:

• Políticas de Seguridad

• Aspectos Organizativos para la Seguridad de Información

• Seguridad ligada a los Recursos Humanos

• Gestión de los Activos

• Control de los Accesos

• Cifrado de Información

• Seguridad Física y del Ambiente

• Seguridad en las Operaciones

• Seguridad en las Telecomunicaciones

• Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información

• Relaciones con los Proveedores

• Gestión de Eventos e Incidentes de Seguridad

• Aspectos de Seguridad en la Gestión de la Continuidad del Negocio

• Cumplimiento Regulatorio

Evento / debilidad de Seguridad de la Información:

Esta referido a la ocurrencia identificada del estado de un sistema, servicio o

recurso de red, evidenciando una posible violación de la política de seguridad de la

información o alguna debilidad o falla en las medias y controles de seguridad, o una

situación desconocida que puede ser relevante y afectar la seguridad.

Incidente de Seguridad de la Información:

Eventos de seguridad de la información, que no son deseados ni mucho menos

esperados, sin embargo, tienen una relevante probabilidad de que puedan comprometer

las diferentes operaciones y servicios y que además amenazan la seguridad de los

activos de la organización.

38

Antecedentes Internacionales

Laca, H. (2009). Análisis de Procesos Portuarios. Croacia: Rijeka. Laca analizó

los procesos portuarios de la Autoridad Portuaria de Rijeka e indicó que la diversidad

del soporte tecnológico aplicado en el sector de la información y telecomunicaciones de

la Autoridad Portuaria de Rijeka requiere actividades razonables en cuanto a seguridad

de la información, para asegurar que los principios de excelencia hacia todas las partes

implicadas se puedan reflejar en cada uno de los niveles de los procesos clave de

seguridad, la información y los canales de intercambio. Por lo tanto, para el autor en su

análisis, la evaluación de los procesos clave comienza junto con la evaluación de la

totalidad de los riesgos y la implantación de un sistema para la seguridad de la

información consistente, no sólo de acuerdo a las reglas del sentido común y el buen

gobierno, sino también por un sistema óptimo de certificación de normas profesional y

normalizado. El sistema óptimo de certificación en este caso sería el internacionalmente

reconocido ISO/IEC 27001.

Calderón, A. (2015). Sistema de Gestión de Seguridad de la Información en el

área de redes. Colombia: Unad. El autor precisa que el eje central de ISO/IEC 27001,

es proteger la confidencialidad de los activos, así como la integridad de la información y

disponibilidad de los datos y recursos de una empresa a través de la evaluación de

riesgos, investigación e identificación de las potenciales dificultades que podrían afectar

la información y luego definiendo los mecanismos necesarios para mitigar o gestionar

los riesgos. Por lo tanto, la idea primordial de la norma ISO/IEC 27001 se fundamenta

en la gestión de riesgos, indagando dónde están los riesgos y luego tratarlos de manera

metódica. Los controles de seguridad se presentan como políticas, procedimientos e

implementación técnica, por ejemplo, en software y equipos. Sin embargo, en la mayor

parte de los casos, las empresas cuentan con hardware y software, pero los emplean

de forma no segura. Por ello, la mayoría de los lineamientos de implementación de la

norma ISO/IEC 27001, implica la determinación de las reglas organizacionales

documentadas para evitar vulneraciones en la seguridad. La implementación de esta

norma comprende la gestión de variedad de políticas, procedimientos, personas y

recursos. La norma ISO/IEC 27001 ha detallado cómo combinar todos estos

componentes dentro del sistema de gestión para la seguridad de la información (SGSI).

Por lo que el SGSI no se limita únicamente a la seguridad de TI, sino que además incluye

la gestión de procesos, recursos humanos, proveedores, protección legal y la protección

física.

39

Antecedentes Nacionales

Barrantes, C. & Hugo, J. (2012). Diseño e Implementación de un SGSI en

Procesos Tecnológicos. Perú: Edusm. Los Autores examinaron los impactos de la

implementación de un SGSI en Procesos Tecnológicos, tomando como ejemplo la

implementación de un SGSI en Perú basado en la norma ISO/IEC 27001 en la empresa

Telefónica del Perú quien logró la Certificación Internacional ISO/IEC 27001 para su

centro de datos que provee servicios de outsourcing de TI a las empresas más grandes

del Perú, así como para sus centros de operaciones móviles, de banda ancha y de redes

corporativas, cumpliendo estándares de talla mundial. Por lo cual, la gestión del centro

de datos y centro de operaciones móviles, han sido reconocidas por la adecuada

implementación y administración de SGSI. Esta certificación es un logro importante para

Telefónica del Perú, ya que la consolida como la operadora de mayor alcance en

Latinoamérica y la única que cuenta con la gestión de los servicios móviles y de gestión

del centro de datos. De esta manera, Telefónica declara su compromiso con el cliente,

fundamentado en la mejora continua y a su vez garantizando niveles de servicio que

permitan disponer de la información las 24 horas, siete días a la semana y los 365 días

del año. Todas las acciones realizadas por la empresa para la implementación de su

SGSI permiten que en adelante se logre un valor añadido a la oferta de Telefónica que

los diferencia no solo en Perú, sino también en Latinoamérica, dentro y fuera del Grupo

Telefónica, al contar con un sistema de gestión de la seguridad de la información

certificado bajo una norma internacional tanto para las redes como para los servicios de

TI. Además, implica una marcada ventaja competitiva ya que la seguridad de la

información crítica de sus clientes corporativos es una exigencia del mercado actual

debido a la creciente integración con redes y sistemas tanto internos como externos.

Los autores destacan que la seguridad de la información va mucho más allá de

implementar “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el

sistema de software, protegerse de amenazas externas o asegurar los datos mediante

“backups”. La seguridad de la Información requiere identificar lo que debe ser protegido,

los motivos, de quién y los mecanismos de seguridad; todo esto bajo un modelo integral

de gestión. Este reconocimiento confirma el correcto funcionamiento de los elementos

de seguridad que aseguran los pilares de confidencialidad de la información, la

integridad de datos y la disponibilidad de los servicios hacia los clientes y reconoce el

correcto uso de los procedimientos que aplica la empresa para resolver eficazmente los

problemas de seguridad de sus usuarios, reduciendo los fallos en el funcionamiento de

sus servicios.

40

Tupia, M., Bruzza, M. y Rodriguez, F. (2016). Modelo de Implementación de

Gobierno electrónico para empresas del estado peruano basadas en COBIT. Perú:

Waste. Los autores evidencian la importancia de implementar sistemas de seguridad de

información frente a la creciente demanda de servicios gubernamentales e indican que

“Los nuevos avances tecnológicos e innovaciones están preparando el escenario para

una mayor demanda de los servicios gubernamentales. Esto dará lugar, a su vez, a

nuevos servicios para el gobierno, que se verán obligados a incrementar su número y

tener en cuenta las restricciones pertinentes, por ejemplo, la seguridad de la información

para el cumplimiento de la normativa en las aplicaciones móviles (apps) y debido a la

enorme cantidad de información que hay que proteger por las instituciones

gubernamentales que prestan servicios a través de ellos, es obligatorio desarrollar un

marco que facilite la implementación de controles y el seguimiento de las buenas

prácticas internacionales sobre seguridad de la información, tanto en los proyectos de

implementación de los U-Servicios (servicios ubicuos), los gobiernos y la seguridad de

las aplicaciones ya existentes.”

41

CAPÍTULO IV

DESARROLLO DEL PROYECTO

Como se señaló en la definición del problema, cuando la OTI dio inicio a sus actividades

en él 2011, solo brindaba el servicio de soporte a los usuarios. Posteriormente en el año

2014 se le atribuyeron actividades operativas como oficina encargada de la innovación

tecnológica de la entidad, no obstante, la OTI no había organizado ni documentado sus

procedimientos para gestionar la seguridad de información de la organización, ante los

recurrentes incidentes y eventos de seguridad.

En el contexto previamente señalado, se planteó conocer las condiciones en las

que la OTI se encontraba, a fin de entender el problema y como la aplicación de la

Norma ISO/IEC 27001, mejora la seguridad de la información en la APN. A continuación,

se detalla la implementación del proyecto y sus diferentes fases:

Fase 1: Organización del Proyecto

Fase 2: Planificación del Sistema de Gestión de Seguridad de la Información

Fase 3: Despliegue del Sistema de Gestión de Seguridad de la Información

Entregables del Proyecto

• Información documentada como parte de los requisitos de la ISO/IEC 27001.

• Manuales:

o Manual del SGSI

o Manual de Funciones y Responsabilidades del SGSI

o Manual de Indicadores de SGSI

• Metodología de Gestión de Riesgos y Oportunidades

• Políticas:

o Política de Seguridad de la Información

42

o Política de Seguridad Física y del Ambiente

o Política de Seguridad de las Operaciones

o Política de Seguridad en las Comunicaciones

o Política de Relación con los Proveedores

o Política de Seguridad ligada a Recursos Humanos

o Política de Cumplimientos

o Política de Gestión de Incidentes

o Política de Gestión de Activos

o Política de Control de Accesos

o Política de Organización de Seguridad de la Información

• Procedimientos:

o Procedimiento de Inventario de Activos

o Procedimiento de Gestión de Cumplimiento

o Procedimiento de Relación con los Proveedores

o Procedimiento de Seguridad y Correcto uso de las Instalaciones

o Procedimiento de Gestión de Incidentes

Cronograma y Planificación de Actividades

La implementación de la Norma ISO/IEC 27001, tuvo una duración de 8 meses,

dichas actividades se han detallado en el Cronograma de Actividades (Anexo 2).

Organización del Proyecto

En la Tabla 2, se detallan las responsabilidades y los roles que se definieron para

el desarrollo del proyecto:

43

Tabla 2 Tabla de Roles y Responsabilidades

Fuente: Proyecto de implementación del SGSI de la APN

Roles

Responsabilidades

Responsable del Proyecto

(Fernando Soriano

Medrano)

Jefe de la Oficina de

Tecnologías de la Información

(Mariela Gutarra Ramos)

Comité de Seguridad de la Información

(Jefes de áreas)

Responsable del Proceso

(Jefe de área dueñas del proceso)

Formular las propuestas de información documentada (Procedimientos, Políticas, Directivas, Manuales, Formatos)

Revisión de propuesta de información documentada

Aprobar la propuesta de información documentada

Formulación de los inventarios de activos de información

Revisión de inventarios de activos de información

Aprobar los inventarios de activos de información

Efectuar la identificación, análisis y evaluación de riesgos

Revisar el registro de identificación, análisis y evaluación de riesgos

Aprobar el registro de identificación, análisis y evaluación de los riesgos

Formulación de los planes de tratamiento de riesgos

Revisión de los planes de tratamiento de riesgos

Aprobar los planes de tratamiento de riesgos

Registro del nivel de cumplimiento de requisitos del estándar

44

Registro de los bancos de datos personales identificados ante la entidad competente.

Realización de capacitaciones al personal de la organización sobre seguridad de la información.

Registro de eventos e incidentes de seguridad de la información en la APN

Organizar las capacitaciones y charlas de concientización sobre seguridad de la información

Difundir y convocar al personal a las capacitaciones

Efectuar el registro del personal asistente a las capacitaciones

Como se observa el suscrito fue el responsable del desarrollo de las propuestas y

proyectos, los mismos que fueron revisados y aprobados por el personal señalado en la

Tabla 2. Se adjuntan asimismo las actas de constitución de proyecto respectivas en el

Anexo A1.

Fases del Proyecto de Implementación de la Norma ISO/IEC 27001

En la Tabla siguiente, se aprecia un resumen de las actividades del proyecto y a

su vez se incluye los productos respectivos.

Tabla 3 Tabla de Actividades y Productos


Descripción de actividades y sus productos

Fase 1: Organización

Actividades a desarrollar Producto

Taller de sensibilización y concientización Material empleado en el taller

Fase 2: Planificación


45

➢ Definición del Alcance del SGSI. ➢ Documento de Alcance del SGSI.

➢ Formulación de la Política de Seguridad de la Información.

➢ Política de Seguridad de la Información

➢ Definición de los objetivos de seguridad de la información.

➢ Documento de Objetivos de Seguridad

➢ Definición de la comprensión de la organización y su contexto interno y externo.

➢ Documento de análisis de Contexto Interno y Externo de la Institución.

➢ Identificación de las Partes interesadas. ➢ Documento de Identificación de Partes interesadas

➢ Definición de las dependencias entre actividades, funcionamiento y operatividad del sistema de gestión.

➢ Manual del SGSI

➢ Definición de las funciones y responsabilidades del SGSI.

➢ Manual de Funciones y Responsabilidades del SGSI

➢ Formulación del Procedimiento para Creación, Actualización y control de Documentos del SGSI.

➢ Procedimiento de Creación, Control y Actualización de Documentos del SGSI

➢ Formulación del Plan de Comunicaciones del SGSI.

➢ Procedimiento del Plan de Comunicación del SGSI

➢ Definición de la Metodología para la Gestión de Riesgos y Oportunidades.

➢ Metodología de Gestión de Riesgos y Oportunidades

➢ Identificación y clasificación de activos de información.

➢ Formato de Inventario de Activos de Información

➢ Análisis y evaluación de los riesgos de activos de información.

➢ Formato de Gestión de Riesgos y Oportunidades

➢ Gestión y tratamiento de riesgos. ➢ Formato de Plan de Tratamiento de Riesgos

Fase 3: Despliegue


➢ Definición de la aplicabilidad- Definición de los Controles del Anexo A:

➢ Formato SGSI-FO-46-SOA Declaración de aplicabilidad.

➢ A.6 Organización de la Seguridad de la Información.

➢ Política de Organización del SGSI

➢ A.7 Seguridad de los Recursos Humanos. ➢ Política de Seguridad ligada a los Recursos Humanos

➢ A.8 Gestión de los Activos. ➢ Política de Gestión de Activos

➢ A.9 Gestionar el Control de los Accesos ➢ Política de Control de Accesos

➢ A.10 Criptografía y cifrado de información ➢ Política de Uso de Controles criptográficos

➢ A.11 Seguridad Física y Ambiental ➢ Política de Seguridad Física y del Ambiente

➢ A.12 Seguridad de las Operaciones ➢ Política de Seguridad en las Operaciones

➢ A.13 Seguridad de las Comunicaciones ➢ Política de Seguridad en las Comunicaciones

➢ A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas.

➢ Política de Adquisición, y Mantenimiento de Software

➢ A.15 Relación con los Proveedores ➢ Política de Relación con los Proveedores

➢ A.16 Gestión de Incidentes de Seguridad de la Información.

➢ Política de Gestión de Incidentes de Seguridad de la información

➢ A.17 Aspectos de Seguridad de la Información en la Continuidad del Negocio.

➢ Política de Gestión de la Continuidad Operativa

➢ A.18 Cumplimiento.

➢ Política de Cumplimiento

➢ Política de Protección de los Datos Personales

46

➢ Documento Maestro de Protección de Datos Personales

➢ Definición de Indicadores del SGSI ➢ Documento SGSI-FO-44 Seguimiento Medición Indicadores SGSI

A continuación, se explica el desarrollo de cada fase:

Fase 1 Organización

Durante la Fase de Organización, se realizaron las siguientes actividades:

Se efectuó el Taller de Capacitación y Sensibilización sobre Seguridad de la

Información, el mismo que tuvo como enfoque, el capacitar al personal de la

organización sobre los principios de la confidencialidad, integridad y disponibilidad y

como la aplicación de la norma ISO/IEC 27001 beneficia a la organización en diferentes

aspectos, tales como:

• Dar cumplimiento a las normas legales decretadas por el gobierno.

• Evitar penalidad (multas) por no implementar los requisitos regulatorios para la

protección de datos.

• Gestionar los riesgos de seguridad de información de la organización.

En la Figura 17 se visualiza la portada del material empleado para la realización

del taller dirigido al personal interno de la APN.

Figura 17.- Portada Inicial del Material del Taller

Fuente: SGSI de la APN

47

En la Figura 18. se observa la temática presentada, acorde con el nivel de

madurez de la organización, a su vez como parte de dicho taller se desarrollaron 3

módulos de capacitación.

Figura 18.- Temática del Taller sobre Seguridad de la Información


Dicho taller incluyó un examen final en la última etapa de los módulos de

capacitación, a fin de evaluar el nivel de comprensión de la temática planteada al

personal e identificar las oportunidades de mejora para la concientización

La realización del referido taller permitió que tanto el personal operativo como el

personal ejecutivo fuera sensibilizado, con relación a la seguridad de información y su

necesidad de mejora mediante la aplicación de la norma ISO/IEC 27001, también

permitió que la Alta Dirección fuera concientizada con relación al impacto de la

ocurrencia de incidentes de seguridad en los procesos de la organización a nivel

estratégico.

Con la realización del mencionado taller, se concluyó la Fase 1: Organización.

Fase 2 Planificación

Durante la Fase de Planificación, se hizo necesario la ejecución de las siguientes

actividades:

48

Definición del Alcance. - El objeto de definir el alcance, es establecer los límites

del SGSI de la APN, ello implica el determinar la información que se ha de proteger,

independientemente que esta sea almacenada, procesada o gestionada por terceros,

quienes en todo caso han de considerar la aplicación de las medidas de seguridad

respectivas, por ende, dichas medidas de seguridad se transfieren a los terceros

quienes administran la información cedida, todo ello alineado al contexto de la

organización.

En la Figura 19. se aprecia el Documento de Alcance del SGSI de la APN, el

mismo que fue aprobado por la Gerencia General.

Figura 19.- Alcance del Sistema de Gestión de Seguridad de la Información


49

En dicho documento se han plasmado los límites del sistema, estableciendo los

procesos críticos cuya información se ha de proteger, mediante el cumplimiento y la

aplicación de los requisitos de la Norma ISO/IEC 27001; teniendo en cuenta que la

norma requiere que la organización debe determinar los límites y la aplicabilidad del

sistema de gestión de seguridad de la información para establecer su alcance.

Formulación de la Política de Seguridad de la Información. - Se formuló la

propuesta de la política de seguridad, considerando la necesidad de contar con un

documento que establezca los lineamientos generales, relacionado a la seguridad de la

información, ello permitió crear un marco de referencia que sea adecuado para la

seguridad al interior de la APN. Se debe señalar además que dicha política señala el

compromiso, la intención y la voluntad de la alta dirección con relación a la seguridad,

posteriormente dicha política fue validada por el Comité de Seguridad de la Información

(en adelante CSI) y fue aprobada mediante la Resolución de Gerencia General, la

misma que fue publicada en el portal institucional de la APN.

En la Figura 20. se aprecia la Política de Seguridad de la Información de la APN,

50

Figura 20.- Política de Seguridad de la Información de la APN


En la Política de Seguridad de la Información, se han incorporado los lineamientos

establecidos por la Gerencia General, demostrando de esa manera su liderazgo con

relación a la seguridad de la información.

Definición de los Objetivos de Seguridad de la Información. - Para la

formulación de los objetivos de seguridad, se aplicó lo señalado en la norma teniendo

51

en cuenta que dichos objetivos deben tener ciertas características, tales como que estos

deben ser medibles, ser comunicados y actualizados de acuerdo a las necesidades de

la organización, asimismo dichos objetivos se sustentan en el marco que brinda la

Política de Seguridad, así como los resultados provenientes de la evaluación de riesgos

con su respectivo tratamiento. Para la formulación de los objetivos, se contemplaron una

serie de actividades que fuesen pertinentes, a fin de alcanzar las metas planteadas.

Para dicha medición se cuentan con indicadores que precisan como se han de medir

los resultados, quien es el personal responsable, cuáles son los recursos que serán

asignados, así como la periodicidad de las mediciones; dichos indicadores son

revisados por el CSI y la Gerencia General, a fin de adoptar las medidas que permitan

la mejora de la seguridad de la información y se asegure contar con los recursos

necesarios para alcanzar los objetivos y metas propuestos.

En la Figura 21. se aprecia el Documento de Objetivos de Seguridad de la

Información de la APN, el cual es un documento interno de la organización.

Figura 21.- Objetivos de la Seguridad de la Información


Comprensión de la organización y su contexto interno y externo. – Se formuló

la propuesta del documento que establece el contexto interno y externo, el mismo que

fue presentado a la Gerencia General y al CSI, en dicha presentación se expuso el

propósito de identificar los factores que afectan o podrían afectar al SGSI de la APN,

considerando a su vez que podrían tener un impacto directo en el cumplimiento de las

metas relacionadas a la Seguridad de la Información de la APN.

En la Figura 22 se aprecia el Documento de contexto Interno y Externo del SGSI

de la APN,

Figura 22.- Contexto Interno y Externo de la APN.


52

En el referido documento, se han contemplado los diferentes factores que afectan

al SGSI, el mismo incluye una matriz FODA, (Ver Anexo 3), a fin de visualizar las

fortalezas identificadas, así como las debilidades, y finalmente las oportunidades y las

amenazas, relacionadas a la seguridad de la información. Se debe señalar que dicha

matriz fue el producto de una evaluación del CSI, quien realizó un análisis estratégico de

las fortalezas y de las debilidades internas de la organización, así como de las

oportunidades y amenazas que se presentaban en el entorno.

Identificación de las Partes Interesadas. - Se formuló el análisis respectivo a

fin de identificar las partes interesadas, en función al contexto previamente definido,

asimismo se han listado todas las necesidades identificadas de las partes interesadas

con relación a la APN.

En la Figura 23. se aprecia el Documento de Requisitos de Partes Interesadas de

la APN, el mismo que es un documento interno de la organización.

Figura 23.- Requisitos de las Partes Interesadas de la APN


Definición de las dependencias entre actividades, funcionamiento y

operatividad del SGSI. - Se elaboró la propuesta del Manual del SGSI de la APN, el

mismo que detalla las actividades, tareas y dinámica para implantar, hacer sostenible

en el tiempo y optimizar el SGSI de la APN. Dicho manual también detalla las

operaciones necesarias para la aplicación de los controles indispensables para asegurar

una gestión apropiada que permita la protección adecuada de los activos de la APN.

En la Figura 24. se muestra el Manual del SGSI de la APN, el mismo que es un

documento interno de la organización.

53

Figura 24.- Manual del Sistema del SGSI


Definición del Funciones y Responsabilidades del SGSI. - A fin de dar

cumplimiento a lo establecido por la regulación vigente, considerando que la norma

emitida para tal efecto la Resolución Ministerial, establece las funciones del Comité, se

formuló el Manual de Funciones y Responsabilidades, el mismo que precisa las

funciones y responsabilidades dentro del SGSI, el manual permite visualizar los roles y

las tareas inherentes a cada función con relación a la seguridad, ello asegura que el

sistema sea autosuficiente, considerando que el personal que asuma la funciones

descritas en el mismo, conocerá sus responsabilidades y deberes relacionados a la

54

seguridad, asimismo conocerá que se espera de este durante las diferentes etapas de

implementación del SGSI.

En la Figura 25 se visualiza el Manual de Funciones y Responsabilidades del

SGSI, el mismo que es un documento interno de la APN.

Figura 25.- Manual de Funciones y Responsabilidades del SGSI


Formulación del Procedimiento para la Creación, Actualización y Control de

Documentos del SGSI. - Se aprovechó la aplicabilidad del estándar ISO/IEC 27001,

con el objeto de contar con procedimientos documentados que permitan detallar la

ejecución de las operaciones de la OTI, en ese sentido se desarrolló el Procedimiento

para la creación, actualización y control de documentos del SGSI, dicho procedimiento

55

establece los criterios para la formulación de la información que sea documentada,

propia del SGSI y de aplicación de la OTI, a su vez el referido procedimiento permite

controlar la generación de la documentación a lo largo de su tiempo de vida, en su

creación, cambios, actualización y eliminación, lo que ayuda a preservar las evidencias

y los registros de versiones, así como documentar de manera estandarizada los

procesos operativos de la OTI.

En la Figura 26 se visualiza el Procedimiento de Creación, Actualización y Control

de Documentos del SGSI

Figura 26.- Creación, Actualización y Control de Documentos


El referido procedimiento describe el formato, estructura, forma, condiciones y

responsabilidades para la creación, actualización y control de los documentos tales

como procedimientos, políticas, manuales, directivas, formatos, etc.

Formulación del Plan de Comunicaciones del SGSI. - Se formuló el Plan de

Comunicaciones, el mismo que es una herramienta de gestión del SGSI, este plan

permite establecer el mecanismo de comunicaciones a nivel interno y externo del

sistema de gestión, también establece los canales de comunicación, así como los

responsables respectivos. Permite conocer: el tipo de comunicación, que comunica,

quien comunica, como se comunica (método), quien comunica, y cuando se comunica.

Como parte del Plan de Comunicaciones, en la Figura 27 se visualiza el formato

(matriz) del Plan de Comunicaciones Interna y Externa, dicho plan es un documento

interno de la APN.

56

Tipo de

Comunicación

Qué Comunica

Quien Comunica

Cómo Comunica(método)

A Quien Comunica

Cuando Comunica

Interna La Política del SGSI Gerencia General Correo electrónico A todo el personal de APN Una vez al año

Interna Resultado de la auditoria Oficial de Seguridad Reunión Comité de Seguridad Una vez al año

Externa La Política del SGSI Gerencia General Carta/Correo electrónico Partes interesadas A solicitud

Interna

Actualización de Documentos

del SGSI

Gerencia General

Resolución

A todo el personal de APN

A solicitud

Externa Documentos o información de

interés del SGSI Oficial de Seguridad Correo electrónico Partes interesadas A solicitud

Figura 27.- Plan de Comunicaciones Interna y Externa del SGSI de la APN


Código: SGSI-FO-55

Versión: 01

Aprobado: GG

Fecha: 12.09.2017

MATRIZ DE

COMUNICACIONES

57

Desarrollo de la Metodología para la Gestión de Riesgos y Oportunidades. – Se

formuló una metodología que permite efectuar la gestión de riesgos y oportunidades de

seguridad de información, en esta parte del proyecto, se contó con la ayuda de un

consultor externo para asegurar que dicha metodología recoja las necesidades de la

APN. los roles se desarrollaron de la siguiente manera:

Tabla 4 Tabla de Roles para la formulación de la Metodología de Gestión de riesgo


Roles

Responsabilidades

Responsable del Proyecto

(Fernando Soriano Medrano)

Consultor Externo

(Proveedor)

Jefe de la Oficina de

Tecnología de la Información

Formular la propuesta del documento de Metodología para la Gestión de Riesgos.

Revisión de propuesta de Metodología para la Gestión de Riesgos

Aprobación de la propuesta de Metodología para la Gestión de Riesgos

El consultor orientó la parte procedimental, y participó durante la revisión de la

propuesta de la Metodología para la Gestión de Riesgos, mientras que la Jefatura de la

OTI aprobó la metodología propuesta; se debe subrayar que el contar con dicha

metodología para tratar los riesgos, permite establecer una forma metódica para realizar

la identificación, el respectivo análisis y la consecuente evaluación de los riesgos y

oportunidades de la seguridad de la información, a su vez establece las definiciones y

conceptos que han de ser empleados para la gestión de riesgos asociados a la

seguridad de la información.

La metodología implica la adecuada gestión de riesgos adaptada a las

necesidades de la APN, identificando todos aquellos riesgos que estén asociados a los

activos de información, evaluando dichos riesgos y estableciendo el plan de tratamiento

de riesgos respectivo. El establecer dicha metodología implica que se privilegie los

pilares de la seguridad de la información; también significa que los riesgos sean visibles

para los responsables de la gestión de información (los que generan, procesan,

58

controlan y almacenan información) y que dichos riesgos puedan ser identificados de

acuerdo a los criterios previamente definidos en la metodología, para analizar y evaluar

los riesgos que son considerados críticos y sobre la base de los cuales se pueda

formular un plan de tratamiento que permita gestionarlos.

En la Figura 28. se visualiza la Metodología de Gestión de riesgos y

oportunidades, el que es un documento interno de la APN.

Figura 28.- Metodología de Gestión de Riesgos y Oportunidades


59

Identificación y Clasificación de los Activos de la información. - A fin de efectuar

una correcta gestión de riesgos, es necesario identificar los activos de información

comprendidos en el SGSI; para ello se desarrolló el Procedimiento de Inventario de

Activos, el mismo que permite listar los activos de información identificados, que

pertenecen a los procesos del alcance del SGSI, dicho inventario también establece el

criterio para la descripción de los activos de información lo que incluye:

✓ Código

✓ Nombre

✓ Descripción

✓ Propietario

✓ Ubicación

✓ Tipo y Categoría

✓ Clasificación

✓ Valoración del activo

En la Figura 29. se visualiza el formato de Inventario de activos de información

con sus respectivos campos, en el cual se hace visible la valoración de los activos.

60

Figura 29.- Formato de Inventario de Activos

Fuente: SGSI-APN

CÓDIGO DEL

ACTIVOPROCESO

TIPO DE

ACTIVOCATEGORÍA ACTIVO DESCRIPCIÓN PROPIETARIO UBICACIÓN CLASIFICACIÓN

VALORACIÓN

DEL ACTIVO

LICOPR-01Gestión de

LicenciasInformación

Software desarrollado

internamenteSAGA

Software que permite la gestion integral del proceso

de otorgamiento, incremento, reducción,

cancelacion de licencias de operación, reglamento

de operaciones, que otorga la APN a los

administrados (agencias marítimas y empresas que

requieran las licencias para su funcionamiento)

OTI/DOMA/UAJ OTI Uso Interno Alta



Información-Documento

electrónico

Solicitud Unica de comercio

Exterior - SUCE y requisitos

TUPA para el otorgamiento,

incremento o reducción de

embarcaciones, cancelación

de licencias

Expediente electronico y la documentación según

requisitos TUPA.

Abarca trámites (otorgamiento, incremento o

reducción de embarcaciones y cancelación)

OTI/DOMA/UAJ OTI Uso Interno Alta


LicenciasPersonas Personal de la Entidad Especialistas DOMA / UAJ

Especialistas en el ordenamiento administrativo y

operativo de los servicios portuariosDOMA DOMA / UAJ N.A. Alta


LicenciasFísico Físico-Equipo

Computadoras e impresoras

DOMA / UAJ

Computadoras asignadas a los especialistas y

técnicos de la DOMA- LicenciasOTI DOMA / UAJ Uso Interno Medio


LicenciasFísico


electrónico

Servicio de Correo

electrónicoServicio de mensajería electrónica OTI OTI Uso Interno Medio


LicenciasFísico Físico-Equipo

Teléfono móvil asignado por

la APN

Teléfono móvil asignados a los especialistas y

técnicos de DOMA-LicenciasOTI DOMA / UAJ Uso Interno Medio


LicenciasSoftware

Software desarrollado

internamente

Sistema de Gestion

Documentaria - SIGEDSistema de Gestión Documentaria OTI OTI Uso Interno Alta




electrónico

Registros en excel de

licencias y medios

autorizados.

Libros en excel de embarcaciones, prácticos, buzos,

administrados con licencia vigente, correlativo de

licencias, etc.

DOMA DOMA Uso Interno Alta

61

Análisis y Evaluación de los Riesgos. – A fin de plasmar el adecuado análisis y su

correspondiente evaluación de riesgos de acuerdo a lo establecido en la Metodología

para la Gestión de Riesgos y Oportunidades, se desarrolló un Formato, en el cual se

describen los activos con el siguiente detalle:

✓ Activo: se indica el nombre del activo al cual está asociado el riesgo

✓ Código del Riesgo: el número de correlativo de cada riesgo

✓ Nombre del Riesgo: el nombre del riesgo identificado

✓ Amenaza: Evento potencial que puede ocasionar daño al activo.

✓ Vulnerabilidad: Debilidad que puede ser explotada por determinada amenaza.

✓ Valor CID: El valor que se obtiene al evaluar cada uno de los criterios de

seguridad; Confidencialidad, Integridad y Disponibilidad.

✓ Propietario: El responsable de la gestión del riesgo.

✓ Análisis de Riesgo: La acciones que se realizan para evaluar la probabilidad de

ocurrencia de un riesgo y el impacto que este tendría sobre la organización,

obteniéndose el nivel de riesgo.

✓ Opción de Tratamiento: La opción más apropiada que se ha de seleccionar para

mitigar el riesgo identificado.

Es oportuno añadir que la formulación de este registro es importante, ya que

permitirá a los propietarios de los riesgos identificados, añadir nuevos riesgos o

actualizar los existentes.

En la Figura 30 se visualiza la matriz de Gestión de Riesgos y Oportunidades.

62

Figura 30.- Formato de Gestión de Riesgos y Oportunidades


C I D VALOR CID IMPACTO PROBABILIDADNIVEL DE

RIESGO

SAGA LICOPR-01 Indisponibilidad del Sistema AM99 - CiberataquesVU96 - No se realiza Ethical

Hacking interno / externoBaja Baja Alta Significativo DOMA Significativo Baja Mediano Mitigar

Solicitud Unica de comercio Exterior -

SUCE y requisitos TUPA para el

otorgamiento, incremento o reducción de

embarcaciones, cancelación de licencias

LICOPR-02

Pérdida de información declarada de

la SUCE durante la interconexion del

los sistema VUCE &SAGA

AM80 - Pérdida de

información

VU27 - Software inmaduro

o nuevoBaja Baja Media Menor DOMA Menor Baja Bajo Aceptar

Especialistas DOMA LICOPR-03

Retraso en la ejecución de

actividades que afectan al

cumplimiento del proceso

AM42 - Ruptura en la

disponibilidad del

personal

VU43 - Ausencia del

personalAlta Alta Baja Catastrófico DOMA Catastrófico Muy Baja Mediano Mitigar

Sistema de Gestion Documentaria - SIGED LICOPR-04

Retraso en la

mejora de la seguridad de la informaciÓn en...

Documents