mejora de la seguridad de la informaciÓn en...
TRANSCRIPT
-
FACULTAD DE INGENIERÍA
Carrera de Ingeniería Empresarial y de Sistemas
MEJORA DE LA SEGURIDAD DE LA INFORMACIÓN EN LA AUTORIDAD PORTUARIA NACIONAL,
APLICANDO LA NORMA ISO 27001
Trabajo de Suficiencia Profesional para optar el Título Profesional
de Ingeniero Empresarial y de Sistemas
FERNANDO ESTEBAN SORIANO MEDRANO
Asesor:
Angela Teresa Barreda Ramírez de Santillán
Lima – Perú
2019
-
2
INDICE GENERAL
INDICE GENERAL 2
INTRODUCCIÓN 7
CAPÍTULO I 8
GENERALIDADES DE LA EMPRESA 8
Datos Generales 8
Nombre o Razón Social 8
Ubicación de la Empresa 8
Giro de la Empresa 9
Tamaño de la Empresa 10
Breve Reseña de la Empresa 10
Estructura de la Organización de la APN 11
Misión 12
Visión 12
Valores 12
Política de Calidad 12
Política de Seguridad de la Información 13
Productos y Clientes 13
Clientes 13
Premios y certificaciones 16
Relación de la Organización con la Sociedad 16
CAPÍTULO II 19
PLANTEAMIENTO DEL PROBLEMA QUE FUE ABORDADO 19
Caracterización del área en que se participó 19
Antecedentes y Definición del Problema 23
Problema General 32
Problemas Específicos 32
Objetivo General 32
Objetivos Específicos 33
Justificación 33
Alcances y Limitaciones 34
CAPÍTULO III 36
MARCO TEÓRICO 36
Organización Internacional de Estandarización ISO/IEC 27001 36
Organización Internacional de Estandarización ISO/IEC 27002 37
-
3
Antecedentes Internacionales 38
Antecedentes Nacionales 39
CAPÍTULO IV 41
DESARROLLO DEL PROYECTO 41
Entregables del Proyecto 41
Cronograma y Planificación de Actividades 42
Organización del Proyecto 42
Fases del Proyecto de Implementación de la Norma ISO/IEC 27001 44
ANALISIS Y RESULTADOS 81
CONCLUSIONES 99
RECOMENDACIONES 101
ANEXOS 102
REFERENCIAS 123
Electrónicas 124
Tesis 125
-
4
INDICE DE TABLAS
Tabla 1 Tipos de Ataques entre 2008 – 2015 31
Tabla 2 Tabla de Roles y Responsabilidades 43
Tabla 3 Tabla de Actividades y Productos 44
Tabla 4 Tabla de Roles para la formulación de la Metodología de Gestión de riesgos 57
Tabla 5 Resultado de la Implementación de acciones para el tratamiento de riesgos 73
Tabla 6 Resultado de la Implementación de acciones para la gestión de eventos 75
Tabla 7 Normas consideradas en el desarrollo del Proyecto 80
Tabla 8 Implementación de Acciones para el tratamiento de riesgos 88
Tabla 9 Capacitaciones del Personal 91
Tabla 10 Evaluaciones del Personal 92
Tabla 11 Evaluación de Incidentes de Seguridad 94
Tabla 12 Costo de Eventos e Incidentes de Seguridad anuales 96
INDICE DE FIGURAS
Figura 1.- Ubicación Geográfica de la APN 8
Figura 2.- Logo 1 10
Figura 3.- Logo 2 11
Figura 4.- Logo 3 11
Figura 5.- Estructura de la Autoridad Portuaria Nacional 11
Figura 6.- Portal WEB de la APN muestra Certificación ISO 9001: 2015 16
Figura 7.- Portal WEB de la APN muestra Certificación ISO/IEC 27001: 2013 16
Figura 8.- Estructura de la Oficina de Tecnologías de la Información 20
Figura 9.- Procesos de la Oficina de Tecnologías de la Información 22
Figura 10.- Reporte de Riesgo Global para el 2019 25
Figura 11.- Panorama de los riesgos mundiales 2019 26
Figura 12.- Riesgos y Amenazas Informáticas – América Latina 27
Figura 13.- Estadística América Latina-Ataques 28
Figura 14.- Diagrama de Ishikawa con la definición del Problema de APN 30
Figura 15.- Estadísticas de Ataques Cibernéticos 2008-2015 31
-
5
Figura 16.- Mapa de procesos de la APN 35
Figura 17.- Portada Inicial del Material del Taller 46
Figura 18.- Temática del Taller sobre Seguridad de la Información 47
Figura 19.- Alcance del Sistema de Gestión de Seguridad de la Información 48
Figura 20.- Política de Seguridad de la Información de la APN 50
Figura 21.- Objetivos de la Seguridad de la Información 51
Figura 22.- Contexto Interno y Externo de la APN. 51
Figura 23.- Requisitos de las Partes Interesadas de la APN 52
Figura 24.- Manual del Sistema del SGSI 53
Figura 25.- Manual de Funciones y Responsabilidades del SGSI 54
Figura 26.- Creación, Actualización y Control de Documentos 55
Figura 27.- Plan de Comunicaciones Interna y Externa del SGSI de la APN 56
Figura 28.- Metodología de Gestión de Riesgos y Oportunidades 58
Figura 29.- Formato de Inventario de Activos 60
Figura 30.- Formato de Gestión de Riesgos y Oportunidades 62
Figura 31.- Formato de Plan de Tratamiento de Riesgo 65
Figura 32.- Declaración de Aplicabilidad. Documento interno de la organización 66
Figura 33.- Eventos e Incidentes de Seguridad 76
Figura 34.- Cronograma de Proyecto Pág. 1 103
Figura 35.- Cronograma de Proyecto Pág. 1 104
Figura 36.- Cronograma de Proyecto Pág. 2 105
Figura 37.- Matriz FODA 106
Figura 38.- Método de Trabajo de Desarrollo de Software 107
Figura 39.- Acuerdo de Confidencialidad Trabajadores Pág. 1 108
Figura 40.- Acuerdo de Confidencialidad Trabajadores Pág. 2 109
Figura 41.- Acuerdo de Confidencialidad Proveedores Pág. 1 110
Figura 42.- Acuerdo de Confidencialidad Proveedores Pág. 2 111
Figura 43.- Flujo de Caja 114
Figura 43.- Acta de Constitución de Proyecto Pág. 1 115
Figura 43.- Acta de Constitución de Proyecto Pág. 2 116
Figura 43.- Acta de Constitución de Proyecto Pág. 3 117
Figura 43.- Acta de Constitución de Proyecto Pág. 4 118
-
6
Figura 43.- Acta de Constitución de Proyecto Pág. 1 119
Figura 43.- Acta de Constitución de Proyecto Pág. 2 120
Figura 43.- Acta de Constitución de Proyecto Pág. 3 121
Figura 43.- Acta de Constitución de Proyecto Pág. 4 122
TABLA DE ABREVIATURAS
ISO: International Standard Organization
SGSI: Sistema de Gestión de Seguridad de la Información
TIC: Tecnologías de la Información y Comunicación
APN: Autoridad Portuaria Nacional
IEC: International Electrotechnical Commission
SPN: Sistema Portuario Nacional
OEA: Organización de Estados Americanos
PBIP: Protección de Buques e Instalaciones Portuarias
OTI: Oficina de Tecnologías de la Información
MTDS: Método de Trabajo de Desarrollo de Software
ASBANC: Asociación de Bancos
GESDOC: Gestor Documental
COBIT: Control Objectives for Information and Related Technology
CID: Confidencialidad, Integridad y Disponibilidad
SOA: Statement of Applicability
-
7
INTRODUCCIÓN
Hoy en día el flujo de información es lo que genera la sinergia en los procesos de
negocio de las empresas, con la finalidad que estos puedan cumplir su misión al interior
de las organizaciones.
En ese contexto, la Autoridad Portuaria Nacional (en adelante APN), es un
organismo técnico que opera bajo la administración del Ministerio de Transportes y
Comunicaciones, la APN es la entidad gubernamental que se encarga del desarrollo y
evolución de todo el Sistema Portuario a nivel Nacional, es el promotor de la inversión
por parte de capitales privados en los diferentes puertos del país, también es la
encargada conciliar los intereses de las partes tanto pública como privada y realizar la
coordinación que amerite, considerando que estas partes interactúan en las diferentes
operaciones y servicios portuarios, por lo que, la APN, se constituye en el principal
gestor de información, a fin de fortalecer la comunidad del sector portuario.
La información, al ser un activo critico de los procesos de negocio de las
organizaciones y de sus respectivas transacciones comerciales, evidencian su
necesidad de ser protegidos y resguardados, a fin de garantizar los pilares de
confidencialidad de sus activos, la integridad de su información y la disponibilidad de
los servicios y datos.
El objeto del presente trabajo es demostrar como la aplicación de la Norma
Internacional ISO/IEC 27001, mejoró y optimizó la seguridad de la información en la
APN, contribuyendo al ahorro en los costos al reducirse los incidentes de seguridad,
permitiendo que la APN continúe operando en caso de suscitarse problemas
relevantes, minimizando el riesgo que se produzca pérdida de información.
-
8
CAPÍTULO I
GENERALIDADES DE LA EMPRESA
Datos Generales
Mediante la Ley N° 27943 de marzo del 2003, Ley del Sistema Portuario Nacional, se
da por creada la Autoridad Portuaria Nacional, la que se convierte en la entidad a cargo
de promover el desarrollo sostenible del sistema portuario peruano, también viene a ser
la principal interesada y responsable de la promoción de la inversión del sector privado
en los diferentes puertos a nivel nacional.
Nombre o Razón Social
Autoridad Portuaria Nacional
Ubicación de la Empresa
Teléfono: 6309600
Av. Santa Rosa 135 La Perla – Callao
Figura 1.- Ubicación Geográfica de la APN
Fuente: Google Maps
-
9
Giro de la Empresa
Órgano Técnico especializado del sector de gobierno, que conduce y promueve el
sistema portuario en el país, también se encarga de la prestación de servicios tales
como el otorgamiento de licencias para la prestación de servicios y operaciones
portuarias, por parte de las empresas logísticas del sector.
La APN tiene como prerrogativas absolutas lo referido a la normativa técnica, así
como otras funciones que pueden ser delegadas a sus pares a nivel de región, según
lo establecido en la Ley del SPN y el Plan Nacional de Desarrollo del SPN. Las
atribuciones entre otras son:
1. Formula y eleva la propuesta al Ministerio de Transportes y Comunicaciones el Plan
Nacional de Desarrollo del SPN.
2. Formular y elevar la propuesta de planes de inversión pública, así como las
convocatorias referidas a la inversión privada en el sector privado.
3. Aprobar y supervisar los expedientes referidos a obras de infraestructura portuaria
y las especificaciones técnicas de las maquinarias y equipos, que deben incluir
medidas efectivas para la protección del medio ambiente y de la comunidad donde
se desarrollen.
4. Suscribir con los privados los convenios y contratos que la Ley le permite, en el
marco de las licitaciones públicas.
5. Conducir la generación de las diferentes actividades y servicios comerciales en el
sector portuario.
6. Establecer la normativa para las actividades en las Zonas de Actividades Logísticas.
7. Regular los terminales, la respectiva infraestructura e instalaciones portuarias del
sector privado.
8. Fomentar la modernización constante del SPN, asimismo cautelar que los servicios
portuarios sean prestados de manera óptima.
9. Definir las normas técnicas para la ejecución de las diferentes actividades y
operaciones portuarias. De acuerdo a la libre competencia.
10. Normar la parte operativa, así como la administrativa en lo referido a la
infraestructura en los terminales portuarios, recepción, permanencia y despacho de
-
10
naves, embarque y desembarque de carga. En los terminales, apertura y cierre de
puertos y terminales portuarios.
Tamaño de la Empresa
La Autoridad Portuaria Nacional cuenta con una sede central y diez sedes (oficinas
desconcentradas) a nivel nacional; asimismo la APN cuenta con aproximadamente 220
empleados.
Breve Reseña de la Empresa
El 1 de marzo del 2003 fue promulgada la Ley N° 27943, Ley del Sistema Portuario
Nacional, que tiene como objetivo promocionar el desarrollo y la competitividad de todo
el SPN.
La Ley del Sistema Portuario Nacional (LSPN) contempla la creación de la
Autoridad Portuaria Nacional (APN) como un órgano técnico quien está a cargo del
Sistema Portuario a nivel de todo el Perú. Sus actividades son efectuadas bajo la
administración del Ministerio de Transportes y Comunicaciones, por lo que cuenta con
autonomía administrativa, en sus funciones, en lo técnico, económico y presupuestal.
La APN está encargada del desarrollo del Sistema Portuario Nacional, el fomento
de la inversión privada en los puertos y la coordinación de los distintos actores públicos
o privados que participan en las actividades y servicios portuarios, su propósito es definir
y fortalecer una integra comunidad portuaria que unifique los diferentes actores de
desarrollo portuario, tanto del sector público como el privado con el propósito de
fomentar la competitividad de los puertos del país en el marco de la globalización. A
continuación, se muestran Logos de la APN a lo largo del tiempo y su evolución:
Periodo 2003 - 2007
Figura 2.- Logo 1
Fuente: www.apn.gob.pe
-
11
Periodo 2008 - 2016
Figura 3.- Logo 2
Fuente: www.apn.gob.pe
Periodo 2017 - 2019
Figura 4.- Logo 3
Fuente: www.apn.gob.pe
Estructura de la Organización de la APN
Figura 5.- Estructura de la Autoridad Portuaria Nacional
Fuente: www.apn.gob.pe
-
12
Misión
“Es la responsable de la conducción del Sistema Portuario Nacional, planificando,
promoviendo, normando y efectuando las supervisiones de su desarrollo, con el objeto
de lograr su competitividad y sostenibilidad en el tiempo.”
Visión
“Ser reconocida como la institución líder en la conducción del desarrollo del SPN.”
Valores
✓ Liderazgo y autoridad: "Enseñar con el ejemplo"
✓ Eficiencia y calidad: "Hacerlo bien a la primera"
✓ Ética y transparencia: "Ser íntegro"
✓ Trabajo en equipo: "Ponerse en el lugar del otro para lograr el objetivo común"
✓ Responsabilidad social: "Ser conscientes del impacto social y ambiental"
✓ Compromiso: "Identificarse con la institución y sus objetivos"
Política de Calidad
• Fomentar el desarrollo y la competitividad de los diferentes puertos y del Sistema
Portuario Peruano.
• Normar todas las actividades y los diferentes servicios en los terminales e
instalaciones portuarias del Sistema Portuario Nacional, cumpliendo con los
requisitos establecidos en la normativa relacionada.
• Supervisar las distintas operaciones portuarias en general, cautelando que estas se
brinden con protección, seguridad, eficiencia y calidad.
• Contribuir a la mejora continua del Sistema Portuario peruano, de la seguridad en los
puertos y del Sistema de Gestión de la Calidad.
-
13
Política de Seguridad de la Información
✓ Proteger los activos del sistema de gestión de seguridad de la información de la APN,
frente a amenazas que puedan ser de origen interno o externo, deliberadas o
accidentales, con el propósito de asegurar su confidencialidad, integridad y
disponibilidad.
✓ Proporcionar los recursos necesarios para asegurar la aplicación de las medidas de
control necesarias para evitar que los riesgos de la seguridad de la información se
materialicen.
✓ Mejorar de forma continua la eficacia el sistema de gestión de seguridad de la
información a fin de reducir constantemente los riesgos de la seguridad de la
información.
✓ Dar cumplimiento a los requisitos legales y regulatorios que afectan a la organización
en lo referido a la seguridad de la información.
Productos y Clientes
La APN como entidad pública brinda diferentes servicios a la comunidad portuaria,
quienes son sus principales clientes:
Clientes
Agencias y empresas
Agencias Fluviales – 1era Categoría
Agencias Fluviales – 2da Categoría
Agencias Lacustres – 1era Categoría
Agencias Marítimas – 1era Categoría
Agencias Marítimas – 2da Categoría
Empresas de Estiba y Desestiba Fluvial – 1ra Categoría
Empresas de Estiba y Desestiba Fluvial – 2da Categoría
Empresas de Estiba y Desestiba Marítima – 1ra Categoría
Empresas de Estiba y Desestiba Marítima – 2da Categoría
-
14
Organizaciones licenciadas por APN:
Servicios Portuarios Básicos
Otorgamiento de Licencias - Fluvial:
Abastecimiento de Combustible
Avituallamiento
Buceo
Practicaje
Recojo de residuos
Transporte
-
15
Otorgamiento de Licencias - Marítimo:
Abastecimiento de Combustible
Amarre y desamarre
Avituallamiento
Buceo
Practicaje
Remolcaje
Transporte
Servicios generales:
1. Organización, coordinación y control del tráfico portuario marítimo terrestre.
2. Señalación, balizamiento y otras ayudas a la navegación para el acceso de la nave
a puerto.
3. Vigilancia y seguridad
4. Dragado
5. Alumbrado
6. Limpieza
7. Prevención y control de emergencias
8. Recepción y Despacho de Naves
Los servicios portuarios generales se prestarán en los puertos de la República, las 24
horas del día y los 365 días del año.
Certificaciones:
✓ Auditor Interno PBIP (Protección de buques e instalaciones portuarias).
✓ Curso Básico I PBIP
✓ Curso Básico II PBIP
✓ Gestión de Mercancías Peligrosas
-
16
✓ Gestión de Seguridad
✓ Oficial de Protección de Instalación Portuaria (OPIP)
Premios y certificaciones
✓ Certificación ISO 9001: Sistema de gestión de Calidad
Figura 6.- Portal WEB de la APN muestra Certificación ISO 9001: 2015
Fuente: www.apn.gob.pe
✓ Certificación ISO/IEC 27001 Sistema de gestión de Seguridad de la Información
Figura 7.- Portal WEB de la APN muestra Certificación ISO/IEC 27001: 2013
Fuente: www.apn.gob.pe
Relación de la Organización con la Sociedad
La APN realizó en Trujillo el Foro Universitario “El Desarrollo del Sistema Portuario
Nacional y la Importancia de la Cadena Logística en el Terminal Portuario de Salaverry”,
el cual tuvo como foco principal, el informar sobre todos los avances en el Sistema
Portuario y estrechar los lazos con la academia, que permitan coadyuvar en el desarrollo
portuario del país. Este magno evento se realizó el jueves 20 de octubre del 2016
teniendo como sponsor a la Universidad Nacional de Trujillo (UNITRU), a su vez recibió
a alumnos de las carreras de Ingeniería Civil, Ingeniería Industrial, Ingeniería Hidráulica,
quienes aprovecharon la oportunidad para conocer sobre diversos aspectos del ámbito
portuario.
http://www.apn.gob.pe/http://www.apn.gob.pe/
-
17
La Autoridad Portuaria Nacional realizó reuniones de sensibilización social en
instituciones educativas de Supe el 14 de agosto del 2018, como parte de las actividades
estipuladas en el Plan de Responsabilidad Social Institucional y las acciones del Comité
Técnico Consultivo de Responsabilidad Social Corporativa, Equidad de Género y
Empoderamiento de la Mujer, de la Comisión Interamericana de Puertos de la OEA,
presidido por la APN. Estas actividades comprendieron talleres ligados al cuidado del
ambiente y la igualdad de género, dirigidos a niños en educación primaria de la I.E.
Santa Rosa de Lima y estudiantes del nivel secundaria de la I.E. Pedro Ruiz Gallo,
ambas instituciones ubicadas en Puerto Supe. Las dinámicas, dirigidas a un total de 120
alumnos, reafirman el compromiso de la Autoridad Portuaria Nacional por promover
prácticas socialmente responsables en la población ubicada en zonas de influencia
portuaria.
Con el objetivo de sensibilizar a niños y jóvenes en etapa escolar sobre temas de
importancia social como el cuidado ambiental y la igualdad de género, la Autoridad
Portuaria Nacional (APN), en el marco de su Campaña ‘Cambiando juntos’ desarrolló
talleres y dinámicas en la ciudad de Ilo el 14 de noviembre del 2018. En esta ciudad, los
alumnos del 3er grado de primaria de la I.E. ‘Almirante Miguel Grau’ participaron de
manera lúdica sobre la importancia de preservar la fauna y flora, cuidar los mares y
reciclar. Mientras que, los alumnos de 4to de secundaria participaron de las dinámicas
sobre la igualdad de oportunidades entre varones y mujeres.
La APN desarrolló el Foro Universitario de Puertos, llamado ‘Situación actual del
Sistema Portuario Nacional y la importancia de la cadena logística en el Terminal
Portuario del Callao’, llevado a cabo el 27 de junio del 2019, en el Auditorio del Colegio
San Antonio Marianistas. El referido evento académico, fue presidido por la gerente
general de la APN, Verónica Zambrano Copello, estuvo dirigido a alumnos y docentes
de la Universidad Marítima del Perú (UMP), de la Escuela Nacional de Marina Mercante
‘Almirante Miguel Grau’ (ENAMM) y a los alumnos de 5° de secundaria del colegio
anfitrión.
Promoviendo un cambio social en la niñez y juventud ubicada en los diferentes
puertos del país, la APN, ha continuado con su campaña ‘Cambiando Juntos’ en la
ciudad de Yurimaguas. Las actividades, desarrolladas en la I.E. Monseñor Atanasio
Jáuregui, tienen como objetivo sensibilizar de manera lúdica a niños y jóvenes en etapa
escolar en dos puntos en particular: el cuidado ambiental y la igualdad de género. En
ese sentido, los alumnos de 2do y 3er grado de educación primaria de dicha institución
educativa fueron los primeros en ‘aprender jugando’ sobre la importancia de preservar
-
18
la fauna y flora, cuidar los ríos y reciclar. Mientras tanto, los alumnos de 4to y 5to de
educación secundaria participaron de las actividades para concientizar sobre la igualdad
de género, resaltando la igualdad de oportunidades para los hombres y las mujeres. Es
oportuno indicar que estas actividades están contempladas en el Plan de
Responsabilidad Social institucional y enmarcadas en la política institucional de unir el
puerto con la ciudad. Con esta actividad en Yurimaguas, la APN reafirma su compromiso
social con las zonas donde se desarrollan actividades portuarias, prosiguiendo con la
campaña ‘Cambiando Juntos’ en las ciudades de Puno, Ilo y Mollendo.
Con estas actividades, la APN reafirma su compromiso social con las zonas donde
se desarrollan actividades portuarias.
-
19
CAPÍTULO II
PLANTEAMIENTO DEL PROBLEMA QUE FUE ABORDADO
Caracterización del área en que se participó
La Autoridad Portuaria Nacional es un órgano técnico bajo el ámbito administrativo del
Ministerio de Transportes y Comunicaciones, La APN está conformado estructuralmente
por las siguientes áreas: a nivel estratégico cuenta con un Consejo Directivo y la
Gerencia General, a nivel operativo cuenta con la Dirección de Operaciones y Medio
Ambiente, la Dirección Técnica, la Dirección de Planeamiento y Estudios Económicos y
la Unidad de Protección y Seguridad; como órganos de asesoría cuenta con la Unidad
de Asesoría Jurídica, la Unidad de Relaciones Institucionales y por último como órganos
de apoyo cuenta con la Oficina General de Administración y la Oficina de Tecnologías
de la Información.
La oficina en la cual se ha desarrollado el presente trabajo es la Oficina de
Tecnologías de la Información (en adelante OTI) y está conformada por las siguientes
áreas: la Jefatura de la OTI, el área de Cumplimiento y Riesgos, el área de Gestión de
Proyectos, el área de Sistemas de Información, el área de Infraestructura y Operaciones,
y el área de Soporte Técnico, lo que se puede apreciar en la Figura 8 a continuación:
-
20
Figura 8.- Estructura de la Oficina de Tecnologías de la Información
Fuente: Plan Estratégico de Tecnologías de la Información-APN
-
21
La Jefatura de la OTI, es la encargada de promover las iniciativas estratégicas
para el uso de las TIC en la organización, el área de Cumplimiento y Riesgos es
responsable de la gestión y mantenimiento de la seguridad de la información, de la
gestión de los riesgos asociados a los activos de la organización y del establecimiento
de políticas, controles y buenas prácticas para garantizar la seguridad de la información
en la APN, el área de Gestión de Proyectos se encarga de la evaluación y el seguimiento
en la ejecución de los proyectos de TI, el área de Sistemas de Información es
responsable de la gestión y desarrollo de aplicaciones, así como el mantenimiento los
sistemas propios de la APN, el área de Infraestructura y Operaciones es responsable
de la infraestructura de red de la APN, así como de la administración y control de los
recursos informáticos, finalmente el área de Soporte Técnico es responsable de la
administración del servicio de mesa de ayuda así como del mantenimiento y soporte del
equipamiento tecnológico.
Como parte de la mejora continua, la OTI ha identificado sus procesos a fin de
gestionarlos de manera eficiente según se muestra en el mapa de procesos de la Figura
9:
-
22
Figura 9.- Procesos de la Oficina de Tecnologías de la Información
Fuente: Mapa de Procesos Sistema de Gestión de Seguridad de la Información APN
-
23
Antecedentes y Definición del Problema
Cuando la OTI inicio sus funciones en el 2011, tenía como función el dar soporte a los
usuarios, y a brindar soporte a los sistemas con los que se contaban en ese entonces
tales como el sistema GesDoc (Registro de Documentos) además del soporte técnico
para los equipos a nivel de usuario. Posteriormente en el año 2014, el Consejo Directivo
de la APN, le otorgo funciones de gestión como la unidad orgánica encargada de los
proyectos de innovación tecnológica.
En ese contexto, se debe tener en cuenta que la OTI no había definido ni
documentado sus procedimientos operativos, por lo que no contaba con herramientas
que le permitieran gestionar sus procesos a fin de salvaguardar la información de la
organización. Por otro lado, la OTI no había considerado la aplicación de un estándar o
buena práctica alguna para la prevención y gestión de los riesgos asociados a la pérdida
de información, que incluya la identificación, el análisis y la evaluación de los diferentes
riesgos de seguridad; teniendo en cuenta que ya se habían materializado ataques
informáticos a las partes interesadas de la comunidad portuaria. A fin de ilustrar este
punto se ha formulado una matriz FODA la que se puede visualizar en el Anexo 1.
El 24 de junio del 2017 la empresa APM Terminals se vio obligada a paralizar sus
operaciones en sus terminales, al ser víctimas de un ataque cibernético, lo que tuvo un
impacto social, económico y tecnológico significativo, ya que al no contar con la
adecuada planificación para la continuidad de sus operaciones ante dichos eventos
disruptivos como es un ciberataque, la operacionalización de sus servicios debió
efectuarse de manera restringida, generando sobrecostos para exportadores e
importadores; colas de hasta 30 buques a la espera de ser atendidos; el costo de
almacenaje en los depósitos (donde los exportadores guardan su carga a la espera de
ser embarcada) se incrementó en USD 25 por contenedor (costo de almacén era de
USD 250 paso a costar USD 275 por contenedor); lo que significó para el sector que:
• Las navieras perdieron contratos al no poder embarcar la carga a tiempo, por
embarque aproximadamente USD 615,000,
• Los Exportadores perdieron contratos al no poder gestionar la carga de manera
oportuna por un aproximado de USD 2´000,000
-
24
• Para los almacenes (quienes tienen programados los almacenajes), representó
la perdida de costo oportunidad.
• Las empresas de transportes perdieron contratos valorizados en USD 650,000.
(Gestión.pe. (2017, junio). Terminal del Muelle Norte del Puerto del Callao sufrió ataque
cibernético).
El 18 de agosto del 2018 ASBANC, confirmó ataques cibernéticos al sistema
financiero peruano, como resultado de estos eventos, se tuvieron que suspender los
servicios de diferentes organizaciones bancarias, a modo de prevenir un ataque más
crítico, Luego de estos incidentes, los ciberataques a las organizaciones y empresas del
Perú, se incrementaron en un 600% a lo largo de doce meses después, explicaron
ejecutivos de Bafing, empresa orientada a la implementación de soluciones de
seguridad informática. Los ataques más frecuentes que se han detectado son los
de denegación de servicios a los recursos de red o los conocidos ransomware, un
conocido tipo de virus que busca controlar el computador.
En esta parte es oportuno señalar que en su Reporte de Riesgo Global para el
2019, el Foro Económico Mundial ha señalado la materialización de ciberataques como
un riesgo con mayor probabilidad de ocurrencia ubicándolo en el quinto lugar, según se
muestra en la Figura 10 siguiente:
-
25
Figura 10.- Reporte de Riesgo Global para el 2019
Fuente: Informe de riesgos Mundiales 2019 - 14va Edición-World Economic Forum
-
26
Figura 11.- Panorama de los riesgos mundiales 2019
Fuente: Informe de riesgos Mundiales 2019-14va. Edición-World Economic Forum
-
27
Según se aprecia en la Figura 11, en el panorama de los riesgos mundiales para
el 2019, dentro de los 10 principales riesgos a nivel mundial con mayor probabilidad de
ocurrencia, y a su vez entre los 10 más importantes riesgos a nivel global, orientados a
impacto, se ubican los ciberataques.
Por otro lado, a nivel Latinoamérica según lo señalado por la División de
Investigación de Delitos de Tecnología de la Policía Nacional del Perú, la evolución de
los riesgos y amenazas informáticas del año 2013 al año 2016 fueron las siguientes,
según se visualiza en la Figura 12 a continuación:
Figura 12.- Riesgos y Amenazas Informáticas – América Latina
Fuente: Evolución de Riesgos-División de Investigación de Delitos de Tecnología de la PNP
Se debe mencionar que según las estadísticas para américa latina, presenta por
la empresa ESET, el 25.1 % de ataques de ransomware (secuestro de datos), fueron
identificados en el Perú, siendo la cifra más alta en la región durante el 2017, como se
muestra en la Figura 13 a continuación:
-
28
Figura 13.- Estadística América Latina-Ataques
Fuente: www.portal.andina.pe
En líneas generales se debe señalar que, al producirse un ataque cibernético, que
afecte la funcionalidad de los sistemas o aplicativos que dan soporte a los servicios de
recepción de naves y despacho de naves a nivel nacional, dichos servicios se paralizan
afectando directamente a:
Las operaciones de las naves y de los operadores portuarios
✓ Al no poder ser recibida por el proceso de recepción de naves, la nave no puede
ingresar al terminal portuario, el costo de perdida es del 5 por % de cada
contenedor, cada nave puede albergar hasta 1000 contenedores, cuya carga
puede llegar a estar valorizada en USD 1’000,000 dólares por contenedor, las
pérdidas pueden llegar a bordear los USD 50’000,000
✓ Se ven afectados las empresas de transporte, considerando que el costo del
transporte por contenedor es de un aproximado de USD 300 dólares, la perdida
puede ser de hasta USD 300,000 dólares. (dejan de percibir ingresos cuando la
nave cancela la recalada - costo oportunidad).
✓ Para el caso de las naves con mercadería, se debe considerar el costo de
almacenamiento extraportuario por contenedor, de USD 250 dólares, lo que
representa una pérdida de USD 250,000 dólares aproximadamente.
✓ Son afectados las agencias de servicios portuarios, al no poder efectuar la
prestación de sus servicios, dichos costos de servicios logísticos se estiman en
-
29
USD 750 dólares por servicio (embarque, desembarque, despacho y recepción)
por contenedor, sus pérdidas se estiman en 750,000.
La paralización de las operaciones portuarias representa aproximadamente USD
51´300,000, solo en el puerto del callao. Frente a estos ataques cibernéticos antes
mencionados, en ese sentido la tendencia a nivel mundial se ha orientado a la
implementación de medidas preventivas a fin de salvaguardar la información de las
organizaciones, entre las se pueden señalar las siguientes:
• Implementación de medidas de ciberseguridad.
• Concientización del Personal
• Implementación del Sistema de Gestión de Seguridad de la Información alineado
a la norma ISO/IEC 27001
• Implementación de herramientas tecnológicas para la prevención y
administración de eventos de seguridad.
• Implementación de servicio para la evaluación y análisis de vulnerabilidades de
la infraestructura tecnológica de la organización.
Considerando todo lo antes precitado, la problemática planteada se puede
plasmar en un diagrama de Ishikawa, el mismo que se puede apreciar en la Figura 14,
que se muestra a continuación:
-
30
Figura 14.- Diagrama de Ishikawa con la definición del Problema de APN
Fuente: Diagnostico situacional SGSI - APN
Al no haberse considerado estándares para garantizar la seguridad de la
información, la APN no contaba con los controles apropiados para una eficiente gestión
de seguridad, tampoco se contaba con las políticas o los protocolos basados en un
estándar para la seguridad de datos y activos de información, finalmente se debe
señalar que el personal interno no había sido capacitado y concientizado en seguridad
de información.
Es oportuno señalar que entre los años 2008 al 2015, se produjeron
aproximadamente, 2600 ciberataques como se puede apreciar en la Figura 15 a
continuación:
-
31
Figura 15.- Estadísticas de Ataques Cibernéticos 2008-2015
Fuente: Informe Técnico de Infraestructura y Operaciones 2008-2015
Posteriormente se puede visualizar en la siguiente Tabla 1, cuáles fueron los tipos de
ataques más recurrentes durante ese lapso:
Tabla 1 Tipos de Ataques entre 2008 – 2015
Fuente: Informe Técnico de Infraestructura y Operaciones 2008-2015
GusanoInyecccion
ficheros
Explotación
Vulnerabilida
des
Inyección SQLInfección por
correo maliciosoTotal por año
2008 9 15 20 12 20 76
2009 23 20 25 15 25 108
2010 28 32 72 20 32 184
2011 37 34 56 27 42 196
2012 54 43 45 80 51 273
2013 89 50 87 112 62 400
2014 103 78 132 201 97 611
2015 154 113 173 213 117 770
2618
-
32
Como consecuencia de los ataques cibernéticos antes citados, se produjo la
perdida de información, ello también debido a malas prácticas de almacenamiento de
información por parte de los usuarios, debido a que estos almacenaban su información
en los equipos, la que se vio comprometida durante los ataques antes señalados, por lo
que dicha información no pudo ser recuperada ocasionando un gran perjuicio a la
entidad. Se debe resaltar que, al no haberse considerado estándares de gestión de
seguridad alguno, el riesgo de pérdida de información era alto.
Problema
Problema General
¿Cómo la aplicación de la Norma ISO/IEC 27001, mejora la seguridad de la información
en la Autoridad Portuaria Nacional (APN)?
Problemas Específicos
1. ¿Por qué la aplicación de la Norma ISO/IEC 27001, permite documentar los
procedimientos operativos de tecnologías de la información de la Autoridad Portuaria
Nacional, para mejorar la seguridad de la información?
2. ¿Como la aplicación de la Norma ISO/IEC 27001, permite efectuar una óptima
gestión de riesgos, asociada a la pérdida de información y la seguridad de la
información?
3. ¿Por qué la aplicación de la Norma ISO/IEC 27001, permite contar con políticas de
seguridad específicas para proteger los activos de la organización?
4. ¿Como la aplicación de la Norma ISO/IEC 27001, permite concientizar al personal de
la organización sobre seguridad de la información?
Objetivos
Objetivo General
Determinar como la aplicación de la Norma ISO/IEC 27001, mejoró la seguridad de la
Información en la Autoridad Portuaria Nacional (APN).
-
33
Objetivos Específicos
1. Contar con procedimientos estandarizados que incluyan requisitos de seguridad para
proteger los activos de información.
2. Efectuar una óptima gestión de los riesgos que contemple la identificación de activos
de información, la evaluación de los riesgos y su correspondiente plan de tratamiento
asociada a la pérdida de información, de acuerdo con la Norma ISO/IEC 27001.
3. Desarrollar políticas específicas de seguridad asociadas al personal interno y al
personal externo de la APN, para proteger los activos de la organización.
4. Concientizar al personal de la Autoridad Portuaria Nacional con relación a la
seguridad de la información.
5. Reducir el número de eventos de seguridad de la información gracias a la aplicación
de la Norma ISO/IEC 27001.
Justificación
Considerando que la APN es una entidad pública que lidera el desarrollo del
sistema portuario nacional y administra información sensible e importante, y que,
durante los últimos años, el número de ciberataques se ha incrementado, especialmente
en nuestra región, la aplicación de dicha norma internacional brinda a las partes
interesadas de la comunidad portuaria, la seguridad que se aplican criterios de nivel
internacional para salvaguardar la información. El aplicar la Norma ISO /IEC 27001 en
la Autoridad Portuaria Nacional, le otorga los siguientes beneficios:
✓ Contar con procedimientos operativos documentados, basados en un estándar
especializado en seguridad de información tecnológica.
✓ Disminuir la probabilidad de materialización de los riesgos referidos a la pérdida
de información, al realizarse una adecuada gestión de los riesgos, efectuando el
tratamiento de estos de manera oportuna.
✓ Contar con políticas de seguridad específicas para la gestión de proveedores y
terceros que mantengan vínculo contractual alguno con la organización, lo que
permitirá establecer acuerdos de confidencialidad para proteger los activos de
información de la organización.
-
34
✓ Efectuar una óptima gestión de los sistemas de información contemplando sus
diferentes etapas tales como diseño, desarrollo, producción y mantenimiento;
protegiéndolos mediante la aplicación de los controles necesarios para prevenir
ataques informáticos que puedan afectar la continuidad de las operaciones.
✓ Implementar los controles necesarios para efectuar un apropiado mantenimiento
para la prevención y corrección en el equipamiento tecnológico de la
organización, considerando controles de seguridad.
Alcances y Limitaciones
El alcance del presente proyecto de implementación de un Sistema de Gestión de
Seguridad de la Información (en adelante SGSI), aplicando la Norma ISO /IEC 27001,
en la APN; incluye solo tres procesos, los cuales son:
• Gestión de Licencias
• Gestión de Recepción y Despacho de Naves
• Gestión de Sistemas de Información
Se incluyeron los dos primeros procesos debido a que son procesos misionales,
importantes para la organización y a su vez por estrategia, debido que estos cuentan
con la certificación ISO 9001 (Sistema de Gestión de Calidad), no obstante, no se han
incluido los demás procesos de Tecnologías de la Información, a fin de darle madurez y
estabilidad al SGSI.
Para el desarrollo del presente trabajo se debe señalar que la APN es una entidad
perteneciente al sector público, por lo que la documentación e información presentada
es de carácter reservado al tratarse de un tema de seguridad, en ese sentido se ha
considerado que en algunos casos dicha información se mostrará de forma parcial, solo
algunos gráficos, imágenes o inclusive solo los encabezados de los documentos.
En la Figura 16 que se muestra a continuación, se puede apreciar el mapa de
procesos de la APN en el cual se visualizan los procesos misionales y soporte que han
sido incluidos como parte del SGSI.
-
35
Procesos comprendidos en el alcance del Sistema de Gestión de Seguridad de la Información
GESTION DE LA DIRECCIÓN
SISTEMA INTEGRADO DE
GESTIÓN
CAPITAL HUMANO
Proc
esos
Mis
iona
les
Proc
esos
Es
trat
égic
os
Proc
esos
de
sopo
rte
Programación y formulación
de presupuesto
GESTIÓN DE ATENCIÓN AL
USUARIO
ASESORÍA JURÍDICA
GESTIÓN DE DESARROLLO PORTUARIO
GESTIÓN DE INFRAESTRUCTURA Y EQUIPAMIENTO
GESTIÓN DE OPERACIONES
GESTIÓN DE SOSTENIBILIDAD, PROTECCIÓN Y SEGURIDAD
GESTIÓN LOGISTICA Y
PATRIMONIO FINANZAS
GESTIÓN DE ADMINISTRACIÓN
Desarrollo del
PNDP
Revisión y
validación de
Planes Maestros.
Gestión de
licencias
Gestión recepción
y despacho de
naves
Gestión de
control y
fiscalización
Otorgamiento
de habilitación
portuaria
Viabilidad Técnica
Portuaria (temporal
y definitiva)
Gestión de
protección
portuaria
Inspección de
término de
obra
Inspección bianual
de estructura
Supervisión
ambiental Capacitación
portuaria
G. DE COMUNICACIONES
Gestión de
seguridad portuaria
GESTIÓN DE PLANEAMIENTO Y DESARROLLO
Gestión de
innovación y
conocimiento
Gestión de mesa de servicio
Gestión de Sistemas de la información
TECNOLOGIA DE LA INFORMACIÓN Y COMUNICACION
G. Dragado
GESTIÓN DOCUMENTAL
G. de infraestructura y
mantenimiento de
equipos
G. de Seguridad de la
Información**
Satis
facc
ión,
Res
ulta
dos
del S
iste
ma
de G
estió
n
Figura 16.- Mapa de procesos de la APN
Fuente: Sistema Integrado de Gestión de la APN
-
36
CAPÍTULO III
MARCO TEÓRICO
Organización Internacional de Estandarización ISO/IEC 27001:2013
La norma ISO/IEC 27001: 2013 fue publicada en el año 2013, sucediendo a la Norma
ISO 27001:2005. Este modelo incorpora las características sobre las que los entendidos
en este campo han llegado a un consenso como el estado internacional del arte. ISO /
CEI JTC 1 / SC 27 es un subcomité de estandarización del Comité Técnico Conjunto de
la Organización Internacional de Estandarización, dispone de expertos dedicados al
desarrollo de normas internacionales para sistemas de seguridad de la información,
también conocida como la familia de estándares del Sistema de Gestión de la Seguridad
de la Información (SGSI).
A través de la familia de normas ISMS (Información Security Management
System), las organizaciones pueden desarrollar e implementar un modelo de referencia
para administrar la seguridad de sus activos de información, incluyendo información
financiera, propiedad intelectual y detalles de los empleados, o información que les
confíen los clientes o terceros. Estas normas también pueden utilizarse para preparar
una evaluación independiente de su SGSI aplicado a la protección de la información.
Esta Norma Internacional ofrece una visión general de los sistemas de gestión para la
seguridad de la información y define términos relacionados.
La familia de normas ISMS incluye normas que permiten:
a) Definir requisitos para un SGSI y para aquellos que certifiquen dichos sistemas;
b) Proporcionar apoyo directo, orientación detallada y / o interpretación para el proceso
general para establecer, Implementar, mantener y mejorar un SGSI;
c) Abordar las directrices sectoriales específicas para el SGSI;
d) Abordar la evaluación de la conformidad para el SGSI.
Los términos y definiciones proporcionados en esta Norma Internacional:
• Cubren los términos y las definiciones comúnmente utilizados en la familia de
normas del SGSI;
• No limita la familia de normas ISMS en la definición de nuevos términos de uso.
-
37
Organización Internacional de Estandarización ISO/IEC 27002: 2013
El estándar ISO/IEC 27002: 2013, fue publicado en el año 2013 y sucede a la
versión del 2005. Este estándar internacional establece las mejores prácticas para la
administración de la seguridad de información en una organización, teniendo en cuenta
cómo implantar, darle sostenibilidad y optimizar un SGSI. El estándar comprende 14
dominios de seguridad, 35 objetivos de control que indica lo que se quiere lograr y 114
controles de seguridad que se pueden aplicar para el cumplimiento de cada objetivo;
cada uno de estos controles precisa requisitos y medidas de seguridad.
Los dominios citados previamente son:
• Políticas de Seguridad
• Aspectos Organizativos para la Seguridad de Información
• Seguridad ligada a los Recursos Humanos
• Gestión de los Activos
• Control de los Accesos
• Cifrado de Información
• Seguridad Física y del Ambiente
• Seguridad en las Operaciones
• Seguridad en las Telecomunicaciones
• Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
• Relaciones con los Proveedores
• Gestión de Eventos e Incidentes de Seguridad
• Aspectos de Seguridad en la Gestión de la Continuidad del Negocio
• Cumplimiento Regulatorio
Evento / debilidad de Seguridad de la Información:
Esta referido a la ocurrencia identificada del estado de un sistema, servicio o
recurso de red, evidenciando una posible violación de la política de seguridad de la
información o alguna debilidad o falla en las medias y controles de seguridad, o una
situación desconocida que puede ser relevante y afectar la seguridad.
Incidente de Seguridad de la Información:
Eventos de seguridad de la información, que no son deseados ni mucho menos
esperados, sin embargo, tienen una relevante probabilidad de que puedan comprometer
las diferentes operaciones y servicios y que además amenazan la seguridad de los
activos de la organización.
-
38
Antecedentes Internacionales
Laca, H. (2009). Análisis de Procesos Portuarios. Croacia: Rijeka. Laca analizó
los procesos portuarios de la Autoridad Portuaria de Rijeka e indicó que la diversidad
del soporte tecnológico aplicado en el sector de la información y telecomunicaciones de
la Autoridad Portuaria de Rijeka requiere actividades razonables en cuanto a seguridad
de la información, para asegurar que los principios de excelencia hacia todas las partes
implicadas se puedan reflejar en cada uno de los niveles de los procesos clave de
seguridad, la información y los canales de intercambio. Por lo tanto, para el autor en su
análisis, la evaluación de los procesos clave comienza junto con la evaluación de la
totalidad de los riesgos y la implantación de un sistema para la seguridad de la
información consistente, no sólo de acuerdo a las reglas del sentido común y el buen
gobierno, sino también por un sistema óptimo de certificación de normas profesional y
normalizado. El sistema óptimo de certificación en este caso sería el internacionalmente
reconocido ISO/IEC 27001.
Calderón, A. (2015). Sistema de Gestión de Seguridad de la Información en el
área de redes. Colombia: Unad. El autor precisa que el eje central de ISO/IEC 27001,
es proteger la confidencialidad de los activos, así como la integridad de la información y
disponibilidad de los datos y recursos de una empresa a través de la evaluación de
riesgos, investigación e identificación de las potenciales dificultades que podrían afectar
la información y luego definiendo los mecanismos necesarios para mitigar o gestionar
los riesgos. Por lo tanto, la idea primordial de la norma ISO/IEC 27001 se fundamenta
en la gestión de riesgos, indagando dónde están los riesgos y luego tratarlos de manera
metódica. Los controles de seguridad se presentan como políticas, procedimientos e
implementación técnica, por ejemplo, en software y equipos. Sin embargo, en la mayor
parte de los casos, las empresas cuentan con hardware y software, pero los emplean
de forma no segura. Por ello, la mayoría de los lineamientos de implementación de la
norma ISO/IEC 27001, implica la determinación de las reglas organizacionales
documentadas para evitar vulneraciones en la seguridad. La implementación de esta
norma comprende la gestión de variedad de políticas, procedimientos, personas y
recursos. La norma ISO/IEC 27001 ha detallado cómo combinar todos estos
componentes dentro del sistema de gestión para la seguridad de la información (SGSI).
Por lo que el SGSI no se limita únicamente a la seguridad de TI, sino que además incluye
la gestión de procesos, recursos humanos, proveedores, protección legal y la protección
física.
-
39
Antecedentes Nacionales
Barrantes, C. & Hugo, J. (2012). Diseño e Implementación de un SGSI en
Procesos Tecnológicos. Perú: Edusm. Los Autores examinaron los impactos de la
implementación de un SGSI en Procesos Tecnológicos, tomando como ejemplo la
implementación de un SGSI en Perú basado en la norma ISO/IEC 27001 en la empresa
Telefónica del Perú quien logró la Certificación Internacional ISO/IEC 27001 para su
centro de datos que provee servicios de outsourcing de TI a las empresas más grandes
del Perú, así como para sus centros de operaciones móviles, de banda ancha y de redes
corporativas, cumpliendo estándares de talla mundial. Por lo cual, la gestión del centro
de datos y centro de operaciones móviles, han sido reconocidas por la adecuada
implementación y administración de SGSI. Esta certificación es un logro importante para
Telefónica del Perú, ya que la consolida como la operadora de mayor alcance en
Latinoamérica y la única que cuenta con la gestión de los servicios móviles y de gestión
del centro de datos. De esta manera, Telefónica declara su compromiso con el cliente,
fundamentado en la mejora continua y a su vez garantizando niveles de servicio que
permitan disponer de la información las 24 horas, siete días a la semana y los 365 días
del año. Todas las acciones realizadas por la empresa para la implementación de su
SGSI permiten que en adelante se logre un valor añadido a la oferta de Telefónica que
los diferencia no solo en Perú, sino también en Latinoamérica, dentro y fuera del Grupo
Telefónica, al contar con un sistema de gestión de la seguridad de la información
certificado bajo una norma internacional tanto para las redes como para los servicios de
TI. Además, implica una marcada ventaja competitiva ya que la seguridad de la
información crítica de sus clientes corporativos es una exigencia del mercado actual
debido a la creciente integración con redes y sistemas tanto internos como externos.
Los autores destacan que la seguridad de la información va mucho más allá de
implementar “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el
sistema de software, protegerse de amenazas externas o asegurar los datos mediante
“backups”. La seguridad de la Información requiere identificar lo que debe ser protegido,
los motivos, de quién y los mecanismos de seguridad; todo esto bajo un modelo integral
de gestión. Este reconocimiento confirma el correcto funcionamiento de los elementos
de seguridad que aseguran los pilares de confidencialidad de la información, la
integridad de datos y la disponibilidad de los servicios hacia los clientes y reconoce el
correcto uso de los procedimientos que aplica la empresa para resolver eficazmente los
problemas de seguridad de sus usuarios, reduciendo los fallos en el funcionamiento de
sus servicios.
-
40
Tupia, M., Bruzza, M. y Rodriguez, F. (2016). Modelo de Implementación de
Gobierno electrónico para empresas del estado peruano basadas en COBIT. Perú:
Waste. Los autores evidencian la importancia de implementar sistemas de seguridad de
información frente a la creciente demanda de servicios gubernamentales e indican que
“Los nuevos avances tecnológicos e innovaciones están preparando el escenario para
una mayor demanda de los servicios gubernamentales. Esto dará lugar, a su vez, a
nuevos servicios para el gobierno, que se verán obligados a incrementar su número y
tener en cuenta las restricciones pertinentes, por ejemplo, la seguridad de la información
para el cumplimiento de la normativa en las aplicaciones móviles (apps) y debido a la
enorme cantidad de información que hay que proteger por las instituciones
gubernamentales que prestan servicios a través de ellos, es obligatorio desarrollar un
marco que facilite la implementación de controles y el seguimiento de las buenas
prácticas internacionales sobre seguridad de la información, tanto en los proyectos de
implementación de los U-Servicios (servicios ubicuos), los gobiernos y la seguridad de
las aplicaciones ya existentes.”
-
41
CAPÍTULO IV
DESARROLLO DEL PROYECTO
Como se señaló en la definición del problema, cuando la OTI dio inicio a sus actividades
en él 2011, solo brindaba el servicio de soporte a los usuarios. Posteriormente en el año
2014 se le atribuyeron actividades operativas como oficina encargada de la innovación
tecnológica de la entidad, no obstante, la OTI no había organizado ni documentado sus
procedimientos para gestionar la seguridad de información de la organización, ante los
recurrentes incidentes y eventos de seguridad.
En el contexto previamente señalado, se planteó conocer las condiciones en las
que la OTI se encontraba, a fin de entender el problema y como la aplicación de la
Norma ISO/IEC 27001, mejora la seguridad de la información en la APN. A continuación,
se detalla la implementación del proyecto y sus diferentes fases:
Fase 1: Organización del Proyecto
Fase 2: Planificación del Sistema de Gestión de Seguridad de la Información
Fase 3: Despliegue del Sistema de Gestión de Seguridad de la Información
Entregables del Proyecto
• Información documentada como parte de los requisitos de la ISO/IEC 27001.
• Manuales:
o Manual del SGSI
o Manual de Funciones y Responsabilidades del SGSI
o Manual de Indicadores de SGSI
• Metodología de Gestión de Riesgos y Oportunidades
• Políticas:
o Política de Seguridad de la Información
-
42
o Política de Seguridad Física y del Ambiente
o Política de Seguridad de las Operaciones
o Política de Seguridad en las Comunicaciones
o Política de Relación con los Proveedores
o Política de Seguridad ligada a Recursos Humanos
o Política de Cumplimientos
o Política de Gestión de Incidentes
o Política de Gestión de Activos
o Política de Control de Accesos
o Política de Organización de Seguridad de la Información
• Procedimientos:
o Procedimiento de Inventario de Activos
o Procedimiento de Gestión de Cumplimiento
o Procedimiento de Relación con los Proveedores
o Procedimiento de Seguridad y Correcto uso de las Instalaciones
o Procedimiento de Gestión de Incidentes
Cronograma y Planificación de Actividades
La implementación de la Norma ISO/IEC 27001, tuvo una duración de 8 meses,
dichas actividades se han detallado en el Cronograma de Actividades (Anexo 2).
Organización del Proyecto
En la Tabla 2, se detallan las responsabilidades y los roles que se definieron para
el desarrollo del proyecto:
-
43
Tabla 2 Tabla de Roles y Responsabilidades
Fuente: Proyecto de implementación del SGSI de la APN
Roles
Responsabilidades
Responsable del Proyecto
(Fernando Soriano
Medrano)
Jefe de la Oficina de
Tecnologías de la Información
(Mariela Gutarra Ramos)
Comité de Seguridad de la Información
(Jefes de áreas)
Responsable del Proceso
(Jefe de área dueñas del proceso)
Formular las propuestas de información documentada (Procedimientos, Políticas, Directivas, Manuales, Formatos)
Revisión de propuesta de información documentada
Aprobar la propuesta de información documentada
Formulación de los inventarios de activos de información
Revisión de inventarios de activos de información
Aprobar los inventarios de activos de información
Efectuar la identificación, análisis y evaluación de riesgos
Revisar el registro de identificación, análisis y evaluación de riesgos
Aprobar el registro de identificación, análisis y evaluación de los riesgos
Formulación de los planes de tratamiento de riesgos
Revisión de los planes de tratamiento de riesgos
Aprobar los planes de tratamiento de riesgos
Registro del nivel de cumplimiento de requisitos del estándar
-
44
Registro de los bancos de datos personales identificados ante la entidad competente.
Realización de capacitaciones al personal de la organización sobre seguridad de la información.
Registro de eventos e incidentes de seguridad de la información en la APN
Organizar las capacitaciones y charlas de concientización sobre seguridad de la información
Difundir y convocar al personal a las capacitaciones
Efectuar el registro del personal asistente a las capacitaciones
Como se observa el suscrito fue el responsable del desarrollo de las propuestas y
proyectos, los mismos que fueron revisados y aprobados por el personal señalado en la
Tabla 2. Se adjuntan asimismo las actas de constitución de proyecto respectivas en el
Anexo A1.
Fases del Proyecto de Implementación de la Norma ISO/IEC 27001
En la Tabla siguiente, se aprecia un resumen de las actividades del proyecto y a
su vez se incluye los productos respectivos.
Tabla 3 Tabla de Actividades y Productos
Fuente: Proyecto de implementación del SGSI de la APN
Descripción de actividades y sus productos
Fase 1: Organización
Actividades a desarrollar Producto
Taller de sensibilización y concientización Material empleado en el taller
Fase 2: Planificación
Actividades a desarrollar Producto
-
45
➢ Definición del Alcance del SGSI. ➢ Documento de Alcance del SGSI.
➢ Formulación de la Política de Seguridad de la Información.
➢ Política de Seguridad de la Información
➢ Definición de los objetivos de seguridad de la información.
➢ Documento de Objetivos de Seguridad
➢ Definición de la comprensión de la organización y su contexto interno y externo.
➢ Documento de análisis de Contexto Interno y Externo de la Institución.
➢ Identificación de las Partes interesadas. ➢ Documento de Identificación de Partes interesadas
➢ Definición de las dependencias entre actividades, funcionamiento y operatividad del sistema de gestión.
➢ Manual del SGSI
➢ Definición de las funciones y responsabilidades del SGSI.
➢ Manual de Funciones y Responsabilidades del SGSI
➢ Formulación del Procedimiento para Creación, Actualización y control de Documentos del SGSI.
➢ Procedimiento de Creación, Control y Actualización de Documentos del SGSI
➢ Formulación del Plan de Comunicaciones del SGSI.
➢ Procedimiento del Plan de Comunicación del SGSI
➢ Definición de la Metodología para la Gestión de Riesgos y Oportunidades.
➢ Metodología de Gestión de Riesgos y Oportunidades
➢ Identificación y clasificación de activos de información.
➢ Formato de Inventario de Activos de Información
➢ Análisis y evaluación de los riesgos de activos de información.
➢ Formato de Gestión de Riesgos y Oportunidades
➢ Gestión y tratamiento de riesgos. ➢ Formato de Plan de Tratamiento de Riesgos
Fase 3: Despliegue
Actividades a desarrollar Producto
➢ Definición de la aplicabilidad- Definición de los Controles del Anexo A:
➢ Formato SGSI-FO-46-SOA Declaración de aplicabilidad.
➢ A.6 Organización de la Seguridad de la Información.
➢ Política de Organización del SGSI
➢ A.7 Seguridad de los Recursos Humanos. ➢ Política de Seguridad ligada a los Recursos Humanos
➢ A.8 Gestión de los Activos. ➢ Política de Gestión de Activos
➢ A.9 Gestionar el Control de los Accesos ➢ Política de Control de Accesos
➢ A.10 Criptografía y cifrado de información ➢ Política de Uso de Controles criptográficos
➢ A.11 Seguridad Física y Ambiental ➢ Política de Seguridad Física y del Ambiente
➢ A.12 Seguridad de las Operaciones ➢ Política de Seguridad en las Operaciones
➢ A.13 Seguridad de las Comunicaciones ➢ Política de Seguridad en las Comunicaciones
➢ A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas.
➢ Política de Adquisición, y Mantenimiento de Software
➢ A.15 Relación con los Proveedores ➢ Política de Relación con los Proveedores
➢ A.16 Gestión de Incidentes de Seguridad de la Información.
➢ Política de Gestión de Incidentes de Seguridad de la información
➢ A.17 Aspectos de Seguridad de la Información en la Continuidad del Negocio.
➢ Política de Gestión de la Continuidad Operativa
➢ A.18 Cumplimiento.
➢ Política de Cumplimiento
➢ Política de Protección de los Datos Personales
-
46
➢ Documento Maestro de Protección de Datos Personales
➢ Definición de Indicadores del SGSI ➢ Documento SGSI-FO-44 Seguimiento Medición Indicadores SGSI
A continuación, se explica el desarrollo de cada fase:
Fase 1 Organización
Durante la Fase de Organización, se realizaron las siguientes actividades:
Se efectuó el Taller de Capacitación y Sensibilización sobre Seguridad de la
Información, el mismo que tuvo como enfoque, el capacitar al personal de la
organización sobre los principios de la confidencialidad, integridad y disponibilidad y
como la aplicación de la norma ISO/IEC 27001 beneficia a la organización en diferentes
aspectos, tales como:
• Dar cumplimiento a las normas legales decretadas por el gobierno.
• Evitar penalidad (multas) por no implementar los requisitos regulatorios para la
protección de datos.
• Gestionar los riesgos de seguridad de información de la organización.
En la Figura 17 se visualiza la portada del material empleado para la realización
del taller dirigido al personal interno de la APN.
Figura 17.- Portada Inicial del Material del Taller
Fuente: SGSI de la APN
-
47
En la Figura 18. se observa la temática presentada, acorde con el nivel de
madurez de la organización, a su vez como parte de dicho taller se desarrollaron 3
módulos de capacitación.
Figura 18.- Temática del Taller sobre Seguridad de la Información
Fuente: SGSI de la APN
Dicho taller incluyó un examen final en la última etapa de los módulos de
capacitación, a fin de evaluar el nivel de comprensión de la temática planteada al
personal e identificar las oportunidades de mejora para la concientización
La realización del referido taller permitió que tanto el personal operativo como el
personal ejecutivo fuera sensibilizado, con relación a la seguridad de información y su
necesidad de mejora mediante la aplicación de la norma ISO/IEC 27001, también
permitió que la Alta Dirección fuera concientizada con relación al impacto de la
ocurrencia de incidentes de seguridad en los procesos de la organización a nivel
estratégico.
Con la realización del mencionado taller, se concluyó la Fase 1: Organización.
Fase 2 Planificación
Durante la Fase de Planificación, se hizo necesario la ejecución de las siguientes
actividades:
-
48
Definición del Alcance. - El objeto de definir el alcance, es establecer los límites
del SGSI de la APN, ello implica el determinar la información que se ha de proteger,
independientemente que esta sea almacenada, procesada o gestionada por terceros,
quienes en todo caso han de considerar la aplicación de las medidas de seguridad
respectivas, por ende, dichas medidas de seguridad se transfieren a los terceros
quienes administran la información cedida, todo ello alineado al contexto de la
organización.
En la Figura 19. se aprecia el Documento de Alcance del SGSI de la APN, el
mismo que fue aprobado por la Gerencia General.
Figura 19.- Alcance del Sistema de Gestión de Seguridad de la Información
Fuente: SGSI de la APN
-
49
En dicho documento se han plasmado los límites del sistema, estableciendo los
procesos críticos cuya información se ha de proteger, mediante el cumplimiento y la
aplicación de los requisitos de la Norma ISO/IEC 27001; teniendo en cuenta que la
norma requiere que la organización debe determinar los límites y la aplicabilidad del
sistema de gestión de seguridad de la información para establecer su alcance.
Formulación de la Política de Seguridad de la Información. - Se formuló la
propuesta de la política de seguridad, considerando la necesidad de contar con un
documento que establezca los lineamientos generales, relacionado a la seguridad de la
información, ello permitió crear un marco de referencia que sea adecuado para la
seguridad al interior de la APN. Se debe señalar además que dicha política señala el
compromiso, la intención y la voluntad de la alta dirección con relación a la seguridad,
posteriormente dicha política fue validada por el Comité de Seguridad de la Información
(en adelante CSI) y fue aprobada mediante la Resolución de Gerencia General, la
misma que fue publicada en el portal institucional de la APN.
En la Figura 20. se aprecia la Política de Seguridad de la Información de la APN,
-
50
Figura 20.- Política de Seguridad de la Información de la APN
Fuente: SGSI de la APN
En la Política de Seguridad de la Información, se han incorporado los lineamientos
establecidos por la Gerencia General, demostrando de esa manera su liderazgo con
relación a la seguridad de la información.
Definición de los Objetivos de Seguridad de la Información. - Para la
formulación de los objetivos de seguridad, se aplicó lo señalado en la norma teniendo
-
51
en cuenta que dichos objetivos deben tener ciertas características, tales como que estos
deben ser medibles, ser comunicados y actualizados de acuerdo a las necesidades de
la organización, asimismo dichos objetivos se sustentan en el marco que brinda la
Política de Seguridad, así como los resultados provenientes de la evaluación de riesgos
con su respectivo tratamiento. Para la formulación de los objetivos, se contemplaron una
serie de actividades que fuesen pertinentes, a fin de alcanzar las metas planteadas.
Para dicha medición se cuentan con indicadores que precisan como se han de medir
los resultados, quien es el personal responsable, cuáles son los recursos que serán
asignados, así como la periodicidad de las mediciones; dichos indicadores son
revisados por el CSI y la Gerencia General, a fin de adoptar las medidas que permitan
la mejora de la seguridad de la información y se asegure contar con los recursos
necesarios para alcanzar los objetivos y metas propuestos.
En la Figura 21. se aprecia el Documento de Objetivos de Seguridad de la
Información de la APN, el cual es un documento interno de la organización.
Figura 21.- Objetivos de la Seguridad de la Información
Fuente: SGSI de la APN
Comprensión de la organización y su contexto interno y externo. – Se formuló
la propuesta del documento que establece el contexto interno y externo, el mismo que
fue presentado a la Gerencia General y al CSI, en dicha presentación se expuso el
propósito de identificar los factores que afectan o podrían afectar al SGSI de la APN,
considerando a su vez que podrían tener un impacto directo en el cumplimiento de las
metas relacionadas a la Seguridad de la Información de la APN.
En la Figura 22 se aprecia el Documento de contexto Interno y Externo del SGSI
de la APN,
Figura 22.- Contexto Interno y Externo de la APN.
Fuente: SGSI de la APN
-
52
En el referido documento, se han contemplado los diferentes factores que afectan
al SGSI, el mismo incluye una matriz FODA, (Ver Anexo 3), a fin de visualizar las
fortalezas identificadas, así como las debilidades, y finalmente las oportunidades y las
amenazas, relacionadas a la seguridad de la información. Se debe señalar que dicha
matriz fue el producto de una evaluación del CSI, quien realizó un análisis estratégico de
las fortalezas y de las debilidades internas de la organización, así como de las
oportunidades y amenazas que se presentaban en el entorno.
Identificación de las Partes Interesadas. - Se formuló el análisis respectivo a
fin de identificar las partes interesadas, en función al contexto previamente definido,
asimismo se han listado todas las necesidades identificadas de las partes interesadas
con relación a la APN.
En la Figura 23. se aprecia el Documento de Requisitos de Partes Interesadas de
la APN, el mismo que es un documento interno de la organización.
Figura 23.- Requisitos de las Partes Interesadas de la APN
Fuente: SGSI de la APN
Definición de las dependencias entre actividades, funcionamiento y
operatividad del SGSI. - Se elaboró la propuesta del Manual del SGSI de la APN, el
mismo que detalla las actividades, tareas y dinámica para implantar, hacer sostenible
en el tiempo y optimizar el SGSI de la APN. Dicho manual también detalla las
operaciones necesarias para la aplicación de los controles indispensables para asegurar
una gestión apropiada que permita la protección adecuada de los activos de la APN.
En la Figura 24. se muestra el Manual del SGSI de la APN, el mismo que es un
documento interno de la organización.
-
53
Figura 24.- Manual del Sistema del SGSI
Fuente: SGSI de la APN
Definición del Funciones y Responsabilidades del SGSI. - A fin de dar
cumplimiento a lo establecido por la regulación vigente, considerando que la norma
emitida para tal efecto la Resolución Ministerial, establece las funciones del Comité, se
formuló el Manual de Funciones y Responsabilidades, el mismo que precisa las
funciones y responsabilidades dentro del SGSI, el manual permite visualizar los roles y
las tareas inherentes a cada función con relación a la seguridad, ello asegura que el
sistema sea autosuficiente, considerando que el personal que asuma la funciones
descritas en el mismo, conocerá sus responsabilidades y deberes relacionados a la
-
54
seguridad, asimismo conocerá que se espera de este durante las diferentes etapas de
implementación del SGSI.
En la Figura 25 se visualiza el Manual de Funciones y Responsabilidades del
SGSI, el mismo que es un documento interno de la APN.
Figura 25.- Manual de Funciones y Responsabilidades del SGSI
Fuente: SGSI de la APN
Formulación del Procedimiento para la Creación, Actualización y Control de
Documentos del SGSI. - Se aprovechó la aplicabilidad del estándar ISO/IEC 27001,
con el objeto de contar con procedimientos documentados que permitan detallar la
ejecución de las operaciones de la OTI, en ese sentido se desarrolló el Procedimiento
para la creación, actualización y control de documentos del SGSI, dicho procedimiento
-
55
establece los criterios para la formulación de la información que sea documentada,
propia del SGSI y de aplicación de la OTI, a su vez el referido procedimiento permite
controlar la generación de la documentación a lo largo de su tiempo de vida, en su
creación, cambios, actualización y eliminación, lo que ayuda a preservar las evidencias
y los registros de versiones, así como documentar de manera estandarizada los
procesos operativos de la OTI.
En la Figura 26 se visualiza el Procedimiento de Creación, Actualización y Control
de Documentos del SGSI
Figura 26.- Creación, Actualización y Control de Documentos
Fuente: SGSI de la APN
El referido procedimiento describe el formato, estructura, forma, condiciones y
responsabilidades para la creación, actualización y control de los documentos tales
como procedimientos, políticas, manuales, directivas, formatos, etc.
Formulación del Plan de Comunicaciones del SGSI. - Se formuló el Plan de
Comunicaciones, el mismo que es una herramienta de gestión del SGSI, este plan
permite establecer el mecanismo de comunicaciones a nivel interno y externo del
sistema de gestión, también establece los canales de comunicación, así como los
responsables respectivos. Permite conocer: el tipo de comunicación, que comunica,
quien comunica, como se comunica (método), quien comunica, y cuando se comunica.
Como parte del Plan de Comunicaciones, en la Figura 27 se visualiza el formato
(matriz) del Plan de Comunicaciones Interna y Externa, dicho plan es un documento
interno de la APN.
-
56
Tipo de
Comunicación
Qué Comunica
Quien Comunica
Cómo Comunica(método)
A Quien Comunica
Cuando Comunica
Interna La Política del SGSI Gerencia General Correo electrónico A todo el personal de APN Una vez al año
Interna Resultado de la auditoria Oficial de Seguridad Reunión Comité de Seguridad Una vez al año
Externa La Política del SGSI Gerencia General Carta/Correo electrónico Partes interesadas A solicitud
Interna
Actualización de Documentos
del SGSI
Gerencia General
Resolución
A todo el personal de APN
A solicitud
Externa Documentos o información de
interés del SGSI Oficial de Seguridad Correo electrónico Partes interesadas A solicitud
Figura 27.- Plan de Comunicaciones Interna y Externa del SGSI de la APN
Fuente: SGSI de la APN
Código: SGSI-FO-55
Versión: 01
Aprobado: GG
Fecha: 12.09.2017
MATRIZ DE
COMUNICACIONES
-
57
Desarrollo de la Metodología para la Gestión de Riesgos y Oportunidades. – Se
formuló una metodología que permite efectuar la gestión de riesgos y oportunidades de
seguridad de información, en esta parte del proyecto, se contó con la ayuda de un
consultor externo para asegurar que dicha metodología recoja las necesidades de la
APN. los roles se desarrollaron de la siguiente manera:
Tabla 4 Tabla de Roles para la formulación de la Metodología de Gestión de riesgo
Fuente: Proyecto de implementación del SGSI de la APN
Roles
Responsabilidades
Responsable del Proyecto
(Fernando Soriano Medrano)
Consultor Externo
(Proveedor)
Jefe de la Oficina de
Tecnología de la Información
Formular la propuesta del documento de Metodología para la Gestión de Riesgos.
Revisión de propuesta de Metodología para la Gestión de Riesgos
Aprobación de la propuesta de Metodología para la Gestión de Riesgos
El consultor orientó la parte procedimental, y participó durante la revisión de la
propuesta de la Metodología para la Gestión de Riesgos, mientras que la Jefatura de la
OTI aprobó la metodología propuesta; se debe subrayar que el contar con dicha
metodología para tratar los riesgos, permite establecer una forma metódica para realizar
la identificación, el respectivo análisis y la consecuente evaluación de los riesgos y
oportunidades de la seguridad de la información, a su vez establece las definiciones y
conceptos que han de ser empleados para la gestión de riesgos asociados a la
seguridad de la información.
La metodología implica la adecuada gestión de riesgos adaptada a las
necesidades de la APN, identificando todos aquellos riesgos que estén asociados a los
activos de información, evaluando dichos riesgos y estableciendo el plan de tratamiento
de riesgos respectivo. El establecer dicha metodología implica que se privilegie los
pilares de la seguridad de la información; también significa que los riesgos sean visibles
para los responsables de la gestión de información (los que generan, procesan,
-
58
controlan y almacenan información) y que dichos riesgos puedan ser identificados de
acuerdo a los criterios previamente definidos en la metodología, para analizar y evaluar
los riesgos que son considerados críticos y sobre la base de los cuales se pueda
formular un plan de tratamiento que permita gestionarlos.
En la Figura 28. se visualiza la Metodología de Gestión de riesgos y
oportunidades, el que es un documento interno de la APN.
Figura 28.- Metodología de Gestión de Riesgos y Oportunidades
Fuente: SGSI de la APN
-
59
Identificación y Clasificación de los Activos de la información. - A fin de efectuar
una correcta gestión de riesgos, es necesario identificar los activos de información
comprendidos en el SGSI; para ello se desarrolló el Procedimiento de Inventario de
Activos, el mismo que permite listar los activos de información identificados, que
pertenecen a los procesos del alcance del SGSI, dicho inventario también establece el
criterio para la descripción de los activos de información lo que incluye:
✓ Código
✓ Nombre
✓ Descripción
✓ Propietario
✓ Ubicación
✓ Tipo y Categoría
✓ Clasificación
✓ Valoración del activo
En la Figura 29. se visualiza el formato de Inventario de activos de información
con sus respectivos campos, en el cual se hace visible la valoración de los activos.
-
60
Figura 29.- Formato de Inventario de Activos
Fuente: SGSI-APN
CÓDIGO DEL
ACTIVOPROCESO
TIPO DE
ACTIVOCATEGORÍA ACTIVO DESCRIPCIÓN PROPIETARIO UBICACIÓN CLASIFICACIÓN
VALORACIÓN
DEL ACTIVO
LICOPR-01Gestión de
LicenciasInformación
Software desarrollado
internamenteSAGA
Software que permite la gestion integral del proceso
de otorgamiento, incremento, reducción,
cancelacion de licencias de operación, reglamento
de operaciones, que otorga la APN a los
administrados (agencias marítimas y empresas que
requieran las licencias para su funcionamiento)
OTI/DOMA/UAJ OTI Uso Interno Alta
LICOPR-02Gestión de
LicenciasInformación
Información-Documento
electrónico
Solicitud Unica de comercio
Exterior - SUCE y requisitos
TUPA para el otorgamiento,
incremento o reducción de
embarcaciones, cancelación
de licencias
Expediente electronico y la documentación según
requisitos TUPA.
Abarca trámites (otorgamiento, incremento o
reducción de embarcaciones y cancelación)
OTI/DOMA/UAJ OTI Uso Interno Alta
LICOPR-03Gestión de
LicenciasPersonas Personal de la Entidad Especialistas DOMA / UAJ
Especialistas en el ordenamiento administrativo y
operativo de los servicios portuariosDOMA DOMA / UAJ N.A. Alta
LICOPR-04Gestión de
LicenciasFísico Físico-Equipo
Computadoras e impresoras
DOMA / UAJ
Computadoras asignadas a los especialistas y
técnicos de la DOMA- LicenciasOTI DOMA / UAJ Uso Interno Medio
LICOPR-05Gestión de
LicenciasFísico
Información-Documento
electrónico
Servicio de Correo
electrónicoServicio de mensajería electrónica OTI OTI Uso Interno Medio
LICOPR-06Gestión de
LicenciasFísico Físico-Equipo
Teléfono móvil asignado por
la APN
Teléfono móvil asignados a los especialistas y
técnicos de DOMA-LicenciasOTI DOMA / UAJ Uso Interno Medio
LICOPR-07Gestión de
LicenciasSoftware
Software desarrollado
internamente
Sistema de Gestion
Documentaria - SIGEDSistema de Gestión Documentaria OTI OTI Uso Interno Alta
LICOPR-08Gestión de
LicenciasInformación
Información-Documento
electrónico
Registros en excel de
licencias y medios
autorizados.
Libros en excel de embarcaciones, prácticos, buzos,
administrados con licencia vigente, correlativo de
licencias, etc.
DOMA DOMA Uso Interno Alta
-
61
Análisis y Evaluación de los Riesgos. – A fin de plasmar el adecuado análisis y su
correspondiente evaluación de riesgos de acuerdo a lo establecido en la Metodología
para la Gestión de Riesgos y Oportunidades, se desarrolló un Formato, en el cual se
describen los activos con el siguiente detalle:
✓ Activo: se indica el nombre del activo al cual está asociado el riesgo
✓ Código del Riesgo: el número de correlativo de cada riesgo
✓ Nombre del Riesgo: el nombre del riesgo identificado
✓ Amenaza: Evento potencial que puede ocasionar daño al activo.
✓ Vulnerabilidad: Debilidad que puede ser explotada por determinada amenaza.
✓ Valor CID: El valor que se obtiene al evaluar cada uno de los criterios de
seguridad; Confidencialidad, Integridad y Disponibilidad.
✓ Propietario: El responsable de la gestión del riesgo.
✓ Análisis de Riesgo: La acciones que se realizan para evaluar la probabilidad de
ocurrencia de un riesgo y el impacto que este tendría sobre la organización,
obteniéndose el nivel de riesgo.
✓ Opción de Tratamiento: La opción más apropiada que se ha de seleccionar para
mitigar el riesgo identificado.
Es oportuno añadir que la formulación de este registro es importante, ya que
permitirá a los propietarios de los riesgos identificados, añadir nuevos riesgos o
actualizar los existentes.
En la Figura 30 se visualiza la matriz de Gestión de Riesgos y Oportunidades.
-
62
Figura 30.- Formato de Gestión de Riesgos y Oportunidades
Fuente: SGSI de la APN
C I D VALOR CID IMPACTO PROBABILIDADNIVEL DE
RIESGO
SAGA LICOPR-01 Indisponibilidad del Sistema AM99 - CiberataquesVU96 - No se realiza Ethical
Hacking interno / externoBaja Baja Alta Significativo DOMA Significativo Baja Mediano Mitigar
Solicitud Unica de comercio Exterior -
SUCE y requisitos TUPA para el
otorgamiento, incremento o reducción de
embarcaciones, cancelación de licencias
LICOPR-02
Pérdida de información declarada de
la SUCE durante la interconexion del
los sistema VUCE &SAGA
AM80 - Pérdida de
información
VU27 - Software inmaduro
o nuevoBaja Baja Media Menor DOMA Menor Baja Bajo Aceptar
Especialistas DOMA LICOPR-03
Retraso en la ejecución de
actividades que afectan al
cumplimiento del proceso
AM42 - Ruptura en la
disponibilidad del
personal
VU43 - Ausencia del
personalAlta Alta Baja Catastrófico DOMA Catastrófico Muy Baja Mediano Mitigar
Sistema de Gestion Documentaria - SIGED LICOPR-04
Retraso en la