trabajo de grado estructuracion y generaciÓn de …
TRANSCRIPT
TRABAJO DE GRADO
ESTRUCTURACION Y GENERACIÓN DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS
MÉDICOS
JOSE WILLIAM GARZON LOPEZ
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C
2021
TRABAJO DE GRADO
ESTRUCTURACION Y GENERACIÓN DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS
MÉDICOS
JOSE WILLIAM GARZON LOPEZ
Trabajo de grado presentado para optar al título de Especialista en Seguridad de la Información
Tutor
ALFONSO LUQUE ROMERO
Magister en Sistemas de Información
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C
2021
3
4
Dedicatoria
A mi familia. Motor y alegría del día a día.
Agradecimientos
A la Universidad Católica de Colombia y en especial a sus docentes que han transmitido de forma excepcional sus conocimientos y han acompañado de la
mejor forma este proceso de formación.
5
TABLA DE CONTENIDO
Pág. 1. Introducción 10 2. Generalidades 11
2.1. Línea de Investigación 11
2.2. Planteamiento del Problema 11
2.2.1. Antecedentes del problema 11
2.2.2. Pregunta de investigación 12
2.2.3. Variables del problema 12
2.3. Justificación 12
3. Objetivos 13
3.1. Objetivo general 13
3.2. Objetivos específicos 13
4. Marcos de referencia 14 4.1. Marco teórico 14
4.2. Marco jurídico 16
4.2.1. Ley 1266 de 2008 16
4.2.2. LEY 1581 DE 2012 16
4.2.3. Resolución no. 004089 del 22 de mayo de 2018 16
4.2.4. Resolución no 000067 del 20 de octubre de 2016 16
4.2.5. Reportes secretaría distrital de salud 17
4.2.6. Operador economico autorizado 17
4.2.7. Sagrilaft 18
5. Metodología 19 5.1. Fases del Trabajo de Grado 19
5.1.1. Fase 1 – Diagnóstico de madurez 19
5.1.2. Fase 2 – Encuesta 19
5.1.3. Fase 3 – Consolidación de los resultados de la encuesta 19
5.1.4. Fase 4 – Calificación de la encuesta 19
5.1.5. Fase 5 – Comparación de los estándares y normas utilizadas 19
5.1.6. Fase 6 – Generación de las políticas de seguridad de la información. 19
5.1.7. Fase 7 – Generación de documentación y formatos de apoyo 19
5.2. Instrumentos y Herramientas Utilizadas 19
6
6. Entrega de Resultados e Impacto 21
7. Conclusiones 47
8. BIBLIOGRAFÍA 48 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE COMERCIALIZACIÓN DE INSUMOS MÉDICOS 63
1. INTRODUCCIÓN 63
2. OBJETIVO 63
3. ALCANCE 63
4. REQUISITOS LEGALES 64
5. DEFINICIONES 64
6. POLITICAS PARA LA IMPLEMENTACIÓN DE CONTROLES DE
SEGURIDAD DE LA INFORMACIÓN 65
6.1. COMPROMISO DE LA DIRECCIÓN 65
6.2. GESTIÓN DE ACTIVOS DE INFORMACIÓN 65
6.2.1. IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN 65
6.2.2. CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN 66
6.2.1. DEVOLUCIóN DE ACTIVOS 67
6.2.2. GESTIóN DE MEDIOS REMOVIBLES 67
6.2.3. DISPOSICIóN DE LOS ACTIVOS 68
6.2.4. DISPOSICION FINAL DE LOS ACTIVOS 68
6.3. CONTROL DE ACCESO 68
6.3.1. ACCESO A LAS APLICACIONES Y CONTRASEÑAS 68
6.3.2. CONTROL DE ACCESO 69
6.3.3. ACCESO A LAS ÁREAS FíSICAS 69
6.3.4. AREAS DE CARGA 70
6.4. HISTORIAL DE TRANSACCIONES REALIZADAS 70
6.5. PRIVACIDAD DE LA INFORMACIÓN 70
6.5.1. AMBITO 70
6.5.2. EXCEPCIONES 71
6.5.3. PRINCIPIOS DE TRATAMIENTO DE DATOS PERSONALES 71
6.5.4. DERECHOS DE LOS TITULARES DE LOS DATOS 71
6.5.5. AUTORIZACIÓN DEL TITULAR 72
6.6. INTEGRIDAD DE LA INFORMACIÓN 72
6.7. DISPONIBILIDAD DE LOS SERVICIOS DE INFORMACIÓN 72
6.8. REGISTROS DE AUDITORÍA 72
6.9. TRATAMIENTO DE LOS INCIDENTES DE SEGURIDAD DE lA
INFORMACIÓN 73
6.10. CAPACITACIONES EN SEGURIDAD DE LA INFORMACIÓN 73
6.11. ESCRITORIO LIMPIO 73
6.12. SOFTWARE NO AUTORIZADO 74
6.13. DESCARGA DE ARCHIVOS 74
6.14. COPIAS DE SEGURIDAD 74
7
6.15. SERVICIOS DE MENSAJERIA 75
6.16. COMUNICACIONES DE SEGURIDAD 75
8
LISTA DE FIGURAS Pág.
ILUSTRACIÓN 1-EVOLUCIÓN DE LA NORMA ISO 27001- FUENTE HTTPS://WWW.PMG-SSI.COM/ .......................................... 12 ILUSTRACIÓN 2 - BRECHA ANEXO A ISO 27001:2013 – FUENTE INSTRUMENTO DE EVALUACIÓN MSPI ................................ 23 ILUSTRACIÓN 3 BRECHA ESTADO ACTUAL INSTITUCIÓN - ANEXO A ISO 27001:2013 - ESTADO IDEAL – FUENTE PROPIO .......... 26 ILUSTRACIÓN 4 - MATRIZ RACI EN GESTIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. - FUENTE PROPIO ............... 27 ILUSTRACIÓN 5 - DESCRIPCIÓN ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ...................................................................... 28 ILUSTRACIÓN 6 - TIPOLOGÍA ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ......................................................................... 29 ILUSTRACIÓN 7 - CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN - FUENTE PROPIA ......................................................... 30 ILUSTRACIÓN 8 - CUSTODIA DE LOS ACTIVOS DE INFORMACIÓN. FUENTE PROPIO ................................................................ 31 ILUSTRACIÓN 9 - MATRIZ DE RIESGOS - DESCRIPCIÓN - FUENTE PROPIO ........................................................................... 33 ILUSTRACIÓN 10 MATRIZ DE RIESGOS – DESCRIPCIÓN (CONTINUACIÓN) - FUENTE PROPIO .................................................. 34 ILUSTRACIÓN 11 - MATRIZ DE RIESGOS – CALIFICACIÓN CRITICIDAD - FUENTE PROPIO ........................................................ 35 ILUSTRACIÓN 12 -MATRIZ DE RIESGOS – CALIFICACIÓN CRITICIDAD (CONTINUACIÓN) - FUENTE PROPIO ................................ 36 ILUSTRACIÓN 13 - MATRIZ DE RIESGOS - DESCRIPCION AMENAZAS - FUENTE PROPIO ......................................................... 37 ILUSTRACIÓN 14 - MATRIZ DE RIESGOS - DESCRIPCION AMENAZAS (CONTINUACIÓN)- FUENTE PROPIO .................................. 38 ILUSTRACIÓN 15 - MATRIZ DE RIESGOS - CALIFICACIÓN RIESGO - FUENTE PROPIO .............................................................. 39 ILUSTRACIÓN 16 - MAPA DE CALOR DEL RIESGO - FUENTE PROPIO .................................................................................. 40
9
LISTA DE TABLAS
Pág.
TABLA 1 ESCALA DE EVALUACIÓN – INSTRUMENTO DE EVALUACIÓN MSPI ....................................................................... 21 TABLA 2 - EVALUACIÓN DE EFECTIVIDAD DE LOS CONTROLES – FUENTE INSTRUMENTO DE EVALUACIÓN MSPI ......................... 22 TABLA 3 - COMPARATIVO NORMA ISO27001 - REQUISITOS OPERADORES ECONÓMICOS AUTORIZADOS. – FUENTE PROPIO ....... 25 TABLA 4EVALUACIÓN DE EFECTIVIDAD DE LOS CONTROLES. ESTADO IDEAL. – FUENTE PROPIO ............................................... 26 TABLA 5 - PLAN DE TRATAMIENTO DE LOS RIESGOS....................................................................................................... 45
10
1. INTRODUCCIÓN La firma involucrada en este proyecto es una organización que comercializa insumos médicos a hospitales, clínicas y profesionales de la salud. Por la cantidad de ventas anuales debe cumplir con las normas Sagrilaft, además está certificada en ISO9001. Esta empresa contrata con entidades estatales y privadas la venta y entrega de insumos médico quirúrgicos, así como la dotación de salas de cirugía, elementos de esterilización, elementos de reconstrucción máxilo facial y está interesada en lograr ser Operador Económico Autorizado de la DIAN. Todos estos factores influyen para determinar que debe tener una política clara y ejecutable de Seguridad de la Información. Es beneficioso para esta empresa que además de cumplir con la conceptualización y generación de la política, posteriormente se realice su implementación, estos factores serían un soporte para las diferentes operaciones de la organización que entes externos, clientes y proveedores, piden que se cumplan. Este documento aborda el diagnóstico de la entidad, en el cual se evaluará su estado de madurez actual frente a los diferentes estándares de seguridad de la información que se desean cubrir. Este documento igualmente comparará las diferentes normativas que se deben cumplir para asegurar cubrir los puntos que sean necesarios dentro de la generación de la política de seguridad de la información y su posterior implementación. Para la organización, generar e implementar esta política, representa un cumplimiento en algunos casos normativo, de estandarización, de prestigio y sobre todo de protección de los activos de información, lo que haría que la organización cubriera una gran brecha de seguridad y con ello obtener mejores resultados comerciales, dada la implementación que se haga de la política que se va a proponer. Este documento abarca la generación de la política y documentos asociados a ella que deban implementarse en la organización, pero no cubre la implementación de esta. Si se hará como parte del diagnóstico y de la generación de la política, unas recomendaciones con el objetivo de lograr de manera fácil su implementación.
11
2. GENERALIDADES 2.1. LÍNEA DE INVESTIGACIÓN Gestión Integral y Dinámica de las organizaciones. 2.2. PLANTEAMIENTO DEL PROBLEMA En la compañía abordada con este proyecto, es necesario generar la política de seguridad de la información buscando cubrir los puntos que legalmente sean necesarios, buscando proteger en forma adecuada la información que reposa en la organización para dar cumplimiento a diferentes normas, leyes de protección y estándares de seguridad que se vienen imponiendo en el mercado. Dentro de los objetivos del negocio, uno muy importante indica: “Cuidar el cumplimiento de todas las obligaciones, legales y económicas, para asegurar la imagen de solidez y seriedad” Para dar cumplimiento a este punto, es necesario hacer el levantamiento de información del estado actual de madurez de la gestión de la seguridad de la información, evaluar cada uno de los puntos que son necesarios cubrir y generar un diagnóstico que ubique los principales aspectos que deben ser tenidos en cuenta, de esta forma se generará de forma adecuada la política de seguridad para la organización, y se podrá además generar las recomendaciones que la organización deba implementar para dar cumplimiento a la política propuesta.
2.2.1. ANTECEDENTES DEL PROBLEMA La organización trabajada nace en 1969 y desde su nacimiento ha presentado unos índices de ventas bastante óptimos, lo que ha llevado a la empresa a diversificar su oferta y a buscar nuevas opciones de negocio que impacten en la calidad de los servicios y productos ofrecidos y que entreguen beneficios económicos a la organización. Dentro del medio ha forjado un nombre que se asocia a la calidad, seriedad, compromiso y cumplimiento. La norma ISO 27001, por su parte ha tenido su desarrollo desde 1995 como parte del compendio de documentos ISO, en ella se dictan los lineamientos y mejores prácticas para que las empresas administren un Sistema General de Seguridad de la Información. Se basó en la norma británica BS 7799 y acomodada al lineamiento de las normas ISO nace a partir de 2005 la norma ISO 27001:2005 como norma certificable, y que ya ha tenido varias revisiones hasta llegar a la actualmente vigente ISO 27001:2013 . (ISO Tools Excellence 2013)1.
1 La NCh ISO 27001. Origen y evolución. https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-
12
Ilustración 1-Evolución de la norma ISO 27001- Fuente https://www.pmg-ssi.com/
Mediante decreto 3568 de 2011 se establece el Operador Económico Autorizado en Colombia, como una herramienta para agilizar los procesos de asuntos aduaneros y arancelarios bajo un esquema de uso internacional propuesto por la Organización Mundial de Aduanas y que en Colombia abarca a diferentes entidades entre ellas la Dirección de Impuestos y Aduanas Nacionales. (Departamento Administrativo de la Función Pública 2011).2 Este Decreto fue posteriormente modificado por el decreto 1894 de 2015.
2.2.2. PREGUNTA DE INVESTIGACIÓN ¿Cuáles puntos debe abordar la política de seguridad de la información de la organización para alcanzar la protección frente a los diferentes aspectos normativos que la empresa está interesada en cubrir?
2.2.3. VARIABLES DEL PROBLEMA Se encuentran variables importantes que deben ser tenidos en cuenta.
• El medio comercial en el cual la organización desarrolla sus actividades.
• La normatividad que debe cumplir, en base a su gestión comercial y su estructuración como empresa.
• Estándares comúnmente utilizados en el medio.
• Visión de la organización.
• Proyectos en la organización. 2.3. JUSTIFICACIÓN Para la organización evaluada, se hace necesario contar con una política establecida de seguridad de la información. Esto le ayudará a cubrir las brechas de seguridad que se puedan encontrar actualmente frente al tratamiento de los datos y de la información en la organización. Se busca poner a la empresa en un óptimo nivel frente a requerimientos legales, licitatorios y normativos, buscando el cumplimiento de los más importantes estándares establecidos.
y-evolucion/ 2 Decreto 3568 de 2011. https://funcionpublica.gov.co/eva/gestornormativo/norma.php?i=64620
13
3. OBJETIVOS
3.1. OBJETIVO GENERAL Generar las políticas del Sistema de Gestión de Seguridad de la Información que integre los procesos actuales de la organización, actores y procedimientos, siguiendo los estándares de normas y leyes vigentes.
3.2. OBJETIVOS ESPECÍFICOS
• Efectuar un diagnóstico preliminar del estado actual de la seguridad de los datos y de la información en la empresa con la cual se está trabajando, este diagnóstico debe cubrir aspectos de la norma ISO 27001 relacionados con los fundamentos de las políticas de seguridad.
• Utilizar los procedimientos y formatos que actualmente se tienen implementados dentro del sistema de gestión de calidad de la organización, y que puedan servir como apoyo al Sistema de Gestión de Seguridad de la Información.
• Cubrir el cumplimiento de las normas Habeas Data, Sagrilaft y de Operador Económico Autorizado de la DIAN.
• Identificar los puntos en los cuales la norma ISO 27001 y la norma de Implementación de Operador Económico de la DIAN se cruzan, en materia de seguridad de la información, para asegurar el cumplimiento de estos puntos.
• Evaluar los riesgos asociados a los activos de información de la organización.
• Generar el esquema de responsabilidades en la organización frente a los activos de información y a la seguridad de la información contenida en esos activos.
• Generar las recomendaciones que cubran las brechas de seguridad que se encuentren en la organización frente a las políticas que se generen y que no se encuentren documentadas o implementadas en la organización.
14
4. MARCOS DE REFERENCIA La firma con la que se ha decidido trabajar es una empresa cuyo objeto es la comercialización de insumos médicos y quirúrgicos con más de 50 años de posicionamiento en la industria, cuenta con un amplio portafolio como representante para Colombia de casas internacionales que se especializan en la producción de equipos y material médico quirúrgico, así como de medicamentos especializados. Las principales líneas comercializadas son:
● Instrumental, contenedores y autoclaves. ● Medicina Nuclear ● Osteosíntesis y Motores ● Elementos Médico Quirúrgicos ● Equipos Médicos3 (Quirurgicos Ltda 2021)
Los clientes de la organización son las entidades e instituciones prestadoras de servicios de salud, hospitales, clínicas, distribuidoras de elementos quirúrgicos, médicos y profesionales de la salud y en menor medida personas naturales. Las ventas se realizan a través de asesores comerciales con las modalidades de contratación de las entidades públicas o privadas; además de la comercialización a través de distribuidores autorizados y también por medio de venta directa.
4.1. MARCO TEÓRICO
• ISO 27001 es un estándar internacional que cubre la seguridad de la información en donde se abordan diferentes aspectos de la seguridad, entre ellos los más destacados son:
o Análisis y evaluación de riesgos. o Definición de un plan de tratamiento de riesgos. o Implementación de controles.
Al ser un estándar internacional ha sido ampliamente acogido por diferentes organizaciones, logrando que los procesos de comunicación de datos y la protección asociada a esta comunicación sea más fácil de implementar y controlar por las partes. La norma se basa en que la información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en
3 Productos Quirurgicos Ltda. https://www.quirurgicosltda.com/productos/
15
consecuencia una protección adecuada (Ingertec s.f.)4. También inicia la definición de roles y responsabilidades, metodologías de riesgos, criterios de clasificación de la información, sistemas de respaldos de los datos, infraestructura asociada, selección y seguimiento de proveedores, y planes de continuidad del negocio. Estos serán los puntos mínimos que las políticas de seguridad de la información de la organización deberían cubrir. Se evaluarán los controles necesarios que se deben implementar para lograr una rápida implementación de la política. La etapa de implementación no está contemplada como parte de este proyecto.
• El planteamiento de la norma frente a las políticas de seguridad de la información, logra enmarcarla como objetivo de control, dado que basado en ella las organizaciones pueden demostrar que cuentan con la documentación y madurez que la norma exige. En la política de seguridad de la información, las organizaciones generan el marco conceptual sobre el que la compañía va a desarrollar sus actividades de control en seguridad de la información. Dicta además el mapa de ruta para alcanzar los objetivos que las organizaciones desean cubrir adaptando la propia política de seguridad a los objetivos organizacionales, objetivos comerciales y objetivos en seguridad de la información (ISO Tools Excellence 2018).5 Se deben considerar métricas que permitan la comparación entre la capacidad de seguridad actual y la capacidad requerida para cumplir con los requisitos del negocio (Ingertec 2018)6. Una política completa basada en la norma ISO27001, tiene en cuenta cada uno de los objetivos de seguridad del Sistema de Gestión de Seguridad de la Información, esos objetivos son los siguientes:
o Protección de los activos de información. o Autenticación. o Autorización. o Integridad de la información. o Auditoría
4 Qué se entiende por información en ISO27001. https://www.normas-iso.com/iso-27001
5 ISO 27001 ¿En qué se basa la política de seguridad de la información?. https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/ 6 Elaboración de la política. Objetivos del SGSI. https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/
16
4.2. MARCO JURÍDICO
4.2.1. LEY 1266 DE 2008
La ley 1266 de 2008 mejor conocida como Ley de Habeas Data, tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales7 (Secretaría del Senado de la República 2021).
4.2.2. LEY 1581 DE 2012
La Ley 1581 de 2012 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales8 (Secretaría del Senado de la República 2021).
4.2.3. RESOLUCIÓN NO. 004089 DEL 22 DE MAYO DE 2018
Resolución No 004089 del 22 de mayo de 2018 por la cual se adiciona la Resolución 0015 del 17 de febrero de 2016 y establece los requisitos OEA para Agencia de Aduanas9 (Dirección General de Impuestos y Aduanas Nacionales y Dirección General de la Policía Nacional 2018).
4.2.4. RESOLUCIÓN NO 000067 DEL 20 DE OCTUBRE DE 2016
Resolución No 000067 del 20 de octubre de 2016 por la cual se adiciona la Resolución 000015 del 17 de febrero de 2016 y establecen los requisitos OEA para importadores10 (Dirección de impuestos y Aduanas
7Secretaría del senado de la República. Ley 1266 de 2008
http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html 8 Secretaría del senado de la República. Ley 1581 de 2012
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html 9 Requisitos para agencias de Aduanas https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20004089%20de%2022-05-2018.pdf 10 Requisitos de Operadores Económicos Autorizados para importadores https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20000067%20de%2020-10-2016.pdf
17
Nacionales 2016).
4.2.5. REPORTES SECRETARÍA DISTRITAL DE SALUD
• Cumplimiento de reportes obligatorios para la Secretaría Distrital de Salud a través de las plataformas del Sistema de Información en Protección, SISMED y PISIS11 (Secretaría Distrital de Salud s.f.).
4.2.6. OPERADOR ECONOMICO AUTORIZADO
El operador económico autorizado de la DIAN es una figura de control aduanero internacional, que ha sido liderada por la Organización Mundial de Aduanas y que busca convertir a empresas importadoras en agentes activos de aduana, con los debidos controles que se requiere para asegurar tanto la infraestructura física, como la seguridad de los datos12 (Dirección de Impuestos y Aduanas Nacionales 2020). A nivel de seguridad de la información la implementación de Operador Económico Autorizado de la DIAN exige una serie de requisitos:
o Controlar el acceso y salida de información por medio de correo electrónico, soportes magnéticos, dispositivos de almacenamiento extraíble y demás.
o Utilizar sistemas informáticos para el control y seguimiento de su negocio, sus operaciones financieras, contables, aduaneras y comerciales
o Tener políticas y procedimientos documentados de seguridad informática
o Asignar cuentas individuales de acceso a la plataforma de tecnología. o Establecer controles que permitan identificar el abuso de los sistemas
de cómputo y de tecnología informática, así como detectar el acceso inapropiado y la manipulación indebida de la información.
o Tener un plan de contingencia informática documentado, implementado, mantenido y en proceso de mejora continua.
o Tener un lugar físico definido como centro de cómputo y comunicaciones, con las medidas de seguridad apropiadas que garanticen el acceso únicamente del personal autorizado13 (Dirección
11 Secretaría Distrital de Salud. SISPRO - Aplicativos Misionales 12 DIAN. Seguridad en Tecnología de la Información.
https://www.dian.gov.co/aduanas/oea/inicio/Paginas/marconormativo.aspx 13 Seguridad en Tecnología de la Información - DIAN
https://www.dian.gov.co/aduanas/oea/inicio/Documents/Seguridad_en_Tecnologia_de_la_Informacion.pdf
18
de Impuestos y Aduanas Nacionales 2020).
4.2.7. SAGRILAFT
El lavado de activos, la financiación del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva son fenómenos complicados y críticos en el ámbito empresarial. De hecho, son fenómenos delictivos que generan consecuencias negativas para la economía del país y a las empresas del sector real. Estos fenómenos traen consigo riesgos operacionales, legales, reputacionales y de contagio, entre otros, con la consecuente afectación económica y en el buen nombre empresarial, y efectos en la competitividad, productividad y perdurabilidad de las empresas. Es por esto que uno de los principios del Plan Nacional de Desarrollo es el pacto por la legalidad, el cual incluye la lucha contra la delincuencia y la corrupción. Por ello, la Superintendencia de Sociedades realizó una evaluación del SAGRLAFT 2.0 en términos de efectividad, eficiencia, alcance y pertinencia, con el fin de mitigar los riesgos de LA/FT/FPADM en Colombia, proteger el tejido empresarial y la economía del país, y así contar con empresas más competitivas, productivas y perdurables. Esto dio lugar a la modificación integral del capítulo X de la Circular Básica Jurídica, por medio de la Circular Externa 100-000016 del 24 de diciembre de 202014 (Instituto Nacional de Contadores Públicos 2021) (SAGRILAFT 3.0), la cual atiende principalmente a las recomendaciones internacionales del Grupo de Acción Financiera Internacional –GAFI- y el resultado del Informe de Evaluación Mutua – IEM 2018, así como las necesidades actuales de supervisión basada en riesgos y la política general de supervisión de esta Superintendencia de Sociedades (Superintendencia de Sociedades 2021)15.
14 Riesgos sobre el lavado de activos https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/#:~:text=La%20modificaci%C3%B3n%20al%20mencionado%20Cap%C3%ADtulo,sociedades%20comerciales%2C%20sucursales%20de%20sociedades 15 Superintendencia de Sociedades. La prevención del lavado de activos y financiación del
terrorismo. https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx
19
5. METODOLOGÍA
5.1. FASES DEL TRABAJO DE GRADO
5.1.1. FASE 1 – DIAGNÓSTICO DE MADUREZ
Diagnóstico de la madurez del Sistema de Gestión de Seguridad de la información en la organización con la cual se está trabajando a través de la verificación de una lista de chequeo que contemple los lineamientos básicos a tener en cuenta para lograr una adecuada protección de los activos de información de la organización.
5.1.2. FASE 2 – ENCUESTA
Generación de una encuesta que se formuló a las áreas de tecnología de la empresa y colaboradores encargados de área y conocedores de los procesos de implementación de los factores de calidad y de seguridad. La encuesta formulada abarcó los diferentes dominios de la norma, fue calificada de acuerdo con unos criterios definidos y obtuvo la consolidación del estado para cada uno de los objetos de control.
5.1.3. FASE 3 – CONSOLIDACIÓN DE LOS RESULTADOS DE LA
ENCUESTA
5.1.4. FASE 4 – CALIFICACIÓN DE LA ENCUESTA
5.1.5. FASE 5 – COMPARACIÓN DE LOS ESTÁNDARES Y NORMAS UTILIZADAS
5.1.6. FASE 6 – GENERACIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN.
5.1.7. FASE 7 – GENERACIÓN DE DOCUMENTACIÓN Y FORMATOS DE APOYO
5.2. INSTRUMENTOS Y HERRAMIENTAS UTILIZADAS
o La evaluación de diagnóstico para el estado de madurez utilizó los
controles propuestos por la norma ISO27001 a través del anexo A. o Encuesta para evaluar el estado de madurez de la organización. o Para consolidar la información, se utilizó la herramienta “Instrumento
de Evaluación – MSPI” utilizada por MinTIC en Colombia para evaluar las diferentes entidades públicas. Según el mismo Ministerio de Tecnologías y Comunicaciones, el "Instrumento de Evaluación MSPI" es una herramienta que fue creada con el fin de identificar el nivel de
20
madurez en la implementación del Modelo de seguridad y Privacidad de la Información. Fue creada por el Ministerio con uso libre sin fines lucrativos. Una encuesta que se formuló a las áreas de tecnología de la empresa y colaboradores encargados de área y conocedores de los procesos de implementación de los factores de calidad y de seguridad. La encuesta formulada abarcó los diferentes dominios de la norma, fue calificada de acuerdo con unos criterios definidos y obtuvo la consolidación del estado para cada uno de los objetos de control. Para consolidar la información, se utilizó la herramienta “Instrumento de Evaluación – MSPI” utilizada por MinTIC para evaluar las diferentes entidades públicas. Según el mismo Ministerio de Tecnologías y Comunicaciones, el "Instrumento de Evaluación MSPI" es una herramienta que fue creada con el fin de identificar el nivel de madurez en la implementación del Modelo de seguridad y Privacidad de la Información. Fue creada por el Ministerio con uso libre sin fines lucrativos.16 (Ministerior de las Tecnologías y Comunicaciones s.f.)
o La calificación del instrumento de Evaluación se basa en los siguientes factores y criterios.
16 Ministerio de las Tecnologías y las Comunicaciones. Fortalecimiento de la Gestión de TI en el Estado. Modelo de Seguridad. https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/
Tabla de Escala de Valoración de Controles ISO 27001:2013 ANEXO A
Descripción Calificación Criterio
No Aplica N/A No aplica.
Inexistente 0 Total falta de cualquier proceso reconocible. La Organización ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles.
Inicial 20
1) Hay una evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementación de un control depende de cada individuo y es principalmente reactiva. 2) Se cuenta con procedimientos documentados pero no son conocidos y/o no se aplican.
21
Tabla 1 Escala de Evaluación – Instrumento de Evaluación
MSPI
Tabla 1. Escala de Evaluación – Fuente Instrumento de Evaluación MSPI El detalle de la encuesta y los resultados obtenidos con ella se pueden observar en el Anexo 1.
6. ENTREGA DE RESULTADOS E IMPACTO
Mediante el conocimiento de los objetivos de la norma ISO27001, enfrentando los requisitos sobre seguridad de la información expuestos se obtiene la siguiente tabla en la cual se observan las congruencias entre los requisitos para Operador Económico Autorizado de la DIAN y la norma ISO27001. Basado en las respuestas obtenidas y utilizando las herramientas de evaluación MSPI se obtuvo la siguiente evaluación de efectividad de
Repetible 40
Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formación ni comunicación formal sobre los procedimientos y estándares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores.
Efectivo 60
Los procesos y los controles se documentan y se comunican. Los controles son efectivos y se aplican casi siempre. Sin embargo, es poco probable la detección de desviaciones, cuando el control no se aplica oportunamente o la forma de aplicarlo no es la indicada.
Gestionado 80
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente.
Optimizado 100
Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prácticas, basándose en los resultados de una mejora continua.
22
los controles.
No.
Evaluación de Efectividad de controles
DOMINIO Calificación
Actual Calificación
Objetivo
EVALUACIÓN DE
EFECTIVIDAD DE CONTROL
A.5 POLITICAS DE SEGURIDAD DE LA INFORMACIÓN 0 100 INEXISTENTE
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 54 100 EFECTIVO
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 61 100 GESTIONADO
A.8 GESTIÓN DE ACTIVOS 74 100 GESTIONADO
A.9 CONTROL DE ACCESO 71 100 GESTIONADO
A.10 CRIPTOGRAFÍA 40 100 REPETIBLE
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 94 100 OPTIMIZADO
A.12 SEGURIDAD DE LAS OPERACIONES 76 100 GESTIONADO
A.13 SEGURIDAD DE LAS COMUNICACIONES 37 100 REPETIBLE
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
SISTEMAS 61 100 GESTIONADO
A.15 RELACIONES CON LOS PROVEEDORES 70 100 GESTIONADO
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN 49 100 EFECTIVO
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA
GESTIÓN DE CONTINUIDAD DEL NEGOCIO 64 100 GESTIONADO
A.18 CUMPLIMIENTO 50 100 EFECTIVO
PROMEDIO EVALUACIÓN DE CONTROLES 57 100 EFECTIVO
Tabla 2 - Evaluación de efectividad de los controles – Fuente Instrumento de Evaluación MSPI
Se observan brechas importantes que requieren trabajo inmediato para lograr su correcta mitigación, es el caso de las políticas de seguridad las cuales no se tienen generadas. También la seguridad de las comunicaciones, aunque se tienen algunos controles implementados, se puede mejorar sensiblemente para tener mayores efectividades. En cuanto a la criptografía, aunque se está utilizando, se hace limitadamente y solo cuando entes de control lo exigen, la normalización de este tipo de herramientas y su implementación extendida daría como resultado mejores calificaciones en este aspecto. También hay que desarrollar de forma más precisa la gestión de incidentes de seguridad de la información, desde la capacitación, el conocimiento, la identificación, registro y solución.
23
El cumplimiento está asociado a la norma ISO9000 en la cual está certificada la empresa, pero no como parte de una política de seguridad de la información la cual debe ser desarrollada. Gráficamente el estado de madurez obtenido para la organización es la siguiente:
Ilustración 2 - Brecha Anexo a ISO 27001:2013 – Fuente Instrumento de Evaluación MSPI
Mediante el conocimiento de los objetivos de la norma ISO27001, enfrentando los requisitos sobre seguridad de la información expuestos, se obtiene la siguiente tabla en la cual se observan las congruencias entre los requisitos para Operador Económico Autorizado de la DIAN y la norma ISO27001. ISO 27001
Objetivo de la norma Requisito OEA
A.5.1.1 Documento de política de seguridad Requisito 8.2
A.5.1.2 Revisiones Requisito 8.2
0
20
40
60
80
100
POLITICAS DE SEGURIDAD DE LAINFORMACIÓN
ORGANIZACIÓN DE LA SEGURIDAD DE LAINFORMACIÓN
SEGURIDAD DE LOS RECURSOS HUMANOS
GESTIÓN DE ACTIVOS
CONTROL DE ACCESO
CRIPTOGRAFÍA
SEGURIDAD FÍSICA Y DEL ENTORNO
SEGURIDAD DE LAS OPERACIONES
SEGURIDAD DE LAS COMUNICACIONES
ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS
RELACIONES CON LOS PROVEEDORES
GESTIÓN DE INCIDENTES DE SEGURIDAD DELA INFORMACIÓN
ASPECTOS DE SEGURIDAD DE LAINFORMACIÓN DE LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
CUMPLIMIENTO
BRECHA ANEXO A ISO 27001:2013
Calificación Actual Calificación Objetivo
24
A.8.3.1 Administración de medios extraíbles Requisito 8.1
A.9.1.1 Políticas de control de acceso Requisito 1.9
A.9.2.1 Registro de usuarios Requisito 8.3
A.9.2.2 Suministro de acceso de usuarios Requisito 8.3
A.9.4.2 Procedimientos seguros de acceso Requisito 8.3
A.11.1.1 Seguridad perimetral Requisito 8.6
A.11.1.2 Controles de ingresos físicos. Requisito 8.6
A.11.1.3 Seguridad de oficinas, cuartos e instalaciones. Requisito 8.6
A.11.1.4 Protecciones contra amenazas externas y medio ambientales.
Requisito 8.6
A.11.1.5 Trabajo en áreas seguras. Requisito 8.6
A.11.2.1 Ubicación y protección de equipos Requisito 8.6
A.11.2.2 Servicios públicos de soporte Requisito 8.6
A.11.2.3 Cableado seguro Requisito 8.6
A.12.1.3 Administración de la capacidad. Requisito 8.4
25
A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción.
Requisito 8.3
A.12.2.1 Controles contra código malicioso. Requisito 8.4
A.13.1.2 Seguridad en servicios de red. Requisito 8.4
A.13.2.3 Mensajes Electrónicos Requisito 1.9
Tabla 3 - Comparativo norma ISO27001 - Requisitos operadores económicos
autorizados. – Fuente Propio
Como objetivo mínimo, la organización debe plantearse el asegurar que se realiza el cumplimiento de los requisitos de la norma para ser Operador Económico Autorizado de la DIAN. Al calificar este cumplimiento utilizando las mismas herramientas con las que se obtuvo el estado de madurez inicial, se encuentra que el estado ideal de la organización debería ser el siguiente:
No.
Evaluación de Efectividad de controles
DOMINIO Calificación
Actual Calificación
Ideal Calificación
Objetivo
EVALUACIÓN DE EFECTIVIDAD DE
CONTROL
A.5 POLITICAS DE SEGURIDAD DE LA
INFORMACIÓN 0 100 100 INEXISTENTE
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN 54 60 100 EFECTIVO
A.7 SEGURIDAD DE LOS RECURSOS
HUMANOS 61 61 100 GESTIONADO
A.8 GESTIÓN DE ACTIVOS 74 74 100 GESTIONADO
A.9 CONTROL DE ACCESO 71 83 100 GESTIONADO
A.10 CRIPTOGRAFÍA 40 60 100 REPETIBLE
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 94 94 100 OPTIMIZADO
A.12 SEGURIDAD DE LAS OPERACIONES 76 81 100 GESTIONADO
A.13 SEGURIDAD DE LAS COMUNICACIONES
37 80 100 REPETIBLE
A.14 ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS 61 61 100 GESTIONADO
26
A.15 RELACIONES CON LOS PROVEEDORES 70 70 100 GESTIONADO
A.16 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN 49 60 100 EFECTIVO
A.17 ASPECTOS DE SEGURIDAD DE LA
INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
64 64 100 GESTIONADO
A.18 CUMPLIMIENTO 50 60 100 EFECTIVO
PROMEDIO EVALUACIÓN DE CONTROLES
57 72 100 EFECTIVO
Tabla 4Evaluación de efectividad de los controles. Estado Ideal. – Fuente Propio
Gráficamente se la calificación actual y la calificación mínima ideal se observan de la siguiente forma:
Ilustración 3 Brecha Estado actual institución - Anexo A ISO 27001:2013 - Estado Ideal – Fuente Propio
La revisión de los datos obtenidos demuestra que la organización debe planificar e implementar mejoras en la definición de las políticas de calidad, en la gestión de incidentes de seguridad de la información, en la seguridad de las comunicaciones, en el uso de criptografía y en la mejora de los controles de acceso. Implementar estos ajustes que en algunos casos son mínimos pues ya se tienen algunos controles implementados, representará para la organización tener un Sistema de
0
20
40
60
80
100
POLITICAS DE SEGURIDAD DE LAINFORMACIÓN
ORGANIZACIÓN DE LASEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LOS RECURSOSHUMANOS
GESTIÓN DE ACTIVOS
CONTROL DE ACCESO
CRIPTOGRAFÍA
SEGURIDAD FÍSICA Y DELENTORNO
SEGURIDAD DE LASOPERACIONES
SEGURIDAD DE LASCOMUNICACIONES
ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS
RELACIONES CON LOSPROVEEDORES
GESTIÓN DE INCIDENTES DESEGURIDAD DE LA INFORMACIÓN
ASPECTOS DE SEGURIDAD DE LAINFORMACIÓN DE LA GESTIÓN
DE LA CONTINUIDAD DEL…
CUMPLIMIENTO
BRECHA ANEXO A ISO 27001:2013
Calificación Actual Calificación Objetivo Calificación Ideal
27
Gestión de la Información con la madurez necesaria para dar cumplimiento a normas y estándares de la industria. Utilizando la metodología de ISO/IEC 2700517 (Sisteseg Consulting Services 2021) se ha realizado el análisis de riesgos de la organización. Se inicia con la determinación de la matriz RACI, para identificar los roles de cada uno de los actores que se ven involucrados en la adecuada Gestión de Riesgos de Información y en general en el Sistema de Seguridad de la Información.
Ilustración 4 - Matriz RACI en Gestión de los Riesgos de Seguridad de la Información. - Fuente Propio
17 Metodología de Análisis de Riesgo según ISO 27005:2018 e ISO 31000:2018. https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf
ID Nombre de la Actividad Jefe TI Gerente GeneralGerente
Comercial
Gerente
Financiero
Gerente
Administrativo
Coordinador de
Importaciones
Coordinador de
Asuntos
Regulatorios
Coordinadora de
Talento HumanoFuncionarios Entes Auditores
1.
1.1. Identificación del Contexto Interno R C/I C/A C/A C/A C/A C/A C/A I -
1.2. Identificación del Contexto Externo R C/I C/A C/A C/A C/A C/A C/A I -
2.
2.1. Identificación de procesos Críticos R/A C/I C/A C/A C/A C/A C/A C/A I -
2.2. Identificar Ativos por Procesos R/C C/I A A A A A A I -
2.3. Valorar la criticidad de los Activos R/C C/I A A A A A A I -
2.4. Identificar Vulnerabilidades a los activos R/C I A A A A A A I -
2.5. Identificar Amenazas a los activos R/C I A A A A A A I -
2.6. Valorar Vulnerabilidades y Amenazas R/C I A A A A A A I -
2.7. Valoración del Riesgo R/C I A A A A A A I -
3.
3.1. Identificación Controles R/C I A A A A A A I -
3.2.Creación del plan de tratamiento de Riesgos
ResidualesR/C I A A A A A A I -
4.
4.1.Aceptar los planes de los tratacientos de los
riesgosI/C A R R R R R R I -
4.2. Formalización de los Riesgos Aceptados I/C A R R R R R R I -
4.3. Documentar los Riesgos Aceptados R/C I A A A A A A I -
5.
5.1.Comunicar a los procesos los riesgos
identificadosR/A I C/I C/I C/I C/I C/I C/I I -
5.2.Comunicar a los procesos los planes de
acción para mitigar los RiesgosR/A I C/I C/I C/I C/I C/I C/I I -
5.3. Comunicar el nivel de riesgo residual R/A I C/I C/I C/I C/I C/I C/I I -
5.4. Comunicar los riesgos aceptados. R/A I C/I C/I C/I C/I C/I C/I I -
6.
6.1.Realizar monitoreo y seguimiento a las
VulnerabilidadesR/A I I I I I I I I C/A
6.2.Realizar monitoreo y seguimiento a las
amenazasR/A I I I I I I I I C/A
6.3.Realizar monitoreo y seguimiento a los
riesgos R/A I I I I I I I I C/A
6.4.Realizar monitoreo y seguimiento a los
controlesR/A I I I I I I I I C/A
6.5. Ajustar desviaciones evidenciadas. C I R/A R/A R/A R/A R/A R/A R/A -
Comunicación de los riesgos
Monitoreo de los Riesgos
Matriz RACI Metodologia de Gestión de Riesgos
Establecer el Contexto
Evaluación del Riesgo
Tratamiento de Riesgos
Aceptación de los Riesgos.
28
Para determinar el riesgo, se han tomado los activos de información y se han clasificado. Esta tarea permite identificar fácilmente los activos por categoría, y además determina el nivel de criticidad asociado a cada uno de los activos.
Ilustración 5 - Descripción activos de Información. Fuente Propio
Correo electrónico Buzones de correo electrónico de la organización Todos Todos
Base de Datos Base de datos de sistema de información Tecnología Jefe de Tecnología
Backup Sofware backup de usuarios Tecnología Jefe de Tecnología
Licencias Aplicativos adquiridos para PC y Servidores Tecnología Jefe de Tecnología
ServidoresMaquina de gran procesamiento para exponer servicios a los
clientesTecnología Jefe de Tecnología
Directorio Activo Directorio de usuarios y dispositivos que componen la red Tecnología Jefe de Tecnología
Antivirus Aplicativo para detectar y eliminar virus informáticos Todos Jefe de Tecnología
Computadores Computadores de la organización Todos Jefe de Tecnología
Gateway Dispositivo de frontera, conecta organización hacia internet Tecnología Jefe de Tecnología
Switch Enlace de forma centralizada entre los equipos en LAN y la WAN Tecnología Jefe de Tecnología
SPA Dispositivo de distribución telefónica Tecnología Jefe de Tecnología
PBX Centralizador de configuración de red telefónica Tecnología Jefe de Tecnología
Centro de Datos Espacio para ubicación de dispositivos de datos y red Tecnología Jefe de Tecnología
BiométricosDispositivo para leer biométicamente el ingreso o salida de
usuariosTalento Humano Coordinadora de Talento Humano
UPSAlmacenamiento de energía en baterias que trabaja cuando no hay
corriente en la red principalTecnología Jefe de Tecnología
Aire Acondicionado Regulador de temperatura y humedad para un espacio definido Tecnología Jefe de Tecnología
NAS Dispositivo de red para almacenamiento de archivos Tecnología Jefe de Tecnología
Discos Duros
ExternosDispositivos de almacenamiento externos a los computadores Tecnología Jefe de Tecnología
ERP Aplicativo para gestión de la información de la organización
Contabilidad, Talento
Humano, Importaciones,
Tesorería
Gerente Operativo
Canales Internet Caneles dispuestos por proveedores para conexión hacia internet Tecnología Jefe de Tecnología
Teléfonos IP Teléfonos con configuración de IP sobre switches de telefonía Todos Todos
DVR Sistema de video grabación Talento Humano Coordinadora de Talento Humano
Procedimientos Procedimientos de las actividades de funcionarios TodosCoordinadora de Asuntos
Regulatorios
Instructivos Paso a paso de las actividades realizadas por los funcionarios TodosCoordinadora de Asuntos
Regulatorios
Nombre del Activo
de InformaciónDescripción Proceso Responsable
29
Ilustración 6 - Tipología Activos de Información. Fuente Propio
Correo electrónico X
Base de Datos X
Backup X
Licencias X
Servidores X
Directorio Activo X
Antivirus X
Computadores X
Gateway X
Switch X
SPA X
PBX X
Centro de Datos X
Biométricos X
UPS X
Aire Acondicionado X
NAS X
Discos Duros
ExternosX
ERP X
Canales Internet X
Teléfonos IP X
DVR X
Procedimientos X
Instructivos X
Nombre del Activo
de Información Software
Tipología
Hardware Documentación Servicios
30
Ilustración 7 - Clasificación de los activos de Información - Fuente Propia
Bajo Medio Alto Bajo Medio Alto
Correo electrónico X X
Base de Datos X X
Backup X X
Licencias X X
Servidores X X
Directorio Activo X X
Antivirus X X
Computadores X
Gateway X X
Switch X X
SPA X X
PBX X X
Centro de Datos X X
Biométricos X X
UPS X X
Aire Acondicionado X X
NAS X X
Discos Duros
ExternosX X
ERP X X
Canales Internet X X
Teléfonos IP X X
DVR X X
Procedimientos X X
Instructivos X X
Nombre del Activo
de Información
Clasificación del activo de información
Nivel criticidad operaciones
internas
Nivel criticidad operaciones
externas
31
Ilustración 8 - Custodia de los Activos de Información. Fuente Propio
A partir de la información anterior se genera la matriz de riesgos la cual identifica cada uno de los tipos de activos de información, estableciendo para cada uno una descripción de su nivel de compromiso en la organización en materia de confidencialidad, integridad y disponibilidad. Esto permite obtener una calificación de criticidad, la cual siempre hace referencia al máximo valor de la calificación de impacto de los tres pilares. Además se indica la vulnerabilidad asociada a cada uno de los activos, basados en los informes que se han venido conociendo durante el curso respecto a la explotación de las vulnerabilidades, y se identifican de forma subjetiva las amenazas asociadas a esas vulnerabilidades. Esta información aporta una degradación que al calificarse por la criticidad nos entrega el valor del impacto en el servicio y se ha obtenido también el riesgo
Correo electrónico Proveedor-Clientes Nube-Clientes
Base de Datos Tecnología Servidor BD
Backup Tecnología-Proveedor DD Externos-NAS-Nube
Licencias Tecnología-Proveedor Tecnología-Nube
Servidores Tecnología Centro de Datos
Directorio Activo Clienteo Centro de Datos
Antivirus Clientes Clientes
Computadores Clientes Clientes
Gateway Tecnología Centro de Datos
Switch Tecnología Centro de Datos
SPA Tecnología-Proveedor Centro de Datos
PBX ClienteX Centro de Datos-Nube
Centro de Datos Tecnología Oficina principal
Biométricos Tecnología Sedes
UPS Tecnología Centro de Datos
Aire Acondicionado Tecnología Centro de Datos
NAS Tecnología Centro de Datos
Discos Duros
ExternosTecnología Tecnología
ERP Tecnología Clientes
Canales Internet Tecnología Centro de Datos
Teléfonos IP Tecnología Clientes
DVR Tecnología Sedes
Procedimientos Area de Calidad Software de SGC
Instructivos Area de Calidad Software de SGC
Nombre del Activo
de Información
Estado y custodia del activo de información
Custodia del activo Localización del activo
32
asociado por ocurrencia en la organización, calificados por el Jefe de Tecnología de la organización. Finalmente, el riesgo se obtuvo de multiplicar la Frecuencia por el Impacto.
33
Ilustración 9 - Matriz de Riesgos - Descripción - Fuente Propio
ID Activo Descripción Confidencialidad Integridad Disponibilidad
R-19
R-17
R-18
Infr
ae
str
uc
tura
R-01
R-02
R-03
R-04
R-05
R-06
R-07
R-08
R-10
R-09
R-11
R-12
R-13
R-14
R-15
R-16
DVR Sistema de video grabación
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
Tecnología
Software
Licencias - WilliamAplicativos adquiridos para PC y
Servidores
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Aplicativo para gestión de la información
de la organización
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
ERP
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
Teléfonos IPTeléfonos con configuración de IP sobre
switches de telefonía
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Matriz de Riesgos
Discos Duros ExternosDispositivos de almacenamiento externos
a los computadores
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Dispositivo de red para almacenamiento
de archivos
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Aire AcondicionadoRegulador de temperatura y humedad
para un espacio definido
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
UPS
Dispositivo para leer biométicamente el
ingreso o salida de usuarios
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Dispositivo de distribución telefónicaInformación que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Información cuya inaccesibilidad
permanente durante la jornada laboral
Enlace de forma centralizada entre los
equipos en LAN y la WAN
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Dispositivo de frontera, conecta
organización hacia internet
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Infraestructura
Fisica
Computadores
Espacio para ubicación de dispositivos de
datos y red
Tecnologia
Hardware
Gateway
Switch
SPA - Ivan
Biométricos
NAS
Almacenamiento de energía en baterias
que trabaja cuando no hay corriente en la
red principal
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Canales InternetCaneles dispuestos por proveedores para
conexión hacia internet
Computadores de la organizaciónInformación que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Maquina de gran procesamiento para
exponer servicios a los clientes
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Centro de Datos
Servidores
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
la Organización.
Aire AcondicionadoRegulador de temperatura y humedad
para un espacio definido
Información que puede ser conocida y utilizada sin
autorización por cualquier persona, dentro o fuera de la
Organización.
Información cuya modificación no autorizada puede
repararse fácilmente, o que no afecta a las actividades de
la Organización.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
UPS
Almacenamiento de energía en baterias
que trabaja cuando no hay corriente en la
red principal
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
BiométricosDispositivo para leer biométicamente el
ingreso o salida de usuarios
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
actividades de la Organización.
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
34
Ilustración 10 Matriz de Riesgos – Descripción (Continuación) - Fuente Propio
ID Activo Descripción Confidencialidad Integridad Disponibilidad
R-35
R-20
R-21
R-22
R-23
R-24
R-25
R-26
R-27
R-28
R-29
R-30
R-31
R-32
R-33
R-34
Info
rma
ció
nG
en
te
Servicios
Electrónica
Papel
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Sofware backup de usuarios
Directorio de usuarios y dispositivos que
componen la red
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
actividades de la Organización.
Alta directiva en la compañia.
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
la Organización.
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada puede
repararse fácilmente, o que no afecta a las actividades de
la Organización.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Información cuya inaccesibilidad
permanente durante una hora podría
impedir la ejecución de las actividades de
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Aplicativo para detectar y eliminar virus
informáticos
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
ColaboradoresFuncionarios que desempeñan acciones
operacionales dentro de la organización
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada puede
repararse fácilmente, o que no afecta a las actividades de
la Organización.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Buzones de correo electrónico de la
organización
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Correo electrónico
Base de Datos
Backup
Directorio Activo
Antivirus
PBX - Hugo ArmandoInformación cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Centralizador de configuración de red
telefónica
Información que puede ser conocida y utilizada sin
autorización por cualquier persona, dentro o fuera de la
Organización.
Información que puede ser conocida y utilizada sin
autorización por cualquier persona, dentro o fuera de la
Organización.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Base de datos de sistema de informaciónInformación que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Dueños
Usuarios
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada no podría
repararse, impidiendo la realización de las actividades.
Gerente General
Gerentes - Edgar Directivos de las diferentes areas
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
Organización.
CoordinadoresFuncionarios que estan a cargo de procesos
de la compañia.
Junta DirectivaOrganismo dentro de la empresa que toma
las decisiones estratégicas.
Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de agentes, cuya divulgación podría
ocasionar un perjuicio a la Org. o terceros.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad
permanente durante una semana podría
ocasionar un perjuicio significativo para la
Jefe TI
Funcionario que esta encargado de los
sistemas de información, aplicaciones y
dispositivos tecnologicos
Procedimientos
InstructivosPaso a paso de las actividades realizadas por
los funcionarios
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Procedimientos de las actividades de
funcionarios
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.
Información cuya inaccesibilidad
permanente durante la jornada laboral
podría impedir la ejecución de las
Información cuya inaccesibilidad no afecta
la actividad normal de la Organización.Procedimientos
Procedimientos de las actividades de
funcionarios
Información que puede ser conocida y utilizada por todos los
agentes de la Organización.
Información cuya modificación no autorizada puede
repararse aunque podría ocasionar un perjuicio para la
Organización o terceros.
InstructivosPaso a paso de las actividades realizadas por
los funcionarios
Información que sólo puede ser conocida y utilizada por un
grupo de agentes, que la necesiten para realizar su trabajo.
Información cuya modificación no autorizada es de difícil
reparación y podría ocasionar un perjuicio significativo para
la Organización o terceros.
Matriz de Riesgos
35
Ilustración 11 - Matriz de Riesgos – Calificación Criticidad - Fuente Propio
ID Activo Confidencialidad Integridad Disponibilidad Criticidad
R-19
R-17
R-18
Infr
ae
str
uc
tura
R-01
R-02
R-03
R-04
R-05
R-06
R-07
R-08
R-10
R-09
R-11
R-12
R-13
R-14
R-15
R-16
DVR 3
1 3 3
Tecnología
Software
Licencias - William
2
3
2 1 3
1 1 33
2 3 3
ERP
2 1 1 2
Teléfonos IP
Matriz de Riesgos
Discos Duros Externos 3 2 1 3
32 2 3
Aire Acondicionado 1 1 1 1
0 1UPS
3 1 2 3
2 1 2 2
1 2 2
2 3 3 3
2
Infraestructura
Fisica
Computadores
Tecnologia
Hardware
Gateway
Switch
SPA - Ivan
Biométricos
NAS
1 1
Canales Internet
2 2 2 2
33 3
Centro de Datos
Servidores 2
33 2
Aire Acondicionado 0 0 2 2
2
UPS 1 1 1 1
Biométricos
3
1 2 2
36
Ilustración 12 -Matriz de Riesgos – Calificación Criticidad (Continuación) - Fuente Propio
ID Activo Confidencialidad Integridad Disponibilidad Criticidad
R-35
R-20
R-21
R-22
R-23
R-24
R-25
R-26
R-27
R-28
R-29
R-30
R-31
R-32
R-33
R-34
3 3
Info
rma
ció
nG
en
te
Servicios
Electrónica
Papel
1 3 3 3
1 3
0 3 2 3
2 3 2
3 3
Colaboradores
Correo electrónico
Base de Datos
Backup
Directorio Activo
Antivirus
PBX - Hugo Armando
Dueños
Usuarios
Gerente General
Gerentes - Edgar 3 2 1 3
Coordinadores
Junta Directiva 3 2 0 3
2 1 1 2
3 2 0 3
3 0 0 3
Jefe TI 3 3 3 3
1
Procedimientos
Instructivos
Procedimientos 1 1 0
3
0 2 2 2
3 3
3
3
0 0
Instructivos 2 2 2 2
1 1 0 1
Matriz de Riesgos
37
Ilustración 13 - Matriz de Riesgos - Descripcion Amenazas - Fuente Propio
ID Activo Vulnerabilidad Amenaza
Acceso no Autorizado1. Mal uso de los elementos de la organización
2. Alteración de la información confidencial de la compañía
Ciberataque1. Alteración o daño de la información almacenada en los equipos
2. Robo de información almacenada en los equipos.
Daño de los equipos1. Perdida de la información almacenada en los dispositivos con fallas.
2. Disminución o perdida del nivel de procesamiento de los equipos.
Mal funcionamiento del Biometrico1. Ausencia en el mantenimmiento a los aires acondicionados.
2. Desconocimiento de los funcionarios de la compañia en la utilización del
Daño de los equipos1. Perdida de la información almacenada en los dispositivos con fallas.
2. Disminución o perdida del nivel de procesamiento de los equipos.
Acceso no Autorizado1. Mal uso de los elementos de la organización
2. Alteración de la información confidencial de la compañía
Daño de los Sensores de Humo 1. Mala manipulación del Aire Acondicionado puede ocacionar daños en los
Ciberataques 1. Daño a los sensores de humo, ocacionados por ciberataques con el fin
Mal funcionamiento del AC 1. Ausencia en el mantenimmiento a los aires acondicionados.
Ciberataque 1. Alteración o daño de la información almacenada en los equipos
Ciberataque 1. Alteración o daño de la información almacenada en los equipos
Ciberataque 1. Alteración o daño de la información almacenada en los equipos
Acceso no Autorizado 1. Mal uso de los elementos de la organización
Ciberataque 1. Alteración o daño de la información almacenada en los equipos
Daño de los equipos 1. Perdida de la información almacenada en los dispositivos con fallas.
Mantenimiento 1. Indisponibilidad por falta de mantenimiento.
Ciberataque 1. Alteración o daño de la información almacenada en los equipos
Malware 1. Robo de identidades.
Phishing 1. Robo de identidades.
Ramsomware 1. Secuestro de los datos.
Mantenimiento 1. Indisponibilidad por falta de mantenimiento.
Daño 1. Indisponibilidad de la red de energía.
Mal uso 1. Riesgo de electrocución.
Mantenimiento 1. Indisponibilidad por falta de mantenimiento.
Daño 1. Mal funcionamiento de dispositivo.
Mal uso 1. Rangos de trabajo a temperaura y humedad inadecuados.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Cross Site Scripting (XSS) 1. Acceso remoto a shell del equipo o panel de administración.
Inyección de código SQL 1. Acceso remoto a shell del equipo o panel de administración.
Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los
Daño 1. Perdida de la información almacenada en los dispositivos con fallas.
Acceso no autorizado 1. Mal uso de los elementos de la organización
Acceso no autorizado 1. Alteración de los procedimientos de conexión.
Daño físico en los canales de 1. Pérdida de comunicación de Internét.
Ciberataque 1. Daño o alteración de la información almacenada en los equipos de
Acceso no autorizado 1. Alteración de los procedimientos de conexión.
Ciberataque 1. Alteración de los procedimientos de conexión.
Daño físico del PBX 1. Incomunicación telefónica
Malware 1. Robo de identidades.
Phishing 1. Robo de identidades.
Interceptación de la señal 1. Cambio de parámetros de conexión.
Acceso no autorizado 1. Pérdida de credenciales de acceso a los datos de licenciamiento.
Ciberataque 1. Pérdida de credenciales de acceso a los datos de licenciamiento.
Hurto o pérdida 1. Pérdida de información
Phishing 1. Robo de identidades.
Acceso no autorizado 1. Acceso no autorizados a perfiles superirores.
Ciberataque 1. Alteracion en datos de almacenamiento.
R-19
R-17
R-18
Infr
ae
str
uc
tura
R-01
R-02
R-03
R-04
R-05
R-06
R-07
R-08
R-10
R-09
R-11
R-12
R-13
R-14
R-15
R-16
DVR
Tecnología
Software
Licencias - William
ERP
Teléfonos IP
Matriz de Riesgos
Discos Duros Externos
Aire Acondicionado
UPS
Mala Configuración1. Perdida de conectividad a los servicios de internet debido a una
malaconfiguración.
1. Mal uso de los elementos de la organización
2. Alteración o daño de la información almacenada en los equipos
Infraestructura
Fisica
Computadores
Tecnologia
Hardware
Gateway
Switch
SPA - Ivan
Biométricos
NAS
Canales Internet
Acceso no autorizado
Acceso no autorizado
1. Mal uso de los elementos de la organización
2. Alteración o daño de la información almacenada en los equipos
Centro de Datos
Servidores
Aire Acondicionado
Daño del equipo Perdida de información UPS
Biométricos
38
Ilustración 14 - Matriz de Riesgos - Descripcion Amenazas (Continuación)- Fuente Propio
ID Activo Vulnerabilidad AmenazaHurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los
Ciberataque 1. Alteracion en datos de almacenamiento.
Ramsomware 1. Secuestro de los datos.
Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenda en los
Ciberataque 1. Alteracion en datos de almacenamiento.
Ramsomware 1. Secuestro de los datos.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
Malware 1. Acceso remoto a shell del equipo o panel de administración.
R-35
R-20
R-21
R-22
R-23
R-24
R-25
R-26
R-27
R-28
R-29
R-30
R-31
R-32
R-33
R-34
Info
rma
ció
nG
en
te
Servicios
Electrónica
Papel
Colaboradores
Correo electrónico
Base de Datos
Backup
Directorio Activo
Antivirus
PBX - Hugo Armando
Dueños
Usuarios
Gerente General
Gerentes - Edgar
Coordinadores
1. Pérdida de credenciales de acceso a los datos de licenciamiento.
2. Daño o cambio de datos de licenciamiento.
3. Pérdida de información
Junta DirectivaAcceso no autorizado
1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
3. Pérdida de información
Daño físico de la documentacion
Acceso no autorizado
Daño de la informacion, tergiversacion de la información y desinformación.
Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
Acceso no autorizado
1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
3. Pérdida de información
Jefe TIAcceso no autorizado
1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
3. Pérdida de información
Daño de la informacion, tergiversacion de la información y desinformación.Daño físico de la documentacion
Procedimientos
Instructivos
Procedimientos
Acceso no autorizado
1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
3. Pérdida de información
Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
Daño físico de la documentacion Daño de la informacion, tergiversacion de la información y desinformación.
Acceso no autorizado1. Pérdida de credenciales de acceso a los datos de informacion reservada.
2. Daño o cambio de datos de alta reserva.
Daño físico de la documentacion Daño de la informacion, tergiversacion de la información y desinformación.
Instructivos
Matriz de Riesgos
39
Ilustración 15 - Matriz de Riesgos - Calificación Riesgo - Fuente Propio
ID Activo Confidencialidad Integridad Disponibilidad Degradación Impacto Frecuencia Anual Riesgo
100% 80% 100% 3 1 3
Biométricos
50%
100% 80% 100% 2 1 250%
100% 1UPS 1 1
Aire Acondicionado 30% 30% 100% 100% 2 1 2
30% 100% 100%
Centro de Datos
Servidores 100% 100% 100% 100% 3 3
100% 100% 100% 100% 2 2
Infraestructura
Fisica
Computadores
Tecnologia
Hardware
Gateway
Switch
SPA - Ivan
Biométricos
NAS
Canales Internet
2 1 2
90% 100% 100% 100% 3 1
70%
90% 100% 100%80%
80% 100% 100% 2 1 2
100% 70% 80% 100% 3 0,5 1,5
0,3 1
Aire Acondicionado 0% 0% 20%
0% 0% 30% 30%
20% 0,2 2
UPS
80%
0,14
70% 30% 20% 70% 2,1 0,5 1,05
100% 100%
0,5
3 0,2 0,6
7,2
2,1
1,4
1,05
2,7
Matriz de Riesgos
Degradación Riesgo
9
4
3
0,4
100% 80% 100% 3 1 3
Discos Duros Externos
0,3
70% 0,7 0,1 0,0750% 20% 70%
70% 1,4 0,1 0,1450%
1,8 4
90% 70%
Instructivos 20% 70%
ERP
50% 70% 30%
Teléfonos IP
90%
70% 70% 70% 70%
70%
50% 30% 60% 60%
Tecnología
Software
Licencias - William
DVR
2,7 170% 50% 90%
0,1
1,4140%30% 70% 70% 1,4
70% 70% 70% 70% 2,1 4,22
4,22
4,22
4,22
4,22
40% 2,1130%
70% 70% 70% 2,1
70% 70% 2,1
70%
70% 70% 70% 70% 2,1
70% 70% 70% 70% 2,1
70% 70% 70% 70% 2,1
Procedimientos
Instructivos
Procedimientos 40%
40% 70% 70% 1,4 1 1,4
30% 40% 40% 0,4 1 0,4
Jefe TI 70%
2 4,270% 70% 70% 70% 2,1
70% 70% 70% 70% 2,1 4,22
1 2,1
30%
70% 70% 70% 70% 2,1
Junta Directiva 70% 70% 70% 2,170% 2 4,2
70% 70% 70% 2,1 1 2,1
Dueños
Usuarios
Gerente General
Gerentes - Edgar
Coordinadores
Directorio Activo
Antivirus
PBX - Hugo Armando
Colaboradores
Correo electrónico
Base de Datos
Backup
Infr
ae
str
uc
tura
Info
rma
ció
nG
en
te
Servicios
R-01
R-02
R-03
R-04
R-05
R-06
R-07
R-08
R-10
Electrónica
Papel
R-09
R-11
R-12
R-13
R-14
R-15
R-16
R-17
R-18
R-28
R-29
R-30
R-31
R-32
R-33
R-34
R-35
R-19
R-20
R-21
R-22
R-23
R-24
R-25
R-26
R-27
40
Ilustración 16 - Mapa de Calor del Riesgo - Fuente Propio
Se ha establecido además un plan de tratamiento a cada uno de los riesgos encontrados y evaluados.
Plan de Tratamiento de Riesgos
ID Activo Vulnerabilidad Amenaza Tratamiento
Plan de Tratamiento
R-01 Centro de Datos
Acceso no Autorizado
1. Alteración de la información confidencial de la compañía
Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Transferir Se recomienda implementar una cláusulas de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-05
R-16
R-12 R-06
R-25 - R-27 - R-28 -
R29 - R-32 - R-33 -
R-34 - R-35
R-18
R-04 R-03 R-23 - R-30R-02 - R-04 -
R-07 - R-09R-24 - R-26 - R-31 R-19
R-1 - R-8 -
R-13
R-11
R-20 R-21 R-14 - R-17R-10 - R-
15
0.1 2.9
3.0 5.9
6.0 9
MEDIO
ALTO
2 3
BAJO MEDIO ALTO
IMPACTO
BAJO
1
MAPA DE CALOR RIESGOSFR
ECU
ENC
IA A
NU
AL
ALTO
4
MEDIO
3
2
BAJO1
41
Daño de los equipos
1. Perdida de la información almacenada en los dispositivos con fallas.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de cómputo. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.
R-02 Biométricos Mal funcionamiento del Biométrico
1. Desconocimiento de los funcionarios de la compañía en la utilización de dispositivos biométricos.
Mitigar Se debe contar con un plan de concientización a los funcionarios, colaboradores y/o terceros que utilicen de forma inadecuada los dispositivos de biometría.
Daño de los equipos
1. Disminución o perdida del nivel de procesamiento de los equipos.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de cómputo. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.
Acceso no Autorizado
1. Alteración de la información confidencial de la compañía
Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-03 UPS Daño del equipo 1. Perdida de información Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de las UPS de la compañía.
R-04 Aire Acondicionado
Daño de los Sensores de Humo
1. Mala manipulación del Aire Acondicionado puede ocasionar daños en los equipos de cómputo por demasiada humedad en el ambiente.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los sensores de humo.
Ciberataques 1. Daño a los sensores de humo, ocasionados por ciberataques con el fin de retrasar las posibles acciones en caso de algún conato de incendios
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Mal funcionamiento del AC
1. Ausencia en el mantenimiento a los aires acondicionados.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los aires acondicionados de la compañía.
R-05 Servidores Acceso no autorizado
1. Alteración o daño de la información almacenada en los equipos
Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-06 Computadores Acceso no autorizado
1. Alteración o daño de la información almacenada en los equipos
Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-07 Gateway Ciberataque 1. Alteración o daño de la información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Mala Configuración
1. Perdida de conectividad a los servicios de internet debido a una mala configuración.
Mitigar Se recomienda realizar campañas de entrenamiento y capacitación a los funcionarios que realicen cambios en las tecnologías de la compañía. Se recomienda tener un plan de Backup de las configuraciones de las tecnologías de la compañía, y realizar pruebas de restauración de estos planes de backup
R-08 Switch Acceso no Autorizado
1. Alteración de la información confidencial de la compañía
Mitigar Se recomienda realizar monitoreo a los accesos definidos en las herramientas de biometría y el CCTV. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos y se materializan en el cumplimiento de las certificaciones SOC 1, SOC 2, o SOC 3. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
42
Ciberataque 1. Alteración o daño de la información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Daño de los equipos
1. Perdida de la información almacenada en los dispositivos con fallas.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de cómputo. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.
R-09 SPA - Ivan Mantenimiento 1. Daño progresivo del dispositivo.
Mitigar Se recomienda definir y ejecutar un plan de mantenimiento de los equipos de comunicación. Se recomienda tener un plan de backup y ejecución de pruebas de restauración de la información.
Ciberataque 1. Alteración o daño de la información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-10 Biométricos Malware 1. Robo de identidades. Mitigar Proteger con doble factor de autenticación los dispositivos a los que tenga alcance la biometría.
Phishing 1. Suplantación de identidades.
Mitigar Implementar antivirus que intervengan las amenazas de phishing y mantenerlos actualizados.
Ramsomware 1. Secuestro de los datos. Evitar Se recomienda implementar diferentes niveles de seguridad en los dispositivos que almacenan los datos de las biometrías. Que se impida el acceso por personas ajenas a la organización. Antivirus y firewalls de protección, segmentos de red propios y cerrados para estos dispositivos.
R-11 UPS Mantenimiento 1. Daño progresivo del dispositivo.
Mitigar Se recomienda mantener un cronograma de mantenimientos con fechas definidas y proveedores idóneos.
Daño 1. Indisponibilidad del dispositivo.
Aceptar Se recomienda tener planes de contingencia ante el daño de este tipo de dispositivos.
Mal uso 1. Daño del dispositivo. Evitar Se recomienda capacitar al personal que tenga contacto con el dispositivo para que haga uso adecuado del mismo y de las instalaciones donde se encuentra.
R-12 Aire Acondicionado
Mantenimiento 1. Indisponibilidad por falta de mantenimiento.
Evitar se recomienda mantener un cronograma de mantenimientos con fechas definidas y proveedores idóneos.
Daño 1. Indisponibilidad del dispositivo.
Transferir Se recomienda tener planes de contingencia que involucren a terceros ante el daño de este tipo de dispositivos.
Mal uso 1. Daño del dispositivo. Evitar Se recomienda capacitar al personal que tenga contacto con el dispositivo para que haga uso adecuado del mismo y de las instalaciones donde se encuentra.
R-13 NAS Malware 1. Borrado, Daño o Manipulación de los datos.
Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
Cross Site Scripting (XSS)
1. Manipulación de los datos.
Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
Inyección de código SQL
1. Manipulación de los datos.
Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
R-14 Discos Duros Externos
Hurto o pérdida 1. Perdida de la confidencialidad de la información almacenada en los dispositivos.
Mitigar Se recomienda asignar responsabilidades específicas para el uso y manipulación de estos dispositivos.
Daño 1. Perdida de la información almacenada en los dispositivos con fallas.
Mitigar Se recomienda asignar responsabilidades específicas para el uso y manipulación de estos dispositivos.
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Mitigar Se recomienda implementar consolas de antivirus que prevengan el acceso no autorizado hacia o desde dispositivos, además se recomienda implementar firewalls que impida el acceso no autorizado hacia estos dispositivos.
R-15 Canales Internet
Acceso no autorizado
1. Alteración de los procedimientos de conexión.
Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
Daño físico en los canales de conexión
1. Pérdida de comunicación de Internet.
Transferir Se recomienda negociar con los proveedores canales alternativos para hacer la conexión
Ciberataque 1. Exposición, daño o alteración de la información debido a la infección de Malware
Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
R-16 Teléfonos IP Acceso no autorizado
1. Ejecución de llamadas no permitidas
Mitigar Se recomienda implementar alarmas en el pbx para alertar actividades sospechosas
Ciberataque 1. Ejecución de llamadas no permitidas
Mitigar Se recomienda asignar segmentos de red específicos para la red de telefonía
Daño físico del PBX
1. Incomunicación telefónica
Transferir Se recomienda contratar con el proveedor planes alternos de implementación en caso de ser requerido.
R-17 DVR Malware 1. Robo de identidades. Mitigar Se recomienda implementar un firewall para prevenir
43
accesos no autorizados al dispositivo
Phishing 1. Robo de identidades. Mitigar Se recomienda implementar un firewall para prevenir accesos no autorizados al dispositivo
Interceptación de la señal
1. Perdida de datos Mitigar Se recomienda asignar segmentos de red específicos para la red de DVR
R-18 Licencias Acceso no autorizado
1. Daño o cambio de datos de licenciamiento.
Mitigar Se recomienda utilización de doble factor de autenticación para ingresar a las cuentas.
Ciberataque 1. Pérdida de información Mitigar Utilizar los métodos de conexión que los proveedores indiquen, restringir las cuentas cuando se note actividad sospechosa, Se recomienda conocer los contactos y sus líneas directas para gestionar eventos que afecten la seguridad.
Hurto o pérdida 1. Pérdida de información Evitar Se recomienda utilización de doble factor de autenticación para ingresar a las cuentas administradoras de licencias.
R-19 ERP Phishing 1.Acceso a un atacante y robo de identidad.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Mitigar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-20 Procedimientos
Hurto o pérdida 1. Perdida de la información.
Mitigar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Ramsomware 1. Secuestro y modificación de la información
Mitigar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-21 Instructivos Hurto o pérdida 1. Perdida de la información.
Aceptar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Ramsomware 1. Secuestro y modificación de la información
Mitigar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-22 Procedimientos
Daño físico de la documentación
1. Perdida de la información.
Aceptar Se recomienda tener un archivo externo donde se pueda asegurar la información y tener al 100 por ciento la disponibilidad en caso de pérdida o hurto.
R-23 Instructivos Daño físico de la documentación
1. Perdida de la información.
Aceptar Se recomienda tener un archivo externo donde se pueda asegurar la información y tener al 100 por ciento la disponibilidad en caso de pérdida o hurto.
R-24 Gerente General
Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Evitar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-25 Junta Directiva Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Evitar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
44
R-26 Jefe TI Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-27 Gerentes Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Evitar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-28 Coordinadores Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Evitar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
R-29 Colaboradores Malware 1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Acceso no autorizado
1. Alteración de la información confidencial de la compañía
Transferir Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-30 Correo electrónico
Ciberataque 1. Robo de información almacenada en los equipos.
Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía.
Acceso no autorizado
1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Mitigar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-31 Base de Datos Acceso no autorizado
1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Mitigar Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Evitar Se recomienda realizar monitoreo a los accesos definidos en el software.
Malware 1. Perdida de la información.
45
Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
R-32 Backup Malware 1. Perdida de la información.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Hurto o pérdida 1. Perdida de la información.
Aceptar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.
R-33 Directorio Activo
Acceso no autorizado
1. Daños en el sistema informático o computador de forma intencionada y sin el conocimiento del usuario
Transferir Se recomienda realizar monitoreo a los accesos definidos en el software. Se recomienda arrendar el espacio en un datacenter que cumpla con los controles definidos para los centros de datos. Se recomienda validar la opción de migrar la infraestructura a los servicios de nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía.
R-34 Antivirus Malware 1. Perdida de la información.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Hurto o pérdida 1. Perdida de la información.
Aceptar Se recomienda realizar un Backup semanalmente y tener un repositorio en la nube.
Ciberataque 1. Robo de información almacenada en los equipos.
Evitar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía.
R-35 PBX Malware 1. Perdida de la información.
Transferir Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Ramsomware 1. Secuestro y modificación de la información
Mitigar Se recomienda implementar una cláusula de ciberseguridad con la puedan asegurar el valor de la información si se llega a materializar un ciberataque que afecte la integridad de la información y por consiguiente se afecte la disponibilidad de la operación de la compañía
Mala Configuración
1. Perdida de conectividad a los servicios de internet debido a una mala configuración.
Mitigar Se recomienda realizar campañas de entrenamiento y capacitación a los funcionarios que realicen cambios en las tecnologías de la compañía. Se recomienda tener un plan de Backup de las configuraciones de las tecnologías de la compañía, y realizar pruebas de restauración de estos planes de backup
Tabla 5 - Plan de Tratamiento de los Riesgos
La evaluación de efectividad de los controles que arroja el estado de madurez de la organización muestra claramente que una de las necesidades más importantes y marcadas es la generación de la política de seguridad de la información, acción que cuando se cubra marcará un beneficio mayor, y dará la guía que requiere la organización para implementar acciones que cierren las brechas de seguridad que actualmente se encuentran. El estado de madurez sumado al resultado del análisis de riesgo permite identificar los activos y servicios que más requieren acciones para mitigar posibles afectaciones frente a problemas de seguridad. Las acciones que se deben implementar deben quedar registradas para asegurar su cumplimiento, su seguimiento y su medición. Por ello se propone la política de seguridad de la información para la organización, la propuesta que se puede encontrar en el anexo 2, abarca el cubrimiento de los requisitos exigidos para los Operadores Económicos Autorizados y cubrir también los controles de la norma ISO 27001. El iniciar con la aceptación y publicación de la política por parte de la organización,
46
la obliga a mantener los controles que ya se tienen y a trabajar en la implementación de los ajustes para lograr cubrir aquellos que no se estén cubriendo completamente o que no hayan sido asumidos por la organización. Es responsabilidad de la Gerencia Administrativa de la organización y como parte de su estructura, la jefatura de TI, de ejecutar las acciones que sean necesarias para cubrir las brechas que actualmente se encuentran. Esas acciones serán guiadas por la política que se expone en este documento. Como resultado se deberá inicialmente cubrir los requisitos para los Operadores Económicos Autorizados en materia de seguridad de la información, también cubrirá la norma ISO 27001 y entregará métodos para proteger la información relevante de la organización, así como los activos de información. En el punto 6.1 del anexo 2, se integra la política de seguridad de la información a la organización desde un alto nivel, y se establece el seguimiento que se debe realizar al documento de política para mantenerlo vigente y actualizado, de acuerdo con nuevas amenazas que puedan surgir, cambios normativos que se puedan producir, cambios procedimentales o de enfoque por parte de la organización.
47
7. CONCLUSIONES Se lograron establecer los aspectos normativos que se debían asegurar en la Política de Seguridad de la información para la organización, y estos aspectos fueron asegurados en la creación de la política de seguridad de la información para la organización. Durante el desarrollo de proyecto se logró medir el estado de madurez de la organización frente a los requisitos del anexo A de la norma ISO 27001, los resultados fueron cotejados contra un estado óptimo y son presentados en el presente documento. Se identificaron los puntos en común entre la norma ISO 27001 y los requisitos exigidos para ser operadores económicos autorizados de la DIAN. La implementación de la política bajo este estándar permitirá a la organización cubrir importantísimos puntos se seguridad que le darán una ventaja competitiva al momento de realizar licitaciones, las cuales son comunes en la organización. Se generan recomendaciones para mitigar las amenazas halladas durante el análisis de riesgos realizado bajo los estándares de la norma ISO 27005, este análisis de riesgos permitió identificar las amenazas a las que está expuesta la organización y lograr determinas los activos de información que impactan en mayor medida a la organización. Se establece a través de la matriz RACI, la responsabilidad de los diferentes cargos de la organización, que realizan labores frente a la gestión de los riesgos en el manejo de la información. En la revisión se identifica el alto grado de responsabilidad que tiene el Jefe de Tecnología, frente a las diferentes acciones que se proponen para identificar los riegos en seguridad de la información. En el análisis de riesgo se identifica un alto impacto en los servidores, que en el análisis de impacto se califican con una alta puntuación sobre todo por el riesgo de recibir un ciberataque. Esto podría comprometer la información transversal de la organización, que es el centro neurálgico del funcionamiento de la empresa y su pérdida sería muy perjudicial. Se han realizado recomendaciones en el plan de tratamiento de los riesgos, estas recomendaciones son actividades que se pueden realizar de forma que su implementación generará la protección necesaria para los activos de la información En las políticas propuestas se proponen acciones para mitigar los riesgos que minimicen las pérdidas que se puedan llegar a producir. En general en las políticas abarcan diferentes aspectos para cubrir los riesgos que se han evaluado en los diferentes activos de información.
48
8. BIBLIOGRAFÍA BENAVIDES SEPULVEDA, Alejandra, y BLANDON JARAMILLO, Carlos, 2018, “Modelo sistema de gestión de seguridad de la información para instituciones educativas de nivel básico. Universidad Tecnológica de Pereira”. Internet (https://www.redalyc.org/journal/849/84956661012/html/) CARDONA CASTAÑEDA, José Nayid y Salcedo Ruiz. Análisis y Evaluación de Riesgos de Seguridad Informática para la Cámara de Comercio de La Dorada, Puerto Boyacá, Puerto Salgar y Municipios de Oriente de Caldas. Universidad Nacional Abierta y a Distancia – UNAD. Escuela de Ciencias Básicas Tecnología e Ingeniería. Especialización en Seguridad Informática. 2017. 176 Pag. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PUBLICA, 2011, “Decreto 3568 de 2011”. Internet: (https://funcionpublica.gov.co/eva/gestornormativo/norma.php?i=64620) DIRECCION DE IMPUESTOS Y ADUANAS NACIONALES, 2020, “Seguridad en Tecnología de la Información”. Internet: (https://www.dian.gov.co/aduanas/oea/inicio/Documents/Seguridad_en_Tecnologia_de_la_Informacion.pdf) ________________________________________________, “Operador Económico Autorizado – Beneficios del Operador Económico Autorizado”. Internet (https://www.dian.gov.co/aduanas/oea/Documents/beneficios%20OEA.pdf) ________________________________________________, 2020, “Operador Económico Autorizado – OEA – Documentos de Interés”. Internet (https://www.dian.gov.co/aduanas/oea/inicio/Paginas/documentosdeinteres.aspx) ________________________________________________, 2020, “Operador Económico Autorizado – OEA – Marco Normativo”. Internet: (https://www.dian.gov.co/aduanas/oea/inicio/Paginas/marconormativo.aspx) ________________________________________________, “Plegable Operador Económico Autorizado”, Internet (https://www.dian.gov.co/aduanas/oea/inicio/Documentos%20de%20interes/Plegable%20Operador%20Econ%C3%B3mico%20Autorizado.pdf) ________________________________________________, 2016, “Resolución 67 de 2016”. Internet: (https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20000067%20de%2020-10-2016.pdf)
49
________________________________________________, 2018, “Resolución 4089”. Internet: (https://www.dian.gov.co/normatividad/Normatividad/Resoluci%C3%B3n%20004089%20de%2022-05-2018.pdf) E GLOBAL SERVICES SAS, 2018, “Resolución 004089 de 2018”. Internet (https://www.leyex.info/leyes/f3afb67134ee424fb202846e84feebae.htm) ESCUELA SUPERIOR DE ADMINISTRACION PUBLICA. 2018. “Plan de Seguridad y Privacidad de la Información”. Internet (https://www.esap.edu.co/portal/wp-content/uploads/2019/03/Plan-de-Seguridad-y-Privacidad-de-la-informaci%C3%B3n-v_1.0.pdf) ESPAÑA, Sogeti, 2013, “Evaluación de la seguridad de los Sistemas Informáticos: políticas, estándares y análisis de riesgos”. Internet (https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/) GB ADVISORS, 2018, “Madurez de la seguridad informática: 5 pasos a la excelencia”. Internet (https://www.gb-advisors.com/es/madurez-de-la-seguridad-informatica/) HENAO MONTOYA, Juan David y Lopera Diaz Juan Camilo. Modelo de Madurez para la Seguridad de la Información. Universidad EAFIT. Departamento de Informática y Sistemas. 2007. 132 Pag. INGERTEC, “ISO 27001 Seguridad de la Información”. Internet; (https://www.normas-iso.com/iso-27001/) INSTITUTO NACIONAL DE CONTADORES PUBLICOS, Hernandez, Camilo, 2018, “Requisitos mínimos para Operadores Económicos Autorizados”. (https://incp.org.co/requisitos-minimos-operadores-economicos-autorizados/) ISO 27001. “Fase 3. Elaboración de la Política”. Internet: (https://normaiso27001.es/fase-3-elaboracion-de-la-politica-objetivos-del-sgsi/) ISO TOOLS EXCELLENCE, 2018, “ISO 27001 ¿En qué se basa la política de seguridad de la información?”. Internet: (https://www.pmg-ssi.com/2018/12/iso-27001-en-que-se-basa-la-politica-de-seguridad-de-la-informacion/) ______________________, 2015, “ISO 27001: El modelo de madurez de la seguridad de la información”. Internet (https://www.pmg-ssi.com/2015/02/iso-27001-el-modelo-de-madurez-de-la-seguridad-de-la-informacion/) ______________________, 2013, “La NCh ISO 27001. Origen y evolución.”.
50
Internet:( https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-y-evolucion/) ______________________, 2015, “La Norma ISO 27001 versión 2013”. Internet (https://www.pmg-ssi.com/2015/10/la-norma-iso-27001-version-2013/) MANTILLA GUERRA, Anibal Rubén, Gestión de seguridad de la información con la norma ISO 27001:2013, en Revista Espacios. No. 18. Año 2018. Vol 39. Pag. 5. MINISTERIO DE SALUD Y PROTECCION SOCIAL, “Sispro – Aplicativos Misionales”. Internet: (https://web.sispro.gov.co/) MINISTERIO DE TECNOLOGIA DE LA INFORMACIÓN Y LAS COMUNICACIONES, 2017, “Instructivo para el Diligenciamiento de la Herramienta de Diagnostico de Seguridad y Privacidad de la Información”. (https://mintic.gov.co/gestionti/615/articles-5482_Instructivo_instrumento_Evaluacion_MSPI.pdf) ___________________________________________________________________________________. 2016. Guía para la Implementación de Seguridad de la Información en una MyPIME. Internet (https://mintic.gov.co/gestionti/615/articles-5482_Guia_Seguridad_informacion_Mypimes.pdf) ___________________________________________________________________________________ 2018, “Modelo de Seguridad”. Internet: (https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/) __________________________________________________________________________________, 2016, “Seguridad y Privacidad de la Información”. Internet (https://mintic.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf) ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, 2019, “Un abordaje integral de la Ciberseguridad”. Internet (https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf) PANCHE BOTERO, Yenny Alejandra. Procedimiento para la Certificación como Operador Económico Autorizado a Flores El Capiro S.A. Institución Universitaria ESUMER. Facultad de Estudios Internacionales. 2013. 89 Pag. QUIRURGICOS LTDA, 2021, “Productos”: Internet (https://www.quirurgicosltda.com/productos/) RAMIRO, Ruben. “¿Cómo implantar el Framework NIST”. Internet (https://ciberseguridad.blog/como-implantar-el-framework-nist/) RINCON RODRIGUEZ, José Alejandro. Plan de Implementación de la Norma ISO
51
IEC ISO 27001:2013 para un Operador de Información PILA. Universidad Abierta de Cataluña. Master Universitario en Seguridad de las TIC. 2019. 69 Pag. SANCHEZ CRESPO, Luis Enrique y Villafranca Alberca Daniel y Medina Paton Eduardo Fernandez y Piattini Mario, 2006, “Modelos de madurez para SGSI desde un enfoque práctico”. Internet (https://www.researchgate.net/publication/272089072_Modelos_de_madurez_para_SGSI_desde_un_enfoque_practico) SECRETARIA GENERAL DEL SENADO, 2021, “Ley Estatutaria 1266 de 2018”. Internet (http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html) _________________________________, 2021, “Ley Estatutaria 1581 de 2012”. Internet (http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html) SISTESEG, 2018, “Metodología de análisis de riesgo según ISO 27005:2018 e ISO 31000:2018”. Internet: (https://sisteseg.com/blog/wp-content/uploads/2018/11/Metodologia-para-Gesti%C3%B3n-de-Riesgos-V-1.0.pdf) SUPERINTENDENCIA DE SOCIEDADES, 2021, “La prevención de lavado de activos y financiación del terrorismo - SAGRILAFT 3.0”. Internet: (https://www.supersociedades.gov.co/Noticias/Paginas/2021/La-prevencion-de-lavado-de-activos-y-financiacion-del-terrorismo---SAGRILAFT-3-0-.aspx) __________________________________, 2021, “Se actualizó la normatividad sobre riesgos de LA/FT/FPADM”. Internet: (https://incp.org.co/se-actualizo-la-normatividad-sobre-riesgos-de-la-ft-fpadm/) UNIVERSIDAD DE MURCIA, “El Método MAGERIT”, Internet (https://www.um.es/docencia/barzana/GESESI/GESESI-Metodo-MAGERIT.pdf) VALDIVIESO TROYA, Jorge Luis y Rodriguez Poveda Roberto Josue. Informe de Evaluación de Seguridad en la Información basada en la norma ISO 27001 en el departamento de TI de una Empresa de Lacteos. Universidad Politécnica Salesiana. Ingeniería de Sistemas. 2015. 244 Pag. VILLAMIL AVILA, Maria Yohanna. Diagnóstico y Planificación de la Implementación del Modelo de Seguridad y Privacidad de la Información en la Corporación Autónoma Regional de Cundinamarca- CAR. Universidad Católica de Colombia. Facultad de Ingeniería. Programa de Especialización en Seguridad de la Información. 2017. 199 Pag. WIKIPEDIA, 2021, “Sistema de gestión de la seguridad de la información”. Internet:
52
(https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n)
53
Anexo 1 - Encuesta
ISO 27001
Requisito OEA
Pregunta Encuesta Respuestas Escala
A5 Política de seguridad
A.5.1.1 Documento de política de seguridad
Requisito 8.2
¿Cuenta la organización con una política de seguridad de la información?
No se cuenta 0
A.5.1.2 Revisiones Requisito 8.2
¿Se han realizado revisiones periódicas de la política de seguridad de la información?
No aplica porque el anterior punto no se tiene
0
A6 Organización de Seguridad de la información
A.6.1.1 Roles y responsabilidades
¿Están definidos los roles y responsabilidades en seguridad de los colaboradores y terceros?
No se tiene establecido 0
A.6.1.2 Segregación de deberes
¿Hay segregación en los deberes y responsabilidades para prevenir los accesos no autorizados a los activos de información?
Se utilizan permisos controlados por un cargo únicamente
100
A.6.1.3 Contacto con autoridades
¿Se mantiene el debido contacto con las autoridades necesarias?
No se tiene establecido 0
A.6.1.4 Contactos con grupos de interés
¿Se mantiene el contacto con especialistas y profesionales en seguridad de la información?
Se tiene membresía y acceso a foros y reportes de especialistas
100
A.6.1.5 Seguridad en la información en la gestión de proyectos
¿Se gestiona la seguridad de la información en los proyectos de la organización?
Se tiene en cuenta en los proyectos desarrollados en la organización, pero no se tiene documentado.
40
A.6.2.1 Política para dispositivos móviles
¿Existen políticas y seguridad en la gestión de riesgos de los dispositivos móviles?
La administración es centralizada, no se tienen herramientas de control
40
A.6.2.2. Teletrabajo ¿Existen políticas y seguridad en la gestión de riesgos de los dispositivos en teletrabajo?
Si, los accesos y procedimientos de teletrabajo tienen configurados los niveles de seguridad requeridos.
80
A7 Seguridad de los recursos humanos
A.7.1.1 Selección
¿Se sigue un proceso de selección del personal que valide antecedentes de acuerdo a los riesgos percibidos?
A.7.1.2 Términos y condiciones del empleo
¿Se cuentan con acuerdos contractuales en donde se establezcan las responsabilidades en cuanto a seguridad de la información?
Si, se establece la responsabilidad de los usuarios sobre la información de la organización
100
54
A.7.2.1 Responsabilidad de la dirección
¿Exige la dirección a los empleados y contratistas la aplicación de seguridad de la información?
No de forma directa, pero está implícita en los procedimientos de los diferentes cargos.
60
A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información.
¿Se educa en toma de conciencia sobre políticas y procedimientos del SGSI?
Si, al ingreso los cargos que tienen control sobre información son capacitados sobre la necesidad de salvaguardar la información de la organización y los métodos para hacerlo.
80
A.7.2.3 Proceso Disciplinario
¿Se han establecido procesos disciplinarios a aplicar para los colaboradores que por acción u omisión aprovechen las brechas de seguridad?
Si, se tiene establecido las acciones que la organización debe tomar.
80
A.7.3.1 Terminación o cambio de responsabilidades del empleo
¿Las responsabilidades permanecen válidas tiempo después de la terminación de los contratos?
Si, la información y la responsabilidad sobre ella es informada y controlada.
80
A8 Gestión de activos
A.8.1.1 Inventario de activos
¿Los activos de información están identificados y clasificados?
Los activos de red no están identificados, los demás si.
60
A.8.1.2 Propiedad de los activos
¿Los activos de información han sido designados a alguien en la organización?
Si, están bajo la administración y control del Jefe de Tecnología
80
A.8.1.3 Uso aceptable de los activos
¿La documentación, identificación e implementación de activos tiene regla definidas?
Si, se tiene establecido el mínimo de datos requeridos para tener el control de los activos de información
60
A.8.1.4 Devolución de los activos
¿Los activos de la organización son devueltos cuando terminan los contratos de los empleados o terceros?
Si, de acuerdo al estado se hace reasignación o son dados de baja.
80
A.8.2.1 Clasificación de la información
¿Se ha clasificado la información por su importancia, por ser requerimientos legales, por su sensibilidad o criticidad?
Si se ha clasificado la información, pero no para todos los procesos.
40
A.8.2.2. Clasificación y etiquetado de la información
¿Se han adoptado los procedimientos adecuados para clasificar la información de acuerdo a las necesidades y procedimientos de la organización?
Si, la información clasificada se tiene debidamente documentada
80
A.8.2.3 Manejo de activos
¿Se administran los activos de acuerdo a la clasificación de la información?
Si, los activos de información son controlados de acuerdo a la información que contengan.
60
A.8.3.1 Administración de medios extraíbles
Requisito 8.1
¿Existen procedimientos para prevenir y administrar el uso de medios extraíbles?
La consola del antivirus controla el uso de medios extraíbles
100
55
A.8.3.2 Disposición de los medios.
¿Se tienen procedimientos establecidos para disponer de forma segura de los medios que ya no se utilizan?
Si, para ser dados de baja y el procedimiento para hacerlo
80
A.8.3.3 Transferencia de medios físicos
¿Se protegen debidamente los medios físicos que transportan información?
Si, son transportados por personal especializado.
100
A9 Control de acceso
A.9.1.1 Políticas de control de acceso
Requisito 1.9
¿Se han establecidos políticas de acceso a la información de acuerdo a las necesidades del negocio?
No se han establecido políticas 0
A.9.1.2 Política sobre el uso de servicio de red
¿Se protege la infraestructura de red y se protege la información que circula por ella?
La protección es mínima. 20
A.9.2.1 Registro de usuarios
Requisito 8.3
¿Existen y se siguen procedimientos para registro y revocación de permisos de usuarios?
Se siguen procedimientos específicos
100
A.9.2.2 Suministro de acceso de usuarios
Requisito 8.3
¿Existe un proceso definido para asignar acceso formal a los sistemas y servicios?
Si, se tiene establecido el procedimiento
100
A.9.2.3 Gestión de derechos de Acceso Privilegiado
¿Se controla la asignación de permisos y derechos de acceso para usuarios con privilegios?
Si, se controla según los perfiles de los usuarios.
100
A.9.2.4 Gestión de información de autenticación secreta de usuarios
¿Se asigna información secreta con un procedimiento formal?
No, no se tiene aplicado. 0
A.9.2.5 Revisión de derechos de acceso
¿Existen procedimientos formales de revisión periódica de derechos de acceso de los usuarios?
Si, periódicamente se revisan los permisos activos.
80
A.9.2.6 Retiro o ajuste de los derechos de acceso.
¿Se tiene definido el retirar las cuentas de usuarios que terminan su empleo o ajustar los que tienen cambio de cargo?
No se retiran las cuentas, se deshabilitan o se procede a reasignación de permisos en el caso de ajuste de cargo.
80
A.9.3.1. Uso de la información de autenticación secreta
¿Los usuarios cumplen con las prácticas de buen uso de información de autenticación?
Si, son obligados a ello 100
A.9.4.1 Restricción de acceso a la información
¿Se restringe el acceso a las funciones de aplicaciones y sistemas de información por parte de los usuarios y área de soporte?
Si, se asignan permisos de acuerdo a los perfiles de los usuarios
100
A.9.4.2 Procedimientos seguros de acceso
Requisito 8.3
¿Se controla el acceso a los sistemas de información para que sean seguros?
Si, se asignan usuarios y contraseñas de acceso.
100
A.9.4.3 Sistema de gestión de contraseñas
¿La gestión de contraseñas es interactiva y asegura la calidad de estas?
No es interactiva, si asegura la calidad.
80
56
A.9.4.4 Uso de programas utilitarios privilegiados
¿Se controla el acceso a aplicaciones que puedan anular el sistema y los controles de las aplicaciones?
Si, son restringidos los accesos, 100
A.9.4.5 Control de acceso a códigos fuentes de programas
¿Se restringe el acceso al código fuente de los aplicativos?
No se tiene acceso a los códigos fuentes de los aplicativos.
100
A10 Criptografía
A.10.1.1 Políticas en el uso de controles criptográficos.
¿Se cuenta con una política de uso de criptografía para la protección de los datos?
No se cuenta con una política 0
A.10.1.2 Administración de llaves
¿Se administran las llaves que soportan las técnicas de criptografía?
Si, son administradas y controladas de forma centralizada
80
A11 Seguridad física y del entorno
A.11.1.1 Seguridad perimetral
Requisito 8.6
¿Se protegen las áreas de procesamiento de información con barreras artificiales?
Si, se tienen controles específicos de acceso
100
A.11.1.2 Controles de ingresos físicos.
Requisito 8.6
¿Los ingresos físicos están debidamente protegidos para asegurar el ingreso únicamente de personal autorizado?
Si 100
A.11.1.3 Seguridad de oficinas, cuartos e instalaciones.
Requisito 8.6
¿Se ha diseñado seguridad física para las oficinas, cuartos e instalaciones, y se ha aplicado?
Si 100
A.11.1.4 Protecciones contra amenazas externas y medio ambientales.
Requisito 8.6
¿Se cuentan con protecciones por daños contra el fuego, inundaciones, terremotos, explosiones, agitaciones civiles?
Si, se tienen controles sobre los diferentes riesgos potenciales
100
A.11.1.5 Trabajo en áreas seguras.
Requisito 8.6
¿Protecciones físicas y manuales para trabajo en áreas seguras han sido diseñados y aplicados?
Si, en unión con THU 100
A.11.1.6 Áreas de acceso público, entrega y áreas de carga.
¿Personal no autorizado de entrega o carga se mantiene aislado de los sistemas de información?
Si, se tienen áreas de carga específicas y no se permite el acceso a las áreas internas de las oficinas.
100
A.11.2.1 Ubicación y protección de equipos
Requisito 8.6
¿Los equipos han sido ubicados de forma que son protegidos de accesos no autorizados?
Si 100
A.11.2.2 Servicios públicos de soporte
Requisito 8.6
¿Los equipos están protegidos de fallas o interrupciones causadas por fallas en servicios públicos?
Si, se cuentan con los debidos respaldos
100
A.11.2.3 Cableado seguro
Requisito 8.6
¿El cableado de corriente y de transporte de datos se ha protegido de interceptaciones o daños?
Si, se tienen con canaletas que los protegen de interceptaciones
100
57
A.11.2.4 Mantenimiento de equipos
¿Los equipos tienen un mantenimiento adecuado para mantener la disponibilidad e integridad?
Si, se programa regularmente mantenimiento sobre los equipos
100
A.11.2.5 Retiro de activos
¿Se cuenta con un proceso de autorización de retiros de sus sitio para equipos, información o software?
Si, requiere de firmas específicas y controles en las áreas de recepción para poder otorgar salidas.
100
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
¿Se aplica seguridad a los equipos que trabajan externo a la red?
Si, cuentan con su debido antivirus y los accesos se realizan por redes privadas
100
A.11.2.7 Disposición segura o reúso de los equipos.
¿Los equipos que se dan de baja o se reúsan tienen su debido proceso de borrado de información?
Si se borra la información con aplicativos de varios pasos
80
A.11.2.8 Equipos de usuarios desatendidos.
¿Se asegura la debida protección de los equipos desatendidos?
Se aseguran con la protección que tienen los demás equipos
80
A.11.2.9 Política de escritorio y pantalla limpia
¿Se cuenta con un procedimiento para asegurar que la pantalla y el escritorio permanezcan limpios de información?
No se cuenta con el procedimiento establecido, se recalca en ello durante las capacitaciones+
20
A12 Seguridad de las operaciones
A.12.1.1 Procedimientos operativos documentados
¿Los procedimientos de operación, están debidamente documentados, mantenidos y están disponibles para consulta de los usuarios?
Si, de acuerdo a los niveles de servicio operativo acordados
80
A.12.1.2 Administración del cambio
¿Se controlan los cambios en los sistemas de información y en las instalaciones?
Si, se realiza por medio de gestión del cambio
100
A.12.1.3 Administración de la capacidad.
Requisito 8.4
¿Se utilizan recursos para monitorear, optimizar y proyectar futuros requerimientos de capacidad?
No se utilizan recursos para proyectar esta información
0
A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción.
Requisito 8.3
¿Se protegen adecuadamente los sistemas de información en producción para evitar accesos no autorizados?
Si, se tienen ambientes definidos
80
A.12.2.1 Controles contra código malicioso.
Requisito 8.4
¿Existen procedimientos para prevenir, detectar y recuperarse ante códigos maliciosos?
Se cuentan con procedimientos documentados de actividades para lograr la recuperación de los sistemas de información
100
A.12.3.1 Backups de información.
¿Se toman backups de los sistemas de información y software y se prueba su recuperación?
Si, bajo varios esquemas de backup, se realiza una prueba de recuperación mensual
100
A.12.4.1 Logs de auditoría
¿Los logs de actividades de los usuarios y seguridad de la información se producen y mantienen para asistir en investigaciones de acceso a los datos?
En la aplicación de manejo de la información si se tiene documentado
100
58
A.12.4.2 Protección de los logs de información.
¿Se protegen los logs del acceso de personal no autorizado?
Si, los logs se encuentran centralizados
100
A.12.4.3 Logs de administradores y operadores
¿Las actividades de operadores y administradores son mantenidas en logs?
En ERP si, en otros campos no 60
A.12.4.4 Sincronización de los relojes.
¿Los relojes de los sistemas de información importantes se mantienen sincronizados?
Si. 100
A.12.5.1 Control de sistemas operativos
¿Existen procedimientos para prevenir la instalación de software en los sistemas operativos?
Si, los usuarios no cuentan con estos privilegios
80
A.12.6.1 Control de vulnerabilidades técnicas.
¿Se obtiene oportunamente información sobre vulnerabilidades y la exposición de la organización a las mismas?
Si se obtiene información, no se evalúa el grado de exposición de la organización
60
A.12.6.2 Restricciones en cambios por paquetes de software.
¿Se controlan las actualizaciones en paquetes de software?
Se controlan y cuando se aplican han sido probadas y aprobadas por el proveedor
100
A.12.7.1 Auditorias de control a los sistemas de información
¿Se programan las auditorias de sistemas operativos para disminuir el riesgo de interrupción de la operación?
No, solo se realiza mantenimiento lógico
20
A13 Gestión de las comunicaciones
A.13.1.1 Controles en la red
¿Se protege la infraestructura de red y se protege la información que circula por ella?
La infraestructura se protege, no hay controles sobre la información que circula
40
A.13.1.2 Seguridad en servicios de red.
Requisito 8.4
¿Los servicios de red cuentan con acuerdos de seguridad, niveles de servicio y métodos de administración de requerimientos?
No se tienen establecidos 0
A .13.1.3 Separación en las redes
¿Están separados los servicios de información, los usuarios y los sistemas de información?
No se tiene esta separación 0
A.13.2.1 Políticas y procedimientos para el intercambio de la información.
¿Se cuenta con política, procedimientos y controles formales para proteger el intercambio de información entre áreas?
No se tienen establecidas políticas
0
A.13.2.2 Acuerdos de intercambio.
¿Existen acuerdos para el intercambio de información de la organización con terceros?
Si, acuerdos contractuales 100
A.13.2.3 Mensajes Electrónicos
Requisito 1.9
¿Se protege la información enviada a través de mensajes electrónicos?
Si, la información tiene niveles de protección
100
A.13.2.4 Acuerdos de confidencialidad
¿Los acuerdos de confidencialidad están definidos y son regularmente revisados?
Se tienen establecidos parcialmente
40
59
A14 Adquisición, desarrollo y mantenimiento de sistemas
A.14.1.1 Especificaciones y análisis de requerimientos.
¿La información nueva especifica sus requerimientos de seguridad y control?
La información nueva cumple con los parámetros iniciales establecidos de seguridad
40
A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas
¿Se protege la información que pasa por redes públicas de ser modificada?
No se tiene control sobre el uso de redes públicas
0
A.14.1.3 Protección de las transacciones de los servicios de las aplicaciones.
¿Se protegen las transacciones para evitar transmisión incompleta, enrutamiento errado, alteración o divulgación no autorizada?
Se firma y se certifica electrónicamente la información que se transmite.
80
A.14.2.1 Política de desarrollo seguro
¿Existen reglas aplicables al desarrollo seguro de las aplicaciones de la organización?
No se hace desarrollo en la compañía, el proveedor de software si cumple con los estándares de programación.
60
A.14.2.2 Control de cambios en sistemas
¿Existe un procedimiento formal de control de cambios?
Si, se tiene formalizado control de cambios
100
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de la operación.
¿Se ejecutan pruebas luego de aplicar cambios en la plataforma e infraestructura de operación?
Si, se verifica de punta a punta el funcionamiento de los componentes objetos del cambio.
80
A.14.2.4 Restricciones en los cambios a los paquetes de software.
¿Se ejecutan cambios necesarios y son controlados estrictamente?
Solo se ejecutan cambios necesarios.
100
A.14.2.5 Principios de construcción de sistemas seguros.
¿Existe un procedimientos para la construcción de sistemas seguros?
No se tiene establecido un procedimiento.
20
A.14.2.6 Ambiente de desarrollo seguro
¿Se aseguran los ambientes de desarrollo?
No se tienen ambientes de desarrollo
100
A.14.2.7 Desarrollo de software por terceros.
¿El software tercerizado es supervisado y monitoreado?
Si, se supervisan los cambios a través de la plataforma de documentación del proveedor
80
A.14.2.8 Pruebas de seguridad de sistemas
¿Durante el desarrollo se prueba la seguridad de la funcionalidad?
Las pruebas las realiza el proveedor
100
A.14.2.9 Pruebas de aceptación
¿Se ejecutan pruebas de aceptación con criterios definidos a los nuevos sistemas de información, versiones o actualizaciones?
Se prueban las nuevas versiones
100
A.14.3.1 Protección de datos de prueba
¿Se seleccionan y protegen los datos utilizados en pruebas?
Se utilizan los datos en ambientes protegidos, no son seleccionados
80
A15 Relación con los proveedores
60
A.15.1.1 Política de seguridad de la información para las relaciones con proveedores.
¿Se acuerdan los requisitos que deben cumplir los proveedores para mantener la integridad de la información?
Si, sobre la información que se comparte.
80
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores.
¿Se acuerdan los requisitos de seguridad de la información con proveedores que ingresan a la infraestructura de la organización?
No se acuerdan, son vigilados estrechamente
40
A.15.1.3 Cadena de suministro de tecnología de información y comunicación
¿Se tratan los riesgos en la cadena de suministros de productos y servicios de tecnología en información y comunicación?
No se tratan 0
A.15.2.1 Monitoreo y revisión de servicios de terceros
¿Se aseguran los debidos controles de seguridad, definición de servicios están implementados, operados y se mantienen adecuadamente?
Si, sobre la información que se comparte o se transmite
80
A.15.2.2 Administración de cambios en servicios de terceros.
¿Los cambios en los servicios administrador por terceros son informados?
Si, son informados con tiempo de anticipación
80
A16 Gestión de incidentes de seguridad de la información
A.16.1.1 Responsabilidades y procedimientos
¿Se tienen establecidas responsabilidades y procedimientos al momento de responder de forma ordenada los incidentes de seguridad?
No se tienen establecidos 0
A.16.1.2 Reporte de eventos de seguridad de la información.
¿Existen canales para informar oportunamente los incidentes en seguridad de la información?
Si existen los canales 100
A.16.1.3 Informes sobre debilidades en seguridad.
¿Están los empleados capacitados para reportar incidentes o debilidades en los sistemas de seguridad de la información?
Están capacitados 60
A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos.
¿Se evalúan los eventos de seguridad y si es necesario se clasifican como incidentes?
No se realiza esa clasificación 40
A.16.1.5 Respuesta a incidentes de seguridad de la información
¿Se da respuesta a los incidentes de seguridad de a información de acuerdo a los procedimientos documentados?
Se tratan como los demás incidentes
60
A.16.1.6 Aprendizaje sobre incidentes de seguridad de la información.
¿Existen mecanismos para identificar, monitorear y cuantificar los incidentes de seguridad de la información?
Todos los incidentes y requerimientos de la organización se registran
80
61
A.16.1.7 Recolección de evidencias
¿Cuándo un incidente afecta a la organización o a una persona, la evidencia es recolectada, retenida y presentada de acuerdo a las normas legales existentes?
No 0
A.17 Aspectos de seguridad de la información de la gestión de continuidad del negocio.
A.17.1.1 Planificación de la continuidad de la seguridad de la información
¿Se ha estipulado la continuidad de la gestión de seguridad de la información durante crisis o desastres?
No. Se ha estipulado en general la continuidad de la organización y de los sistemas de información.
40
A.17.1.2 Implementación de la continuidad de la seguridad de la información.
¿Existen procesos, procedimientos y controles para asegurar la continuidad de la seguridad de la información?
No se tienen establecidos. 0
A.17.1.3 Verificación, revisión y evaluación.
¿Se verifican regularmente los controles establecidos para determinas si son eficaces?
Se verifican con poca regularidad
40
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
¿Existe redundancia en las instalaciones de procesamiento de información para cumplir la disponibilidad?
Si, se tiene disponibilidad en diferentes niveles.
100
A.18 Cumplimiento
A.18.1.1 Identificación de legislación aplicable
¿Se conocen los requisitos legales y contractuales y están definidos y documentados?
Se conocen los requisitos, no están documentados
40
A.18.1.2 Derechos de propiedad intelectual
¿Se cuenta con procedimientos adecuados que protejan la propiedad intelectual en el uso de software de terceros?
Si, se cumplen con la protección de la propiedad intelectual de terceros.
100
A.18.1.3 Protección de los registros organizacionales.
¿Los registros importantes están protegidos de pérdida, destrucción o falsificación?
Si, se protegen los registros importantes
80
A.18.1.4 Protección de los datos y privacidad de la información personal.
¿La protección de datos privados es asegurada de acuerdo a la ley vigente?
Si, se basa y se ajusta a las leyes vigentes.
100
A.18.1.5 Regulación de controles criptográficos.
¿Se usan controles criptográficos de acuerdo a las regulaciones de ley?
Si, para los casos de transferencia de información.
80
A.18.2.1 Revisión independiente de la seguridad de la información.
¿Se revisa con regularidad el cumplimiento del sistema de seguridad de la información?
No. 0
A.18.2.2 Cumplimiento con políticas de seguridad y estándares.
¿Los administradores y gerentes aseguran el cumplimiento de las políticas y estándares de seguridad dentro de sus áreas de responsabilidad?
Parcialmente 20
62
A.18.2.3 Evaluación de cumplimiento técnico.
¿Los sistemas de información son evaluados periódicamente para asegurar el cumplimiento de los estándares de seguridad?
Son evaluados periódicamente bajo el esquema de ISO9001, pero no bajo el esquema de seguridad de la información.
40
63
Anexo 2 – Políticas de Seguridad de la Información
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA UNA EMPRESA DE
COMERCIALIZACIÓN DE INSUMOS MÉDICOS
1. INTRODUCCIÓN Para mejorar la seguridad de los datos y la información de la organización, se establece esta Política de Seguridad de la Información, que debe ser tomado como un marco de trabajo que establezca el uso adecuado de los diferentes dispositivos y medios que contienen los datos de la organización. Esta política es fomentada por la alta gerencia y debe ser asumida por directivos, colaboradores, terceros y contratistas quienes deben velar por el cumplimiento de la misma e informar aquellos casos donde se produzcan desviaciones. Esta política contiene las mejores prácticas de la Gestión de Seguridad de la Información buscando siempre garantizar la confidencialidad, disponibilidad e integridad y está alineada a los diferentes requisitos legales que se han implantado para proteger la seguridad de la información.
2. OBJETIVO La alta gerencia de la organización, comprometida siempre con el avance de la empresa en diferentes aspectos, presenta esta política a los usuarios de la organización, en busca de minimizar los riesgos a los que están expuestos los equipos y datos, y previene la pérdida de información o el uso inadecuado de los datos. Este documento será revisado de forma periódica, mínimo una vez al año para garantizar que continúa alineado a las mejores prácticas, y que abarca y protege los datos de la organización.
3. ALCANCE Esta política protege los sistemas de información de la organización y los datos contenidos en ella, abarca a todos los colaboradores de la empresa y cubre también a contratistas y terceros que hagan uso de los activos de información de la organización.
64
La empresa es libre de determinar la forma en la cual los diferentes actores aceptan el compromiso que la política confiere, así como las sanciones que por omisión u/o desconocimiento a la misma que se puedan presentar.
4. REQUISITOS LEGALES Esta política se circunscribe, pero no se limita a la Ley 1266 de 2008 o Ley de Habeas Data, Ley 1581 de 2012 o Ley de Protección de Datos Personales, Resolución 4089 del 22 de mayo de 2018 o Requisitos del Operador Económico Autorizado y Resolución 67 del 20 de octubre de 2016
5. DEFINICIONES
• Acuerdo de Nivel de Servicio: en el ANS se estipula entre el cliente y el
oferente de un servicio, los acuerdos de prestación del servicio, tiempos,
recursos que se utilizarán y los niveles de calidad para que el servicio sea
aceptado.
• Archivo malicioso: Es un software que ha sido manipulado o programado
para producir daño a un sistema de información.
• Backup: Copia de seguridad de datos o de respaldo para poder disponer de
un medio de recuperación en caso de requerirlo.
• Biometría: Toma de medidas asociadas a la biología de los humanos. Se
basa en las características propias de cada persona.
• Contraseña: Código secreto que pertenece a un usuario y que le permite
alcanzar el acceso a un sistema de información específico.
• Cuenta: Configuración que se utiliza para identificar quien está haciendo uso
del sistema, se asignan las cuentas de usuario, la cual identifica a la persona,
y le otorga los privilegios asociados a su rol.
• Dato personal: Información que hace referencia a una persona y que hace
parte de las características que permiten identificarlo.
• Dato sensible: Dato personal cuya pérdida o cambio puede causar
detrimento, desmejora o empeoramiento de la calidad de vida de una
persona.
• Disponibilidad: Nivel de confiabilidad de un sistema de información porque
puede responder a las peticiones de información que se le realizan.
• Dispositivo: Es un aparato que realiza una tarea específica.
• Dominio: Es un nombre asignado a un direccionamiento IP, el cual es fácil de
recordar para los usuarios que lo consumen.
65
• Gestión del cambio: Enfoque en sistemas de información que implementa
estrategias para planear un cambio, teniendo en cuenta los actores,
procedimientos y activos que se deben intervenir.
• Nivel de madurez: Dentro de un proceso, es el cumplimiento de los objetivos
de ese proceso.
• Perfil: Configuración asociada a un usuario, que le otorga privilegios propios
sobre los sistemas de información.
• Política: Lineamientos generales y estándares que se deben tener en cuenta
y seguir para lograr el gobierno adecuado de un sistema.
• Rack: Estructura que permite sostener en su interior dispositivos
electrónicos, informáticos y de comunicación.
• Red Inalámbrica: Comunicación que se logra sin medios físicos, utilizando la
propagación de ondas electromagnéticas en el espacio.
• Spam: Correo electrónico, no solicitado, no deseado o de remitente no
conocido que contiene información poco importante para el receptor.
• Usuario: Persona que utiliza un sistema informático.
• Virus: Programa de computadora que puede causar daños en los sistemas
en los cuales es ejecutado.
• Vulnerabilidad: Debilidad o falla en un sistema de información que puede
llegar a comprometer los activos de información.
6. POLITICAS PARA LA IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN
6.1. COMPROMISO DE LA DIRECCIÓN
La alta gerencia de la organización se compromete en lograr establecer esta política al interior de la organización, así como poner todos los recursos necesarios para lograr su implementación y operación, también definirá los espacios necesarios para realizar el seguimiento que asegure el debido mantenimiento de la política a través del tiempo. También define los roles y responsabilidades que son necesarios cubrir para el desarrollo de las actividades asociadas a la Seguridad de la Información.
6.2. GESTIÓN DE ACTIVOS DE INFORMACIÓN
6.2.1. IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN Es responsabilidad del Jefe de Tecnología, realizar máximo
66
cada 6 meses, un levantamiento de datos que conduzca a identificar los activos de información que estén en uso en la organización. La información de los activos, nombre, ubicación, uso, responsable y características de los equipos reposará en el formato FOR-MI-040 Inventario de Equipos de Cómputo de acuerdo con el procedimiento establecido en el documento PNT-MI-008 Mantenimiento Preventivo y Correctivo de Equipos de Cómputo.
6.2.2. CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN La clasificación de la información se realizará mediante los siguientes parámetros:
Nombre del Activo de Información
Descripción
Correo electrónico Buzones de correo electrónico de la organización
Base de Datos Base de datos de sistema de información
Backup Software backup de usuarios
Licencias Aplicativos adquiridos para PC y Servidores
Servidores Máquina de gran procesamiento para exponer servicios a los clientes
Directorio Activo Directorio de usuarios y dispositivos que componen la red
Antivirus Aplicativo para detectar y eliminar virus informáticos
Computadores Computadores de la organización
Gateway Dispositivo de frontera, conecta organización hacia internet
Switch Enlace de forma centralizada entre los equipos en LAN y la WAN
SPA Dispositivo de distribución telefónica
PBX Centralizador de configuración de red telefónica
Centro de Datos Espacio para ubicación de dispositivos de datos y red
Biométricos Dispositivo para leer biométricamente el ingreso o salida de usuarios
UPS Almacenamiento de energía en baterías que trabaja cuando no hay corriente en la red principal
Aire Acondicionado Regulador de temperatura y humedad para un espacio definido
NAS Dispositivo de red para almacenamiento de archivos
67
Discos Duros Externos
Dispositivos de almacenamiento externos a los computadores
ERP Aplicativo para gestión de la información de la organización
Canales Internet Caneles dispuestos por proveedores para conexión hacia internet
Teléfonos IP Teléfonos con configuración de IP sobre switches de telefonía
DVR Sistema de video grabación
Procedimientos Procedimientos de las actividades de funcionarios
Instructivos Paso a paso de las actividades realizadas por los funcionarios
El Jefe de Tecnología Informática debe garantizar los procedimientos por medio de los cuales se realice la debida marcación de los equipos, y se agregue la información de rotulado y clasificación de los activos en el documento FOR-MI-040 Inventario de Equipos de Cómputo.
6.2.1. DEVOLUCIÓN DE ACTIVOS
Una vez finalizados los contratos con empleados, terceros o proveedores, estos están obligados a devolver los activos de información que les hayan sido asignados, cumpliendo con la protección del activo y de la información que se contenga en este. El Jefe de Tecnología validará al recibir el activo que se encuentre en correcto funcionamiento y dará visto bueno para la generación de los paz y salvo.
6.2.2. GESTIÓN DE MEDIOS REMOVIBLES En la organización está prohibido el uso de medios removibles para almacenar información. Para este efecto se dispondrá de las herramientas que permitan hacer el control de puertos de los equipos. Los usuarios que por razones laborales requieran el uso de estos medios, deben tramitar una solicitud al área de Tecnología indicando las razones por las cuales requiere este permiso, la solicitud debe ser aprobada por la Gerencia Administrativa y el Jefe de Tecnología habilitará el permiso para el uso de los dispositivos.
68
6.2.3. DISPOSICIÓN DE LOS ACTIVOS
Una vez finalizados los contratos con empleados, terceros o proveedores, estos están obligados a devolver los activos de información que les hayan sido asignados, cumpliendo con la protección del activo y de la información que se contenga en dispositivo. El Jefe de Tecnología debe asegurar la toma de Backup para los elementos de información que así lo requieran, verificación de funcionamiento de los mismos y si se cumplen estas condiciones se generará el visto bueno por entrega de elementos de trabajo. Los activos de información luego de la copia respectiva serán reasignados, reubicados o serán dados de baja, en cuyo caso se asegurará que se haga borrado seguro de la información contenida en ellos. El retiro de equipos de las instalaciones de la organización se realizará mediante autorización del Gerente Administrativo
6.2.4. DISPOSICION FINAL DE LOS ACTIVOS
Todos los colaboradores, contratistas o terceros de la organización pueden hacer uso de las redes inalámbricas con las que cuente la compañía, pero es el área de Tecnología el que configura los dispositivos para que puedan ingresar a estas redes. Aplicaciones y cuentas corporativas serán aprobados por los gerentes de la organización y configurados en los equipos o dispositivos de los colaboradores por el área de Tecnología. Es responsabilidad de los colaboradores, contratistas o terceros, el uso que se le dé a la información de la organización que pueda ser almacenada en estos dispositivos y están obligados a permitir que el área de Tecnología realice cambios o actualizaciones en los equipos que lo requieran.
6.3. CONTROL DE ACCESO
6.3.1. ACCESO A LAS APLICACIONES Y CONTRASEÑAS Los accesos a las redes inalámbricas de la organización, a las aplicaciones y a los sistemas de información se deben realizar a través del uso de usuario y contraseña asociada a ese usuario.
69
El área de Tecnología de Información controlará la creación de los usuarios y asegurará el cumplimiento de los niveles de complejidad de las contraseñas de acceso al dominio, las cuales mínimo deben contener 8 caracteres y mínimo uno debe ser una letra mayúscula, un número, y un símbolo especial, también se debe asegurar que la contraseña tenga una vigencia máxima de tres meses, luego de los cuales las contraseñas se deben renovar. Las demás contraseñas que no corresponde al ingreso al dominio se manejarán de acuerdo con los criterios de complejidad que se puedan implementar en cada uno de los activos de información. El área de Tecnología de información implementará bloqueos en los usuarios para los intentos de ingreso fallido, que se estipula máximo debe ser de 3 intentos. Es responsabilidad de los colaboradores, contratistas o proveedores ingresar siempre con el usuario asignado. Los usuarios y contraseñas no deben ser compartidos o expuestos. Una vez finalice el contrato de los colaboradores, contratistas o proveedores para con la organización, Tecnología de Información procederá a inactivar el usuario de acceso.
6.3.2. CONTROL DE ACCESO
Los permisos asignados a cada usuario serán configurados por parte del área de Tecnología de Información y corresponderán a los perfiles, roles y funciones definidos para cada usuario. La asignación de permisos adicionales a los establecidos en los roles deberá tramitarse a través del formato FOR-MI-020 dirigido al área de Tecnología de Información en donde se analizará la solicitud y será el Jefe de Tecnología quien definirá la conveniencia de asignar los permisos adicionales solicitados. El área de Tecnología de Información controlará la información de acceso bajo el modo de administrador a los diferentes componentes y activos de información de la organización y también administrará los usuarios genéricos que puedan llegar a requerirse e implementarse.
6.3.3. ACCESO A LAS ÁREAS FÍSICAS Los accesos a las áreas físicas donde se encuentren ubicados activos de información serán controlados. Los colaboradores de la organización ingresarán mediante controles biométricos, los
70
proveedores y terceros ingresarán a las áreas comunes con acompañamiento de un colaborador de la organización. Los únicos autorizados para acceder al rack de comunicaciones de la oficina central y al cuarto de servidores son el Jefe de Tecnología, el Asistente de Ingeniería y el Gerente Administrativo. Los demás colaboradores y terceros o contratistas deberán ingresar con el acompañamiento de uno de los nombrados anteriormente. La asignación de los permisos de ingreso a las diferentes áreas serás configurados según los procedimientos internos de la organización una vez sean autorizados por los gerentes.
6.3.4. AREAS DE CARGA Se debe disponer de áreas de carga separadas de las zonas de acceso restringido, que mitigue la extracción no autorizada de activos de información.
6.4. HISTORIAL DE TRANSACCIONES REALIZADAS Las aplicaciones utilizadas deberán mantener un registro del uso, modificación, eliminación o creación de información, así como al traslado, envío o movimiento de la misma. Estos logs de eventos deben mantenerse mínimo un mes. Este procedimiento será informado a los colaboradores, contratistas y terceros que hagan uso de los sistemas informáticos de la organización. Se deben programar y realizar auditorías para verificación de la funcionalidad mínimo dos veces al año.
6.5. PRIVACIDAD DE LA INFORMACIÓN 6.5.1. AMBITO
De acuerdo con lo establecido en la normatividad legal colombiana, todas las personas tienen derecho a conocer la información que se recojan sobre ellos y que reposen en la organización, así como el derecho a actualizar esa información. Es la organización quien se hará responsable sobre el tratamiento de esos datos.
71
6.5.2. EXCEPCIONES
Prohibición del uso de dato sensibles, salvo los casos que se especifican en el artículo 6 de la ley 1581 de 2012.
6.5.3. PRINCIPIOS DE TRATAMIENTO DE DATOS PERSONALES
• Principios de Legalidad: El tratamiento de datos
personales se hará de acuerdo con lo establecido en la
normatividad colombiana.
• Principio de finalidad: El tratamiento de datos personales
se realizará únicamente bajo expreso consentimiento del
titular de los datos.
• Principio de veracidad o calidad: La información que se
trate debe ser veraz, actualizada y debe ser verificada y
aprobada por el titular de los datos.
• Principio de transparencia: En caso de que el titular de
los datos requiera consulta sobre su información, esta
debe ser provista en el menor tiempo posible y con la
completitud y calidad según el requerimiento realizado.
• Principio de acceso y circulación restringida: El acceso a
la información de terceros se hará únicamente por
personas que lo requieran en la organización. La
información provista se utilizará únicamente para los
casos informados al titular de los datos.
• Principio de seguridad: Se debe garantizar que la
información de terceros no será accedida por personas
no autorizadas, y se tomarán todas las medidas posibles
para evitar que la información sea manipulada, cambiada
o eliminada a menos que el titular de los datos así lo
solicite.
• Principio de confidencialidad: Se debe preservar la
identidad de los titulares de los datos.
6.5.4. DERECHOS DE LOS TITULARES DE LOS DATOS
Los titulares de los datos tienen derecho a conocer el uso que se dará a sus datos personales, podrán rectificar la información si así lo requieren y es responsabilidad de la organización cumplir con estas solicitudes. Los titulares de los datos podrán interponer quejas ante las
72
autoridades administrativas a las cuales la organización se obligará a dar respuesta oportuna y veraz.
6.5.5. AUTORIZACIÓN DEL TITULAR
Para el uso de datos personales, la organización está obligada a obtener la autorización del titular de los datos según se estime en los procedimientos establecidos para este fin.
6.6. INTEGRIDAD DE LA INFORMACIÓN
La información que sea conocida, administrada o compartida por los colaboradores de la organización, debe cumplir con los parámetros de completitud e integridad. Se debe asegurar que los contratos laborales cumplan con esta información y que sea aceptada por los colaboradores al momento de la firma.
6.7. DISPONIBILIDAD DE LOS SERVICIOS DE INFORMACIÓN
La organización debe contar con un plan de continuidad del negocio y un plan de recuperación ante desastres, el cual debe ser revisado y avalado por el área de Tecnología Informática. Este plan será revisado periódicamente mínimo una vez al año. Se deben establecer los niveles de disponibilidad necesarios para la operación normal de la organización de acuerdo con los Acuerdos de Niveles de Servicio que las diferentes áreas requieran. Para evitar conflictos en los ambientes productivos, se deben establecer ambientes de pruebas que minimice el impacto que puede causar una indisponibilidad de un ambiente de producción. Los cambios mayores a cualquier activo de información deberán ser tramitados a través de la gestión de cambios, en donde se identifiquen el origen, procedimiento e impacto del cambio y se estime los niveles de aceptación para las interrupciones por este motivo.
6.8. REGISTROS DE AUDITORÍA
La información de los cambios que se realicen sobre los activos de información debe registrarse y almacenarse debidamente, es responsabilidad del Jefe de Tecnología Informática custodiar y
73
mantener esta información disponible por un periodo de hasta un año. La política de seguridad de la información debe revisarse mínimo una vez al año, e incluir los cambios que se requieran para asegurar el cumplimiento de los controles de seguridad y el cumplimiento de la política y procedimientos establecidos. Esta revisión debe incluir el nivel de madurez de la organización en su Sistema de Gestión de Seguridad de la Información.
6.9. TRATAMIENTO DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Los colaboradores o terceros que hagan uso de los activos de información deberán reportar a través del formato FOR-MI-020, los incidentes de seguridad que se puedan desarrollar al interior de la organización. El área de Tecnología de la Información deberá dar atención al caso informado, documentando con evidencias los hallazgos y el procedimiento de solución del caso.
6.10. CAPACITACIONES EN SEGURIDAD DE LA INFORMACIÓN
Se deben realizar capacitaciones sobre seguridad de la información a los colaboradores nuevos en la organización que van a administrar activos de información, también se recapacitará de forma periódica al personal de la organización, mínimo una vez al año. Las capacitaciones serán realizadas por el área de Tecnología de la Información, y deberá contar con el apoyo de la Alta Dirección de la organización para asegurar la participación obligatoria de todo el personal. Estas capacitaciones se centrarán en los deberes y derechos de los colaboradores frente a los activos de información, así como de las técnicas con las cuales los atacantes buscan vulnerar la seguridad de los sistemas de información.
6.11. ESCRITORIO LIMPIO
Todos los colaboradores y terceros que hagan uso de sistemas de información de la compañía deben mantener los escritorios de los equipos libres de información sensible. Los archivos deben ser almacenados en la carpeta de documentos o en las rutas que se hayan definido para los archivos de procesos.
74
Si los colaboradores se retiran de su puesto de trabajo, están obligados a bloquear los equipos para prevenir accesos no autorizados. Tecnología de información implementará el bloqueo automático de los equipos por inactividad. Al finalizar la jornada laboral, los equipos deben ser apagados. Documentos con información privada o de uso restringido no debe ser dejado sobre los escritorios físicos sin la debida supervisión de los usuarios responsables de custodia.
6.12. SOFTWARE NO AUTORIZADO Para preservar derechos de autor y el licenciamiento de software, está prohibido para los colaboradores de la organización instalar aplicativos no autorizados por el área de Tecnologia de Información. El área de Tecnología de Información implementará usuarios y perfiles de usuario con privilegios restringidos que eviten las instalaciones no autorizadas.
6.13. DESCARGA DE ARCHIVOS
El área de Tecnología de información es responsable de implementar herramientas que controlen, detecten y restrinjan la descarga de información o archivos maliciosos. Todos los equipos de la organización pueden ser monitoreados o revisados por el área de Tecnología de la Información. Se deben generar campañas de sensibilización por parte de Tecnología de Información indicando los peligros de no tener el debido cuidado. Los colaboradores están obligados a informar al área de Tecnología de la información sobre eventos anómalos en sus equipos.
6.14. COPIAS DE SEGURIDAD Se debe implementar un sistema de copias de seguridad para la información sensible para la organización. La integridad de las copias de seguridad debe ser verificada mínimo una vez al mes mediante la realización de restauraciones. Tecnología de información es el responsable de generar y probar estas copias.
75
Las copias de seguridad deben reposar en medios seguros y deben ser informados a través de un procedimiento.
6.15. SERVICIOS DE MENSAJERIA La mensajería emitida por los colaboradores debe ser empleada para labores exclusivas de la operación de la organización y es responsabilidad de cada operador la información que se comparta en ella. Todos los mensajes deben respetar el buen uso del idioma de generación del mensaje. Los colaboradores deben reportar al área de Tecnología Informática cuando reciban correos SPAM o con contenido catalogado como virus, o correos sospechosos de contener material que pueda llegar a afectar. Los colaboradores deben asegurar el destinatario de sus comunicados. El área de Tecnología de Información se reserva el derecho de verificar los correos entrantes y salientes de los colaboradores de la organización.
6.16. COMUNICACIONES DE SEGURIDAD
Las comunicaciones emitidas por el área de Tecnología de Información que incidan en los activos de información de la organización deben ser informados a los directamente afectados o a toda la organización según se establezca. Si los comunicados contienen instrucciones, estos son de debido cumplimiento por parte de los colaboradores de la organización. Los colaboradores son responsables por la omisión en la lectura de los comunicados o incumplimiento de las instrucciones dadas en ellos.