AA1-E5-Aplicación de la norma ISO 27002

Autor(es):
Diana Paola Villalobos Muñoz
Juan Pablo Agudelo Ramírez

Presentado a:
YURI LORENA FIERRO BOCANEGRA

GESTIÓN Y SEGURIDAD DE BASES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJE
SENA
BOGOTÁ
2018
 2

AA1-E5-Aplicación de la norma ISO 27002

Descripción de la organización

Quipux crea soluciones innovadoras y acompaña a los gobiernos en su operación bajo

modelos auto sostenibles de asociación público privada que ayudan a resolver problemas
reales de tránsito, transporte y movilidad, para mejorar la calidad de vida de los ciudadanos.

Quipux

Quipux es una compañía colombiana con operaciones en más de 50 ciudades alrededor del
mundo en Colombia, Brasil y Costa de Marfil. La compañía está enfocada en la creación de
soluciones de transporte para ciudades sostenibles desde 1995, y tiene más de 20 años de
experiencia en servicios de outsourcing con gobiernos.
Quipus (o khipus), conocidos como nudos que hablan, fueron dispositivos utilizados
antiguamente para grabar información en la región andina de Sur América. Un quipu
consistía en cuerdas de varios colores con nudos a diferentes alturas. En el imperio Inca el
sistema permitía la recolección, custodia y mantenimiento de información para monitorear
obligaciones de impuestos, registros del censo de propiedad, organización militar e
información del calendario, entre otros.

Visión
“Innovamos para trascender”.

Misión
“Creamos soluciones que generan valor apoyados en tecnología y conocimiento”.

Valores
Nuestros valores son los que orientan la coherencia entre lo que pensamos, lo que decimos y
lo que hacemos. Los valores de éxito son los principios sobre los cuales construimos nuestras
soluciones:

Principales servicios

SOFTWARE: Desarrollo e implementación de aplicaciones, actualizaciones, soporte.

CONSULTING: Crear propuestas de valor que alineen los objetivos del negocio dando apoyo
a procesos de negocio.
INFRAESTRUCTURA TI: Servicios de instalación e integración de tecnologías y
consultoría para la administración de proyectos relacionados con el correcto funcionamiento
del equipamiento TI incluyendo la administración de garantías.
 3

Figura1. Organigrama general de Quipux

Figura2. Organigrama del área TI de Quipux

 4

Clasificación de la Información según Quipux

Para la Clasificación de la Información se debe tener en cuenta los criterios de

Confidencialidad, Integridad y Disponibilidad. A partir de estos aspectos se definen 4 tipos
de información a tratar.

Información de Uso Público: Información que por sus características puede o debe estar a
disposición de cualquier persona natural o jurídica. Dentro de esta clasificación se puede
considerar: noticias, informes de prensa y normatividad.

Información de uso Interno: Información cuya divulgación no causa daños serios a Quipux y
su acceso es libre para los funcionarios a través de la intranet o de cualquier otro medio.

Información de uso Confidencial: Información cuya divulgación no autorizada puede afectar

considerablemente el cumplimiento de la misión de Quipux. La divulgación de esta
información, requiere de la aprobación de su respectivo propietario. En el caso de terceros
rige el acuerdo de confidencialidad que exista entre el Quipux y el tercero.

Información de Uso secreto: Información que sólo puede ser conocida y utilizada por un
grupo muy reducido de funcionarios, generalmente de la alta dirección de la empresa, y cuya
divulgación o uso no autorizados podría ocasionar graves pérdidas al mismo, a Contratistas o
a Terceros.

Clasificación de los activos de la información

Se identifican los activos de información de mayor importancia asociados a cada sistema de

procesamiento de la Información en su respectivo proceso, para luego elaborar un inventario
con dicha información.

Tipo Descripción Detalle

Datos o Son aquellos datos que se generan, •Todo tipo de archivos.

Información recogen, gestionan, transmiten y •Bases de datos.
Física y Digital destruyen en la organización. •Acuerdos.
•Documentación del sistema.
•Historicos.

Software Las aplicaciones que se utilizan para
la gestión de la información.
Hardware Dispositivos que se utilizan para la
gestión y almacenamiento de la
información.
Servicios TI Servicios internos y externos que
buscan responder a las necesidades
de un cliente por medio de un cambio
de condición en los bienes
informáticos
Personas Son todas aquellas personas que
tienen que ver con la organización.
Conocimiento Hechos o información adquiridos por
la organización a través de la
experiencia o la educación, la
comprensión teórica o práctica de un
asunto referente a la realidad.
El uso de los activos de información pertenecientes al Quipux es responsabilidad del
propietario asignado; es su deber proteger y mantener la confidencialidad, integridad y
disponibilidad de los activos de información.
Tabla 2. Definición de los activos de la información.
5
•Herramientas ofimáticas.
•Motores de bases de datos.
•Software específico.
•Herramientas de desarrollo.
•Módulos de las diferentes
aplicaciones
•Equipos de cómputo.
•Equipos de comunicación.
•Discos duros extraíbles.
•Unidades de
almacenamiento.
•Otros periféricos.
•Intranet.
•Internet.
•Correo Electrónico.
•Correspondencia
•Directorio Activo
•Dominio DNS.
•Todo el personal que hace
parte de la organización.
•Las certificaciones que
poseen las personas.
•Las normas bajo las cuales
se encuentra certificada la
organización.
 6

Código Activo Tipo Confidencialidad Integridad Disponibilidad

Archivo
A1 ofimáticos. Información Alto Alto Medio

Otros archivos.
A2 Información Alto Alto Alto

Información
A3 física. Información Medio Medio Medio
“Manuales y
contratos”
Aplicativos Aplicación Alto Alto Alto
A4

Códigos fuente Aplicación Medio Medio Medio

A5

Sistema Aplicación Medio Medio Medio

A6 Operativo

Herramienta
A7 Ofimática Aplicación Alto Alto Alto

Equipos de
A8 Cómputo. Hardware Alto Medio Alto

Servidor Hardware Alto Alto Alto

A9

Equipos de Hardware Alto Alto Alto

A10 Comunicación.

Unidades Hardware
A11 de Alto Alto Medio
almacenamient
o.
”Back up”
 7

NFS
(Repositorio
A12 de archivos en Servicio TI Alto Alto Alto
red).

Infraestructura
A13 TI Servicio TI Alto Medio Alto
(Cableado
Estructurado e
Intranet).
ISP (Acceso
A14 a Servicio TI Alto Alto Alto
Internet).
A15 Correo Alto Alto Medio
Electrónico Servicio TI

A16 Directorio Servicio TI Alto Alto Medio

Activo
DNS
A17 (resolución de Servicio TI Medio Medio Medio
nombres de
dominio)
DHCP
A18 (Configuración Servicio TI Medio Medio Medio
automática de
host).
Personal que
A19 maneja la Persona Alto N/A Alto
información.
Personal de TI
A20 que administra Persona Alto N/A Medio
la red.

Valoración de los activos

 8

Esta valoración puede ser cuantitativa o cualitativa acorde a los criterios CID.

Disponibilidad: Cual seria la importancia o el impacto si el activo no estuviera disponible.

Integridad: Cuál sería la importancia o el impacto si el activo fuera alterado sin autorización
ni control.

Confidencialidad: Cual sería la importancia o el impacto si acceden a al activo de manera

inadecuada.

Capítulo 3 Análisis y evaluación de Riesgos

El objetivo del análisis de riesgos es determinar el alcance del daño producido sobre los
activos de información en caso de llegarse a materializar una amenaza. Se evalúa el grado de
repercusión que pueda presentar cada activo, dentro de las dimensiones de valoración
analizadas anteriormente como son: Disponibilidad, Integridad, Confidencialidad,
Autenticidad y Trazabilidad. Los activos con calificación baja, leve, media y moderada
deberán ser re-evaluados para mejorar, cambiar o adaptar nuevos controles, los de
calificación media, moderado, alta y catastrófico deberán ser objeto de atención urgente.

Tabla 6. Mapeo de riesgos para la organización Quipux

 9

Respuesta tardía ante incidentes de

seguridad debido a la ausencia de una
R11 herramienta que monitoree el X X
comportamiento de la red de datos.
Visita a URL maliciosas debido a la
R12 ausencia de listas blancas de URL. X X
Tráfico no autorizado en la red y
conexiones deshonestas debido a la
R13 ausencia de una herramienta que X X
monitoree el comportamiento de la red
de datos.
Acceso no autorizado a la información
sensible de la empresa por medio de una
R14 cuenta de usuario que carece de X X
identificación.
Ejecución de código malicioso
proveniente de un correo electrónico
R15 por falta de validación de la fuente y X X
desconocimiento del usuario.
Afectación de la triada (Integridad,
Confidencialidad y Disponibilidad)
R16 debido a ataques informáticos X X
relacionados con malware.
Ejecución de código malicioso
proveniente de un ataque interno debido
R17 a la falta o debilidad de hardening en X X
puertos, protocolos y servicios.
Denegación de servicios causado por un
R18 ataque informático a los servidores X X
críticos de la organización.
Acceso no autorizado a información
R19 sensible debido a un ataque informático X X
(MITM) The man in the middle.
Acceso no autorizado a la red
R20 ocasionado por un acceso inalámbrico X X
que carece de factores de autenticación
robustos.
 10

R21 Incidentes de seguridad de la

información ocasionados por errores X X
humanos de los funcionarios.
R22 Ejecución de código malicioso X X
aprovechando un error humano.
Repudio del origen de un incidente
R23 informático causado por la falta de
delegación de responsabilidades y un X X
manual que especifique que realizar si
se materializa un incidente.
Demora en el tratamiento y gestión de
R24 un incidente informático debido a la X X
falta de un equipo de respuesta ante este
tipo de incidentes.
Intrusión de algún personal ajeno o no
R25 autorizado a ingresar en una X X
dependencia debido a la ausencia de
mecanismos de autenticación físicos.
Pérdida o sustracción de las copias de
R26 seguridad o backups causado por un X X
personal no autorizado a ingresar en las
instalaciones.
R27 la ausencia de un programa de backup y X X
gestión de copias de respaldo.
Cambios no autorizados en la
configuración de dispositivos activos de
R28 la red debido a que se realiza la gestión X X
remota desde canales que carecen de
encriptación robusta.
Afectación de la triada (Integridad,
R29 Confidencialidad y Disponibilidad) X X
debido a vulnerabilidades en los
sistemas explotadas por un atacante.
Acceso no autorizado a información
R30 sensible de la organización debido a X X
vulnerabilidades en los navegadores y a
configuraciones poco seguras.
 11

Denegación de servicios de la red

R31 debido a la ausencia de redundancia de X X
los servidores críticos.
Carencia para restaurar un sistema que
R32 debido a la ausencia de un programa X X
backup y gestión de copias de respaldo.
Afectación de la triada (Integridad,
R33 Confidencialidad y Disponibilidad) X X
debido a vulnerabilidades en las redes
de comunicaciones explotadas por un
atacante.

La anterior tabla, muestra la organización de los riesgos tecnológicos que han sido
identificados por medio del análisis del riesgo, su impacto sobre la infraestructura TI y las
vulnerabilidad detectadas. Cada campo se define de la siguiente manera:
• Riesgo / Valoración: Descripción formal del riesgo (Amenaza + Vulnerabilidad).
• Frecuencia: Probabilidad que se materialice el riesgo, sus valores son (A) Alto (M)
Medio (B) Bajo.
• Impacto: magnitud sobre la infraestructura TI, sus valores son (L) Leve, (M)
Moderado, (C) Catastrófico.

Tabla 7. Valoración de Riesgos según una matriz de color

 12

Gráficamente se observa que los riesgos que deben ser tratados cuanto antes son los que están
de color rojo y en la parte más alta de la tabla, en segundo lugar deben tratarse los riesgos de
color amarillo y por último deben ser solucionados los riesgos de color verde, porque tienen
un margen de espera mayor que los de color rojo o amarillo.

Identificación de Controles

Para la identificación de los controles de seguridad informática requeridos en Quipux el área

TI se enfocó en una serie de beneficios para la organización, que abarcan desde la eficacia y
eficiencia en las operaciones de la organización hasta la habilidad adquirida por el hecho de
llevar a cabo más auditorías internas con el control que éstas suponen, lo que supondría una
mejora en las estructuras de control interno de la organización.

Tabla 16. Mapeo de controles de seguridad informática para Quipux

COD
ASPECTO DE R# FAMILIA DESCRIPCIÓN
SEGURIDAD
Cuando no se admite la autenticación de
R1 Sistema múltiples factores, se exigirá que las cuentas
de usuario usen contraseñas largas en el
sistema (más de 14 caracteres).

Exigir a todos los accesos de inicio de sesión

remoto (incluyendo VPN, dial-up, y otras
R2 Red formas de acceso que permiten a los sistemas
internos iniciar sesión), utilizar la
 13

autenticación de dos factores.

Toda la información almacenada en los

sistemas debe estar protegida con el sistema de
ACCESO Y
archivos, recurso compartido de red,
AUTENTICACIÓ
R3 Aplicación aplicación o listas de control de acceso en
N
bases de datos específicas. Estos controles
harán cumplir el principio de que sólo las
personas autorizadas deben tener acceso a la
información en función de su necesidad de
acceder a la información como parte de sus
responsabilidades.

Requerir autenticación de múltiples factores

para todas las cuentas de usuario que tienen
acceso a datos o sistemas sensibles.
R4 Aplicación Autenticación de múltiples factores puede
lograrse mediante tarjetas inteligentes,
certificados, One Time Password (OTP)
fichas, y datos biométricos.

Asegúrese de que todos los nombres de

R5 Aplicación usuario de cuenta y las credenciales de
autenticación se transmiten a través de redes
utilizando canales encriptados.
Reducir al mínimo los privilegios
administrativos y sólo utilizar cuentas
R6 Sistema administrativas cuando sean requeridos.
Implementar auditoría centrada en el uso de
las funciones administrativas privilegiada y
monitor para un comportamiento anómalo.

Configurar los sistemas para emitir una

entrada de registro y alertar cuando se añade
R7 Sistema una cuenta o se elimina de grupo de
administradores de dominio, o cuando se
añade una nueva cuenta de administrador local
en un sistema.
 14

GESTIÓN DE Configurar que la pantalla se bloquee en los

CUENTAS DE R8 Aplicación sistemas para limitar el acceso a las estaciones
USUARIO de trabajo sin vigilancia.

Utilizar y configurar los bloqueos de cuentas

de tal manera que después de un número
R9 Aplicación determinado de intentos de inicio de sesión
fallido, la cuenta se bloquea por un período de
tiempo estándar.
Mantener un inventario de los activos de todos
los sistemas conectados a los dispositivos de
red propios de la red y, grabando al menos las
R10 Sistema direcciones de red, nombre de la máquina, el
propósito de cada sistema, un propietario
responsable de activos para cada dispositivo, y
la sección asociada con cada dispositivo.

Desplegar un log de herramientas analíticas

para la agregación de registro y consolidación
de múltiples máquinas y para la correlación y
análisis de registros. Con la herramienta SIEM,
MONITOREO los administradores de sistemas y personal de
seguridad deben diseñar perfiles de eventos
R11 Sistema comunes de los sistemas propuestos para que
puedan sintonizar la detección de concentrarse
en una actividad inusual, evitar falsos
positivos, identificar más rápidamente
anomalías y prevenir los analistas abrumadoras
con alertas insignificante.

Registrar todas las solicitudes de URL de cada

uno de los sistemas de la organización, ya sea
“in situ” o un dispositivo móvil, con el fin de
R12 Sistema identificar actividades potencialmente
maliciosas y ayudar a los administradores de
incidentes con la identificación de sistemas en
riesgo.
 15

Monitorear todo el tráfico que sale de la

organización y detectar cualquier uso no
autorizado de cifrado. Los atacantes a menudo
R13 Red usan un canal cifrado para los dispositivos de
seguridad de red de derivación. Por lo tanto, es
esencial que las organizaciones sean capaces
de detectar conexiones deshonestas, terminar la
conexión, y remediar el sistema infectado.

Revisar todas las cuentas del sistema y

R14 Aplicación desactivar una cuenta que no se puede asociar
a un proceso de negocio y tampoco al
propietario.
Escanear y bloquear todos los archivos
adjuntos de correo electrónico que entran en la
puerta de enlace de correo electrónico de la
organización, si contienen código o tipos de
archivos maliciosos que son innecesarias para
R15 Sistema el negocio de la organización. Este análisis
debe hacerse antes de que el correo electrónico
se coloque en la bandeja de entrada del
usuario. Esto incluye correo electrónico
filtrado de contenidos y filtrado de contenido
web.

Emplear herramientas automatizadas para

monitorear continuamente las estaciones de
trabajo

dispositivos móviles con anti-virus, anti-

spyware, cortafuegos personales, y la
SEGURIDAD DE R16 Sistema funcionalidad IPS basado en host. Todos los
LA RED eventos de detección de malware se deben
enviar a herramientas de administración de
antimalware de la organizacióny servidores de
registro de eventos.

Garantizar que sólo los puertos, protocolos y

R17 Sistema servicios con las necesidades del negocio
validados se están ejecutando en cada sistema.
 16

Coloque los cortafuegos de aplicación frente a

los servidores críticos para verificar y validar
R18 Sistema el tráfico que va al servidor. Cualquier servicio
o el tráfico no autorizados deben ser
bloqueados y se genera una alerta.

Toda la comunicación de la información

sensible a través de redes de menos confianza
R19 Aplicación debe ser encriptado. Siempre que la
información fluye a través de una red con un
nivel de confianza inferior, la información
debe ser encriptado.

Asegúrese de que todo el tráfico inalámbrico

aprovecha al menos cifrado Advanced
R20 Red Encryption Standard (AES) se utiliza con la
protección Access 2 (WPA2) al menos
protegido Wi-Fi.
Impartir formación para llenar la brecha de
habilidades. Si es posible, utilice el personal de
R21 Aplicación mayor jerarquía para impartir la capacitación.
Una segunda opción es tener maestros que
proporcionan fuera de entrenamiento en el sitio
por lo que los ejemplos utilizados serán
directamente relevantes.

Validar y mejorar los niveles de conciencia a

través de pruebas periódicas para ver si los
empleados que hagan clic en un enlace de
SEGREGACION correo electrónico sospechoso o proporcionen
DE DEBERES R22 Aplicación información sensible en el teléfono sin seguir
los procedimientos apropiados para la
autenticación de la persona que llama;
formación específica se debe proporcionar a
aquellos que son víctimas de este ejercicio.

Velar por la existencia de procedimientos

escritos de respuesta a incidentes que incluyen
R23 Aplicación una definición de las funciones del personal de
manejo de incidentes. Los procedimientos
deben definir las fases del manejo de
incidentes.
 17

Asignar títulos y responsabilidades de trabajo

R24 Aplicación para el manejo de incidentes informáticos y de
red para individuos específicos.
Utilizar la autenticación de múltiples factores
para todo el acceso administrativo, incluyendo
el acceso administrativo de dominio.
R25 Sistema Autenticación de múltiples factores puede
incluir una variedad de técnicas, para incluir el
uso de tarjetas, certificados, One Time

Password (OTP) fichas, datos biométricos, u

otros métodos de autenticación similares
SEGURIDAD inteligentes.
FISICA
Asegúrese de que las copias de seguridad están
debidamente protegidos a través de la
R26 Sistema seguridad física o el cifrado cuando se
almacenan, así como cuando se mueven a
través de la red. Esto incluye copias de
seguridad remotas y servicios en la nube.
Siga estricta gestión de la configuración, la
construcción de una imagen segura que se
utiliza para construir los nuevos sistemas que
se implementan en la empresa. Cualquier
sistema existente que se convierte en peligro
debe volver a crear la imagen con la versión
R27 Sistema segura. Las actualizaciones regulares o
excepciones a esta imagen deben integrarse en
los procesos de gestión del cambio de la
organización. Las imágenes deben ser creadas
para estaciones de trabajo, servidores y otros
tipos de sistemas utilizados por la
organización.

Realizar toda la administración remota de

servidores, estaciones de trabajo, dispositivos
CONFIGURAR de red y equipos similares a través de canales
ESTACIONES R28 Sistema seguros. Los protocolos como telnet, VNC,
DE RDP, u otras personas que no soportan de
TRABAJO Y forma activa el cifrado fuerte sólo deben
usarse si se realizan sobre un canal de
 18

SERVIDORES encriptación secundaria, como SSL, TLS o

IPSEC.

Implementar herramientas de gestión

automática de parches y herramientas de
actualización de software para el sistema
R29 Sistema operativo y software / aplicaciones en todos
los sistemas para los que este tipo de
herramientas están disponibles y segura. Los
parches deben ser aplicados a todos los
sistemas, incluso los sistemas que son una
separación correcta de aire.

Implementar dos configuraciones del

navegador por separado a cada sistema. Una
configuración debe deshabilitar el uso de todos
los plugins, los lenguajes de script
innecesarios, y generalmente se configura con
R30 Sistema funcionalidad limitada y ser utilizado para la
navegación web en general. La otra
configuración deberá permitir una mayor
funcionalidad del navegador, pero sólo debe
ser utilizado para acceder a sitios web
específicos que requieren el uso de dicha
funcionalidad.

Operar los servicios críticos en las máquinas

R31 Sistema host físicos o lógicos separados, tales como
DNS, archivos, correo, web y servidores de
bases de datos.

Asegúrese de que cada sistema copia

automáticamente por lo menos una vez por
semana, y con más frecuencia para sistemas de
almacenamiento de información sensible. Para
R32 Sistema ayudar a asegurar la capacidad de restaurar
rápidamente un sistema de copia de seguridad,
el sistema operativo, software de
 19

aplicaciones y datos en un equipo debe ser

cada uno se incluirán en el procedimiento de
copia de seguridad en general.

Para todo el software de aplicación adquirida,

compruebe que la versión que está utilizando
R33 Aplicación todavía es apoyada por el vendedor. Si no es
así, actualizar a la versión más actual e instalar
todos los parches de seguridad y las
recomendaciones pertinentes vendedor.

La anterior tabla, muestra la clasificación de los controles de seguridad informática que han
sido identificados por medio del análisis del riesgo, su impacto sobre la infraestructura TI y
las vulnerabilidad detectadas. Cada campo se define de la siguiente manera:

• Aspecto de seguridad: Clasificación del control acorde con un aspecto de seguridad de

la información en concreto.
o Acceso y autenticación
o Administración de cuentas de usuario
o Seguridad de la red.
o Monitoreo
o Segregación de Deberes.
o Seguridad Física.
o Configuración de estaciones de trabajo y Servidores.

• Código R#: Identificación asociada a un riesgo en particular por medio de su Id.

• Familia: A la cual pertenece el control (Sistema – Aplicación – Red).
• Descripción: El listado de controles cuenta con la descripción de cada control en la
tabla. Adicionalmente, es posible utilizarlo para la generación de la declaración de
aplicabilidad, donde cada uno de los controles es justificado tanto si se implementa como si
se excluye de ser implementado.

Se seleccionaron los controles críticos para infraestructura TI que mitigan o reducen el

impacto de un riesgo sobre la información sensible de la organización. Los controles
seleccionados deben ser implementados paulatinamente sobre la red de datos de Quipux para
la mejora de la empresa.
 20

CONCLUSIONES

Se establece un análisis riguroso del riesgo, al que se encuentra expuesta la organización y se

establece la implementación de controles de acuerdo a las necesidades de seguridad que
presenta la organización y basados en cada dominio de control encontrado en la Norma ISO
27001 y sus medidas de control y de mejora continua.
 21

REFERENCIAS BIBLIOGRÁFICAS

http://www.quipux.com/informacion-corporativa.html