Escolar Documentos
Profissional Documentos
Cultura Documentos
DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN APLICADA
A ENTIDADES BANCARIAS
UNIVERSIDAD DISTRTAL FRANCISCO JOSE DE
CALDAS
FACULTAD TECNOLOGICA
2017
1
MODELO DE UN SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A
ENTIDADES BANCARIAS
2
MODELO DE UN SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A
ENTIDADES BANCARIAS
TUTOR:
JOSE VICENTE REYES
Ingeniero en Sistemas
3
Nota de aceptación
Tutor
Jurado
4
TABLA DE CONTENIDO
AGRADECIMIENTOS ..................................................................................... 12
RESUMEN ...................................................................................................... 13
ABSTRACT ..................................................................................................... 14
INTRODUCCIÓN ............................................................................................ 15
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ................... 18
1.1. TITULO .............................................................................................. 18
1.2. PLANTEAMIENTO DEL PROBLEMA ................................................ 18
1.3. OBJETIVOS....................................................................................... 19
1.3.1. Objetivo General ......................................................................... 19
1.3.2. Objetivo Específicos .................................................................... 19
1.4. SOLUCIÓN TECNOLÓGICA ............................................................. 19
1.5. MARCO DE REFERENCIA ............................................................... 20
1.5.1. Marco teórico .............................................................................. 20
1.5.2. Antecedentes .............................................................................. 21
Norma ISO/IEC 27005 ............................................................................. 22
1.5.3. Marco Metodológico .................................................................... 29
1.6. CRONOGRAMA ................................................................................ 30
1.7. FACTIBILIDAD ECONÓMICA ........................................................... 31
1.7.1. Factibilidad Económica: Factor Humano ..................................... 31
1.7.2. Factibilidad Económica: Factor Técnico ...................................... 31
1.7.3. Total Factibilidad Económica ...................................................... 31
2. Situación De La Red Actual ..................................................................... 33
2.1. CASO ESTUDIO ................................................................................ 33
2.2. INFORMACIÓN TÉCNICA................................................................. 34
2.2.1. Plataforma Tecnológica ............................................................... 34
2.2.2. Caracterización de la infraestructura ........................................... 35
2.2.3. Caracterización Infraestructura Actual ........................................ 35
3. Etapa De Planificación ............................................................................. 37
5
3.1. MATRIZ DOFA .................................................................................. 37
3.1.1. Matriz Dofa .................................................................................. 37
3.2. DECLARACIÓN DE APLICABILIDAD ............................................... 38
3.3. ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO .................... 39
4. Análisis De Riesgos ................................................................................. 41
4.1. METODOLOGÍA A USAR .................................................................. 42
4.1.1. Análisis de focus group para el análisis de riesgos. .................... 42
4.1.2. Tipos De Activos ......................................................................... 43
4.1.3. Codificación O Etiquetación De Los Activos ............................... 43
4.1.4. Caracterización de Activos .......................................................... 43
4.1.5. Criterios De Valoración De Activos ............................................ 47
4.1.6. Criterios de Valoración de Activos II............................................ 48
4.1.7. Caracterización de amenazas ..................................................... 49
4.1.8. Relación entre Impacto, Probabilidad y Riesgo ........................... 50
4.1.9. Matriz de Riesgo ......................................................................... 50
4.1.10. Tipos De Impacto Y Riesgo (Amenazas) ................................. 51
4.1.11. Modelo Descripción Amenaza ................................................. 51
4.1.12. Criterios De Valoración Del Riesgo .......................................... 51
4.1.13. Criterios De Valoración De Impacto ......................................... 51
4.1.14. Criterios de Valoración de Impacto .......................................... 51
4.1.15. Criterios de Valoración del Riesgo ........................................... 52
4.1.16. Criterios De Valoración De Probabilidad Del Riesgo ............... 52
4.1.17. Criterios de Valoración Probabilidad de Riesgo ....................... 52
4.1.18. Criterios De Valoración De Vulnerabilidades ........................... 52
4.1.19. Criterios De Calificación Del Control ........................................ 52
4.1.20. Criterios de Calificación del Control ......................................... 53
5. Políticas Y Controles De Seguridad ......................................................... 54
5.1. CONTROLES O SALVAGUARDAS................................................... 55
5.1.1. Selección de las salvaguardas .................................................... 55
5.1.2. ........................................................................................................ 56
5.1.3. Caracterización De Las Salvaguardas ........................................ 56
6
5.2. POLÍTICAS DE SEGURIDAD ............................................................ 58
6. CONCLUSIONES .................................................................................... 60
7. RECOMENDACIONES ............................................................................ 61
8. Anexos ..................................................................................................... 63
8.1. Valoración De Activos ........................................................................ 63
8.2. Identificación De Amenazas Por Tipo De Activo ................................ 67
8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) ............ 71
8.2.2. Amenaza – AMZ002 (Accidente Importante) .............................. 71
8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) ...................... 71
8.2.4. Amenaza – AMZ004 (Código mal Intencionado) ......................... 72
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) .............. 72
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) .......................... 72
8.2.7. Amenaza – AMZ007 (Daño por Agua) ........................................ 73
8.2.8. Amenaza – AMZ008 (Daño por Fuego) ...................................... 73
8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) . 73
8.2.10. Amenaza – AMZ0010 (Error en el Uso) ................................... 73
8.2.11. Amenaza – AMZ011 (Error en el Sistema) .............................. 74
8.2.12. Amenaza – AMZ0012 (Falla del Equipo) ................................. 74
8.2.13. Amenaza – AMZ013 (Hurto de Información)............................ 74
8.2.14. Amenaza – AMZ014 (Hurto de Equipo) ................................... 75
8.2.15. Amenaza – AMZ015 (Impulsos Electromagnéticos) ................ 75
8.2.16. Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del
Personal) 75
8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del
Sistema de Información) .......................................................................... 76
8.2.18. Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)... 76
8.2.19. Amenaza – AMZ019 (Accesos Forzados al Sistema) .............. 76
8.2.20. Amenaza – AMZ020 (Mal Funcionamiento del Equipo) ........... 77
8.2.21. Amenaza – AMZ021 (Mal Funcionamiento del Software) ........ 77
8.2.22. Amenaza – AMZ022 (Manipulación con Hardware) ................. 77
8.2.23. Amenaza – AMZ023 (Manipulación con Software) .................. 77
8.2.24. Amenaza – AMZ024 (Manipulación del Sistema) .................... 78
7
8.2.25. Amenaza – AMZ025 (Perdida de Suministro de Energía) ....... 78
8.2.26. Amenaza – AMZ026 (Perdida de Suministro de Energía) ....... 78
8.2.27. Amenaza – AMZ027 (Perdida de Suministro de Energía) ....... 79
8.2.28. Amenaza – AMZ028 (Recuperación de Medios Reciclados o
Desechados)............................................................................................ 79
8.2.29. Amenaza – AMZ029 (Saturación del Sistema de Información) 79
8.2.30. Amenaza – AMZ030 (Suplantación de Identidad).................... 79
8.2.31. Amenaza – AMZ031 (Uso de Software Falso o Copiado) ....... 80
8.2.32. Amenaza – AMZ032 (Uso no Autorizado del Equipo) .............. 80
8.2.33. Amenaza – AMZ033 (Contaminación Electromagnética) ........ 80
8.2.34. Amenaza – AMZ034 (Errores del Administrador) .................... 81
8.2.35. Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.36. Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.37. Amenaza – AMZ035 (Errores de Monitorización (Log)) ........... 82
8.2.38. Amenaza – AMZ035 (Errores de Configuración) ..................... 82
8.2.39. Amenaza – AMZ035 (Divulgación de Información) .................. 82
8.3. Identificación De Vulnerabilidades Por Activo .................................... 84
8.4. Identificación De Vulnerabilidades ..................................................... 93
8.5. Focus gruop ....................................................................................... 96
9. Referencias............................................................................................ 100
Lista de Tablas
8
Tabla 2: Factibilidad Económica: Factor Técnico............................................ 31
Tabla 3: Total Factibilidad Económica ............................................................ 31
Tabla 4: Caracterización Infraestructura Actual ............................................ 35
Tabla 5: Matriz DOFA ..................................................................................... 37
Tabla 6: Etiquetación Tipo de Activo ............................................................... 43
Tabla 7: Dimensiones de Valoración .............................................................. 48
Tabla 8: Criterios de Valoración de Activos .................................................... 48
Tabla 9: Criterios de Valoración de Activos II ................................................. 48
Tabla 10: Modelo Descripción Amenaza ........................................................ 51
Tabla 11: Criterios de Valoración Probabilidad de Riesgo .............................. 52
Tabla 12: Criterios de Valoración de Impacto ................................................. 51
Tabla 13: Criterios de Valoración del Riesgo .................................................. 52
Tabla 14: Criterios de Calificación del Control ................................................ 53
Tabla 15: Etiquetado de Activos ..................................................................... 46
Tabla 16: Riesgos Ineherentes ....................................................................... 50
Tabla 17: Riesgos Residuales ........................................................................ 50
Tabla 18: Valoración de Activos...................................................................... 63
Tabla 19: Identificación de Amenazas por tipo de Activo ................................ 67
Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)................ 71
Tabla 21: Amenaza – AMZ002 (Accidente Importante) .................................. 71
Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema) .......................... 71
Tabla 23: Amenaza – AMZ004 (Código mal Intencionado) ............................ 72
Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software) .................. 72
Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos) .............................. 72
Tabla 26: Amenaza – AMZ007 (Daño por Agua) ............................................ 73
Tabla 27: Amenaza – AMZ008 (Daño por Fuego) .......................................... 73
Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) ..... 73
Tabla 29: Amenaza – AMZ0010 (Error en el Uso) .......................................... 73
Tabla 30: Amenaza – AMZ011 (Error en el Sistema) ..................................... 74
Tabla 31: Amenaza – AMZ0012 (Falla del Equipo) ........................................ 74
Tabla 32: Amenaza – AMZ013 (Hurto de Información)................................... 74
Tabla 33: Amenaza – AMZ014 (Hurto de Equipo ........................................... 75
Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos) ....................... 75
Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del
Personal) ........................................................................................................ 75
Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del
Sistema de Información) ................................................................................. 76
Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) .......... 76
Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema) ..................... 76
Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo) .................. 77
Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software) ............... 77
9
Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware) ........................ 77
Tabla 42: Amenaza – AMZ023 (Manipulación con Software) ......................... 77
Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema) ........................... 78
Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía) .............. 78
Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía) .............. 78
Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía) .............. 79
Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o
Desechados) ................................................................................................... 79
Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información) ....... 79
Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad) ........................... 79
Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)............... 80
Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo) ..................... 80
Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)................ 80
Tabla 53: Amenaza – AMZ034 (Errores del Administrador) ........................... 81
Tabla 54: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81
Tabla 55: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81
Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log)) .................. 82
Tabla 57: Amenaza – AMZ035 (Errores de Configuración) ............................ 82
Tabla 58: Amenaza – AMZ035 (Divulgación de Información) ......................... 82
Tabla 59: Identificación de Vulnerabilidades por activo .................................. 84
Tabla 60: Identificación de Vulnerabilidades ................................................... 93
10
Lista de Figuras
11
AGRADECIMIENTOS
12
RESUMEN
13
ABSTRACT
At present, many companies that are or wish to enter the financial sphere have
problems to safeguard the security of the information, in consequence it
generates vulnerabilities and threats of the assets of the organization.
The globalization and liberation of the financial sector, together with the growing
sophistication of financial technology, and deliberate access to information, are
making the activities of financial institutions increasingly diverse and complex in
terms of security.
The purpose of this work was to design the information management system
(ISMS), based on the ISO27001 standard.
This paper describes how to create a security plan for a financial institution, start
with defining its organizational structure, evaluate each of its assets, then go on
to define the threats and risks that can be generated, to finally conclude With
previously defined policies in order to mitigate risks that may arise within a
financial institution.
14
INTRODUCCIÓN
Hoy en día la información está definida como uno de los activos más valiosos
de cualquier organización debido a su valor, dicha información toma
importancia solo cuando se utiliza de una forma adecuada y además se
encuentra disponible en cualquier momento, para esto se debe utilizar de una
manera íntegra, oportuna, responsable y segura, lo cual implica que las
organizaciones sin importar el área o su actividad económica, deben tener una
adecuada gestión de sus recursos y activos de información con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la información.
Para la protección de la información, se deben generar gran cantidad de
medidas que me permitan mitigar el mínimo riesgo posible y así no generar
ninguna alteración dentro de la organización, Al no tener las medidas
adecuadas, las compañías se arriesgan a asumir la perdida de la información
y poner en riesgo el futuro de la empresa, es importante que los ordenadores
donde está almacenada gran parte de la información confidencial de una
empresa o de cualquier otro particular, estén protegidos de cualquier amenaza
externa y del entorno más próximo para prevenir o evitar robos, accesos no
deseados o pérdidas importantes.
Las vulnerabilidades en los sistemas de información pueden representar
problemas graves, por ello es muy importante comprender los conceptos
necesarios para combatir los posibles ataques a la información, teniendo en
cuenta que en la actualidad la información es un activo de gran valor para las
empresas. Por esto y otros motivos, es necesario contar con un plan de
seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda
poner en riesgo la continuidad de un negocio.
Los riesgos dentro de un negocio a los cuales se enfrenta las organizaciones
son permanentes y difíciles de anticipar, es por esta razón que la información
se convierte una herramienta estratégica de las organizaciones en la protección
de su activo de mayor valor. Para las entidades financieras, el conocimiento es
uno de los activos de mayor incidencia en todos sus procesos innovadores, por
lo tanto, proteger su información ante cualquier riesgo y garantizar su
competencia en el mercado hace que un sistema de gestión de seguridad de la
información sea de gran importancia
15
Para la protección y seguridad de la información se deben tomar todas aquellas
medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que me permitan resguardar y proteger la información, buscando
de esta manera mantener la confidencialidad, la disponibilidad e integridad de
la misma. Las entidades del sector financiero, están en la obligación de
garantizar la debida seguridad, protección y privacidad de la información
financiera y personal de los usuarios que residen en sus bases de datos, lo que
implica, que deben contar con los más altos estándares y niveles de seguridad
con el propósito de asegurar la debida recolección, almacenamiento,
tratamiento y uso de esta información. La seguridad en los datos es una latente
del día a día en las organizaciones financieras debido a los diferentes cambios
que se realizan por parte de leyes y las regulaciones, como se cita en el
siguiente párrafo del centro criptológico nacional “La importancia de la
gestión de riesgos operativos y de seguridad se ha incrementado debido
a diversos factores, entre los que se destacan el aumento de los requisitos
por parte de leyes y regulaciones, el crecimiento de los riesgos en
seguridad por parte de los empleados y el número cada vez mayor de
brechas en la seguridad de los datos.1” Esto conlleva a que las empresas
estén activos para que no se genere ningún riesgo de información dentro de la
compañía.
Otra de las preocupaciones permanentes de las entidades financieras, es la
de poder garantizar la seguridad de las operaciones que realizan sus clientes,
lo cual, cada día es más complejo de conseguir debido a la evolución de las
tecnologías y la apertura de nuevos canales de transacciones que generan
retos significativos con el propósito de prevenir los fraudes en general.
El presente trabajo de grado modela un Sistema de Gestión de Seguridad de
la Información para una entidades financiera, teniendo en cuenta para esto el
marco de referencia de la norma ISO/IEC27001.Proporciona un marco
metodológico basado en buenas prácticas para llevar a cabo el modelo de
Gestión de Seguridad de la Información en cualquier tipo de organización
1
https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-del-
sector-bancario.html
16
CAPITULO 1
FASE DE DEFINICIÓN,
PLANEACIÓN Y
ORGANIZACIÓN
17
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
1.1. TITULO
Diseño del Modelo de un SGSI (Sistema de gestión de la seguridad de la
información) aplicada a Entidades Bancarias.
1.2. PLANTEAMIENTO DEL PROBLEMA
Para evitar situaciones como la falta de un adecuado modelo de Seguridad de
la Información, la no existencia de un sistema de información que apoye la
gestión de riesgos de seguridad y la poca concientización, apropiación y
conocimiento en temas de seguridad por parte del personal de la entidad; se
debe implementar y fortalecer la Seguridad de la Información en una entidad.
En la actualidad la mayoría de entidades bancarias como Compensar en su
línea de servicios financieros no cuentan con un modelo adecuado de SGSI
(Sistema de Gestión de Seguridad de la información) que permita gestionar los
riesgos de seguridad, por este motivo no se puede llevar un control para
establecer y visualizar el estado global y transversal de la organización.
Adicionalmente las entidades financieras no cuentan con métodos eficaces que
permitan controlar y monitorear la información por lo que no se pueden prevenir
los riesgos ni las amenazas, ni establecer las vulnerabilidades que pueden
afectar la prestación del servicio y la ejecución de las actividades diarias.
Debido a que existen varios riesgos (los cuales se describirán en el desarrollo
del proyecto) que amenazan la privacidad de la información, se deben
establecer controles para mitigar y/o evitar estos riesgos, en vista de que estas
entidades no cumplen y no han establecido los controles pertinentes, se puede
ver afectada la integridad, confiabilidad y disponibilidad de la información.
Además, esta información puede caer en manos inescrupulosas que puedan
utilizar estos datos para realizar fraudes, sabotaje, suplantación, entre otros;
los cuales pueden afectar la integridad de las personas y de la organización.
En las entidades bancarias la dirección de tecnología realiza algunas funciones
propias de seguridad de la información, pero no realizan las mejores prácticas
definidas en modelos y estándares de seguridad. Por lo tanto, es indispensable
segregar las funciones de seguridad de la información y seguridad informática
con el propósito de evitar que coexistan funciones que requieren diferentes
niveles de seguridad.
18
1.3. OBJETIVOS
1.3.1. Objetivo General
Diseñar un modelo de SGSI para entidades bancarias a través de una
metodología y basados en la norma ISO/IEC27001 estableciendo los
mecanismos necesarios y los controles requeridos para mitigar riesgos.
1.3.2. Objetivo Específicos
Analizar la situación actual de seguridad de la información en las
entidades bancarias para el caso estudio definido.
Establecer los controles a aplicar con el fin de evitar que los elementos
vulnerables identificados durante el análisis realizado, pongan en riesgo
la seguridad de la información o de los activos.
19
1.5. MARCO DE REFERENCIA
1.5.1. Marco teórico
La seguridad de la información se debe tener como prioridad en todas las
entidades y se le debe prestar la atención suficiente, ya que de ello depende la
integridad, disponibilidad y la confidencialidad de la información. Para la
realización del proyecto se tomará como referencia proyectos destacados de la
Escuela Superior Politécnica del Litoral ESPOL de Ecuador, que abordan temas
similares al que se contemplara en este documento. A continuación, se
presenta una breve reseña de los SGSI de apoyo:
Como proyecto de apoyo se tendrá en cuenta el proyecto: “el modelo de un
Sistema de Gestión de Seguridad de la Información usando la norma ISO
27000 para las organizaciones bancarias aplicando los dominios de control ISO
27002:2055 y utilizando la metodología Magerit”, este documento contiene la
información técnica de la revisión de las seguridades en temas transaccionales
con el fin de encontrar las vulnerabilidades y amenazas para poder
minimizarlas, aplicando los controles de la norma 27000 en los diferentes
dominios.
Las organizaciones están expuestas cada vez más a una infinidad de
amenazas que pueden llegar a poner riesgo el correcto funcionamiento de las
mismas, debido a este fenómeno que se viene presentando cada día con mayor
fuerza es necesario que cada una realice una autoevaluación con el fin de
determinar vulnerabilidades y definir estrategias y controles que permitan
garantizar la protección de la información.
20
más frecuentes y sofisticados, recordemos que un ataque no solamente puede
llegar a ser por transmitido por software sino que también puede involucrar el
hardware de la organización, motivo por el cual las entidades deben además
de asegurar la información, realizar capacitaciones y sensibilizaciones que
comprometan al personal de las mismas con el cumplimiento de las políticas
que se determinen, como también mantener una comunicación constante con
el cliente de tal manera que este también haga parte de este proceso tan
importante para ambos.
1.5.2. Antecedentes
2
SGSI. http://www.iso27000.es/sgsi.html. 2015
21
Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
En base al conocimiento del ciclo de vida de cada información relevante se
debe adoptar el uso de un proceso sistemático, documentado y conocido por
toda la organización, desde un enfoque de riesgo empresarial. Este proceso es
el que constituye un SGSI.
ISO/IEC 27001:20054
Este estándar internacional ha sido preparado para proporcionar un modelo
para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar
un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de
un SGSI debe ser una decisión estratégica para una organización. El diseño e
implementación del SGSI de una organización es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos empleados
y el tamaño y estructura de la organización. En función del tamaño y
necesidades se implementa un SGSI con medidas de seguridad más o menos
estrictas, que en cualquier caso pueden variar a lo largo del tiempo.
Norma ISO/IEC 27005
Gestión de riesgos de la Seguridad de la Información
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos
de seguridad de información. La norma suministra las directrices para la gestión
de riesgos de seguridad de la información en una empresa, apoyando
particularmente los requisitos del sistema de gestión de seguridad de la
información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención
de gestionar los riesgos que puedan complicar la seguridad de la información
de su organización. No recomienda una metodología concreta, dependerá de
3
http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/. 2015
4
INTERNATIONAL ORGANIZATION FOR STANDARIZATION ISO/IEC 27000. www.iso27000.es
2015
22
una serie de factores, como el alcance real del Sistema de Gestión de
Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones
Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO
/ IEC TR 13335-4:2000.
Las secciones de contenido son:
Prefacio.
Introducción.
Referencias normativas.
Términos y definiciones.
Estructura.
Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información.
Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión.
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
Enfoques ISRA.
23
Identificación de los activos y facilidades que pueden ser afectados por
amenazas y vulnerabilidades.
Análisis de los activos del sistema y las vulnerabilidades para establecer
un estimado de pérdida esperada en caso de que ocurran ciertos
eventos y las probabilidades estimadas de la ocurrencia de estos. El
propósito de una evaluación del riesgo es determinar si las
contramedidas son adecuadas para reducir la probabilidad de la pérdida
o el impacto de la pérdida a un nivel aceptable.
ISO/IEC 27002:2005
Describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información con 11 dominios, mencionados en el anexo A de la
ISO 27001, 39 objetivos de control y 133 controles.
Los dominios a tratar son los siguientes:
Políticas de Seguridad: Busca establecer reglas para proporcionar la dirección
gerencial y el soporte para la seguridad de la información. Es la base del SGSI.
24
Organización de la seguridad de la información: Busca administrar la
seguridad dentro de la compañía, así como mantener la seguridad de la
infraestructura de procesamiento de la información y de los activos que son
accedidos por terceros.
Gestión de activos: Busca proteger los activos de información, controlando el
acceso solo a las personas que tienen permiso de acceder a los mismos. Trata
que cuenten con un nivel adecuado de seguridad.
Seguridad de los recursos humanos: Orientado a reducir el error humano, ya
que en temas de seguridad, el usuario es considerado como el eslabón más
vulnerable y por el cual se dan los principales casos relacionados con seguridad
de la información. Busca capacitar al personal para que puedan seguir la
política de seguridad definida, y reducir al mínimo el daño por incidentes y mal
funcionamiento de la seguridad.
Seguridad física y ambiental: Trata principalmente de prevenir el acceso no
autorizado a las instalaciones para prevenir daños o pérdidas de activos o hurto
de información.
Gestión de comunicaciones y operaciones: Esta sección busca asegurar la
operación correcta de los equipos, así como la seguridad cuando la información
se transfiere a través de las redes, previniendo la pérdida, modificación o el uso
erróneo de la información.
Control de accesos: El objetivo de esta sección es básicamente controlar el
acceso a la información, así como el acceso no autorizado a los sistemas de
información y computadoras. De igual forma, detecta actividades no
autorizadas.
Sistemas de información, adquisición, desarrollo y mantenimiento:
Básicamente busca garantizar la seguridad de los sistemas operativos,
garantizar que los proyectos de TI y el soporte se den de manera segura y
mantener la seguridad de las aplicaciones y la información que se maneja en
ellas.
Gestión de incidentes de seguridad de la información: Tiene que ver con todo
lo relativo a incidentes de seguridad. Busca que se disponga de una
metodología de administración de incidentes, que es básicamente definir de
forma clara pasos, acciones, responsabilidades, funciones y medidas
correctas.
Gestión de continuidad del negocio: Lo que considera este control es que la
seguridad de la información se encuentre incluida en la administración de la
25
continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las
actividades y proteger los procesos críticos como consecuencias de fallas o
desastres.
Cumplimiento: Busca que las empresa cumpla estrictamente con las bases
legales del país, evitando cualquier incumplimiento de alguna ley civil o penal,
alguna obligación reguladora o requerimiento de seguridad. A su vez, asegura
la conformidad de los sistemas con políticas de seguridad y estándares de la
organización.
COBIT5: Es un framework (también llamado marco de trabajo) de Gobierno de
TI y un conjunto de herramientas de soporte para el gobierno de TI que les
permite a los gerentes cubrir la brecha entre los requerimientos de control, los
aspectos técnicos y riesgos de negocio. Describe como los procesos de TI
entregan la información que el negocio necesita para lograr sus objetivos. Para
controlar la entrega, COBIT provee tres componentes claves, cada uno
formando una dimensión del cubo COBIT.
Como un framework de gobierno y control de TI, COBIT se enfoca en dos áreas
claves:
Proveer la información requerida para soportar los objetivos y requerimientos
del negocio.
Tratamiento de información como resultado de la aplicación combinada de
recursos de TI que necesita ser administrada por los procesos de TI.
Tiene 34 procesos de alto nivel clasificados en cuatro dominios: Planear y
Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y, Monitorear y
Evaluar.
COBIT a su vez, tiene 7 criterios de información, agrupados en 3 requerimientos
(calidad, fiduciarios y seguridad) con los que clasifica a cada uno de los 34
procesos de TI, según el enfoque que tenga el proceso. Estos criterios son:
Efectividad: Se refiere a la información cuando es entregada de manera
correcta, oportuna, consistente y usable.
Eficiencia: Se refiere a la provisión de información a través de la utilización
óptima de los recursos.
5
IT GOVERNANCE INSTITUTE. Cobit4.1.pdf. [en línea] http://
http://www.isaca.org/cobit/pages/default.aspx
26
Confidencialidad: Se refiere a la protección de la información sensible de su
revelación no autorizada. Tiene que ver que con la información enviada a una
persona debe ser vista solo por esa persona y no por terceros.
Integridad: Se refiere a que la información no haya sufrido cambios no
autorizados.
Disponibilidad: Se refiere a que la información debe estar disponible para
aquellas personas que deban acceder a ella, cuando sea requerida.
Cumplimiento: Se refiere a cumplir con las leyes, regulaciones y acuerdos
contractuales a los que la compañía se encuentra ligada.
Confiabilidad: Se refiere a la provisión de la información apropiada a la alta
gerencia que apoyen a la toma de decisiones.
CICLO DEMING6
El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer,
Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como
Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su
autor. Esta metodología describe los cuatro pasos esenciales que se deben
llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo
como tal al mejoramiento continuado de la calidad (disminución de fallos,
aumento de la eficacia y eficiencia, solución de problemas, previsión y
eliminación de riesgos potenciales…). El círculo de Deming lo componen 4
etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de
esta metodología está enfocada principalmente para para ser usada en
empresas y organizaciones.
Las cuatro etapas que componen el ciclo son las siguientes:
6
Ciclo Deming. http://www.pdcahome.com/5202/ciclo-pdca/. 2015
27
2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta.
Generalmente conviene hacer una prueba piloto para probar el funcionamiento
antes de realizar los cambios a gran escala.
3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un
periodo de prueba para verificar su correcto funcionamiento. Si la mejora no
cumple las expectativas iniciales habrá que modificarla para ajustarla a los
objetivos esperados. (Ver Herramientas de Control).
4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben
estudiar los resultados y compararlos con el funcionamiento de las actividades
antes de haber sido implantada la mejora. Si los resultados son satisfactorios
se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si
realizar cambios para ajustar los resultados o si desecharla. Una vez terminado
el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas
mejoras a implantar.
MAGERIT7
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el
Consejo Superior de Administración Electrónica, como respuesta a la
percepción de que la Administración, y, en general, toda la sociedad, dependen
de forma creciente de las tecnologías de la información para el cumplimiento
de su misión.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para
la empresa la violación de la seguridad, buscando identificar las amenazas que
pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser
utilizadas por estas amenazas, logrando así tener una identificación clara de
las medidas preventivas y correctivas más apropiadas.
Lo interesante de esta metodología, es que presenta una guía completa y paso
a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está
dividida en tres libros. El primero de ellos hace referencia al Método, donde se
describe la estructura que debe tener el modelo de gestión de riesgos. Este
libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
Esta metodología es muy útil para aquellas empresas que inicien con la gestión
de la seguridad de la información, pues permite enfocar los esfuerzos en los
riesgos que pueden resultar más críticos para una empresa, es decir aquellos
relacionados con los sistemas de información. Lo interesante es que al estar
7
Magerit http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-
gestionar-riesgos/
28
alineado con los estándares de ISO es que su modelo se convierte en el punto
de partida para una certificación o para mejorar los sistemas de gestión.
29
1.6. CRONOGRAMA
Figura 1: Cronograma
30
1.7. FACTIBILIDAD ECONÓMICA
31
CAPITULO 2
ANÁLISIS CASO ESTUDIO
32
2. SITUACIÓN DE LA RED ACTUAL
33
información y recursos, haciendo inviable la continuidad de nuestro negocio si
no estamos preparados para afrontarlos. Por otra parte, se encuentran los
riesgos lógicos relacionados con la propia tecnología y, que como hemos dicho,
aumentan día a día. Hackers, robos de identidad, spam, virus, robos de
información y espionaje industrial, por nombrar algunos, pueden acabar con la
confianza de nuestros clientes y nuestra imagen en el mercado.
A continuación se verá información técnica con lo que debe contar una empresa
del sector financiero
34
2.2.2. Caracterización de la infraestructura
Las empresas del sector financiero deben contar con varios servidores ya que
por temas de seguridad deben tener un respaldo en la información debido a que
maneja mucha información, y el procesamiento de ella es de manera privada ya
que la gran mayoría proviene de terceros.
2.2.3. Caracterización Infraestructura Actual
Tabla 4: Caracterización Infraestructura Actual
Servidores Cantidad
Base de Datos 3
Aplicaciones 2
Almacenamiento 2
TOTAL 7
Fuente: Autores “la cantidad tomada se hace con referencia a una empresa con los mínimos requeridos
para el desarrollo de la empresa”
35
CAPITULO 3
ETAPA DE PLANIFICACIÓN
36
3. ETAPA DE PLANIFICACIÓN
37
Certificación ISO 27001 Asesoramiento profesional Aprovechar la mejora de la
Momento estratégico de para cumplir los requisitos seguridad de la información
Seguridad para la certificación ISO para aumentar la confianza en
Aumentar la confianza de la 27001 la organización por medio de
organización Fomentar la seguridad en una campaña publicitaria
Definición de políticas de los procedimientos de la Fortalecer los procesos del
Seguridad de Información, organización por medio de negocio para aumentar la
estableciendo controles y dinámicas calidad del producto ayudados
normas para el manejo de Capacitar a los empleados de una gestión fuerte de PQR
seguridad. en cuanto a la metodología
Definir procedimientos y Magerit
políticas para el ciclo de vida
de la información.
Fuente: Autores
38
Sistemas
Desarrollo
Infraestructura
Pruebas
Sector Financiero
Directiva
DBA
Redes
39
40
CAPITULO 4
ANÁLISIS DE RIESGO
41
4. ANÁLISIS DE RIESGOS
42
4.1.2. Tipos De Activos
Información Inf - ##
Software Sw - ##
Hardware Hw - ##
Servicios Serv - ##
Infraestructura Infra - ##
Personas Per - ##
Fuente: Autores
4.1.4.1.1. Datos/Información
43
Los Datos e información que se deben tener en cuenta son:
Base de Datos
Archivos de Datos
Manuales de Usuario
Documentación del Sistema
Contratos
Formatos
Hojas de Vida
Libranzas
Documentos Internos
Entregables (CD/DVD)
Material Físico (Impreso)
Información en Carpetas compartidas en Red
Información Disco Portables
Información Memorias USB
Servidores
Computadores de Escritorio
Tablets
celulares
Portátiles
Dispositivos Móviles
Impresoras
Equipos Multifuncional
Routers
Teléfonos
Modems
Memoria USB
44
CD/DVD
Discos Portables
Cámaras de Seguridad
Lector Huella Dactilar
4.1.4.1.4. Servicios
Capacitaciones
Telefonía
Internet
Red Inalámbrica
Almacenamiento de Información
Fluido Eléctrico
4.1.4.1.5. Infraestructura
Planta de la Organización
Canalización de red Eléctrica
Canalización de red Datos
Instalación de red de Datos
Instalación de red de Eléctrica
4.1.4.1.6. Personas
Usuarios Internos
Usuarios Externos
Analista
Profesionales
Líder
coordinadores
administrativos
Funcionales
Desarrolladores
Clientes
Personal operativo
Proveedores
45
4.1.4.3. Etiquetado de Activos
Tabla 7: Etiquetado de Activos
Código
Tipo de Nombre Activo
Activo
Activo
Información Base de Datos Inf-01
Archivos de Datos Inf-02
Manuales de Usuario Inf-03
Documentación del sistema Inf-04
Contratos Inf-05
Formatos (libranzas, pólizas ) Inf-06
Hojas de Vida Inf-07
Documentos internos Inf-08
Entregables (CD/DVD) Inf-09
Material Físico (Impreso) Inf-10
Información en carpetas compartidas en red Inf-11
Información Disco Portables Inf-12
Información memorias USB Inf-13
Software Desarrollos a medida y/o propios de la Sw-01
organización
Sistemas Operativos Sw-02
Antivirus Sw-03
Servidores Aplicaciones/ Contenedores Sw-04
Navegadores Sw-05
Office Sw-06
Motor de Base de Datos Sw-07
Licencias Sw-08
Aplicativos Finanzas Sw-09
Hardware Servidores Hw-01
Computadores de escritorio Hw-02
Portátiles Hw-03
Dispositivos móviles Hw-04
Impresoras Hw-05
Equipos multifuncional Hw-06
Routers Hw-07
Teléfonos Hw-08
Modems Hw-09
Memoria USB Hw-10
CD/DVD Hw-11
Discos Portables Hw-12
Cámaras de Seguridad Hw-13
46
Lector Huella Dactilar Hw-14
Servicios Capacitaciones Serv-01
Telefonía Serv-02
Internet Serv-03
Red Inalámbrica Serv-04
Almacenamiento de información Serv-05
Fluido Eléctrico Serv-06
Infraestructura Planta de la Organización Infra-01
Canalización de red eléctrica Infra-02
Canalización de red de datos Infra-03
Instalación de red de datos Infra-04
Instalación de red eléctrica Infra-05
Personal Usuarios Internos Per-01
Usuarios externos Per-02
Analista Per-03
Profesionales Per-04
Lideres Per-05
coordinadores Per-06
administrativos Per-07
Funcionales Per-08
Desarrolladores Per-09
Clientes Per-10
Personal operativo Per-11
Proveedores Per-12
Fuente: Los Autores
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad
47
4.1.5.1. Dimensiones de Valoración
Tabla 8: Dimensiones de Valoración
D Disponibilidad
I Integridad de los datos
C Confidencialidad de la información
Fuente: Autores
Los criterios de valoración dados por Magerit se tendrán en cuenta solo para dos
de las dimensiones anteriormente nombradas, es el caso de Disponibilidad (D)
e Integridad (I).
Para la dimensión de Confidencialidad (C) se manejara los siguientes criterios
de valoración de acuerdo al tipo de información
48
área o simplemente es información vital para el debido funcionamiento de la
organización. Ej.: información de la base de datos, contraseñas de servidores,
hojas de vida etc.
Uso Interno: Es la información que circula al interior de una empresa u
organización. Busca llevar un mensaje para mantener la coordinación entre las
distintas áreas, permite la introducción, difusión y aceptación de pautas para el
desarrollo organizacional. Los trabajadores necesitan estar informados para
sentirse una parte activa de la organización. Esta información es útil para tomar
decisiones.
Pública: Es la información a la cual toda persona interna y externa de la
organización tiene acceso por cualquier medio de comunicación, sin previa
autorización, sin censura o impedimento. Eje: página web de la organización.
49
4.1.8. Relación entre Impacto, Probabilidad y Riesgo
Con este análisis de riesgo se busca aclarar la relación existente entre el riesgo,
la probabilidad de que ocurra y el impacto que puede tener en cada uno de los
activos identificados anteriormente.
Casi Siempre 0 0 1 20 31
A Menudo 0 0 2 12 32
Probabilidad
Algunas
0 0 2 20 25
Veces
Casi Nunca 0 0 0 0 4
Fuente: Los Autores
Casi
0 0 6 50 93
Siempre
A Menudo 0 0 0 3 11
Algunas
0 0 0 2 4
Veces
Casi Nunca 0 0 0 0 0
Fuente: Los Autores
50
4.1.10. Tipos De Impacto Y Riesgo (Amenazas)
51
Fuente: Autores
52
La calificación del control, se realizará de la siguiente manera:
53
CAPITULO 5
POLÍTICAS Y CONTROLES DE
SEGURIDAD
54
5. POLÍTICAS Y CONTROLES DE SEGURIDAD
55
Dominio: políticas de seguridad
Objetivo de control: directrices de la dirección en seguridad de la información
Control: revisión de las políticas de la seguridad de la información.
En la entidad financiera se debe hacer una revisión de las políticas de seguridad
existentes, con el fin de generar un plan de acción para la mejora de los
procedimientos y de las acciones que se deben llevar a cabo cuando se produzca
una incidencia que afecte los sistemas o las bases de datos, también se debe
procurar una mejor respuesta para dar solución a los inconvenientes que se
puedan dar luego de que se produzca un ataque que aproveche alguna de las
vulnerabilidades encontradas.
Dominio: Aspectos organizativos de la seguridad de la información
Objetivo de control: Organización interna
Control: Asignación de responsabilidades para la seguridad de la información
Se ha encontrado que en la actualidad las tareas relacionadas con la seguridad
de los sistemas de información y de las instalaciones físicas no están claramente
diferenciadas, por lo que es importante definir roles y asignar responsabilidades
a cada uno de ellos, de manera que sea claro cuál es el papel que cumplen los
diferentes colaboradores.
Dominio: Gestión de activos
Objetivo de control: Responsabilidad sobre los activos
Control: Inventario de activos
Ya que el análisis de riesgos y la identificación de activos es tan importante para
la definición de salvaguardas que disminuyan el riesgo, es importante
continuamente hacer un monitoreo que permita establecer si se han detectado
nuevos activos que sean necesarios proteger, así como establecer que activos
no tienen la misma relevancia que se definición al hacer el análisis inicial.
5.1.2. Caracterización De Las Salvaguardas
Las salvaguardas permiten hacer un correcto frente a las amenazas. Hay
diferentes aspectos en los cuales puede actuar una o varias salvaguardas para
alcanzar sus objetivos de limitación y/o mitigación del riesgo.
Procedimientos: Estos siempre son necesarios, los procedimientos son un
componente de una salvaguarda más complejo. Se requieren procedimientos
tanto para la operación de las salvaguardas preventivas como para la gestión de
incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir
aspectos tan diversos como van el desarrollo de sistemas, la configuración del
equipamiento o la formalización del sistema.
56
Política del personal: Es necesaria cuando se consideran sistemas atendidos
por personal. La política de personal debe cubrir desde las fases de
especificación del puesto de trabajo y selección, hasta la formación continua del
personal.
Soluciones técnicas: Deben ser frecuentes en el entorno de las tecnologías de
la información, que puede ser:
Aplicaciones (Software)
Dispositivos Físicos (Hardware)
Protección de las comunicaciones
57
Figura 1 Relación de mecanismos MAGERIT
58
CAPITULO 6
CONCLUSIONES
59
6. CONCLUSIONES
60
7. RECOMENDACIONES
61
CAPITULO 7
ANEXOS Y REFERENCIAS
62
8. ANEXOS
8.1. Valoración De Activos
Tabla 18: Valoración de Activos
DIMENCIONES
Valoración
ACTIVOS [C] [I] [D]
ACTIVOS DE SOFTWARE
63
Desarrollos a medida y/o propios de la
9 Restringido 8 Alto 8 Alto 25 Alto
organización
ACTIVOS DE HARDWARE
64
Modems 10 Restringido 9 Muy Alto 9 Muy Alto 28 Extremo
ACTIVOS DE SERVICIOS
65
Instalación de red eléctrica 7 Uso Interno 8 Alto 10 Extremo 25 Alto
ACTIVOS DE PERSONAL
66
8.2. Identificación De Amenazas Por Tipo De Activo
Tabla 19: Identificación de Amenazas por tipo de Activo
Accidente Importante
Contaminación Electromagnética
67
Corrupción de los datos
Error en el uso
Hurto de Información
Suplantación de Identidad
Tipo de
Amenaza
Activo
Errores de usuario
Errores del administrador
Errores de monitorización (log)
Errores de configuración
Copia Fraudulenta del Software
Personal
Intrusión, Accesos Forzados al Sistema
Escapes de información
68
Hurto de la información
Corrupción de los Datos
Divulgación de información
Suplantación de Identidad
Error en el uso
Errores en el sistema
Hurto de Información
Software
69
Uso de software falso o copiado
Errores de usuario
Errores de monitorización
Hurto de Información
Base de datos
Corrupción de los datos
Errores en el sistema
Errores de usuario
Errores de configuración
Fuente: Los Autores
70
Descripción de cada amenaza de acuerdo a la metodología Magerit
71
8.2.4. Amenaza – AMZ004 (Código mal Intencionado)
Tabla 23: Amenaza – AMZ004 (Código mal Intencionado)
AMZ004 – Código mal Intencionado
Tipos de Activos: Dimensiones:
Información Integridad
Información de Clientes Disponibilidad
Descripción:
Consiste en alguna instalación de software para alterar y/o eliminar la
información
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software)
Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software)
AMZ005 – Copia Fraudulenta del Software
Tipos de Activos: Dimensiones:
Software Integridad
Personal Disponibilidad
Confidencialidad
Descripción:
Consiste en la instalación de software pirata.
Valor del Impacto/Amenaza: Alto
Fuente: Autores
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos)
Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos)
AMZ006 – Corrupción de los Datos
Tipos de Activos: Dimensiones:
Software Integridad
Información
Personal
Base de Datos
Información de Clientes
Descripción:
Errores que se producen durante el diligenciamiento de documentos o
formularios de aplicaciones.
Valor del Impacto/Amenaza: Alto
Fuente: Autores
72
8.2.7. Amenaza – AMZ007 (Daño por Agua)
Tabla 26: Amenaza – AMZ007 (Daño por Agua)
AMZ007 - Daño por Agua
Tipos de Activos: Dimensiones:
Hardware Disponibilidad
Descripción:
Posibilidad de que el agua acabe con los recursos del sistema, generada por
alguna fuga de agua interna o la rotura de la tubería de agua.
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
73
Hardware Disponibilidad
Información Integridad
Software Confidencialidad
Descripción:
Equivocaciones del personal cuando usa el activo.
Valor del Impacto/Amenaza: Alto
Fuente: Autores
75
8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento
del Sistema de Información)
Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información)
AMZ017 – Incumplimiento en el Mantenimiento del Sistema de Información
Tipos de Activos: Dimensiones:
Software Integridad
Disponibilidad
Descripción:
Defectos en los procedimientos o controles de actualización del código que
permiten que sigan utilizándose programas con defectos conocidos y reparados
por el fabricante.
Valor del Impacto/Amenaza: Alto
Fuente: Autores
77
Disponibilidad
Descripción: Alteración intencionada del funcionamiento de los programas,
persiguiendo un beneficio.
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
78
8.2.27. Amenaza – AMZ027 (Perdida de Suministro de Energía)
Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía)
AMZ027 – Procesamiento Ilegal de los Datos
Tipos de Activos: Dimensiones:
Información Integridad
Base de Datos
Descripción:
Datos mal usados que ocasiona problemas legales severos
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
79
Personal Confidencialidad
Información Integridad
Descripción:
Hacerse pasar por un usuario no autorizado, disfrutando de los privilegios de
este para un fin en especial.
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
81
Base de Datos Confidencialidad
Información de Clientes
Descripción:
Se presenta divulgación de la información por no seguir las políticas de seguridad
para el cambio de contraseñas, nombramientos de archivos, entre otros
Valor del Impacto/Amenaza: Muy Alto
Fuente: Autores
82
Información de Clientes Confidencialidad
Descripción:
Daños en la integridad personal de las personas en las que se ha hecho pública
la información privada
Valor del Impacto/Amenaza: Alto
Fuente: Autores
83
8.3. Identificación De Vulnerabilidades Por Activo
Tabla 59: Identificación de Vulnerabilidades por activo
84
Recuperación de medios reciclados o
Información Inf-05 Contratos
desechados
Información Inf-05 Contratos Destrucción del equipo o de los Medios
Información Inf-05 Contratos Hurto de Información
Información Inf-05 Contratos Procesamiento ilegal de los datos
Información inf-06 Formatos (libranzas, pólizas ) Hurto de Información
Información inf-06 Formatos (libranzas, pólizas ) Ingreso de datos falsos o corruptos
Información inf-06 Formatos (libranzas, pólizas ) Corrupción de los datos
Recuperación de medios reciclados o
Información Inf-07 Hojas de Vida
desechados
Información Inf-07 Hojas de Vida Destrucción del equipo o de los Medios
Información Inf-07 Hojas de Vida Hurto de Información
Recuperación de medios reciclados o
Información Inf-08 Documentos internos
desechados
Información Inf-08 Documentos internos Destrucción del equipo o de los Medios
Información Inf-08 Documentos internos Hurto de Información
Información Inf-09 Entregables (CD/DVD) Hurto de Información
Información Inf-09 Entregables (CD/DVD) Destrucción del equipo o de los Medios
Recuperación de medios reciclados o
Información Inf-10 Material Físico (Impreso)
desechados
Información Inf-10 Material Físico (Impreso) Hurto de Información
Información Inf-10 Material Físico (Impreso) Destrucción del equipo o de los Medios
Información Inf-11 Información en carpetas compartidas en red Hurto de Información
Información Inf-11 Información en carpetas compartidas en red Suplantación de Identidad
Información Inf-11 Información en carpetas compartidas en red Manipulación con software
Información Inf-11 Información en carpetas compartidas en red Intrusión, accesos forzados al sistema
85
Información Inf-11 Información en carpetas compartidas en red Saturación del sistema de información
Información Inf-12 Información Disco Portables Hurto de Información
Información Inf-12 Información Disco Portables Intrusión, accesos forzados al sistema
Información Inf-12 Información Disco Portables Error en el uso
Información Inf-12 Información Disco Portables Manipulación con software
Información Inf-13 Información memorias USB Hurto de Información
Información Inf-13 Información memorias USB Error en el uso
Información Inf-13 Información memorias USB Manipulación con software
Desarrollos a medida y/o propios de la
Software Sw-01 Ataques contra el sistema
organización
Desarrollos a medida y/o propios de la
Software Sw-01 Copia fraudulenta del software
organización
Desarrollos a medida y/o propios de la
Software Sw-01 Corrupción de los datos
organización
Desarrollos a medida y/o propios de la
Software Sw-01 Error en el uso
organización
Desarrollos a medida y/o propios de la
Software Sw-01 Errores en el sistema
organización
Desarrollos a medida y/o propios de la Incumplimiento en el mantenimiento del
Software Sw-01
organización sistema de información
Desarrollos a medida y/o propios de la
Software Sw-01 Mal funcionamiento del software
organización
Desarrollos a medida y/o propios de la
Sw-01 Manipulación con software
organización
Desarrollos a medida y/o propios de la
Software Sw-01 Uso de software falso o copiado
organización
Software Sw-02 Sistemas Operativos Uso de software falso o copiado
Software Sw-02 Sistemas Operativos Copia fraudulenta del software
86
Sw-02 Sistemas Operativos Mal funcionamiento del software
Software Sw-03 Antivirus Copia fraudulenta del software
Software Sw-03 Antivirus Mal funcionamiento del software
Software Sw-03 Antivirus Errores en el sistema
Software Sw-03 Antivirus Ataques contra el sistema
Software Sw-04 Servidores Aplicaciones/ Contenedores Errores en el sistema
Software Sw-04 Servidores Aplicaciones/ Contenedores Mal funcionamiento del software
Software Sw-04 Servidores Aplicaciones/ Contenedores Copia fraudulenta del software
Software Sw-04 Servidores Aplicaciones/ Contenedores Hurto de Información
Software Sw-04 Servidores Aplicaciones/ Contenedores Corrupción de los datos
Software Sw-04 Servidores Aplicaciones/ Contenedores Uso no autorizado del equipo
Software Sw-05 Navegadores Corrupción de los datos
Software Sw-05 Navegadores Errores en el sistema
Software Sw-05 Navegadores Ataques contra el sistema
Software Sw-06 Office Corrupción de los datos
Software Sw-06 Office Errores en el sistema
Software Sw-07 Motor de Base de Datos Uso de software falso o copiado
Software Sw-07 Motor de Base de Datos Acceso no autorizado al sistema
Software Sw-07 Motor de Base de Datos Ataques contra el sistema
Software Sw-07 Motor de Base de Datos Error en el uso
Software Sw-07 Motor de Base de Datos Errores en el sistema
Incumplimiento en el mantenimiento del
Software Sw-07 Motor de Base de Datos
sistema de información
Software Sw-07 Motor de Base de Datos Mal funcionamiento del software
Software Sw-08 Licencias Uso de software falso o copiado
Software Sw-08 Licencias Errores en el sistema
87
Software Sw-09 Aplicativos Finanzas Uso de software falso o copiado
Software Sw-09 Aplicativos Finanzas Errores en el sistema
Software Sw-09 Aplicativos Finanzas Error en el uso
Software Sw-09 Aplicativos Finanzas Ataques contra el sistema
Software Sw-09 Aplicativos Finanzas Acceso no autorizado al sistema
Software Sw-09 Aplicativos Finanzas Acceso no autorizado al sistema
Hardware Hw-01 Servidores Accidente Importante
Hardware Hw-01 Servidores Daño por agua
Hardware Hw-01 Servidores Daño por fuego
Hardware Hw-01 Servidores Falla del equipo
Hardware Hw-01 Servidores Impulsos electromagnéticos
Hardware Hw-01 Servidores Mal funcionamiento del equipo
Hardware Hw-01 Servidores Manipulación del sistema
Hardware Hw-01 Servidores Manipulación con software
Hardware Hw-01 Servidores Perdida de suministro de energía
Hardware Hw-01 Servidores Polvo, corrosión, congelamiento
Hardware Hw-01 Servidores Uso no autorizado del equipo
Hardware Hw-01 Servidores Hurto de Equipo
Hardware Hw-01 Servidores Error en el uso
Hardware Hw-02 Computadores de escritorio Accidente Importante
Hardware Hw-02 Computadores de escritorio Falla del equipo
Hardware Hw-02 Computadores de escritorio Impulsos electromagnéticos
Hardware Hw-02 Computadores de escritorio Mal funcionamiento del equipo
Hardware Hw-02 Computadores de escritorio Manipulación con hardware
Hardware Hw-02 Computadores de escritorio Manipulación del sistema
Hardware Hw-02 Computadores de escritorio Manipulación con software
88
Hardware Hw-02 Computadores de escritorio Perdida de suministro de energía
Hardware Hw-02 Computadores de escritorio Polvo, corrosión, congelamiento
Hardware Hw-02 Computadores de escritorio Uso no autorizado del equipo
Hardware Hw-02 Computadores de escritorio Hurto de Equipo
Hardware Hw-02 Computadores de escritorio Error en el uso
Hardware Hw-03 Portátiles Accidente Importante
Hardware Hw-03 Portátiles Manipulación del sistema
Hardware Hw-03 Portátiles Manipulación con software
Hardware Hw-03 Portátiles Uso no autorizado del equipo
Hardware Hw-03 Portátiles Hurto de Equipo
Hardware Hw-03 Portátiles Error en el uso
Hardware Hw-04 Impresoras Accidente Importante
Hardware Hw-04 Impresoras Error en el uso
Hardware Hw-04 Impresoras Uso no autorizado del equipo
Hardware Hw-05 Equipo Multifuncional Error en el uso
Hardware Hw-05 Equipo Multifuncional Uso no autorizado del equipo
Hardware Hw-05 Equipo Multifuncional Hurto de de Equipo
Hardware Hw-05 Equipo Multifuncional Manipulación con software
Hardware Hw-05 Equipo Multifuncional Accidente Importante
Hardware Hw-06 Routers Error en el uso
Hardware Hw-06 Routers Accidente Importante
Hardware Hw-06 Routers Perdida de suministro de energía
Hardware Hw-07 Routers Accidente Importante
Hardware Hw-07 Routers Daño por agua
Hardware Hw-07 Routers Daño por fuego
Hardware Hw-07 Routers Impulsos electromagnéticos
89
Hardware Hw-07 Routers Perdida de suministro de energía
Hardware Hw-07 Routers Uso no autorizado del equipo
Hardware Hw-07 Routers Hurto de Equipo
Hardware Hw-09 Módems Accidente Importante
Hardware Hw-09 Módems Daño por agua
Hardware Hw-09 Módems Daño por fuego
Hardware Hw-09 Módems Impulsos electromagnéticos
Hardware Hw-09 Módems Perdida de suministro de energía
Hardware Hw-09 Módems Uso no autorizado del equipo
Hardware Hw-09 Módems Hurto de Equipo
Serv-
Servicios Telefonía Uso no autorizado del equipo
02
Serv-
Servicios Internet Perdida de suministro de energía
03
Serv-
Servicios Internet Hurto de Equipo
03
Serv-
Servicios Internet Perdida de suministro de energía
03
Serv-
Servicios Internet Hurto de Equipo
03
Serv-
Servicios Internet Uso no autorizado del equipo
03
Serv-
Servicios Red Inalámbrica Perdida de suministro de energía
04
Serv-
Servicios Red Inalámbrica Hurto de Equipo
04
Serv-
Servicios Red Inalámbrica Uso no autorizado del equipo
04
90
Serv-
Servicios Almacenamiento de información Perdida de suministro de energía
05
Serv-
Servicios Almacenamiento de información Accidente Importante
05
Serv-
Servicios Fluido Eléctrico Perdida de suministro de energía
06
Personas Per-01 Usuarios Internos Suplantación de Identidad
Personas Per-01 Usuarios Internos Corrupción de los datos
Personas Per-01 Usuarios Internos Hurto de Información
Personas Per-02 Usuarios externos Suplantación de Identidad
Personas Per-02 Usuarios externos Corrupción de los datos
Personas Per-02 Usuarios externos Hurto de Información
Personas Per-03 Analista Suplantación de Identidad
Personas Per-03 Analista Corrupción de los datos
Personas Per-03 Analista Hurto de Información
Personas Per-04 Profesionales Suplantación de Identidad
Personas Per-04 Profesionales Corrupción de los datos
Personas Per-04 Profesionales Hurto de Información
Personas Per-05 Lideres Suplantación de Identidad
Personas Per-05 Lideres Corrupción de los datos
Personas Per-05 Lideres Hurto de Información
Personas Per-06 coordinadores Suplantación de Identidad
Personas Per-06 coordinadores Corrupción de los datos
Personas Per-06 coordinadores Hurto de Información
Personas Per-07 administrativos Suplantación de Identidad
Personas Per-07 administrativos Corrupción de los datos
91
Personas Per-07 administrativos Hurto de Información
Personas Per-08 Funcionales Suplantación de Identidad
Personas Per-08 Funcionales Corrupción de los datos
Personas Per-08 Funcionales Hurto de Información
Personas Per-09 Desarrolladores Suplantación de Identidad
Personas Per-09 Desarrolladores Corrupción de los datos
Personas Per-09 Desarrolladores Hurto de Información
Personas Per-10 Clientes Suplantación de Identidad
Personas Per-10 Clientes Corrupción de los datos
Personas Per-10 Clientes Hurto de Información
Personas Per-11 Personal operativo Suplantación de Identidad
Personas Per-11 Personal operativo Corrupción de los datos
Personas Per-11 Personal operativo Hurto de Información
Personas Per-12 Proveedores Suplantación de Identidad
Personas Per-12 Proveedores Corrupción de los datos
Personas Per-12 Proveedores Hurto de Información
Fuente: Autores
92
8.4. Identificación De Vulnerabilidades
Tabla 60: Identificación de Vulnerabilidades
Falta de dispositivos de
Alta
almacenamiento de energía (UPS)
Falta de esquemas de reemplazo
Perdida de suministro de periódico. Media
energía
Red energética inestable Baja
Susceptibilidad a las variaciones de te
Alta
nsión
Polvo, corrosión, Susceptibilidad a la humedad, el polvo
Media
congelamiento y la suciedad
Uso no autorizado del Ausencia de control para el uso del
Media
equipo dispositivo
93
Falta de protección física de las
Hurto de Equipo puertas y las ventanas de la Alta
organización.
Código mal intencionado Instalación de Software (Virus) Alta
Falta manual de usuario Media
Corrupción de los datos
Desconocimiento de la aplicación Media
Falta de esquemas de reemplazo
Media
Destrucción del equipo o periódico.
de los medios Susceptibilidad a la humedad, el polvo
Media
y la suciedad
Copia no controlada Alta
Hurto de Información
Almacenamiento sin protección Alta
Intrusión, accesos
Almacenamiento sin Protección Alta
forzados al sistema
Falta de Capacitación Media
Procesamiento ilegal de l
os datos Falta de Conocimiento de la
Alta
legislación
Disposición o reutilización de los
Recuperación de medios
medios de almacenamiento sin Alta
reciclados o desechados
borrado adecuado
Incumplimiento en la disp
Ausencia del personal Baja
onibilidad del personal
94
Falta de procedimientos del
Copia fraudulenta del
cumplimiento de las disposiciones con Alta
software
los derechos intelectuales
95
8.5. Focus gruop
ACTA FOCUS GROUP
Fecha: Diciembre 10 de 2016 Acta No. 001
Sitio de Reunión:
Sala de Juntas Hora de Inicio: Hora Final:
Compensar Área Financiera 8: 00 am 12: 00 pm
Asistentes
Miguel Ángel cadena Sierra - Profesional
Diana Marcela Sierra Mendoza - Técnico 2
Claudia Johana Valbuena Villanueva - Analista de Pruebas
Andres Felipe Cantor - Analista y ejecutivo de costos
Bryan Gherard Avila Quintero - Arquitecto Pass
DESARROLLO
1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la
seguridad de la Información)
El Grupo Interventor realiza una capacitación e introducción sobre la importancia de un SGSI
(Sistema gestor de la seguridad de la Información) dentro de una organización, se explica que es
un SGSI (Sistema gestor de la seguridad de la Información) y cuáles son los pasos a seguir para
poder diseñarlo y posteriormente implementarlo.
2. Socialización de la situación actual.
El grupo interventor realizó la siguiente pregunta abierta:
¿Cuál es la situación actual de la organización frente a la seguridad de la información?
Luego de discutir frente a la situación, todos los participantes coincidieron en que, actualmente
se puede presentar fuga de información, ya que no existen controles frente a los accesos a las
instalaciones y/o a los centros de cómputo.
96
3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la
matriz DOFA.
El grupo interventor realiza una corta explicación de la importancia que tiene la definición de las
oportunidades, amenazas, debilidades y fortalezas dentro del análisis para la implementación de
un SGSI. Luego de una discusión y de escuchar atentamente las opiniones de todos los
participantes, se pudo obtener el siguiente resultado:
Oportunidades:
Certificación ISO 27001
Momento estratégico de Seguridad
Aumentar la confianza de la organización
Definición de políticas de Seguridad de Información, estableciendo controles y normas
para el manejo de seguridad.
Definir procedimientos y políticas para el ciclo de vida de la información.
Amenazas:
Disponer de personal no calificado.
Dificultad a la hora de poner en práctica esos conocimientos.
Falta de Recursos Económicos.
Falta de compromiso en la implementación del SGSI.
Oposición interna al aplicar los controles o mecanismos de seguridad apropiados.
Debilidades:
Desconocimiento de la metodología
Poca implicación por parte de la dirección
Resultados medio/largo plazo
El desarrollo del SGSI sea muy detallado
Sistema muy detallado, retrase los procesos
Falta de políticas de seguridad bien definidas
Fortalezas:
Optimización de la seguridad//entorno informático
Reducción de costes
Reduce el tiempo de interrupción del servicio y mejora el grado de satisfacción de los
clientes
Reducción de riesgos, pérdidas, derroches
Reducción de riesgos que afecten la seguridad, disponibilidad y confidencialidad de la
información.
4. Identificación de los activos importantes para una organización bancaria.
El grupo interventor realiza una corta explicación de qué son los activos de información y el papel
que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta
explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados:
Base de Datos
Archivos de Datos
Manuales de Usuario
Documentación del Sistema
Contratos
Formatos
Hojas de Vida
Libranzas
97
Documentos Internos
Entregables (CD/DVD)
Material Físico (Impreso)
Información en Carpetas compartidas en Red
Información Disco Portables
Información Memorias USB
5. Socialización de riesgos, de acuerdo a las labores realizadas día a día.
El grupo interventor realiza una corta explicación de cuáles son los riesgos de información y el
papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta
explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados:
Dentro de la organización se permite el uso de discos extraíbles, usb, CD entre otros por
medio de los cuales se puede adquirir información confidencial.
En los centros de cómputo no se tienen las condiciones adecuadas para el cuidado de los
equipos de cómputo ni el control de acceso a estas zonas.
No se restringe el acceso a algunas páginas web que no son necesarias para el desarrollo
de las actividades diarias.
No se exige la portación de un documento que identifique a los funcionarios de la
entidad.
No se tienen áreas seguras, puntos de encuentro, brigadas de emergencia o algún tipo
de actividad para la evacuación del personal en caso de un suceso climático.
No se tiene ningún tipo de elemento que permita el suministro de energía para
continuar con las labores diarias si se tiene una interrupción de energía.
Control de claves
Archivos personales
Descarga de archivos
99
9. REFERENCIAS
Carozo E., Freire G., Martínez G., “Análisis del Sistema de Gestión de
Seguridad de la Información de ANTEL”, ANTEL.
100
ISO/IEC 27002:2005. [en línea]
<http://www.iso27000.es/download/ControlesISO27002-2005.pdf>
[Consultado en Enero de 2017]
101
Normas INCONTEC, [en línea] <http://www.colconectada.com/normas-
icontec> [Consultado en Enero de 2017]
102