Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO DE GRADO
TRABAJO DE GRADO
Asesor
Giovanny Andrs Piedrahita Solorzano
Coordinador Investigacin y Posgrados DIST-FICB
Nota de aceptacin
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
Ciudad, Fecha
TABLA DE CONTENIDO
INTRODUCCION .................................................................................................. 11
1.
1.1.2.
1.1.3.
1.1.4.
1.1.5.
1.1.6.
1.2.2.
ALCANCE ............................................................................................. 22
1.3.2.
LIMITACIONES..................................................................................... 22
1.4.2.
2.
JUSTIFICACION ............................................................................................ 25
3.
3.1.2.
3.1.3.
3.1.4.
3.1.5.
METODOLOGIA ............................................................................................ 42
4.1. TIPO DE INVESTIGACION ...................................................................... 42
4.2. LINEA DE INVESTIGACION .................................................................... 43
4.3. INSTRUMENTOS DE RECOLECCION DE INFORMACION ................... 43
4.4. FASES METODOLOGICAS ..................................................................... 43
5.
DISEO
DEL
SISTEMA
DE
GESTION
DE
SEGURIDAD
DE
LA
INFORMACION ..................................................................................................... 47
5.1. FASE I. DIAGNOSTICO ........................................................................... 47
5.1.1.
5.1.2.
5.1.3.
5.2.1.1.
CONOCIMIENTO DE LA ORGANIZACIN....................................... 62
5.2.1.2.
5.2.1.3.
5.2.2.
5.2.3.
5.2.4.
5.2.5.
5.3.2.
5.3.2.1.
IDENTIFICACION DE AMENZAS...................................................... 90
5.3.2.2.
5.3.2.3.
6.
5.3.2.4.
5.3.2.5.
5.3.2.6.
5.3.2.7.
5.3.2.8.
5.3.2.9.
5.3.3.
5.3.4.
5.3.5.
5.3.5.1.
5.3.5.2.
5.3.5.3.
7.
8.
LISTA DE TABLAS
Tabla 1. Factores asociados a las situaciones del problema ................................ 17
Tabla 2. Indicadores del problema ........................................................................ 18
Tabla 3. SGSI y cumplimiento de los indicadores ................................................. 27
Tabla 4. Dominios de la norma ISO/IEC 27001:2013 ............................................ 34
Tabla 5. Fases PHVA vs Estructura ISO 27001:2013 ........................................... 37
Tabla 6. Valoracin estratificacin de la entidad ................................................... 49
Tabla 7. Rangos de Estratificacin de Entidades .................................................. 50
Tabla 8. Nivel de riesgos vs nivel cumplimiento controles .................................... 53
Tabla 9. Objetivos de control con nivel BAJO de cumplimiento ............................ 55
Tabla 10. Objetivos de control con nivel MEDIO de cumplimiento ........................ 57
Tabla 11. Objetivos de control con nivel ALTO de cumplimiento .......................... 60
Tabla 12. Partes de inters externas en funcin del SGSI .................................... 71
Tabla 13. Partes de inters internas en funcin del SGSI ..................................... 72
Tabla 14. Actores relevantes en funcin a la seguridad de la informacin ............ 73
Tabla 15. Tipos de activos de informacin ............................................................ 81
Tabla 16. Inventario de activos de informacin de tecnologa ............................... 82
Tabla 17. Tabla para valoracin activos de informacin ....................................... 85
Tabla 18. Preguntas para determinar la criticidad del activo ................................. 86
Tabla 19. Nivel de criticidad de los activo de informacin ..................................... 86
Tabla 20. Valoracin nivel criticidad activos informacin de tecnologa ................ 87
Tabla 21. Activos seleccionados para valoracin de riesgos ................................ 89
Tabla 22. Lista de riesgos y principios de seguridad afectados ............................ 91
Tabla 23. Amenazas que pueden afectar los activos de tecnologa...................... 91
Tabla 24. Vulnerabilidad asociados a las amenazas de los activos ...................... 93
Tabla 25. Valoracin probabilidad de ocurrencia .................................................. 95
Tabla 26. Valoracin del impacto .......................................................................... 96
Tabla 27. Valoracin de los riesgos ...................................................................... 97
LISTA DE FIGURAS
Figura 1. Identificacin Situacin Problema .......................................................... 16
Figura 2. Ciclo de mejora continua (Ciclo Deming) ............................................... 36
Figura 3. Ciclo de mejora continua alineado a la norma ISO 27001:2013 ............ 37
Figura 4. Fases para la diseo del SGSI ............................................................... 44
Figura 5. Fases para el diseo del SGSI de la Entidad ......................................... 44
Figura 6. Nivel de cumplimiento controles Anexo A ISO 27001:2013 ................... 52
Figura 7. Nivel Cumplimiento Objetivos de Control Anexo A ISO 27001:2013 ..... 54
Figura 8. Organigrama de la Entidad .................................................................... 64
Figura 9. Mapa de proceso de la Entidad .............................................................. 65
Figura 10. Organizacin de la seguridad de la informacin .................................. 77
Figura 11. Distribucin del riesgo inherente activos Direccin de Tecnologa .... 100
Figura 12. Mapa de Calor .................................................................................... 101
Figura 13. Mapa Riesgo inherentes detallado proceso de tecnologa ................. 102
Figura 14. Mapa Riesgo inherentes detallado proceso de tecnologa ................. 102
Figura 15. Distribucin del riesgo residual activos Direccin de Tecnologa ....... 109
Figura 16. Mapa Riesgo residual general proceso de tecnologa........................ 110
Figura 17. Mapa Riesgo residual detallado proceso de tecnologa ..................... 110
Figura 18. Comparativo Mapas de Calor Consolidadas ...................................... 111
Figura 19. Comparativo Mapas de Calor Detalladas ........................................... 112
Figura 20. Mapa de calor opcin tratamiento de riesgo ...................................... 113
Figura 21. Ciclo de vida gestin incidentes de seguridad de la informacin ....... 120
Figura 22. Nivel cumplimiento dominios de control Anexo A ISO 27001:2013 .... 131
Figura 23. Nivel cumplimiento entidad frente al Anexo A ISO 27001 .................. 132
Figura 24. Grado de Inters Partes Interesadas ................................................. 139
Figura 25. Grado de motivacin partes interesadas ............................................ 140
Figura 26. Grado de gobernabilidad partes interesadas ..................................... 140
Figura 27. Clasificacin activos de informacin de tecnologa ............................ 145
INTRODUCCION
Hoy en da, la informacin est definida como uno de los activos ms valiosos y
primordiales para cualquier tipo de organizacin, la cual, slo tiene sentido cuando
est disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestin de sus recursos y activos de informacin con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la informacin.
El aseguramiento y la proteccin de la seguridad de la informacin de las
organizaciones y de los datos de carcter personal de los usuarios, representan
un reto al momento de pretender garantizar su confidencialidad, integridad,
disponibilidad y privacidad, razon por la cual, la seguridad de la informacin se ha
convertido en uno de los aspectos de mayor preocupacin a nivel mundial.
Cualquier tipo de organizacin independiente de su tamao y naturaleza, debe ser
consciente que la diversidad de amenazas existentes que actualmente atentan
contra la seguridad y privacidad de la informacin, representan un riesgo que al
materializarse no solo les puede acarrear costos econmicos, sancinales legales,
afectacin de su imagen y reputacin, sino que pueden afectar la continuidad y
supervivencia del negocio. Lo anterior, sumando a un entorno tecnolgico en
donde cada da se hace ms complejo de administrar y asegurar, genera que cada
vez ms la seguridad de la informacin forme parte de los objetivos y planes
estratgicos de las organizaciones. Por lo tanto, es indispensable que los
responsables dentro de las organizaciones encargados de velar por la proteccin y
seguridad de sus recursos, infraestructura e informacin, contantemente estn
adoptando, implementando y mejorando medidas de seguridad orientadas a
prevenir y/o detectar los riesgos que pueden llegar a comprometer la
disponibilidad, integridad y confidencialidad de los activos de informacin a travs
de los cuales se gestiona la informacin del negocio, independientemente si est
es de carcter organizacional o personal, o de tipo pblica o privada.
En la medida que las organizaciones tenga una visin general de los riesgos que
pueden afectar la seguridad de la informacin, podrn establecer controles y
medidas efectivas, viables y transversales con el propsito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la informacin del negocio
como los datos de carcter personal de sus empleados y usuarios. Es
indispensable que las organizaciones realicen una adecuada identificacin,
11
12
1. RESUMEN EJECUTIVO
1.1. DESCRIPCIN GENERAL
IGM S.A es un Banco de Segundo Piso, tambin conocidos como bancos de
desarrollo o bancos de fomento, cuyos recursos de crdito son desembolsados a
los usuarios de los crditos a travs de otras instituciones financieras.
IGM S.A, es una sociedad annima, de economa mixta del orden nacional,
constituida con la participacin exclusiva de entidades pblicas, con personera
jurdica, autonoma administrativa y capital independiente, organizada como un
establecimiento de crdito, vinculada al Ministerio de Hacienda y Crdito Pblico y
sometida a vigilancia por la Superintendencia Financiera de Colombia.
La entidad por ser de carcter pblico y financiero, este vigilada y controlada por la
Superintendencia Financiera de Colombia y otros entes de control, por lo tanto,
debe cumplir la normatividad vigente relacionada con seguridad de la informacin
impartida por estos organismos aplicable a entidades del estado y financieras.
La Entidad cuenta con la infraestructura tecnolgica adecuada y tiene
implementado una serie de mecanismos de seguridad, tanto fsicos como lgicos,
con el propsito de poder proteger la confidencialidad, integridad y disponibilidad
de la informacin del negocio y la privacidad de los datos de los clientes que
residen en sus bases de datos. A pesar de contar con estos recursos tecnolgicos
y tener implementadas medidas de seguridad, la Entidad no cuenta con los
mecanismos adecuados y expeditos que le permitan conocer el estado real de su
seguridad en cuanto a personas, procesos y tecnologa, ni el nivel de efectividad
de las medidas de seguridad que tiene implementadas, lo que dificulta o impide
identificar y por ende gestionar de manera efectiva los riesgos asociados a la
seguridad de sus activos de informacin y las amenazas que puedan llegar con
comprometer la integridad, disponibilidad y confidencialidad de su informacin.
1.1.1. ESTADO DE LA SEGURIAD DE LA INFORMACION EN IGM S.A
A principios del 2012, la Jefatura de Control Interno de la entidad realiz una
auditora al proceso de Gestin de Tecnologa1, con el fin de evaluar el estado de
13
Gestin de vulnerabilidades.
http://www.iso27000.es/sgsi.html
15
La falta de concienciacin,
apropiacin y conocimiento en
temas de seguridad por parte de
todos los funcionarios
Problema:
"Inadecuado Modelo
La poltica de seguridad existente
no est alineada con los objetivos
del negocio
de Gestin de
Seguridad de la
Informacin"
Factores
Falta de un Gobierno
de Seguridad en la
Entidad
Concienciacin en seguridad de la
informacin
18
19
21
22
24
2. JUSTIFICACION
El diseo de un Sistema de Gestin de Seguridad de la Informacin basado en un
modelo de buenas prcticas de seguridad conocido a nivel mundial, como es la
norma ISO/IEC 27001:2013, proveer las condiciones de gobernabilidad,
oportunidad y viabilidad necesarias para que la seguridad de la informacin apoye
y extienda los objetivo estratgicos del negocio, mediante la proteccin y
aseguramiento de su informacin que es fundamental para garantizar la debida
gestin financiera, administrativa y operativa de la entidad, y con ello asegurar el
cumplimiento de su Misin.
Un Sistema de Gestin de Seguridad de la Informacin, demuestra el compromiso
de la organizacin hacia la Seguridad de la Informacin y provee los elementos
requeridos para gestionar de manera eficiente los riesgos que puedan atentar con
la seguridad de su informacin, lo cual genera confianza en sus partes interesadas
que es fundamental para el crecimiento y la sostenibilidad de la entidad.
Establecer un Sistema de Gestin de Seguridad de la Informacin, significa que la
entidad se caracteriza en relacin a la seguridad de la informacin por tener un
modelo de seguridad donde se tiene una estrategia eficaz y es proactiva en la
ejecucin del plan, que segn encuesta global de Seguridad de la Informacin
2014, realizada por PWC5, ubicara a la entidad en el 50% de la organizaciones a
nivel mundial que son pioneras en adoptar este tipo de modelos de seguridad.
Un Sistema de Gestin de Seguridad de la Informacin, le permitir a la entidad
poder contar con un Gobierno de Seguridad alineado a las necesidades y
objetivos estratgicos del negocio, compuesto por una estructura organizacional
con roles y responsabilidades y un conjunto coherente de polticas, procesos y
procedimientos, con el objetivo de forjar, promover y extender una cultura de
seguridad en todos los niveles de la organizacin y de esta forma gestionar de
manera adecuada la seguridad de su informacin.
Un Sistema de Gestin de Seguridad de la Informacin le permitir a la Entidad
fortalecer integralmente en cada uno de sus colaboradores, los pilares
fundamentales de la seguridad correspondiente a la integridad, confidencialidad y
26
Nivel de
compromiso de
los funcionarios
en adoptar
funciones y
responsabilidade
s de seguridad
Grado de
cubrimiento de
los planes de
tratamiento de
riesgos de
seguridad
Concienciacin
en seguridad de
la informacin
28
3. MARCO DE REFERENCIA
3.1. MARCO TEORICO
Debido a la evolucin permanente de las tecnologas de la informacin y las
comunicaciones que demandan un mayor esfuerzo para garantizar la seguridad, a
las constantes amenazas que hoy en da atentan contra la seguridad de la
informacin que cada vez son ms especializadas, complejas y avanzadas, y a la
normatividad vigente que regula y exige una mayor proteccin y privacidad de los
datos sensibles, personales, comerciales y financieros de las personas, la
organizaciones deben contar con un modelo o Sistema de Gestin de Seguridad
de la Informacin basado en estndares de seguridad reconocidos a nivel mundial,
con el propsito de poder establecer y mantener un gobierno de seguridad
alineado a las necesidades y objetivos estratgicos del negocio, compuesto por
una estructura organizacional con roles y responsabilidades y un conjunto
coherente de polticas, procesos y procedimientos, que le permiten gestionar de
manera adecuada los riesgos que puedan atentar contra la confidencialidad,
integridad, disponibilidad, autenticidad, trazabilidad y no repudio de la seguridad
de la informacin.
Para lograr una adecuada gestin de la informacin es indispensable que las
organizaciones establezcan una metodologa estructurada, clara y rigurosa para la
valoracin y tratamiento de los riesgos de seguridad, con el objetivo de (i) conocer
el estado real de la seguridad de los activos de informacin a travs de los cuales
se gestiona la informacin del negocio, (ii) identificar y valorar las amenazas que
puedan comprometer la seguridad de la informacin y (iii) determinar los
mecanismos y medidas de seguridad a implementar para minimizar el impacto en
caso de las posibles prdidas de confiabilidad, integridad y disponibilidad de la
informacin.
Para efectos de tener claro los diferentes conceptos que se enuncian en este
marco terico, en el captulo 3.2. MARCO CONCEPTUAL (GLOSARIO DE
TERMINOS) se encuentran el glosario de los trminos con sus respectivas
definiciones, los cuales son utilizados a lo largo del presente trabajo de grado.
29
6
7
http://www.iso27000.es/sgsi.html
31
que
deben
cumplir
las
organizaciones
para
establecer,
ISO/IEC 27000. Esta norma proporciona una visin general de los sistemas de
gestin de seguridad de la informacin y contiene los trminos y definiciones
que se utilizan en las diferentes normas de la 27000.
ISO/IEC 27001. La ltima versin de esta norma fue publicada a finales del
2013, y corresponde a la principal norma de la serie 27000 debido a que
contiene los diferentes requisitos para establecer, implementar, mantener y
33
11
0.
1.
2.
3.
INTRODUCCION
OBJETO Y CAMPO DE APLICACIN
REFERENCIAS NORMATIVAS
TRMINOS Y DEFINICIONES
4.
5.
6.
7.
8.
9.
10.
CONTEXTO DE LA ORGANIZACIN
LIDERAZGO
PLANIFICACIN
SOPORTE
OPERACIN
EVALUACIN DE DESEMPEO
MEJORA
13
http://www.iso27000.es/iso27000.html
35
Pase Hacer (Do): En esta fase se ejecuta el plan establecido que consiste en
implementar las acciones para lograr mejoras planteadas.
ACTUAR
HACER
10. MEJORA
8. OPERACION
VERIFICAR
9. EVALUACION DEL
DESEMPENO
El siguiente cuadro muestra la relacin entre las fases del ciclo de mejora continua
PHVA (planear, hacer, verificar y actuar) y la estructura de captulos y numerales
de la norma ISO 27001:2013:
Tabla 5. Fases PHVA vs Estructura ISO 27001:2013
Fase PHVA
HACER
4. Contexto de la Organizacin
5. Liderazgos
6. Planificacin
7. Soporte
8. Operacin
VERIFICAR
9. Evaluacin de desempeo
ACTUAR
10. Mejora
PLANEAR
37
Fase VERIFICAR en la norma ISO 27001:2013. En el captulo 9 Evaluacin del desempeo19, se define los requerimientos para evaluar
14
38
Standardization - ISO para todos los Sistemas de Gestin acorde al nuevo formato
llamado Anexo SL, que proporciona una estructura uniforme como el marco de
un sistema de gestin genrico.
Anlisis de riesgos: Utilizacin sistemtica de la informacin disponible, para
identificar peligros y estimar los riesgos.
Causa: Razn por la cual el riesgo sucede.
Ciclo de Deming: Modelo mejora continua para la implementacin de un sistema
de mejora continua.
Colaborador: Es toda persona que realiza actividades directa o indirectamente en
las instalaciones de la entidad, Trabajadores de Planta, Trabajadores Temporales,
Contratistas, Proveedores y Practicantes.
Confidencialidad: Propiedad que determina que la informacin no est disponible
a personas no autorizados
20
41
4. METODOLOGIA
En el presente capitulo, se describe los mtodos utilizados para alcanzar la
solucin al problema planteado que corresponde a un Inadecuado Modelo de
Gestin de Seguridad de la Informacin de IGM S.A, teniendo en cuenta para
esto, los objetivos y el alcance que se plantearon en el presente trabajo de
investigacin.
La metodologa planteada pretende dar cumplimiento a los objetivos especficos
que se definieron con el propsito de poder alcanzar el objetivo general de
proyecto, para lo cual, esta metodologa tendr en cuenta el marco de referencia
de la norma ISO/IEC 27001:2013 que especifica, entre otros aspectos, los
requerimientos y actividades que se deben desarrollar para el diseo de un
Sistema de Gestin de Seguridad de la Informacin.
4.1. TIPO DE INVESTIGACION
Tiendo en cuenta la caractersticas del proyecto, se emplear en el desarrollo del
mismo el mtodo investigacin de tipo factible, que de acuerdo al Manual de
Tesis de Grado y Especializacin y Maestra y Tesis Doctorales [5] de la
Universidad Pedaggica Experimental Libertador, consiste en la investigacin,
elaboracin y desarrollo de una propuesta de un modelo operativo viable para
solucionar problemas, requerimientos o necesidades de organizaciones o grupos
sociales; puede referirse a la formulacin de polticas, programas, tecnologas,
mtodos o procesos21. Con base en la anterior definicin, el presente trabajo
corresponde al anlisis y desarrollo de una propuesta para el diseo de un
Sistema de Gestin de Seguridad de la Informacin para entidad IGM S.A, de
acuerdo al alcance definido, las necesidades de la entidad y tomando para base
para ello el modelo de referencia de seguridad de la norma ISO/IEC 27001:2013.
Tambin, durante el desarrollo del proyecto se utilizara el mtodo de investigacin
de campo, que permite el anlisis sistemtico del problema en la realidad, con el
fin de describirlo, interpretarlo, entender su naturaleza y explicar sus causas y
21
Cuestionario.
Observaciones.
22
Identificar el nivel de
madurez inicial de la
entidad con respecto al
modelo de seguridad de la
informacin que plantea la
norma ISO/IEC 27001:2013
Entender el contexto de la
entidad para definir el
alcance y la poltica del
SGSI
Valorar riesgos de
seguridad y definir planes
de tratamiento
Establecer el marco de
politicas de seguridad de la
informacin y lineamientos
para su debida gestin.
Fase I - Diagnostico
Fase II - Preparacin
Analizar el Contexto
Organizacional
Realizar la valoracin de
riesgos de seguridad de la
informacin
Definir la estructura
organizacional de la Entidad
en funcion de la seguridad.
Elaborar el manual de
poltica de seguridad de la
informacin
Elaborar procedimiento
para la gestin de
incidentes de seguridad.
Fase I - Diagnostico.
Corresponde a las actividades para identificar el nivel de madurez inicial de la
Entidad con respecto al modelo de seguridad de la informacin que plantea la
norma ISO/IEC 27001:2013.
Para la recoleccin de la informacin, en esta fase se utilizarn mecanismo como:
Fuentes
externas,
como
las
guas
de
autoevaluacin,
encuesta
45
Definir los planes de accin que incluya los controles a implementar con el
objetivo de mitigar los riesgos identificados en el proceso de valoracin de
riesgos. Para la seleccionar de los controles, se tomar como base los
objetivos de control y los controles establecidos en el Anexo A de la norma
ISO/IEC 27001:2013.
46
25
48
OPCIONES DE RESPUESTA
PUNTOS
OBSERVACION
Para el 2014:
$146.362.311.000.
Fuente: rea de
Contabilidad.
Nmero total de
computadores
Nmero de
Servidores
Entre 4 y 20 Servidores
Ms de 20 Servidores
Nmero
Empleados de
Tecnologa
Menos de 6 empleados
Entre 6 y 50 empleados
Ms de 50 empleados
TOTAL PUNTOS
49
22
ESTRATO
Menor a 10 puntos
BAJO
Entre 11 y 22 puntos
MEDIO
Mayor a 22 puntos
ALTO
27
29
30
Alto
Bajo
Medio
Medio
Bajo
Alto
31
% CUMPLIMIENTO
A.10 CRIPTOGRAFIA
0%
14%
24%
A.18 CUMPLIMIENTO
30%
33%
32
los
cuales
son
indispensables
para
asegurar
la
adecuada
33
34
56
% CUMPLIMIENTO
37%
43%
47%
54%
58%
61%
35
% CUMPLIMIENTO
75%
76%
92%
36
61
42
43
44
45
46
47
63
ESTRUCTURA ORGANIZACIONAL
48
los
recursos
tecnolgicos
de
la
entidad
garantizando
su
53
54
67
el depsito, custodia
y administracin
de
ttulos valores
55
56
http://www.banrep.gov.co/es/contenidos/page/qui-nes-pueden-acceder-dcv
http://www.banrep.gov.co/es/sebra-objetivo
68
evitar, prevenir o mitigar las amenazas informticas que puede atentar contra
la disponibilidad, integridad y confidencialidad de la informacin de la entidad.
57
Ley estatutaria 1266 de 2008 Habeas Data [11], que regula el manejo de la
informacin de las personas recopiladas y almacenadas en bases de datos de
terceros, en especial la informacin de carcter financiero, crediticio, comercial,
de servicios y la proveniente de terceros pases .
Ley 1581 de 201260 [12] que fue regulada en el Derecho 1377 de 201361 [13],
que definen el marco jurdico orientado a garantizar que la debida, recoleccin,
almacenamiento, tratamiento, uso y distribucin de los datos personales de los
titulares por parte de terceros.
Descripcin
Accionistas
Inversionista
Gobierno
Superintendencia
Financiera de Colombia
Intermediarios
Financieros
Comunidad
Beneficiarios
Bancos Multilaterales y
de Desarrollo
Proveedores
Ex empleados
71
Descripcin
Alta Directiva
Comit de Riesgo
Vicepresidencia de
Crdito y Riesgos
Oficial de Seguridad
Direccin de Tecnologa
Jefatura de Recursos
Fsicos
Gestin humana
Direccin Jurdica
Colaboradores
Gobernabilidad
Motivacin
Actores
Relevantes
Inters
73
74
Integridad
Confidencialidad
de
la
informacin,
75
Asegurar que la informacin de IGM S.A est disponible para los usuarios
o procesos autorizados en el momento en que as lo requieran.
64
Direccin de
Tecnologa
Direccin de Gestin
Humana
Jefatura de Servicios
Administrativos.
Direccin Jurdica
Seguridad Informtica
Seguridad de los
recursos humanos
Garantizar
cumplimiento de ley
Colaboradores y terceros
Deben cumplir la poltica de
Seguridad de la Informacin.
Encargados del tratamiento
de los datos.
la
COMIT DE RIESGOS
OFICIAL DE SEGURIDAD
Disear
coordinar
la
implementacin
de
las
polticas,
normas
Identificar los riesgos que afectan a los recursos de informacin frente a las
amenazas ms importantes y gestionar la actualizacin del mapa de riesgos.
DIRECCION JURIDICA
el desarrollo
80
Descripcin
Servicios
Datos /
informacin
Software
Equipos
informticos
Personal
Redes de
comunicaciones
Soportes de
informacin
Equipamiento
auxiliar
Instalaciones
81
A2
A3
A4
Nombre del
Activo
A5
Red LAN
A6
Red WAN
A7
Red WIFI
corporativa
Tipo de activo
Contenedor
Instalaciones
Instalaciones
Instalaciones
Cuartos de rack
Instalaciones
Area administracin
de plataforma
Redes de
Red LAN
comunicaciones
Redes de
RED WAN
comunicaciones
Redes de
Red LAN
comunicaciones
Redes de
Red LAN
comunicaciones
Servidores de
Servidores que soportan los servicios
Equipos
Data Center del
A9
administracin
bases de administracin
informticos
proveedor
Servidores de
Servidores de produccin que
Equipos
Data Center del
A10 bases de datos de soportan los motores e instancias de
informticos
proveedor
produccin
bases de datos
Servidores de
Servidores de produccin que
Equipos
Data Center del
A11 aplicaciones de
soportan las aplicaciones y sistemas
informticos
proveedor
produccin
de informacin
Servidores que soportan la
Plataforma de
Equipos
Data Center del
A12
plataforma y servicio de correo
Correo
informticos
proveedor
corporativo
Servidores de
Servidores que soportan los
Equipos
Data Center del
A13
Pruebas
ambientes de prueba de la entidad
informticos
proveedor
Servidores de
Servidores que soportan los
Equipos
Data Center del
A14
Desarrollo
ambientes de desarrollo de la entidad
informticos
proveedor
Unidades de almacenamiento donde
Equipos
Data Center del
A15 SAN
reside la informacin de la entidad
informticos
proveedor
Solucin de
Solucin de Backup para el respaldo
Equipos
Data Center del
A16
Backup
de informacin del negocio
informticos
proveedor
Equipos y dispositivos de red activos
Equipos
A17 Dispositivos de red
Cuartos de rack
(switch, router)
informticos
Computadores
Computadores que utilizan los
Equipos
Area administracin
A18
Administradores
administradores de plataforma
informticos
de plataforma
Computadores de escritorio
Computadores de
Equipos
A19
asignados a los colaboradores de la
Computadores
escritorio usuarios
informticos
entidad
Computadores porttiles de la
Equipos
A20 Porttiles
Porttiles
entidad
informticos
Impresoras de la entidad ubicada en
Equipos
A21 Impresoras
Impresoras
diferentes reas
informticos
A22 Equipos de
Equipos informticos destinados a
Equipos
Equipos de seguridad
A8
82
seguridad
perimetral
A23
A24
A25
A26
A27
A28
A29
A30
A31
A32
A33
A34
A35
A36
A37
informticos
perimetral
Software
Servidores de
administracin
Software
Servidores de
administracin
Software
Software
Software
Software
Servidores de
administracin
Servidores de
administracin
Servidores de bases
de datos
Servidores de
administracin
Software
Servidores de
administracin
Software
Servidores de
administracin
Software
Servidores de
administracin
Software
Software
Software
Servidores de
aplicaciones
Servidores de
aplicaciones
Servidores de
aplicaciones
Software
Servidores de
aplicaciones
Software
Servidores de
aplicaciones
Software
Servidores de
aplicaciones
Servidores de
aplicaciones
Servidores de
aplicaciones
Software
A39 Intranet
Software
Aplicativos
A40 seguimiento
proyectos
Software
Servidores de
aplicaciones
Software
Servidores de
aplicaciones
Software
Otros bancos
Servicios
Servidores de
administracin
A41 CRM
A42
Terminales
empresariales
Servicios
Plataforma de Correo
Servicios
Servidores de bases
de datos
Servicios
Servidores de
administracin
Servicios
Servidores de
administracin
Servicios
Directorio activo
Datos /
Informacin
Directorio activo
Datos /
Informacin
Directorio activo
Datos /
Informacin
Bases de datos
Datos /
Informacin
Log de eventos
Datos /
Informacin
Bases de datos
Datos /
Informacin
File Server
Datos /
Informacin
Carpetas
Datos /
Informacin
File Server
Datos /
Informacin
Bases de datos
84
Criterio de
valoracin
Criterio de valoracin
Valor a
asignar
Financiero
Prdidas
econmicas para la
empresa (porcentaje
calculado sobre la
utilidad operacional)
1
2
3
4
5
Incumplimiento de
normatividad y
legislacin
Legal
Imagen
Afectacin de la
imagen de la
empresa
1
2
3
3
4
5
85
Disponibilidad
Criterio
Factor
Financiero
Legal
Imagen
Integridad
Financiero
Legal
Imagen
Confidencialidad
Pregunta
Afectado
Financiero
Legal
Imagen
Por ltimo, para determinar el nivel de criticidad del activo se valoro se utilizo los
criterios de valoracin de la siguiente tabla:
Tabla 19. Nivel de criticidad de los activo de informacin
Valor
criticidad
activo
Nivel
criticidad
>= 4
Alto
>2y<4
Medio
> 0 y <= 2
Bajo
Igual a 0
No aplica
Criterio de Evaluacin
La gestin del activo compromete en un alto grado la integridad y/o
confidencialidad y/o disponibilidad de la informacin de la empresa.
86
Imagen
Financiero
Legal
Imagen
Financiero
Legal
Imagen
Confidencialidad
Integridad
Disponibilidad
Valor Total
Disponibilidad
Legal
Integridad
Financiero
Confidencialidad
Nivel de
criticidad
A1
A2
A3
A4
A5
A6
A7
A8
A9
5
5
3
4
4
4
4
3
4
4
4
3
4
4
4
4
2
3
3
3
1
3
3
3
3
1
2
5
5
3
4
4
4
4
3
4
4
4
3
4
4
4
4
2
3
3
3
1
3
3
3
3
1
2
5
5
3
4
2
2
3
3
4
4
4
3
4
1
1
3
3
3
4
3
1
3
1
1
2
1
2
5
5
3
4
4
4
4
3
4
5
5
3
4
4
4
4
3
4
5
5
3
4
2
2
3
3
4
5
5
3
4
4
4
4
3
4
Alto
Alto
Medio
Alto
Alto
Alto
Alto
Medio
Alto
Alto
Alto
3
1
1
4
3
4
4
3
3
1
4
0
0
1
4
4
0
4
0
3
3
1
1
4
3
4
4
3
3
1
4
1
2
3
4
4
2
4
2
3
3
0
0
3
2
3
3
1
1
0
3
0
0
0
3
3
0
3
0
1
3
0
0
4
3
4
5
3
3
1
4
1
0
1
4
4
0
4
0
3
3
0
0
4
3
4
4
3
3
1
4
1
2
3
4
4
2
4
2
3
3
0
0
3
2
3
3
1
1
0
3
0
0
0
3
3
0
3
0
1
3
0
0
4
3
3
5
1
1
1
3
0
0
0
4
3
2
4
0
3
3
0
0
4
2
3
4
1
1
1
3
1
2
1
4
2
2
4
0
3
3
0
0
3
2
2
3
1
1
0
2
0
0
0
3
2
2
3
0
1
3
1
1
4
3
4
4
3
3
1
4
1
2
3
4
4
2
4
2
3
3
0
0
4
3
4
5
3
3
1
4
1
2
3
4
4
2
4
2
3
3
0
0
4
3
3
5
1
1
1
3
1
2
1
4
3
2
4
0
3
3
1
1
4
3
4
5
3
3
1
4
1
2
3
4
4
2
4
2
3
Medio
Bajo
Bajo
Alto
Medio
Alto
Alto
Medio
Medio
Bajo
Alto
Bajo
Bajo
Medio
Alto
Alto
Bajo
Alto
Bajo
Medio
A10
A11
A12
A13
A14
A15
A16
A17
A18
A19
A20
A21
A22
A23
A24
A25
A26
A27
A28
A29
A30
A31
87
A32
A33
A34
A35
A36
A37
A38
A39
A40
A41
A42
A43
A44
A45
A46
A47
A48
A49
A50
A51
A52
A53
A54
A55
A56
A57
ERP
Aplicativos CORE del negocio
Aplicativo de nomina
Sistema de Gestin Documental
Sistema de Gestin de Calidad
Aplicativo WEB transaccional
Pgina WEB
Intranet
Aplicativos seguimiento proyectos
CRM
Terminales empresariales
Directorio activo
Correo Electrnico
Bases de datos
FileServer
Video Conferencia
Gestin de privilegios
Identidad del Usuario
Datos de autenticacin
Usuarios genricos
Log de evento de seguridad
Registro de incidentes de seguridad
Manuales tcnicos de
administracin
Bitcora de control de acceso al
centro de computo
Plan estratgico de tecnologa
Documentos del proceso
3
4
3
2
1
0
1
0
0
0
0
4
3
4
4
0
4
2
4
4
3
3
3
3
3
2
1
3
3
1
2
3
3
4
3
4
4
1
4
4
4
4
4
4
1
1
1
1
1
2
3
1
2
1
0
0
2
2
2
1
0
1
1
1
0
0
3
4
3
2
1
0
1
0
0
0
0
4
3
4
4
0
4
2
3
3
3
3
3
3
3
2
1
3
3
1
2
2
3
4
3
4
4
1
4
4
4
4
4
4
1
1
1
1
1
2
3
1
2
1
1
0
2
2
2
1
0
1
1
1
0
0
2
2
2
1
1
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
1
1
1
1
0
1
0
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
2
0
2
0
0
0
2
2
2
1
0
2
2
2
0
0
3
4
3
2
1
3
3
1
2
3
3
4
3
4
4
1
4
4
4
4
4
4
3
4
3
2
1
3
3
1
2
2
3
4
3
4
4
1
4
4
4
4
4
4
2
2
2
1
1
1
2
0
2
0
0
0
2
2
2
1
0
2
2
2
0
0
3
4
3
2
1
3
3
1
2
3
3
4
3
4
4
1
4
4
4
4
4
4
Medio
Alto
Medio
Bajo
Bajo
Medio
Medio
Bajo
Bajo
Medio
Medio
Alto
Medio
Alto
Alto
Bajo
Alto
Alto
Alto
Alto
Alto
Alto
Bajo
Bajo
2
1
2
1
0
0
1
1
2
1
2
0
0
0
0
0
0
0
2
1
2
1
0
0
2
1
Bajo
Bajo
88
Nivel de
criticidad
Alto
Alto
Alto
Alto
Medio
Alto
Medio
Alto
Alto
Alto
Alto
Alto
Alto
Medio
Medio
Alto
Alto
Alto
Alto
Alto
Medio
Medio
Medio
Alto
Alto
Medio
Alto
Alto
Alto
Alto
Alto
Medio
Medio
Alto
Medio
Medio
Medio
Medio
Medio
Alto
Alto
89
Directorio activo
Equipos de seguridad perimetral
Log de eventos
Otros bancos
Plataforma de Correo
Porttiles
Red LAN
RED WAN
Servidores de administracin
Servidores de aplicaciones
Identificacin de riesgo
Para facilitar esta labor de identificacin, se elaboro la siguiente lista que contiene
una serie de riesgos de seguridad que en trminos generales pueden afectar a
cualquier tipo de organizacin y los principios de seguridad que se ven afectos,
relacionados con la confidencialidad, disponibilidad e integridad de la informacin:
90
RIESGOS
Acceso no autorizado
Auditorias dbiles
Cambio de privilegios sin autorizacin
Denegacin de Servicio
X
X
Manipulacin de la configuracin
Acceso no autorizado
Ataques externos /
internos (hacking no
tico)
Cambio de privilegios sin
Servidores de Administracin
Servidores de bases de datos de produccin
Servidores de aplicaciones de produccin
Plataforma de Correo
autorizacin
Directorio Activo
Servidores de Administracin
Desastres naturales
Divulgacin de
informacin de
autenticacin
Bases de Datos
Directorio Activo
Servidores de Administracin
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN
Red WAN
Directorio Activo
Computadores
Red LAN
Red WAN
Servidores de Administracin
Servidores de bases de datos de produccin
Servidores de aplicaciones de produccin
Plataforma de Correo
Equipos de seguridad perimetral
Porttiles
Bases de datos
Data Center del proveedor
Directorio Activo
Bases de datos
Directorio Activo
Servidores de Administracin
Area administracin de plataforma
Cuartos de Rack
Bases de datos
Directorio Activo
Servidores de Administracin
Directorio Activo
Red LAN
Red WAN
Servidores de Produccin
Servidores de bases de datos de produccin
Servidores de aplicaciones de produccin
Plataforma de Correo
Data Center del proveedor
Bases de datos
Directorio Activo
Servidores de Administracin
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN
Red WAN
Data Center del proveedor
Directorio Activo
Servidores de Administracin
Instalacin de software
no autorizado
Interceptacin no
autorizada de
informacin en trnsito
Interrupcin en los
servicios
Modificacin sin
autorizacin
Robo de equipos
Robo de informacin
Suplantacin de
identidad de usuarios
Uso inadecuado de
sistemas para generar
fraudes
Uso inadecuado de
sistemas que generan
interrupcin
Abuso de privilegios
92
Servicio de Correo
ACTIVOS
VULNERABILIDADES
Bases de Datos
Directorio Activo
Servidores de Administracin
Error del
administrador
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN
Contraseas no seguras
Inadecuada Administracin o Asignacin de roles y
permisos
Inadecuada Administracin de Seguridad
Polticas no aplicada o no existencia de seguridad
Ausencia de un sistema de continuidad de negocio
Ubicacin fsica de los equipos
Ubicacin fsica del centro de cmputo
Polticas no aplicada o no existencia de seguridad
fsica
Inadecuada Administracin de Seguridad
Contraseas no seguras
Polticas no aplicada o no existencia de seguridad
Inadecuada Administracin o Asignacin de roles y
permisos
Inadecuado mecanismo de cifrado
Ausencia de capacitacin permanente
Ausencia o inadecuado procedimiento de control de
cambios
Desmotivacin del personal
93
Red WAN
Servidores de Administracin
Servidores de bases de datos de
produccin
Servidores de aplicaciones de produccin
Plataforma de Correo
Equipos de seguridad perimetral
Directorio Activo
Polticas no aplicada o no existencia de seguridad
Computadores
Inadecuada Administracin o Asignacin de roles y
Porttiles
permisos
Instalacin de
software no
autorizado
Interceptacin no
Red LAN
autorizada de
Red WAN
informacin en
Correo
trnsito
Bases de datos
Data Center del proveedor
Interrupcin en
Directorio Activo
los servicios
Red LAN
Red WAN
Servidores de Produccin
Bases de datos
Directorio Activo
Servidores de Administracin
Modificacin sin
Servidores de bases de datos de
autorizacin
produccin
Servidores de aplicaciones de produccin
Plataforma de Correo
Robo de
informacin
Suplantacin de
identidad de
usuarios
Directorio Activo
Servicio de Correo
Bases de datos
Directorio Activo
Servidores de Administracin
Servidores de bases de datos de
produccin
Plataforma de Correo
Bases de datos
Uso inadecuado Directorio Activo
de sistemas para Servidores de Administracin
generar fraudes Servidores de bases de datos de
produccin
94
Uso inadecuado
de sistemas que
generan
interrupcin
Abuso de
privilegios
Valor Cualitativo
Valor Asignado
Raro
Baja (Improbable)
Media (Posible)
Alta (Probable)
Muy Alta
95
Impacto cuantitativo
(Porcentaje sobre
utilidad operacional)
Insignificante
Genera prdidas
financieras pequeas
no significativas.
(Perdida Menor o igual
a 0.25%)
Menor
Genera prdidas
financieras menores no
significativas.
(Perdida Mayor a
0.25% y menor o igual
a 5%)
Moderado
Genera prdidas
financieras moderadas.
(Mayor a 5% y menor o
igual a 20%)
Mayor
Genera prdidas
financieras mayores.
(Perdida mayor o igual
a 20% y menor a 50%)
Catastrfico
Genera prdidas
financieras crticas.
(Perdidas Mayores a
50%)
Impacto Cualitativo
(Uno o ms factores)
No afecta la seguridad de la informacin de
la entidad.
No afecta la imagen de la entidad ante las
partes interesadas.
Genera reprocesos insignificantes.
La informacin se puede recuperar
rpidamente con la misma calidad.
No afecta la seguridad de la informacin de
la entidad.
Afecta en menor grado la imagen de la
entidad ante las partes interesadas.
Genera reprocesos menores.
La informacin se puede recuperar en un
tiempo moderado con la misma calidad.
Afecta en menor grado la seguridad de la
informacin de la entidad.
Afecta medianamente la imagen de la
entidad ante las partes interesadas.
Genera reprocesos moderados.
La informacin se puede recuperar pero no
con la misma calidad
Afecta en mayor grado la seguridad de la
informacin de la entidad.
Afecta altamente la imagen de la entidad
ante las partes interesadas.
Genera reprocesos mayores.
Es difcil recuperar la informacin
Afectar seriamente la seguridad de la
informacin de la entidad.
Afecta gravemente la imagen de la
empresa ante las partes interesadas
Puede generar prdida masiva de clientes.
Genera alto nivel de reprocesos.
Es difcil y costoso recuperar la
informacin.
Afecta la continuidad del negocio
96
Valor
Riesgo Extremo
Riesgo Alto
Riesgo Medio
Riesgo Bajo
Accin requerida
15 puntos
incluso evitarlo
10 y menor a 15 puntos
RIESGOS
VALORACION IMPACTO
I
C
Mayor
Mayor
Moderado
Moderado
Mayor
Alta
Riesgo Alto
Raro
Riesgo Bajo
Mayor
Mayor
Riesgo Alto
Riesgo Bajo
Riesgo Medio
Riesgo Alto
Riesgo Medio
Riesgo Medio
Riesgo Medio
Riesgo Medio
Riesgo Medio
Mayor
Media
Riesgo Alto
Moderado
Mayor
Mayor
Riesgo Alto
Riesgo Alto
Alta
Riesgo Medio
Riesgo Medio
Riesgo Alto
Riesgo Alto
Baja
Riesgo Medio
Riesgo Medio
Baja
Riesgo Medio
Riesgo Medio
Baja
Mayor
Riesgo Alto
Riesgo Medio
Media
Mayor
Nivel de Riesgo
Media
Media
Moderado
Media
Moderado
Moderado
Media
Riesgo Extremo
Moderado
Alta
Alta
Mayor
Moderado
Menor
ESTIMACION DE RIESGO
I
Alta
Moderado
Catastrfico
Mayor
Probabilidad
Alta
Riesgo Medio
Riesgo Medio
Riesgo Extremo Riesgo Extremo Riesgo Extremo
R5. Divulgacin de
informacin de autenticacin
ACTIVOS
Area administracin de plataforma
Bases de datos
Cuartos de Rack
Data Center del proveedor
Directorio Activo
Equipos de seguridad perimetral
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Equipos de seguridad perimetral
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Data Center del proveedor
Red LAN y Red WAN
Correo
Data Center del proveedor
Directorio Activo
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Bases de Datos
Directorio Activo
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN y Red WAN
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Equipos de seguridad perimetral
Bases de datos
Directorio Activo
Servidores de Administracin
Servidores de bases de datos de produccin
Plataforma de Correo
Bases de Datos
Directorio Activo
Servidores de Administracin
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN y Red WAN
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Bases de datos
99
Nivel de Riesgo
Probabilidad x
impacto
Probabilidad
Impacto
4. Alta
5. Catastrfico
20
Riesgo
Extremo
4. Alta
4. Mayor
16
Riesgo
Extremo
4. Alta
4. Mayor
16
Riesgo
Extremo
4. Alta
4. Mayor
16
Riesgo
Extremo
4. Alta
3. Moderado
12
Riesgo
Alto
4. Alta
0. No afecta
12
Riesgo
Alto
3. Media
4. Mayor
12
Riesgo
Alto
3. Media
3. Moderado
Riesgo
Medio
3. Media
0. No afecta
Riesgo
Medio
3. Media
0. No afecta
Riesgo
autorizacin
R13. Suplantacin de
identidad de usuarios
Directorio Activo
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Area administracin de plataforma
Cuartos de Rack
Data Center del proveedor
Bases de datos
Directorio Activo
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Bases de datos
Data Center del proveedor
Directorio Activo
Red LAN y Red WAN
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Plataforma de Correo
Directorio Activo
Computadores
Porttiles
Directorio Activo
Servicio de Correo
Medio
3. Media
0. No afecta
Riesgo
Medio
2. Baja
4. Mayor
Riesgo
Medio
2. Baja
0. No afecta
Riesgo
Medio
3. Media
0. No afecta
Riesgo
Medio
2. Baja
3. Moderado
1. Raro
0. No afecta
100
Riesgo
Medio
Riesgo
Bajo
102
Aspectos a evaluar
Afecta impacto o probabilidad. Permite establecer el movimiento que
genera sobre la matriz, si sobre el eje X (probabilidad) o sobre el eje Y
(impacto)
Categora del control
Herramientas para ejercer el control
Estn definidos los responsables de la ejecucin del control y del
seguimiento
La frecuencia de la ejecucin del control y seguimiento es adecuada.
El tiempo que lleva el control ha demostrado ser efectivo
Est documentado los pasos para el manejo del control
Peso
Impacto
Probabilidad
Control Preventivo
Control Detectivo
Control Correctivo
SI
NO
SI
NO
SI
NO
SI
NO
SI
NO
20
15
5
15
0
15
0
20
0
20
0
10
0
65
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 34
103
Tipo de control
(afecta impacto
o probabilidad)
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Impacto
Simulacros de evacuacin
Impacto
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Impacto
Probabilidad
Estn definidos
los
La frecuencia El tiempo que
responsables de de la ejecucin
lleva el
la ejecucin del
del control y
control ha
control y del
seguimiento es demostrado
seguimiento
adecuada.
ser efectivo
Est
documentado
los pasos para
el manejo del
control
Categoria
Existe una
herramienta
para ejercer el
control
Preventivo
SI
NO
SI
SI
NO
20
15
20
20
Preventivo
20
Preventivo
SI
15
SI
SI
15
SI
SI
20
SI
NO
0
NO
NO
0
NO
20
15
15
20
Preventivo
20
Preventivo
20
Preventivo
20
Preventivo
20
Correctivo
5
Preventivo
20
Preventivo
20
Preventivo
20
Preventivo
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
NO
0
NO
0
SI
15
SI
15
SI
15
SI
15
NO
0
SI
15
NO
NO
0
NO
0
SI
20
NO
0
NO
0
NO
0
SI
20
NO
0
SI
NO
0
NO
0
SI
20
NO
0
NO
0
NO
0
SI
20
NO
0
SI
NO
0
NO
0
NO
0
SI
10
SI
10
SI
10
NO
0
SI
10
NO
20
15
20
20
Preventivo
SI
SI
SI
NO
NO
20
15
15
20
Correctivo
5
Preventivo
104
SI
15
SI
SI
15
SI
NO
0
NO
SI
20
NO
NO
0
SI
TOTAL
PUNTAJE
75
70
70
35
35
90
60
45
60
75
60
75
70
55
60
control de cambios
Centro principal de procesamiento TIER III y
Centro alterno de procesamiento TIER II
El acceso de los usuarios al los recursos
tecnolgicos se controla a travs del
directorio activo
Las aplicaciones cuentan con esquemas de
seguridad basado en roles y permisos
Se cuenta con un esquema de privilegios
sobre el fileserver
Se cuenta con un sistema de control de
acceso biomtrico para ingresar a las reas
seguras y cmaras de vigilancia
Existe guardias de seguridad que revisan a
los equipos que entran y salen de la entidad
Existen plizas contra robo de equipos
R13. Suplantacin de
identidad de usuarios
R14. Uso inadecuado de
sistemas para generar
fraudes
R15. Uso inadecuado de
sistemas que generan
interrupcin
Impacto
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Impacto
Probabilidad
Probabilidad
Probabilidad
Probabilidad
Impacto
Impacto
Probabilidad
Probabilidad
Impacto
20
Correctivo
5
Preventivo
15
SI
15
SI
15
SI
15
SI
0
NO
0
SI
0
NO
0
NO
10
SI
10
NO
20
15
15
20
Preventivo
20
Preventivo
20
Preventivo
SI
15
SI
15
SI
NO
0
NO
0
SI
NO
0
SI
20
SI
NO
0
NO
0
SI
NO
0
NO
0
SI
20
15
15
20
20
10
Preventivo
20
Correctivo
5
Preventivo
20
Preventivo
SI
15
SI
15
SI
15
SI
SI
15
SI
15
SI
15
SI
SI
20
SI
20
SI
20
SI
NO
0
SI
20
NO
0
NO
SI
10
SI
10
NO
0
NO
20
15
15
20
Preventivo
SI
SI
SI
SI
SI
20
15
15
20
20
10
Preventivo
SI
NO
SI
NO
NO
20
15
20
Correctivo
5
Correctivo
5
Preventivo
20
Preventivo
20
Correctivo
5
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
SI
15
NO
0
NO
0
NO
0
NO
0
NO
0
SI
20
NO
0
NO
0
NO
0
NO
0
NO
0
SI
10
NO
0
SI
10
NO
0
105
45
70
35
55
100
80
85
70
70
100
55
55
45
50
60
35
Valores de calificacin
del control
Entre 0 y 50 puntos
Entre 51 y 75 puntos
66
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 35
106
Total Controles
Probabilidad
Impacto
Nivel Riesgo
Riesgo
Medio
Riesgo
Medio
Riesgo
Medio
Riesgo Bajo
Riesgo
Medio
Riesgo
Medio
Riesgo Bajo
Riesgo Alto
Riesgo Bajo
Impacto
Total Controles
Probabilidad
TOTAL
PUNTAJE
Nivel riesgo
Impacto
RIESGO \ AMENAZA
Probabilidad
Inherente
75
70
70
35
35
90
Riesgo
Extremo
60
Riesgo Alto
45
1
Riesgo Bajo
Simulacros de evacuacin
60
75
Riesgo Medio
60
Riesgo Alto
75
Riesgo Medio
70
Riesgo
Extremo
Riesgo Medio
R8. Interceptacin no autorizada Los canales de comunicaciones con las regionales utilizan
de informacin en trnsito
protocolos de encripcin para la transmisin de datos.
R9. Interrupcin en los servicios
55
60
107
Riesgo
Extremo
0
0
0
1
1
0
cambios
45
70
35
55
100
80
85
70
70
Riesgo Medio
Riesgo Medio
Riesgo Bajo
Riesgo
Inusual
Riesgo Bajo
0
2
Riesgo Alto
1
3
100
Riesgo Medio
Riesgo Bajo
55
Riesgo Medio
Riesgo Bajo
Riesgo Medio
Riesgo
Medio
Riesgo Alto
55
1
0
45
50
60
35
108
Riesgo
Extremo
1
0
0
0
109
110
111
112
113
Accin de seguir
Establecer las medidas orientadas a prevenir su materializacin.
Establecer medidas encaminadas a disminuir tanto la probabilidad mediante
medidas de prevencin, como el impacto mediante medidas de proteccin.
Si es posible, reducir su efecto a travs del traspaso del riesgo a otras
organizaciones (ej. Seguros, tercerizacin de servicios).
Si al mitigar el riesgo este queda como un riesgo residual, se puede aceptar
el riesgo sin necesidad de tomar otras medidas de control.
Las siguientes son las opciones que se establecieron para el tratamiento de los
riesgos residuales de acuerdo a su a posicin en la matriz de 5x5:
Tabla 35. Opciones tratamiento riesgo residual del proceso de tecnologa
Riesgos
Riesgo
Opcin de tratamiento
Riesgo Medio
Disminuir el riesgo
Riesgo Medio
Disminuir el riesgo
Riesgo Medio
Disminuir el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Medio
Disminuir el riesgo
Riesgo Medio
Disminuir el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Alto
Prevenir el riesgo.
Riesgo Bajo
Reducir el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Inusual
Aceptar el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Bajo
Reducir el riesgo
Riesgo Medio
Disminuir el riesgo
Riesgo Alto
Prevenir el riesgo.
Los siguientes son los planes de tratamiento que se definieron para evitar,
disminuir o mitigar los riesgos residuales del proceso de tecnologa:
114
R1. Acceso no
autorizado
Activos afectados
Riesgo
Plan de
Residual Tratamiento
Afecta
D
Riesgo
Medio
Riesgo
Medio
Disminuir el
riesgo
Disminuir el
riesgo
R3. Cambio de
privilegios sin
autorizacin
Riesgo
Medio
Disminuir el
riesgo
R4. Desastres
naturales
Riesgo
Bajo
Reducir el
riesgo
Riesgo
Medio
Disminuir el
riesgo
Responsable
R5. Divulgacin de
informacin de
autenticacin
Riesgo
Medio
Disminuir el
riesgo
115
Direccin de Tecnologa
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Direccin de Tecnologa
Coordinador plan de
continuidad
Direccin de seguridad
Oficina de Informtica
Oficina de Informtica
Direccin de Tecnologa
Direccin de Tecnologa
Riesgos
R7. Instalacin de
software no
autorizado
Activos afectados
Directorio Activo, Computadores,
Porttiles
R8. Interceptacin no
autorizada de
Red LAN, Red WAN, Correo
informacin en
trnsito
R9. Interrupcin en
los servicios
R12. Robo de
informacin
Riesgo
Plan de
Residual Tratamiento
Riesgo
Bajo
Riesgo
Alto
Riesgo
Bajo
Riesgo
Bajo
Riesgo
Inusual
Riesgo
Bajo
Afecta
D
Reducir el
riesgo
Evitar el
riesgos
Atencin
inmediata
Reducir el
riesgo
Medidas
preventivas
para reducir
el riesgo
Aceptar el
riesgo
Responsable
Oficial de Seguridad
Direccin de Tecnologa
Direccin de Tecnologa
Direccin de Tecnologa
Direccin de Tecnologa
Direccin de Tecnologa
Direccin de Tecnologa
Coordinador plan de
continuidad
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Medidas
preventivas
para reducir
el riesgo
116
Oficial de Seguridad
Dueos de proceso
Riesgos
Activos afectados
R13. Suplantacin de
Directorio Activo, Servicio de Correo
identidad de usuarios
R16. Abuso de
privilegios
Riesgo
Plan de
Residual Tratamiento
Riesgo
Bajo
Riesgo
Bajo
Riesgo
Medio
Riesgo
Alto
Afecta
D
Medidas
preventivas
para reducir
el riesgo
Medidas
preventivas
para reducir
el riesgo
Medidas
prontas y
adecuadas
para
disminuir el
riesgo
Atencin
inmediata
117
Responsable
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Direccin de Tecnologa
Oficial de Seguridad
Oficial de Seguridad
Oficial de Seguridad
Direccin de Tecnologa
Direccin de Tecnologa
A.5.
A.6.
A.7.
A.8.
Gestin de Activos
A.9.
Control de Acceso
A.10. Criptografa
A.11. Seguridad Fsica y del Entorno
A.12. Seguridad de las Operaciones
A.13. Seguridad de las Comunicaciones
A.14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A.15. Relaciones con los Proveedores
A.16. Gestin de Incidentes de Seguridad de la Informacin
A.17. Seguridad de la Informacin en la Continuidad del Negocio
A.18. Cumplimiento de Requisitos Legales y Contractuales
La entidad aprende de las lecciones que dejan los incidentes de seguridad, con
el fin de mejorar las medidas y mecanismos orientados a proteger la seguridad
de la informacin.
120
Objetivo
Preparacin
Deteccin
Anlisis
Contencin
Erradicacin
Recuperacin
Actividades
post incidente
afectados
usando
67
121
Incidente
Descripcin
Infracciones de derechos
de autor o piratera
Violacin de la Polticas
Seguridad de la
informacin.
Acceso no
autorizado
Acceso no Autorizado
Modificacin no
Autorizada
Fuga o perdida de
informacin
68
Deteccin o ataque de
Se refiere a la introduccin de cdigos maliciosos en la
virus, software malicioso infraestructura tecnolgica de la Entidad. Ejemplos: Virus
y/o actividad no confiable. informticos, Troyanos, spam, Gusanos informticos
122
Ataques
Modificacin de sitios web Vulnerabilidades explotadas con xito en los servidores web o en las
(Defacement)
aplicaciones que estos alojan, que permiten a un atacante modificar
contenidos y pginas web.
Ingeniera social, fraude o Corresponden a la interceptacin, espionaje, chuzadas de telfonos,
phishing
ingeniera social o phishing, con el objetivo de obtener informacin
sin autorizacin y/o por engao.
Pruebas y
reconocimientos
Otro Incidente
Escaneos, pruebas o
intentos de obtener
informacin, redes o
servidores sin
autorizacin.
Alarmas de sistemas de
monitorizacin
Incluye los eventos que atentan contra los recursos tecnolgicos por
el mal uso y comprenden:
- Mal uso y/o Abuso de servicios informticos internos o externos
- Violacin de las normas de acceso a Internet
- Mal uso y/o Abuso del correo electrnico de la Entidad
- Modificacin, instalacin o eliminacin no autorizada de software
No clasificados en ninguna de las categoras de incidentes
anteriores
123
6. RESULTADOS Y DISCUSIONES
Los resultados obtenidos de este proyecto se derivan del desarrollo de tres fases
que fueron definidas para dar cumplimiento a los objetivos especficos que se
establecieron con el propsito de poder alcanzar el objetivo general de proyecto.
Las fases que se plantearon para llevar a cabo el proyecto son:
Fase II Preparacin.
124
126
Con base en la sumatoria del puntaje asignado para cada uno de las
respuestas seleccionados, el puntaje total obtenido por la entidad fue de 22
puntos, lo que significa que la entidad se encuentra clasificada en un nivel
MEDIO SUPERIOR de estratificacin, lo cual, significara inicialmente un
esfuerzo considerable por parte de la entidad para el establecimiento y
implementacin de su Sistema de Gestin de Seguridad de la Informacin.
70
127
Valor
SI
NO
Para determinar el nivel del cumplimiento del control se pondero el valor asignado
a las respuestas asociadas a l, resultado que se pondero con el valor obtenido
por los otros controles agrupados al determinado objetivo de control, para as
poder determinar el nivel de cumplimiento de los dominios de control y por ende el
de la entidad.
128
SI
33.33%
33%
24.17%
48.33%
0.00%
47.04%
100.00%
41.11%
0.00%
43.06%
62.50%
66.67%
0.00%
61.15%
69.05%
38.89%
50.00%
129
86.67%
A.10 CRIPTOGRAFIA
0.00%
0.00%
76.39%
66.67%
A.11.2 Equipos
86.11%
91.67%
62.50%
100.00%
100.00%
79.17%
100.00%
100.00%
100.00%
74.58%
66.67%
82.50%
37.04%
66.67%
44.44%
0.00%
54.17%
33.33%
75.00%
14.29%
14.29%
58.33%
16.67%
A.17.2 Redundancias
100.00%
A.18 CUMPLIMIENTO
30.00%
60.00%
0.00%
132
Tabla 40. Planes de accin niveles cumplimiento controles Anexo A ISO 27001:2013
OBJETIVO DE CONTROL
A.10 CRIPTOGRAFIA
%
CUMPLE
0%
CAUSA
PLAN DE ACCION
14%
PA1
PA2
A.6 ORGANIZACIN
La entidad no tiene definidos todos los roles y
DE SEGURIDAD DE LA 24% responsabilidades de la seguridad de la PA4
INFORMACION
informacin.
No cumple el control A.18.1.5 Reglamentacin
A.18 CUMPLIMIENTO 30%
de controles criptogrficos
Las polticas relacionadas con seguridad de la
Elaborar unas polticas de seguridad aprobadas por la
A.5 POLITICAS DE LA
informacin estn definidas en el Manual de
Alta Direccin para garantizar su debida
SEGURIDAD DE LA
33% Polticas de Seguridad Informtica del proceso
PA5 implementacin, actualizacin y cumplimiento.
INFORMACION
de tecnologa, manual no est aprobado ni es
revisado por la Alta Direccin
133
A.14 ADQUISICIN,
DESARROLLO Y
MANTENIMIENTO DEL
SISTEMA
A.8 GESTION DE
ACTIVOS
A.7 SEGURIDAD DE
LOS RECURSOS
HUMANOS
controles implementados.
Dentro del plan de continuidad del negocio de la
A.17 CONTINUIDAD
entidad no se tiene contemplados los requisitos
DE LA SEGURIDAD DE 58% para garantizar la seguridad de la informacin
LA INFORMACION
A.9 CONTROL DE
ACCESO
A.13 SEGURIDAD DE
LAS
COMUNICACIONES
A.11 SEGURIDAD
FISICA Y DEL
ENTORNO
135
PA14
Este diagnostico y los planes de accin que se establecieron, que hacen parte de
los entregables del proyecto, permitieron dar alcanzar el objetivo especfico OE3.
6.2. RESULTADOS FASE II PREPARACION
Esta fase se planteo y desarrollo con el propsito de poder alcanzar los siguientes
objetivos especficos del proyecto:
OE4. Establecer la estructura organizacional, roles y responsabilidades en cuanto
a la Seguridad de la Informacin.
OE5. Analizar las necesidades y requerimientos de las partes interesas de la
entidad con relacin al Sistema de Gestin de Seguridad de la Informacin.
OE6. Definir la poltica, alcance y objetivos del Sistema de Gestin de Seguridad
de la informacin.
136
El organigrama de la entidad.
Ley Estatutaria 1581 de 2012 Por la cual se dictan disposiciones generales para la proteccin
de datos personales
137
al Anexo D
y las
138
73
141
142
IDENTIFICAR Y
VALORAR ACTIVOS
DE INFORMACION
IDENTIFICAR Y
VALORAR ACTIVOS
DE INFORMACION
VALORACION DE
RIESGOS
Por lo tanto, el documento relacionado con el Anexo D que hace parte de los
entregables del proyecto, permite dar alcance al objetivo especfico OE7.
76
77
143
144
No
9
14
4
4
6
20
57
Los activos de criticidad Baja que corresponde al 28% de los activos que, y son
aquellos servicios de TI que no se requieren para soportar la contingencia de
los procesos crticos pero cuya seguridad al ser vulnerada puede afectar en un
grado bajo la confidencial del negocio. En este grupos estn: aplicativo de
mesa de ayuda, aplicativos no transacciones, intranet, video conferencia,
impresoras, servidores de pruebas y desarrollo, entre otros.
78
Anexo D, Capitulo 3.9 Determinar los activos para la valoracin de riesgos, Pg. 14
147
Una vez seleccionados los activos de informacin para la valorar los riesgos, se
procedi a identificar las amenazas asociadas a estos, para lo cual y con el
objetivo de facilitar esta labor, se utilizo la lista de riesgos relacionada en Tabla
22. Lista de riesgos y principios de seguridad afectados del presente trabajo, la
contiene los riesgos que pueden afectar a cualquier tipo de organizacin y los
principios de seguridad de la informacin que se afectan, relacionados con la
confidencialidad, integridad y disponibilidad. Esta lista fue compartida a los
funcionarios de la Direccin de Tecnologa, quienes a partir de ella identificaron las
amenazas a las cuales estn expuestos los activos de informacin seleccionados.
La siguiente grafica, muestra las amenazas identificadas y el nmero de los
activos de informacin seleccionados que pueden ser afectados por estas:
149
Una de las vulnerabilidades que puede ser aprovecha por 12 de las amenazas
identificadas, corresponde a la ausencia, no aplicacin o aplicacin no adecuada
de las polticas de seguridad de la informacin, por lo tanto, es esencial que las
polticas definidas en el Manual de Polticas de Seguridad de la informacin (ver
Anexo F) del presenta trabajo, sean aprobadas, publicadas e implementadas.
La inadecuada administracin de roles y permisos que puede ser aprovechada por
9 de las amenazas identificadas, es una de las debilidades que generalmente se
presente porque las organizaciones no cuentan con un esquema centralizado para
la gestin de la identidad de los usuarios y el manejo de los roles y permisos que
se les deben otorgar sobre los recursos tecnolgicos y sistemas de informacin.
Tambin aparecen debilidades como, contraseas no seguro, cuentas de usuario
sin auditar y la inexistencia de logs de eventos de seguridad, que ponen en
riesgos la confidencialidad, autentificad y trazabilidad de la identidad de los
usuarios y la privacidad de los datos de autenticacin (usuarios y contraseas)
que ellos utilizan parar acceder a los recursos tecnolgicos de la entidad.
La siguiente grfica corresponde al nmero de vulnerabilidades que puede ser
explotada por cada una de las amenazas identificadas:
Acceso no autorizado
Ataques externos / internos (hacking no tico)
Cambio de privilegios sin autorizacin
Desastres naturales (Terremotos, Incendios, Inundaciones, etc.)
Divulgacin de informacin de autenticacin
Error del administrador
Instalacin de software no autorizado
Interceptacin no autorizada de informacin en trnsito
Interrupcin en los servicios
Modificacin sin autorizacin
Robo de equipos
Robo de informacin
Suplantacin de identidad de usuarios
Uso inadecuado de sistemas para generar fraudes
Uso inadecuado de sistemas que generan interrupcin
Abuso de privilegios
de los riesgos identificados, as como el valor del riesgo inherente, se utilizaron los
criterios de valoracin establecidos en las tablas, Tabla 5. Valoracin probabilidad
de ocurrencia, Tabla 6. Valoracin del impacto y Tabla 7. Valoracin de los
riesgos79, de la metodologa de riesgos del Anexo D del presente trabajo. Con el
objetivo de facilitar estos clculos, se utilizo la hoja de Excel relacionada en el
Anexo E del presente trabajo de grado, la cual, fue diligenciada conjuntamente con
los coordinadores de las diferentes reas de la Direccin de Tecnologa, como
son, plataforma, desarrollo, mesa de ayuda, entre otras.
Resultado de valorar la probabilidad de ocurrencia y el impacto de las amenazas
identificadas, se obtuvo el valor del riesgo inherente de acuerdo a los datos y
valores relacionados en las Tabla 28. Valoracin de riesgos inherente Direccin
de Tecnologa y Tabla 29. Riesgos inherentes de Tecnologa por tipo de riesgo
del presente trabajo de grado.
La siguiente es la distribucin del riesgo inherente del proceso de gestin de
tecnologa:
79
152
tipo de riesgo e indica las acciones de tratamiento del riesgo a seguir. El siguiente
es el mapa de riesgos inherente del proceso de tecnologa:
https://www.oracle.com/es/corporate/pressrelease/2-19189.html
http://raytheon.mediaroom.com/index.php?s=43&item=2570
153
Figura 35. Disminucin nivel de riesgo por efectividad del control (1)
Figura 36. Disminucin nivel de riesgo por efectividad del control (2)
156
Impacto
Impacto
PxI
Nivel Riesgo
20
Riesgo
Extremo
16
Riesgo
Extremo
12
Riesgo Residual
Probabilidad
Probabilidad
Riesgo Inherente
PxI
Nivel riesgo
%
Disminucin
Riesgo Medio
75.00%
Riesgo Medio
50.00%
Riesgo Alto
Riesgo Medio
25.00%
Riesgo Bajo
Riesgo Bajo
25.00%
Riesgo Medio
Riesgo Medio
33.33%
12
Riesgo Alto
Riesgo Medio
25.00%
Riesgo Medio
Riesgo Bajo
33.33%
16
Riesgo
Extremo
12
Riesgo Alto
25.00%
Riesgo Medio
Riesgo Bajo
55.56%
Riesgo Medio
Riesgo Bajo
66.67%
Riesgo Medio
Riesgo Inusual
88.89%
12
Riesgo Alto
Riesgo Bajo
66.67%
Riesgo Medio
Riesgo Bajo
50.00%
Riesgo Medio
Riesgo Bajo
50.00%
Riesgo Medio
Riesgo Medio
25.00%
16
Riesgo
Extremo
12
Riesgo Alto
25.00%
RIESGO
44.97%
De acuerdo a estos datos los controles valoradores generaron una disminucin del
44.97% en el nivel del riesgos del proceso de tecnologa.
157
Los siguientes son algunos de los anlisis que se pueden establecer de acuerdo a
la disminucin del nivel de los riesgos que se presenta en el mapa de riesgo
residual del proceso de tecnologa:
Aunque los riesgos R5 - Divulgacin de informacin de autenticacin y R15 Uso inadecuado de sistemas que generan interrupcin, tuvieron una
disminucin del 25% en su nivel de riesgo, permanecieron en la zona media
del mapa de calor. Estos riesgos requieren de medidas para seguir reduciendo
el riesgo a niveles ms bajos.
A pesar de la disminucin que los controles genero sobre el Riesgo R4 Desastres naturales, este permaneci en la zona de riesgo bajo, donde se
requieren de algunas medidas preventivas para reducir el riesgo.
160
Existen seis riesgos (R1, R2, R5, R15, R3 y R6) en la zona media que
requieren de medidas prontas y adecuadas que permitan disminuir el riesgo a
nivel bajo o inusual.
Existen siete riesgos en la zona baja (R12, R14, R4, R10, R13, R7, R9) donde
el riesgo se mitiga con actividades propias y por medio de algunas medidas
preventivas para reducir el riesgo.
Existe un riesgo en la zona inusual (R11), que por esta en esta zona se puede
aceptar el riesgo sin necesidad de tomar otras medidas de control diferentes a
las existentes.
Las acciones que se definieron para el tratamiento de cada uno de los riesgos
valorados se encuentran en la Tabla 35. Opciones tratamiento riesgo residual del
proceso de tecnologa, del presente trabajo de grado. A partir de esta informacin,
se puede establecer la siguiente distribucin que indica el nmero de amenazas
de acuerdo a la opcin de tratamiento que se debe realizar para mitigar el riesgo:
161
Por lo tanto, y con el propsito de dar alcance al objetivo especfico OE8 que se
definido para el proyecto, se realizaron las siguientes actividades:
A.5.
A.6.
A.7.
A.8.
Gestin de Activos
A.9.
Control de Acceso
A.10.
Criptografa
A.11.
A.12.
A.13.
A.14.
A.15.
A.16.
A.17.
A.18.
165
7. CONCLUCIONES
El diseo de un Sistema de Gestin de Seguridad de la Informacin basado en un
modelo de mejoras practicas y lineamientos de seguridad, como es la norma
ISO/IEC 27001:2013, es un herramientas de gran ayuda que permite identificar los
diferentes aspectos que se deben tener en cuenta cuando las organizaciones
deciden establecer un modelo de seguridad de la informacin, ya que si los
organizaciones logran cumplir al pie de la letra lo establecido est en la norma
ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un adecuado y sostenible
Sistema de Gestin de Seguridad de la Informacin, aunque dicha labor depende
del tamao y naturaleza de la entidad y de la cultura de la misma en torno a la
seguridad de la informacin.
Esta labor debe comenzar con el compromiso demostrable de la alta directiva
hacia la seguridad de la informacin, labor que no es nada fcil cuando no se tiene
concebida la seguridad de la informacin dentro de los objetivos estratgicos de la
organizacin. El apoyo de la alta directiva, es indispensable para poder concebir
un modelo de Seguridad de la Informacin que realmente apoye y apalanque la
misin y visin de la organizacin, el cual es fundamental que se tenga antes de
comenzar a disear un Sistema de Gestin de Seguridad de la Informacin, ya
que si este no se logra conseguir, es casi seguro que cualquier iniciativa de
seguridad que se pretender adelantar, no alcancen los resultados esperados y si
por el contrario, genere el rechazo o el poco apoyo o inters por parte de la
organizacin.
Con este proyecto de grado se pretendi disear un Sistema de Seguridad de la
Informacin para una entidad financiera de segundo piso, para lo cual se decidi
utilizar como marco de referencia la norma ISO 27001:2013.
Resultado de tratar de aplicar los diferentes requerimientos de la norma ISO
27001:2013, se logro obtener una serie de diagnsticos que permitieron establecer
el nivel de madures de la entidad frente a la gestin de la seguridad de la
informacin.
A continuacin de describen las conclusiones de estos diagnsticos:
166
168
8. RECOMENDACIONES
La entidad requiere implementar una serie de controles con el objetivo de
fortalecer su seguridad y poder dar cumplimiento a los requerimientos establecidos
en la norma ISO 27001:2013, por eso es fundamental que lleven a cabo los
diferentes planes de acciones que se definieron en el presente trabajo de grado.
Es necesario que la Direccin de Tecnologa de la entidad revise su capacidad
con el objetivo de garantizar la debida implementacin de los controles y planes de
acciones que se requieren llevar a cabo para cerrar las brechas encontradas
producto de los diagnsticos realizados, ya que la mayora de estos planes de
accin requiere un componente tecnolgico.
Es necesario que la entidad evalu la vialidad de algunos planes de acciones
propuestos, debido a que su implementacin demanda la adquisicin de
herramientas y/o soluciones tecnolgicas que implica adelantar procesos de
contratacin para su adquisicin. Algunas de las soluciones tecnolgicas que se
proponen, pueden llegar a tener un costo elevado y/o su implementacin puede
demandar un tiempo considerable.
Realizar campaas de seguridad de la informacin, con el propsito de poder
generar un sentido de pertenencia y apropiacin en temas de seguridad en cada
uno de los funcionarios de la entidad, y concientizar sobre los riesgos que pueden
afectar la seguridad de la informacin.
Por ltimo, si no se consigue el compromiso demostrable de la Alta Directiva hacia
la seguridad de la informacin, el autor considera que no es recomendable
implementar en las organizaciones un Sistema de Gestin de Seguridad de la
Informacin.
169
BIBLIOGRAFIA
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
171
172
ANEXOS
ANEXO A. ENCUESTAS ESTRATIFICACION DE ENTIDADES
ANEXO B. EVALUACION CONTROLES ANEXO A ISO 27001-2013.
ANEXO C. ALCANCE POLITICAS Y OBJETIVO DEL SGSI
ANEXO D. METODOLOGIA DE GESTION DE RIESGOS
ANEXO E. CLASIFICACION ACTIVOS Y VALORACION DE RIESGOS
ANEXO F. MANUAL DE POLITICA SEGURIDAD DE LA INFORMACION
ANEXO G. PROCEDIMIENTO REPORTE Y ATENCION INCIDENTES DE
SEGURIDAD
173