Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
PROPUESTA DE IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA INTERNACIONAL
ISO/IEC 27001:2013 PARA LA CONSTRUCTORA ROA LEIVA S.A.S. DE LA
CIUDAD DE NEIVA
Directora:
2
PÁGINA DE ACEPTACIÓN
______________________________________________
DIRECTOR
______________________________________________
JURADO
______________________________________________
JURADO
3
AGRADECIMIENTOS
Esta propuesta es el resultado del esfuerzo conjunto de todos los que formamos el
grupo de trabajo. Por esto agradezco a nuestra tutora Irlesa Indira Sánchez
Medina, mis compañeros de trabajo y mi persona, quienes a lo largo de este
tiempo hemos puesto a prueba nuestras capacidades, esfuerzos y conocimientos
para el desarrollo de esté, el cual ha finalizado llenando todas nuestras
expectativas.
A mis profesores a quienes les debo gran parte de mis conocimientos, gracias a
su paciencia y enseñanza y finalmente un eterno agradecimiento a esta
prestigiosa universidad la cual nos abrió sus puertas, preparándonos para un
futuro competitivo y formándonos como profesionales y personas de bien.
4
DEDICATORIA
CAROLINA GONZALEZ
5
TABLA DE CONTENIDO
Agradecimiento 4
Dedicatoria 5
Glosario 10
Resumen 17
0 Introducción 18
1 Presentación del Proyecto de Grado 19
1.1 Planteamiento Del Problema................................................................................19
1.1.1 Definición Y Alcance del Problema .........................................................19
1.1.2 Formulación del Problema …......……………………………………………20
1.2 Alcance ………………………………………………………………………………….22
1.3 Justificación ……………………………………….....…………………………………23
1.4 Objetivos………………......…………………………………………………………....25
1.4.1 General ……….………………………………………………………….........25
1.4.2 Específicos…….………………………………………………………….……25
2 Marco Referencial ……………………………....……………………………….….………26
2.1 Marco Legal ………………………………………………………………………….…26
2.2 Marco Teórico…………………………………………………………………………..29
2.3 Marco Conceptual…………………………………………………………………...…34
2.4 Marco Contextual……………………………………………………………………....42
2.5 Marco Tecnológico……………………………………………………………………..45
3 Materiales y Métodos …………………………………………………………………….... 45
3.1 Materiales ………………………………………………………………………….……45
3.2 Metodología …………………………………………………………………………….47
4 Modelo de Madurez………………………………………………………………………….49
5 Desarrollo de la Propuesta………………………………………………………………....52
5.1 Soporte de la Dirección ……………………………………………………………….52
5.2 Alcance Del Sistema De Gestión De La Seguridad De La Información …………55
5.3 Análisis Diferencial …………………………………………………………………....57
5.4 Política de Seguridad de la Información……………………………………………..59
5.5 Cronograma ……………………………………………………………………………64
6 Planes de Acción…………………………………………………………………………….64
6
7 Conclusiones………………………………………………………………………………....84
8 Recomendaciones …………………………………………………………………………..86
Bibliografía …………………………………………………………………………………...…...87
7
LISTA DE TABLAS
Pág.
8
LISTA DE FIGURAS
Pág.
9
GLOSARIO
ACTIVO INFORMÁTICO: Se define como todo aquello que pueda generar valor
para la empresa u organización y sean sujetos de protección. Un activo o recurso
informático está representado por los objetos físicos (hardware, como los routers,
switches, hubs, firewalls, antenas, computadoras), entes abstractos (software,
sistemas de información, bases de datos, sistemas operativos) e incluso el
personal de trabajo y las oficinas.
10
C
11
DISPONIBILIDAD: Es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones; es el acceso a la información y a los sistemas por
personas autorizadas en el momento que así lo requieran.
IMPACTO: Es la cantidad de daño que puede causar una amenaza que explote
una vulnerabilidad.
12
INTEGRIDAD: Es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) A groso modo, la integridad es el mantener con exactitud la información tal
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
13
P
14
SGSI: Es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Información Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organización o de fuentes externas) o de la fecha de elaboración.
USUARIO: Persona que tiene una cuenta en una determinada computadora por
medio de la cual puede acceder a los recursos y servicios que ofrece una red.
Puede ser tanto usuario de correo electrónico como de acceso al servidor en
modo terminal. Un usuario que reside en una determinada computadora tiene
una dirección única de correo electrónico.
15
VIRUS: Programa que se duplica a sí mismo en un sistema informático
incorporándose a otros programas que son utilizados por varios sistemas.
16
RESUMEN
17
1. INTRODUCCION
18
2. PRESENTANCIÓN DE LA PROPUESTA DE GRADO
Por estas y más razones, y teniendo en cuenta cada uno de los pilares de la
seguridad de la información (Confidencialidad, Integridad y Disponibilidad) nuestra
constructora requiere la implementación de una SGSI la cual ayude a mitigar cada
uno de los riesgos; ya que se contará con la colaboración de los controles y los
procesos que la norma ISO/IEC 27001:2013 sugiere, y al mismo tiempo se le
estará dando el cumplimento al manual del gobierno en línea.
Antecedentes
19
definidas en el artículo 3 del decreto; las cuales se adoptan según acuerdo No.
005 de febrero de 2013. En el cuál se fija la creación del grupo de gobierno en
línea, con el objetivo de dar cumplimiento a los requerimientos establecidos por el
Ministerio de Tecnologías de la Información y las Comunicaciones (Ministerio TIC)
en el manual 3.1 de Gobierno en Línea (GEL).
Cada vez están más en auge las empresas que diseñan un sistema de gestión
de seguridad de la información SGSI. En la actualidad se ha convertido en una
técnica utilizada de acuerdo a las circunstancias cambiantes que han generado
preocupación y prevención en cada una de las organizaciones. Lo anterior, hace
que se establezca como prioridad un sistema de gestión de seguridad de la
información como parte relevante de una Organización. En algunos grupos
empresariales como ComBanc S.A, Etek International Holding Corp., Financial
Systems Company Ltda., Ricoh Colombia, S.A. están presentes estos sistemas
de gestión desde hace muchos años, y es la caja fuerte personal (a nivel web), en
la que se puede guardar joyas, documentos críticos en papel, o cualquier
elemento físico que no debe ser extraviado por el alto valor que tiene. Asumida en
20
toda la sociedad la importancia de la información concentrada en vídeos,
grabaciones de sonido, ficheros, documentos escaneados, fotografías, planos o
todo lo que en si cada organización considere valioso, se necesita poder guardar
cierta información en formato electrónico de modo completamente seguro a salvo
de desastres.
Por tanto, en el SGSI a diseñar, una de las medidas más destacables será el
salvaguardar el activo más indispensable que es la información y establecer los
controles necesarios para tal fin.
21
2.2. ALCANCE
22
2.3. JUSTIFICACION
23
2.4. OBJETIVOS
1.4.1 General
1.4.2. Específicos
24
3. MARCO REFERENCIAL
ISO/IEC 27001:2005
Política de seguridad
Organización de la seguridad
25
Clasificación y control de recursos
La seguridad del personal
La seguridad física y ambiental.
Administración de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
Plan de continuidad del negocio
Cumplimiento de normatividad legal
Cada dominio busca cumplir con unos objetivos que suman 56 en total. Para
cumplir los objetivos se deben evaluar 127 controles que son las recomendaciones
de la norma, las organizaciones deciden si adoptar o no el control dependiendo del
nivel de seguridad que desean para sus activos informáticos.
ISO/IEC 27002:2005
Políticas de Seguridad
Organización de la seguridad de la información
Gestión de activos
26
Seguridad de los recursos humanos
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de accesos
Sistemas de información, adquisición, desarrollo y mantenimiento
Gestión de incidentes de seguridad de la información
Gestión de continuidad del negocio
Cumplimiento
Circular G140-2009-SBS
Seguridad lógica
Seguridad de personal
Seguridad física y ambiental
Inventario de activos y clasificación de la información
Administración de las operaciones y comunicaciones
Adquisición, desarrollo y mantenimiento de sistemas informáticos
Procedimientos de respaldo
Gestión de incidentes de seguridad de información.
27
Cumplimiento normativo
28
Estándar RFC2196: Es uno de los principales estándares para la
seguridad de la información que como característica principal propone
que la puesta en marcha de este, se logre mediante procedimientos
descritos, publicación de guías u otros medios prácticos a consideración
de la organización, igualmente propone la inclusión de herramientas de
seguridad que garanticen el cumplimiento de las acciones relacionadas,
se detecten errores y se asignen responsables para cada posible
situación.
29
La Fase "Actuar" mantenimiento y mejora. Corresponde a la
realización de todas las acciones de prevención y corrección del
SGSI, con el fin de garantizar la mejora continua del mismo.
30
que se describen a continuación para poder tener una mejor concepción de su
significado en el contexto de la seguridad de la información; entre ellos se
encuentran:
31
Amenaza: Es el potencial que un intruso o evento explote una vulnerabilidad
específica. Es cualquier probabilidad que pueda ocasionar un resultado
indeseable para la organización o para un activo en específico.
32
Integridad: Estado de un objeto o individuo al poseer todas sus características
sin alteración alguna.
33
Fuente: http://www.iso27001security.com/index.htmr.
HISTORIA
Visión:
Misión:
ORGANIGRAMA
34
Constructora Roa Leiva S.A.S., presenta el siguiente organigrama.
35
4. DISEÑO METODOLOGICO
36
Identificar conductas, actitudes de las personas que se
encuentran en el universo de investigación
(comportamientos sociales, preferencias, etc.)
Análisis: Mediante esta acción es posible establecer que partes del sistema
necesitan protección, además, identificar cuáles son las vulnerabilidades y
amenazas y reconocer el grado de riesgo al que se enfrentan.
Clasificación: Se categoriza el riesgo y el nivel de aceptación.
Reducción y control: corresponde a labores de sensibilización del usuario y
al análisis de la efectividad de las medidas seleccionadas.
37
basado en la norma ISO/IEC 27001:2013, esto con el fin de establecer
antecedentes que sustenten la investigación.
http://repositorio.autonoma.edu.co/jspui/bitstream/11182/976/1/SGSI
%20CARDER%20-%20Informe%20Final.pdf
http://repository.poligran.edu.co/bitstream/handle/10823/994/Trabajo
%20Final.pdf?sequence=1&isAllowed=y
5. MODELO DE MADUREZ
38
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una
organización pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este
planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute definió para la madurez de la capacidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo
que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es
justificable.
Por tanto, se extrae para generar el siguiente cuadro que explica en qué estado
se encuentran los procesos en la organización para cualificarlos en la
presentación de procesos con relación al modelo de madurez.
39
funcionando efectivamente. Los procesos están bajo constante mejoramiento y
proveen buena práctica. Se usan la automatización y las herramientas en una
forma limitada o fragmentada
Optimizada. Los procesos han sido refinados hasta un nivel de la mejor
práctica, basados en los resultados de mejoramiento continuo y diseño de la
madurez con otras organizaciones. TI se usa en una forma integrada para
automatizar el flujo de trabajo, suministrando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte con rapidez
Directrices Gerenciales
40
pueden llegar a ser el nivel esperado de desempeño de mañana y es por lo tanto
útil para planificar dónde quiere una organización estar en el tiempo.
6. DESARROLLO DE LA PROPUESTA
Roa Leiva
Propósito
41
El propósito de este documento es establecer una propuesta para el Diseño de
un Sistema de Gestión de la Seguridad de la Información mediante la aplicación
del estándar ISO/IEC 27001:2013.
Razones
Objetivos De La Propuesta
42
Identificar los procesos y servicios críticos en la institución y elaborar un
Plan de Continuidad del Negocio para eventos de emergencia.
Responsabilidades
Recursos
43
Humanos: Funcionarios de la oficina de Sistemas y Telecomunicaciones.
Técnicos: Herramientas de ofimática (procesador de texto, hojas de
cálculo).
Otros: Documentos del estándar ISO/IEC 27001:2013, ISO/IEC
27002:2013 y documentación correspondiente a las metodologías de
análisis y evaluación de riesgos.
Entregables
44
Roa Leiva
Documentos De Referencia
45
Con el fin de alcanzar este objetivo, se ha propuesto desarrollar la fase de
planeación de un SGSI mediante el estándar ISO/IEC 27001:2013 teniendo en
cuenta las leyes y regulaciones que cobijan a la Constructora Roa Leiva S.A.S,
como lo es la Ley 1273 de 2009 (Ley de Delitos Informáticos en Colombia) y el
Decreto 2573 de 2014 (Estrategia de Gobierno en Línea).
46
Requisitos de la Norma ISO/IEC 27001:2013. Para que una organización esté
conforme al estándar ISO/IEC 27001:2013, no se deben excluir ninguno de los
requisitos especificados en los numerales 4 al 10.
47
Fuente: El Autor.
Fuente: El Autor.
48
necesidad de alinear el SGSI con el proceso de desarrollo tecnológico llevado a
cabo en la constructora.
Roa Leiva
Documentos De Referencia
49
Documento del Alcance del Sistema de Gestión de la Seguridad de la
Información.
Documento de Metodología del Análisis, Evaluación y Tratamiento de Riesgos.
Documento de Declaración de Aplicabilidad.
Lista de documentación legal, requerida y contractual.
Documento de la Política de la Continuidad del Negocio.
Objetivos Generales
50
Garantizar la disponibilidad y confiabilidad de la estructura y servicios de
transmisión de datos.
Garantizar la continuidad, operación y prestación de servicios de la institución
en caso de incidentes mayores de seguridad.
Motivar al personal en la seguridad de información con el fin de minimizar
riesgos.
Alcance E Importancia
Definiciones
51
Autenticidad: Permite que la información transmitida o intercambiada
provenga de fuentes auténticas y de quiénes dicen ser que son.
No Repudio: Garantizar que la transferencia de un mensaje ha sido
enviado y recibido por entidades que son quienes dicen ser.
Activo: Es cualquier recurso que genere valor para la institución. Dentro de
los activos informáticos se encuentran las bases de datos, sistemas
operativos, software, aplicaciones, códigos fuentes, dispositivos de redes y
comunicaciones, etc.
Vulnerabilidad: Es una falla presente en un activo y que pueda ser
explotada por intrusos.
Amenaza: Es la probabilidad de que ocurra un hecho indeseado y que
tenga un efecto negativo sobre un activo.
Riesgo: Es la probabilidad de que se materialice una amenaza y determine
el nivel de impacto en una organización.
Control: Son medidas que se implementan con el fin de mitigar los riesgos.
Responsabilidad
52
Si la persona administrativa detecta que ha sido violado un procedimiento
referente a las Políticas de Seguridad establecidas en este documento, deberá
informarlo inmediatamente al líder de la oficina de Sistemas y Telecomunicaciones
mediante un documento formal reportando el incidente, posibles causas y fallas
que podrían haberlo generado, así como las recomendaciones y/o controles para
mitigarlo.
6.5. CRONOGRAMA
7. PLANES DE ACCIÓN.
53
Los controles que se sugieren implementar para mitigar los riesgos identificados
en la fase de “evaluación y priorización de riesgos”, así como sus responsables y
tiempos aproximados de implementación se pueden encontrar en los planes de
acción.
54
continuidad y trasparencia al proceso. Este control debe ser implementado por
Gerencia General y Departamento de Informática y Tecnología en un plazo no
mayor a 6 meses.
55
Plan de acción: Administración de la calidad.
El plan de acción satisface las exigencias del negocio cuando satisface los
requerimientos del cliente de Informática y Tecnología, se hace posible a través de
la planeación, implementación y mantenimiento de estándares y sistemas de
administración que estén presentes en las diferentes fases del desarrollo con
entregables de usuario claros y con responsabilidades explicitas en el modelo; se
busca establecer con el control una cultura de calidad y se hace un entrenamiento
al usuario final con los planes de calidad y sus responsabilidades de
aseguramiento de la misma estableciendo buenas prácticas de control de calidad.
Controles a Implementar:
56
estableciendo los parámetros y aplicación de correcciones para cada caso.
Este control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 2 semanas.
Controles a Implementar:
57
distribución de todo el sistema serán integrados apropiadamente en un
sistema completo de administración de configuración siendo este un proceso
automático para soportar el registro y el seguimiento de cada actividad que
se realice. Este control debe ser implementado por la Vicepresidencia de
Informática y Tecnología en un plazo no mayor a 9 meses.
58
implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 4 meses.
59
de un plan de continuidad probado y funcional que este perfectamente alineado
con el plan de continuidad del negocio. Toma en consideración procedimientos
alternativos, respaldo y recuperación, clasificación con base en la criticidad,
pruebas y entrenamiento sistemático, procesos de escalamiento y monitoreo y
administración de problemas.
60
efectivo y la organización se encuentra en el punto clave para ejecutarlo.
Este control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 2 meses.
61
Backup de los sistemas de información: La organización debe respaldar y
almacenar toda la información en una ubicación completamente segura de
todos los sistemas críticos de información. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 3 meses.
62
debe ser implementado por la Vicepresidencia de Informática y Tecnología
en un plazo no mayor a 3 meses.
63
Este control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 1 mes.
64
ser implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 3 meses.
65
pueden compartir los mismo. Debe quedar evidencia explicita de la
aprobación y de la disposición sobre el mismo. El esquema de clasificación
debe tener los criterios de intercambio de datos entre organizaciones
teniendo en cuenta la seguridad y el cumplimiento. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología, Audito
Interno en un plazo no mayor a 3 meses.
66
Monitoreo continuo: La organización debería supervisar que los controles
de seguridad se mantengan de una forma continua. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 3 meses.
67
Incidente de accidentes y respuesta: La organización deberá proporcionar
a los usuarios ayuda para el manejo de cada incidente de seguridad. Este
control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 3 meses.
68
Control de los usuarios sobre sus cuentas: Los usuarios deben controlar
la actividad generada desde su propia cuenta, se establecerán los
mecanismos de información que permitan supervisar la actividad normal, así
como alertarlos sobre las actividades inusuales. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 3 meses.
Los requerimientos que se satisfacen con este plan de acción son asegurar que
los datos permanezcan completos precisión y validos durante su entrada,
actualización y almacenamiento, lo cual se hace posible a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones
de TI, toma en consideración el diseño de formatos, Controles de entrada,
procesamiento y salida, identificación, movimiento y administración de la librería
de medios, recuperación y respaldo de datos, autenticación e integridad y
propiedad de datos.
Controles a implementar:
69
fuente, procesos de recolección y seguimiento, transmisión de datos. Este
control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 8 meses.
70
Políticas y procedimientos de librería de medios y almacenamiento de
datos externo: La organización debe definir los controles para:
Procedimientos de reconciliación entre registros actuales y registros de
datos almacenados, reciclaje de datos y protección de información
sensitiva, rotación de medios de datos, inventario de datos de prueba y
pruebas de recuperación llevadas a cabo, administración de la librería de
medios y del sistema de administración de la librería, medios y funciones
del personal en el sitio alterno en el plan de continuidad, asegurar que el
archivo cumple con requerimientos legales y de negocio. Este control debe
ser implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 3 meses.
Controles a implementar:
71
Mantenimiento periódico: La organización debe fijar, realizar y documentar
el preventivo mantenimiento a cada uno de los componentes de los sistemas
de información de acuerdo a las especificaciones técnicas determinadas.
Este control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 2 meses.
72
todo esto debe ser limitado y mantenerse con la reserva adecuada. Este
control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 4 meses.
8. CONCLUSIONES
73
A del estándar. Esto a su vez, permitió elaborar las Políticas de Seguridad de la
Informaciones generales que deberían ser comunicadas a todos los funcionarios
con el fin de establecer un compromiso en mantener de los niveles de riesgos
aceptables.
Por otra parte, se pudo clasificar los activos de información y determinar el nivel
de riesgo potencial de cada uno de ellos aplicando una metodología de riesgos de
TI sistemática como MAGERIT, donde se pudo identificar los activos más críticos y
que requieren de mayor atención y controles de seguridad dado el alto impacto
que tienen en la prestación de servicios y funcionamiento óptimo de los procesos
de la institución. Para ello, se propuso un documento que contiene el Plan de
Continuidad del Negocio con el fin de mantener o restablecer en el menor tiempo
posible el funcionamiento de los mismos.
74
9. RECOMENDACIONES
A su vez, para obtener una mayor exactitud en determinar las amenazas de los
activos, permitir detallar las especificaciones técnicas de los mismos y
documentarse sobre las vulnerabilidades que presentan mediante la suscripción a
boletines especializados de seguridad de la información. Además, capacitar a los
funcionarios en temas relativos a la seguridad de la información y disponer
públicamente de las Políticas de Seguridad.
75
Por otra parte, para obtener resultados más precisos y de actualización
automática, se recomienda adquirir un software de gestión de riesgos para la
metodología MAGERIT que permita disponer en tiempo real el cálculo de los
niveles de riesgo potencial y residual, para realizar comparaciones con los niveles
de riesgos aceptables.
BIBLIOGRAFÍA
76
ARORA, V. (s.f.). "Comparing different information security standards: COBIT vs.
ISO 27001". En Línea. Disponible en Carnegie Mellon University, Qatar:
(http://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf)
DEBARATI, H., & JAISHANKAR, K. Cyber Crime and the Victimization of Women:
Laws, Rights, and Regulations.IGI Global, 2011.
77
HAMDI, M., BOUDRIGA, N., & OBAIDAT, M. S. Security Policy Guidelines. En H.
BIDGOLI, Handbook of Information Security: Threats, Vulnerabilities,
Prevention, Detection, and Management (págs. 945-958). New Jersey: Wiley,
2006.
ISACA. COBIT 5 Principles: ¿Where Did They Come From? En Línea. Junio de
2015. Disponible en ISACA: (http://www.isaca.org/knowledge-
center/research/researchdeliverables/pages/cobit-5-principles.aspx)
78