Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Macias Mendez Xiomara Mayerli 2015
Macias Mendez Xiomara Mayerli 2015
AUTORES:
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELECOMUNICACIONES
Código: 20131273028
Código: 20122273004
DE INGENIERIA EN TELECOMUNICACIONES
DIRECTOR DE PROYECTO:
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELECOMUNICACIONES
Observaciones
___________________________________________
___________________________________________
___________________________________________
___________________________________________
__________________________________
Ing. José David Cely Callejas
Director Del Proyecto
__________________________________
Ing. Giovani Mancilla Gaona
Jurado
En primera instancia a Dios, por acompañar nuestro camino e iluminarlo en los momentos de
lucidez y dificultad.
A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su ejemplo el
valor del esfuerzo.
A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza.
A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr llegar a la
meta que nos hemos propuesto.
A la empresa Atento S.A. por su apoyo incondicional, profesional y personal en la realización de
este proyecto.
CONTENIDO
1. INTRODUCCIÓN .................................................................................................................. 1
3. GENERALIDADES ............................................................................................................... 4
5.3.1. Objetivo................................................................................................................... 47
7. RESULTADOS..................................................................................................................... 64
8. CONCLUSIONES ................................................................................................................ 68
9. BIBLIOGRAFÍA .................................................................................................................. 69
En este este proyecto se realizó la creación de una política de seguridad con el fin de
establecer medidas para la protección de la información en la empresa Atento SA. A lo
largo del desarrollo del proyecto se realizaron análisis de activos informáticos vs la
seguridad de los mismos. En primera instancia se realizó el análisis de riesgos, donde se
identificaron los activos y el valor de los mismos, la identificación de amenazas, la
evaluación de impacto y la clasificación de riesgos que pudiesen causar dichas
amenazas. Enseguida se realizó el tratamiento de los riesgos, donde se identificaron los
controles de seguridad existentes en la empresa tomando como referencia la norma
ISO/IEC 27001:2013, ya que es objetivo de Atento SA certificarse en esta norma, se
identificó la situación actual y las brechas de seguridad. Con el proceso de investigación
dentro de la empresa se lograron obtener todos los datos necesarios para dar paso al
diseño de la política de seguridad y establecer el modelo de implementación que fue
remitido al comité de seguridad de Atento SA para su respectiva revisión y aprobación.
Como siguiente paso se realizó el diseño de conexión entre redes tanto externas como
internas de la compañía y por último se realizó la implementación de una herramienta de
seguridad aplicando las medidas de seguridad correspondientes.
1. INTRODUCCIÓN
En la actualidad el uso de los sistemas de información tiene una gran demanda dado el
incremento de servicios tecnológicos en las diferentes ramas de la industria y con ello también
el aumento de problemas de seguridad, afectando activos esenciales como la información. Es
necesario que las empresas se concienticen de la importancia de proteger la integridad de los
datos que manejan, puesto que el dejar de lado el tema podría incurrir en deterioro de la
información degradando los servicios y generando pérdidas económicas.
El propósito de asegurar la información consiste en hacer que los riesgos sean conocidos,
asumidos, gestionados y minimizados por la empresa. Realizando la documentación de tal
forma que sea estructurada, eficiente y ajustable a cambios, estas características deben primar en
el entorno de cualquier entidad moderna, que incorpore a su gestión las tecnologías de la
información y que este respaldada sobre una infraestructura tecnológica con amplio grado de
integración de redes, comunicaciones y sistemas de información.
1
2. DESCRIPCION DEL PROYECTO
2.1. Objetivos
2.1.1. General
Implementar un modelo de seguridad informática en un sistema de monitoreo para los
canales de comunicaciones y Datacenter en la empresa Atento SA.
2.1.2. Específicos
2.2.1. Alcance
2
2.2.2. Limitantes
Los activos relacionados en los análisis no representan la totalidad de los activos de la empresa,
pero si los que se consideran importantes en el área de TI.
Los controles de la norma ISO/IEC 27002:2013 serán planteados solo si hay riesgos que
justifiquen un control en particular, de lo contrario sería tomado como una pérdida de tiempo y
dinero.
3
3. GENERALIDADES
A continuación se darán algunas definiciones importantes, útiles para una mejor comprensión
de este proyecto.
3.1.1. Definiciones
- Activos de información: Los activos son los recursos que tienen valor o utilidad para la
organización, sus operaciones comerciales y su continuidad, necesarios para que la
organización funcione y alcance los objetivos que propone su dirección.
- Amenaza: Es todo aquello, ya sea físico o lógico que puede causar un incidente no
deseado, generando daños materiales o inmateriales a la organización y a sus activos,
como la perdida de información, o de su privacidad, o bien un fallo en los equipos físicos.
- Análisis de riesgos: Uso sistemático de la información para identificar fuentes y estimar
el riesgo.
- Confidencialidad: Acceso a la información por parte únicamente de quienes estén
autorizados. (Característica por la que la información no está disponible o revelada a
individuos, entidades o procesos no autorizados).
- Controles de seguridad: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido. También utilizado como sinónimo de salvaguarda o
contramedida.
- Declaración de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organización además de la justificación tanto de su selección como de la
exclusión de controles incluidos en el anexo A de la norma.
- Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. (Característica de permanecer
accesible y disponible para su uso cuando lo requiera una entidad autorizada).
4
- Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a
un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye
la valoración de riesgos y el tratamiento de riesgos.
- Impacto: El coste para la empresa de un incidente que puede o no ser medido en
términos estrictamente financieros ej., pérdida de reputación, implicaciones legales, etc.
- Información: Conjunto organizado de datos procesados que constituyen un mensaje que
cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La
información ya sea impresa, almacenada digitalmente o hablada, es considerada un activo
dentro de las compañías y debe protegerse.
- Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso. (Característica de salvaguardar la exactitud y completitud de los
activos).
- No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad
de información sensible, o representa un riesgo menor.
- No repudio: Es un servicio de seguridad que permite probar la participación de las partes
en una comunicación.
- PDCA: (Plan-Do-Check-Act) Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI),
verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).
- Política de seguridad: Documento que establece el compromiso de la Dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
- Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. (Combinación de la probabilidad
de un evento y sus consecuencias).
- Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
- Seguridad de la información: es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.
5
- SGSI: Sistema de Gestión de la Seguridad de la Información. Parte de un sistema global
de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza,
revisa, mantiene y mejora la seguridad de la información.
- Vulnerabilidad: Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo. (Debilidad de un activo o
conjunto de activos que puede ser explotado por una amenaza).
Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus
socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber
qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los
derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican
cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual
permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se
pide a los empleados que lleven consigo parte del sistema de información fuera de la
infraestructura segura de la compañía.
El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés
plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por
Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la calidad (SGC) y los
sistemas de gestión de la seguridad de la información (SGSI).
6
Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de
la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo
los costes, optimizando la productividad, reduciendo los precios, incrementando la participación
del mercado y aumentando la rentabilidad de la empresa u organización. (“Sistema de gestión de
la seguridad de la información,” 2015)
Fuente: Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/
7
minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de una empresa.
Figura 2.
Fuente: EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.
8
objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la
información. En general, cualquier empresa pública o privada y de cualquier ámbito de
actuación requiere que cierta información no sea accedida por diferentes motivos.
Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de
sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el
mercado puede depender de forma directa de la implementación de estos diseños, y se deben
proteger mediante mecanismos de control de acceso que aseguren la confidencialidad de la
información.
La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores, dependiendo
del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a
otro. (Mifsud, 2012)
9
3.2.4. MAGERIT (MAGUERIT, 2012)
MAGERIT es para todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT permite saber cuánto valor está en juego y ayuda a protegerlo. Conocer el riesgo al
que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Se persigue una aproximación metódica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad del analista.
Fuente: ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Consultado Agosto 1, 2015, de
http://www.pmnconsultores.com/ISO31000
10
MAGERIT persigue los siguientes objetivos:
- Directos:
o Concienciar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos.
o Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC)
o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos
bajo control.
- Indirectos:
o Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
- Estándar: Los estándares de seguridad son una herramienta que apoya la gestión de la
seguridad informática, ya que los ambientes cada vez más complejos requieren de
modelos que administren las tecnologías de manera integral, sin embargo, existen
distintos modelos aplicables en la administración de la seguridad.
11
- Mejor practica: Es una regla de seguridad específica a una plataforma que es aceptada a
través de la industria al proporcionar el enfoque más efectivo a una implementación de
seguridad concreta. Las mejores prácticas son establecidas para asegurar que las
características de seguridad de sistemas utilizados con regularidad estén configurados y
administrados de manera uniforme, garantizando un nivel consistente de seguridad a
través de la organización.
- Guía: Una guía es una declaración general utilizada para recomendar o sugerir un
enfoque para implementar políticas, estándares y buenas prácticas. Las guías son,
esencialmente recomendaciones que deben considerarse al implementar la seguridad.
Aunque no son obligatorias, serán seguidas a menos que existan argumentos
documentados y aprobados para no hacerlo.
Hay 11 etapas que deben realizarse en la vida de una política. Estas etapas son agrupadas en
cuatro fases:
12
- Fase de desarrollo: Durante esta fase la política es creada, revisada y aprobada.
- Fase de implementación: En esta fase la política es comunicada y acatada (o no cumplida
por alguna excepción).
- Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la
política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se
le debe dar mantenimiento (Actualizarla).
- Fase de eliminación: La política se retira cuando no se requiere más.
Fuente: Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC
Press.
13
técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política,
los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la
factibilidad de su implementación. De esta etapa se tendrá como resultado la documentación de
la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la
coordinación con entidades internas y externas que la política afectará, para obtener información
y su aceptación. En general la creación de una política es la función más fácil de entender en el
ciclo de vida de desarrollo de una política.
14
excepción. El proceso también debe permitir excepciones permanentes a la política, al igual que
la no aplicación de la misma por circunstancias de corta duración. (Nozaki & Tipton, 2011)
3.3. ANTECENDENTES
En el área de la seguridad informática se han venido desarrollando en los últimos años diferentes
tipos de aplicaciones e investigaciones con el fin de reducir los riesgos a los que se enfrentan las
empresas y dar soporte a las operaciones del negocio. A continuación se describen algunos de los
avances que han logrado en Colombia en diferentes entidades y/o universidades.
15
En la pontificia universidad católica de Perú, facultad de ciencias e ingeniería, en el año 2005, se
realizó el ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA
DE PRODUCCIÓN Y COMERCIALIZACIÓN DE PRODUCTOS DE CONSUMO MASIVO.
Este proyecto se diseñó para el caso de una empresa del rubro de producción y distribución de
alimentos de consumo masivo, este tipo de empresas también tienen la necesidad de proteger la
información. Por ejemplo, en unos de sus principales procesos que es el de producción, está
implicada información de gran importancia para la empresa, como “recetas” de productos,
programación de manufactura, sistemas que se usan, tipos de pruebas de calidad de producto,
etc., la cual debe estar resguardada correctamente para evitar que dicha información se pierda o
caiga en manos indebidas y así garantizar que se logren los objetivos del negocio. Esta tesis
tomó en cuenta los aspectos más importantes de la norma ISO/IEC 27001:2005. (Espinoza,
2013)
16
norma ISO 27000. Este artículo está orientado al cumplimiento de las normas de seguridad de la
información, da recomendaciones para asegurar toda la información, pues la seguridad de la
información no es sólo una simple cuestión de tener los nombres de usuario y contraseñas. En
realidad la seguridad de la información se convierte en una parte muy importante de los activos
intangibles de la organización. El nivel de confianza de las partes interesadas es el indicador de
desempeño exitoso de la organización. En este trabajo se discutieron los retos y las brechas en
seguridad de la información, con referencia a varias encuestas en el campo de la seguridad de la
información, lo que los llevó a entregar un modelo (llamado modelo solución integrada, modelo
i-solución) para la comprensión de las normas de gestión de seguridad de la información (SGSI)
término y concepto. En este artículo también se describe la implementación una aplicación para
evaluar el nivel de preparación de una organización hacia la norma de seguridad de la
información, ISO 27001. (Susanto, Nabil & Chee, 2012)
Fuente: Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches:
novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniería y la tecnología
(IJET)
17
3.4. MARCO LEGAL
o ISO/IEC 27002: Este documento es una guía de buenas prácticas para la gestión
de seguridad la cual describe los objetivos de control y controles recomendables,
se encuentra organizado en 11 dominios, 39 objetivos de control y 133 controles.
18
orientar hacia una implementación efectiva del modelo de seguridad que se
encuentre acorde con ISO/IEC 27001.
A continuación se describen algunos reglamentos vigentes a nivel nacional que influyen directa
o indirectamente en la seguridad informática de las empresas en Colombia
19
4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la
firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.
En este sentido, los estándares, las políticas organizacionales, los planes de seguridad y
estrategias de seguridad que adopten las organizaciones deberán estar acordes a la legislación
existente en el país donde pretendan aplicarse para asegurar todos los activos informáticos,
sistemas de información y los datos. (Alcaldía Mayor de Bogotá D.C., 2008)
3.5. Metodología
Después de realizar la investigación de los métodos posibles para abordar el desarrollo de este
proyecto, se identificó que la metodología del Ciclo de Deaming es muy usada en el desarrollo
de proyectos universitarios y empresariales, ya que abarca 4 importantes fases para llevar a cabo
el cumplimiento de los objetivos de forma sistemática y progresiva, logrando un que el
desarrollo del proyecto sea organizado y conciso.
20
Primera etapa, “planificación”. La documentación de esta etapa, se realizó de cierta manera en
el inicio de este documento, al plantar la introducción y objetivos para lograr la resolución de la
problemática.
Tercera etapa, verificar. Como parte de esta etapa se realizó el proceso de preproducción, donde
se evidencia la implementación de la política y se toman resultados.
Cuarta etapa, actuar. En el ámbito de este proyecto el actuar consistió básicamente en la entrega
de la política de seguridad al comité de seguridad de Atento SA y se complementaría en el caso
de que sea aprobada e implementada.
- Selección de protección, permite seleccionar los mecanismos de protección que hay que
implementar. (MAGUERIT, 2012)
21
4. DISEÑO METODOLOGICO DEL PROYECTO
- Valoración de Activos
En la Tabla 1 se muestra el nivel de valor que pueden tomar los activos en la compañía, el
cual inicia desde un valor muy bajo hasta un valor muy alto. Este valor fue tomado en
relación con el costo de cada valor que fue entregado por la empresa:
22
Tabla 2: Probabilidad de ocurrencia de un evento
Frecuencia (Anualmente)
# Años Descripción Abreviatura # Días Valor
1 Extremadamente
Frecuente EF 1 1
1
Muy Frecuente MF 15 0,06666667
1 Frecuente F 60 0,01666667
1
Poco Frecuente PF 183 0,00546448
Muy poco
1
Frecuente MPF 365 0,00273973
RELACION DE IMPACTO
Valor Valor
Cualitativo Abreviatura Cuantitativo
Critico C (80% - 100%]
Alto A (60% - 80%]
Medio M (30% - 60%]
Bajo B [5% - 30%]
23
Tabla 4: Dimensiones de Seguridad
Dimensiones
Cód.
Dimensión Dimensión
A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad
TIPOS DE ACTIVOS
Cód. Activo Tipo de Activo
I Instalaciones
H Hardware
A Aplicaciones
D Datos
R Redes
S Servicios
P Personal
24
Tabla 6: Tipos de Amenazas
TIPOS DE AMENAZAS
Cód. Amenaza Tipo Amenaza
DN Desastres naturales
IN De origen industrial
EF Errores y fallos no intencionados
AI Ataques intencionados
25
4.1.3. Identificación de Amenazas
En esta etapa se clasificaron las amenazas en 4 grupos principales (ver Tabla 7) de acuerdo al
enfoque metodológico de MAGERIT, este método cuenta con un libro adicional (Catalogo de
Elementos) donde describe los diferentes tipos de amenazas que pueden ser aplicados de
acuerdo al tipo de activo que se esté analizando. Al igual que en la etapa anterior, a las
amenazas se les asigno un código identificador y se definieron cuales amenazas son las que
afectan a las 5 dimensiones de seguridad (ver Tabla 5) y cuales afectan los 7 tipos de activos
(ver Tabla 6).
En la Figura 8 se pueden observar 2 de los grupos de amenazas y las amenazas que conforman
cada grupo. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos.
Dimension Activos Afectados
Grupo Cod. Amenaza Amenaza Afectada por Grupo
A C I D T I H A D R S P
DN01 Fuego x x x
Desastres
DN02 Daños por agua x x x
naturales
DN03 Otros desastres Naturales x x x
IN01 Fuego x x x
IN02 Daños por agua x x x
IN03 Contaminacion Mecanica x x
IN04 Contaminación electromagnética x x
IN05 Avería de origen físico o lógico x x x
De Origen
IN06 Corte del suministro eléctrico x x
Industrial
IN07 Condiciones inadecuadas de temperatura o humedad x x
IN08 Fallo de servicios de comunicaciones x x
IN09 Interrupción de otros servicios y suministros esenciales x x
IN10 Degradación de los soportes de almacenamiento de la información x x
IN11 Emanaciones electromagnéticas x x x
En esta etapa se relacionaron los activos con las amenazas, a cada activo se asociaron las
amenazas que podrían generar de alguna manera un riesgo, también se estableció la frecuencia
con que cada amenaza puede materializarse en un determinado activo (ver Tabla 3) y se
determinó el impacto que puede causar sobre las diferentes dimensiones de seguridad.
26
En la Figura 10 se puede observar una pequeña parte de análisis, se muestra el código de activo
H01, el cual corresponde al grupo de tipo Hardware, para este activo se asociaron 23 amenazas,
la frecuencia y el impacto sobre cada dimensión. Para consultar la información completa ver
Anexo 1. Etapa de análisis de riesgos.
27
En esta etapa se realiza la identificación de los tipos de protección que se pueden aplicar de
acuerdo al método MAGERIT, frente a cada amenaza identificada, se buscó un método de
protección que permita contrarrestar el impacto potencial. Teniendo definidos los métodos de
protección se estima el porcentaje de efectividad que puede tener frente a cada evento. La tabla
completa se pude consultar en el Anexo 1 Etapa de análisis de riesgos.
Para el cálculo del riesgo residual, como no cambiaron los activos, solo cambio la magnitud de
degradación, la cual está dada por la proporción que resta entre la efectividad ideal (100%) y la
efectividad estimada para cada tipo de protección, se realizó el análisis con estos nuevos
valores.
En la Figura 9 se muestra una pequeña parte del análisis realizado mostrando como resultado
final el riego residual para los activos del área de TI en la empresa Atento SA. Para consultar el
análisis completo ver Anexo 1 Etapa análisis de riesgos
.
28
IMPACTO
Cod. PROTEGER PROTECCION SUGERIDA REDUCCION RIESGO RESIDUAL
AMENAZA POTENCIAL
Amenaza ? PARA MITIGAR EL RIESGO DEL RIESGO (Pesos)
(Pesos)
Sistema de supresión y
protección contra
DN01 Fuego 1059993 SI incendios 70% 317997,9
DN02 Daños por agua 942216 SI Detectores de humedad 60% 376886,4
Otros desastres
DN03 Naturales 942216 SI pólizas de seguro 40% 565329,6
Sistema de supresión y
protección contra
IN01 Fuego 1059993 SI incendios 70% 317997,9
IN02 Daños por agua 942216 SI Detectores de humedad 60% 376886,4
Contaminacion
IN03 Mecanica 824439 NO No es requerida 0% 824439
Contaminación
IN04 electromagnética 588885 NO No es requerida 0% 588885
Avería de origen físico
IN05 o lógico 706662 NO No es requerida 0% 706662
Corte del suministro
IN06 eléctrico 706662 NO No es requerida 0% 706662
Condiciones
inadecuadas de
temperatura o
IN07 humedad 706662 NO No es requerida 0% 706662
Emanaciones
IN11 electromagnéticas 588885 NO No es requerida 0% 588885
Errores del
EF02 administrador 706662 NO No es requerida 0% 706662
Errores de Procedimientos y
mantenimiento / contratos de
actualización de mantenimiento
EF15 equipos (hardware) 4299828 SI preventivo 70% 1289948,4
Caída del sistema por
agotamiento de Sistema de monitoreo y
EF16 recursos 1879753,6 SI alertas tempranas 70% 563926,08
Control de acceso fisico y
EF17 Pérdida de equipos 1879753,6 SI pólizas de seguro 70% 563926,08
Abuso de privilegios de Sistema de monitoreo y
AI06 acceso 1879753,6 SI alertas tempranas 70% 563926,08
AI07 Uso no previsto 706662 NO No es requerida 0% 706662
Video vigilancia y tarjetas
AI11 Acceso no autorizado 942216 SI de proximidad 70% 282664,8
Modificación
deliberada de la
AI15 información 824439 NO No es requerida 0% 824439
Manipulación de los Sistema de monitoreo de
AI23 equipos 1409815,2 SI integridad (HIDS) 70% 422944,56
29
Dado que ya se identificaron los riesgos residuales a los que está expuesta la empresa Atento
S.A. Se deben plantear los controles que ayuden alcanzar el nivel de seguridad óptimo para la
organización, basados en el estándar ISO27002:2013.
30
- A.5 Política de seguridad de la información
En este grupo de controles, lo ideal es diseñar e implementar una base de datos, que permita de
forma amigable, el alta, baja y/o modificación de cualquiera de estos campos.
31
Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y
condiciones de empleo.
Durante el empleo: Administración de responsabilidades, preparación, educación y
entrenamiento en seguridad de la información, medidas disciplinarias.
Finalización o cambio de empleo: Finalización de responsabilidades, devolución de
recursos, revocación de derechos.
Este grupo define las protecciones adecuadas para cada activo de la organización según su
importancia al igual que el manejo de los medios de comunicación.
32
Este grupo cubre catorce controles y se encuentra subdividido en:
Requerimientos del negocio para control de acceso: Debe existir una Política de
Control de accesos documentada, periódicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.
33
En este grupo, los controles están dirigidos a prevenir el acceso no autorizado a la
información mantenida en las aplicaciones. Propone redactar, dentro de la política de
seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a
su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Los
cuales no pueden ser accedidos de ninguna forma vía red, sino únicamente estando
físicamente en ese lugar. Por lo tanto si se posee alguna aplicación que entre dentro de
estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con
el resto de la infraestructura.
- A.10 Criptografía
34
equipamiento fuera de la organización, seguridad en la redistribución o reutilización
de equipamiento, borrado de información y/o software.
El objetivo primordial de este grupo es evitar la pérdida, el daño, el robo o el compromiso de los
activos y la interrupción de las operaciones de la organización.
Al igual que los accesos no autorizados sobre las instalaciones e infraestructura de la
organización.
35
disponibles a todos los usuarios que los necesiten, segregando adecuadamente los
servicios y las responsabilidades para evitar uso inadecuado de los mismos.
36
Control operacional del software: El objeto del control operacional es identificar
aquellas operaciones y actividades sobre las que es necesario aplicar medidas de
control, como consecuencia de su influencia en los riesgos identificados, y de esta
forma planificar tales actividades para que se desarrollen bajo condiciones
especificadas.
37
El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo
control que remarca la necesidad de las copias de respaldo y recuperación.
Seguridad en los procesos de desarrollo y soporte: Este apartado tiene como objeto
Mantener la seguridad del software del sistema de aplicaciones y la información. Es
importante que la organización pueda garantizar que todas las propuestas de cambio
en los sistemas sean revisadas y verificar que no comprometen la seguridad del
sistema o del entorno operativo.
38
Gestión de la prestación de servicios de proveedores: Para llevar a cabo este control,
la organización debe garantizar que los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo
sean implementados, operados y mantenidos por la parte externa.
39
junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias
para la seguridad de información.
Este proceso debería identificar los procesos críticos de negocio e integrar los requisitos de
gestión de la seguridad de información para la continuidad del negocio con otros requisitos
de continuidad como operaciones, proveedores de personal, materiales, transporte e
instalaciones.
- A.18 Conformidad
Para determinar el estado actual de la organización se analizó con el equipo de trabajo los
controles actuales con los que cuenta la compañía, comparándolos con los controles que indica la
40
norma. El análisis de brecha consiste en identificar los controles que son requeridos y los
procedimientos que deben ser desarrollados por las actividades y operaciones de la organización,
para acceder a la certificación ISO/IEC 27001:2013. El análisis evidencia la capacidad de
seguridad de la información actual y el grado en que la seguridad de información de gestión de
seguridad se ha implementado.
En la Tabla 7 se relaciona el encabezado del documento análisis de brechas (Anexo 2. Gestión del
riesgo) y la descripción del contenido de cada columna, como las convenciones que se usaron.
Brechas
Item ISO 27001 Control Estado Situación Actual ID Brecha
identificadas
Se relaciona el En esta -Parcialmente Se describe la R: Indica que Se describe
Item del columna se implementado: situación actual el control es las acciones
estándar ISO describen Los Se ha tomado de la requisito para que no se
27001 al que controles que alguna acción organización lograr obtener han tomado
equivale el fueron para el frente a este la certificación. de acuerdo a
control seleccionados control, pero control. C: Son la
de acuerdo a no cumple con controles que comparación
los lo estipulado se deben entre el
requerimientos en la norma. implementar. control y el
identificados -Inexistente: A cada letra se estado actual
por la No se ha le asigna un de la
valoración del tomado número con el organización.
riesgo. ninguna fin de
acción identificarlas
posteriormente.
41
4.2.3. Declaración de aplicabilidad
Nivel de
Control Estado de madurez
Cumplimiento
Políticas de Seguridad 25 Inicial
Organización de la Seguridad de la
2 Inexistente
Información
Parcialmente
Seguridad de los Recursos Humanos 58
implementado
Gestión de Activos de Seguridad de la
20 Inicial
Información
Control de accesos (aplicaciones) 11 Inexistente
Criptografía 5 Inexistente
Seguridad física y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Parcialmente
Seguridad en las comunicaciones 59
implementado
Adquisición, desarrollo y mantenimiento de Parcialmente
50
sistemas implementado
Parcialmente
Relaciones con los proveedores 40
implementado
Gestión de incidentes de seguridad de la
21 Inicial
información
42
Aspectos de la SI de la gestión de
80 Manejado
continuidad de negocio
Cumplimiento 5 Inexistente
43
5. PLAN DE ACCIÓN
Este capítulo trata de cómo llevar a cabo la implementación del modelo de seguridad planteado
en este documento. Cabe aclarar que el análisis y la gestión de riesgos, son la parte esencial del
proceso de seguridad de cualquier empresa y deben permanecer permanentemente actualizados.
44
Con el fin de dar cumplimiento a las pautas mencionadas anteriormente se diseñó un cronograma
de actividades con fechas tentativas, en donde cada acción tiene asignado un responsable que a
su vez tiene asignadas dos fechas, una fecha inicial para dar inicio a la solución de la brecha y
una fecha final en la que se espera se dé solución a esta. Consultar Anexo 2. Gestión del riesgo.
45
- P3 - Consolidación del proceso de altas, bajas y cambios de Contratistas: Este consiste
en realizar acuerdos de servicio con los terceros que prestan servicios a la compañía y de
tal forma determina si es viable continuar trabajando con estos.
- P4 - Guía de homologación de terceros: Los terceros son una extensión de la empresa, en
ese sentido la homologación es una manera de lograr que ellos reflejen los valores,
compromiso y un estándar en el servicio con la empresa Atento SA.
- P5 - Gestión de identidad y acceso: Este consiste en estandarizar la gestión del acceso a
través de varias plataformas para usuarios, dispositivos, aplicaciones y procesos
empresariales, así como puntos de seguridad física como lectores de identificadores,
tarjetas inteligentes y biométrica.
- P6 - Revisión técnica de vulnerabilidades de sistemas: Este consiste en hacer un
seguimiento constante de parches de seguridad mediante herramientas de gestión de
vulnerabilidades y/o actualización automáticas. Evalúa la relevancia y criticidad o
urgencia de los parches en el entorno tecnológico. Actualización de versiones de
sistemas para que los equipos no queden fuera de soporte por el fabricante.
- P7 – Seguridad de dispositivos portátiles: Este radica en actualizar los navegadores
instalar software de seguridad necesarios y mantener los equipos actualizados, en
general verificar que las políticas se cumplan.
- P8 - Formación, concienciación, sensibilización en SI: Este promueve la seguridad de la
información dentro de cultura organizacional.
-
En la Tabla 9 cronograma a un año, permite entender de manera más sencilla y visual la
planificación planteada para los mismos.
Tabla 9 Cronograma de ejecución
P0 – Análisis de Riesgos
P1 – Clasificación de la
información de la compañía en
base a la normativa establecida
P2 – Aprobar, establecer y
difundir el Cuerpo Normativo
46
de SI
P3 - Consolidación del proceso
de altas, bajas y cambios de
Contratistas
P4 - Guía de homologación de
terceros
P5 - Gestión de identidad y
acceso
P6 - Revisión técnica de
vulnerabilidades de sistemas
P7 – Seguridad de dispositivos
portátiles
P8 - Formación ,
concienciación, sensibilización
en SI
Para llevar a cabo este plan de acción se requiere definir el rol responsable de seguridad de la
información (planificar, desarrollar, controlar y gestionar las políticas, procedimientos y
acciones con el fin de mejorar la seguridad de la información).
Como parte del plan de acción se crea una política de seguridad para los sistemas de información
del Datacenter de la empresa, está orientada a cumplir con los controles de seguridad
mencionados en este documento.
Con el fin de llevar a cabo la implementación, se entrega modelo de la política al comité de
seguridad para su respectiva revisión y aprobación. Anexo 3. Política de seguridad Atento.
5.3.1. Objetivo
La política de seguridad informática tiene por objeto establecer las medidas de tipo técnico
y organizacional, necesarias para garantizar la seguridad de las tecnologías de información
(equipos de cómputo, sistemas de información, redes (Voz y Datos)), las cuales se aplican a
todos los usuarios de cómputo de las empresas.
Esta política se requiere proteger los activos de información de todas las amenazas internas o
externas bien sean intencionales o accidentales, tiene como fin asegurar los pilares de la
seguridad informática (Confidencialidad, integridad y disponibilidad).
47
5.3.2. Requerimientos organizacionales:
Se designará un responsable de Seguridad de la información de Atento SA. Esta persona
garantizara la seguridad de los distintos sistemas informáticos y de las redes de
telecomunicaciones soportadas por Atento SA., tendrá el compromiso de prevenir la
ocurrencia de acciones inapropiadas o comportamientos ilegales de los distintos usuarios
que utilizan los recursos informáticos, así como los usuarios externos que acceden a éstos
recursos.
Toda documentación acerca de las políticas de seguridad de la información deberá ser
aprobada por el respectivo Comité de Seguridad y por el Director País de Atento SA y
comunicada a todos los usuarios de la organización a través de los diferentes canales de
comunicación que posee.
5.3.3. Comunicación:
A continuación se describe el modelo de difusión, en caso de que la política sea aprobada
por el comité:
- Publicación en la intranet de la empresa. Responsable Administrador de Servidores
- Envió de comunicados internos por medio del correo electrónico corporativo.
Responsable Recursos Humanos
- Notificación de existencia de la política por medio del fondo de pantalla de los equipos de
trabajo. Responsable Centro de Computo
- Publicación de la política en carteleras ubicadas en lugares estratégicos dentro de la
empresa. Responsable Recursos Humanos.
- Capacitación por medio de charlas en reuniones con los diferentes grupos o áreas de
trabajo.
Los anteriores puntos se deben cumplir a cabalidad inmediatamente aprobada la política de
seguridad. De la buena difusión y concientización de los empleados, depende el éxito de
implementación de la política y el aumento en la seguridad de la empresa.
48
5.4. Diseño de la infraestructura lógica de interconectividad
Para la empresa Atento es muy importante contar con una infraestructura lógica de
interconectividad que sea confiable y segura, esto debido a que los servicios que presta,
dependen directamente del funcionamiento de la red a nivel de datos y voz, son múltiples
servicios que los usuarios finales requieren a cada instante (consulta de BD., consulta de
archivos operativos, acceso a aplicaciones, consulta de intranet, entrada y salida de llamadas),
por ende se realizó un modelo que define pautas para llevar a cabo la implementación de nuevos
sistemas de información.
En esta sección se desarrolló el ámbito de la seguridad lógica con las características y
requerimientos tecnológicos que deben ser aplicados, con el fin de garantizar la seguridad de la
red en la empresa.
- Cable: En ámbito LAN, el cableado debe acogerse al estándar UTP CAT5 y CAT6
Estructurado, tomando como medida principal el no permitir la conexión a una distancia
mayor de 100 metros entre hosts
- Wireless: El uso de este canal de transporte se debe realizar dentro de los límites de la
edificación donde se encuentra ubicado el punto de acceso, se debe restringir el acceso
por medio del identificador MAC para cada cliente, no se debe dejar la configuración del
AP sin ningún tipo de cifrado puesto que cualquier persona con alcance a la red tendría
la posibilidad de acceder.
49
motivo por el cual es muy importante es que puede filtrar el tráfico de red en función del origen,
desino, tipo de tráfico, autenticar usuarios, establecer VPN, entre otros.
Para conseguir una topología de red segura deben seguirse las siguientes pautas:
5.4.3. Zonificación
Con el fin de conseguir un nivel adecuado de seguridad es obligatorio realizar una correcta
zonificación a partir de un Firewall externo. La zonificación de una red tiene por objeto
proporcionar una segmentación de los recursos agrupados por distintos niveles de seguridad y
de visibilidad externa. Con una correcta zonificación se pretende la protección exhaustiva de los
recursos estratégicos de la compañía y establece el filtrado de tráfico entre zonas lo que
garantiza la protección frente a ataques internos o errores de explotación.
Cada una de las zonas establecidas tiene conexión directa e independiente con el Firewall de
forma que se pueda establecer de forma independiente los servicios y trafico permitido. Este
tipo de configuración también permite el establecimiento de registros o logs adecuados para la
realización de auditorías y estadísticas del tráfico segmentado. Como parte del diseño de
interconectividad, para este proyecto se establecieron las siguientes zonas:
Esta red tiene por objeto unir las redes externas a las redes internas por medio del Firewall. Esta
red permite el crecimiento ilimitado de los recursos de comunicaciones (canales y routers) por
un lado y Firewall de acceso por el otro. Este tipo de rede es originalmente insegura, es decir, no
dispone de elementos anteriores de protección, por lo tanto solo se permite la conexión de
Routers, Firewalls o cualquier otro dispositivo que obliga condiciones de seguridad.
También conocida como DMZ, debe contener únicamente aquellos sistemas que requieran
visibilidad externa. Estos sistemas tendrán, por medio del Firewall, habilitada la publicación de
servicios al exterior y nunca contendrán datos críticos. Para llevar a cabo esto, el Firewall debe
habilitar aquellos servidores que estén configurados sobre esta red, la conexión con algún
recurso corporativo que disponga de la información a publicar en el exterior.
50
5.4.6. Red Militarizada
Conocida también como MZ, en esta zona se ubican aquellos servidores que requieren un nivel
de protección superior, aquí se establecen políticas de acceso, restringiendo incluso el acceso
desde las zonas de la red interna.
Se establece una red protegida de ataques por el Firewall y separadas de los servidores que
ofrecen servicios en internet. Dentro de la red interna deben establecerse nuevas zonas, ya sea a
partir de un Firewall o por medio de VLAN. Como parte del diseño se establecen las siguientes
zonas internas:
- Red de Operación: Esta red es la que contiene todos los puestos de teleoperación y los
servidores de uso específico de ellos. Esta red aun estando en la red interna cuenta con
un alto grado de inseguridad, puesto que el acceso a esta red está dispuesto para la
mayoría del personal de la empresa, la variedad de servicios que se manejan son altos,
aumentando la probabilidad de que un atacante pueda ingresar al sistema y pueda
generar alguna indisponibilidad del servicio.
- Red de Administración: En esta red se configura la conectividad a través de VLAN con
todos los elementos de red, desde esta red es donde se administran los equipos de
cómputo que prestan servicios internos, esta red contiene los equipos que se encargan de
recolectar logs y gestionar alarmas. Es en esta red donde fue ubicado en sistema de
monitoreo para los canales de comunicación y servidores de la empresa.
- Red Corporativa: En esta zona se sitúan los equipos del personal de estructura de
Atento, junto con los servidores de propósito general tales como servidores de dominio,
servidores de archivos, servidores de impresión, entre otros.
- Red de Contenidos: Se establece una red donde se ubican los servidores que tienen
como objeto la entrega de información posterior a una consulta realizada por otro
51
servidor que a su vez entrega los datos al usuario (Bases de Datos, Servicios de datos de
internet)
Con el fin de realizar un modelo seguro de conectividad se establecieron una serie de flujos
entre zonas, las cuales permitirán a los administradores de la red otorgar o denegar viabilidades
para la implementación de nuevos recursos. Estas pautas también servirán en el momento de
realizar auditorías internas, permitiendo realizar un diagnóstico y tomar medias frente a
cualquier inconformidad.
En la Tabla 10 se muestra los tipos de conexión que puede existir o no de acuerdo a las zonas
especificadas anteriormente:
Tabla 10 Modelo de conexión entre zonas
Convenciones:
RA: Red Acceso (internet, conexión con cliente externo)
DMZ: Zona desmilitarizada:
RC: Zona de contenidos
RI: Redes Internas
MZ: Red militarizada
52
Figura 12. Diseño esquema de conexiones
53
5.4.10. Barreras de Seguridad:
Con el fin de aumentar la seguridad la seguridad, es conveniente establecer barreras con dos
niveles de Firewall, la primera barrera se denomina como Firewall de Perímetro y la segunda
como Firewall Interno.
Gracias a este esquema de dos barreras se podrán implementar políticas de seguridad de distinto
tipo, con niveles permisivos en los Firewall Externos, permitiendo conexiones a los equipos de
la zona publica y otro nivel restrictivo en los internos, permitiendo únicamente las conexiones
necesarias hacia el interior de la red, generalmente conexiones desde la zona DMZ a la zona de
contenidos.
Para esta topología, la DMZ cumple un rol importante en la seguridad, situándose lógicamente
como barrera hacia la red interna, esto se logra estableciendo un esquema Multihomed, el cual
se configura en modo Firewall Gateway. Este proporciona la conexión entre la red de la
empresa y las redes públicas como internet.
54
Cuando se configura un servidor como Firewall, este no pasa paquetes entre las redes que están
conectadas a las interfaces de host, sin embargo a un puede proporcionar servicios de TCP/IP
estándar como ssh a los usuarios autorizados. De esta manera y salvo que un atacante consiga el
control de la maquina no se podrá acceder físicamente a la red interna, excepto las peticiones
que hagan los equipos de la DMZ por su interfaz interna hacia la red de contenidos.
5.4.12. VLAN´s:
Los esquemas VLAN (red virtual) proporcionan los medios adecuados para solucionar la
problemática de la limitación geográfica la cual hace referencia a que los miembros de un
determinado grupo deben estar situados adyacentemente por su conexión al mismo concentrador
o segmento de la red; esto se hace realizando una agrupación de forma lógica en lugar de física.
Con la aplicación de esta solución, los usuarios pueden así, moverse a través de la red
manteniendo su pertenencia al grupo de trabajo lógico. Por otro lado al distribuir a los usuarios
de un mismo grupo lógico a través de diferentes segmentos se logra como consecuencia directa
el incremento del ancho de banda en dicho grupo de usuarios.
Sin dejar de lado la seguridad deseada, en cada configuración el administrador debe garantizar
que cada VLAN sea privada restringiendo el acceso de una a otra. Se deben aplicar ACL´s con
el fin de permitir o denegar el paso de tráfico de un segmento de red a otro, dependiendo de los
requerimientos del negocio. Como parte del modelo de conectividad, se establecen los
siguientes grupos VLAN, los cuales harán parte de la zona interna de la organización:
VLAN Servidores Telefonía
VLAN Equipos de teleoperación
VLAN Equipos de Estructura
VLAN Administrativa
VLAN Servidores
55
6. ETAPA DE PREPRODUCCION
Esta herramienta está bajo la GNU (General Public Licence) Versión 2 publicada por la free
software fundation, con la cual se obtiene el permiso legal de copiar, distribuir o modificar
Nagios.
Por el tipo de licencia que tiene no se asume ningún costo de adquisición, implementación y/o
soporte, sin embargo estos procesos deben ser ejecutados por el usuario final, en este caso, el
personal de la empresa Atento. Esta herramienta cuenta con la capacidad de soportar el
monitoreo de más de 4000 equipos y servicios por lo tanto se ajusta a la demanda que exige la
empresa, teniendo en cuenta un posible incremento en los equipos en los próximos.
A pesar de que se implementa una herramienta sin costo, con limitaciones de soporte (como
cualquier software de tipo Open Source) esta herramienta cuenta con una variante, la cual
incluye mejoras de uso y soporte 100%, con un costo significativo de $ 3,495 Dólares. Esta
variante esta opcional para la empresa si en un futuro considera que es viable su adquisición.
56
6.1. Solicitud de Equipos:
Con el fin de dar inicio al proceso de implementación se solicitó al área de Servidores un equipo
con las siguientes características, las cuales están dentro de los requerimientos mínimos de
configuración de la herramienta:
El área de Servidores nos entregó una maquina virtualizada sobre VMware 5.5 con el respectivo
usuario de administración. Teniendo esto se realizó la configuración del servidor sobre el cual,
posteriormente se instaló el Sistema Operativo Ubuntu 12.04.
El objetivo de esta etapa del proyecto es aplicar los parámetros establecidos en la política de
seguridad que se creó anteriormente.
57
Figura 14. Configuración del usuario local
58
Paso seguido se configuró el direccionamiento IP LAN de forma estática, para este caso se
configuro la interfaz eth0 (IP 172.16.1.17) como lo muestra la Figura 16
Estando en este punto se actualizó el SO con los últimos parches de seguridad disponibles. (Ver
Figura 15)
59
En este punto se tiene el servidor listo para dar inicio a la configuración de la herramienta de
monitoreo. Para la implementación de la herramienta fue necesario instalar los paquetes de
instalación Nagios CORE, Nagios QL, PNP4NAGIOS. En la instalación de estos paquetes se
establece el usuario “nagios” y se asignan los permisos para la visualización vía web (ver figura
18). Este usuario es el que permite la administración de la herramienta, ya sea por medio de la
consola o por la interfaz web.
60
Figura 19. Interfaz Web Nagios
Continuando se definió y realizó la creación de los usuarios con el rol de invitado, administrador
y de monitoreo (ver Figura 20)
Estos roles se definieron de acuerdo a la labor que desempeña cada área de tecnología, para este
caso debido a que los responsables de la herramienta son los operadores de centro de cómputo,
son ellos los que tendrán un usuario con rol administrador y los demás usuarios cuentan con rol
de invitado, en donde a estos se les permitió realizar modificaciones, pero únicamente sobre los
recursos propios de cada área.
61
Se habilita la opción para que los usuarios puedan realizar el cambio de contraseña después del
primer inicio de sesión en la herramienta. (Ver Figura 21)
Haciendo uso del esquema de interconectividad realizado en este proyecto se configuran los
permisos de acceso de la red origen (Nagios) a las redes destino (Red Teleoperacion, red DMZ,
red de Acceso), sin embardo debido a que el diseño no se encuentra implementado de tal forma
en Atento, la configuración se realiza con los equipos existentes. Se solicita al área de redes la
configuración de las políticas en el Firewal. En la figura 22 se muestra la evidencia de la política
configurada para permitir el tráfico de red desde el servidor de monitoreo hacia la red que sería
denominada como DMZ
62
En la figura 23 se muestra la evidencia de otra política la cual permite el tráfico del servidor de
monitoreo a la red MZ
Este servidor es ubicado en la zona interna dentro de la red de administración, por lo tanto, no es
necesario realizar configuración de políticas en el Firewall para tener acceso a los equipos
pertenecientes a las otras zonas de red, sin embargo este servidor por ser una herramienta de
monitoreo se permitió el acceso a las VLAN donde se encuentran servicios que utilizan los
usuarios de la empresa.
63
7. RESULTADOS
En la figura 25 se puede visualizar que los impactos que ocurren con MPF (Muy Poca
Frecuencia) y con PF (Poca Frecuencia) son los que afectan en mayor medida la disponibilidad
de la información, algunos de estos impactos son: Fuego, daños por agua, otros desastres
naturales, emanaciones electromagnéticas, etc.
También se puede visualizar que los impactos que ocurren con mayor frecuencia (F) como:
Errores de mantenimiento / actualización de equipos (hardware), errores de mantenimiento /
64
actualización de programas (software) y errores de los usuarios; afectan pilares como la
confiabilidad, la disponibilidad y la integridad de la información.
Nivel de
Control Estado de madurez
Cumplimiento
Políticas de Seguridad 25 Inicial
Organización de la Seguridad de la
2 Inexistente
Información
Parcialmente
Seguridad de los Recursos Humanos 58
implementado
Gestión de Activos de Seguridad de la
20 Inicial
Información
Control de accesos (aplicaciones) 11 Inexistente
65
Criptografía 5 Inexistente
Seguridad física y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Parcialmente
Seguridad en las comunicaciones 59
implementado
Adquisición, desarrollo y mantenimiento de Parcialmente
50
sistemas implementado
Parcialmente
Relaciones con los proveedores 40
implementado
Gestión de incidentes de seguridad de la
21 Inicial
información
Aspectos de la SI de la gestión de
80 Manejado
continuidad de negocio
Cumplimiento 5 Inexistente
Convenciones:
Nivel de madurez Escala
Inexistente 0 – 19
Inicial 20 – 39
Parcialmente
implementado 40 – 59
Definido 60 – 79
Manejado 80 – 94
Optimizado 95 – 100
66
7.3. Gestión de riesgos
Gracias a la implementación de los ítem de seguridad propuestos en la política de seguridad se
logra establecer una herramienta de monitoreo con un nivel alto de seguridad, los controles
aplicados a nivel de software y hardware permitieron obtener un resultado óptimo después de
realizar un escaneo de vulnerabilidades. Este reporte indica la cantidad de vulnerabilidades a la
que está expuesto un equipo de cómputo. En este caso según la figura 27 se detecta 20
vulnerabilidades de tipo bajo e informativo, es decir que no son significantes o que no generan
algún riesgo para la información.
67
8. CONCLUSIONES
La recopilación de los valores de los activos aunque no eran precisos, permitió completar el análisis y
extraer los resultados donde se evidenciaron los riesgos de seguridad que podrían estar afectando
el desempeño del área.
El desarrollo de una política de Seguridad en cualquier organización cubre la gran parte de los
aspectos que componen un Sistema de Gestión de la Seguridad de la Información.
El análisis de riesgos permitió tener una noción real del estado actual de la empresa a nivel de
seguridad en el entorno relacionado con el Datacenter.
El análisis realizado a partir de la norma ISO/IEC 27001:2013 permitió identificar la necesidad de
implementar un plan y una política de seguridad, con el fin de mitigar los riesgos o
vulnerabilidades a los que pueda estar expuesta la empresa.
Con la implementación de la herramienta de monitoreo, aplicando los controles de seguridad
pertinentes y haciendo uso de la zonificación de red establecida se logró evidenciar que es
posible mitigar vulnerabilidades de los sistemas, haciendo de estos unos equipos con alto nivel
de seguridad.
Con el desarrollo de este trabajo se logró el cumplimiento del 100% de los objetivos planteados
68
9. BIBLIOGRAFÍA
Alcaldía Mayor de Bogotá D.C. (2008). Secretaría General de la Alcaldía Mayor de Bogotá D.C.
Congreso Decreta. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=31431
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro II - Catálogo de Elementos. Madrid España: Ministerio de Hacienda y
Administraciones Públicas, Secretaría General Técnica, Subdirección General de Información,
Documentación y Publicaciones y Centro de Publicaciones.
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro I - Método. Madrid España: Ministerio de Hacienda y Administraciones
Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y
Publicaciones y Centro de Publicaciones.
Mifsud Elvira. (Marzo 2012). Pilares de la Seguridad de la Información: confidencialidad, integridad
y disponibilidad. Retrieved from http://blog.firma-e.com/pilares-de-la-seguridad-de-la-
informacion-confidencialidad-integridad-y-disponibilidad/
69
10.REFERENCIAS
Aguinaga, E., & Ryan, H. (2013). Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y
comercialización de productos de consumo masivo. Obtenido de
http://tesis.pucp.edu.pe/repositorio//handle/123456789/4957
Aguirre Juan y Aristizabal Catalina. (Agosto, 2013). Diseño del sistema de gestión de seguridad de la
información para el grupo empresarial la ofrenda. Proyecto de grado, universidad tecnológica de
Pereira.
Aurela Jose y Segovia Antonio. (Junio 2013). Plan de implementación de la norma ISO/IEC
27001:2005. Master interuniversitario en seguridad de las tecnologías de la información y las
comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat
Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears.
blogfirmae. (n.d.). Pilares de la Seguridad de la Información: confidencialidad, integridad y
disponibilidad. Obtenido de http://blog.firma-e.com/pilares-de-la-seguridad-de-la-informacion-
confidencialidad-integridad-y-disponibilidad/
Córdova Rodríguez, Norma Edith. (Lima, 2003). Plan de seguridad informática para una entidad
financiera. Trabajo Monográfico (Lic.)-- Universidad Nacional Mayor de San Marcos. Facultad
de Ciencias Matemáticas.
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la
Administración Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información. Libro I – Método. Madrid España:
Ministerio de Hacienda y Administraciones Públicas, Secretaría General Técnica, Subdirección
General de Información, Documentación y Publicaciones y Centro de Publicaciones.
EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.
Espinoza Aguinaga y Hans Ryan. (Octubre 2013). Análisis y diseño de un sistema de gestión de
seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de
producción y comercialización de productos de consumo masivo. Tesis de grado facultad de
ciencias e ingeniería, pontificia universidad católica del Perú.
70
Introducción a la seguridad informática. (n.d.). Retrieved August 10, 2015, de
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Retrieved August 11, 2015, de
http://www.pmnconsultores.com/ISO31000
ISO/IEC27000. (n.d). Organización Internacional para la Estandarización, Gestión de seguridad de la
información. Obtenido de
http://www.iso.org/iso/home/standards.htm
Normas Apa 2015. (n.d.). Obtenido de http://normasapa.net/actualizacion-apa-2015/
Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition.
CRC Press.
Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/
Sistema de gestión de la seguridad de la información. (2015, June 3). In Wikipedia, la enciclopedia
libre. Obtenido de
https://es.wikipedia.org/w/index.php?title=Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_
informaci%C3%B3n&oldid=82939765
Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and
breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la
ingeniería y la tecnología (IJET)
71