Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EMPRESA DE SEGURIDAD
ELECTRONICA
TUX S.R.L.
INTEGRANTES
1. Daniel Escobar Pinto
2. Pablo Chuquimia Surco
3. Moisés Elías Chiquipa Quispe
4. Edwin Manani Fabián
INDICE DE CONTENIDO
1 Introducción.............................................................................................1
2 Objetivos.................................................................................................1
2.1 Objetivo General................................................................................1
2.2 Objetivos Específicos..........................................................................1
3 Alcance....................................................................................................2
4 Terminología............................................................................................2
5 Gestión de Riesgo.....................................................................................3
5.1 Establecimiento del Contexto de Tratamiento de Riesgos.........................3
5.1.1 Identificación de Interesados Internos............................................4
5.1.2 Identificación de Interesados Externos............................................4
5.2 Mapa de Interesados..........................................................................4
5.3 Contexto para la Gestión de Riesgos.....................................................5
5.3.1 Análisis FODA..............................................................................5
5.3.2 Situación Actual...........................................................................6
5.3.3 Test para determinar el nivel de madures.......................................6
5.4 Identificación de Riesgos.....................................................................7
5.4.1 Identificación de vulnerabilidades y amenazas.................................8
5.5 Análisis y valoración de Riesgos.........................................................16
5.6 Priorización y Tratamiento de Riesgos.................................................21
5.6.1 Estrategia de tratamiento del Riesgo.............................................21
6 Política de Seguridad de la Información......................................................26
6.1 Introducción....................................................................................26
6.2 Términos y Definiciones....................................................................26
6.3 Objetivo general...............................................................................26
6.4 Objetivos Específicos........................................................................26
6.5 Alcance...........................................................................................26
6.6 Roles y Responsabilidades.................................................................27
6.7 Políticas de Seguridad de la Información.............................................28
6.7.1 Política de Recursos Humanos......................................................28
6.7.2 Gestión de Activos de información................................................29
6.7.3 Control de acceso.......................................................................30
6.7.4 Criptografía...............................................................................31
6.7.5 Seguridad física ambiental...........................................................33
6.7.6 Seguridad de las operaciones.......................................................34
6.7.7 Seguridad de las comunicaciones.................................................35
6.7.8 Desarrollo, mantenimiento y adquisición de sistemas......................37
6.7.9 Gestión De Incidentes De Seguridad De La Información..................39
6.7.10 Cumplimiento............................................................................39
6.7.11 Sanciones..................................................................................39
6.8 Histórico de Cambios........................................................................40
7 Plan de Contingencias Tecnológicas...........................................................41
7.1.1 Variables técnicas a tener en cuenta en la implementación del plan de
contingencias de TI.................................................................................41
8 Plan de Respuesta ante incidentes informáticos..........................................41
8.1 Introducción....................................................................................41
8.2 Pasos para una respuesta a incidente informático.................................42
8.3 Tratamiento de los incidentes informáticos..........................................42
8.4 Informes de incidentes informáticos....................................................43
9 Indicadores y Métricas.............................................................................44
10 Cronograma de Implementación............................................................47
INDICE DE TABLAS
Tabla - 1 Tabla de interés..............................................................................................................................5
Tabla - 2 Análisis FODA..................................................................................................................................6
Tabla - 3 Test de madurez en activos de información...................................................................................7
Tabla - 4 Activos de Información...................................................................................................................7
Tabla - 5 Análisis de riesgos en activos de la información seleccionados..................................................15
Tabla - 6 Valoración de la probabilidad a través del tiempo......................................................................16
Tabla - 7 Valoración del impacto en términos económicos de la empresa................................................17
Tabla - 8 Valoración del riesgo en términos de probabilidad e impacto.....................................................17
Tabla - 9 Ponderación de la valoración del riesgo.......................................................................................18
Tabla - 10 Valoración de los riesgos de seguridad asociados a los activos de información......................20
Tabla - 11 Mapa de calor con la ubicación de los riesgos inherentes.........................................................21
Tabla - 12 Descripción de la estrategia de tratamiento.............................................................................22
Tabla - 13 Descripción de la estrategia de tratamiento vs. Costo beneficio..............................................22
Tabla - 14 Estrategia de tratamiento seleccionada por riesgo identificado...............................................24
Tabla - 15 Descripción de la clasificación de los controles sugeridos.........................................................25
Tabla - 16 Periodos Criptográficos.........................................................................................................32
Tabla - 17 histórico de cambios...................................................................................................................40
Tabla - 18 Métrica 1....................................................................................................................................45
Tabla - 19 Métrica 2....................................................................................................................................45
Tabla - 20 Métrica 3....................................................................................................................................45
Tabla - 21 Métrica 4....................................................................................................................................46
Tabla - 22 Métrica 5....................................................................................................................................46
Tabla - 23 Diagrama Gantt de implementación..........................................................................................47
INDICE DE GRÁFICOS
ANEXOS
1 Introducción
La empresa de seguridad electrónica TUX S.R.L. Fundada el 15 de octubre de 2006 como
empresa privada dedicada a brindar servicio de vigilancia electrónica a hogares y negocios las
24 horas del día. Dentro sus requerimientos inmediatos tiene la necesidad de implementar un
Plan de Seguridad de la información que esté acorde a los requerimientos y exigencias a la que
son sometidas las entidades públicas de nuestro País.
La empresa de seguridad TUX S.R.L. Ha identificado la información como uno de los activos
más importantes y críticos para el desarrollo de sus funciones. En la gestión de los procesos
estratégicos y de apoyo, continuamente se está procesando, gestionando, almacenando,
custodiando, transfiriendo e intercambiando información valiosa que puede ir desde un dato
personal hasta secretos empresariales que no deben ser divulgados a personal no autorizado,
suceso que puede poner en riesgo los procesos de la empresa.
La defensa y protección de los activos de información es una tarea esencial para asegurar la
continuidad y el desarrollo de los objetivos de la empresa, así como para mantener el
cumplimiento normativo y regulatorio aplicable a la entidad, además traslada confianza a las
partes interesadas.
Cuanto mayor es el valor de la información, mayores son los riesgos asociados a su pérdida,
deterioro, manipulación indebida o malintencionada. Por lo anterior, PISI adopta una
metodología para la identificación y valoración de los activos de información, y una metodología
para la evaluación y tratamiento de los riesgos; siendo éste el medio más eficaz de tratar,
gestionar y minimizar los riesgos, considerando el impacto que éstos representan para la
empresa.
Así mismo, mediante el PISI se define políticas y procedimientos eficaces y coherentes con la
estrategia de la empresa, como desarrollo de los controles adoptados para el tratamiento de los
riesgos. Lo anterior se complementa con los programas de formación y transferencia de
conocimiento en seguridad de la información y las campañas de sensibilización que se lideran
al interior de la empresa.
Este documento describe las disposiciones acogidas por la empresa para establecer el
contexto, las políticas, los objetivos, el alcance, los procedimientos, las metodologías, los roles,
las responsabilidades y las autoridades responsables en el marco de seguridad de la
información.
Para tal fin, la empresa también ha adoptado los lineamientos normativos de: la ISO 27001 la
cual establece los requisitos para la implementación del Seguridad de la información.
2 Objetivos
2.1 Objetivo General
Elaborar el Plan Institucional de Seguridad de la Información para la empresa TUX S.R.L.
Adoptando los lineamientos que son implementados en las entidades del sector público y que
están en concordancia con las normativas vigentes.
3 Alcance
Este documento a diseñado su PISI con el fin de aumentar la eficacia y fiabilidad de sus
procesos en el marco de un compromiso pleno con los requisitos de la norma "Lineamientos
para la elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del sector público"; aplicables a la empresa en sus 2 sucursales y
sus unidades y/o departamentos.
4 Terminología
Activo: En general, activo es todo aquello que tiene valor para la entidad o institución pública.
Activo de información: Conocimientos o datos que tienen valor para la organización.
Acuerdo de confidencialidad: Documento en el cual el servidor público y/o terceros se
comprometen a respetar la confidencialidad de la información y a usarla solo para el fin que se
estipule.
Apetito del riesgo: Nivel máximo de riesgo que una entidad o institución está dispuesta a
aceptar o soportar.
Comité de Seguridad de la Información (CSI): Equipo de trabajo conformado para gestionar,
promover e impulsar iniciativas en seguridad de la información.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea
revelada a individuos, entidades o procesos no autorizados.
Custodio del activo de información: Servidor público encargado de administrar y hacer
efectivo los controles de seguridad definidos por el responsable del activo de información.
Disponibilidad: Propiedad de acceso y uso de información a entidades autorizadas cuando
estas lo requieran.
Integridad: Propiedad que salvaguarda la exactitud y completitud de la información.
Política de Seguridad de la Información (PSI): Acciones o directrices que establecen la
postura institucional en relación a la seguridad de la información, incluidas dentro del Plan
Institucional de Seguridad de la Información.
Plan Institucional de Seguridad de la Información (PISI): Documento que establece las
actividades relativas a la organización y gestión de la seguridad de la información en la entidad
o institución pública.
Responsable del activo de información: Servidor público de nivel jerárquico que tiene la
responsabilidad y atribución de establecer los requisitos de seguridad y la clasificación de la
información vinculada al activo enmarcado al proceso del cual es responsable.
5 Gestión de Riesgo
La metodología que se implementará será MAGERIT, que fue elaborada con el fin de ayudar a
todas las administraciones públicas. Con posterioridad puede ser aplicada a cualquier
organización.
Esta metodología tiene como característica fundamental que los riesgos que se plantean para
una organización se expresan en valores económicos directamente, lo que tiene una ventaja y
un inconveniente:
Comunicación
Personal
Equipamiento
Técnicos de soporte
Operadores de monitoreo
Policía Boliviana
Alcaldía
Sociedad
Usuarios
Económico: Impuestos, banca
Proveedor de telecomunicaciones
Proveedores de equipos
Grupos
Policía financieros
Grupos
Alcaldia políticos
TUX Srl.
Proveedores Clientes
Asociaciones
empresariales Trabajadores Sociedad
Por situación actual se entiende el nivel de madurez que posee en este momento la empresa
de seguridad TUX Srl. con relación a la seguridad de la información. El proceso por el cual se
lleva a cabo un test de nivel de madurez se. Para poder realizar el Plan de Seguridad de la
Información es indispensable que se tenga en cuenta los niveles de madurez alcanzados por
cada uno de los dominios:
En el test realizado a la empresa sobre el test de madures, se obtuvo como resultado un Nivel
inicial casi en todos sus dominios.
Código fuente
GD - A3 Código fuente Alto
Acorde a los activos seleccionados para realizar el análisis de riesgos definidos en la tabla Nº
4, se realizó la identificación de vulnerabilidades, amenazas y posibles consecuencias de la
materialización de una amenaza sobre alguna vulnerabilidad a partir de la información
recopilada en la fase de análisis.
• Ausencia de una metodología de desarrollo de software • Manipulación intencionada interna o • Eliminación de información clave para el
seguro. externa de las fuentes de información negocio afectando la disponibilidad de la
ocasionando pérdida parcial y/o total del misma para el desarrollo de las actividades
• El desarrollo de nuevas funcionalidades del software de código fuente del aplicativo de gestión concernientes al negocio.
gestión documental no quedan documentadas y/o actualizadas documental.
Código fuente en el aplicativo de control de versiones, permaneciendo de • Manipulación no autorizada de la
manera local en el equipo del desarrollador. • Hurto o pérdida de información causada por información que puede conllevar a la
parte de un empleado descontento de la afectación del negocio y pérdida de clientes
• No se encuentra documentado los lineamientos de entidad. y negocios importantes para la entidad.
seguridad implementados en el desarrollo de software de
gestión documental. • Secuestro de la información relacionada • Afectación de la operación de la
con el código fuente efectuado por un tercero organización debido a la indisponibilidad de
• No hay definido un plan detallado de pruebas de seguridad a a través de un malware. la información.
efectuar en las etapas del desarrollo de software.
• Divulgación de información no autorizada por
• No se realizan pruebas de seguridad sobre el software que terceros por asignación excesiva de permisos
permitan detectar vulnerabilidades de seguridad. sobre un rol.
• No se realiza un monitoreo constante de los eventos y registro • Presentación de condiciones inadecuadas • Manipulación no autorizada de las
de logs que permitan detectar posibles intrusiones y/o de temperatura y humedad que generan configuraciones de los servicios de red,
debilidades de seguridad. daños sobre la infraestructura física. afectando la disponibilidad del servicio a los
empleados de la organización.
• El respaldo de backup se encuentra ubicado en los mismos • Indisponibilidad temporal en el acceso la
servidores a los cuales les establecen las copias de respaldo. información contenida en los servidores • Perdida de información que puede conllevar
• La configuración y administración de los servidores no se generada por un tercero no autorizado. a la afectación del negocio y pérdida de
encuentra centralizada. clientes y negocios importantes para la
• Modificación y/o alteración de la información entidad.
• El antivirus instalado en los servidores no se encuentra activo y los servicios alojados en los servidores por
ni actualizado. un empleado con exceso de privilegios. • Afectación de la operación de la
Servidores organización debido a la indisponibilidad de la
• Ausencia de sistemas de control ambiental que permitan • Fallos no intencionales causado por un información.
controlar variables como temperatura y humedad relativa en el empleado de la organización.
área donde se encuentran instalados los servidores. • Divulgación de información no autorizada por
terceros por asignación excesiva de permisos
• Deficiencia en la programación de actividades de sobre los servidores.
mantenimiento preventivo sobre la infraestructura de red que
permita prologar el funcionamiento de los equipos y
salvaguardar la información.
• Daño de hardware ocasionado por código • Daño de hardware ocasionado por código
malicioso. malicioso, provocando a la organización la
asignación de presupuesto extra para la
reposición del hardware.
• No se establece ningún proceso de cifrado de información en • Pérdida y/o fuga de información confidencial • Divulgación por terceros de información
unidades de almacenamiento externas como USB, discos duros de la organización por hurto de unidades de confidencial de la organización generando
(Internos y/o externos). almacenamiento de información externos. problemas de índole legal y reputacional a la
entidad.
Unidades de almacenamiento • Ausencia de niveles de protección física sobre los dispositivos
de almacenamiento externo. • Perdida de información ocasionada
de información
accidentalmente, generando pérdida de
• No se realizan procesos de borrado seguro de la información imagen corporativa ante terceros.
contenida en las unidades de almacenamiento de información.
• No se establecen acuerdos de confidencialidad y protección • Terceros interesados en generar ataques • Divulgación no autorizada de terceros de
de la propiedad intelectual y corporativa entre la empresa y sus que provoquen la indisponibilidad del servicio información confidencial de clientes,
Talento humano y/o producto que brinda la empresa. generándole a la entidad problemas de
empleados directos, contratistas, etc.
índole legal por divulgación de información no
• Algunos desarrolladores no realizan la actualización en la autorizada y confidencial.
subversión de nuevas funcionalidades del aplicativo de
gestión documental, generando retrocesos en las actividades • Desprestigio de la organización por
del área de desarrollo. divulgación de información confidencial de
los clientes de la organización.
• Exceso de confianza de los empleados con su entorno
(Dentro y fuera de las instalaciones de la entidad).
La valoración del impacto se realizó teniendo en cuenta la afectación a nivel económico y operativo al interior
de la organización.
IMPACTO
PROBABILIDAD
Muy Bajo Bajo Medio Alto Muy Alto
Muy Bajo Muy bajo Muy bajo Bajo Bajo Medio
Bajo Muy bajo Bajo Medio Medio Alto
Medio Bajo Medio Medio Alto Alto
Alto Bajo Medio Alto Critico Critico
Muy Alto Medio Alto Alto Critico Critico
IMPACTO
PROBABILIDAD
Muy Bajo (1) Bajo (2) Medio (3) Alto (4) Muy Alto (5)
Muy Bajo (1) 1 2 3 4 5
Bajo (2) 2 4 6 8 10
Medio (3) 3 6 9 12 15
Plan Institucional de Seguridad de la Información - TUX S.R.L.
17
Muy Alto 5 10 15 20 25
Tabla - 8 Valoración del riesgo en términos de probabilidad e impacto.
VALORACIÓN DEL
ACTIVO DE RIESGO
INFORMACIÓN
PROBABILIDAD
SELECCIONADO RIESGOS DE SEGURIDAD
CALIFICACIÓN
NIVEL
PARA EL ANALISIS
DEL
DE RIESGOS
IMPACTO
RIESGO
VALORACIÓN DEL
ACTIVO DE RIESGO
INFORMACIÓN NIVEL
PROBABILIDAD
CALIFICACIÓN
SELECCIONADO RIESGOS DE SEGURIDAD DEL
RIESGO
PARA EL ANALISIS
IMPACTO
DE RIESGOS
VALORACIÓN DEL
ACTIVO DE
RIESGO
INFORMACIÓN NIVEL
PROBABILIDAD
DEL
CALIFICACIÓN
SELECCIONADO RIESGOS DE SEGURIDAD
RIESGO
PARA EL ANALISIS
DE RIESGOS
IMPACTO
R15 - Daño o hurto de infraestructura tecnológica afectando la
operatividad de la organización por inadecuados controles de 2 3 6 Medio
acceso físico al centro de cómputo.
CPD
Centro de R16 - Indisponibilidad de la información causado por el deterioro
procesamiento de
del equipamiento informático debido a la ausencia de sistemas
datos 2 3 6 Medio
de control de condiciones ambientales como temperatura y
humedad.
R17 - Tiempos de inactividad en las operaciones de la
organización, debido al daño o ausencia de sistemas de respaldo
eléctrico a la infraestructura de red de la organización. 3 3 9 Medio
IMPACTO
PROBABILIDAD Muy Muy
Bajo (2) Medio (3) Alto (4)
Bajo (1) Alto (5)
PROBABILIDAD IMPACTO
Muy Muy
Bajo (2) Medio (3) Alto (4)
Bajo (1) Alto (5)
Muy Alto
(5)
NIVEL ESTRATEGIA
RIESGOS DE DEL DE
SEGURIDAD RIESGO TRATAMIENTO
DEL RIESGO
R1 - Pérdida parcial de información asociada a nuevas funcionalidades y/o
actualizaciones del SOFTGUARD provocado por la falta de actualización de la Alto Reducir el riesgo
subversión por parte de los desarrolladores.
Los controles de seguridad propuestos para reducir los riesgos detectados en los activos asociados
a la información del aplicativo de gestión documental se clasifican en preventivos, detectivos y
correctivos. A continuación se brinda una descripción de la clasificación descrita.
En vista de lo anterior, la Gerencia de TUX SRL. Apoya los objetivos estratégicos de Seguridad
de la Información y vela para que se encuentren alineados con las estrategias y los objetivos
del negocio.
6.5 Alcance
El jefe de Recursos Humanos cumplirá la función de notificar a todo el personal que se vincula
contractualmente con la empresa, de las obligaciones respecto del cumplimiento de la Política
de Seguridad de la Información y de todos los estándares, procesos, procedimientos, prácticas
y guías que surjan del Sistema de Gestión de la Seguridad de la Información. De
igual forma, será responsable de la notificación de la presente Política y de los cambios que
en ella se produzcan a todo el personal, a través de la suscripción de los Compromisos de
Confidencialidad y de tareas de capacitación continua en materia de seguridad según
lineamientos dictados por el Comité de Seguridad de la Información.
La Administración será responsable del Control Interno, practicando auditorías periódicas sobre
los sistemas y actividades vinculadas con la gestión de activos de información y la tecnología
de información. Es su responsabilidad informar sobre el cumplimiento de las especificaciones y
medidas de seguridad de la información establecidas por esta Política y por las normas,
procedimientos y prácticas que de ella surjan.
Con relación a la seguridad de los recursos humanos se debe tener en cuenta el ciclo de vida
del recurso humano, esto es, antes, durante y después de su contratación. En este sentido se
darán recomendaciones en estas tres etapas.
Antes de la contratación:
El área de recursos humanos deberá realizar los siguientes pasos en lo que se refiere a la
contratación de personal:
Verificación de referencias
Verificación de la hoja de vida completa
Verificación de la identidad del aspirante
Verificación de competencia
Pruebas psicotécnicas
Verificar en términos generales que sea una persona confiable
Todo el personal y contratistas que accedan a información reservada o sensible deben firmar
un acuerdo de confidencialidad y no divulgación ANTES de tener acceso a dicha información
por cualquier medio.
Todo el personal debe firmar una cesión de derechos de propiedad intelectual a favor de la
empresa sobre los desarrollos que se realicen fruto de su trabajo en la entidad.
Contar con un proceso disciplinario sí se incumple cualquiera de las normas de seguridad
establecidas.
Además se realizara una gestión de activos de información con los siguientes puntos:
Realizar un inventario de todos los activos de información, para este fin normalmente se realiza
una búsqueda de los activos de información en los procesos y procedimientos, buscando el
flujo de información en los mismos.
Incluir en el inventario, el tipo de activo (físico o digital), ubicación, activos de soporte, redes,
medios, servidores o servicios en las que se encuentra, proceso al que pertenece, entre otros.
Asignar a cada activo de información un dueño. El dueño del activo de información es el
responsable del activo de información y velará por salvaguardar dicho activo y hacer cumplir el
tratamiento de seguridad del mismo de acuerdo con su clasificación. Se considera a los activos
de información como cualquier otro activo, con un valor financiero y estratégico.
Asignar un tratamiento de seguridad detallado para cada nivel de la clasificación de los activos
de información, definiendo normas de uso, etiquetado, y controles de seguridad para cada nivel
de clasificación.
Cuando se terminen los vínculos contractuales con la entidad se debe devolver todos los
activos de información a los que el colaborador tuvo acceso.
Inicialmente bloquear todos los accesos a medios removibles en todos los equipos de la
entidad (bloqueo de USB).
La disposición final para los medios removibles debe realizarse en forma segura, por ejemplo
incineración o borrado seguro.
Las políticas de control de acceso, con sus respectivas normas y procedimientos estarán
gestionadas por la gerencia general de la empresa, con los siguientes puntos:
El acceso a redes o servicios de red debe justificarse en función de los activos a los
que se necesita acceder, en la clasificación de los activos puede encontrar en qué
redes o a que servicios se le debe permitir acceso para acceder al activo de
información.
Se realiza el monitoreo por medio del software NAGIOS que contiene procedimientos
para monitorear las redes, tráfico y quién tiene acceso de acuerdo con la política, y en
caso de accesos no autorizados, considerarlos como un incidente de seguridad e iniciar
inmediatamente una investigación de seguridad.
Se debe revisar periódicamente todos los accesos a los activos de información, redes y
servicios. En estas revisiones identificar y eliminar o deshabilitar permisos redundantes y
obsoletos de acuerdo con las solicitudes de acceso.
6.7.4 Criptografía
a) Desarrollo de la Política
b) Establecimiento de plazos de duración de las claves
c) Establecimiento de procedimientos de gestión de claves
d) Establecimiento de estándares de implantación de tecnología criptográfica
e) Cumplimiento normativo
a) Desarrollo de la Política
Corresponde la aprobación de la Política de seguridad criptográfica al CSI de la empresa TUX
Srl.
Esta política de seguridad criptográfica debe desarrollarse mediante las siguientes normativas:
De manera general, una clave se utilizará durante un plazo concreto, o período criptográfico,
por los motivos siguientes:
Se limita la cantidad de información protegida por una clave que está disponible por
análisis criptográfico.
Se limita la exposición en caso de compromiso de una clave.
Se limita el uso de un algoritmo particular a su período estimado de uso eficiente.
Se limita el tiempo disponible para intentar penetrar los mecanismos de acceso lógico,
físico y de procedimiento que protegen una clave de su divulgación no autorizada.
Se limita el período durante el cual la información puede comprometerse por
divulgación accidental de claves o material criptográfico a entidades no autorizadas.
Para la decisión concreta de los períodos de aplicación, debe hacerse un análisis de riesgo,
considerando los siguientes factores:
Hay que considerar también de manera particular las restricciones derivadas de las normas y
políticas de las entidades de certificación externas, ya que en muchos casos son las entidades
de certificación las que fijan los períodos criptográficos.
Los servicios criptográficos tienen que emplearse de acuerdo con la legislación vigente en cada
momento.
Este es un proceso que se apoya en la tecnología para lograr sus objetivos a lo largo de toda la
entidad. La seguridad debe ser un enfoque sistémico realizado por profesionales en la materia,
que propongan una serie de actividades, procesos y productos para que todos funcionando de
manera sincronizada ejerzan un control, factores disuasivos, e información; que en su conjunto
garanticen que la entidad pueda lograr sus objetivos de manera oportuna y productiva.
La seguridad física en Bolivia es y ha sido un aspecto muy importante de la forma como las
empresas protegen sus activos económicos. Se requiere contar con una metodología que
permite evaluar qué tan efectivos son los controles existentes en la infraestructura de la
empresa con el fin de actuar como factor disuasivo y control, contra eventos que pongan en
peligro la disponibilidad, confidencialidad e integridad de la información.
El objetivo de este dominio consiste en asegurar las operaciones correctas y seguras de las
instalaciones de procesamiento de información. Para ello, el proceso se divide en 2
subdominios que se tratarán individualmente:
Contar con separación de ambientes, la norma se refiere a que el ambiente de desarrollo debe
ser diferente al ambiente de producción. Cuando se refiere a ambientes, lo ideal sería que
fuesen ambientes totalmente independientes. En lo posible, se debe procurar cinco ambientes
como se describen a continuación:
Terceros: cuando se desarrolla software por terceros y es necesario que tengan acceso
a los sistemas de la entidad, es recomendable construir un ambiente independiente
para el proveedor que no interfiera con la entidad ni afecte la seguridad de la misma.
La información con la que se realiza estos desarrollos debe ser información de prueba,
nunca con datos reales.
Desarrollo: El ambiente de desarrollo es un ambiente diseñado para este fin no debe
tener acceso directo a los sistemas de producción. Debería brindarle a los
desarrolladores una infraestructura lo más similar posible a la que se tiene para
producción. La información con la que se realiza estos desarrollos debe ser información
de prueba, nunca con datos reales.
Pruebas y Calidad de Software: Es un ambiente destinado para todas las pruebas de
software: funcionales, no funcionales y pruebas de seguridad. Debería tener una
infraestructura lo más similar posible a la que se tiene para producción. La información
con la que se realiza estos desarrollos debe ser información de prueba, nunca con
datos reales.
Producción: Es el ambiente productivo, donde se realizan las operaciones reales de la
empresa.
Contingencia: Es el ambiente de respaldo que se analiza en detalle en la gestión de
continuidad, debe ser lo suficientemente robusto para soportar los servicios mínimos
requeridos por la entidad.
2) Registro Y Seguimiento
Identificación de usuarios
Actividades del sistema
Fechas, horas y detalles de los eventos clave, por ejemplo, entrada y salida
Identidad del dispositivo o ubicación, si es posible, e identificador del sistema
Registros de intentos de acceso al sistema exitosos y rechazados
Registros de datos exitosos y rechazados y otros intentos de acceso a recursos
Cambios a la configuración del sistema
Uso de privilegios
Uso de utilidades y aplicaciones del sistema
Archivos a los que se tuvo acceso, y el tipo de acceso
Direcciones y protocolos de red
Alarmas accionadas por el sistema de control de acceso
Activación y desactivación de los sistemas de protección, tales como sistemas antivirus
y sistemas de detección de intrusión
Registros de las transacciones ejecutadas por los usuarios en las aplicaciones
La transferencia de información está expuesta a múltiples riesgos, por ello la empresa debe
implementar medidas preventivas para evitar su divulgación o modificación. Para lograr esto se
debe:
En todo caso y como control mínimo, las estaciones de trabajo de la empresa deben estar
protegidas por software antivirus con capacidad de actualización automática. Los usuarios de la
estaciones no están autorizados a deshabilitar este control.
El departamento de Sistemas debe mantener actualizada una base de datos con alertas de
seguridad reportadas por organismos competentes y actuar en conformidad cuando una
alerta pueda tener un impacto considerable en el desempeño de los sistemas
informáticos.
3) Copias de Seguridad
Los departamentos de la empresa deben realizar pruebas controladas para asegurar que las
copias de seguridad pueden ser correctamente leídas y restauradas.
Los registros de copias de seguridad deben ser guardados en una base de datos creada para
tal fin.
El departamento de Sistemas debe proveer las herramientas para que las dependencias
puedan administra la información y registros de copias de seguridad. Se deberá tener un
Control Interno para efectuar auditorías aleatorias que permitan determinar el correcto
funcionamiento de los procesos de copia de seguridad.
Las peticiones de información por parte de entes externos de control deben ser aprobadas por
la Gerencia y el departamento de sistemas y el área con el cual se está realizando el
intercambio.
Las normas de uso de Internet y de los servicios de correo electrónico serán elaboradas,
mantenidas y actualizadas por el Comité de Seguridad de la Información y en todo caso este
comité debe velar por el cumplimiento del código de ética institucional y el manejo responsable
de los recursos de tecnologías de la información.
7) Instalación de Software
Todas las instalaciones de software deben ser aprobadas por el departamento de de Sistemas.
No se permite la instalación de software que viole las leyes de propiedad intelectual y derechos
de autor en especial la ley 23 de 1982 y relacionadas. La Oficina Asesora de Sistemas y la Red
de Datos UDNET deben desinstalar cualquier software ilegal y registrar este hecho como un
incidente de seguridad que debe ser investigado.
La seguridad en los procesos de desarrollo de software debe estar a lo largo de cada parte del
ciclo de desarrollo de software, las recomendaciones por cada parte son:
Análisis de Requerimientos
Diseño
Gestión de sesiones
Datos históricos
Manejo apropiado de errores
Segregación de funciones
Defina adecuadamente la administración de identidades
- Exija el uso de contraseñas seguras
- En el caso de que se produzca un error en la autenticación, devuelva la mínima
información posible
Compruebe siempre la validez de los datos de entrada
- Suponga que todos los datos especificados por los usuarios tienen mala intención
- Compruebe la validez del tipo, longitud e intervalo de los datos
Pruebas
Adquisición de sistemas
La adecuada gestión de los incidentes de seguridad de la información permite proteger los tres
pilares de la seguridad: la confidencialidad, la integridad y la disponibilidad de la información.
La implementación de estos controles permite asegurar un enfoque coherente y eficaz para la
gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos
de seguridad y debilidades.
6.7.10 Cumplimiento
Adicionalmente, como parte del ciclo de mejoramiento continuo del PISI, la empresa debe
garantizar que la seguridad de la información se implementa y opera de acuerdo con las
políticas y procedimientos organizacionales.
6.7.11 Sanciones
a) Técnicos
Recursos Técnicos
Servidor
Hardware
- Memoria: 16 GB
- Disco Duro : 1000 GB
- Procesador XION Core
Software
- Servidor de Base de Datos : WINDOWS SERVER 2012/
SQL Server 2012
- Servidor ISS : WINDOWS SERVER 2012
- Software de respaldo del sistema
Es así como la empresa que cada día emprende nuevos ciclos para alcanzar grandes logros en
medio de nuevas transformaciones tecnológicas con sus amenazas, deben implementar entre
otras, políticas de seguridad informática y procedimientos de seguridad ante incidentes
inclusive naturales o del entorno que permitan una consolidación económica y socialmente
rentable.
De manera sistemática y realizando los pasos necesarios y en el orden adecuado con el fin de
evitar errores por la improvisación mediante indicadores de incidentes con herramientas y
filtros que faciliten su clasificación.
Que permita determinar el alcance en equipos, redes, servicios y aplicaciones que se puedan
ver afectados así como la identificación del tipo teniendo en cuenta el posible impacto dentro de
la organización.
Reflejar de manera clara y precisa todos los aspectos relacionados, mediante una lista de
parámetros previamente definidos para tal fin.
La mayor preocupación para una entidad corresponde a la manera como se debe manejar un
incidente informático no solo a nivel de la perdida material en información que se puede
presentar en estas situaciones, sino el buen nombre que podría afectar a una empresa en caso
de filtrarse este tipo de información públicamente lo que podría afectar la reputación.
En materia de incidentes informáticos, descritos en en la norma ISO 27001 se invita a que las
organizaciones realicen la recolección de la evidencia con el fin de establecer acciones y
seguimiento contra personas u organización que han cometido un ilícito de incidente de
seguridad de la información contra la entidad o personas lo que conllevar a tomar acciones
disciplinarias, legales, civiles o penales adecuadamente.
Con el fin de comprobar un ilícito cometido contra la seguridad de la información las evidencias
se debe recolectar, retener y custodiar adecuadamente con el fin de presentarlas como
evidencias validas ante un ente judicial y/o fiscal competente.
Los informes se pueden sustentar con diferentes registros tales como descripción escrita
determinando la fecha y la hora y alguna prueba digital o grafica que pueda verificar lo
enunciado.
Los registros fotográficos y videográficos representan una prueba que permite igualmente la
sustentación de los procedimientos seguidos en la respuesta al incidente informático
permitiendo la validación del resultado que debe ser anexo al informe del procedimiento.
El acta de la diligencia se debe realizar en el lugar de la escena exponiendo claramente la
descripción de del lugar describiendo clara y detalladamente todo hallazgo y procedimiento
realizado así como las personas que intervienen en la actividad.
a) Cadena de Custodia
La identificación clara, los nombres y apellidos completos hacen parte de una buena cadena de
custodia así como los elementos utilizados para el almacenamiento de los elementos
encontrados en la escena de un incidente informático tales como el tipo de bolsas, frascos, u
otro tipo de elementos que permitan el adecuado embalaje.
1.) La hora y fecha, la hora militar por razonas de exactitud y claridad horaria.
2.) Nombres y apellidos completos de quien está recibiendo el material de prueba o evidencia.
3.) Identificación como la cedula de ciudadanía.
4.) Entidad o dependencia que representa.
5.) Calidad en la que actúa, tal como custodio, perito o transportador.
6.) Propósito del traslado o traspaso como puede ser la entrega de almacén, el
almacenamiento, para análisis, presentación como prueba, consulta o para disposición final.
7.) observaciones del estado en que se encuentra el material de la evidencia.
8.) firma de quien recibe el material y firma de quien entrega dicho material.
Tabla - 18 Métrica 1
ID de la Métrica 2
Nombre del indicador Cubrimiento de PISI en activos de información
Propósito del indicador El indicador permite determinar y hacer seguimiento
al cubrimiento que se realiza a nivel de activos
críticos de información de la empresa y los controles
aplicados.
Objetivo de control o controles Hacer un seguimiento a la inclusión de nuevos
asociados activos críticos de información y su control, dentro
del marco de seguridad y privacidad de la
información.
Destinatario Dep. de sistemas, encargados IT
Formula Número de controles propuestos / Número de
controles implementados
Escala Porcentaje
Nivel para el cumplimiento 90%
Frecuencia de medición Anual
Fuente de datos Dep. de sistemas
Tabla - 19 Métrica 2
ID de la Métrica 3
Nombre del indicador Tratamientos de eventos relacionados a la seguridad
y privacidad de la información
Propósito del indicador Permite determinar la eficiencia en el tratamiento de
eventos relacionados la seguridad de la información.
Los eventos serán reportados por los usuarios
Objetivo de control o controles Reflejar la gestión y evolución del modelo de
asociados seguridad y privacidad de la información al interior de
la empresa
Destinatario Dep. de sistemas, encargados IT, RSI
Formula Número de tratamientos propuestos / Número de
tratamientos implementados
Escala Porcentaje
Nivel para el cumplimiento 95%
Frecuencia de medición Anual
Tabla - 20 Métrica 3
ID de la Métrica 4
Nombre del indicador Plan de sensibilización
Propósito del indicador El indicador permite medir la aplicación de los temas
sensibilizados en seguridad de la información por
parte de los usuarios finales.
Objetivo de control o controles El objetivo del indicador es establecer la efectividad
asociados de un plan de capacitación y sensibilización
previamente definido como medio para el control de
incidentes de seguridad.
Destinatario Dep. de sistemas, encargados IT, RSI, RRHH, ADM
Formula Número de personal capacitados / Número de
personal no capacitado
Escala Porcentaje
Nivel para el cumplimiento 70 %
Frecuencia de medición Anual
Fuente de datos Dep. de sistemas, Administración, RRHH
Tabla - 21 Métrica 4
ID de la Métrica 5
Nombre del indicador Cumplimiento de políticas de seguridad de la
información en la entidad
Propósito del indicador Cumplimiento de políticas de seguridad de la
información en la entidad
Objetivo de control o controles Busca identificar el nivel de estructuración de los
asociados procesos de la entidad orientados a la seguridad de
la información.
Destinatario Gerencia, Dep. de sistemas, encargados IT, RSI,
RRHH
Formula Número de personal que cumple / Número de
personal que no cumple
Escala Porcentaje
Nivel para el cumplimiento 90 %
Frecuencia de medición Anual
Fuente de datos Gerencia, Dep. de sistemas, Administración, RRHH
Tabla - 22 Métrica 5