Roberto Carlos Loaiza Leonel Ayala Senz

Camilo Mongu Carlos Useche

Agenda
Introduccin Descripcin del Problema Justificacin Objetivos Propuesta
Marco Legal de las Pymes Clasificacin de las Pymes Principales Sectores Organigrama Pymes

Desarrollo Normas ISO 27001

Introduccin
La utilizacin de tecnologas de informacin con el propsito de volver ms competitivas las Pymes, trae consigo una serie una serie de riesgos importantes, que obligan a los dueos y gerentes de esta empresas, a pensar en la implementacin de controles que les brinden seguridad, estar preparados ante posibles desastres y a proteger la informacin. Hoy da las empresas ms pequeas para mantenerse al ritmo de las nuevas tendencias tecnolgicas, se apoyan ms en tecnologas tales como la movilidad y el cmputo en la nube para hacer negocios y continuar siendo competitivos. Es as como observamos el desarrollo de una relacin sin precedentes entre las TI y los objetivos de negocio de las organizaciones. Tal situacin ofrece una gran oportunidad para ofrecer la implementacin de un Modelo de Seguridad de la Informacin, que alineado con los objetivos propios de cada negocio, ofrezca los controles necesarios que protejan la informacin e infraestructura tecnolgica de las cambiantes y crecientes amenazas cibernticas.

Descripcin del Problema

Empresas espaolas - Reporte de fecha 29 jul 2013.
o Los ataques cibernticos como robo de dinero o de informacin se han o

o
o

multiplicado en las Pymes en los ltimos aos. Los sectores ms expuestos a estos ataques son los que utilizan las tecnologas de informacin para su funcionamiento como por ejemplo, la administracin pblica, la banca, seguros o salud. Los ltimos estudios sobre ciberseguridad en empresas espaolas indican que el 43% de las firmas temen un ataque en los prximos seis meses, segn encuesta realizada. El Inteco seala que en los ltimos cuatro aos el nmero de amenazas cibernticas se ha multiplicado de manera exponencial. Se produce un cambio en la naturaleza de las mismas, se pasa de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticacin, persistentes y con objetivos muy concretos. Un dato significativo: en los ltimos aos estos incidentes se han multiplicado ms de un 100% en las empresas espaolas.

Descripcin del Problema

Empresas colombianas Reporte de fecha Junio 4 de 2013
o Se estima que para 2013 habr un incremento de amenazas sofisticadas dirigidas o o

o o

a sistemas informticos especficos de las Pymes. En 2012, el 73% de las pymes sufri al menos un ataque informtico; segn registr McAfee en Amrica Latina. Algunas Pymes invierten en tecnologa para aumentar su productividad, competitividad y posicionamiento de marca. La actitud de las Pyme frente a la seguridad, en el mayor de los casos, es reactiva. Mientras no se sientan afectadas, no toman acciones. los retos de seguridad a los cuales las pymes se estn enfrentando, son: Ingeniera social, amenazas internas, traiga su propio dispositivo (BYOD), la nube y Amenazas persistentes avanzadas (APT). Fenalco Bogot est trabajando en un convenio de proteccin a las pymes del comercio con McAfee Colombia Ltda., empresa que ha encaminado sus estrategias de seguridad para Pymes teniendo en cuenta sus necesidades y los cambios que enfrentan, adaptando las tecnologas que implementan las grandes compaas, al desempeo y al costo requerido por una pyme.

Justificacin
La creciente multiplicacin de los ataques cibernticos en el

sector de las Pymes. La inclusin de infraestructura tecnolgica para mejorar los procesos definidos para su administracin y produccin. Los constantes cambios en las amenazas. La actitud de la Pymes frente a la Seguridad Informtica. Apoyo de entidades gubernamentales como FENALCO, para la implementacin de seguridad informtica en estos sectores. Apoyo de las entidades crediticias que promueven la competitividad de las MiPymes tales como Fondo Nacional de Garantas, Fondo Regional de Garantas, Fomipyme, Findeter, Fondo Nacional de Garantas, ACOPI.

Objetivo General
Concientizar a los propietarios de las Pequeas y Medianas Empresas de la relevancia que tiene la implementacin de un Modelo de Seguridad de la Informacin en sus empresas , con el fin de proteger su informacin y activos de infraestructura tecnolgica, de los riesgos y amenazas a las cuales se encuentran expuestos.

Implementar un Modelo de Seguridad de la Informacin, acorde con la infraestructura tecnolgica en cada una de las pequeas y medianas empresas y que se encuentre alineado con las actividades propias de cada negocio.

Propuesta
Marco Legal de las Pymes Clasificacin de las Pymes

Principales Sectores
4. Anlisis y Gestin de Riesgos 5. Poltica de Seguridad

6. Estructura Organizacional para la S.I. (Organigrama)

7. Clasificacin y Control de Activos 8. Seguridad en el Personal 9. Seguridad Fsica y del Entorno 10. Gestin de Comunicacin y Operaciones

Propuesta Marco Legal de las Pymes

Ley 590 del 10 de Junio de 2000 - Por la cual se dictan

disposiciones para promover el desarrollo de las micro, pequeas y medianas empresa.

Objeto: Promover el desarrollo integral de las micro, pequeas y medianas

empresas en consideracin a sus aptitudes para la generacin de empleo, el desarrollo regional, la integracin entre sectores econmicos, el aprovechamiento productivo de pequeos capitales y teniendo en cuenta la capacidad empresarial de los colombianos.

Ley 905 del 2 de Agosto de 2004 - Por medio de la cual se

modifica la Ley 590 de 2000.

Estimular la promocin y formacin de mercados altamente competitivos

mediante el fomento a la permanente creacin y funcionamiento de la mayor cantidad de micro, pequeas y medianas empresas, Mipymes.

Propuesta Clasificacin de las Pymes

De acuerdo con la Ley 905 del 2 de Agosto de 2004, la clasificacin es la siguiente: Microempresa: a) Planta de personal no superior a los diez (10) trabajadores o, b) Activos totales excluida la vivienda por valor inferior a quinientos (500) salarios mnimos mensuales legales vigentes. Pequea empresa: a) Planta de personal entre once (11) y cincuenta (50) trabajadores, o b) Activos totales por valor entre quinientos uno (501) y menos de cinco mil (5.000) salarios mnimos mensuales legales vigentes. Mediana empresa: a) Planta de personal entre cincuenta y uno (51) y doscientos (200) trabajadores. b) Activos totales entre 5.001 y 15.000 salarios mnimos mensuales legales vigentes.

Propuesta Principales Sectores

El desarrollo sectorial de las PYME, concentra el 71% de la produccin industrial, en aquellos segmentos basados en el aprovechamiento de los recursos naturales, tanto de origen agropecuario como minero. Excluyendo la refinacin de petrleo y la industria petroqumica, la produccin basada en el aprovechamiento de los recursos naturales representa aproximadamente el 60% del total industrial. Los principales sectores en Colombia son: Alimentos, Cuero y Calzado, Muebles y Madera, Textil y Confecciones, Artes Grficas, Plstico y Qumico, Metalrgico y Metalmecnico, Autopartes y Minerales no Metlicos. 23 mil Pymes existen en Colombia, principalmente en Bogot, Cali, Barranquilla y Bucaramanga. Suman el 99% de las empresas del pas, generan el 63% del empleo y el 37% de la produccin

Propuesta 4. Anlisis y Gestin de Riesgos

Es el proceso de identificacin, evaluacin y toma de decisiones para reducir el riesgo a un nivel aceptable. El anlisis de riesgo informtico hace parte de la gestin de continuidad del negocio (BCM). Una vez realizado el anlisis de riesgos, que hacer con el riesgo??

Asumirlo/aceptarlo Transferirlo Reducirlo/Mitigarlo Evitarlo (eliminar activos o servicios).

Propuesta 4. Anlisis y Gestin de Riesgos

Anlisis de Riesgos Pasos a seguir Conocimiento del objeto social y de los procesos a evaluar. Identificacin de los riesgos en los diferentes procesos que involucren recursos de seguridad informtica. Clasificacin de los activos relevantes que se encuentran inmersos en los riesgos identificados. Identificar las amenazas y vulnerabilidades a las que estn expuestos dichos activos. Valorar el impacto resultante de que una amenaza explote una vulnerabilidad del activo. Determinar los controles disponibles y que tanto mitigan los riegos y vulnerabilidades identificadas. Evaluar el impacto al activo en caso de la materializacin de la amenaza.

Propuesta 4. Anlisis y Gestin de Riesgos

Amenazas
Activos

Ocurren de forma imprevista en el entorno de la organizacin y pueden causar daos (prdidas). Son la fuente de los riesgos.

Los activos son vulnerables y se protegen con controles de seguridad. La falta de controles de seguridad y la existencia de vulnerabilidades en los activos representan un mayor impacto de los riesgos de seguridad generados por las amenazas.

Las amenazas ms importantes son las que tienen una mayor probabilidad de ocurrencia Riesgo y pueden afectar significativamente a la organizacin.
Vulnerabilidades

Las amenazas explotan vulnerabilidades de los activos de informacin.

Vulnerabilidades

Propuesta 4. Anlisis y Gestin de Riesgos

Anlisis de Riesgos Ejemplo
Proceso Marketing: Riesgo: FUGA DE INFORMACION PRIVILEGIADA
ACTIVOS AMENAZA - Deslealtad empleados - Inadecuada segregacin de funciones - Ingeniera social - Negligencia del recurso humano CONTROLES - Estudio de seguridad contratacin - Descripcin funcional de los cargos - Matriz de acceso aplicativos - Capacitacin sensibilizacin - Contratacin

Estrategia nuevo negocio o producto

Planeacin estratgica

publicidad
Base de datos clientes

Proceso Marketing: Criterios de Medicin: PROBABILIDAD - IMPACTO

PROBABILIDAD 1 Baja 2 Moderada El evento ocurra una vez cada tres meses Importante El evento ocurra una vez al ao Menor IMPACTO _ Deterioro de la imagen a nivel interno 1 _ Puede afectar la consecucin de clientes o negocios _ Prdida inferior a 20 SMMLV _ Deterioro de la imagen a nivel local 2 _ Afecta parcialmente la consecucin de clientes o negocios _ Prdida entre 20 SMMLV y 100 SMMLV _ Deterioro de la imagen a nivel Regional 3 _ Dificulta la consecucin de nuevos clientes o negocios _ Prdida superior a 100 SMMLV

3
Alta El evento ocurra una vez al mes Mayor

Propuesta 4. Anlisis y Gestin de Riesgos

Mapa de Riesgos - Colorimetra
ALTA 3 MODERADA 2 BAJA 1
Moderado Crtico Crtico

PROBABILIDAD

Inferior

Moderado

Crtico

Inferior

Inferior

Moderado

MENOR 1

IMPORTANTE 2

MAYOR 3

IMPACTO

Propuesta 5. Poltica de Seguridad

1.

La relevancia de la informacin en el negocio y su seguridad: La

informacin del negocio es un activo importante y por lo tanto debe ser protegida.

2.

Desarrollo de soluciones tecnolgicas en el negocio: Toda solucin

desarrollada en la compaa, con los recursos de la compaa, es de la compaa (Propiedad Intelectual).

3.
4.

Responsabilidad de la informacin: El gerente de cada rea es

responsable por el uso adecuado de la informacin, generada en su proceso.

Identificar, medir y controlar los riesgos de la informacin: De

acuerdo con el nivel de riesgo y el valor de la informacin se deben evaluar los riesgos y aplicar los controles para mitigarlos.

5.

Capacitacin y divulgacin de las Polticas de S. de la I.: Establecer

un programa de capacitacin permanente para conocimiento de amenazas y riesgos de los activos de informacin.

Propuesta 5. Poltica de Seguridad

6.

Seguridad en el Personal: los funcionarios contratados debe ser

sometidos a un proceso de seleccin y deben tener conocimiento de las polticas de seguridad informtica, una vez sean contratados.

7.

Responsabilidad de terceros en el manejo de la informacin del negocio: los terceros que prestan servicios contractualmente, debern
cumplir con las polticas de seguridad informtica.

8.

Asignacin de usuarios y claves: se deber definir un estndar para la

identificacin de los usuarios y los requerimientos de contenido de las claves.

9.

Privilegios de acceso a la informacin: los accesos a la informacin en

los aplicativos, deber ser controlada por la definicin de perfiles.

10. Clasificacin de la informacin: De acuerdo con el valor, sensibilidad,

riesgo de prdida de la informacin, esta deber ser clasificada, asignando niveles de proteccin.

Propuesta 5. Poltica de Seguridad

11. Seguridad Fsica: las reas fsicas de la compaa deben ser provistas de
controles de acceso, de acuerdo con el valor de la informacin que all se procesa.

12. Rastros de Auditora: Se deben guardar los rastros (logs) de los intentos
de acceso fallidos, alteracin y eliminacin de la informacin.

13. Uso adecuado de los recursos tecnolgicos: los elementos

tecnolgicos, no podrn ser usados por los funcionarios para actividades diferentes a las del negocio.

14. Cumplimiento de Regulaciones: El Modelo de Seguridad de la

Informacin, debe cumplir con las normas locales e internacionales (reserva bancaria, licenciamiento de Software).

15. Continuidad del Negocio: Toda compaa debe contar con un plan de
continuidad del negocio que garantice el servicio, en caso que se presente un evento de contingencia.

Propuesta 5. Poltica de Seguridad

16. Seguridad informtica en los procesos de Tecnologa: Todos los
procesos de administracin de sistemas debern cumplir con lo establecido en la poltica de seguridad informtica.

17. Terceros que acceden la informacin: los proveedores que utilicen

local o remotamente la informacin del negocio, debern, mediante un acuerdo de servicios, cumplir con la poltica de seguridad informtica

18. Conectividad: las conexiones con redes pblicas debern ser

autentificadas para evitar el riesgo de prdida de confidencialidad, integridad y disponibilidad de la informacin.

19. No Repudio: De acuerdo con el tipo de negocio, se deber garantizar la

autenticidad de cada una de las partes para evitar la negacin de su participacin en una transaccin.

Propuesta 6. Estructura Organizacional para Seguridad de la Informacin

Gerente General

Auditora

Gerente de RR.HH

Gerente Marketing Director de Operacin

Gerente Produccin

Gerente Financiero Contabilidad

Gerente de Sistemas

Gerente Seguridad Informtica

Tesorera

Asistentes

Asistentes Asesores Comerciales

Asistentes

Asistentes

Asistente

Auxiliares

Auxiliares

Auxiliares

Auxiliar

Propuesta 7. Clasificacin y Control de Activos

Todos los activos de informacin no tiene el mismo valor, por lo tanto es

necesario clasificarla de acuerdo con su relevancia en la compaa por lo tanto requiere diferentes niveles de proteccin. El Responsable de los activos de Informacin ser el encargado de ejecutar su clasificacin, teniendo en cuenta el nivel del impacto al negocio, su valor relativo y nivel de riesgo a que est expuesta. Determinar los controles que sean necesarios para proveer un nivel de proteccin de los activos de informacin apropiado y consistente, sin importar el medio, formato o lugar donde se encuentre. Los controles para la proteccin delos activos de informacin deben ser aplicados y mantenidos durante el ciclo de vida de la informacin, desde su creacin, durante su uso autorizado y hasta su apropiada disposicin o destruccin.

Propuesta 7. Clasificacin y Control de Activos

IDENTIFICACION DEL ACTIVO DESCRIPCION TIPO DE ACTIVO balances y estadisticas de la empresa Gerente Financiero PROPIETARIO General, Gerente LOCALIZACION Archivos contables, y en el computador de cada uno de los propietarios del activo

DATOS

APLICACIONES

Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de estructura, organizacin y politicas de la Archivos Generales de la Produccin, Gerente Financiero, Datos almacenados en cualquier empresa constitucion de la emnpresa Gerente Sistemas, Gerente formato que se generan, almacenan, Seguridad Informatica, Directores y gestionan,transmiten y destruyen en acuerdos y contratos con clientes y Gerente General, Gerente RR.HH y Archivos de recursos humanos la organizacin. empleados sus Asistentes y auxiliares y de los propietario del activo Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de en cada equipo (PC y portatil) correos electronicos y digitales Produccin, Gerente Financiero, del dueo del activo Gerente Sistemas, Gerente Seguridad Informatica, Directores y Sistema de informacin de los Gerencia RR.HH y sus Asistentes y en cada equipo (PC y portatil) empleados de la empresa Auxiliares del dueo del activo Gerente Financiero, Asistentes y en cada equipo (PC y portatil) Sistema contable Auxiliares del dueo del activo Sistema de registro de ingreso y salida Gerencia RR.HH y sus Asistentes y en cada equipo (PC y portatil) El software que se utiliza para la del personal Auxiliares del dueo del activo gestin de la informacin Gerencia de sistemas, Asistentes y en cada equipo (PC y portatil) sistema de ingreso y salida de equipos Auxiliares del dueo del activo Gerencia de sistemas, Gerente en cada equipo (PC y portatil) base de datos de clientes, proveedores Marketing, Gerente de Produccin, del dueo del activo Asistentes y Auxiliares

Propuesta 7. Clasificacin y Control de Activos

IDENTIFICACION DEL ACTIVO DESCRIPCION TIPO DE ACTIVO PROPIETARIO LOCALIZACION Contratos y Acuerdos Gerencia RR.HH y sus Asistentes y en los archivos y equipo (PC y Auxiliares portatil) del dueo del activo

PERSONAL

En esta categora se encuentra tanto la plantilla propia de la organizacin, Manuales de Usuarios comoel personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tenganacceso de una manera u otra a los activos de Documentacin del sistema informacin de la organizacin.

Gerencia de sistemas, Asistentes y en los archivos y equipo (PC y Auxiliares portatil) del dueo del activo

Gerencia de sistemas, Asistentes y en los archivos y equipo (PC y Auxiliares portatil) del dueo del activo

Material de Formacin

Gerencia RR.HH, Gerencia de en los archivos y equipo (PC y sistemas y sus Asistentes y portatil) del dueo del activo Auxiliares

SERVICIOS

Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por red y comunicaciones ejemplo la gestin administrativa), como los externos,aquellos que la organizacin suministra a clientes y usuarios (por ejemplo comercializacin lacomercializacin de productos).

Gerencia de sistemas, Asistentes y departamento Auxiliares comunicaciones

de

Gerencia de sistemas, Asistentes y departamento Auxiliares comunicaciones

de

Propuesta 7. Clasificacin y Control de Activos

IDENTIFICACION DEL ACTIVO DESCRIPCION TIPO DE ACTIVO equipos informaticos fijos PROPIETARIO Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de Produccin, Gerente Financiero, Gerente Sistemas, Gerente Seguridad Informatica, Directores y Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de Produccin, Gerente Financiero, Gerente Sistemas, Gerente Seguridad Informatica, Directores y Asistentes. Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de Produccin, Gerente Financiero, Gerente Sistemas, Gerente Seguridad Informatica, Directores y Asistentes. Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de Produccin, Gerente Financiero, Gerente Sistemas, Gerente Seguridad Informatica, Directores y Asistentes. LOCALIZACION oficina del dueo del activo

equipos informaticos moviles Los equipos utilizados para gestionar la informacin y las comunicaciones(servidores, PCs, telfonos, impresoras, routers, cableado, etc.) equipos de comunicaciones

oficina del dueo del activo

TECNOLOGIA

oficina del dueo del activo

medios removibles

oficina del dueo del activo

oficinas INSTALACIONES lugares en los que se alojan los sistemas de informacin (oficinas, edificios,vehculos, etc.) cuartos de tecnologia

Gerencia de sistemas, Asistentes y departamento Auxiliares comunicaciones

de

Gerencia de sistemas, Asistentes y departamento Auxiliares comunicaciones

de

En este tipo entraran a formar parte todos aquellos activos quedan soporte EQUIPAMIENTO AUXILIARES a los sistemas de informacin y que no equipos de climatizacin se hayan en ninguno de los tiposanteriormente definidos

Gerencia de sistemas, Asistentes y departamento Auxiliares comunicaciones

de

Propuesta 8. Seguridad en el Personal

Todos los funcionarios contratados debern ser sometidos a un proceso de

seleccin. Cada uno de ellos deber ser incluido en un programa de capacitacin donde se les darn a conocer las polticas definidas para la compaa. La compaa debe generar las estrategias necesarias para asegurar que sus empleados cumplan con sus responsabilidades en Seguridad Informtica desde su ingreso hasta su retiro. Los contratos laborales debern incluir clusulas que indiquen las responsabilidades correspondientes para con la seguridad informtica y el cumplimiento de las normas establecidas (cdigo de conducta, cdigo de tica, cdigo de buen gobierno). Se deben establecer estrategias (capacitaciones, evaluaciones) que permitan determinar que los funcionarios tienen conocimiento y entendimiento de las Polticas, normas y procedimientos de Seguridad Informtica. La compaa proporcionar los recursos necesarios (lneas ticas, buzones de sugerencias) que faciliten a los funcionarios el reporte de vulnerabilidades y riesgos que detecten.

Propuesta 9. Seguridad Fsica y del Entorno

las reas fsicas de la compaa deben tener un nivel de seguridad acorde con

el valor de la informacin que se procesa y administra en ellas. La informacin confidencial o sensitiva al negocio debe mantenerse en lugares con acceso restringido cuando no es utilizada. Las reas fsicas construidas para soportar toda la operacin del negocio, debern estar provistas de los controles de acceso adecuados (p.e.: puertas, cerraduras, lectores de tarjetas, biomtricos, entre otros) segn el valor de la informacin que contienen. Los infraestructura tecnolgica deber estar fsicamente protegida contra amenazas de acceso no autorizado y amenazas ambientales para prevenir exposicin, dao o prdida de los activos e interrupcin de las actividades de negocio. valor de la informacin que contienen. La informacin sensible no se dejar desatendida o sin control, por lo que es necesario implementar un programa que permita prevenir que este tipo de informacin sea accedida sin autorizacin.

Propuesta 9. Seguridad Fsica y del Entorno

Para este modelo se debe tener en cuenta las siguientes consideraciones: 1. Control de Acceso a nivel perimetral. 2. Control de Acceso a Oficinas y/o recursos 3. Proteccin sobre amenazas del entorno 4. Proteccin contra los activos tangibles de la compaa 5. Control sobre salida de equipos 6. Proteccin sobre suministro de energa elctrica ante los equipos 7. Proteccin contra cableado estructurado 8. Mantenimiento a equipos 9. Control sobre salida de equipos

Propuesta 10. Gestin de Comunicaciones y Operaciones

1. 2. 3. 4. 5. 6. 7. 8.

9.
10.

Acceso a usuarios autenticados Planes de accin para disponibilidad de los sistemas Proteccin contra el Software a nivel de amenazas (Malware) Controles tecnolgicos y medidas no tcnicas Estadsticas de infeccin Controles rutinarios para respaldo del sistema Implementacin de Sistema de Seguridad Lgica en Redes Control de medios Encriptacin de informacin sensible Monitoreo sobre servicios de red

Gracias!!!