You are on page 1of 131

IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP.

PAUL ROSEMBERG ENRIQUEZ ESPINOSA

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA

DEPARTAMENTO DE INGENIERÍA INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN PROGRAMA INGENIERIA INFORMATICA SANTIAGO DE CALI

2013

IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP.

PAUL ROSEMBERG ENRIQUEZ ESPINOSA -

Pasantía Institucional para optar por el título de Ingeniero Informático

Director MARIO WILSON CASTRO Ing. De Sistemas

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE DEPARTAMENTO

FACULTAD DE INGENIERÍA INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN PROGRAMA INGENIERIA INFORMATICA SANTIAGO DE CALI

2013

Nota de aceptación

Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático.

ARMANDO GARCÍA

Jurado

Santiago de Cali, Julio de 2013

3

Agradezco a DIOS por la salud y sabiduría con la que me colma cada día y por oportunidad que me ha brindado de poder educarme en una Universidad y por

permitirles a mis padres la salud y los recursos necesarios para el misma.

pago de la

A mis padres Winston Enriquez Álzate y Gloria M. Espinosa Garcés por sus consejos y su ayuda incondicional para superar toda adversidad que se presentó durante mi formación profesional; sin ellos lo que hoy en día soy y he logrado no hubiera podido hacerse realidad.

A la dirección académica de la Universidad Autónoma de Occidente, por compartir sus conocimientos conmigo, en especial al Ing. Mario Wilson Castro por su ayuda contribución en mi formación profesional y su ayuda incondicional durante mí proceso de trabajo de grado.

A las empresas públicas de Cali EMCALI E.I.C.E-ESP, por permitirme realizar mi pasantía institucional al interior de su organización; agradezco especialmente a la Gerencia de TI por acogerme dentro de sus instalaciones y a la Ing. Luz Stella Mora, por su apoyo incondicional y por compartir con migo el conocimiento que hoy se ve consolidado en este documento.

A mis amigos por estar siempre a mi lado brindándome sus buenas energías y por recordarme que este es el último peldaño de este sueño llamado ingeniería informática y que para alcanzarlo debo dar lo mejor de mí.

Paul Rosemberg Enriquez Espinosa.

4

CONTENIDO

 

RESUMEN

14

INTRODUCCIÓN

15

  • 1. ANTECEDENTES

17

  • 2. PROBLEMA DE INVESTIGACIÓN

19

2.1.

PLANTEAMIENTO DEL PROBLEMA

19

3.

JUSTIFICACIÓN

23

  • 3.1. JUSTIFICACIÓN ECONÓMICA

23

  • 3.2. JUSTIFICACIÓN SOCIAL

24

  • 3.3. JUSTIFICACIÓN TÉCNICA

24

  • 3.4. JUSTIFICACIÓN TEÓRICA

25

4.

OBJETIVOS

27

  • 4.1. OBJETIVO GENERAL

27

  • 4.2. OBJETIVOS ESPECÍFICOS

27

5.

MARCO TEORICO

29

  • 5.1. SERIE ISO/27000

29

 
  • 5.2. ISO/27001

30

  • 5.3. ISO/27002

32

  • 5.4. ISO/27001 ANEXO A

34

  • 5.5. DOMINIO GESTIÓN DE ACTIVOS

35

  • 5.6. GESTIÓN DE RIESGO

40

5.6.1.

Procedimientos para la Gestión de Riesgos.

40

5.7.

METODOLOGÍA PARA GESTIÓN DE RIESGOS

42

5.7.1.

Metodología de Gestión de riesgos Magerit

43

5.7.2 Magerit establece dos tipos de objetivos

43

5

5.8.1Planear

45

 
  • 5.8.2 Hacer

45

  • 5.8.3 Verificar

46

  • 5.8.4 Actuar

46

  • 6. METODOLOGÍA

47

  • 7. DESARROLLO DEL PROYECTO

48

7.1.

LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO

48

  • 7.1.1. Establecer el contexto

49

  • 7.1.2. Identificación del Riesgo

60

  • 7.1.3. Estimación del Riesgo

62

  • 7.1.4. Evaluación Del Riesgo

64

  • 7.1.5. Tratamiento Del Riesgo

65

  • 7.1.6. Comunicación y Consulta

66

  • 7.1.7. Monitoreo y Revisión

66

7.2.

ACTIVOS DE INFORMACION OBJETO DE ANÁLISIS

67

  • 7.2.1. Análisis de Activos

67

  • 7.2.2. Gerencia de TI

68

  • 7.2.3. Departamento Operaciones

70

  • 7.2.4. Departamento Sistemas de Información

72

  • 7.2.5. Departamento Planeación Tecnológica

74

  • 7.2.6. Conclusión Respecto al Análisis de Activos y Actualización del

 

Inventario

76

  • 7.2.7. Determinar El Alcance

76

7.3.

INVENTARIO DE ACTIVOS

80

7.3.1

Campos de información a asociar al inventario

80

  • 7.2 MATRIZ DE RIESGOS

81

  • 7.3 CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO

81

7.3.1

Controles

81

7.4

METODOLOGÍA PARA LA ACTUALIZACIÓN DEL INVENTARIO DE

ACTIVOS

83

7.4.1

Etapa número uno, activos a dar de baja

84

6

  • 7.4.2 Etapa número dos, actualizar valoración de criticidad

84

  • 7.4.4 Etapa número 1, Activos a dar de baja

86

7.4.4.1

Indagar

86

7.4.5

Etapa Numero Dos

89

  • 7.4.5.1 Actualizar valor de Criticidad

90

  • 7.4.5.2 Traslado de Activos de Información

90

  • 7.4.5.3 Traspaso de activos de información

91

7.4.6

Etapa número tres

92

  • 7.4.6.1 Análisis Activos de Información

92

  • 7.4.6.2 Dar de Alta

93

7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN

95

  • 7.5.1 Políticas de Seguridad de la Información

95

  • 7.5.2 Políticas Generales

96

  • 7.5.3 Políticas Específicas

97

  • 7.5.3.1 Políticas Para el Uso Adecuado del Correo Electrónico

98

  • 7.5.3.2 Políticas de Uso de Estaciones de Trabajo

100

  • 7.5.3.3 Políticas de Uso de Cuentas de Usuario y Contraseñas

101

  • 7.5.3.4 Políticas de Disponibilidad de la Información

103

7.5.4

Etiquetado de Activos de Información

104

  • 7.5.4.1 Propósito de Seguridad Respecto al Etiquetado de Equipos

Cómputo

105

  • 7.5.4.2 Consolidación del Etiquetado de Equipos de Cómputo

105

  • 7.5.4.3 Definir Activos a Etiquetar

105

  • 7.5.4.4 Información Registrada en el Inventario de Activos

106

  • 7.5.4.5 Recaudo de información Adicional

108

  • 7.5.4.6 Diseño de la Etiqueta de Marcado

109

  • 7.5.4.7 Disposición de Etiquetas sobre el Activo de Información

110

  • 7.5.4.8 Delegación de Responsabilidades

111

  • 7.5.4.9 Marcado de Activos

111

7.5.4.10

Muestra de Resultados

111

7.5.5

Estrategia de Sensibilización al Usuario Respecto al Etiquetado de

Activos y la Importancia de los Activos de Información

112

7.5.5.1

Enfoque y Estrategia para la Sensibilización

113

7

  • 7.5.5.2 Factores a Fortalecer en el Empleado

115

  • 7.5.5.3 Fortalecimiento del Factor Cognitivo

115

  • 7.5.5.4 Fortalecimiento del Factor Psicológico

116

  • 7.5.5.5 Fortalecimiento del Factor Laboral (Compromiso respecto a

la seguridad de la información)

116

  • 7.5.5.6 Control y Seguimiento

116

  • 7.5.5.7 Seguimiento

117

  • 7.5.5.8 Estimación Cronológica y Económica Para la Ejecución de la

Estrategia de Concientización

118

  • 8. CONCLUSIÓN

119

  • 9. RECOMENDACIONES

121

BIBLIOGRAFÍA

123

ANEXOS

128

8

LISTA DE FIGURAS

 

Pág.

Figura 1 Controles Asociados a la Norma ISO/27002

33

Figura 2. Dominio gestion de activos asociado al Anexo A

35

Figura 3. Clasificación de los activos de información respecto a su confidencialidad

51

Figura 4 Clasificación de los activos de información respecto a su integridad

51

Figura 5 Clasificación de los activos de información respecto a su disponibilidad

52

Figura 6. Clasificación de los activos de información respecto a su Trazabilidad

53

Figura 7. Distribución de Activos de información actualizada

68

Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su valor de criticidad

69

Figura 9. Activos asociados a la gerencia de TI, que se encuentran registrados en la matriz de riesgos

70

Figura 10. Activos asociados al departamento de operaciones, distribuidos respecto a su valor de criticidad

71

Figura 11. Activos asociados al departamento de operaciones, que se encuentran registrados en la matriz de riesgos

72

Figura 12. Activos asociados al departamento de sistemas de información, distribuidos respecto a su valor de criticidad

73

9

Figura 13. Activos asociados al departamento de sistemas de información, que se encuentran registrados en la matriz de riesgoS

74

Figura 14. Activos asociados al departamento de planeación tecnológica, distribuidos respecto a su valor de criticidad

75

Figura 15. Activos asociados al departamento de planeación tecnológica, que se encuentran registrados en la matriz de riesgos

76

Figura 16. Prototipo etiquetas de marcado

110

Figura 17. Prototipo Etiquetas de Marcado 2

110

10

LISTA DE CUADROS

 

Pág.

Cuadro 1. Niveles de valoración de los activos de información

50

Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los

activos de información

54

Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos

de información

54

Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los activos de información

55

Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los activos de información

55

Cuadro 6. Ejemplo Valoración final de los activos de información respecto a

su criticidad

56

Cuadro 7. Ejemplo construcción de etiqueta de criticidad

56

Cuadro 8. Escala de probabilidad

62

Cuadro 9. Escala de impacto

63

Cuadro 10. Matriz de probabilidad VS Impacto

65

Cuadro 11. Activos de información asociados al proceso gestionar tecnología

77

Cuadro 12. Tipo de Baja

88

Cuadro 13. Modo de adquisición del activo

94

Cuadro 14. Nomenclatura para identificación de propietario de activos

107

11

Cuadro 15. Valores de criticidad a asociar a la etiqueta de marcado

107

Cuadro 16. Nomenclatura para la identificación de atributos

107

12

LISTA DE ANEXOS

 

Pág.

Anexo A. Inventario de activos de información y matriz de riesgos

Anexo B. Formato de Baja y Alta

125

Anexo C. Formato de Traslado y Traspaso

126

Anexo D. Formato de Delegación de Responsabilidades y Entrega

de

Recursos

127

Anexo E. Formato de Control en el Etiquetado

128

13

RESUMEN

La necesidad percibida en el estudio y análisis de una situación real al interior de empresas municipales de Cali (EMCALI E.I.C.E-ESP), específicamente dentro de la gerencia de tecnología de la información, permite que el proyecto desarrollado en modalidad de pasantía como opción de grado - IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP – surja como una alternativa de solución para coadyuvar en el desarrollo del dominio número siete (Gestión de Activos) de la Norma ISO/27001 Anexo A.

El proyecto se emprendió inicialmente con el diagnostico preliminar del estado de desarrollo en el cual se encontraba el proyecto de “Sistema de Gestión de Seguridad de la Información (SGSI)”, a fin de establecer un punto de partida para el inicio del proyecto, partiendo del avance que EMCALI haya consolidado para el proyecto (SGSI), proyecto el cual requiere del desarrollo del dominio número siete (Gestión de Activos), para encontrase conforme con las directrices establecidas por la Norma ISO/27001 y alcanzar de esta manera la certificación en seguridad de la información.

El presente documento ostenta la posición con la cual se proyecta una perspectiva que permita coadyuvar en el cumplimiento del dominio Gestión de Activos de la Norma ISO/27001 Anexo A, mediante la consecución de cada uno de los objetivos de control y controles asociados a este dominio, para los cuales se formaron estrategias que permitirán a la organización minimizar el riesgo sobre los activos de información, mediante la identificación de activos críticos, propiedad y custodio de los activos, políticas para el buen uso de los activos de información y la generación de cultura y hábitos de seguridad respecto a la seguridad de la información en los empleados de la organización, garantizando de esta manera la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información.

Palabras clave: seguridad de la información, activos de información, actividad empresarial, gestión de seguridad de la información.

14

INTRODUCCIÓN

La seguridad de la información son todas aquellas acciones que llevan a cabo las organizaciones con el fin de disminuir los riesgos que recaen sobre los activos de información que dichas organizaciones poseen, y de esta manera poder garantizar la confidencialidad, disponibilidad, integridad y trazabilidad de los activos de información.

El proceso de implementar la seguridad de la información dentro de una organización es un proceso dispendioso, el cual requiere de la cooperación y trabajo en equipo de las diferentes áreas organizacionales que componen la organización, ya que cada área organizacional cuenta con activos de información valiosos para mantener la actividad empresarial de la organización en competencia. Los activos de información deben ser asegurados por el área organizacional o grupo de personas encargadas de implementar la seguridad de la información al interior de la organización, el área o grupo de personas responsables de llevar a cabo esta labor, deben contar con conocimiento de los conceptos que se ven abarcados por la seguridad de la información, como lo es el concepto de sistema de gestión de seguridad de la información (SGSI) el cual es una herramienta clave para el desarrollo de la seguridad de la información.

El sistema de gestión de seguridad de la información (SGSI) es una herramienta

de gestión que nos permite conocer, gestionar y minimizar los riesgos a los cuales están expuestos los activos de información. El SGSI contempla la definición de políticas de seguridad las cuales permitan realizar un correcto uso de los activos de información, sin comprometer su confidencialidad, disponibilidad, integridad, y trazabilidad. Para la implementación del sistema de seguridad de la información

(SGSI) se debe tener en cuenta la norma ISO/27000 1 orientar el proceso de implementación de SGSI.

las cual está elaborada para

1 ISO/IEC 27000-series [en línea]. 24 de marzo 2012 [consultado el 10 de noviembre de 2012] Disponible en Internet: http://es.wikipedia.org/wiki/ISO/IEC_27000-series

15

La norma se compone de una serie de normas asociadas como son la norma ISO/27001 2 , la cual hace referencia a las buenas practicas que se deben tener en cuenta a la hora de llevar acabo la implantación de un SGSI, esta norma es la que otorga la certificación en seguridad de la información; la otra norma asociada es la norma ISO/27002 3 la cual complementa a la norma ISO/27001, ya que la norma ISO 27002 hace referencia a los controles para hacer efectiva las buenas practicas contenidas en la norma ISO/27001.

La norma ISO/27002 contiene 11 dominios,

39 objetivos de control,

y

133

controles, los cuales

permiten el

correcto aseguramiento de los activos de

información, en dicha norma se encuentra estipulado el dominio “gestión de activos de información” el cual contiene los siguientes objetivos de control y controles:

Responsabilidad sobre los activos.

Inventario de activos.

Propiedad de los activos.

Uso aceptable de los activos.

Clasificación de la información.

Directrices de clasificación

Etiquetado y manipulación de la información.

El dominio anteriormente mencionado junto a sus respectivos objetivos de control y controles, son los que se llevaran a cabo su desarrollo en este anteproyecto y posterior desarrollo de proyecto de grado.

2

ISO/27001 [en línea].

[consultado el 15 de noviembre

de 2012]

Disponible en

Internet en

https://seguinfo.wordpress.com/category/estandares/page/6/

3

ISO/27002 [en línea].

[consultado

14

de noviembre de

2012]

http://es.wikipedia.org/wiki/ISO/IEC_17799

Disponible en Internet

en

16

1. ANTECEDENTES

El Sistema de Gestión de Seguridad de la Información (SGSI) es un sistema de gestión, el cual su estructuración se ve basada en seguir los lineamientos de la Norma ISO/27001 Anexo A y apropiarse de las recomendaciones establecidas en la Norma, la Norma ISO/27002 es también parte importante en el establecimiento del SGSI ya que en dicha Norma se describe en un mayor detalle los controles sugeridos en el Anexo A de la Norma ISO/27001. El SGSI permite a través de la implementación de una serie de actividades bien formadas tener un control sobre los activos de información que se han identificado como importantes para las actividades y procesos empresariales, y a partir del control obtenido poder mitigar el riesgo que recae sobre los activos de información.

Debido a la efectividad del proceso de gestión que se logra obtener con el SGSI, diversas organización tanto del sector público como del privado, a nivel mundial como nacional, optan por la implementación de este sistema con el fin de tener una herramienta efectiva en la gestión del riesgo de activos de información dentro de la organización.

Un caso puntual en el cual una organización ha reconocido la importancia de establecer un proyecto de seguridad de la información en el cual se ha contemplado el desarrollo de un sistema de gestión de seguridad de la información (SGSI) incluyendo dentro de este, el desarrollo de los controles asociados al dominio Gestión de Activos de Información. El Gobierno de la república de Colombia el cual a través de su ministerio de comunicaciones en el 2008 aprobó un documento oficial en el cual se detalla el modelo de

Seguridad de la información-sistema SANSI 4 -SGSI Modelo de seguridad de la información para la estrategia de gobierno en línea, en dicho documento el gobierno de la república de Colombia ha establecido el modelo de seguridad de la

4 SANSI: El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y mantenimiento de las políticas y controles del Modelo de Seguridad

17

información para la estrategia de gobierno en línea el cual ha establecido el SGSI partiendo de los lineamientos consolidados en la Norma ISO/27001 e ISO/27002, haciendo caso a las recomendaciones para incluidas en dichas normas respecto al establecimiento y estructuración del SGSI e implementando los controles sugeridos para la gestión del riesgo de los activos de información. El documento oficializado por el ministerio de comunicaciones presenta la consolidación del proyecto de seguridad de la información que se ha establecido por parte del gobierno nacional de la República de Colombia y en el cual se detalla la estructuración del sistema de gestión de seguridad de la información SGSI que han adelantado 5 .

5 Ministerio de Comunicaciones de la República de Colombia, Gobierno en Línea, Modelo de Seguridad de la Información-Sistema SANSI-SGSI [En línea] [Consultado 18 de octubre de 2012]

http://programa.gobiernoenlinea.gov.co/apc-aa-

files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf

18

  • 2. PROBLEMA DE INVESTIGACIÓN

2.1 PLANTEAMIENTO DEL PROBLEMA

EMCALI como toda organización cuenta con activos de información 6 los cuales representan una parte fundamental en el proceso empresarial que se desempeña, ya que basados en los activos de información que EMCALI posee se sustentan muchas de las decisiones que se toman a nivel comercial, operativo y de infraestructura de EMCALI.

EMCALI cuenta numerosos departamentos los cuales ayudan a mantenerlo en operación continua gracias a los procesos operativos que se adelantan en cada uno de ellos. Dentro de estos departamentos se encuentra planeación tecnológica, operaciones y Sistemas de Información los cuales se encuentran dentro de la Gerencia Tecnología de la Información, gerencia la cual cuentan con un gran número de activos de información los cuales son de gran importancia para la organización, ya que gracias a la información que dichos activos contienen se toman decisiones trascendentales para mantener la organización en competencia.

Reconociendo la importancia de los activos de información para la actividad empresarial de EMCALI se ha considero adecuada la implantación de un sistema de gestión de seguridad de la información (SGSI), el cual ayudara a EMCALI a reducir el riesgos sobre sus activos de información, mediante la selección e implementación de una serie de controles y el establecimiento de políticas, normas y procedimientos que permitan realizar una administración del riesgo que se cierne sobre los activos de información.

La Gerencia Tecnología de la Información se encuentra conformada por tres departamentos y por la Gerencia de TI, los cuales hacen uso de sus de activos de información concernientes a cada una de los procesos y actividades propias de cada departamento, y que por estar comprendidos dentro de la Gerencia

6 Realiso. Activos de Información [en

línea]. [consultado el 10

de julio de 2012] disponible en

Internet:

https://sites.google.com/a/realiso.com/realisms-spa/gestao-de-risco/-3-3-ativos-de-

informacao

19

Tecnología de la Información requieren que sobre sus activos se realice una debida gestión del riesgo.

Los tres departamentos y la gerencia de TI los cuales son acogidos dentro de la Gerencia Tecnología de la información poseen la siguiente distribución respecto al número de activos de información asociados a cada departamento y a la Gerencia de TI.

Gerencia, esta área cuenta hasta el momento con un total de veinte y cuatro (24) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. Operaciones, esta área cuenta hasta el momento con un total de ochenta y cinco (85) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. Sistemas de Información, esta área cuenta hasta el momento con un total de veinte y dos (22) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. Planeación, esta área cuenta hasta el momento con un total de veinte y dos (22) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área.

La gestión de activos de información como parte del anexo A de la Norma ISO/27001, demanda la realización de un estudio con el objetivo de poder

identificar, registrar, y gestionar los

activos de información, mediante la

implementación de cinco controles los cuales se encuentran comprendidos dentro

del dominio de GESTION DE ACTIVOS DE INFORMACION, los controles

anteriormente mencionados son los siguientes descripción:

y

cuentan

con

la

siguiente

Inventario de activos, por medio de este control se lleva a cabo la actividad de identificación y registro de los activos de información de cada una de los departamentos que componen la Gerencia tecnología de la Información. Este control requiere que una vez sea establecido el inventario de activos de información asociado a cada departamento y a la Gerencia de TI, a cada uno de los inventarios creados, se les realice periódicamente un proceso de actualización de los inventarios con el fin de poder determinar que activos de información han cumplido con su ciclo de vida dentro de EMCALI y poder de esta manera desvincularlos del inventario, y mediante este mismo proceso de actualización

20

poder determinar que nuevos activos de información hacen parte de cada una de las áreas y poder vincular estos activos al inventario.

Propiedad de los activos, a través de este control se realiza el proceso de identificación del propietario y custodio del activo de información, con el fin de determinar la persona o área en especial que hace uso del activo de información, y el custodio es la persona que realiza un monitoreo del activo de información y ejecuta los controles definidos para minimizar los riesgos sobre el activo de información.

Uso aceptable de los activos, corresponde al establecimiento de políticas de seguridad de la información las cuales promuevan el buen uso de los activos de información dentro de la organización, haciendo uso de estos activos con fines que contribuyan a la actividad empresarial de esta.

Directrices de clasificación, mediante la implementación de este control se logra detallar la clasificación de los activos de información, los activos deben ser clasificados teniendo en cuenta la valoración de los mismos es decir que para ello se debe tener en cuenta su valor en confidencialidad, integridad, disponibilidad y trazabilidad.

Etiquetado y manipulación de la información, es el proceso mediante el cual se identifican, clasifican, protegen los activos de información contribuyen a que los empleados vinculados a la organización, identifiquen el nivel de criticidad de los activos y a partir de ello puedan tomar las medidas preventivas en el uso de los activos de información.

El desarrollo del dominio de Gestión de Activos de Información a partir de los lineamientos establecidos en el Anexo A se considera como una contribución valiosa para el proyecto de seguridad de la información que se adelanta en EMCALI, ya que “El Anexo A es donde se juntan las normas ISO/27001 e ISO/27002. Los controles de la norma ISO/27002 tienen los mismos nombres que en el Anexo A de la norma ISO/27001; pero la diferencia se encuentra en el nivel de detalle: la ISO/27001 sólo proporciona una breve descripción de un control,

21

mientras que la ISO/27002 ofrece lineamientos detallados sobre cómo implementar el control” 7 .

7 DEJAN Kosutic,

ISO/27001 & ISO/22301 [en línea] [consultado el 20

2010] Disponible en

Internet: http://blog.iso27001standard.com/es/tag/anexo-a/

22

3. JUSTIFICACIÓN

  • 3.1. JUSTIFICACIÓN ECONÓMICA

En la actualidad se han venido gestando diversos cambios en los rubros comerciales generando un cambio en el paradigma de hacer negocios y en el trato con la información derivada del mismo, este cambio ha surgido como efecto del fenómeno de globalización mundial, ya que este fenómeno ha traído consigo diferentes políticas y normativas con las cuales las organizaciones deben con el fin de estas hagan una participación activa de los procesos de los procesos de negocio.

Con la entrada en vigencia de los diferentes tratados de libre comercio (TLC) entre Colombia y diferentes países como estados unidos de américa, chile entre otros, se ha evidenciado un surgimiento en la exigencia de mayor calidad y seguridad en sus procesos productivos y manejo de la información en las empresas colombianas.

Reconociendo las nuevas tendencias y exigencias del mercado, EMCALI como empresa prestadora de servicios ha tomado la decisión de adelantar la implementación de una serie de normativas de seguridad de la información que rigen a nivel internacional con el fin de hacer parte activa de los proceso de negocios, entre la serie de normativas que brindan recomendación en cuanto a seguridad de la información se refiere EMCALI ha decidido implementar alinearse con la Norma ISO/2700, la cual rige a nivel internacional y la cual brinda una certificación en seguridad de la información, la Norma ISO/27001 tiene como objetivo que las compañías se apropien de las recomendaciones que se establecen en la Norma y de esta manera puedan contar con un nivel de seguridad aceptable para la protección de sus activos de información, la implementación de esta norma trata de minimizar que los activos de información sufran afectaciones en cuanto a su confidencialidad, integridad, disponibilidad y trazabilidad, ya que estas afectaciones ocasionarían perdidas económicas para EMCALI y para sus usuarios en caso de que la información que EMCALI contiene de ellos sea vulnerada, ocasionando demandas y por ende perdidas económicas para la organización.

23

3.2.

JUSTIFICACIÓN SOCIAL

Con la implementación del proyecto de seguridad de la información teniendo como punto de partida el cumplimiento a las directrices establecidas por la Norma ISO/27001 se lograra un beneficio social respecto a la confidencialidad e integridad de los datos que los usuarios han confiado a EMCALI como requisito para acceder a los diferentes servicios que ofrece la organización.

El alineamiento con la Norma ISO/27001 traerá como resultado la firma de acuerdos de negocios con otras organizaciones que reconocen que a partir de la alineación de los objetivos empresariales de EMCALI con la Norma, se genera un entorno de negocios mucho más confiable y seguro. A partir de la firma de acuerdos de negocios se generaran muchos más recursos para poder para inversión social como reforestación de bosques y sitios cercanos a afluentes de acuíferos y mejoramiento de los servicios que la empresa presta a sus usuarios.

  • 3.3. JUSTIFICACIÓN TÉCNICA

Se deben crear políticas, normas y procedimientos que ayuden a la gestión de los riesgos que se acentúan sobre los activos de información de la EMCALI, este trabajo debe ser llevado acabo por personal con conocimientos en la norma ISO/27001 y experiencia en la implementación de proyectos de seguridad de la información, de no contarse con personal capacitado en el tema de seguridad de la información se deberá buscar la manera más efectiva de poder garantizar que el personal adquiera los conocimientos y capacidades necesarias para alcanzar el objetivo que se tiene planteado con el desarrollo del proyecto de seguridad de la información.

El

grupo de personas

responsables de liderar y adelantar el

proyecto de

seguridad de la información debe contar con total apoyo

de la dirección

de

la

empresa, ya que el desarrollo de un proyecto de seguridad de la información en el

cual se desarrolle un

SGSI

requiere de la inversión en tecnología en ciertos

aspecto, como puede ser

la

adquisición de un software para

el

manejo del

inventario de activos de información, adquisición de software para la

24

administración de roles de los empleados, entre otra serie de tecnologías que garantizaran una gestión aceptable de los riesgos.

  • 3.4. JUSTIFICACIÓN TEÓRICA

Con el fin de mantener las actividades empresariales de EMCALI en competencia, se ha decidido por parte de la Gerencia Tecnología de la Información adelantar la implementación de un proyecto de seguridad de la información en el cual se desarrollara el Sistema de Gestión de Seguridad de la Información bajo los lineamientos de la Norma ISO/27001 Anexo A en la cual se involucra el desarrollo del dominio de GESTION DE ACTIVOS DE INFORMACIO como reconocimiento a la relevancia de este dominio en la gestión del riesgo sobre los activos, la necesidad del desarrollo de un proyecto de esta índole radica en los continuos cambios en el mundo empresarial en especial en el campo comercial de prestación de servicios, el cual exige tener un mayor control sobre los activos de información que se encuentran en poder de la organización, como lo son los activos de:

Servicios: incluyen los procesos de negocios de la organización que ofrece la organización al exterior o que ofrece con carácter interno como lo es el caso de la gestión de nóminas.

Datos e información: son los datos que se manejan al interior de la organización dentro de ellos se incluyen información de usuarios externos e información de procesos adelantados por la organización. La suele ser el núcleo del sistema, mientras que el resto de activos sirven como medios de almacenamiento, de despliegue de la información y de manipulación de dichos activos de información.

Aplicaciones de software: son las aplicaciones lógicas que permiten procesar y analizar información valiosa para la organización.

Equipos informáticos: se refiere a los equipos físicos como computadores, que brindan soporte a las aplicaciones de software que procesan la información y luego permiten visualizarla dentro de estos.

Personal: es el activo que presenta más dificultad en su control, ya que al ser un activo de recurso humano, presenta variaciones continuas e impredecibles en su actuar.

25

Redes de comunicaciones: dichas redes brindan soporte a la organización para el movimiento de la información, dichas redes pueden ser propias o subcontratadas con terceros.

Soporte de información: son los soportes físicos como los servidores, los cuales permiten el almacenamiento de la información por largos periodos de tiempo.

Equipamiento auxiliar: este tipo de equipamiento brinda soporte a los sistemas de información y son activos que no se han incluido en ninguna otra de las clasificaciones; dentro de este tipo de activos podemos encontrar equipos de destrucción de documentación y sistemas de climatización de ambiente.

El control en los activos anteriormente mencionados se ve reflejado en la implementación del dominio de GESTION DE ACTIVOS, el cual incluye como control la implementación de un inventario de activos de información que nos permite conocer que activos requieren de un seguimiento especial por su nivel de importancia para las actividades de la organización, y por medio de un proceso de actualización de inventario de activos de información, poder conocer que nuevos activos de información se encuentran involucrados a la organización y que requieren que se han incluidos en el inventario, con el fin de que sobre estos se apliquen controles que garanticen su confidencialidad, disponibilidad, integridad, y trazabilidad, determinando mediante un reconocimiento de activos, que activos han cumplido con su ciclo de vida dentro de la organización y se considera que ya no es relevante que estos estén dentro del inventario de activos de información. El desarrollo de implementación del inventario de activos de información, también nos permite conocer, la etiqueta con la cual cuenta el activo de información, quien es el propietario de los activos de información, y el custodio de dichos activos y de esta manera poder garantizar la confidencialidad, integridad, disponibilidad, y trazabilidad de los activos de información.

26

  • 4.1. OBJETIVO GENERAL

4. OBJETIVOS

Desarrollar los controles asociados al dominio gestión de activos, bajo la estructura de la Norma ISO/27001 Anexo A, garantizando a EMCALI E.I.C.E-ESP minimizar el riesgo sobre sus activos de información.

  • 4.2. OBJETIVOS ESPECÍFICOS

Examinar el inventario de activos de información de cada una de los departamentos que componen la Gerencia de Tecnología de la Información y la matriz de riesgos, con el fin de conocer que no conformidades e inconsistencias se encuentran respecto al diligenciamiento del inventario de activos de información y de la matriz de riesgos.

Diseñar una metodología que permita realizar actividades de actualización del inventario de activos de información y de la matriz de riesgos.

Adelantar el respectivo análisis de riesgos de los activos a vincular a la matriz de riesgos

Sugerir políticas de seguridad que permitan hacer un uso aceptable de los activos de información.

Crear una metodología la cual permita desarrollar el control de etiquetado y manejo de la información.

27

Diseñar una etiqueta de marcado apropiada para la identificación de los activos de información físicos, en la cual se pueda detallar información concerniente al activo y el nivel de criticidad que tiene asociado.

Sugerir una estrategia de sensibilización relacionada al control de etiquetado y manejo de la información, la cual permita sensibilizar y dar a conocer a los empleados la importancia de este control.

28

  • 5. MARCO TEORICO

La seguridad de la información es la reunión de un conjunto de procedimientos los cuales están enfocados a proteger los activos de información de una organización, dentro de este conjunto de procedimientos se cuenta con una herramienta la cual es el Sistema de Gestión de Seguridad de la Información (SGSI), la cual busca asegurar la confidencialidad, integridad, disponibilidad, y trazabilidad de los activos de información minimizando los riesgos de seguridad de la información.

Con la finalidad de lograr el objetivo de minimizar el riesgo sobre los activos de información mediante la puesta en marcha de un proyecto de seguridad de la información el cual contemple el desarrollo de un SGSI se deberá tener en cuenta las norma ISO/27000 y su normas asociadas, para nuestro caso las Normas ISO/27001 e ISO/27002.

  • 5.1. SERIE ISO/27000

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

29

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son:

ISO27000 (términos y definiciones),

ISO27002 (objetivos de control y controles),

ISO27003 (guía de implantación de un SGSI),

ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI),

ISO27005 (guía para la gestión del riesgo de seguridad de la información)

ISO27006 (proceso de acreditación de entidades de certificación y el registro de SGSI) 8 .

5.2.

ISO/27001

La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información.

La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual

8 ISO/27000 [en línea]. [consultado el 5 de marzo de 2010] Documento disponible en Internet:

http://www.iso27000.es/download/doc_iso27000_all.pdf

30

significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.

A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc.

La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.

Las fases son las siguientes:

La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior. La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI 9 .

9 DEJAN, Kosutic, Information security & business continuity academy, conceptos básicos sobre ISO/27001. [en línea] [consultado el 20 de marzo de 2010] Disponible en Internet:

http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos

31

5.3.

ISO/27002

La ISO/IEC 27002:2005 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005 10 .

Los 39 objetivos de control y 133 controles, agrupados en 11 dominios se presentan a continuación en la siguiente imagen. Ver Imagen 1.

10 ORCI, Consultoría aplicada, capacitación/conferencias, tecnología, gestión de servicios. ISO/IEC 27002 [en línea ]. [consultado el 6 de marzo de 2010] Disponible en Internet:

http://www.orcilatam.com/index.php?option=com_content&view=article&id=143&Itemid=191

32

Figura 1 Controles Asociados a la Norma ISO/27002

Figura 1 Controles Asociados a la Norma ISO/27002 Fuente : Iso/Iec 27002:2005. [en línea]. [consultado el

Fuente: Iso/Iec 27002:2005. [en línea]. [consultado el 9 de noviembre de 2009] Disponible en Internet: http://www.iso27000.es/download/ControlesISO27002-

2005.pdf

33

5.4.

ISO/27001 ANEXO A

El Anexo A contiene los siguientes puntos (a veces denominados como dominios del Anexo A de la norma ISO/27001):

A.5 Política de seguridad

 

A.6 Organización de la seguridad de la información

A.7 Gestión de activos

A.8 Seguridad relacionada con el personal

A.9 Seguridad física y del entorno

A.10 Gestión de comunicaciones y operaciones

A.11 Control de acceso

A.12

Adquisición,

desarrollo

y

mantenimiento

de

los

sistemas

de

la

información

 

A.13 Gestión de los incidentes de seguridad de la información

 

A.14 Gestión de la continuidad del negocio

 

A.15 Cumplimiento

El Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologías de la información; también incluyen seguridad física, protección legal, gestión de recursos humanos, asuntos organizacionales, etc.

Por lo tanto, puede considerar al Anexo A como una especie de catálogo de medidas de seguridad para utilizar durante el proceso de tratamiento: una vez que identifica riesgos no aceptables en la evaluación de riesgos, el Anexo A le ayudará a escoger los controles adecuados para disminuir esos riesgos. Y le asegura no olvidar ningún control importante.

El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 sólo proporciona una breve descripción de un control, mientras que la ISO 27002 ofrece lineamientos detallados sobre cómo implementar el control 11 .

11 DEJAN Kosutic, ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001 [en línea] [consultado el 20 de octubre de 2010]. Disponible en Internet:

http://blog.iso27001standard.com/es/tag/anexo-a/

34

Con la finalidad de dar continuidad a lo expresado anteriormente sobre el Anexo A y sus controles asociados, se presenta a continuación en mayor detalle el enfoque que presenta el Anexo A respecto al dominio Gestión de activos el cual su respectivo desarrollo se presenta en este documento como proyecto de grado para aspirar al título de Ingeniero informático.

  • 5.5. DOMINIO GESTIÓN DE ACTIVOS

La realizacion del proyecto de grado en la modalidad de pasantia involucra el desarrollo del dominio GESTION DE ACTIVOS DE INFORMACION el cual tiene asociado dos objetivos de control y cinco controles, el dominio en cuestion se presenta acontinuacion en la siguiente imagen. Ver Figura 2.

Figura 2. Dominio gestion de activos asociado al Anexo A

Con la finalidad de dar continuidad a lo expresado anteriormente sobre el Anexo A y sus

Fuente: Dominio gestión de activo [en línea] [consultado el 10 de junio de 2010]

http://www.gigabytesperu.com/trabajos/ISOIEC%20FDIS%2027001.pdf

“La implementación del dominio de gestión de activos, consiste en el desarrollo de los controles asociados a cada objetivo de control, este desarrollo se debe llevar a cabo mediante los siguientes procesos asociados a cada control, teniendo en

35

cuenta que cada objetivo de control y controles asociados a este dominio será descripto de acuerdo al índice numeral que se encuentra asociado a cada uno de los controles abarcados dentro del dominio de gestión de activos y que fueron expuestos con anterioridad en la Figura 2.”

Responsabilidad por los activos

Objetivo:

Lograr

y

mantener

una

apropiada

protección

de

 

los

activos

organizacionales.

 

Todos

los

activos

debieran

ser

inventariados

y

contar

con

un

propietario

nombrado.

 

Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección apropiada de los activos.

Inventario de los activos Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado. Además, se debiera acordar y documentar la propiedad y la clasificación de la propiedad para cada uno de los activos. Basados en la importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección que se conmensuran con la importancia de los activos.

Existen muchos tipos de activos, incluyendo:

Información:

bases

de

datos

y

archivos

de

data,

contratos

y

acuerdos, documentación del sistema, información de investigaciones, manuales

del usuario,

material

de

capacitación,

procedimientos

operacionales

o

de

36

soporte, planes de continuidad del negocio, acuerdos para contingencias, rastros de auditoría e información archivada. Activos de software: software de aplicación, software del sistema, herramientas de desarrollo y utilidades; Activos físicos: equipo de cómputo, equipo de comunicación, medios removibles y otro equipo; Servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción, iluminación, energía y aire acondicionado;

Personas, y sus calificaciones, capacidades y experiencia;

Intangibles, tales como la reputación y la imagen de la organización. Los

inventarios de los activos ayudan a asegurar que se realice una protección

efectiva de los activos, y también puede requerir de otros propósitos comerciales; como planes de salud y seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un inventario de activos es un pre-requisito importante de la gestión del riesgo.

Propiedad de los activos Toda la información y los activos asociados con los medios de procesamiento de información debieran ser propiedad de una parte designada de la organización.

El propietario del activo debiera ser responsable de:

Asegurar que la información y los activos asociados con los medios de procesamiento de la información sean clasificados apropiadamente; Definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables. La propiedad puede ser asignada a:

o

un proceso comercial;

o

un conjunto de actividades definido;

o

una aplicación; o

o

un conjunto de data definido.

Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el activo diariamente, pero la responsabilidad permanece con el propietario. En los sistemas de información complejos podría ser útil designar grupos de activos, los cuales actúan juntos para proporcionar una función particular como “servicios”. En este caso el propietario es responsable de la entrega del servicio, incluyendo el funcionamiento de los activos que los proveen.

El

término “propietario” identifica una persona o entidad que cuenta con la

responsabilidad gerencial aprobada de controlar la producción, desarrollo,

37

mantenimiento, uso y seguridad de los activos. El término “propietario” no significa que la persona en realidad tenga algún derecho de propiedad sobre el activo. [10]

Uso aceptable de los activos

Se debieran identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información. Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información, incluyendo:

  • - reglas para la utilización del correo electrónico e Internet;

  • - lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera del local de la organización.

La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados, contratistas y terceros que usan o tienen acceso a los activos de la organización debieran estar al tanto de los límites existentes para su uso de la información y los activos asociados con los medios y recursos del procesamiento de la información de la organización. Ellos debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de información, y de cualquier uso realizado bajo su responsabilidad.

Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.

La información debiera ser clasificada para indicar la necesidad, prioridades y grado de protección esperado cuando se maneja la información. La información tiene diversos grados de confidencialidad e importancia. Algunos ítems pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales.

Lineamientos de clasificación

Se debiera clasificar la información en términos de su valor, requerimientos legales, sensibilidad y grado crítico para la organización. Las clasificaciones y los controles de protección asociados para la información debieran tomar en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos comerciales asociados con dichas necesidades. Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial

38

y la reclasificación a lo largo del tiempo; en concordancia con alguna política pre- determinada de control de acceso.

Debiera ser responsabilidad del propietario del activo (ver 7.1.2) definir la clasificación de un activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel apropiado. La clasificación debiera tomar en cuenta el efecto de agregación mencionado en 10.7.2. Se debiera tener en consideración el número de categorías de clasificación y los beneficios a obtenerse con su uso. Los esquemas demasiado complejos pueden volverse engorrosos y anti-económicos de utilizar o pueden volverse poco prácticos. Se debiera tener cuidado al interpretar los encabezados de la clasificación en los documentos de otras organizaciones, los cuales pueden tener definiciones diferentes para encabezados con el mismo nombre o nombre similares.

Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y disponibilidad, y cualquier otro requerimiento para la información considerada. Con frecuencia, la información deja de ser sensible o crítica después de cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles innecesarios resultando en un gasto adicional.

Agrupar documentos con requerimientos de seguridad similares cuando se asignan niveles de clasificación podría ayudar a simplificar la tarea de clasificación. En general, la clasificación dada a la información es una manera rápida para determinar cómo se está manejando y protegiendo la información. 12

Etiquetado y manejo de la información Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización. Los procedimientos para el etiquetado de la información necesitan abarcar los activos de información en formatos físicos y electrónicos. El output de los sistemas conteniendo información que es clasificada como sensible o crítica debiera llevar la etiqueta de clasificación apropiada (en el output). El etiquetado debiera reflejar la clasificación de acuerdo a las reglas establecidas en 7.2.1. Los ítems a considerarse incluyen reportes

12 Estándar Internacional ISO/IEC 17799 segunda edición 2005-06-15 Tecnología de la Información-Técnicas de Seguridad-Código para la práctica de la gestión de la seguridad de la información [en línea] [Consultado 30 de Junio de 2012]. Disponible en Internet:

http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

39

impresos, presentaciones en pantalla, medios de grabación (por ejemplo; cintas, discos, CDs), mensajes electrónicos y transferencia de archivos.

Para cada nivel de clasificación, se debiera definir los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, de-clasificación y destrucción. Esto también debiera incluir los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante. Los acuerdos con otras organizaciones que incluyen intercambio de información debieran incluir procedimientos para identificar la clasificación de esa información e interpretar las etiquetas de clasificación de otras organizaciones.

El etiquetado y el manejo seguro de la información clasificada es un requerimiento clave para los acuerdos de intercambio de información. Las etiquetas físicas son una forma común de etiquetado. Sin embargo, algunos archivos de información, como documentos en forma electrónica, no pueden ser etiquetados físicamente y se necesitan medios electrónicos para el etiquetado. Por ejemplo, la etiqueta de notificación puede aparecer en la pantalla. Cuando no es factible el etiquetado, se pueden aplicar otros medios para designar la clasificación de la información; por ejemplo, mediante procedimientos o meta-data 13 .

  • 5.6. GESTIÓN DE RIESGO.

La gestión de riesgos se basa sobre conceptos de gestión de riesgos establecidos por el SGSI, pero además de tener como base el SGSI se debe contar con una metodología de gestión de riesgos la cual brinde una serie de lineamientos que permitan analizar y reducir el riesgo hasta un nivel aceptable de tolerancia.

5.6.1. Procedimientos para la Gestión de Riesgos.El desarrollo del SGSI permite dilucidar una serie de elementos que contribuyen a la gestión del riesgo y por ende a la minimización de estos sobre los activos; algunos de los elementos más relevantes en el desarrollo del SGSI son:

Criterios contra los cuales se evaluaran los riesgos.

13 Estándar Internacional ISO/IEC 27001 primera edición 2005-10-15 Tecnología de la Información- Técnicas de Seguridad-Sistemas de gestión de seguridad de la información-Requerimientos

http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

40

o Ser aprobado por la dirección. Definir el enfoque organizacional para la valoración del riesgo. o Identificar una metodología de valoración del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la información del negocio, identificados. o Desarrollar criterios para la aceptación de riesgos, e identificar los niveles de riesgo aceptables.

Identificar los riesgos.

o Identificar los activos dentro del alcance del SGSI, y los propietarios de

estos activos. Identificar las amenazas de estos activos.

o o Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas.

o

Identificar los impactos que la perdida de confidencialidad, integridad, y

disponibilidad puede tener sobre estos activos. Analizar y evaluar los riesgos. o Valorar el impacto de negocios que podría causar una falla de seguridad,

sobre la organización, teniendo en cuenta las consecuencias de la perdida de la confidencialidad, integridad, y disponibilidad de los activos. o Valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente.

Estimar los niveles de los riesgos. Determinar la aceptación del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el establecimiento del SGSI.

o

o

Identificar y evaluar las opciones para el tratamiento de los riesgos.

Las posibles acciones incluyen:

o

Aplicar los controles apropiados.

o

Aceptar los riesgos con conocimiento y objetividad, siempre y cuando

satisfagan claramente la política y los criterios de la organización para la

aceptación de riesgos. Evitar riesgos, y Transferir a otras partes los riesgos asociados con el negocio, por ejemplo:

o

o

aseguradoras, proveedores, etc. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos, para el caso de este anteproyecto de grado en modalidad de pasantía se ha declarado solo la implementación del dominio Gestión de Activos de Información, con sus respectivos objetivos de control y controles asociados a dicho dominio.

41

Los objetivos de control y los controles se encuentran incluidos en el Anexo A, estos se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos.

Los objetivos de control

y los controles

presentados en el

Anexo A

no

son

exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.

Obtener

la

aprobación

de

la

dirección

sobre

los

riesgos

residuales

propuestos.

 

Obtener autorización de la dirección para implementar y operar el SGSI.

Elaborar una declaración de aplicabilidad.

 

Se debe elaborar una declaración de aplicabilidad que incluya:

o

Los objetivos de control y los controles seleccionados junto con la razones de

o

su selección. Los objetivos de control implementados actualmente.

o La exclusión de cualquier objetivo de control y controles enumerados en el

Anexo A y la justificación para su exclusión 14 .

  • 5.7. METODOLOGÍA PARA GESTIÓN DE RIESGOS

Una metodología de gestión de riesgos nos permite conocer el riesgo al que están sometidos los activos de información y a partir de conocer el riesgo poder idear estrategias que nos permitan llevar el riesgo a su más mínima expresión a través de la gestión del mismo.

Existen diferentes metodologías para poder determinar la mejor manera de poder hacer una buena gestión, para la selección de una determinada metodología debemos tener en cuenta el número de activos, el tipo de activos, el tipo de empresa, y el tamaño de la misma, ya que existen metodologías que son mucho más completas que otras ya que con el pasar de los años se les ha dado cierto

14 ALEXANDER, ALBERTO G. Diseño de un sistema de gestión de seguridad de información: óptica

ISO 27001:2005. Bogotá, D.C : Alfaomega, 2007. 176 p. : il. 005.8 / A374

(UAO).

.

42

reconocimiento a partir de los estudios que se han realizado sobre estas con el fin de hacer de la metodología una guía capaz de cumplir con los retos de la nueva era.

5.7.1. Metodología de Gestión de riesgos Magerit. Magerit 15 es una metodología de gestión de riesgos con la cual se ha decidido trabajar para este proyecto de grado en modalidad de pasantía, ya que Magerit cumple con altos estándares de calidad y es reconocida como la metodología de gestión de riesgos más utilizada en España y además cuenta con el reconocimiento del gobierno español, el cumplimiento de estándares de calidad y el reconocimiento por un ente gubernamental respetado hacen de Magerit una metodología de gestión de riegos que sobresale sobre las demás metodologías, esto hace de Magerit la metodología ideal para aplicarla en la gestión de riesgos de los activos de información de EMCALI.

5.7.2 Magerit establece dos tipos de objetivos:

5.7.2.1. Objetivos Directos

Concienciar a los responsables

de los sistemas

de

información de la

existencia de riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un método sistemático para analizar los riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.

5.7.2.2 Objetivos indirectos.

Preparar

a

la

Organización

para

procesos

de

evaluación,

auditoría,

certificación o acreditación, según corresponda en cada caso, También se ha

15 MAGERIT: Metodología de análisis y gestión de riesgos de los Sistemas de Información. [en línea]. Consejo Superior de Administración Electrónica [consultada el 5de noviembre de 2010 Disponible en Internet en http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)

43

buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos:

Modelo de valor: caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos.

Mapa de riesgos: relación de las amenazas a que están expuestos los activos. Evaluación de salvaguardas: evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.

Estado de riesgo: caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas.

Informe de insuficiencias

Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.

Plan de seguridad: conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos 16 .

  • 5.8. METODOLOGÍA PHVA (PLANEAR, HACER, VERIFICAR, ACTUAR).

La metodología PHVA es una estrategia de mejora continua de la calidad, la cual es concebida como una herramienta de planificación y mejora continua, permitiendo una mejora integral de la competencia, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costos, incrementando la participación del mercado y aumentando la rentabilidad.

PHVA establece cuatro etapas en las cuales se logran planear, implementar, verificar y actuar, en cada una de estas etapas se vinculan una serie de actividades las cuales ayudaran a establecer que se quiere lograr a partir de cada una de ellas y dando claridad para el establecimiento del cronograma adjunto al proyecto.

16

Ibíd.,

Disponible

en

Internet.

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&lang

Pae=es&detalleLista=PAE_1276529683497133

44

5.8.1Planear:

- Realización de tareas de recolección de información y reconocimiento de campo.

- Conocer cuál es el estado del proyecto de implementación del Sistema de Gestión de Seguridad de la Información, dentro de EMCALI.

- Realizar tareas de documentación a nivel de conocer más a profundidad los lineamientos establecidos por la Norma ISO/27001 respecto al Anexo A.

- Conocer los riesgos a los cuales se ven expuestos los activos de información.

5.8.2 Hacer:

Examinar que nuevos activos de información se han vinculado a cada área.

Comparar los activos registrados dentro de los inventarios de activos de

información

de

cada

departamento,

contra

los

activos

reales

que cada

departamento posee.

 

Determinar si

haya activos

de información que respecto

a

su

nivel

de

criticidad deben ser asociados a la matriz de riesgos para la debida gestión del

riesgo que se cierne sobre estos.

Sugerir políticas de seguridad con el fin de garantizar el correcto uso de los

activos de información.

Diseñar una propuesta de banco de incidentes el cual permita llevar el historial de los acontecimientos anormales que suceden al interior del GTI y que pueden afectar la confidencialidad, integridad, disponibilidad, y trazabilidad, de los activos de información.

Diseñar un estrategia la cual permita realizar actividades de actualización del inventario de activos de información, el cual permita determinar el propietario y custodio de cada activo, la respectiva clasificación de activos de información y

45

poder proponer la etiqueta correspondiente a cada activo según la valoración y clasificación que se haya obtenido del proceso de clasificación activos, todo esto con el fin de poder realizar la gestión de actualización de inventarios de una manera eficiente y ordenada del cual se pueda llevar un registro de las acciones realizadas y también permita realizar tareas de documentación de incidentes.

  • 5.8.3 Verificar:

Verificar si las políticas propuestas para el uso aceptable de activos en realidad son efectivas.

Conocer si se han registrado incidentes de seguridad durante el proyecto.

  • 5.8.4 Actuar:

Documentar el progreso que se ha tenido respecto a la implementación del proyecto mediante documentos que permitan evidenciar un avance en la implementación de los controles.

Presentar los resultado del estudio realizado y definir qué acciones se podrían determinar con base a las necesidades manifiestas que han resultado a partir de los problemas detectados y llegar a una solución a partir de los resultados expuestos.

46

6. METODOLOGÍA

Este estudio parte de la solicitud de EMCALI por implementar el dominio de GESTION DE ACTIVOS el cual se encuentra incluido dentro del anexo A de la Norma ISO 27001, con el fin de que los controles concernientes a este dominio sean encaminados a garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información que posee la Gerencia Tecnología de la Información y sus departamentos asociados, contribuyendo de esta manera a la correcta implementación del Sistema de Gestión de Seguridad de la Información para EMCALI.

Respecto al desarrollo del dominio Gestión de Activos, es importante conocer la importancia de los activos de información para las actividades empresariales de EMCALI, ya que de esta manera se puede determinar con mayor certeza el impacto que tendría para la empresa que un riesgo se materialice y afecte de manera negativa a un activo de información, para ello se ha decidido usar una metodología basada en PHVA(Planear, Hacer, Verificar, Actuar), ya que es una herramienta de planificación metodología adaptable a contextos y necesidades que surgen durante el desarrollo de proyecto y la cual permite la evolución de las actividades a partir de avances anteriores que se tengan consolidados, el uso de esta metodología permitirá reunir en una serie de etapas las actividades a desarrollar durante el proyecto con el objetivo de conocer más en detalles los activos de información y la manera como pueden ser abordados estos para el desarrollo de los controles establecidos en el dominio de Gestión de Activos. 17

47

  • 7. DESARROLLO DEL PROYECTO

  • 7.1. LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO

Los lineamientos para la administración del riesgo que se declaran en el presente numeral, plantea un enfoque de riesgos fundamentado en la identificación de riesgos, amenazas y vulnerabilidades presentes en los activos que se vinculen al inventario de activos de información; estos activos se encontrarán sometidos al cálculo de la probabilidad e impacto de materialización de los riesgos y los efectos que estos podrían causarle a la normal operación de los procesos productivos de la organización.

Con base en lo anteriormente expuesto y siguiendo las recomendaciones de la Norma ISO/27001 y la metodología para gestión del riesgo MAGERIT, se formulan una serie de pasos sobre los cuales se fundamentara cualquier esfuerzo para la mitigación del riesgo.

Establecer el Contexto.

Establecer el alcance. Determinar sistema de clasificación de activos de información. Definir el nivel de criticidad asociado a los activos de información. Determinar campos de información que harán parte del inventario de activos.

o

o

o

o

Identificación del Riesgo

o

Identificar los activos que serán objeto de análisis.

o

Tipos de riesgo.

o

Identificar Vulnerabilidades y Amenazas.

Estimación del Riesgo.

o

Descripción del Riesgo.

o

Descripción de Consecuencias.

o

Determinar probabilidad de materialización e impacto.

48

Evaluación del Riesgo

o

Priorizar necesidades de tratamiento.

 

Tratamiento del Riesgo

o

Identificar y Evaluar las Opciones de Tratamiento del Riesgo.

 

Comunicación y Consulta

o

Obtener y compartir información.

Monitoreo y Revisión

o

Identificar cambios en el contexto.

 

o

Monitorear y analizar incidentes de seguridad.

A continuación se presenta con anteriormente expuestos.

un mayor detalle cada

uno

de

los

encisos

7.1.1. Establecer el contexto

Establecer El Alcance.

El establecimiento del alcance es un paso muy importante al emprender cualquier actividad que tenga como objetivo gestionar el riesgo sobre un grupo de activos pertenecientes a un proceso organizacional, ya que el alcance es el que nos limitara cual será cual será el rango de acción sobre el cual se deberán invertir esfuerzos para minimizar el riesgo de materialización de un incidente que pueda afectar nuestros activos de información respecto a su confidencialidad, integridad, disponibilidad y trazabilidad; de no establecerse apropiadamente el alcance se corre el riesgo de invertir esfuerzos en mitigar el riesgo sobre activos que no tengan tanta relevancia para la organización, como si lo tendrían otros, o también puede suceder que se determine un alcance muy extenso y se inviertan recursos y esfuerzo y al final no se cumpla con el objetivo de minimizar el riesgo sobre los activos de información que se encuentren involucrados dentro del alcance.

Determinar sistema de clasificación de activos de información.

La construcción del sistema de clasificación de activos de información es un paso fundamental para la valoración de los activos de información, ya que la clasificación de activos ayuda a comprender la relevancia de un activo para la organización. El sistema de clasificación es fundamental para la construcción del

49

inventario de activos debido a que el inventario es el recurso en el cual servirá de guía para la administración de los activos.

Al interior del sistema de clasificación se encuentran dispuestos seis niveles de valoración, niveles los cuales nos ayudaran a comprender la relevancia de cada activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, a continuación se presentan los seis niveles de valoración:

Cuadro 1. Niveles de valoración de los activos de información

VALOR

DESCRIPCION

Muy Alto

Impactaría negativamente a la mayoría de sus clientes o a

Alto

la ciudad de Cali y su población Impactaría negativamente a los objetivos estratégicos de EMCALI.

Medio

Impactaría negativamente a EMCALI de clientes.

o algún porcentaje

Bajo

Impactaría negativamente no solo al proceso valorado sino a otros procesos del EMCALI.

Muy Bajo

Impactaría negativamente al proceso valorado.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

Teniendo claridad en lo que representa cada nivel de valoración se procede a continuación a la presentación del sistema de clasificación de activos respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

o Clasificación Respecto a la Confidencialidad

La clasificación de los activos en cuanto a la confidencialidad proporcionan a los propietarios, custodios la base para determinar controles básicos y lineamientos que se deben seguir para la protección del activo frente a los accesos no autorizados.

La clasificación definida por EMCALI respecto a la confidencialidad de los activos de información es la siguiente:

50

Figura

3.

Clasificación

de

los

activos

de

información

respecto

a

su

confidencialidad

 
 

CONFIDENCIAL

 
CONFIDENCIAL MUY ALTO

MUY ALTO

 
ALTO
 

ALTO

 

RESERVADO

 
RESERVADO MEDIO

MEDIO

 
 

PUBLICO

 
PUBLICO BAJO
 

BAJO

 
MUY BAJO

MUY BAJO

 

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o Clasificación Respecto a la Integridad

La clasificación de los activos en cuanto a la integridad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir para la protección del activo respecto a la fidelidad y la no alteración de la información.

La clasificación definida por EMCALI respecto a la confidencialidad de los activos de información es la siguiente:

Figura 4 Clasificación de los activos de información respecto a su integridad

IDENTIFICADOR

 

I1

I2

Figura 3. Clasificación de los activos de información respecto a su confidencialidad CONFIDENCIAL MUY ALTO ALTO
Figura 3. Clasificación de los activos de información respecto a su confidencialidad CONFIDENCIAL MUY ALTO ALTO
Figura 3. Clasificación de los activos de información respecto a su confidencialidad CONFIDENCIAL MUY ALTO ALTO
Figura 3. Clasificación de los activos de información respecto a su confidencialidad CONFIDENCIAL MUY ALTO ALTO
Figura 3. Clasificación de los activos de información respecto a su confidencialidad CONFIDENCIAL MUY ALTO ALTO

MUY ALTO

ALTO

MEDIO

BAJO

MUY BAJO

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

51

o Clasificación Respecto a la Disponibilidad

La clasificación de los activos en cuanto a la disponibilidad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir a fin de garantizar que los activos se encuentren disponibles en el momento que se los requiera.

La clasificación definida por EMCALI respecto a la confidencialidad de los activos de información es la siguiente:

Figura

5

Clasificación

de

los

activos

de

información

respecto

a

su

disponibilidad

 
   

IDENTIFICADOR

   
 
MUY ALTO

MUY ALTO

 
 

D1

D1 ALTO

ALTO

 
MEDIO

MEDIO

 

D2

D2 BAJO

BAJO

 
MUY BAJO

MUY BAJO

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o

Clasificación Respecto a la Trazabilidad

La clasificación de los activos en cuanto a la disponibilidad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir a fin de garantizar la protección del activo respecto a su acceso, visualización, ejecución y modificación.

52

La clasificación definida por EMCALI respecto a la confidencialidad de los activos de información es la siguiente:

Figura

6.

Clasificación

de

los

activos

de

información

respecto

a

su

Trazabilidad

 
   

IDENTIFICADOR

   
 
MUY ALTO

MUY ALTO

 
 

T1

T1 ALTO

ALTO

 
MEDIO

MEDIO

 

T2

T2 BAJO

BAJO

 
MUY BAJO

MUY BAJO

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

Nivel de Criticidad asociado a los activos de información.

Diferentes campos de información en el cual se dispone el grado de importancia o de criticidad que posee un activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad. A continuación se presenta en un mayor detalle cada uno de los aspectos anteriormente mencionados.

o

Nivel de criticidad respecto a la confidencialidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la confidencialidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

53

Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los activos de información

Confidencialidad

Valor

Justificación

Muy bajo

El activo es de carácter publico

Muy Alto

El activo es restringido a un gran número de personas, solo las personas pertenecientes a X proyecto o actividad pueden tener acceso al activo.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o Nivel de criticidad respecto a la integridad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la integridad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos de información

 

Integridad

Valor

Justificación

Bajo

La integridad del activo no representa un gran relevancia debido a que el activo no hace parte fundamental de un proceso X.

Muy alto

Afectaciones en la integridad del activo ocasionaría el paro de un proceso X, lo cual devengaría en la perdida de dinero.

.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

54

o Nivel de criticidad respecto a la disponibilidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la disponibilidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los activos de información

 

Disponibilidad

Valor

Justificación

 
 

La disponibilidad del

activo es

poco

Muy bajo

relevante debido a que el activo no

representa demasiado interés para un proceso X.

Muy Alto

La disponibilidad del activo es muy alta debido a que existen varios procesos que son dependientes al activo.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o

Nivel de criticidad respecto a la trazabilidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la trazabilidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los activos de información

Trazabilidad

Valor

Justificación

Muy bajo

Debido a que el activo es de carácter público su trazabilidad no representa un factor que se deba controlar con dedicación.

Alto

Se debe controlar las personas que acceden al activo, la hora de consulta y los fines de uso.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

55

o Definir la valoración de criticidad final para cada activo

La valoración de criticidad final es muy importante ya que a partir de dicha valoración se determinaran los activos que harán parte de la matriz de riesgos. La valoración de criticidad final es determinada por el valor critico más alto que se haya obtenido en los diferentes factores que se han evaluado (confidencialidad, integridad, disponibilidad, trazabilidad).

Cuadro 6. Ejemplo Valoración final de los activos de información respecto a su criticidad

Confidenciali

       
 

dad

Integridad

Disponibilidad

Trazabilidad

Valora

Valor

Justific

ación

Valor

Justifica

ción

Valor

Justifica

ción

Valo

r

Justificació

n

ción

Final

Muy

………

Bajo

………

Bajo

………

Muy

……………

Bajo

bajo

………

………

………

bajo

Muy

………

Muy

………

Muy

………

Alto

……………

Muy

alto

………

alto

………

alto

………

alto

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información

o Etiqueta de Criticidad

La etiqueta de criticidad es un identificador el cual permite identificar el nivel de criticidad asociado a cada activo de información, a construcción de la etiqueta depende del sistema de clasificación que haya sido adoptado, ya que la valoración que se obtenga para la confidencialidad, integridad, disponibilidad y trazabilidad se verá reflejada en la etiqueta de criticidad.

Cuadro 7. Ejemplo construcción de etiqueta de criticidad

Confidencialida

Integridad

Disponibilida

Trazabilida

 

d

d

d

Etiqueta de

 

Clasificació

 

Clasificació

criticidad

Clasificación

n

Clasificación

n

Publico

I2

D2

T2

PublicoI2D2T2

       

ConfidencialI1D1T

Confidencial

I1

D1

T1

1

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

56

Determinar campos de información que harán parte del inventario de activos.

Los campos de información son una parte fundamental de todo inventario, estos campos de información deben ser seleccionados racionalmente y no dejar esta tarea al azar, un campo de información debe ser visto como un elemento el cual nos proporcionara información valiosa sobre el activo, información la cual nos sea útil en algún momento de la implementación u operación del SGSI.

A continuación se declaran los campos de información con los cuales se encuentra conformado desde el 2011 el inventario de activos de activos de información de EMCALI.

o

ID.

Es el número que identifica a cada activo dentro del inventario, el inventario se encuentra dividido en cuatro grandes grupos los cuales hacen distinción a los activos pertenecientes a la gerencia de TI, Depto. Sistemas de Información, Depto. Operaciones, Depto. Planeación tecnológica, para cada grupo el identificador va desde el número uno hasta el último activo que se registre dentro del grupo.

o

Nombre del Activo.

Es el nombre que distingue a cada activo y por el cual el personal lo reconoce dentro de su espacio laboral.

o Descripción/Observaciones.

Campo de información en el cual se presenta una descripción concisa sobre el activo, la descripción que se asocie a cada activo debe ser pensada y redactada de tal manera que una persona al leer la descripción asociada al activo logre conocer aspectos de interés del activo.

o

Proceso.

Hace referencia al proceso al cual se encuentra vinculado el activo.

57

o

Tipo de Activo.

Se encuentra definido por EMCALI de la siguiente manera:

Información, se considera información a datos e información almacenada o procesada física o electrónicamente: bases de datos documentos, manuales entre otros.

Personas, son consideradas como un activo debido al conocimiento, habilidades, experiencia son consideradas activos de información

Servicios, se considera como servicio a los servicios computaciones y de comunicaciones tales como el correo corporativo, intranet, páginas personales, telefonía, entre otros servicios soportados por la infraestructura tecnológica de la organización.

Hardware, son activos físicos como computadores, equipos de impresión, equipos de comunicaciones y de red entre otros.

Software, se considera como software a las aplicaciones computacionales, sistemas operativos, desarrollo hechos a medida entre otros.

o

Fecha de Ingreso.

Fecha en la cual el activo salió a producción.

o

Fecha de salida.

Fecha en la cual el activo salió de operación.

o Personal.

Campo de información en el cual se declara si el activo es de carácter personal, privado o semiprivado.

58

o Atributos.

Los atributos corresponden a información que apoya el proceso de valoración de los activos de información.

Los

atributos

a verificar para

cada

uno

de

los activos

de información

son:A1: Activo de clientes o terceros que debe protegerse.

Activo que debe ser restringido a un número limitado de empleados.

Activo que puede ser alterado o comprometido para fraudes y corrupción.

Activo que es muy crítico para las operaciones internas.

 

Activo que es muy crítico para el servicio hacia terceros.

Activo

que

ha

sido

declarado de conocimiento público por parte de la

persona con autoridad para hacerlo o por alguna norma jurídica.

o Ubicación.

Campo de información el cual corresponde a determinar la ubicación física como también electrónica del activo de información.

o Propietario.

Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de garantizar que la información y los activos asociados con los servicios de procesamiento de información se clasifican adecuadamente.

o Custodio.

Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo

encargado de hacer propietario.

efectivos

los

controles

de

seguridad

definidos

por

el

o

Nivel de Criticidad.

59

Diferentes campos de información en el cual se dispone el grado de importancia o de criticidad que posee un activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

o Entrevistado.

Campo de información en el cual se dispone a registrar el nombre de la persona que ha proporcionado la información referente al activo.

7.1.2. Identificación del Riesgo.

Identificar los activos que serán objeto de análisis.

Es un proceso mediante el cual se realizan entrevistas junto a los jefes de departamento a fin de conocer cuáles son los activos de información que presentan mayor relevancia para los procesos de los cuales son responsables, a fin de luego incluirlos en la matriz de riesgos y realizar la correspondiente caracterización de cada uno de ellos. Luego de la caracterización de cada activo se deben identificar los activos de información para los cuales su valor total de criticidad es Muy Alto y Alto debido a que estos serán los que se tendrán en cuenta para la conformación de la matriz de riesgos y su correspondiente análisis de riesgo.

Tipos de riesgo

El tipo o condición de riesgo viene dada por la afectación que sufre el activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, por ello se ha considerado adecuado declarar los siguientes tipos de riesgo:

o Acceso no autorizado al activo de información: Riesgo que un activo se vea afectado respecto a su confidencialidad. o Perdida de la integridad del activo de información: Riesgo que un activo

sea alterado en su contenido o forma, causando la no utilización parcial del activo o pérdida definitiva.

o

Perdida de la disponibilidad del activo de información: Riesgo que un

activo no se encuentra en operación por algún motivo. o Perdida de la trazabilidad del activo de información: Riesgo que no pueda tenerse conocimiento de las acciones que se realizan con un activo de información y tampoco pueda conocerse la persona la acción.

60

Identificar Vulnerabilidades y Amenazas

o Vulnerabilidades

Las vulnerabilidades son falencias o debilidades que puede estar presentes en la tecnología, las personas o en las políticas y procedimientos de EMCALI.

A continuación se presentan algunas recomendaciones que se deben tener en cuenta al momento de identificar vulnerabilidades:

El activo de información que se está analizando, y el riesgo identificado.

Las pruebas de Intrusión realizadas, dado que muchos de los activos de

información son almacenados, distribuidos, resguardados y protegidos por la infraestructura de información y tecnología. Por cada riesgo versus activo de información se pueden identificar diferentes vulnerabilidades.

o Amenazas

Son los escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en EMCALI (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.

A continuación se presentan algunas percibidas en el ámbito laboral de EMCALI:

Recurso Humano: Conjunto de personas vinculadas directa o indirectamente con el Activo de Información (personal externo e interno). Procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad. Tecnología: Es el conjunto de herramientas empleadas para soportar el activo de información. Incluye: hardware, software y telecomunicaciones. Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Información. Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad.

61

7.1.3. Estimación del Riesgo

Descripción del Riesgo.

La descripción del riesgo se realiza bajo el escenario amenaza VS vulnerabilidad, es decir el supuesto que una amenaza logre explotar una vulnerabilidad y materialice un riesgo previamente identificado.

Descripción de consecuencias.

Las consecuencias son todas aquellas repercusiones que sufre un activo de llegarse a materializar un riesgo, las consecuencias deben ser declaradas de manera sencilla y sin el uso de ternísimos a fin de que cualquier persona pueda entender las afectaciones que se sufrirían, se recomienda que las consecuencias se han declaradas en términos económicos, eficiencia operacional, afectaciones legales y pérdida de clientes.

Probabilidad de Materialización.

A continuación se presenta la escala de probabilidad de materialización con la cual EMCALI pretende medir la probabilidad de ocurrencia de un riesgo en el tiempo.

Cuadro 8. Escala de probabilidad

ESCALA DE PROBABILIDAD

 

RARO

Evento

que

puede

ocurrir

sólo

en

circunstancias excepcionales (0 – 5%), entre 0 y 1 vez cada año

IMPROBABLE

Evento

que

pudo

ocurrir

en

algún

momento (6% - 10%), entre 2 y 4 veces

en año.

POSIBLE

Evento

que

podría

ocurrir

en

algún

momento (11% - 15%) entre 5 y 6 veces

en el año.

 

PROBABLE

Evento que probablemente ocurrirá en la mayoría de las circunstancias (16% - 20%) entre 7 y 12 veces en un año.

CASI CERTEZA

Evento que se espera ocurra

en

la

mayoría de las circunstancias (Mayor al 20%) más de 12 veces en un año.

62

Determinar Impacto

A continuación se presenta la escala de impacto con la cual EMCALI determinara la afectación que causaría la materialización de un riesgo para su imagen, información, victimas, ambiental, operaciones, económicas y financieras, mercadeo, clientes

Cuadro 9. Escala de impacto

 

ESCALA DE IMPACTO

 
       

Económic

NIVEL

Imagen

Información

Operaciones

as y

Financiera

       

s

INSIGNIFICAN

Impacta negativament

Impacta de forma leve la información requerida

Impacta de forma leve la

Se pueden presentar una

TE

e la imagen de un rol.

para el desarrollo de las actividades de un rol

operación de un rol

afectación del 20% del presupuest o

   

Impacta de

   

forma

importante la

Se pueden

información

presentar

MENOR

Impacta negativament e la imagen

requerida

para el

desarrollo de

Impacta

importante la

operación del

una afectación del 30% del

del proceso.

las

proceso

presupuest

actividades

o

del proceso

evaluado

   

Impacta

   

Impacta

negativament

Impacta

Se pueden

negativament

e la

negativament

presentar

e la imagen

información

e no sólo

la

MODERADO

no sólo del

requerida

operación del

una afectación

proceso

para el

proceso

del 40% del

 

evaluado sino

desarrollo de

evaluado sino

de otros

las

a otros

presupuest

procesos

actividades no

procesos

o

solo del

63

Cuadro 9. (Continuación)

   

proceso

   

evaluado sino

de otros

procesos.

MAYOR

Impacta negativament e la imagen de EMCALI ante sus suscriptores

Impacta negativament e la información concerniente y que apoya el cumplimiento de los objetivos estratégicos de EMCALI

Impacta negativament e la operación de EMCALI

Se pueden presentar una afectación del 50% del presupuest o

CATASTROFIC

Impacta negativament

Impacta negativament e la información concerniente

Impacta negativament e la no solo

Se pueden presentar una afectación

O

e la imagen de la Ciudad de Cali

y que apoya la prestación del servicio a los suscriptores.

operación de EMCALI sino de sus Subscriptores

del mas del 51% del presupuest o

N/A

No hay

No hay

No hay

No hay

impacto

impacto

impacto

impacto

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación valoración de activos de información.

y

7.1.4. Evaluación Del Riesgo.

Priorizar Necesidades de Tratamiento.

Priorizar las necesidades de tratamiento otorga la pauta para la definición de nuevos controles o mejoras de los controles existentes, teniendo en cuenta que el nivel aceptable de riesgo es bajo, se ha determinado que para los demás niveles

64

de riesgo se deberá definir planes los cuales permitan involucrar controles los cuales permitan llevar el riesgo hasta su mínima expresión. 18

Cuadro 10. Matriz de probabilidad VS Impacto

   

IMPACTO

PROBABILIDAD

1

2

3

4

5

Insignificante

Menor

Moderado

Mayor

Catastrófico

 
  • 1 B

RARO

 

B

M

A

A

 
  • 2 B

IMPROBABLE

 

B

M

A

E

 
  • 3 B

MODERADO

 

M

A

E

E

 
  • 4 PROBABLE

M

A

A

E

E

 

CASI

         
  • 5 A

CERTEZA

A

E

E

E

B: Zona de Riesgo Baja, asumir el riesgo. M: Zona de Riesgo Moderada, asumir el riesgo, reducir el riesgo. A: Zona de Riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir. E: Zona de Riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación valoración de activos de información.

y

7.1.5. Tratamiento Del Riesgo.

Identificación y Selección de Opciones para el Tratamiento Del Riesgo.

La identificación de opciones o medidas para el tratamiento del riesgo parte del análisis de las vulnerabilidades y necesidades que perciba la organización respecto a mantener la seguridad de sus activos de información, la elección de medidas de seguridad luego de realizado el análisis de vulnerabilidades se ve soportado por la Norma ISO/27001 Anexo A en la cual se presentan 133 controles los cuales se presentan una amplia gama de medidas de seguridad las cuales ayudaran a blindar de buena manera la organización en materia de seguridad de la información. La organización también tiene como material de apoyo a Norma ISO/27002, Norma en la cual radican los mismos 133 controles del Anexo A pero adicional a esto presenta la guía de implementación de cada uno de los controles que el Anexo A abarca.

18 Información obtenida de los lineamientos establecidos por EMCALI para la construcción de la matriz de inventario de activos y matriz para la gestión del riesgo, documento

65

  • 7.1.6. Comunicación y Consulta.

Obtener y Compartir Información.

Obtener y compartir información es parte la cual desempeña un papel clave dentro de la gestión del riesgo, ya que mediante la obtención de información de las partes interesadas se puede conocer el estado de un proceso y de sus activos asociados respecto a su seguridad y el grado de exposición en cuanto se llegue a presentar la materialización de un incidente de seguridad. Es de igual importancia compartir o comunicar la información ya que mediante ello puede tomarse medidas oportunamente y de esta manera minimizar la probabilidad de ocurrencia de un incidente de seguridad en particular.

  • 7.1.7. Monitoreo y Revisión.

Identificar Cambios en el Contexto.

El monitoreo y las revisiones programadas permiten develar cambios en los contextos en los cuales convergen los activos de información que se involucran en los procesos organizaciones, conocer el cambio en un contexto es de suma importancia, ya que un cambio por mínimo que sea puede influir en múltiples variables las cuales podrían desencadenar situaciones que puedan poner en riesgo la seguridad de los activos de información que se buscan proteger; el monitoreo y la revisión son actividades que buscan prevenir incidentes de seguridad mediante la anticipación de los hechos, es decir no se espera a que pase el incidente para luego tomar medidas sino que se buscan cerrar las brechas entre la seguridad y el contexto que el cual mantiene en constante dinamismo.

Analizar los incidentes de Seguridad.

El análisis de un incidente de seguridad en el antes, durante y después de suceso es muy importante ya que contribuye a fortalecer la base del conocimiento de la organización respecto a la seguridad de la información ya que mediante el análisis la organización puede retroalimentarse y tomar medidas que permitan que incidentes como los ya ocurridos no prosperen en el futuro.

Teniendo definidos y claramente descrito cada uno de los apartes los cuales harán parte de nuestros lineamientos para la gestión del riesgo se presenta a continuación la contextualización de estos (a excepción del aparte 9.1.6 y 9.1.7, ya

66

que no se encuentran contemplados como parte de la operación del SGSI, mas no

de su estructuración como tal),

a

fin

de

dar

cumplimiento al

control

“7.1.1

Inventario de Activos” el cual se encuentra asociado al objetivo de control “7.1 Responsabilidad sobre los Activos” y este a su vez inmerso en el dominio “7

Gestión

de

Activos”.

7.2 ACTIVOS DE INFORMACION OBJETO DE ANÁLISIS

Con el fin de dar cumplimiento a este aparte se empezó conociendo en primera instancia los activos de información que habían sido levantados por EMCALI en el 2011 actividad la cual dio por resultado la siguiente información:

Se pudieron identificar 153 activos de información los cuales fueron levantados en el 2011, activos de información los cuales se encontraban repartidos de la siguiente manera.

Gerencia de TI,

dependencia en la cual

se identificaron 24 activos de

información.

 

Departamento de Operaciones, departamento en el cual se identificación 85

activos de información. Departamento de Sistemas de Información, departamento en el cual se identificaron 22 activos de información. Departamento de Planeación Tecnológica, departamento en el cual se identificaron 22 activos de información.

Identificados los activos de información se procedió a adelantar la actualización del inventario de activos mediante entrevistas con los responsables de cada departamento y mediante una comparación con la matriz de riesgos a fin de conocer si los activos a los cuales se debía dar seguimiento en realidad estaban siendo sometidos a una gestión a fin de minimizar el nivel de riesgo al cual se encuentran expuestos.

A continuación se presenta un informe con los resultados obtenidos de la actividad de actualización del inventario de activos.

7.1.8. Análisis de Activos. Gracias al análisis realizado de los inventarios de activos de información de los departamentos que componen el GTI y de la matriz

67

de riesgos de EMCALI, Se ha determinado que el número total de activos de información que se encuentran contenidos en los cuatro departamentos que componen el GTI es de 147 activos, los cuales se encuentran distribuidos de la siguiente manera:

Figura 7. Distribución de Activos de información actualizada ACTIVOS DE INFORMACION 100 90 80 87 70
Figura 7. Distribución de Activos de información actualizada
ACTIVOS DE INFORMACION
100
90
80
87
70
60
50
40
30
20
21
20
10
19
0
Gerencia de TI
Departamento de
Operaciones.
Departamento
de Sistemas de
Información.
Departamento de
Planeación
Tecnológica.

7.1.9. Gerencia de TI.El departamento de Gerencia de TI cuenta con 19 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 10 activos que tiene asociado un valor de criticidad de ALTO, 5 activos tienen asociado un valor de criticidad MEDIO, y finalmente se tienen 4 activos con un valor de criticidad asociado BAJO.

68

Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su valor de criticidad
Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su
valor de criticidad
ACTIVOS POR VALOR DE CRITICIDAD
12
10
10
8
6
4
5
4
2
0
Activos con Valor de Criticidad
Alto.
Activos con Valor de Criticidad
Medio.
Activos con valor de Criticidad
Bajo.

Los activos de información con un nivel de criticidad ALTO, de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos; cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de ALTO.

69

Figura

9.

Activos

asociados

a

la

gerencia

de

TI,

registrados en la matriz de riesgos

que

se

encuentran

ACTIVOS REGISTRADOS EN LA MATRIZ DE RIESGOS 10,2 10 10 9,8 9,6 9,4 9,2 9 9
ACTIVOS REGISTRADOS EN LA MATRIZ DE
RIESGOS
10,2
10
10
9,8
9,6
9,4
9,2
9
9
8,8
8,6
8,4
Activos que estan registrados
en la matriz de riesgos.
Activos que no estan registrados
en la matriz de riesgos.

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es consistente con el número de activos identificados con un nivel de criticidad Alto.

  • 7.1.10. Departamento Operaciones.El departamento de la Operaciones

cuenta con 87 activos de información inventariados, de estos activos de

información se puede concluir lo siguiente:

Se cuenta con 5 activos que tiene asociado un valor de criticidad de MUY ALTO, 62 activos tienen asociado un valor de criticidad ALTO, se tienen 11 activos con un valor de criticidad asociado MEDIO, y final mente se tienen 9 activos con un nivel de criticidad BAJO.

70

Figura 10. Activos asociados al departamento de operaciones, distribuidos respecto a su valor de criticidad

VALORACION DE CRITICIDAD DE LOS ACTIVOS DE INFORMACION 70 60 62 50 40 30 20 10
VALORACION DE CRITICIDAD DE LOS ACTIVOS
DE INFORMACION
70
60
62
50
40
30
20
10
5
11
9
0
MUY ALTO
ALTO
MEDIO
BAJO

Los activos de información con un nivel de criticidad MUY ALTO, y ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos, cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de MUY ALTO, y ALTO.

71

Figura 11. Activos asociados al departamento de operaciones, que se encuentran registrados en la matriz de riesgos

ACTIVOS REGISTRADOS EN LA MATRIZ DE RIESGOS DE EMCALI 70 60 67 50 40 30 20
ACTIVOS REGISTRADOS EN LA MATRIZ DE
RIESGOS DE EMCALI
70
60
67
50
40
30
20
20
10
0
Activos que estan registrados
en la matriz de riesgos de EMCALI
Activos que no estan registrados en la matriz de
riesgos de EMCALI

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos no es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

Al examinar el inventario de activos y comparando sus activos contra la matriz de riesgos se encontró que había nueve (9) activos con nivel de criticidad ALTO que no fueron incluidos en la matriz de riesgos.

  • 7.1.11. Departamento Sistemas de Información. El departamento de

Sistemas de Información cuenta con 21 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 6 activos que tiene asociado un valor de criticidad de MUY ALTO, 10 activos tienen asociado un valor de criticidad ALTO, se tienen 3 activos con un valor de criticidad asociado MEDIO, y final mente se tienen 2 activos con un nivel de criticidad BAJO.

72

Figura 12. Activos asociados al departamento de sistemas de información, distribuidos respecto a su valor de
Figura 12. Activos asociados al departamento de sistemas de información,
distribuidos respecto a su valor de criticidad
ACTIVOS POR VALOR DE CRITICIDAD
12
10
10
8
6
6
4
2
3
2
0
Activos con Valor de
Criticidad Muy Alto.
Activos con Valor de
Criticidad Alto.
Activos con Valor de
Criticidad Medio.
Activos con valor de
Criticidad Bajo.

Los activos de información con un nivel de criticidad MUY ALTO, y ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que de acuerdo a su nivel de criticidad se considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos, cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de MUY ALTO, y ALTO.

73

Figura 13. Activos asociados al departamento de sistemas de información, que se encuentran registrados en la matriz de riesgoS

ACTIVOS REGISTRADOS EN LA MATRIZ DE RIESGOS 18 16 16 14 12 10 8 6 4
ACTIVOS REGISTRADOS EN LA MATRIZ DE
RIESGOS
18
16
16
14
12
10
8
6
4
5
2
0
Activos que estan registrados
en la matriz de riesgos.
Activos que no estan registrados
en la matriz de riesgos.

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

  • 7.1.12. Departamento Planeación Tecnológica.El departamento de

Planeación Tecnológica cuenta con 20 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 11 activos los cuales tienen asociado un valor de criticidad ALTO, se tienen 4 activos con un valor de criticidad asociado MEDIO, hay 2 activos con un nivel de criticidad BAJO, y finalmente se tienen 3 activos con un nivel de criticidad de MUY BAJO.

74

Figura 14. Activos asociados al departamento de planeación tecnológica, distribuidos respecto a su valor de criticidad
Figura 14. Activos asociados al departamento de planeación tecnológica,
distribuidos respecto a su valor de criticidad
ACTIVOS POR VALOR DE CRITICIDAD
12
10
11
8
6
4
4
2
3
2
0
Activos con Valor de
Criticidad Alto.
Activos con Valor de
Criticidad Medio.
Activos con valor de
Criticidad Bajo.
Activos con Valor de
Criticidad Muy Bajo

Los activos de información con un nivel de criticidad ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos, cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de MUY ALTO, y ALTO.

75

Figura 15. Activos asociados al departamento de planeación tecnológica, que se encuentran registrados en la matriz de riesgos

ACTIVOS REGISTRADOS EN LA MATRIZ DE RIESGOS 16 14 15 12 10 8 6 4 5
ACTIVOS REGISTRADOS EN LA MATRIZ DE
RIESGOS
16
14
15
12
10
8
6
4
5
2
0
Activos que estan registrados
en la matriz de riesgos.
Activos que no estan registrados
en la matriz de riesgos.

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

  • 7.1.13. Conclusión Respecto al Análisis de Activos y Actualización del

Inventario. A raíz de la actualización del inventario de activos y de conocer las pretensiones de EMCALI por alcanzar la certificación en la Norma ISO/27001de seguridad de la información, se presenta como sugerencia enfocar todos los esfuerzos sobre un proceso crítico para la Gerencia de TI en pro de asegurar un activo o activos de información, los cuales representen interés tanto para el proceso como para toda la organización; de acuerdo a este orden de ideas se ha considerado pertinente declarar para el proyecto de SGSI, un nuevo alcance con el cual pueda obtenerse la certificación de la norma ISO/27001, debido a que en la primera fase del proyecto SGSI en la cual participo la organización especializada en seguridad de la información (NewNet S.A), no se logró definir un alcance certificable que en base a los 147 activos de información que se habían definido en la primera fase del proyecto, se pudiese llegar a cumplir el objetivo de alcanzar la certificación en la Norma ISO/27001.

  • 7.1.14. Determinar El Alcance. Partiendo de las ideas declaradas en el

aparte inmediatamente anterior, se sugiere a EMCALI enfocar esfuerzos para alcanzar la certificación, sobre el proceso “Gestionar Tecnología” – proceso anteriormente citado lleva por nombre un nombre ficticio, ya que se considera

76

como material confidencial el mapa de procesos de la gerencia de TI – ya que se considera un proceso de interés dentro de la gerencia de TI y al interior del mismo asegurar el activo “CORE del Negocio” – el nombre por el cual será llamado el activo es un nombre ficticio, ya que el nombre real del activo es considerado como confidencial por parte de EMCALI - el cual es un activo de interés para el proceso “Gestionar Tecnología” y es un activo transversal a toda la organización.

Definido el proceso y el activo sobre el cual enfocaremos esfuerzos para su aseguramiento, procedemos a declarar el nuevo alcance certificable para el proyecto SGSI de EMCALI y detallar dentro del mismo el activo “CORE del Negocio”, a fin de conocer los activos que integran el activo “CORE del negocio” y de esta manera poder asegurar el activo en toda su comprensión.

Alcance certificable.

El Alcance se encuentra limitado a la Gerencia de TI de EMCALI, al proceso gestionar tecnología y al aseguramiento del activo CORE del Negocio el cual se encuentra compuesto por los siguientes activos:

Cuadro

11.

Activos de información asociados al proceso gestionar

tecnología

PROCESO

ACTIVO

DETALLE

 
   

APLICACIÓN

BASE DE DATOS 1

GESTIONAR

CORE DEL NEGOCIO

BASE DE DATOS 2

TECNOLOGIA

BASE DE DATOS 3

 

SERVIDOR 1

SERVIDOR 2

Todo lo anterior a fin de realizar la gestión del riesgo a partir del análisis de su nivel de criticidad, vulnerabilidades y amenazas, para de esta manera poder determinar el impacto que tendría para la empresa que estos activos se vean vulnerados respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

77

Nota 1: Los activos asociados al activo CORE (Aplicación, Base de datos 1, Base de datos 2, Base de datos 3, Servidor 1, servidor 2) fueron nombrados bajo nombres ficticios, ya que esta información es considerada como confidencial por EMCALI.

Nota 2: Los activos declarados en un principio por EMCALI y sobre los cuales se realizó un análisis a fin de actualizar su estado dentro del inventario de activos, no serán tenidos en cuenta dentro del alcance certificable anteriormente propuesto, es decir que los 147 activos de información que fueron levantados en un principio por EMCALI no serán tenidos en cuenta, ya que tal cantidad de activos de información dispuestos para aseguramiento, generaría un desgaste inmenso para la organización y el objetivo de obtener la certificación en la norma ISO/27001 podría llegar a no materializarse.

Nota 3: Los seis activos de información (Aplicación, Base de datos 1, Base de datos 2, Base de datos 3, Servidor 1, servidor 2) declarados como el nuevo alcance certificable para el proyecto SGSI, se encuentran sujetos para el presente proyecto, a limitaciones en cuanto al detalle de su información, debido a que estos activos son considerados por EMCALI como críticos y cualquier tipo de divulgación de información no autorizada por la empresa es considerada como un incidente de seguridad, el cual pondría en riesgo la confidencialidad, integridad, disponibilidad y trazabilidad del activo de información y por ende la EMCALI se vería afectada de manera negativa en sus intereses.

Descripción de los activos embebidos en el alcance certificable.

A continuación se presenta la descripción de cada uno de los activos de información relacionados en el alcance certificable:

o

Aplicación.

Activo de información el cual Permite a los usuarios autorizados consultar, adicionar, modificar información y ejecutar funcionalidades que permitan obtener resultados de interés para un determinado proceso.

o

Base de datos 1.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; La Información contenida en esta base de datos debe ser

78

protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales"), para el presente activo de información existe una oportunidad de mejora de poder actualizar el motor de la base de datos, ya que en la actualidad el motor de la base de datos se encuentra operando bajo una versión desactualizada y ello podría acarrear problemas de soporte por parte del proveedor.

o

Base de datos 2.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; el presente activo de información también posee información de la gerencia financiera como lo son estados de cuentas, pago a proveedores y nómina de los empleados de EMCALI. La Información contenida en esta base de datos debe ser protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales").

o

Base de datos 3.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; el presente activo de información también posee información concerniente a la genérica de gestión humana y administrativa de EMCALI, en la cual se involucra la información personal de todos los funcionarios públicos de la empresa así como también información concerniente a practicantes y contratistas. La Información contenida en esta base de datos debe ser protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales").

o

Servidor 1.

Servidor de alta disponibilidad que aloja la base de datos 1, base de datos la cual almacena información sensible del sistema de información CORE del Negocio. Soportar física, operativa y tecnológicamente la base de datos del sistema

79

comercial de EMCALI, manteniendo la información de la base de datos de manera confidencial, integra y siempre disponible para las personas autorizadas.

o

Servidor 2.

Servidor de alta disponibilidad que aloja la base de datos 2 y 3, bases de datos las cuales almacenan información sensible del sistema de información CORE del Negocio. Soportar física, operativa y tecnológicamente la base de datos del sistema comercial de EMCALI, manteniendo la información de la base de datos de manera confidencial, integra y siempre disponible para las personas autorizadas.

  • 7.2. INVENTARIO DE ACTIVOS

    • 7.3.1 Campos de información a asociar al inventario. Respecto a los campos

de información se considera adecuada la asociación al inventario de activos, de cada uno de los campos definidos por EMCALI, pero a raíz de la observación y análisis del inventario de activos de información se ha podido evidenciar oportunidades de mejora las cuales permitirán mejorar la calidad de la información que proporciona el inventario de activos al personal el cual lo administra.

A continuación se presentan los campos de información que se sugieren como oportunidad de mejora a integrar al inventario de activos de información:

Función del Activo, campo de información en el cual se detallara concretamente la funcionalidad del activo de información al interior de EMCALI. Personal administrador, Campo de información en el cual debe registrarse el nombre de la o las personas que administran o son líderes técnicos para el activo de información.

Datos de Contacto, Campo de información en el cual deben disponerse los datos del personal administrador o lideres técnicos para el activo, a fin de tener a disposición información que contribuya a la ubicación del personal en caso de presentarse una duda, fallo o incidente de seguridad respecto a un activo. Oportunidades de mejora, Campo de información en el cual se dispondrán para registro las vulnerabilidades más inmediatas a tratar para la seguridad del activo.

Gestión de vulnerabilidades, Campo de información en el cual se

consolidan los esfuerzos que se están realizando para cubrir las vulnerabilidades

detectadas.

80

El producto consolidado como inventario de activos se encuentra adjunto como anexo al presente documento, Observar Anexo A documento inventario de activos.

7.2 MATRIZ DE RIESGOS

El producto consolidado bajo el Nombre Matriz de riesgos se encuentra adjunto como anexo al presente documento, Observar Anexo A documento matriz de riesgos.

7.3 CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO

Definidos los activos de información e identificadas sus riesgos, vulnerabilidades, amenazas y riesgo residual a partir del análisis de los controles que EMCALI tiene actualmente definidos para mitigar el riesgo que existe sobre estos, se a logrado determinar que el nivel de riesgo residual que tienen los activos respecto a su confidencialidad, integridad, disponibilidad y trazabilidad no se encuentra en el nivel de tolerancia o aceptación definido por EMCALI, debido a que ningún activo se encuentra en un nivel de residual Bajo, por lo cual EMCALI debe considerar Asumir el riesgo, Mitigar, Transferir o en un caso extremo y poco habitual eliminar

el

activo.

.

Considerando el nivel de riesgo residual de los activos de información se presenta a como recomendación a EMCALI la implementación de los siguientes controles sugeridos por la Norma ISO/27001 Anexo A, a fin de mitigar el riesgo con la puesta en operación de los mismos.

7.3.1

Controles.

Uso aceptable de los activos, Control mediante el cual la empresa puede formar criterios y disposiciones organizacionales respecto a la seguridad de los activos de información y la manera en la cual los empleados deben emplear los recursos de información de la empresa.

81

Concienciación, formación y capacitación en seguridad de la información, Control mediante el cual se permite formar y concientizar a los empleados respecto a la importancia de la seguridad de la información y poder mantener los activos de información respecto a su confidencialidad, integridad, disponibilidad y trazabilidad. 8Responsabilidad del cese o cambio, Control mediante el cual la empresa declara responsabilidades respecto al cambio de perfil de un empleado o la baja de su usuario y credenciales de acceso ante un posible retiro del empleado de la empresa.

Devolución de activos, Control mediante el cual la empresa pude

establecer procedimientos mediante los cuales, los activos pertenecientes a la empresa que se encuentren asignados a un empleado puedan ser reintegrados a la organización ante un cambio de rol del empleado o un posible retiro de la empresa.

Retirada de los derechos de acceso, Control mediante el cual la empresa puede formular procedimientos mediante los cuales, el empleado responsable de los retiros de acceso de un usuario puede efectuar correctamente la retirada de los privilegios de acceso de un empleado a determinados sistemas de información de la organización, los procedimientos pueden efectuarse bajo el supuesto de cambio de rol del empleado, retiro del empleado de la organización, retiro de los privilegios por motivo de investigaciones entre otros supuestos que EMCALI considere apropiados tener en cuenta para el retiro de los derechos de acceso. Gestión de capacidades, Control el cual se encuentra enfocado a determinar la capacidad de los sistemas de información, bases de datos, servidores e infraestructura de redes y comunicaciones a fin de soportar con calidad las demandas de los usuarios asociados a la organización.

Controles de red, Control el cual sugiere la implementación de mecanismos de control de red, los cuales permitan controlar el acceso a los recursos de red y el monitoreo de los mismos, a fin de evitar incidentes de seguridad que pongan en riesgo la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información. Seguridad en los servicios de red, Control mediante el cual se sugiere la implementación de disposiciones de seguridad la cual permita mantener la confidencialidad e integridad de los servicios prestados por la empresa y de la información que por ellos fluye.

Supervisión

del

uso

del

sistema,

La

empresa debe mantener la

supervisión de sus sistemas de información a fin de evitar y conocer posibles

afectaciones de los usuarios hacia la información que en los sistemas reposa.

 

Gestión de privilegios, Control

mediante el

cual

la empresa

puede

conformar un proceso de segregación de funciones el cual contribuya a determinar

los privilegios

que

los

usuarios

requieren

 

para

el

adelanto de sus

responsabilidades laborales. Gestión de contraseñas de usuarios, Mediante la conformación de un proceso informático el cual regule la conformación de contraseñas se puede

82

disminuir la probabilidad de que los usuarios diseñen contraseñas con una seguridad baja. Revisión de los derechos de acceso de usuarios, Disponer de un control mediante el cual se revise si un usuario tiene más privilegios de los que debería tener asignados, ya que esto representa un riesgo de fuga de información y de alteración de información sensible. Restricción del acceso a la información, determinar qué información tienen derechos los usuarios de consultar. Identificación de la legislación aplicable, la identificación de la legislación aplicable y vigente es un factor de importancia considerable y el cual se debe tener claro a fin de encontrarse conforme con las disposiciones legales del estado para de esta manera evitar ser objeto de multas y sanciones.

7.4 METODOLOGÍA PARA LA ACTUALIZACIÓN DEL INVENTARIO DE ACTIVOS

La actualización de inventario de activos de información una actividad de vital importancia para EMCALI, puesto que determina que activos de información ya no deben ser considerados dentro del inventario de activos de información, y posteriormente indagar que nuevos activos se han vinculado a EMCALI y que requieran de un control sobre ellos, ya que estos pueden comprometer la confidencialidad, integridad, disponibilidad y trazabilidad, y por ende deben ser vinculados al inventario de activos de información.

La información puede estar representada en diferentes formas (impresa, en sistemas de información computacionales, en imágenes, etc.) y tiene, además, un ciclo de vida que cuenta con diferentes etapas (creación, procesamiento, uso, almacenamiento, transmisión y destrucción); independiente de su representación y de la etapa en que se encuentra, la información debe ser protegida adecuadamente, de acuerdo con su nivel de confidencialidad, integridad y disponibilidad.

La metodología que se presenta como sugerencia para realizar la actividad de actualización de inventario y clasificación de activos de información se encuentra dividida en tres (3) etapas:

83

  • 7.4.1 Etapa número uno, activos a dar de baja.

o

Indagar: corresponde al proceso de identificación, comprobación, y valoración de activos de información, que se considera que ya no representen un riesgo para las actividades empresariales de EMCALI, o su ciclo de vida ya ha concluido y ya no se encuentran vinculados a los procesos empresariales de EMCALI.

o

Dar de baja: actividad correspondiente a desvincular del inventario los activos de información que previamente han sido identificados, comprobados, y valorados en la etapa de escrutinio, ya que se ha determinado que estos activos de información ya no representan un riesgo para las actividades empresariales de EMCALI.

  • 7.4.2 Etapa número dos, actualizar valoración de criticidad.

o Actualizar: es el proceso mediante el cual se evalúan los activos que han quedado incluidos en el inventario luego de realizar la acción de dar de baja, este proceso tiene como objetivo examinar si el nivel de criticidad que se ha definido para los activos en un pasado sigue siendo acertado o si este ha sufrido cambios en el tiempo.

o Traslado de activos de información: actividad mediante la cual un activo de información inventariado cambia de ubicación, pero sin cambiar de departamento al cual se encuentra vinculado.

o Traspaso de activos de información: actividad mediante la cual un activo de información inventariado cambia de departamento responsable del activo a otro.

  • 7.4.3 Etapa número tres, activos a dar de alta.

o Análisis de activos de información: corresponde a las actividades de la identificación, caracterización y valoración de activos de información nuevos, que dependiendo del impacto y la importancia que estos puedan generar a las

84

actividades empresariales de EMCALI, requieren un control continuo para minimizar los riesgos que existen sobre estos.

o Dar de alta: actividad correspondiente a vincular al inventario los activos de información que previamente han sido identificados, caracterizados, y valorados en la etapa de análisis de activos de información, ya que se ha determinado que estos activos de información representan un riesgo para las actividades empresariales de EMCALI, y requieren de medidas que minimicen el riesgo sobre estos.

o Clasificación de activos de información y valor total del Activo:

corresponde a la definición del sistema de clasificación y la clasificación de los activos de información de acuerdo a este sistema. El sistema de clasificación fue revisado y aprobado por el Comité de Gerencia de GTI. El sistema de clasificación contempla la Confidencialidad, Integridad, Disponibilidad y Trazabilidad del activo de información, de acuerdo con el impacto que puede generar la pérdida de alguna de éstas propiedades.

Dentro de la etapa número dos, se vinculan dos procesos adicionales los cuales son los siguientes:

85

  • 7.4.4 Etapa número 1, Activos a dar de baja.

    • 7.4.4.1 Indagar.La actividad de indagar consiste en poder conocer

información del estado de los activos de información incluidos previamente en el inventario, esto con el fin de poder determinar si los activos incluidos en el inventario realmente son de gran relevancia para las actividades empresariales de la organización, esto con el fin de garantizar la confidencialidad, integridad y disponibilidad del activo de información.

La actividad de indagar también nos permitirá ahorrar esfuerzo en el control de riesgos sobre los activos de información, ya que con la implementación de esta actividad, en el inventario de activos de información solo tendremos activos que se ha comprobado y corroborado que requieren de atenciones de control especiales. Si no se implementara esta actividad se estarían haciendo esfuerzos en el control de los activos de información, sin conocer realmente si dichos activos son realmente indispensables para el funcionamiento empresarial de EMCALI.

Para efectuar la actividad de indagar se deben tener en cuenta la información pertinente a cada activo de información, con el fin de conocer si un activo debe ser desvinculado del inventario de activos de información.

o

El activo de información es vital para la actividad empresarial de EMCALI.

o

El activo es de carácter

Público

Semiprivado

Privado

86

o

El ciclo de vida del activo de información es:

Temporal.

extenso.

indefinido.

o

El activo de información requiere cuidados especiales como:

Mantenimiento.

Almacenar en

medios especiales como cajas fuertes o entornos con

temperaturas controladas.

Monitoreo continuo.

Acceso restringido.

o

Medio en el cual se encuentra contenido el activo de información.

Digital

Físico

o

El activo de información puede ser transferido de un área a otra.

El activo de información puede ser trasladado de un lugar a otro dentro de la misma área propietaria del activo de información.

o

o

Indicar las vulnerabilidades actuales del activo.

o

Indicar las amenazas actuales a las que se ve sometido el activo.

Indicar el nivel de riesgo que corre actualmente el activo de información y describirlo.

o

87

o

Tipo de baja.

Cuadro 12. Tipo de Baja

CODIGO

EVENTUALIDAD

CODIGO

EVENTUALIDAD

B1

Venta.

B4

Robo.

B2

Inservible.

B5

Despido.

B3

Perdida.

B6

Termino del ciclo de vida de la información.

NOTA: la selección de cualquier eventualidad de tipo de baja, debidamente justificada, considerara la baja inminente del activo de información del inventario de activos de información.