espinoza hans analisis sistema gestion seguridad informacion iso iec 27001 2005 comercializacion...

7/23/2019 Espinoza Hans Analisis Sistema Gestion Seguridad Informacion Iso Iec 27001 2005 Comercializacion Productos Con

1/69

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

Anlisis y diseo de un sistema de gestin de

seguridad de informacin basado en la norma

ISO/IEC 27001:2005 para una empresa de producciny comercializacin de productos de consumo masivo

Hans Ryan Espinoza Aguinaga

20047270

ASESOR: Dr. Manuel Tupia Anticona.

Lima, Octubre 2013


2/69

2

RESMEN

En los ltimos 20 aos la informacin se ha convertido en un activo muy importante

y crucial dentro de las organizaciones. Por esta razn la organizacin tiene la

necesidad de protegerla si es que la informacin tiene relacin ya sea con el

negocio o con sus clientes.

Para gestionar la informacin y su seguridad, las entidades pueden adoptar alguna

de las normas y buenas prcticas existentes en el mercado.

Para el caso de una empresa del rubro de produccin y distribucin de alimentos de

consumo masivo, tambin aplica esta necesidad de proteger la informacin. Por

ejemplo, en unos de sus principales procesos que es el de produccin, est

implicada informacin de gran importancia para la empresa, como recetas de

productos, programacin de manufactura, sistemas que se usan, tipos de pruebas

de calidad de producto, etc., la cual debe estar resguardada correctamente para

evitar que dicha informacin se pierda o caiga en manos indebidas y as garantizar

que se logren los objetivos del negocio.

En el presente proyecto de fin de carrera se tomaran en cuenta los aspectos ms

importantes de la norma ISO/IEC 27001:2005, a partir de los cuales se buscar

poder desarrollar cada una de las etapas del diseo de un sistema de gestin deseguridad de informacin para que pueda ser empleado por una empresa dedicada

a la produccin de alimentos de consumo masivoen el Per, lo cual permitir que

sta cumpla con las normas de regulacin vigentes en lo que respecta a seguridad

de informacin.

Para efectos del anlisis de riesgos para este proyecto de tesis, se decidi trabajar

con el proceso de produccin, ya que se consider que era el proceso ms

importante dentro del funcionamiento de la empresa. Este proceso de produccin asu vez se dividi en 4 subprocesos que lo conforman, los cuales fueron el proceso

deplanificacin, manufactura, calidad y bodegas e inventarios.


3/69

3

INDICE

RESMEN 2

CAPTULO 1 PREMISAS Y PLANIFICACIN DEL PROYECTO 71.1 INTRODUCCIN 71.2 DEFINICIONDELAPROBLEMTICA 81.3 OBJETIVOGENERALDELPROYECTODETESIS 101.4 OBJETIVOSESPECIFICOSDELPROYECTODETESIS 111.5 RESULTADOSESPERADOSDELPROYECTODETESIS 111.6 ALCANCEYLIMITACIONES 121.6.1 ALCANCE 12

1.6.2 LIMITACIONES 12

1.7 METODOSYPROCEDIMIENTOS 131.7.1 CICLO DE DEAMING (PLAN-DO-CHECK-OUT) 13

1.7.2 MAGERITII 14

1.8 JUTIFICACIONYVIABILIDAD 151.8.1 JUSTIFICACIN 15

1.8.2 VIABILIDAD 17

1.9 MARCOCONCEPTUAL 191.9.1 INFORMACIN 19

1.9.2 ACTIVOS DE INFORMACIN 19

1.9.3 GESTIN DE RIESGOS 20

1.9.4 GOBIERNO CORPORATIVO 24

1.9.5 SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN (SGSI) 29

1.9.6 NORMAS ISOSOBRE GESTIN DE SEGURIDAD DE LA INFORMACIN 30

1.10 REVISIONDELESTADODELARTE 341.10.1 ISO/IEC27001:2005 34

1.10.2 EMPRESAS CERTIFICADAS EN LA NORMA ISO/IEC27001 40

1.11 DISCUSIONSOBRELOSRESULTADOSDELESTADODELARTE 43

CAPTULO 2 NALISIS DEL SGSI. 442.1 ALCANCEDELSGSI 442.1.1 DESCRIPCIN DEL PROCESO DE PRODUCCIN 45

2.2 OBJETIVOGENERALDELSGSI 462.3 OBJETIVOSESPECIFICOSDELSGSI 472.4 METODOLOGA 47

CAPTULO 3 DISEO DEL SGSI. 493.1 ANLISISYGESTINDERIESGOS 49

3.1.1 ETAPA 2:ANLISIS DE RIESGOS 51


4/69

4

3.1.2 ETAPA 3:GESTIN DE RIESGOS 56

3.1.3 ETAPA 4:SELECCIN DE SALVAGUARDAS (CONTROLES) 58

3.2 POLTICAS DE SEGURIDAD 63

CAPTULO 4 CONCLUSIONES, RECOMENDACIONES Y TRABAJOSFUTUROS 644.1 CONCLUSIONES 644.2 RECOMENDACIONESYTRABAJOSFUTUROS 65


5/69

5

INDICE DE TABLAS

Tabla 1-1: PDCA para el Proyecto y el SGSI. ........................................................... 14

Tabla 1-2: Nmero de empresas certificadas en ISO/ IEC 27001 [16] ................... 40

Tabla 1-3: Nmero de empresas en el Per certificados en ISO/ IEC 27001 [16] .. 41


6/69

6

INDICE DE ILUSTRACIONES

Ilustracin 1-1.Activos de Informacin y sus amenazas ............................................. 9

Ilustracin 1-2: Escalera de la seguridad de Informacin ......................................... 18

Ilustracin 1-3: Tipos de Amenazas a la informacin. [2] ......................................... 21

Ilustracin 1-4: Relacin entre impacto y Amenazas. ............................................... 23

Ilustracin 1-5: Esquema de relaciones dentro de las reas del Gobierno de TI..... 26

Ilustracin 1-6: Diagrama de fases del PDCA. [2] ..................................................... 36

Ilustracin 1-7: Proceso de auditora de un SGSI. [15] ............................................. 39

Ilustracin 1-8 Inversiones en Seguridad de Informacin ......................................... 42

Ilustracin 1-9 Poltica de Seguridad de la Informacin por Empresa ...................... 42

Ilustracin 1-10 Certificaciones de Seguridad por Empresa ..................................... 42

Ilustracin 2-1: Flujo completo de Proceso de Produccin ....................................... 46


7/69

7

CAPTULO 1 PREMISAS Y PLANIFICACIN DEL PROYECTO

En este captulo se desarrollo la introduccin de este proyecto de fin de carrera,

definiendo primero la problemtica que se desea solucionar con este proyecto,objetivos, resultados esperados, alcance, los mtodos a utilizar durante este

trabajo, la justificacin y viabilidad de realizar este trabajo, el marco conceptual y

terico y por ltimo el estado del arte de la solucin planteada.

1.1 INTRODUCCIN

En los ltimos 20 aos, con el desarrollo de la tecnologa, la informacin se ha

convertido en uno de los activos ms importantes dentro de las empresas, pudiendo

estar presente en mltiples formatos: papel, almacenada electrnicamente,

ilustrada en pelculas, hablada en conversaciones o transmitida por alguna

tecnologa de comunicaciones, entre otros. [1]

Debido a esto, las empresas en la actualidad han reducido cada vez ms sus

inversiones en la compra de productos y herramientas tecnolgicas, destinando

ms bien parte de su presupuesto a la gestin de seguridad de informacin. [3]

Luego de lo descrito, a continuacin en este captulo, se explicara la problemticaque conlleva la prdida y dao de la informacin relevante para la empresa, los


8/69

8

objetivos y resultados esperados de esta tesis y el alcance y limitaciones que

tendr el presente proyecto. Adems se explicara y dar la justificacin de nuestra

solucin y su viabilidad.

1.2 DEFINICION DE LA PROBLEMTICA

Como ya se explico, en los ltimos 20 aos el uso de las tecnologas, dentro de las

organizaciones, ha ido en rpido aumento, ya que permiten optimizar las

actividades y procesos de la empresa, adems de potenciar las la productividad de

las personas. [6]

Con el incremento del uso de dichas tecnologas al interior de estas organizaciones

para almacenar, mantener, transmitir y recobrar informacin, han aumentado

tambin considerablemente la variedad y cantidad de amenazas que podran

afectar la confidencialidad, disponibilidad, auditabilidad e integridad de la

informacin vital para la organizacin [6], el negocio y los clientes, lo que podra

provocar graves prdidas econmicas, y de tiempo para la organizacin.

En la Ilustracin 1-1 se puede apreciar como los activos de informacin de una

organizacin estn rodeados de un ambiente complejo lleno de amenazas que

pueden ir desde simples virus de computadora hasta robo de la propiedad

intelectual de la empresa.

Ahora, tambin es un hecho cierto que as como existen especialistas en el mundo

de la tecnologa, dedicados a desarrollar, por el bien de la comunidad nuevos

software que ayudan a mejorar y facilitar la vida de los seres humanos, ya sea en el

rea de negocios como en el rea personal, tambin existen los llamados hackers

o piratas cibernticos, casi siempre jvenes con avanzados conocimientos de

informtica que utilizan su inteligencia para robar informacin de grandes

empresas, gobierno y hasta organizaciones sin o con fines de lucro.

Adems, el instituto Ponemon tambin dice que cada filtracin de informacin hace

que las compaas pierdan el 3,7% de sus clientes en promedio. Pero ese no es el

nico costo de la filtracin.


9/69

9

Ilustracin 1-1.Activos de Informacin y sus amenazas

Las compaas deben mejorar sus sistemas y capacitar a su equipo para encontrar

y resolver el problema, que no es nada barato. Despus del robo, las compaasdeben informar a sus clientes que la informacin est en riesgo, y deben gastar

incluso ms para prevenir que vuelva a ocurrir [17].

Para el caso del presente proyecto de tesis, se realiz un enfoque en la seguridad

de una empresa del rubro de produccin y distribucin de alimentos de consumo

masivo, donde tambin aplica la necesidad de proteger la informacin. Por ejemplo,

en unos de sus principales procesos que es el de Produccin, el cual se divide a su

vez en 4 subprocesos que son Planeamiento, Manufactura, Calidad y Bodegas eInventarios. En estos subprocesos est implicada informacin de gran importancia

para la empresa, como recetas de productos, programacin de manufactura,

sistemas que se usan, tipos de pruebas de calidad de producto, etc., la cual debe

estar resguardada correctamente para evitar que dicha informacin se pierda o

caiga en manos indebidas y as garantizar la continuidad de la empresa y el logro

los objetivos del negocio.

Adems este sistema de gestin de seguridad de informacin que se dise, no

solo ser til para el tipo de empresa de produccin y distribucin de alimentos de


10/69

10

consumo masivo, sino tambin ser til para todos los tipos de empresas de

produccin que tengan como informacin relevante a frmulas de sus productos,

programacin de produccin, planes de produccin, recetas, materias primas,

estructura de sus productos, etc. Algunos tipos de empresa son por ejemplo una

empresa productora de cermicos, una empresa productora de productos

farmacuticos, una empresa productora de bebidas, etc. que precisamente tienen

como informacin relevante la receta de sus distintos tipos de productos

(cermicos, frmacos, gaseosas), sus planes de produccin, Schedule, etc.

Para garantizar la seguridad de esta informacin, las empresas deben dejar de

actuar reactivamente en respuesta a los incidentes y problemas relacionados con la

seguridad de informacin y empezar a realizar un conjunto de acciones como

identificar el activo y definir su impacto, luego evaluar cules de estos activos puede

correr riesgos y por ltimo la alta gerencia deben decidir qu acciones se tomarn

para mitigar los riesgos.

Esta importancia de la informacin crea una necesidad de control y gestin de la

seguridad sobre la misma y no solo desde un punto de vista legal en cuanto a datos

personales se refiere, sino con carcter general a toda la informacin manejada por

una compaa, convirtindose en un complemento importante y que aporta un plus

de confianza y compromiso ante clientes o terceros ajenos a la empresa. Comoejemplo de este punto es la cada vez ms aceptada e incluso exigida aplicacin de

normas ISO en la contratacin entre empresas a nivel internacional. Este sistema

de gestin es de mucha importancia para que una organizacin pueda sobrevivir al

mercado actual.

Para gestionar la seguridad de la informacin, las organizaciones pueden seguir

algunas de las normas o modelos existentes en el mercado, tales como ISO/IEC

27001 e ISO/IEC 27002, RISK IT, COBIT, etc., que establecen determinadasreglas y estndares que sirven de gua para esta gestin.

1.3 OBJETIVO GENERAL DEL PROYECTO DE TESIS

El objetivo general del presente proyecto de fin de carrera es analizar y disear un

sistema de gestin de seguridad de informacin, basado en la norma ISO/IEC

27001:2005 para una empresa dedicada a la produccin y comercializacin de

alimentos de consumo masivo.


11/69

11

1.4 OBJETIVOS ESPECIFICOS DEL PROYECTO DE TESIS

OE1: Inventariar los procesos de negocio, los procesos de tecnologas de

informacin (TI) que dan soporte a los esos proceso de negocio y finalmente los

activos relacionados con estos procesos.

OE2: Identificar y analizar los riesgos de seguridad de informacin de los

principales procesos identificados, aplicando la metodologa MAGERIT.

OE3: Elaborar el sistema de gestin de seguridad de informacin (SGSI) en base a

la norma ISO/IEC 27001:2005 para el SGSI que se quiere disear, y elegir los

controles basndose en la norma ISO/IEC 27002.

OE4: Documentar el SGSI de acuerdo a la norma ISO 27001.

1.5 RESULTADOS ESPERADOS DEL PROYECTO DE TESIS

RE1: El inventariado de procesos principales del negocio. Este resultado se

verificar con el documento en s, y con la relacin de los procesos, ms

importantes de la empresa, sobre los que se trabaj. (Relacionado con el OE 1).

RE2: Matriz de riesgos, cuyo propsito es determinar y entender qu procesos sonesenciales para la continuidad de las operaciones, calcular su posible impacto y los

tiempos mximos tolerables de interrupcin as como sus tiempos estimados de

recuperacin. Para ello se realiza el anlisis de riesgos, que puedan impactar en

estos procesos, mediante el mtodo Magerit(Metodologa de Anlisis y Gestin de

Riesgos de IT)que sirve para realizar los pasos delineados del anlisis de riesgos

pero siguiendo una serie de pasos determinados y concretados. (Relacionado con

el OE2)

RE3: Documento con la declaracin de aplicabilidad de la norma ISO 27001 para el

SGSI que se quiere disear. Se verifica con el documento en s. (Relacionado con

el OE3)

RE4: Documentacin obligatoria exigida por la norma ISO 27001 para implantar un

SGSI. (Relacionado con el OE4)
http://www.csi.map.es/csi/pg5m20.htmhttp://www.csi.map.es/csi/pg5m20.htmhttp://www.csi.map.es/csi/pg5m20.htmhttp://www.csi.map.es/csi/pg5m20.htmhttp://www.csi.map.es/csi/pg5m20.htm


12/69

12

1.6 ALCANCE Y LIMITACIONES

Este proyecto tiene un alcance y limitaciones determinado que permite acotar el

anlisis y diseo del SGSI para la empresa productos de alimentos. El alcance y las

limitaciones del proyecto se describen a continuacin.

1.6.1 Alcance

El alcance del presente proyecto de fin de carrera, abarca el diseo del SGSI,

basado en la norma ISO/IEC 27001:2005 y est dirigido a procesos, activos,

riesgos, y dems consideraciones, de una empresa de produccin y

comercializacin de productos de consumo masivo. El trabajo cubrir todos

aquellos aspectos a tener en cuenta en relacin a estndares, procedimientos,

normas y medidas que empleen tecnologa que permitan asegurar las principales

caracterstica que debe tener la informacin que son integridad, disponibilidad y

confidencialidad en sus estados de proceso, almacenamiento y transmisin y

auditabilidad.

El alcance del proyecto abarca solo el proceso considerado principal para el

negocio e importante para la continuidad del negocio que tenga con mayor impacto.

Este proceso es el de Produccinque como ya se mencion anteriormente abarca

cuatro subprocesos que son Planificacin de produccin, Manufactura de

producto, Calidad de producto y Bodegas e Inventarios. Ms adelante, en el

Captulo 2, en la parte del anlisis del SGSI se detalla esto procesos.

1.6.2 Limitaciones

Las principales limitaciones del proyecto son:

Este proyecto de de tesis consistir solo en el anlisis y diseo del SGSIbasado en la norma ISO 27001, pero no abarca la parte de la

implementacin del SGSI dentro de una empresa.

El proyecto plantea algunos controles, que sern indispensables para

proteger los activos de informacin ms importantes de la empresa, pero si

cambia alguna regulacin a nivel nacional, la cual le exija a la empresa

muchos controles extras, el SGSI no podr abarcar esa necesidad

contractual que tendra la organizacin.


13/69

13

1.7 METODOS Y PROCEDIMIENTOS

La norma ISO 27001:2005 ha sido desarrollada con el fin de servir como modelo

para el establecimiento, implementacin, seguimiento y mejora de un SGSI en

cualquier tipo de organizacin basndose en sus propios objetivos y requerimientosde seguridad y usando adems, los controles sugeridos en la norma ISO/IEC 27002

[1].

Para este proyecto y para el producto final del mismo, que es la implementacin del

SGSI, se usara la metodologa del ciclo de Deming (Plan-Do-Check-Act), y para el

anlisis de riesgo se usara la metodologa MAGERIT II, las cuales se presentan a

continuacin dimensionadas al proyecto.

1.7.1 Ciclo de Deaming (Plan-DO-CHECK-OUT)

A continuacin en la Tabla 1-1 se muestra en una tabla los aspectos considerados

en cada etapa del ciclo de Deaming, para el proyecto y para el SGSI.

ETAPAACCIONES

SGSI PROYECTO

PLANEAR

Establecer poltica, objetivos,procesos yprocedimientos SGSI relevantespara manejar el riesgo y mejorarla seguridad de lainformacin para entregarresultadosen concordancia con laspolticas y objetivos

generales de la organizacin.

Definir el problema a resolver,la forma en que se buscararesolverlo, definir el objetivogeneral y objetivos especficos,definir el alcance y laslimitaciones que tendr elproyecto de tesis, realizar laplanificacin temporal delproyecto y elegir los mtodos y

procedimientos que seemplearan.

HACERImplementar y operar la poltica,controles, procesos yprocedimientos SGSI.

Desarrollo del proyecto,documentar y controlar lasacciones realizadas, levantarinformacin, implementacin delSGSI para el tipo de empresaseleccionada, etc.


14/69

14

CHEQUEAR

Evaluar y, donde sea aplicable,medir el desempeodel proceso en comparacin conla poltica, objetivos

y experiencias prcticas SGSI yreportar losresultados a la gerencia para surevisin.

Luego de desarrollado eimplementado el SGSI, volver arevisar los datos obtenidos yanalizarlos, comparndolos con

los objetivos especficosiniciales, para evaluar si se hanobtenido los resultadoesperados.

ACTUAR

Tomar acciones correctivas ypreventivas, basadasen los resultados de la auditorainterna SGSI y larevisin gerencial u otrainformacin relevante, paralograr el mejoramiento continuodel SGSI.

Modificar y corregir algunosaspectos errados encontradosen la etapa anterior, con el finde garantizar que se obtenganlos resultados esperados delproyecto, aplicar mejoras yterminar de documentar todo elproyecto.

Tabla 1-1: PDCA para el Proyecto y el SGSI.

Como este proyecto de fin de carrera solo abarca el anlisis y diseo del SGSI, solo

se tomarn en cuenta las etapas de Planear y Hacer (Plan Do) de la

metodologa, como base el proyecto.

1.7.2 MAGERIT II

Luego para el anlisis y administracin de riesgos necesario para la implementacin

del SGSI, se usara la metodologa MAGERIT II [3].

MAGERIT II es una metodologa para administrar riesgos, que tiene como uno de

sus principales objetivos, el ofrecer un mtodo para analizar los riesgos y ayudar a

descubrir y planificar las medidas oportunas para mantener los riesgos bajo

control [3].

El anlisis de riesgos propuesto por MAGERIT II es una aproximacin metdica que

permite determinar el riesgo siguiendo los siguientes pasos:

Determinar los activos relevantes para la empresa.

Determinar las amenazas a la que estn expuestos aquellos activos.

Estimar el impacto, definido como el dao sobre el activo, si se llega a

concretar la amenaza.


15/69

15

Valorar dichos activos en funcin del coste que supondra para la empresa

recuperarse ante un problema de disponibilidad, integridad o

confidencialidad de informacin.

Valorar las amenazas potenciales.

Estimar el riesgo.

1.8 JUTIFICACION Y VIABILIDAD

A continuacin, se darn algunos puntos claves, que justifican y muestran la

viabilidad de la solucin que se busca desarrollar en el presente proyecto de tesis

para la problemtica mencionada anteriormente. Adems se

1.8.1 Justificacin

Los motivos que justifican por qu el anlisis y desarrollo de un SGSI basado en

ISO 27001 e ISO 27002, es la solucin adecuada para el problema.

Como ya se mencion, cuando se habla de informacin en el mbito

profesional, se refiere a uno de los activos ms importantes que manejan las

empresas como elemento bsico sobre el que fundamentan, realizan y

prestan sus servicios. Por ello la gestin de esta informacin, sea personal,

econmica, estratgica u organizativa cobra una importancia vital para la

consecucin de los objetivos marcados y el buen desarrollo del negocio.

Todas las organizaciones tienen diferentes activos crticos de informacin,

dependiendo del impacto o perjuicio grave que podra tener para la

empresa, el que una persona fsico o jurdico pueda

acceder/obtener/tratar/difundir la misma fraudulentamente o ilcitamente.

En el caso de una empresa del rubro de produccin y comercializacin deproductos alimenticios de consumo masivo, los activos de informacin ms

crticos serian: las marcas de sus productos, informacin relativa a los

productos, clientes, proveedores, personal, mtodo de trabajo, organizacin,

estrategias empresariales, informacin econmica y financiera, etc.

La expectativa de perdidas anuales (ALE) de una empresa, se basa en la

frecuencia y magnitud de probables incidentes de seguridad para esa

organizacin. El ALE terico para una empresa, si no protege su


16/69

16

informacin, es muy alto, ya que cuando los corporativos son atacados, los

costos son enormes y aumentan rpidamente.

Este ao, por ejemplo, las compaas estadounidenses gastaran ms de

130,000 millones de dlares como resultado de filtraciones de informacin,segn el instituto Ponemon, una organizacin de investigacin de seguridad

ciberntica. Eso es ms del triple de los que las compaas gastaron para

combatir filtraciones en el 2006 [16].

Adems como se describi en la problemtica, el instituto Ponemon dice que

cada filtracin de informacin hace que las compaas pierdan el 3,7% de

sus clientes en promedio.

El instituto Ponemon tambin dice que cada filtracin de informacin hace

que las compaas pierdan el 3,7% de sus clientes en promedio. Pero ese

no es el nico costo de la filtracin. Las compaas deben mejorar sus

sistemas y capacitar a su equipo para encontrar y resolver el problema, que

no es nada barato. Despus del robo, las compaas deben informar a sus

clientes que la informacin est en riesgo, y deben gastar incluso ms para

prevenir que vuelva a ocurrir [17].

Las compaas tambin deben pagar por la limpieza tras el ataque; ese

costo suele superar el valor de la informacin robada. Cada documento

robado cost, en promedio, 204 dlares en 2009, 144 de los cuales no

estaban directamente relacionados con la informacin misma [18].

Uno de los aspectos ms importantes es comprender que la informacin

debe ser gestionada, especialmente cuando se trata de proteger redes

corporativas.

La gestin de la informacin, sea personal, econmica, estratgica u

organizativa cobra una importancia vital para la consecucin de los objetivos

marcados y el buen desarrollo del negocio.

Esta importancia de la informacin crea una necesidad de control y gestin

de la seguridad sobre la misma y no solo desde un punto de vista legal en

cuanto a datos personales se refiere, sino con carcter general a toda la

informacin manejada por una compaa, convirtindose en uncomplemento importante y que aporta un componente de confianza y
http://blogs.eset-la.com/laboratorio/category/gestion/http://blogs.eset-la.com/laboratorio/category/gestion/


17/69

17

compromiso ante clientes o terceros ajenos a la empresa. Como ejemplo de

este punto es la cada vez ms aceptada e incluso exigida aplicacin de

normas ISO en la contratacin entre empresas a nivel internacional.

Para eso se tiene un concepto muy importante: Sistema de Gestin deSeguridad de Informacin (SGSI). Un SGSI implica crear un plan de diseo,

implementacin, y mantenimiento de una serie de procesos que permitan

gestionar de manera eficiente la informacin, para asegurar la integridad,

confidencialidad y disponibilidad de la informacin. [2]

Muchas organizaciones creen que implementar un SGSI es demasiado

esfuerzo, y est solo destinado a grandes corporaciones, lo que a veces

termina derivando en un manejo catico o muy minimalista de laadministracin de la seguridad. Sin embargo es posible en algunos casos

aplicar unos pocos principios, en lugar de un SGSI completo, para conseguir

mejoras significativas. Para esto ser necesario olvidar las formalidades del

cumplimiento de una norma, pero sin dejar de seguir sus lineamientos

principales.

Pero desde el punto de vista de la alta gerencia, un SGSI permite obtener

una visin global del estado de los sistemas de informacin sin caer endetalles tcnicos, adems de poder observar las medidas de seguridad

aplicadas y los resultados obtenidos, para poder con todos estos elementos

tomar mejores decisiones estratgicas.

En este proyecto de tesis finalmente, se considera lanorma ISO 27001,que

es la norma ms usada para establecer un correcto SGSI, la cual especifica

los requisitos necesarios para establecer y para certificar un SGSI; y la

norma ISO 27002, la cual describe un cdigo de buenas prcticas para lagestin de la seguridad de la informacin y los controles recomendables

relacionados con la seguridad.

1.8.2 Viabilidad

Aqu se proceder a detallar la viabilidad tcnica y econmica que tiene el

desarrollo del presente proyecto de fin de carrera.
http://blogs.eset-la.com/laboratorio/2010/04/16/la-serie-de-normas-iso-27000/http://blogs.eset-la.com/laboratorio/2010/04/16/la-serie-de-normas-iso-27000/


18/69

18

1.8.2.1 Viabilidad Tcnica

Para la realizacin de este proyecto de tesis, es decir, para el diseo del SGSI se

necesitaran una serie de informaciones, que juntas forman una cadena de accin,

tal como se muestra a continuacin en la Ilustracin 1-2:

Ilustracin 1-2: Escalera de la seguridad de Informacin

Finalmente con la suma de todos los controles planteados permitir administrar, y

disear el SGSI.

1.8.2.2 Viabilidad Econmica

Para el desarrollo de esta tesis, se necesitara adquirir las normas ISO 27001

e ISO 27002. La norma ISO 27001 cuesta $189.00 dlares americanos y la

norma ISO 27002 cuesta $158.00 dlares americanos.

El costo de hora hombre para realizar este proyecto ser de S/180.00

incluido IGV.

Se requerir comprar el libro Diseo de un Sistema de Gestin de

Seguridad de Informacin / ptica ISO 27001:2005. Primera edicin. del

autor Alexander G., Alberto. Cuyo costo es de S/60.00 soles.

Por lo tanto luego de los descrito, se llego a la conclusin que con los medios con

los que se cuenta, es viable y factible poder desarrollar de manara completa y

correcta este proyecto de fin de carrera.


19/69

19

1.9 MARCO CONCEPTUAL

Hay algunas definiciones importantes relacionadas al tema de Gobierno de TI,

seguridad de informacin y SGSI, que son tiles para una mejor comprensin de

este proyecto.

A continuacin en este captulo, se detallara el marco conceptual del tema y se dar

a conocer estado del arte actual de la solucin planteada.

1.9.1 Informacin

Conjunto organizado de datos procesados que constituyen un mensaje que cambia

el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La

informacin ya sea impresa, almacenada digitalmente o hablada, actualmente es

considerada como un activo dentro de las compaas, y que se debe proteger,

mediante soportes de muy distintas formas, ya que es de gran importancia. [1]

1.9.2 Activos de Informacin

Los activos son los recursos que tienen valor o utilidad para la organizacin, sus

operaciones comerciales y su continuidad, necesarios para que la organizacin

funcione y alcance los objetivos que propone su direccin. [3]

En este punto es importante aclarar que es un activo de informacin en el contexto

del ISO 27001:2005. Segn el ISO 17799:2005 (Cdigo de Prctica para la Gestin

de Seguridad de Informacin), un activo de informacin es: [2]

algo a lo que una organizacin directamente le asigna un

valor y, por lo tanto, la organizacin debe proteger.

El ISO 17799:2005 clasifica los activos de informacin en las categoras siguientes:

[2]

Activos de informacin (datos, manuales de usuario, etc.).

Documentos de papel (contratos).[5]

Activos de software (aplicacin, software de sistemas, etc.).

Activos fsicos (computadoras, medios magnticos, etc.).

Personal (clientes, personal).

Imagen de la compaa y reputacin.


20/69

20

Servicios (comunicaciones, etc.).

1.9.3 Gestin de Riesgos

Normalmente las corporaciones, suelen tener muy poco conocimiento del impactoque pueden tener la prdida de los activos de informacin o la imposibilidad para

acceder a sus sistemas. [20]

La gestin de riesgo es un enfoque estructurado para manejar la incertidumbre, es

decir la posibilidad de que ocurra o no un riesgo, para evitar que ocurran

consecuencias no deseadas dado el caso que el riesgo se haga realidad, para ello

se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo,

mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el

riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y

aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que

las posibles prdidas y la posibilidad que se haga presente el riesgo se minimicen.

[7]

En resumen la Gestin de Riesgo es un mtodo para determinar, analizar, valorar y

clasificar el riesgo, para posteriormente implementar mecanismos que permitan

controlarlo.

A continuacin se presentan las definiciones de algunos trminos importantes que

se ven en la gestin de riesgos.

1.9.3.1 Amenazas

En las organizaciones, los activos de informacin estn sujetos a distintas formas

de amenazas.

Una amenaza es todo aquello, ya sea fsico o lgico que puede causar un incidente

no deseado, generando daos materiales o inmateriales a la organizacin y a sus

activos, como la perdida de informacin, o de su privacidad, o bien un fallo en los

equipos fsicos. [5]

Las amenazas conviene clasificarlas por su naturaleza, para as facilitar su

ubicacin. Se tienen seis tipos de amenazas: [2]


21/69

21

Amenazas naturales (inundaciones, tsunamis o maremotos, tornados,

huracanes, sismos, tormentas, incendios forestales).

Amenazas a instalaciones (fuego, explosin, cada de energa, dao de

agua, perdida de acceso, fallas mecnicas).

Amenazas humanas (huelgas, epidemias, materiales peligrosos, problemas

de transporte, prdida de personal clave).

Amenazas tecnolgicas (virus, hacking, prdida de datos, fallas de

hardware, fallas de software, fallas en la red, fallas en las lneas telefnicas).

Amenazas operacionales (crisis financieras, perdida de suplidores, fallas en

equipos, aspectos regulatorios, mala publicidad).

Amenazas sociales (motines, protestas, sabotaje, vandalismo, bombas,

violencia laboral, terrorismo).

Como se puede ver en la Ilustracin 1-3, el origen de las amenazas pueden tener

distintas fuentes que pueden ser accidentales o deliberados.

Ilustracin 1-3: Tipos de Amenazas a la informacin. [2]

1.9.3.2 Vulnerabilidades

Las vulnerabilidades son debilidades de seguridad asociadas con los activos de

informacin de una organizacin. [2]


22/69

22

Es una debilidad en el sistema, aplicacin o infraestructura,

control o diseo de flujo que puede ser explotada para violar

la integridad del sistema (Peltier, 2001).

Las vulnerabilidades organizacionales son debilidades en las

polticas organizacionales o prcticas que pueden resultar en

acciones no autorizadas (Albert y Dorofee, 2003).

Las vulnerabilidades pueden clasificarse en las siguientes categoras:

Seguridad de los recursos humanos (falta de entrenamiento en seguridad,

carencia de toma de conciencia en seguridad, falta de mecanismos de

monitoreo, falta de polticas para el uso correcto de las telecomunicaciones,

no eliminar los accesos al trmino del contrato de trabajo, carencia de

procedimiento que asegure la entrega de activos al trmino del contrato de

trabajo, empleados desmotivados).[4]

Control de acceso (Segregacin inapropiada de redes, falta de poltica sobre

escritorio y pantalla limpia, falta de proteccin al equipo de comunicacin

mvil, poltica incorrecta para control de acceso, password sin modificarse).

[4]

Seguridad fsica y ambiental (control de acceso fsico inadecuado a oficinas,salones y edificios, ubicacin en reas sujetas a inundaciones, almacenes

desprotegidos, carencia de programas para sustituir equipos, mal cuidado

de equipos, susceptibilidad de equipos a variaciones de voltaje). [4]

Gestin de operaciones y comunicacin (complicadas interfaces para

usuarios, control de cambio inadecuado, gestin de red inadecuada,

carencia de mecanismos que aseguren el envo y recepcin de mensajes,

carencia de tareas segregadas, carencia de control de copiado, falta de

proteccin en redes pblicas de conexin). [4]

Mantenimiento, desarrollo y adquisicin de sistemas de informacin

(proteccin inapropiada de llaves criptogrficas, polticas incompletas para el

uso de criptografa, carencia de validacin de datos procesados, carencia de

ensayos de software, documentacin pobre de software, mala seleccin de

ensayos de datos). [4]


23/69

23

1.9.3.3 Impacto

El impacto en un activo es la consecuencia sobre ste de la materializacin de una

amenaza. De forma dinmica, es la diferencia en las estimaciones del estado de

seguridad del activo antes y despus de la materializacin de la amenaza sobreste. [3]

La Ilustracin 1-4 muestra la relacin entre impacto y amenaza.

Ilustracin 1-4: Relacin entre impacto y Amenazas.

1.9.3.4 Riesgos

El riesgo es la posibilidad de que se produzca un impacto determinado en un activo,

en un dominio o en toda la organizacin.

En el clculo del riesgo tiene gran influencia la evaluacin del impacto, que es unproceso difcil. El nivel del riesgo depende de la vulnerabilidad y del impacto.

El proceso de identificacin y evaluacin de riesgos y el de clasificacin de

activos- permite determinar qu tan expuestos se encuentran los activos de

informacin a ataques por la presencia de vulnerabilidades propias o inherentes a la

actividad de la organizacin.

Existen muchas clasificaciones para tipificar los riesgos, una de ellas es la que

aparece en [ISACA, 2011]:


24/69

24

Riesgo inherente: existencia de un error material o significativo sin un control

compensatorio.

Riesgos de control: existencia de un error que no pueda ser detectado por el

sistema de controles establecido.

Riesgos de deteccin: mal uso de procedimientos de deteccin de errores

por parte de un auditor, que lleven a indicar que no existen errores donde si

los haya.

Riesgos de negocio.

Otros riesgos generales propios de la naturaleza de la auditora.

1.9.3.5 Controles

Son las polticas, procedimientos, prcticas y estructuras organizacionales parareducir riesgos y que adems proveen cierto grado de certeza de que se alcanzaran

los objetivos del negocio.

Existen varias formas de establecer controles sobre riesgos organizacionales. La

siguiente es la presentada por [ISACA, 2011]:

Disuasivos: su presencia disuade de la comisin de acciones en contra de

alguna poltica o procedimiento establecido y considerado correcto. Porejemplo: cmaras de vigilancia.

Preventivos: detectan problemas antes que ocurran por medio de monitoreo

constante. Por ejemplo: polticas de contratacin.

Detectivos: detectan y reportan los problemas suscitados por errores u

omisiones, en el momento en que stos ocurren. Por ejemplo: Uso de

antivirus.

Correctivos: minimizan el impacto de una amenaza ya consumada. Por

ejemplo: Planes de contingencia. Propios de cada rea administrativa yoperativa de las organizaciones.

1.9.4 Gobierno Corporativo

El gobierno corporativo puede ser entendido como: El proceso mediante el cual, el

consejo de administracin de una entidad asegura el logro sostenido de sus

objetivos, as como la proteccin de su patrimonio y de los intereses de todos sus

stakeholders (grupos de inters social), a quienes debe ofrecer transparencia en las

prcticas de administracin y control de la entidad.[3]


25/69

25

1.9.4.1 Gobierno de TI

El gobierno de TI es parte integral del gobierno corporativo heredando todas sus

caractersticas generales. Es una estructura de relaciones y proceso que brinda

direccin a la empresa con el fin de alcanzar los objetivos de negocio con unaadecuada implementacin de los procesos de TI en su interior, generando valor a

travs de TI, logrando gestionar adecuadamente los riesgos de TI. [3][5]

El gobierno de TI es responsabilidad de la junta de directores y gerencia de una

organizacin. [6]

El gobierno de TI nace por la creciente importancia que la tecnologa de la

informacin tiene en las organizaciones, tanto por su capacidad de generar valor,

como por el potencial impacto de los riesgos relacionados con su empleo. [3]

Los objetivos del gobierno de TI podran resumirse de la siguiente forma: [3]

Crear valor para la organizacin mediante el empleo de tecnologa de la

informacin.

Preservar el valor creado mediante la adecuada administracin de riesgos

relacionados con la tecnologa de informacin.

De acuerdo con el marco COBIT, el propsito el gobierno de TI es dirigir las

iniciativas y recursos de tecnologa de la informacin para asegurar lo

siguiente:

Que la TI este alineada con la estrategia de la organizacin y que genere los

beneficios que fundamentan su aplicacin.

Que la TI capacite a la organizacin para aprovechar sus oportunidades y

maximizar sus beneficios.

Que los recursos de TI sean utilizados de manera responsable en beneficio

de la organizacin.

Que los riesgos relacionados con TI sean administrados de manera

adecuada.

En la Ilustracin 1-5 se muestra parte del esquema de relaciones dentro de las

reas foco del Gobierno de TI:


26/69

26

Ilustracin 1-5: Esquema de relaciones dentro de las reas del Gobierno de TI.

En la actualidad, es casi imposible cuestionar la importancia de la informacin y los

sistemas y recursos informticos que la procesan y distribuyen. Como prueba de

esto se tiene a rpida y amplia aceptacin que ha tenido el concepto de Gobierno

de TI. [3]

Sin embargo, adems de los beneficios que trae consigo el uso de las TI, se ha

generado tambin una gran dependencia de las empresas y organizaciones con

respecto al empleo de tecnologa de la informacin. Se puede afirmar que existe

una relacin directa entre e nivel de utilizacin de las TI y el nivel de dependencia

de la empresa. [3]

1.9.4.1.1 Alcance del gobierno del TI

El objetivo principal del gobierno de TI es llevar a cabo proyectos de

implementacin y uso de tecnologas de informacin como soporte a las actividades

crticas y que le pueda brindar de alguna manera a la Alta direccin la garanta de

que la infraestructura tecnolgica que tiene el negocio va a permitir lograr los

objetivos principales del mismo. [5]

Analizando los aspectos vistos en la Ilustracin 1-5 anterior:


27/69

27

Alineacin estratgica: alinear la tecnologa a los objetivos

organizacionales, para que respondan como reales soportes.

Gestin de riesgos:el uso de tecnologas de informacin trae consigo una

serie de riesgos a los procesos en donde estn brindando soporte. La

gestin de riesgos permitir identificarlos, manejarlos, y reducir el impacto

que presentaran sobre los procesos mismos y los activos de informacin

involucrados.

Entrega de valor:optimizar las inversiones de TI.

Gestin de recursos: se debe procurar el uso racional de los recursos

asignados a las funciones de TI.

1.9.4.1.2 Beneficios del gobierno del TI

Tener establecido un adecuado gobierno de TI en las organizaciones, que este

sincronizacin con el negocio permite mantener ordenadas las labores de la

gerencia de Sistemas / Informtica / TI. [5]

ISACA [ISACA, 2010b] seala que los beneficios ms destacados de un buen

gobierno de TI son:

Confianza de la alta direccin.

Sensibilidad a las necesidades del negocio.

Aseguramiento de los retornos de las inversiones de TI.

Prestacin de servicios ms confiables.

Mayor transparencia en el manejo de gerencia de TI.

1.9.4.2 Seguridad de Informacin

Est caracterizada por la preservacin de los siguientes aspectos: [6]

i. Confidencialidad:Asegurando que la informacin seas accesible solo por

aquellos que estn autorizados.

ii. Integridad: Salvaguardando la exactitud de la informacin en su

procesamiento, as como su modificacin autorizada.

iii. Disponibilidad:asegurando que los usuarios autorizados tengan acceso a

la informacin y a los activos asociados cuando sea requerido.


28/69

28

Es importante aclarar una importante diferencia, que La seguridad de TI o

Seguridad Informtica se ocupa de la salvaguarda de la tecnologa y de la

informacin contenida en ellas, mientras que la seguridad de informacin se ocupa

de los riesgos, beneficios y procesos involucrados en la manipulacin de la

informacin dentro de la organizacin, independientemente de cmo sea creada,

manejada, transportada o almacenada. [5]

Por otro lado la Seguridad Computacional, es un trmino ms general que abarca

una gran rea de computacin y procesamiento de la informacin. La seguridad

computacional no se limita solo al hardware y software, tambin le compete el uso

adecuado de las instalaciones donde se manejan, es decir, implementar polticas de

seguridad que regulen el transito del personal, maquinaria e insumo en la empresa,

contemplar medidas de contingencia en caso de catstrofes, etc. [7]

1.9.4.3 Gobierno de la Seguridad de Informacin

El gobierno de la seguridad de la informacin es un conjunto de responsabilidades y

prcticas que deben ser ejercidas por la alta direccin de las organizaciones para

ayudar a dirigir y guiar de forma adecuada, eficiente y responsable todos los

aspectos que estn relacionados con todos los activos de informacin del negocio

para as poder lograr cumplir los objetivos estratgicos del negocio.

1.9.4.3.1 Principios bsicos para un eficaz gobierno de Seguridad de

Informacin

Algunos principios bsicos son: [NCSP, 2009]

Los directores generales (Alta direccin) deben evaluar, al menos una vez al

ao, la seguridad de informacin y los resultados de los programas

implantados, para luego reportarlo a la instancia correspondiente.

La organizacin como tal, debe actualizar su anlisis de riesgos relativo a la

seguridad de informacin con cierta periocidad, revisando que las polticas y

procedimientos estn implementado de acuerdo a esas valoraciones de

riesgos en aras e proteger los activos de informacin.

Las organizaciones y los responsables designados deben desarrollar planes

para cubrir aspectos tales como seguridad en redes, relativa al hardware e

incluso seguridad en el desarrollo mismo de sistemas de informacin.


29/69

29

Los responsables deben establecer continuos procesos de capacitacin y

concientizacin en temas relativos a la seguridad de informacin.

Deben estar claramente definidos los procesos y equipos encargados de

tomar las acciones correctivas para resolver cualquier incidente de

seguridad.

La organizacin procurara la aplicacin de estndares internacionales y

buenas prcticas para medir el desempeo de la seguridad de informacin.

1.9.4.3.2 Polticas de Seguridad de Informacin

Son estndares aplicables a todo nivel de la organizacin, desde la Alta Gerencia,

pasando por los usuarios hasta el personal tcnicos que velan por el salvaguarda

de los activos de informacin pero buscando mantener un balance adecuado entreel proceso de controlar (costo y esfuerzo para establecer y monitorear controles) y

la productividad (los controles no deben complicar la labor de los usuarios de TI).

Son documentos de alto nivel que revelan la filosofa corporativa y el pensamiento

estratgico de la organizacin.

1.9.4.3.3 Procedimientos de Seguridad de Informacin

Son documentos detallados que explican la manera de implementar las polticas de

seguridad previamente establecidas. Estos procedimientos declaran los procesos

de negocio y los controles integrados de cada uno de ellos, en lo referente a la

seguridad de TI; convirtindose en una traduccin efectiva de las polticas.

1.9.5 Sistema de gestin de seguridad de informacin (SGSI)

Para empezar, hay algunos pasos que debera seguir una empresa para proteger

sus activos de informacin. Primero se deben identificar los activos de informacin

que tienen un impacto significativo en el negocio, luego hacerles a cada uno un

anlisis y evaluacin de los riesgos y finalmente decidir cules son las alternativas

adecuadas para tratar el riesgo a implantar para minimizar las posibilidades de que

las amenazas puedan causar dao y no penetren a la organizacin.[2]

Estos pasos que se han descrito son las acciones que un SGSI busca instaurar en

una empresa.

El SGSI es una forma sistemtica de administrar la informacin sensible de unainstitucin, para que permanezca segura. Abarca a las personas, los procesos y las


30/69

30

tecnologas de informacin. La forma total de la seguridad de la informacin, y la

integracin de diferentes iniciativas de seguridad necesitan ser administradas para

que cada elemento sea completamente efectivo. Aqu es donde entra el Sistema de

Gestin de Seguridad de la Informacin que permite coordinar esfuerzos de

seguridad con mayor efectividad. [6]

1.9.6 Normas ISO sobre gestin de seguridad de la informacin

Una norma es un documento cuyo uso es voluntario y que es el fruto del consenso

de las partes interesadas y que deben aprobarse por un Organismo de

Normalizacin reconocido. [4]

El ISO es un organismo internacional que se dedica a desarrollar reglas de

normalizacin en diferentes mbitos, entre ellos la informtica. [4]

El IEC es otro organismo que publica normas de estandarizacin en el campo de la

electrnica. [4]

La serie de normas ISO/IEC 27000 se denomina Requisitos para la especificacin

de sistemas de gestin de la seguridad de la informacin (SGSI), proporciona un

marco de estandarizacin para la seguridad de la informacin para que sea

aplicado en una organizacin o empresa y comprende un conjunto de normas sobre

las siguientes materias:

Sistema de gestin de la seguridad de la informacin.

Valoracin de riesgos.

Controles.

Esta serie de normas comprenden un conjunto de normas relacionadas con la

seguridad de la informacin cuyo objetivo es que una empresa que apliquecorrectamente estas normas, pueda estar apta para certificar ISO.

En la serie de normas comprenden ISO 27000 los rangos de numeracin

reservados por ISO van del 27000 al 27019 y del 27030 al 27044.

Entre las normas de la familia ISO 27000, existen las siguientes:


31/69

31

1.9.6.1 ISO/ IEC 27000

Este ISO bsicamente contiene una visin general de las normas de la serie y un

conjunto de definiciones y trminos necesarios para comprender y aplicar la serie.

1.9.6.2 ISO/ IEC 27001

Este ISO sustituye a la ISO/ IEC 17799-1, abarca un conjunto de normas

relacionadas con la seguridad informtica. Se basa en la norma BS 7799-2 de

British Estndar, otro organismo de normalizacin.

Esta norma es la principal de la serie, y segn ella la seguridad de la informacin es

la preservacin de la confidencialidad, integridad y disponibilidad, as como de los

sistemas implicados en el tratamiento de la informacin.

Esta norma tiene como finalidad proporcionar un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestin

de seguridad de informacin (SGSI). [8]

La norma ISO/IEC 17799 proporciona un lineamiento de implementacin que se

puede utilizar cuando se van a disear los controles de seguridad.

El SGSI debe ser dinmico para adaptarse a las nuevas necesidades y objetivos de

la organizacin, as como nuevos requerimientos de seguridad segn la naturaleza

de los procesos, el tamao y estructura de la organizacin. [8]

La norma ISO/ IEC 27001:2005 promueve la adopcin de un enfoque del proceso

para la gestin de seguridad de la informacin, es decir el manejo de varias

actividades interrelacionadas para transformar entradas (inputs) en resultados

(outputs). [8]

Esta norma est alineada con las normas ISO/ IEC 9001:2000 e ISO/ IEC

14001:2004 y se aplica a todos los tipos de organizaciones, grande o pequea y de

cualquier parte del mundo y est diseada para que el SGSI asegure la seleccin

adecuada y proporcione los controles de seguridad que protejan los activos de

informacin y den confianza a las partes interesadas. La norma es particularmente

interesante si la proteccin de la informacin es crtica, como en finanzas, sanidad

sector pblico y tecnologa de la informacin (TI).


32/69

32

ISO/ IEC /IEC 27001 tambin es muy eficaz para organizaciones que gestionan la

informacin por encargo de otros, por ejemplo, empresas de subcontratacin de TI.

Puede utilizarse para garantizar a los clientes que su informacin est protegida.

1.9.6.3 ISO/ IEC 27002

Esta norma se corresponde con la ISO/ IEC 17799, y que describe un cdigo de

buenas prcticas para la gestin de la seguridad de la informacin y los controles

recomendables relacionados con la seguridad.

Se debe tener en cuenta que la norma ISO/ IEC 27002 es una gua para conocer

que se puede hacer para mejorar la seguridad de la informacin, expone una serie

de apartados a tratar en relacin a la seguridad, los objetivos de seguridad a

perseguir, una serie de consideraciones (controles) a tener en cuenta para cada

objetivo y un conjunto de sugerencias para cada uno de estos controles; mientras

que en la norma ISO/ IEC 27001 se habla de los controles de forma residual, no

forma parte del cuerpo principal de la norma, lo ms importante en esta norma es la

gestin de la seguridad, en forma de Sistema de Gestin. [9]

1.9.6.4 ISO/ IEC 27003

Esta norma contiene bsicamente una gua para el diseo e implementacin

exitosa de un SGSI de acuerdo con el ISO/IEC 27001:2005.

Aqu se describe el proceso de especificacin y diseo del SGSI desde el inicio

hasta la elaboracin de planes de implementacin, describe el proceso de obtener

la aprobacin de la gestin para implementar un SGSI, define un proyecto para

implementar un SGSI, y proporciona orientacin sobre como planificar el proyecto

de SGSI, lo que resulta en un plan de ejecucin final del proyecto SGSI. [10]

1.9.6.5 ISO/ IEC 27004

La norma internacional ISO/IEC 27004:2009 proporciona orientacin sobre el

desarrollo y usos de las medidas y la medicin a fin de evaluar la eficacia de un

SGSI y los controles o grupos de controles, tal como se especifica en la norma

ISO/IEC 27001.

Esto incluira la poltica, la gestin de informacin de riesgos de seguridad, objetivos

de control, controles, procesos y procedimientos, y apoyar el proceso de su


33/69

33

revisin, lo que ayuda a determinar si alguno de los procesos o los controles del

SGSI debe ser cambiado o mejorado. Hay que tener en cuenta que ninguna medida

de control puede garantizar una seguridad total. La aplicacin de este enfoque

constituye un Programa de Medicin de Seguridad de la Informacin.

1.9.6.6 ISO/ IEC 27005

La norma ISO/IEC 27005:2008 es una gua para la gestin de riesgos de seguridad

de la informacin, de acuerdo con los principios ya definidos en otras normas de la

serie 27000.

Sustituye (y actualiza) las partes 3 y 4 de la norma ISO/ IEC TR 13335 (Tcnicas

para la gestin de la seguridad IT y Seleccin de salvaguardas, respectivamente) y

se convierte en la gua principal para el desarrollo de las actividades de anlisis y

tratamiento de riesgos en el contexto de un SGSI. [12]

Constituye, por tanto, una ampliacin del apartado 4.2.1 de la norma ISO/ IEC

27001, en el que se presenta la gestin de riesgos como la piedra angular de un

SGSI, pero sin prever una metodologa especfica para ello. [12]

Para un mejor entendimiento de esta norma es necesario conocer las normas

ISO/IEC 27001 y la norma ISO/IEC 27002.

1.9.6.7 ISO/ IEC 27006

El ISO/IEC 27006:2007 es una norma internacional que especifica los requisitos y

proporciona orientacin para organismos que presten servicios de auditora y

certificacin de un sistema de gestin de seguridad (SGSI), adems de los

requisitos que figuran dentro de la ISO / IEC 17021 e ISO / IEC 27001. [13]

1.9.6.8 ISO/ IEC 27007

El ISO/IEC 27007:2011 es un estndar internacional que proporciona orientacin

sobre la gestin de un programa de auditora de un SGSI, sobre la realizacin de

las auditoras, y en la capacidad de los auditores, adems de las orientaciones

contenidas en la norma ISO/ IEC 19001. [14]


34/69

34

Esta norma internacional es aplicable a aquellos que necesitan comprender o

realizar auditoras internas o externas de un SGSI o para administrar un programa

de auditora de SGSI.

1.9.6.9 ISO/ IEC 27008

El ISO/IEC TR 27008:2011 (E) es un informe tcnico que proporciona una gua en

la revisin de la implementacin y operacin de los controles, incluyendo la

comprobacin de la conformidad tcnica de los controles de los sistemas de

informacin, en conformidad con los estndares de seguridad de informacin

establecidos en una organizacin. [15]

Este informe tcnico se puede aplicar a organizaciones de todo tipo y tamao, ya

sean empresas pblicas o privadas, entidades gubernamentales y organizaciones

sin fines de lucro.

Este informe tcnico no est diseado para la gestin de las auditorias de sistemas.

1.10 REVISION DEL ESTADO DEL ARTE

Existen varias normas internacionales que rigen las condiciones en el manejo

seguro de informacin y la importancia de aplicar un SGSI en las organizaciones.

Las principales y ms usadas son las que pertenecen a la familia de la ISO/ IEC

27000, las cuales describimos al final del marco terico del presente documento.

Ahora entraremos con ms detalle en la principal norma de esta familia, la ISO/IEC

27001:2005, ya que esta norma se puede aplicar a cualquier tipo de organizacin,

sin importar su tamao ni actividad principal, por lo tanto nos servira como gua

para poder desarrollar un SGSI para una empresa de produccin de alimentos de

consumo masivo, que es el objetivo de este proyecto de fin de carrera.

1.10.1 ISO/IEC 27001:2005

El Origen de esta norma es britnico, recin en octubre del ao 2005, la

Organizacin Internacional para la Normalizacin (ISO) la oficializ como norma.

A la fecha, existen dos documentos utilizados para implantar un SGSI en las

organizaciones:


35/69

35

ISO/IEC 17799:2005, Cdigo de prctica de Seguridad en la Gestin de la

informacin. Este modelo da recomendaciones para buenas prcticas. No

puede utilizarse para la certificacin. [2]

ISO/IEC 27001:2005, Especificaciones para la Gestin de Sistema de

Seguridad de Informacin. Este modelo es el que permite implantar un

SGSI en las empresas y se utiliza para la certificacin. [2]

El ISO/ IEC 27001:2005 es el nico estndar aceptado internacionalmente para la

gestin de la seguridad de la informacin, aplica a todo tipo de organizaciones, sin

importar el tamao o su actividad.

Este estndar internacional ha sido desarrollado para proporcionar un modelo para

establecer, implementar, operar, monitorear, revisar, mantener y mejorar unSistema de Gestin de Seguridad de la informacin.

1.10.1.1 Alcance del Modelo

Segn el estndar, el propsito del modelo, es a travs de sus controles de

seguridad, reducir las posibilidades de que los activos de informacin sean

afectados por amenazas externas o internas.

1.10.1.2 Aplicacin

El estndar indica que el modelo se ha creado para ser aplicable a toda clase de

organizacin, sin importar su tipo, el tamao y la naturaleza del negocio.

El estndar indica tambin que si algunos de sus requerimientos no pueden ser

aplicados debido al tipo de organizacin, se puede considerar el requerimiento para

su exclusin.

Para que estas exclusiones sean validas, no podrn afectar la capacidad y/o la

responsabilidad de la organizacin a fin de proporcionar seguridad en la

informacin que satisfaga los requerimientos de seguridad determinados por la

evaluacin de riesgos. [2]

1.10.1.3 Naturaleza del Estndar

El estndar sigue un enfoque de procesos basado en el ciclo Deming del clebre

Plan-Do-Check-Act.


36/69

36

El modelo est basado en un enfoque racional para su desempeo y su

perfeccionamiento en el tiempo. Primero se exige que el modelo siga una serie de

prerrequisitos para que se establezca, a travs de la fase denominada plan. Luego

de establecido el modelo se implementa y opera, siguiendo las lineamientos de la

fase do. Luego que el modelo se ha implantado y est funcionando, se debe

monitorear y revisar durante la fase Check.

Por ltimo, con lo observado en la fase Do se procede a actuar y tomar los

correctivos necesarios.

En la Ilustracin 1-6 se presenta lo que se ha explicado:

Ilustracin 1-6: Diagrama de fases del PDCA. [2]

El proceso de certificacin es la generacin de un informe firmado por parte de un

tercero (ajeno a la organizacin) que define que, de acuerdo con su criterio

personal, dicha organizacin cumple o no cumple con los requerimientos

establecidos en la normativa. [15]

Una certificacin es importante para que una organizacin pueda mostrar al

mercado que cuenta con un adecuado sistema de gestin de la seguridad de

informacin. Una empresa certificada no implica que ya no tenga riesgos de


37/69

37

seguridad de la informacin, sino que tienen un adecuado sistema de gestin de

dichos riesgos y proceso de mejora continua. [15]

Evidentemente, el paso previo a intentar la certificacin es la implantacin en la

organizacin del sistema de gestin de seguridad de la informacin segn ISO/ IEC27001. Este sistema deber tener un historial de funcionamiento demostrable de al

menos tres meses antes de solicitar el proceso formal de auditora para su primera

certificacin.

ISO/ IEC 27001 exige que el SGSI contemple los siguientes puntos:

Implicacin de la Direccin.

Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin.

Metodologa de evaluacin del riesgo.

Identificacin de amenazas, vulnerabilidades e impactos.

Anlisis y evaluacin de riesgos.

Seleccin de controles para el tratamiento de riesgos.

Aprobacin por parte de la direccin del riesgo residual.

Declaracin de aplicabilidad.

Plan de tratamiento de riesgos.

Implementacin de controles, documentacin de polticas, procedimientos e

instrucciones de trabajo.

Definicin de un mtodo de medida de la eficacia de los controles y puesta

en marcha del mismo.

Formacin y concienciacin en lo relativo a seguridad de la informacin a

todo el personal.

Monitorizacin constante y registro de todas las incidencias.

Realizacin de auditoras internas.

Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del

propio SGSI y de su alcance.

Mejora continua del SGSI.

Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al

menos 3 meses, se puede pasar a la fase de auditora y certificacin, que se

muestra en la ilustracin 1-7 y se desarrolla de la siguiente forma:


38/69

38

Solicitud de la auditora por parte del interesado a la entidad de certificacin

y toma de datos por parte de la misma.

Respuesta en forma de oferta por parte de la entidad certificadora.

Compromiso.

Designacin de auditores, determinacin de fechas y establecimiento

conjunto del plan de auditora.

Pre-auditora: opcionalmente, puede realizarse una auditora previa que

aporte informacin sobre la situacin actual y oriente mejor sobre las

posibilidades de superar la auditora real.

Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que

se trata del anlisis de la documentacin por parte del Auditor Jefe y la

preparacin del informe de la documentacin bsica del SGSI del cliente,

destacando los posibles incumplimientos de la norma que se verificarn en

la Fase 2. Este informe se enva junto al plan de auditora al cliente. El

periodo mximo entre la Fase 1 y Fase 2 es de 6 meses.

Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se

revisan in situ las polticas, la implantacin de los controles de seguridad y la

eficacia del sistema en su conjunto. Se inicia con una reunin de apertura

donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y

recursos necesarios, as como posibles cambios de ltima hora. Se realizauna revisin de las exclusiones segn la Declaracin de Aplicabilidad

(documento SOA), de los hallazgos de la Fase 1, de la implantacin de

polticas, procedimientos y controles y de todos aquellos puntos que el

auditor considere de inters. Finaliza con una reunin de cierre en la que se

presenta el informe de auditora.

Certificacin: en el caso de que se descubran durante la auditora no

conformidades graves, la organizacin deber implantar acciones

correctivas; una vez verificada dicha implantacin o, directamente, en elcaso de no haberse presentado no conformidades, el auditor podr emitir un

informe favorable y el SGSI de organizacin ser certificado segn ISO/ IEC

27001.

Auditora de seguimiento: semestral o, al menos, anualmente, debe

realizarse una auditora de mantenimiento; esta auditora se centra,

generalmente, en partes del sistema, dada su menor duracin, y tiene como

objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.


39/69

39

Auditora de re-certificacin: cada tres aos, es necesario superar una

auditora de certificacin formal completa como la descrita.

Ilustracin 1-7: Proceso de auditora de un SGSI. [15]


40/69

40

1.10.2 Empresas certificadas en la norma ISO/IEC 27001

En la actualidad existen a nivel mundial aproximadamente, 7686 empresas

certificadas en la norma ISO/IEC 27001, como se muestra en la tabla.

Como se puede ver en la tabla 1-2, el pas con mayor cantidad de empresas

certificadas es Japn con 4004, seguido muy de lejos por la UK, India y China con

536, 527 y 507 certificaciones respectivamente.

Japan 4004 Croatia 21 Gibraltar 3

UK 536 Slovenia 20 Macau 3

India 527 Bulgaria 18 Qatar 3

China 507 Iran 18 Albania 2

Taiwan 456 Philippines 15 Argentina 2

Germany 202 Pakistan 14 Bosnia Herzegovina 2

Korea 106 Saudi Arabia 14 Cyprus 2

Czech Republic 110 Vietnam 14 Isle of Man 2

USA 104 Iceland 13 Kazakhstan 2

Italy 81 Indonesia 13 Luxembourg 2

Spain 75 Colombia 11 Macedonia 2

Hungary 70 Kuwait 11 Malta 2

Poland 62 Norway 10 Ukraine 2Malaysia 58 Portugal 10 Mauritius 2

Thailand 48 Sweden 10 Armenia 1

Austria 44 Canada 9 Bangladesh 1

Ireland 44 Russian Federation 9 Belarus 1

Romania 35 Switzerland 9 Denmark 1

Hong Kong 32 Bahrain 8 Ecuador 1

Greece 31 Egypt 5 Jersey 1

Australia 29 Oman 5 Kyrgyzstan 1

Singapore 29 Peru 5 Lebanon 1Mexico 27 Sri Lanka 5 Moldova 1France 26 Dominican Republic 4 New Zealand 1Slovakia 26 Lithuania 4 Sudan 1Turkey 26 Morocco 4 Uruguay 1Brazil 24 South Africa 4 Yemen 1UAE 20 Belgium 3

Netherlands 22 Chile 3 Total 7686

Tabla 1-2: Nmero de empresas certificadas en ISO/ IEC 27001 [16]


41/69

41

Se puede ver tambin que en el Persolo hay 5 empresasque estn certificadas

en esta norma a travs de IRCA, las cuales se muestran en la Tabla 1-3 siguiente.

Adicionalmente, la Oficina de Normalizacin Previsional ONPtambin ha obtenido

recientemente la certificacin, constituyndose en la primera institucin del Estatal

Peruana en alcanzarla.

Tabla 1-3: Nmero de empresas en el Per certificados en ISO/ IEC 27001 [16]

Adems segn la II encuesta Latinoamericana de seguridad de la informacin

(ACIS 2010) que se llevo a cabo en el 2010 se obtuvo como resultado que las

empresas estaban invirtiendo en seguridad de informacin de manera ms

equitativa con respecto a todas los tpicos de seguridad que est presente dentro

de la organizacin, como se muestra en la Ilustracin 1-8:


42/69

42

Ilustracin 1-8 Inversiones en Seguridad de Informacin

Adems tambin se obtuvo como resultado que en el ao 2010 estaban

aumentando las empresas que tenan sus polticas de seguridad formales, escritas,

documentadas e informadas a todo el personal, pero que an haban muchas que

no tenan siquiera una poltica de seguridad documentada, como muestra el

siguiente Ilustracin 1-9.

Ilustracin 1-9 Poltica de Seguridad de la Informacin por Empresa

Por ltimo en este congreso se obtuvo como resultado tambin que an seguan

predominando en el mercado, empresas y personas que no tenan ningn tipo de

certificacin en seguridad de informacin, como muestra la Ilustracin 1-8:

Ilustracin 1-10 Certificaciones de Seguridad por Empresa


43/69

43

Las principales conclusiones de este congreso fueron:

Latinoamrica sigue una tendencia de la inversin en seguridad concentrada

en temas perimetrales, las redes y sus componentes, as como la proteccin

de datos crticos. El poco entendimiento de la seguridad de la informacin y la falta de apoyo

directivo, no pueden ser excusas para no avanzar en el desarrollo de un

sistema de gestin de seguridad.

Si bien estn tomando fuerza las unidades especializadas en delito

informtico en Latinoamrica, es necesario continuar desarrollando

esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la

industria, para mostrarles a los intrusos que estamos preparados para

enfrentarlos.

1.11 DISCUSION SOBRE LOS RESULTADOS DEL ESTADO DEL ARTE

Como se puede apreciar en las tablas mostradas en las figuras 3.1 y 32, en la

actualidad no hay empresas en el pas del rubro de produccin de alimentos de

consumo masivo que estn certificadas en la norma ISO/IEC 27001:2005, y por

ende no cuenta con un correcto SGSI implantado.

Es por eso que el motivo de este proyecto de fin de carrera, busca analizar y

disear un SGSI adecuado, para que se pueda implementar en una empresa del

rubro indicado, adecundose a las necesidades y caractersticas de la informacin

de este tipo de organizaciones.


44/69

44

CAPTULO 2 NALISIS DEL SGSI.

2.1 ALCANCE DEL SGSI

Para poder definir el alcance de un SGSI se deben identificar dentro de los

procesos con los que cuenta la empresa aquellos considerados como core para el

negocio y delimitar as el SGSI en base a ellos 1. Una vez identificados, deben

definirse los servicios de TI y activos de informacin involucrados en el soporte a

dichos procesos para luego realizar el correspondiente anlisis de riesgos.

Los procesos crticos son aquellos que proporcionan el mayor valor a la empresa;

es decir, son la parte principal del negocio. Son procesos que de no existir o no

funcionar con una regularidad controlada, la empresa no podra alcanzar sus metas

y sus objetivos. Por ende, la proteccin y continuidad de estos procesos es

fundamental para cualquier organizacin.

1Algunos especialistas recomiendan a las empresas que recin comienzan a tomar en serioel tema de la seguridad y desea establecer un SGSI, que consideren uno de los procesoscrticos de negocios y no la totalidad. Posteriormente y como parte de la mejora continua

exigida por la metodologa PDCA aplicable a dichos sistemas, se puede ir incorporando alresto de procesos core.


45/69

45

En el presente proyecto de tesis, para identificar el proceso crtico del negocio se

tuvo que realizar un levantamiento de informacin que permita documentar de

forma adecuada alproceso de producciny sus subprocesos involucrados debido a

que en el caso de las empresas de produccin y comercializacin de productos

alimenticios de consumo masivoser el ms importante. .

Este proceso de que abarca cuatro subprocesos a seguir:

Planificacin de Produccin.

Proceso de manufactura.

Calidad de producto.

Bodegas e inventarios

2.1.1 Descripcin del proceso de Produccin

El proceso de produccin es un conjunto de acciones, esfuerzos de todos los

servicios y ocupaciones profesionales que se encuentran relacionadas con el fin de

transformar ciertos elementos, incrementar su valor y as obtener un producto final

deseado. [21]

En el caso de la empresa en estudio, las entradas que se van a transformar seran

las materias primas como harina, trigo, azcar, qumicos, etc. Y el producto final

serial el alimento empaquetado que ir destinado a la venta.

Para la obtencin de los productos finales sern necesarias gran cantidad de

operaciones individuales, que en conjunto completan todo el flujo de proceso hasta

obtener el resultado esperado. Para apoyar cada una de estas operaciones es

necesaria la participacin de varios tipos de tecnologa, tanto software como

hardware. El proceso de produccin abarca desde el planeamiento de la produccin

hasta el almacenaje e inventario de los productos. A continuacin se muestra el

flujo completo de este proceso:


46/69

46

Ilustracin 2-1: Flujo completo de Proceso de Produccin

2.2 OBJETIVO GENERAL DEL SGSI

Garantizar la seguridad y continuidad de los activos de informacin crticos que

participan en el proceso de produccin y sus subprocesos (planeamiento de la

produccin, calidad, produccin, bodegas e inventarios) de la empresa productora

de alimentos, sobre la base del anlisis de riesgos que haya llevado a cabo la

organizacin.


47/69

47

2.3 OBJETIVOS ESPECIFICOS DEL SGSI

Los siguientes son los objetivos del sistema de gestin de seguridad de

informacin:

Garantizar una adecuada clasificacin de la informacin relevante que se

maneja en el proceso de produccin de la empresa, ofreciendo guas para

su clasificacin y anlisis.

Realizar el anlisis y la gestin de los riesgos de los activos involucrados en

el proceso de produccin y sus subprocesos.

Definir los controles que garanticen una adecuada seguridad fsica y

ambiental de los activos de informacin ms relevantes que participan en el

proceso de produccin, mediante el aseguramiento del permetro en dondese encuentran alojados los activos y segn los planteamientos del anexo A

de la ISO/ IEC 27001 (ISO/ IEC 27002).

Definir los controles que permitan garantizar una adecuada gestin de las

comunicaciones y operaciones relacionadas al proceso de produccin

siguiendo los planteamientos del anexo A de la ISO/ IEC 27001 (ISO/ IEC

27002).

Definir los controles que permitan garantizar una adecuada gestin de

cambios, seguridad de redes, segregacin de funcionalidades, gestin de

servicios brindados por terceros, intercambio de informacin interna o

externa.

Elaborar toda la documentacin exigida por la norma ISO/ IEC 27001 para

el SGSI entre las que destacan: Alcance del SGSI, polticas del SGSI,

Metodologa empleada para evaluar el riesgo, Informe del anlisis de

riesgos, plan de tratamiento d riesgos, procedimientos, declaracin de

aplicabilidad.

2.4 METODOLOGA

La parte ms importante para el diseo del SGSI, es el anlisis y gestin de riesgos

de los activos de informacin que estn involucrados dentro el proceso o procesos

que abarca el alcance del SGSI.

En este caso, para realizar el anlisis de riesgos de los procesos que abarco el

alcance del SGSI, se uso como metodologa base a MAGERIT II.


48/69

48

MAGERIT II es una metodologa de anlisis y gestin de riesgos, la cual permite

llevar a cabo:

El anlisis de riesgos de cualquier tipo de sistema de informacin o de sus

elementos, conjuntando en un ndice nico (el riesgo) las estimaciones desus vulnerabilidades ante las amenazas y del impacto o grado de perjuicio

que una seguridad insuficiente puede tener para la organizacin. [3]

La gestin de los riesgos, basada en los resultados obtenidos en el anlisis

anterior, seleccionando las medidas o salvaguardas (controles) de

seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los

riesgos identificados y as reducir al mnimo su potencialidad o sus posibles

prejuicios. [3]

Esta metodologa propone para el anlisis de riesgos las 4 etapas siguientes:

La etapa 1, Planificacin del anlisis y gestin de riesgos, establece las

consideraciones necesarias para arrancar el proyecto de anlisis y gestin

de riesgos.

La etapa 2, Anlisis de riesgos, permite identificar y valorar las entidades

que intervienen en el riesgo.

La etapa 3, Gestin de riesgos, permite identificar las funciones o serviciosde salvaguarda reductores del riesgo detectado.

La etapa 4, Seleccin de salvaguardas, permite seleccionar los mecanismos

de salvaguarda que hay que implementar.

El anlisis de riesgos de este proyecto abarco las etapas 2, 3 y 4. La etapa 1 fue

desarrollada en cierta manera en el captulo 1 de este proyecto.


49/69

49

CAPTULO 3 DISEO DEL SGSI.

Para realizar el diseo del SGSI, se realiz primero el anlisis y gestin de riesgos

del los activos que estn involucrados en los procesos de la empresa.

Luego de este anlisis se redact la declaracin de aplicabilidad (SOA, Statement

of Applicability) donde se detallo los controles relevantes y aplicables al alcance del

SGSI que se est diseando en este proyecto, en funcin de las conclusiones

obtenidas de proceso de evaluacin y gestin de riesgos. Con el anlisis de la

aplicabilidad terminado se realiz el planteamiento de salvaguardas (controles) para

cada riesgo identificado en los activos de la empresa, abarcando solo los controles

especificados en el SOA.

Para finalizar se plantearon los planes de implementacin de los controles

seleccionados para cada uno de los riesgos identificados, y adems se redactaron

las polticas y procedimientos ms relevantes para el SGSI.

3.1 ANLISIS Y GESTIN DE RIESGOS

El anlisis y gestin de riesgos es la base de la planificacin de los proceso de

auditora, para determinar las vulnerabilidades de los activos de informacin de las


50/69

50

empresas y as, clasificarlos por su criticidad. Tambin facilita implantar los

controles necesarios para tratar dichos riesgos asociados a los activos. [5]

Como se mencion, para el anlisis y gestin de riesgos de este proyecto se baso

en la norma MAGERIT II, la cual cuenta con 4 etapas. Los resultados obtenidos encada una de las etapas de plasmaron en diferentes, las cuales se muestran en los

anexos de este documento.

En las distintas tablas se manejan las siguientes columnas:

A continuacin se muestra como de desarrollo las etapas 2, 3 y 4 de la

metodologa MAGERIT para el anlisis de riesgos en este proyecto de fin de

carrera:

Sub - Proceso

Id de Activo

Descripcin del activo

Caractersticas del Activo

Vulnerabilidades

Amenazas

Riesgos

Prioridad

Gravedad de impacto

Tipo de impacto

Descripcin del impacto

Tratamiento del riesgo

Controles


51/69

51

3.1.1 Etapa 2: Anlisis de Riesgos

Como primera actividad de esta etapa, se procedi a levantar la informacin

necesaria para poder realizar el anlisis. Luego de ese levantamiento de

informacin y su anlisis se decidi enfocarnos en el proceso de producciny sus 4subprocesos (planificacin, manufactura, calidad, bodegas) para poder realizar el

anlisis de riesgos ya que se considero que es el proceso ms importante para la

continuidad del negocio.

Como segunda actividadse procedi a identificar los activos involucrados en cada

subproceso y sus caractersticas. Para cada activo identificado se asigno un cdigo

o Id. comprendido de 3 letras, dependiendo del tipo de activo que era, ms un

numero correlacionado, as los tipos de cdigos usados fueron:

Para mostrar esta informacin se realizaron unas tablas, las cuales se presentan

en el ANEXO 1 de este documento. En estas tablas se presentan 5 columnas, las

cuales se describen a continuacin:

Activo del tipo sistema de informacin ointerfaz.SIS

Activo del tipo documento fisico o digital coninformacin importante.DOC

Activo del tipo software con informacinimportante.SW

Activo del tipo hardware que maneja

informacin importante.HWActivo del tipo fisico ubicado dentro de laempresa.AF

Subproceso (Columna 1)

En esta columna se muestra cada uno de los subprocesos del proceso deproduccin, a los que le vamos a realizar el anlisis de riesgos de sus activos.

Id. de Activo (Columna 2)

En esta columna se le asigna un cdigo de identificacin a cada activoencontrado, el cual no servir mas adelante para referenciar al activo en lasdems tablas.


52/69

52

Como tercera activ idaddentro de esta etapa se procedi a analizar e identificar las

vulnerabilidades intrnsecas de los activos descritos anteriormente y las amenazas

respectivas que podran explotar estas vulnerabilidades y causar dao o afectar la

continuidad del negocio.

La vulnerabilidad de un activo es la potencialidad o posibilidad de que se

materialice una amenaza sobre dicho activo, forma parte del estado de seguridad

del activo. Las amenazasson los eventos que pueden desencadenar un incidente

en la organizacin, produciendo daos materiales o prdidas inmateriales en sus

activos.

Para mostrar esta informacin se realizaron otras tablas, las cuales se presentan

en el ANEXO 2 de este documento. En estas tablas se presentan 5 columnas, las

cuales se describen a continuacin:

Descripcin del Activo (Columna 3)

En esta columna se muestra el nombre de cada activo encontrado.

Caractersticas (Columna 4)

En esta columna se listan las principales caracte

espinoza hans analisis sistema gestion seguridad informacion iso iec 27001 2005 comercializacion...

Documents