implementación de un modelo de seguridad informática en un
TRANSCRIPT
Implementación de un modelo de seguridad informática en un sistema de
monitoreo para los canales de comunicaciones y Datacenter en la empresa Atento
SA
AUTORES:
XIOMARA MAYERLI MACIAS MENDEZ
JOSE LUIS DUEÑAS JUEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELECOMUNICACIONES
BOGOTÁ D.C. – 2015
IMPLEMENTACIÓN DE UN MODELO DE SEGURIDAD INFORMÁTICA EN
UN SISTEMA DE MONITOREO PARA LOS CANALES DE
COMUNICACIONES Y DATACENTER EN LA EMPRESA ATENTO SA
XIOMARA MAYERLI MACIAS MENDEZ
Código: 20131273028
JOSE LUIS DUEÑAS JUEZ
Código: 20122273004
MONOGRAFÍA PARA OPTAR AL TITULO
DE INGENIERIA EN TELECOMUNICACIONES
DIRECTOR DE PROYECTO:
Ing. JOSÉ DAVID CELY
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELECOMUNICACIONES
BOGOTÁ D.C. – 2015
PAGINA DE APROBACIÓN
Observaciones
___________________________________________
___________________________________________
___________________________________________
___________________________________________
__________________________________
Ing. José David Cely Callejas
Director Del Proyecto
__________________________________
Ing. Giovani Mancilla Gaona
Jurado
Fecha de Presentación: Octubre de 2015
DEDICATORIA
En primera instancia a Dios, por acompañar nuestro camino e iluminarlo en los momentos de
lucidez y dificultad.
A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su ejemplo el
valor del esfuerzo.
A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza.
A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr llegar a la
meta que nos hemos propuesto.
A la empresa Atento S.A. por su apoyo incondicional, profesional y personal en la realización de
este proyecto.
CONTENIDO
1. INTRODUCCIÓN .................................................................................................................. 1
2. DESCRIPCION DEL PROYECTO ....................................................................................... 2
2.1. Objetivos .......................................................................................................................... 2
2.1.1. General ...................................................................................................................... 2
2.1.2. Específicos ................................................................................................................ 2
2.2. Alcance y limitaciones ..................................................................................................... 2
2.2.1. Alcance ..................................................................................................................... 2
2.2.2. Limitantes ................................................................................................................. 3
3. GENERALIDADES ............................................................................................................... 4
3.1. MARCO CONCEPTUAL ................................................................................................ 4
3.1.1. Definiciones .............................................................................................................. 4
3.2. MARCO TEORÍCO ......................................................................................................... 6
3.2.1. Seguridad informática ............................................................................................... 6
3.2.2. Plan Do Check Act.................................................................................................... 6
3.2.3. Principios de la seguridad de la información ............................................................ 7
3.2.4. MAGERIT (MAGUERIT, 2012)............................................................................ 10
3.2.5. Política de seguridad (Nozaki & Tipton, 2011) ...................................................... 11
3.3. ANTECENDENTES ...................................................................................................... 15
3.4. MARCO LEGAL ........................................................................................................... 18
3.4.1. Reglamentación a nivel internacional ..................................................................... 18
3.4.2. Reglamentación a nivel Nacional ........................................................................... 19
3.5. METODOLOGÍA .......................................................................................................... 20
4. DISEÑO METODOLOGICO DEL PROYECTO ................................................................ 22
4.1. Análisis de riesgos:......................................................................................................... 22
4.1.1. Selección de parámetros ......................................................................................... 22
4.1.2. Análisis de Activos ..................................................................................................... 25
4.1.3. Identificación de Amenazas........................................................................................ 26
4.1.4. Análisis de Amenazas: ................................................................................................ 26
4.1.5. Impacto Potencial ....................................................................................................... 27
4.1.6. Riesgo Residual .......................................................................................................... 27
4.2. Gestión de riesgos .......................................................................................................... 29
4.2.1. Análisis de los controles ISO/IEC 27002:2013 ...................................................... 30
4.2.2. Evaluación de estado actual .................................................................................... 40
4.2.3. Declaración de aplicabilidad ................................................................................... 42
5. PLAN DE ACCIÓN ............................................................................................................. 44
5.1. Cierre brechas ................................................................................................................. 44
5.2. Plan de trabajo certificación ........................................................................................... 45
5.3. Política de seguridad para los sistemas de información de Atento SA .......................... 47
5.3.1. Objetivo................................................................................................................... 47
5.3.2. Requerimientos organizacionales: .......................................................................... 48
5.3.3. Comunicación: ........................................................................................................ 48
5.4. Diseño de la infraestructura lógica de interconectividad ............................................... 49
5.4.1. Seguridad Lógica: ................................................................................................... 49
5.4.2. Topología de Red Segura: ....................................................................................... 49
5.4.3. Zonificación ............................................................................................................ 50
5.4.4. Red de Acceso......................................................................................................... 50
5.4.5. Red Desmilitarizada ................................................................................................ 50
5.4.6. Red Militarizada...................................................................................................... 51
5.4.7. Red Interna .............................................................................................................. 51
5.4.8. Pautas para la interconectividad de Zonas .............................................................. 52
5.4.9. Flujo de Datos ......................................................................................................... 53
5.4.10. Barreras de Seguridad: ........................................................................................ 54
5.4.11. Alta Disponibilidad en Firewall: ......................................................................... 55
5.4.12. VLAN´s: .............................................................................................................. 55
6. ETAPA DE PREPRODUCCION ......................................................................................... 56
6.1. Solicitud de Equipos: ..................................................................................................... 57
6.2. Proceso de Configuración: ............................................................................................. 57
7. RESULTADOS..................................................................................................................... 64
7.1. Etapa análisis de riesgos ................................................................................................. 64
7.2. Gestión de riesgos .......................................................................................................... 65
7.3. Gestión de riesgos .......................................................................................................... 67
8. CONCLUSIONES ................................................................................................................ 68
9. BIBLIOGRAFÍA .................................................................................................................. 69
10. REFERENCIAS ................................................................................................................. 70
LISTA DE FIGURAS
Figura 1. Sistema de gestión de la seguridad de la información ..................................................... 7
Figura 2.Principios básicos de la seguridad de la información ....................................................... 8
Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos .............................................. 10
Figura 4. Etapas en el desarrollo de una política .......................................................................... 13
Figura 5. I Solution modeling ....................................................................................................... 17
Figura 6. Identificación y valoración de Activos .......................................................................... 25
Figura 7. Identificación de Amenazas .......................................................................................... 26
Figura 8. Análisis de Amenazas .................................................................................................... 27
Figura 9. Riesgo Residual ............................................................................................................ 29
Figura 10. Dominios de control .................................................................................................... 30
Figura 11: Nivel de cumplimiento ISO27001 ............................................................................... 43
Figura 12. Diseño esquema de conexiones ................................................................................... 53
Figura 13. Esquema Multihomed .................................................................................................. 54
Figura 14. Configuración del usuario local ................................................................................... 58
Figura 15. Encriptación del directorio de usuario ......................................................................... 58
Figura 16. Configuración IP LAN ................................................................................................ 59
Figura 17. Configuración IP LAN 2 ............................................................................................. 59
Figura 18. Configuración usuario administrador de la herramienta de monitoreo. ...................... 60
Figura 19. Interfaz Web Nagios .................................................................................................... 61
Figura 20. Configuración de roles para usuarios nuevos .............................................................. 61
Figura 21. Cambio de contraseña por los mismos usuarios .......................................................... 62
Figura 22 Política Firewall de conexión a la DMZ ....................................................................... 62
Figura 23 Política Firewall de conexión hacia la MZ ................................................................... 63
Figura 24: Dimensiones afectadas por amenazas ......................................................................... 64
Figura 25: Frecuencia Vs impacto ................................................................................................ 65
Figura 26: Nivel de cumplimiento ISO27001 ............................................................................... 66
Figura 27 Reporte vulnerabilidades .............................................................................................. 67
LISTA DE TABLAS
Tabla 1 Valor Cuantitativo de Activos ......................................................................................... 22
Tabla 2: Probabilidad de ocurrencia de un evento ........................................................................ 23
Tabla 3: Relación de impacto ........................................................................................................ 23
Tabla 4: Dimensiones de Seguridad .............................................................................................. 24
Tabla 5: Tipos de Activos ............................................................................................................. 24
Tabla 6: Tipos de Amenazas ......................................................................................................... 25
Tabla 7: Análisis de brechas ......................................................................................................... 41
Tabla 8 Cronograma de ejecución ................................................................................................ 46
Tabla 9 Modelo de conexión entre zonas ...................................................................................... 52
RESUMEN
En este este proyecto se realizó la creación de una política de seguridad con el fin de
establecer medidas para la protección de la información en la empresa Atento SA. A lo
largo del desarrollo del proyecto se realizaron análisis de activos informáticos vs la
seguridad de los mismos. En primera instancia se realizó el análisis de riesgos, donde se
identificaron los activos y el valor de los mismos, la identificación de amenazas, la
evaluación de impacto y la clasificación de riesgos que pudiesen causar dichas
amenazas. Enseguida se realizó el tratamiento de los riesgos, donde se identificaron los
controles de seguridad existentes en la empresa tomando como referencia la norma
ISO/IEC 27001:2013, ya que es objetivo de Atento SA certificarse en esta norma, se
identificó la situación actual y las brechas de seguridad. Con el proceso de investigación
dentro de la empresa se lograron obtener todos los datos necesarios para dar paso al
diseño de la política de seguridad y establecer el modelo de implementación que fue
remitido al comité de seguridad de Atento SA para su respectiva revisión y aprobación.
Como siguiente paso se realizó el diseño de conexión entre redes tanto externas como
internas de la compañía y por último se realizó la implementación de una herramienta de
seguridad aplicando las medidas de seguridad correspondientes.
1
1. INTRODUCCIÓN
En la actualidad el uso de los sistemas de información tiene una gran demanda dado el
incremento de servicios tecnológicos en las diferentes ramas de la industria y con ello también
el aumento de problemas de seguridad, afectando activos esenciales como la información. Es
necesario que las empresas se concienticen de la importancia de proteger la integridad de los
datos que manejan, puesto que el dejar de lado el tema podría incurrir en deterioro de la
información degradando los servicios y generando pérdidas económicas.
Teniendo en cuenta lo anterior es necesario contar con estrategias y medidas de seguridad de la
información, con el fin de garantizar el funcionamiento adecuado de todos los sistemas y dado
el caso de alguna amenaza y/o ataque que impliquen la pérdida de información, se apliquen los
procedimientos correctivos necesarios.
El propósito de asegurar la información consiste en hacer que los riesgos sean conocidos,
asumidos, gestionados y minimizados por la empresa. Realizando la documentación de tal
forma que sea estructurada, eficiente y ajustable a cambios, estas características deben primar en
el entorno de cualquier entidad moderna, que incorpore a su gestión las tecnologías de la
información y que este respaldada sobre una infraestructura tecnológica con amplio grado de
integración de redes, comunicaciones y sistemas de información.
El desarrollo de este proyecto permitirá que los administradores de la infraestructura tecnológica
tomen conciencia de la necesidad de una política de seguridad correctamente estructurada, que
permita la prevención de fallas y en caso dado atención optima de las mismas. Adicionalmente
se debe resaltar la importancia de la divulgación de la política de seguridad a todo el personal
vinculado con la empresa, ya que de ello depende su cumplimiento y la disminución de las
penalizaciones impuestas en las auditorías realizadas por los diferentes clientes a los que Atento
presta sus servicios.
2
2. DESCRIPCION DEL PROYECTO
2.1. Objetivos
2.1.1. General
Implementar un modelo de seguridad informática en un sistema de monitoreo para los
canales de comunicaciones y Datacenter en la empresa Atento SA.
2.1.2. Específicos
Identificar las posibles problemáticas de seguridad informática que pueden surgir en el
desarrollo de los procesos realizados en el Datacenter de la empresa.
Diseñar la infraestructura lógica de interconectividad
Diseñar políticas de seguridad y modelo de implementación de las mismas.
2.2. Alcance y limitaciones
2.2.1. Alcance
Este proyecto comprende el diseño de una política de seguridad orientada al cumplimiento de
los controles de la norma ISO/IEC 27001:2013 dirigida a procesos, activos y riesgos que
pertenecen al área de TI en la empresa Atento SA. Este proyecto contempla la etapa de diseño
de la política de seguridad, por lo tanto depende de la empresa llevar a cabo su implementación.
Como prototipo, se realizó la implementación de una herramienta de monitoreo para los
equipos del Datacenter aplicando los ítems establecidos en la política de seguridad creada. De
igual forma abarca el diseño de infraestructura lógica de interconectividad enfocado al uso de
esta herramienta con la opción de ser aplicado para el uso de otros servicios relacionados con el
área Tecnológica.
Los valores monetarios de los activos establecidos en el análisis no son los valores comerciales,
se establece el valor que considera la empresa, de acuerdo los procesos o servicios que maneja.
3
2.2.2. Limitantes
Este proyecto no contempla la implementación de la política de seguridad, se entrega la
respectiva documentación a las directivas con el fin de que sea aprobada y ejecutada por el área
que considere.
Los activos relacionados en los análisis no representan la totalidad de los activos de la empresa,
pero si los que se consideran importantes en el área de TI.
Los controles de la norma ISO/IEC 27002:2013 serán planteados solo si hay riesgos que
justifiquen un control en particular, de lo contrario sería tomado como una pérdida de tiempo y
dinero.
4
3. GENERALIDADES
3.1. MARCO CONCEPTUAL
A continuación se darán algunas definiciones importantes, útiles para una mejor comprensión
de este proyecto.
3.1.1. Definiciones
- Activos de información: Los activos son los recursos que tienen valor o utilidad para la
organización, sus operaciones comerciales y su continuidad, necesarios para que la
organización funcione y alcance los objetivos que propone su dirección.
- Amenaza: Es todo aquello, ya sea físico o lógico que puede causar un incidente no
deseado, generando daños materiales o inmateriales a la organización y a sus activos,
como la perdida de información, o de su privacidad, o bien un fallo en los equipos físicos.
- Análisis de riesgos: Uso sistemático de la información para identificar fuentes y estimar
el riesgo.
- Confidencialidad: Acceso a la información por parte únicamente de quienes estén
autorizados. (Característica por la que la información no está disponible o revelada a
individuos, entidades o procesos no autorizados).
- Controles de seguridad: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido. También utilizado como sinónimo de salvaguarda o
contramedida.
- Declaración de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organización además de la justificación tanto de su selección como de la
exclusión de controles incluidos en el anexo A de la norma.
- Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. (Característica de permanecer
accesible y disponible para su uso cuando lo requiera una entidad autorizada).
5
- Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a
un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye
la valoración de riesgos y el tratamiento de riesgos.
- Impacto: El coste para la empresa de un incidente que puede o no ser medido en
términos estrictamente financieros ej., pérdida de reputación, implicaciones legales, etc.
- Información: Conjunto organizado de datos procesados que constituyen un mensaje que
cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La
información ya sea impresa, almacenada digitalmente o hablada, es considerada un activo
dentro de las compañías y debe protegerse.
- Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso. (Característica de salvaguardar la exactitud y completitud de los
activos).
- No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad
de información sensible, o representa un riesgo menor.
- No repudio: Es un servicio de seguridad que permite probar la participación de las partes
en una comunicación.
- PDCA: (Plan-Do-Check-Act) Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI),
verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).
- Política de seguridad: Documento que establece el compromiso de la Dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
- Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. (Combinación de la probabilidad
de un evento y sus consecuencias).
- Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
- Seguridad de la información: es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.
6
- SGSI: Sistema de Gestión de la Seguridad de la Información. Parte de un sistema global
de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza,
revisa, mantiene y mejora la seguridad de la información.
- Vulnerabilidad: Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo. (Debilidad de un activo o
conjunto de activos que puede ser explotado por una amenaza).
3.2. MARCO TEORÍCO
3.2.1. Seguridad informática
Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus
socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber
qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los
derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican
cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual
permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se
pide a los empleados que lleven consigo parte del sistema de información fuera de la
infraestructura segura de la compañía.
Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente
ecuación.
Riesgo = (amenaza * vulnerabilidad) / contramedida
3.2.2. Plan Do Check Act
El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés
plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por
Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la calidad (SGC) y los
sistemas de gestión de la seguridad de la información (SGSI).
7
Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de
la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo
los costes, optimizando la productividad, reduciendo los precios, incrementando la participación
del mercado y aumentando la rentabilidad de la empresa u organización. (“Sistema de gestión de
la seguridad de la información,” 2015)
Figura 1. Sistema de gestión de la seguridad de la información
Fuente: Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/
3.2.3. Principios de la seguridad de la información
La seguridad de la información es la protección de los activos de información, contra una gran
variedad de amenazas que existen en el mundo, con el fin de asegurar la continuidad del negocio,
8
minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de una empresa.
Figura 2.
Figura 2.Principios básicos de la seguridad de la información
Fuente: EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.
Se habla regularmente de la Seguridad de la Información y se hace, en muchos casos, dando por
hecho que cada persona es plenamente consciente de lo que implica el término. Indudablemente,
es fácil deducir lo que se habla, pero también es fácil entender que, en un mundo tan técnico y
complejo, en ocasiones la clave se encuentra en saber definir y entender con exactitud el propio
término sobre el que se trabaja. (Mifsud, 2012)
- Confidencialidad: En general el término 'confidencial' hace referencia a "Que se hace o
se dice en confianza o con seguridad recíproca entre dos o más personas."
En términos de seguridad de la información, la confidencialidad hace referencia a la
necesidad de ocultar o mantener secreto sobre determinada información o recursos. El
9
objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la
información. En general, cualquier empresa pública o privada y de cualquier ámbito de
actuación requiere que cierta información no sea accedida por diferentes motivos.
Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de
sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el
mercado puede depender de forma directa de la implementación de estos diseños, y se deben
proteger mediante mecanismos de control de acceso que aseguren la confidencialidad de la
información.
- Integridad: En general, el término 'integridad' hace referencia a una cualidad de 'íntegro'
e indica "Que no carece de ninguna de sus partes."
En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la
información o recursos, se expresa en lo referente a prevenir el cambio impropio o
desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no
autorizadas de la información.
- Disponibilidad: En general, el término 'disponibilidad' hace referencia a una cualidad de
'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista
para usarse o utilizarse."
En términos de seguridad de la información, la disponibilidad hace referencia a que la
información del sistema debe permanecer accesible a elementos autorizados. El objetivo de
la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los
recursos informáticos.
La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores, dependiendo
del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a
otro. (Mifsud, 2012)
10
3.2.4. MAGERIT (MAGUERIT, 2012)
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior
de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en
general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para
el cumplimiento de su misión.
MAGERIT es para todos aquellos que trabajan con información digital y sistemas informáticos
para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT permite saber cuánto valor está en juego y ayuda a protegerlo. Conocer el riesgo al
que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Se persigue una aproximación metódica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad del analista.
Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos
Fuente: ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Consultado Agosto 1, 2015, de
http://www.pmnconsultores.com/ISO31000
11
MAGERIT persigue los siguientes objetivos:
- Directos:
o Concienciar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos.
o Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC)
o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos
bajo control.
- Indirectos:
o Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
3.2.5. Política de seguridad (Nozaki & Tipton, 2011)
Es importante aclarar el término política o estándar o mejor practica o guía o procedimiento,
estos son términos usados en la seguridad informática a diario, pero algunas veces son utilizados
correctamente otras veces no. A continuación se enuncian la definición de los términos
anteriormente mencionados en implementación de políticas.
- Política: La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan
la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo
los objetivos de seguridad informática dentro de la misma. Las políticas de seguridad
definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos
y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una
buena actitud dentro de la organización.
- Estándar: Los estándares de seguridad son una herramienta que apoya la gestión de la
seguridad informática, ya que los ambientes cada vez más complejos requieren de
modelos que administren las tecnologías de manera integral, sin embargo, existen
distintos modelos aplicables en la administración de la seguridad.
12
- Mejor practica: Es una regla de seguridad específica a una plataforma que es aceptada a
través de la industria al proporcionar el enfoque más efectivo a una implementación de
seguridad concreta. Las mejores prácticas son establecidas para asegurar que las
características de seguridad de sistemas utilizados con regularidad estén configurados y
administrados de manera uniforme, garantizando un nivel consistente de seguridad a
través de la organización.
- Guía: Una guía es una declaración general utilizada para recomendar o sugerir un
enfoque para implementar políticas, estándares y buenas prácticas. Las guías son,
esencialmente recomendaciones que deben considerarse al implementar la seguridad.
Aunque no son obligatorias, serán seguidas a menos que existan argumentos
documentados y aprobados para no hacerlo.
- Procedimiento: Los procedimientos definen específicamente cómo las políticas,
estándares, mejores prácticas y guías serán implementados en una situación dada. Los
procedimientos son dependientes de la tecnología o de los procesos y se refieren a
plataforma, aplicaciones o procesos específicos. Son utilizados para delinear los pasos
que deben ser seguidos por una dependencia para implementar la seguridad relacionada a
dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados,
implementados y supervisados por el dueño del sistema. Los procedimientos seguirán las
políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca
como les sea posible y a su vez se ajustaran a los requerimientos, procedimentales o
técnicos establecidos dentro de la dependencia donde ellos se aplican.
Etapas en el desarrollo de una política:
Hay 11 etapas que deben realizarse en la vida de una política. Estas etapas son agrupadas en
cuatro fases:
13
- Fase de desarrollo: Durante esta fase la política es creada, revisada y aprobada.
- Fase de implementación: En esta fase la política es comunicada y acatada (o no cumplida
por alguna excepción).
- Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la
política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se
le debe dar mantenimiento (Actualizarla).
- Fase de eliminación: La política se retira cuando no se requiere más.
Figura 4. Etapas en el desarrollo de una política
Fuente: Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC
Press.
Este proyecto plantea la creación de una política de seguridad y un modelo de implementación
de la misma, por tal motivo a continuación se describe en detalle la guía para la etapa de creación
comunicación, cumplimiento y excepciones:
- Creación: Planificación, investigación, documentación y coordinación de la política.
El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la
redacción de la política o, tomado todo junto, la creación. La creación de una política implica
identificar por qué se necesita la política (Por ejemplo requerimientos legales, regulaciones
14
técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política,
los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la
factibilidad de su implementación. De esta etapa se tendrá como resultado la documentación de
la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la
coordinación con entidades internas y externas que la política afectará, para obtener información
y su aceptación. En general la creación de una política es la función más fácil de entender en el
ciclo de vida de desarrollo de una política.
- Comunicación: Difundir la política:
Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La
comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser
inicialmente difundida a los miembros de la comunidad empresarial o a quienes sean afectados
directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta
etapa implica determinar el alcance y el método inicial de distribución de la política). Debe
planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser
seguido para mejorar la visibilidad de la política.
- Cumplimiento: Implementar la política
La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política.
Implica trabajar con otras personas de la compañía, jefes, dependencias (de división o sección)
para interpretar cual es la mejor manera de implementar la política en diversas situaciones y
oficinas; asegurando que la política es entendida por aquellos que requieren implementarla,
monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto
inmediato de la política en las actividades operativas. Dentro de estas actividades esta la
elaboración de informes a la administración del estado de la implementación de la política.
- Excepciones: Gestionar las situaciones donde la implementación no es posible
Debido a los problemas de coordinación, falta de personal y otros requerimientos operacionales,
no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto,
cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir
a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para
garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para
la aprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la
15
excepción. El proceso también debe permitir excepciones permanentes a la política, al igual que
la no aplicación de la misma por circunstancias de corta duración. (Nozaki & Tipton, 2011)
3.3. ANTECENDENTES
En el área de la seguridad informática se han venido desarrollando en los últimos años diferentes
tipos de aplicaciones e investigaciones con el fin de reducir los riesgos a los que se enfrentan las
empresas y dar soporte a las operaciones del negocio. A continuación se describen algunos de los
avances que han logrado en Colombia en diferentes entidades y/o universidades.
En la Universidad Nacional Mayor de San Marcos, facultad de Ciencias Matemáticas, en el
2003, se desarrolló el proyecto PLAN DE SEGURIDAD INFORMÁTICA PARA UNA
ENTIDAD FINANCIERA. El cual consiste en definir un plan de seguridad para una entidad
financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a
definir las políticas, para finalmente concluir con un plan de implementación o adecuación a las
políticas anteriormente definidas. (Córdoba, 2003)
En la Universidad Tecnológica de Pereira, facultad de ingenierías, programa de ingeniería de
sistemas y computación, en el 2013 se desarrolló el proyecto DISEÑO DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL
LA OFRENDA. El cual diseño un Sistema de gestión de seguridad de la información SGSI,
como parte de un sistema de gestión global basado directamente en los riesgos para el negocio y
los activos del mismo contemplado en la norma ISO 27001:2005, el objetivo primordial fue
ayudar a las empresas a gestionar de una forma eficaz la seguridad de la información evitando
las inversiones mal dirigidas, contrarrestando las amenazas presentes en el entorno y dentro de la
misma, implementación de controles proporcionado y de un coste menos elevado. (Aguirre &
Aristizabal, 2013)
A nivel internacional también se han desarrollado diferentes proyectos e investigaciones en
referencia al área de la seguridad informática que han contribuido al mejoramiento de la
seguridad en las empresas.
16
En la pontificia universidad católica de Perú, facultad de ciencias e ingeniería, en el año 2005, se
realizó el ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA
DE PRODUCCIÓN Y COMERCIALIZACIÓN DE PRODUCTOS DE CONSUMO MASIVO.
Este proyecto se diseñó para el caso de una empresa del rubro de producción y distribución de
alimentos de consumo masivo, este tipo de empresas también tienen la necesidad de proteger la
información. Por ejemplo, en unos de sus principales procesos que es el de producción, está
implicada información de gran importancia para la empresa, como “recetas” de productos,
programación de manufactura, sistemas que se usan, tipos de pruebas de calidad de producto,
etc., la cual debe estar resguardada correctamente para evitar que dicha información se pierda o
caiga en manos indebidas y así garantizar que se logren los objetivos del negocio. Esta tesis
tomó en cuenta los aspectos más importantes de la norma ISO/IEC 27001:2005. (Espinoza,
2013)
En España se realizó un master interuniversitario en seguridad de las tecnologías de la
información y las comunicaciones entre las universidades: Universitat Oberta de Catalunya,
Universidat Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears,
llamado PLAN DE IMPLEMENTACIÓN DE LA NORMA ISO/IEC 27001:2005 en Junio de
2013. Este documento presenta de manera práctica la construcción de un plan de implementación
de la norma ISO/IEC 27001:2005, lo cual es considerado un aspecto clave para cualquier
organización que desee alinear los objetivos del negocio y sus directrices de seguridad en
relación a la normativa internacional. Plantea las bases para la implementación de un Sistema de
Gestión de la Seguridad de la Información (SGSI) desarrollando las fases de documentación
normativa, contextualización de la compañía y definición de la situación actual, análisis de
riesgos, evaluación de nivel de cumplimiento de la norma, propuesta de proyectos que permitan
alcanzar el nivel adecuado de seguridad y el esquema documental. (Aurela & Segovia, 2013)
En la revista internacional de la ingeniería y la tecnología (IJET), en el año 2012, se publicó un
artículo llamado INFORMATION SECURITY CHALLENGE AND BREACHES: NOVELTY
APPROACH ON MEASURING ISO 27001 READINESS LEVEL, este traducido al español es:
Retos y brechas de la seguridad de la información: Enfocado a el nivel de preparación para la
17
norma ISO 27000. Este artículo está orientado al cumplimiento de las normas de seguridad de la
información, da recomendaciones para asegurar toda la información, pues la seguridad de la
información no es sólo una simple cuestión de tener los nombres de usuario y contraseñas. En
realidad la seguridad de la información se convierte en una parte muy importante de los activos
intangibles de la organización. El nivel de confianza de las partes interesadas es el indicador de
desempeño exitoso de la organización. En este trabajo se discutieron los retos y las brechas en
seguridad de la información, con referencia a varias encuestas en el campo de la seguridad de la
información, lo que los llevó a entregar un modelo (llamado modelo solución integrada, modelo
i-solución) para la comprensión de las normas de gestión de seguridad de la información (SGSI)
término y concepto. En este artículo también se describe la implementación una aplicación para
evaluar el nivel de preparación de una organización hacia la norma de seguridad de la
información, ISO 27001. (Susanto, Nabil & Chee, 2012)
Figura 5. I Solution modeling
Fuente: Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches:
novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniería y la tecnología
(IJET)
18
3.4. MARCO LEGAL
3.4.1. Reglamentación a nivel internacional
- A continuación se da una breve descripción sobre ISO/IEC 27000, estándares de
seguridad publicados por la Organización Internacional para la Estandarización (ISO) y
la Comisión Electrotécnica Internacional (IEC). La reglamentación ISO 27000 contiene
las mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los sistemas de Gestión de la Seguridad de
la Información (SGSI). Estos documentos se encuentran en continuo desarrollo y algunos
aún en fase de preparación, compuesta así:
o ISO/IEC 27000: Contiene la descripción general y vocabulario a ser empleado en
toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la
serie y la relación entre los diferentes documentos que la conforman.
o ISO/IEC 27001: “Sistemas de Gestión de la Seguridad de la Información (SGSI).
Requisitos”. Esta norma agrupa los requerimientos de implantación de un SGSI,
esta norma es certificable por entidades externas a la organización. En su Anexo
A, contempla una lista con los objetivos de control y controles que desarrolla la
ISO 27002 (anteriormente denominada ISO 17799).
La ISO 2700:2013 Es la versión más actualizada de esta norma, en este proyecto
trabajaremos con esta con el objeto de responder en todo momento a las
necesidades y exigencias actuales.
o ISO/IEC 27002: Este documento es una guía de buenas prácticas para la gestión
de seguridad la cual describe los objetivos de control y controles recomendables,
se encuentra organizado en 11 dominios, 39 objetivos de control y 133 controles.
o ISO/IEC 27003: Corresponde a una guía de implementación de un SGSI e
Información acerca del uso del ciclo Deming (PDCA). Su propósito principal es
19
orientar hacia una implementación efectiva del modelo de seguridad que se
encuentre acorde con ISO/IEC 27001.
ATENTO SA actualmente no se encuentra certificada en ningún estándar de seguridad
publicado por la Organización Internacional para la Estandarización (ISO), con este proyecto se
identificaron los riesgos a los que están sometidos los activos y/o elementos de trabajo en el área
de tecnología y entregar un modelo de cumplimiento de los principios básicos y requisitos
mínimos para la protección adecuada de la información enfocados en el modelo normativo
ISO/IEC27001:2013 (Anexo A) e ISO/IEC 27002:2013.
3.4.2. Reglamentación a nivel Nacional
A continuación se describen algunos reglamentos vigentes a nivel nacional que influyen directa
o indirectamente en la seguridad informática de las empresas en Colombia
- Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrónico y
Firma Digital: Por medio de la cual se define y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las
entidades de certificación y se dictan otras disposiciones.
Firma digital: Se entenderá como un valor numérico que se adhiere a un mensaje de
datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del
iniciador y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado
después de efectuada la transformación.
El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma
manuscrita, si aquélla incorpora los siguientes atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
20
4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la
firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.
- Ley 1273 de 5 de enero de 2009
La ley 1273 del 5 de enero de 2009, fue creada para sancionar todos aquellos delitos que
van en contra del buen uso de la información y aquellos que irrumpen con la propiedad
privada, la idea de esta ley fue proteger a todas aquellas personas que cuentan con algún
tipo de información financiera y personal.
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos
y de los sistemas informáticos se encuentran:
1. Acceso abusivo a un sistema informático
2. Obstaculización ilegítima de sistema informático o red de telecomunicación
3. Interceptación de datos informáticos
4. Daño Informático
5. Uso de software malicioso
6. Violación de datos personales
7. Suplantación de sitios web para capturar datos personales.
En este sentido, los estándares, las políticas organizacionales, los planes de seguridad y
estrategias de seguridad que adopten las organizaciones deberán estar acordes a la legislación
existente en el país donde pretendan aplicarse para asegurar todos los activos informáticos,
sistemas de información y los datos. (Alcaldía Mayor de Bogotá D.C., 2008)
3.5. Metodología
Después de realizar la investigación de los métodos posibles para abordar el desarrollo de este
proyecto, se identificó que la metodología del Ciclo de Deaming es muy usada en el desarrollo
de proyectos universitarios y empresariales, ya que abarca 4 importantes fases para llevar a cabo
el cumplimiento de los objetivos de forma sistemática y progresiva, logrando un que el
desarrollo del proyecto sea organizado y conciso.
21
Primera etapa, “planificación”. La documentación de esta etapa, se realizó de cierta manera en
el inicio de este documento, al plantar la introducción y objetivos para lograr la resolución de la
problemática.
Segunda etapa, “hacer”. El desarrollo de esta etapa consistió en la elaboración de análisis y la
toma de medidas o acciones de acuerdo a los resultados obtenidos.
Tercera etapa, verificar. Como parte de esta etapa se realizó el proceso de preproducción, donde
se evidencia la implementación de la política y se toman resultados.
Cuarta etapa, actuar. En el ámbito de este proyecto el actuar consistió básicamente en la entrega
de la política de seguridad al comité de seguridad de Atento SA y se complementaría en el caso
de que sea aprobada e implementada.
La necesidad de utilizar un método de análisis y tratado de riesgos que permitiera a la
investigación ser objetiva hacia el entorno IT, llevo a que en este proyecto se utilizara la
metodología de MAGERIT, la cual indica una serie de pautas para realizar los respectivos
análisis de riesgos. Esta metodología permitió realizar el desarrollo de este proyecto en las
siguientes fases:
- Planificación del análisis y gestión de riesgos, establece las consideraciones necesarias
para arrancar el proyecto de análisis y gestión de riesgos. Coincide de cierta manera con
la etapa 1 de la metodología de Deaming.
- Análisis de riesgos, permite identificar y valorar las entidades que intervienen en el
riesgo.
- Gestión de riesgos, permite identificar las funciones o servicios de salvaguarda reductores
del riesgo detectado.
- Selección de protección, permite seleccionar los mecanismos de protección que hay que
implementar. (MAGUERIT, 2012)
22
4. DISEÑO METODOLOGICO DEL PROYECTO
4.1. Análisis de riesgos:
4.1.1. Selección de parámetros
La selección de parámetros se estableció tomando en cuenta lo descrito por la metodología de
MAGERIT
- Valoración de Activos
En la Tabla 1 se muestra el nivel de valor que pueden tomar los activos en la compañía, el
cual inicia desde un valor muy bajo hasta un valor muy alto. Este valor fue tomado en
relación con el costo de cada valor que fue entregado por la empresa:
Tabla 1 Valor Cuantitativo de Activos
Valor Cuantitativo de Activos
MIN Valor
Cualitativo
MAX Valor
Cuantitativo DESCRIPCION
Valor
Cualitativo
>160´000.000 MUY ALTO MA
80´000.000 <150´000.000 ALTO A
40´000.000 <80´000.000 MEDIO MA
20´000.000 <40´000.000 BAJO B
<20´000.000 Muy Bajo MB
- Probabilidad de ocurrencia: En la Tabla 2 se muestra la frecuencia con la que una
amenaza se puede materializar sobre un activo:
23
Tabla 2: Probabilidad de ocurrencia de un evento
Frecuencia (Anualmente)
# Años Descripción Abreviatura # Días Valor
1 Extremadamente
Frecuente EF 1 1
1 Muy Frecuente MF 15 0,06666667
1 Frecuente F 60 0,01666667
1 Poco Frecuente PF 183 0,00546448
1 Muy poco
Frecuente MPF 365 0,00273973
- Relación de impacto: En la Tabla 3 se muestra la relación de impacto desde un valor
cualitativo hasta un valor cuantitativo:
Tabla 3: Relación de impacto
RELACION DE IMPACTO
Valor
Cualitativo Abreviatura
Valor
Cuantitativo
Critico C (80% - 100%]
Alto A (60% - 80%]
Medio M (30% - 60%]
Bajo B [5% - 30%]
- Dimensiones de Seguridad: En la siguiente tabla
- Tabla 4 se muestran 3 dimensiones generales de seguridad de la información (C, I, D) y 2
dimensiones que agrega el modelo de MAGERIT (A, T):
24
Tabla 4: Dimensiones de Seguridad
Dimensiones
Cód.
Dimensión Dimensión
A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad
- Tipos de Activos: En la Tabla 5 se muestran los tipos de activos utilizados en el análisis
de riesgos, planteados por el modelo escogido:
Tabla 5: Tipos de Activos
TIPOS DE ACTIVOS
Cód. Activo Tipo de Activo
I Instalaciones
H Hardware
A Aplicaciones
D Datos
R Redes
S Servicios
P Personal
- Tipos de Amenazas: En la Tabla 6 se muestran los 4 principales grupos de amenazas que
pueden afectar los activos de una empresa:
25
Tabla 6: Tipos de Amenazas
TIPOS DE AMENAZAS
Cód. Amenaza Tipo Amenaza
DN Desastres naturales
IN De origen industrial
EF Errores y fallos no intencionados
AI Ataques intencionados
4.1.2. Análisis de Activos
En esta etapa se identificaron los activos más relevantes para el desarrollo de actividades en el
área de TI. Para cada activo identificado se creó y asigno un código con el fin de referenciarlo
en otros análisis. Se asignaron valores cualitativos (dinerarios), los cuales fueron suministrados
por los administradores de cada segmento que compone el área de TI; estos valores fueron
aproximados y corresponden al valor representativo que tienen para la empresa respecto a su
funcionamiento y servicio que prestan. Tenido en cuenta el valor indicado se asignó un valor
cualitativo (ver Tabla 2) con el fin de obtener un rango específico.
En la Figura 6 se muestra una parte del total de activos identificados y sus respectivos valores,
para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos.
Instalaciones I01 Edificacion 430.000.000 MA
H01 Controlador de dominio principal 70.000.000 M
H02 Controlador de dominio secundario 42.000.000 M
H03 Servidor de Base de Datos 63.000.000 M
H04 Servidor de correo 63.000.000 M
H05 Granja de Servidores Vmware 105.000.000 A
H06 SAP Servers 42.000.000 M
H07 Switch core 91.000.000 A
H08 Switch MPLS 35.000.000 B
H09 Tranceiver fibra principal 42.000.000 M
H10 Switch Firewal 84.000.000 M
H11 Switch Vlans 84.000.000 M
H12 Servidor Firewall 84.000.000 M
H13 Administración Vmware 42.000.000 M
H14 Servidor Web 21.000.000 B
H15 Servidor Archivos 35.000.000 B
H16 FTP, VPN, Terminal Server 21.000.000 B
H17 Servidor Monitoreo Equipos 14.000.000 MB
H18 Servidor Antivirus 35.000.000 B
Tipo de Activo Cod. Activo ActivoValor
Cualitativo
Valor Cuantitativo
(Pesos)
Hardware
Figura 6. Identificación y valoración de Activos
26
4.1.3. Identificación de Amenazas
En esta etapa se clasificaron las amenazas en 4 grupos principales (ver Tabla 7) de acuerdo al
enfoque metodológico de MAGERIT, este método cuenta con un libro adicional (Catalogo de
Elementos) donde describe los diferentes tipos de amenazas que pueden ser aplicados de
acuerdo al tipo de activo que se esté analizando. Al igual que en la etapa anterior, a las
amenazas se les asigno un código identificador y se definieron cuales amenazas son las que
afectan a las 5 dimensiones de seguridad (ver Tabla 5) y cuales afectan los 7 tipos de activos
(ver Tabla 6).
En la Figura 8 se pueden observar 2 de los grupos de amenazas y las amenazas que conforman
cada grupo. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos.
A C I D T I H A D R S P
DN01 Fuego x x x
DN02 Daños por agua x x x
DN03 Otros desastres Naturales x x x
IN01 Fuego x x x
IN02 Daños por agua x x x
IN03 Contaminacion Mecanica x x
IN04 Contaminación electromagnética x x
IN05 Avería de origen físico o lógico x x x
IN06 Corte del suministro eléctrico x x
IN07 Condiciones inadecuadas de temperatura o humedad x x
IN08 Fallo de servicios de comunicaciones x x
IN09 Interrupción de otros servicios y suministros esenciales x x
IN10 Degradación de los soportes de almacenamiento de la información x x
IN11 Emanaciones electromagnéticas x x x
Grupo Cod. Amenaza Amenaza
Dimension
Afectada
Activos Afectados
por Grupo
Desastres
naturales
De Origen
Industrial
Figura 7. Identificación de Amenazas
4.1.4. Análisis de Amenazas:
En esta etapa se relacionaron los activos con las amenazas, a cada activo se asociaron las
amenazas que podrían generar de alguna manera un riesgo, también se estableció la frecuencia
con que cada amenaza puede materializarse en un determinado activo (ver Tabla 3) y se
determinó el impacto que puede causar sobre las diferentes dimensiones de seguridad.
27
En la Figura 10 se puede observar una pequeña parte de análisis, se muestra el código de activo
H01, el cual corresponde al grupo de tipo Hardware, para este activo se asociaron 23 amenazas,
la frecuencia y el impacto sobre cada dimensión. Para consultar la información completa ver
Anexo 1. Etapa de análisis de riesgos.
A C I D T
DN01 Fuego MPF 0,002739 90% 1059993
DN02 Daños por agua MPF 0,002739 80% 942216
DN03 Otros desastres Naturales MPF 0,002739 80% 942216
IN01 Fuego MPF 0,002739 90% 1059993
IN02 Daños por agua MPF 0,002739 80% 942216
IN03 Contaminacion Mecanica MPF 0,002739 70% 824439
IN04 Contaminación electromagnética MPF 0,002739 50% 588885
IN05 Avería de origen físico o lógico MPF 0,002739 60% 706662
IN06 Corte del suministro eléctrico MPF 0,002739 60% 706662
IN07 Condiciones inadecuadas de temperatura o humedad MPF 0,002739 60% 706662
IN11 Emanaciones electromagnéticas MPF 0,002739 50% 588885
EF02 Errores del administrador MPF 0,002739 60% 60% 60% 706662
EF15 Errores de mantenimiento / actualización de equipos (hardware) F 0,016666 60% 4299828
EF16 Caída del sistema por agotamiento de recursos PF 0,0054644 80% 1879753,6
EF17 Pérdida de equipos PF 0,0054644 80% 80% 1879753,6
AI06 Abuso de privilegios de acceso PF 0,0054644 80% 60% 70% 1879753,6
AI07 Uso no previsto MPF 0,002739 60% 60% 60% 706662
AI11 Acceso no autorizado MPF 0,002739 80% 60% 942216
AI15 Modificación deliberada de la información MPF 0,002739 70% 824439
AI23 Manipulación de los equipos PF 0,0054644 60% 60% 1409815,2
AI24 Denegación de servicio MPF 0,002739 70% 824439
AI19 Robo PF 0,0054644 80% 80% 1879753,6
AI20 Ataque destructivo MPF 0,002739 80% 942216
Impacto sobre cada IMPACTO
POTENCIAL
(Pesos)
H01
Controlador
de dominio
principal
Cod. Activo ActivoCod.
AmenazaAMENAZA
Frecuencia
Valor
Cualitativo
Frecuencia
Valor
Cuantitativo
Figura 8. Análisis de Amenazas
4.1.5. Impacto Potencial
En esta etapa se realizó el cálculo del impacto potencial, el cual se realizó teniendo en cuenta el
valor cuantitativo de los activos, la probabilidad de ocurrencia (Frecuencia) y el impacto con
mayor porcentaje de las 5 dimensiones de seguridad, se realizó el producto entre estos valores,
obteniendo como resultado un valor numérico que indica el costo que puede generar la
materialización de las amenazas anteriormente analizadas para la empresa. En la figura 8 se
puede evidenciar un ejemplo del análisis.
4.1.6. Riesgo Residual
28
En esta etapa se realiza la identificación de los tipos de protección que se pueden aplicar de
acuerdo al método MAGERIT, frente a cada amenaza identificada, se buscó un método de
protección que permita contrarrestar el impacto potencial. Teniendo definidos los métodos de
protección se estima el porcentaje de efectividad que puede tener frente a cada evento. La tabla
completa se pude consultar en el Anexo 1 Etapa de análisis de riesgos.
Para el cálculo del riesgo residual, como no cambiaron los activos, solo cambio la magnitud de
degradación, la cual está dada por la proporción que resta entre la efectividad ideal (100%) y la
efectividad estimada para cada tipo de protección, se realizó el análisis con estos nuevos
valores.
En la Figura 9 se muestra una pequeña parte del análisis realizado mostrando como resultado
final el riego residual para los activos del área de TI en la empresa Atento SA. Para consultar el
análisis completo ver Anexo 1 Etapa análisis de riesgos
.
29
Cod.
AmenazaAMENAZA
IMPACTO
POTENCIAL
(Pesos)
PROTEGER
?
PROTECCION SUGERIDA
PARA MITIGAR EL RIESGO
REDUCCION
DEL RIESGO
RIESGO RESIDUAL
(Pesos)
DN01 Fuego 1059993 SI
Sistema de supresión y
protección contra
incendios 70% 317997,9
DN02 Daños por agua 942216 SI Detectores de humedad 60% 376886,4
DN03
Otros desastres
Naturales 942216 SI pólizas de seguro 40% 565329,6
IN01 Fuego 1059993 SI
Sistema de supresión y
protección contra
incendios 70% 317997,9
IN02 Daños por agua 942216 SI Detectores de humedad 60% 376886,4
IN03
Contaminacion
Mecanica 824439 NO No es requerida 0% 824439
IN04
Contaminación
electromagnética 588885 NO No es requerida 0% 588885
IN05
Avería de origen físico
o lógico 706662 NO No es requerida 0% 706662
IN06
Corte del suministro
eléctrico 706662 NO No es requerida 0% 706662
IN07
Condiciones
inadecuadas de
temperatura o
humedad 706662 NO No es requerida 0% 706662
IN11
Emanaciones
electromagnéticas 588885 NO No es requerida 0% 588885
EF02
Errores del
administrador 706662 NO No es requerida 0% 706662
EF15
Errores de
mantenimiento /
actualización de
equipos (hardware) 4299828 SI
Procedimientos y
contratos de
mantenimiento
preventivo 70% 1289948,4
EF16
Caída del sistema por
agotamiento de
recursos 1879753,6 SI
Sistema de monitoreo y
alertas tempranas 70% 563926,08
EF17 Pérdida de equipos 1879753,6 SI
Control de acceso fisico y
pólizas de seguro 70% 563926,08
AI06
Abuso de privilegios de
acceso 1879753,6 SI
Sistema de monitoreo y
alertas tempranas 70% 563926,08
AI07 Uso no previsto 706662 NO No es requerida 0% 706662
AI11 Acceso no autorizado 942216 SI
Video vigilancia y tarjetas
de proximidad 70% 282664,8
AI15
Modificación
deliberada de la
información 824439 NO No es requerida 0% 824439
AI23
Manipulación de los
equipos 1409815,2 SI
Sistema de monitoreo de
integridad (HIDS) 70% 422944,56
AI24 Denegación de servicio 824439 NO No es requerida 0% 824439
AI19 Robo 1879753,6 SI
Controles de acceso fisico
y pólizas de seguro 60% 751901,44
AI20 Ataque destructivo 942216 SI pólizas de seguro 40% 565329,6
Figura 9. Riesgo Residual
4.2. Gestión de riesgos
30
Dado que ya se identificaron los riesgos residuales a los que está expuesta la empresa Atento
S.A. Se deben plantear los controles que ayuden alcanzar el nivel de seguridad óptimo para la
organización, basados en el estándar ISO27002:2013.
Los controles fueron seleccionados e implementados de acuerdo a los requerimientos
identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que
de esta actividad surge la primera decisión acerca de los controles que se deben abordar.
4.2.1. Análisis de los controles ISO/IEC 27002:2013
ISO27001:2013 El estándar especifica en su “Anexo A” el listado completo de cada uno de
ellos, agrupándolos en catorce rubros. Para cada uno de ellos define el objetivo y lo describe
brevemente. Los controles que el anexo A de esta norma propone quedan agrupados y
numerados de la siguiente forma:
A continuación se enuncian los 14 dominios de seguridad, sus principales objetivos y las
acciones más importantes a tomar en la organización:
Figura 10. Dominios de control
31
- A.5 Política de seguridad de la información
Este grupo está constituido por dos controles:
Política para la seguridad de la información
Revisión de la política de seguridad
Un plan de seguridad metódico, define el “Cómo”, es decir, un nivel detallado, para dar inicio al
conjunto de acciones que se deberán cumplir.
- A.6 Organización de la seguridad de la información
Este segundo grupo de controles abarca cinco de ellos y se subdivide en:
Organización Interna: Compromiso de la Dirección, coordinaciones,
responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con
autoridades y grupos de interés en temas de seguridad, revisiones independientes.
Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto
a clientes y socios de negocio.
Lo más importante a destacar de este grupo es:
- Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor
detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.).
- Derechos y obligaciones de cualquiera de los involucrados.
En este grupo de controles, lo ideal es diseñar e implementar una base de datos, que permita de
forma amigable, el alta, baja y/o modificación de cualquiera de estos campos.
- A.7 Seguridad de los recursos humanos.
Este grupo cubre nueve controles y se encuentra subdividido en:
32
Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y
condiciones de empleo.
Durante el empleo: Administración de responsabilidades, preparación, educación y
entrenamiento en seguridad de la información, medidas disciplinarias.
Finalización o cambio de empleo: Finalización de responsabilidades, devolución de
recursos, revocación de derechos.
Se debe partir por la redacción de la documentación necesaria para la contratación de personal y
la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien
claro las acciones a seguir para los diferentes perfiles de la organización, con base en la
responsabilidad de manejo de información que tenga cada puesto.
- A.8 Gestión de activos
Este grupo cubre diez controles y se encuentra subdividido en:
Responsabilidad en los recursos: Identificar activos de la organización y definir
responsabilidades de protección adecuadas.
Clasificación de la información: Asegurar que la información reciba un apropiado
nivel de seguridad, de acuerdo a la importancia para la empresa.
Manejo de los medios de comunicación: Previene divulgación, borrado o destrucción
de información almacenada en medios sin autorización.
Este grupo define las protecciones adecuadas para cada activo de la organización según su
importancia al igual que el manejo de los medios de comunicación.
- A.9 Control de accesos
El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de
un sistema. A medida que va llegando a áreas de mayor criticidad, las medidas de control de
acceso deben incrementarse.
33
Este grupo cubre catorce controles y se encuentra subdividido en:
Requerimientos del negocio para control de acceso: Debe existir una Política de
Control de accesos documentada, periódicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.
Gestión de acceso de usuarios: Tiene como objetivo asegurar el correcto acceso y
prevenir el no autorizado y a través de cuatro controles, exige llevar un procedimiento
de registro y revocación de usuarios, una adecuada administración de los privilegios y
de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos
regulares, empleando para todo ello procedimientos formalizados dentro de la
organización.
Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener
documentadas sus obligaciones dentro de la seguridad de la información de la
empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad
a partir del momento que tenga acceso a la información. Ciertamente existirán
diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones
derivadas de estas funciones. Lo que no puede suceder es que algún usuario las
desconozca.
Control de acceso sistemas y aplicaciones: El acceso no autorizado a nivel sistema
operativo presupone una intrusión. La gran ventaja que posee un administrador, es
que las actividades sobre un sistema operativo son mínimas, poco frecuentes sus
cambios, por lo tanto se puede identificar rápidamente cuando la actividad es
sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la
validación de usuarios del sistema operativo, empleo de identificadores únicos de
usuarios, correcta administración de contraseñas, control y limitación de tiempos en
las sesiones.
34
En este grupo, los controles están dirigidos a prevenir el acceso no autorizado a la
información mantenida en las aplicaciones. Propone redactar, dentro de la política de
seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a
su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Los
cuales no pueden ser accedidos de ninguna forma vía red, sino únicamente estando
físicamente en ese lugar. Por lo tanto si se posee alguna aplicación que entre dentro de
estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con
el resto de la infraestructura.
- A.10 Criptografía
Este grupo cubre dos controles y se encuentra subdividido en:
Controles criptográficos: Su objetivo principal es asegurar que sea apropiado y
efectivo el uso de controles criptográficos para proteger algunos de los pilares de la
seguridad informática; confidencialidad, autenticidad e integridad de la información.
Es importante que la organización relacione en su política de seguridad el uso de los controles
criptográficos para el control de la información. Además de implementar un periodo de vigencia
para las claves criptográficas.
- A.11 Seguridad física y ambiental
Este grupo cubre quince controles y se encuentra subdividido en:
Áreas de seguridad: Seguridad física y perimetral, control físico de entradas,
seguridad de locales edificios y recursos, protección contra amenazas externas y del
entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga.
Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a
los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el
35
equipamiento fuera de la organización, seguridad en la redistribución o reutilización
de equipamiento, borrado de información y/o software.
La organización de una infraestructura de seguridad de la información, está en plantearla siempre
por niveles. Es correcto considerar separadamente el nivel físico con el de enlace, pues
presentan vulnerabilidades muy diferentes.
Aplicación: Todo tipo de aplicaciones.
Transporte: Control de puertos UDP y TCP.
Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3.
Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas
estáticas y fijas en switchs, control de ataques ARP, control de broadcast y
multicast a nivel enlace, en el caso WiFi: verificación y control de enlace y
puntos de acceso, empleo de túneles de nivel 2, etc.
Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de
comunicaciones, control de acceso físico, conductos de comunicaciones,
cables, fibras ópticas, radio enlaces, centrales telefónicas.
El objetivo primordial de este grupo es evitar la pérdida, el daño, el robo o el compromiso de los
activos y la interrupción de las operaciones de la organización.
Al igual que los accesos no autorizados sobre las instalaciones e infraestructura de la
organización.
- A.12 Seguridad en las operaciones
Este grupo cubre catorce controles y se encuentra subdividido en:
Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la
correcta y segura operación de la información, comprende cuatro controles. Hace
especial hincapié en documentar todos los procedimientos, manteniendo los mismos y
36
disponibles a todos los usuarios que los necesiten, segregando adecuadamente los
servicios y las responsabilidades para evitar uso inadecuado de los mismos.
Protección del malware: El objetivo de este apartado es la protección de la integridad
del software y la información almacenada en los sistemas. La empresa además de
confiar su seguridad a un antivirus, debe preparar al personal de administradores y
usuarios en cómo proceder ante virus y, por supuesto, realizar procedimientos de
recuperación y verificación del buen funcionamiento de lo documentado.
Backup: El objetivo de esta apartado es remarcar la necesidad de las copias de
respaldo y recuperación. Para asegurar que la organización se encuentre protegida
contra las pérdidas de información. La empresa debe incluir en sus procedimientos
internos diferentes documentos de reglamentación: Plan de recuperación ante
desastres, que determina los pasos a realizar para realizar las acciones de recuperación
ante un incidente. Y este debe llevar asociado acciones relativas al inventario
sistemático de equipos, las pólizas de seguro y garantías de los mismos y un listado de
números de emergencias y similares.
Registro y seguimiento: El objeto de este apartado es registrar eventos y generar
pruebas. La organización debe enfocarse únicamente en los eventos críticos que
impactan la confidencialidad, integridad y disponibilidad de su información
confidencial. Diseñando un proceso efectivo de recolección y análisis de registros de
datos, así como el uso de herramientas para revisar los registros de auditoria en busca
de eventos críticos tales como:
o Acceso individual a datos sensibles.
o Todas las acciones tomadas por cuentas privilegiadas.
o Acceso a los datos y funciones de la pista de auditoria.
o Intentos inválidos de accesos lógicos.
o Todas las acciones de identificación y autenticación.
o Creación y eliminación de objetos a nivel del sistema.
37
Control operacional del software: El objeto del control operacional es identificar
aquellas operaciones y actividades sobre las que es necesario aplicar medidas de
control, como consecuencia de su influencia en los riesgos identificados, y de esta
forma planificar tales actividades para que se desarrollen bajo condiciones
especificadas.
Gestión técnica de vulnerabilidades: El objeto de este apartado compuesto por dos
controles es gestionar las vulnerabilidades técnicas. La organización deberá implantar
una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y
cíclico, con la toma de medidas que confirmen su efectividad. Se deberían considerar
sistemas operativos, así como todas las aplicaciones que se encuentren en uso.
Sistemas de información auditables: el objeto de este apartado es minimizar el
impacto de las actividades de auditoría en los sistemas operativos. La organización
deberá evaluar el posible impacto operativo de los cambios previstos a sistemas y
equipamiento y verificar su correcta implementación, asignando las responsabilidades
correspondientes y administrando los medios técnicos necesarios para permitir la
segregación de los ambientes y responsabilidades en el procesamiento.
- A.13 Seguridad en las comunicaciones
Este grupo cubre siete controles y se encuentra subdividido en:
Gestión de la seguridad de red: Realizar el monitoreo de las actividades en la red, para
verificar el correcto funcionamiento de toda la infraestructura que la conforma y
controlar los recursos que esta ofrece a los usuarios
Transferencia de información: Requisitos y actividades de verificación de los sistemas
operativos de auditoría deben estar cuidadosamente planificados y estipulados para
reducir al mínimo las interrupciones de los procesos de negocio.
38
El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo
control que remarca la necesidad de las copias de respaldo y recuperación.
- A.14 Adquisición, desarrollo y mantenimiento de sistemas
Este grupo de controles abarca trece de ellos y se subdivide en:
Requisitos de seguridad en los sistemas de información: El objeto de este apartado es
garantizar que la seguridad es parte integral de los sistemas de información. La
organización debe diseñar e implantar los sistemas de información que sustentan los
procesos de negocio que pueden ser cruciales para la seguridad.
Seguridad en los procesos de desarrollo y soporte: Este apartado tiene como objeto
Mantener la seguridad del software del sistema de aplicaciones y la información. Es
importante que la organización pueda garantizar que todas las propuestas de cambio
en los sistemas sean revisadas y verificar que no comprometen la seguridad del
sistema o del entorno operativo.
Datos de prueba: Se deberían seleccionar, proteger y controlar cuidadosamente los
datos utilizados para las pruebas.
- A.15 Relaciones con proveedores
Este grupo de controles abarca 5 de ellos y se subdivide en:
Seguridad de la información en relación con los proveedores: El objeto de este
apartado es proteger los activos de la organización a los que tienen acceso terceros.
Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o
gestión de la información de la organización o de las instalaciones de procesamiento
de información o la adición de productos o servicios a las instalaciones, deben cubrir
todos los requisitos de seguridad relevantes.
39
Gestión de la prestación de servicios de proveedores: Para llevar a cabo este control,
la organización debe garantizar que los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo
sean implementados, operados y mantenidos por la parte externa.
- A.16 Gestión de incidentes de la seguridad de la información
Este grupo de controles abarca 7 de ellos y se subdivide en
Gestión de incidentes de seguridad de la información y mejoras: El objeto de este
apartado es garantizar que se aplique un enfoque consistente y eficaz para la gestión
de los incidentes en la seguridad de información. La organización deberá establecer
las responsabilidades y procedimientos para manejar los eventos y debilidades en la
seguridad de información de una manera efectiva y una vez que hayan sido
comunicados.
Además se deberá aplicar un proceso de mejora continua en respuesta para
monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de
información.
- A.17 Aspectos de la seguridad de la información dentro de la continuidad del
negocio
El objeto de este grupo de controles que abarca 4 de ellos es reaccionar a la interrupción de
actividades del negocio y proteger sus procesos críticos frente a desastres o grandes fallos de los
sistemas de información, se subdivide en:
Continuidad de la seguridad de la información: El objeto de este apartado es
identificar los eventos que puedan causar interrupciones a los procesos de negocio
40
junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias
para la seguridad de información.
Redundancia: El control establecido para este apartado consiste en desarrollar e
implantar planes de mantenimiento o recuperación de las operaciones del negocio
para asegurar la disponibilidad de la información en el grado y en las escalas de
tiempo requeridos, suficiente para satisfacer los requisitos de disponibilidad.
Este proceso debería identificar los procesos críticos de negocio e integrar los requisitos de
gestión de la seguridad de información para la continuidad del negocio con otros requisitos
de continuidad como operaciones, proveedores de personal, materiales, transporte e
instalaciones.
- A.18 Conformidad
Este grupo de controles abarca 6 de ellos y se subdivide en
Conformidad con requerimientos contractuales y legales: El objeto de este
apartado esta en evitar incumplimientos a requisitos relacionados con la
seguridad de la información de cualquier tipo especialmente a las obligaciones
legales, estatutarias, normativas o contractuales.
Revisiones de seguridad de información: El objeto de este apartado es garantizar
que se implemente y opere la seguridad de la información de acuerdo a las
políticas y procedimientos organizacionales. La organización deberá revisar el
enfoque de la organización para la implementación y gestión de la seguridad de
la información.
4.2.2. Evaluación de estado actual
Para determinar el estado actual de la organización se analizó con el equipo de trabajo los
controles actuales con los que cuenta la compañía, comparándolos con los controles que indica la
41
norma. El análisis de brecha consiste en identificar los controles que son requeridos y los
procedimientos que deben ser desarrollados por las actividades y operaciones de la organización,
para acceder a la certificación ISO/IEC 27001:2013. El análisis evidencia la capacidad de
seguridad de la información actual y el grado en que la seguridad de información de gestión de
seguridad se ha implementado.
En la Tabla 7 se relaciona el encabezado del documento análisis de brechas (Anexo 2. Gestión del
riesgo) y la descripción del contenido de cada columna, como las convenciones que se usaron.
Tabla 7: Análisis de brecha
Consultar anexo 2. Gestión del riesgo
Item ISO 27001 Control Estado Situación Actual ID Brecha Brechas
identificadas
Se relaciona el
Item del
estándar ISO
27001 al que
equivale el
control
En esta
columna se
describen Los
controles que
fueron
seleccionados
de acuerdo a
los
requerimientos
identificados
por la
valoración del
riesgo.
-Parcialmente
implementado:
Se ha tomado
alguna acción
para el
control, pero
no cumple con
lo estipulado
en la norma.
-Inexistente:
No se ha
tomado
ninguna
acción
Se describe la
situación actual
de la
organización
frente a este
control.
R: Indica que
el control es
requisito para
lograr obtener
la certificación.
C: Son
controles que
se deben
implementar.
A cada letra se
le asigna un
número con el
fin de
identificarlas
posteriormente.
Se describe
las acciones
que no se
han tomado
de acuerdo a
la
comparación
entre el
control y el
estado actual
de la
organización.
42
4.2.3. Declaración de aplicabilidad
La declaración de aplicabilidad consiste en determinar que controles de los estipulados en la
norma ISO/IEC27001:2013 son aplicables a las brechas identificadas en la etapa de “evaluación
actual. A cada brecha se le asignó una acción/control, estas acciones se clasificaron así:
- Mano de obra: Asignar responsabilidades área Datacenter.
- Máquwinas: Actualizaciones u operaciones a realizar en las maquinas.
- Medición: Seguimiento medición y análisis
- Contractuales: Análisis de requisitos y documentos legales
- Método: Acciones que se debe implementar o definir
Las acciones a tomar se definieron de acuerdo a la descripción que se realizó en el numeral
anterior 11.1. Generalidades, donde se describen las acciones más importantes a tomar en una
empresa de acuerdo a la norma. Ver anexo 2. Gestión del riego
Tabla 8 Nivel de cumplimiento ISO27001
Control Nivel de
Cumplimiento Estado de madurez
Políticas de Seguridad 25 Inicial
Organización de la Seguridad de la
Información 2 Inexistente
Seguridad de los Recursos Humanos 58 Parcialmente
implementado
Gestión de Activos de Seguridad de la
Información 20 Inicial
Control de accesos (aplicaciones) 11 Inexistente
Criptografía 5 Inexistente
Seguridad física y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Seguridad en las comunicaciones 59 Parcialmente
implementado
Adquisición, desarrollo y mantenimiento de
sistemas 50
Parcialmente
implementado
Relaciones con los proveedores 40 Parcialmente
implementado
Gestión de incidentes de seguridad de la
información 21 Inicial
43
Aspectos de la SI de la gestión de
continuidad de negocio 80 Manejado
Cumplimiento 5 Inexistente
Figura 11: Nivel de cumplimiento ISO27001
44
5. PLAN DE ACCIÓN
Este capítulo trata de cómo llevar a cabo la implementación del modelo de seguridad planteado
en este documento. Cabe aclarar que el análisis y la gestión de riesgos, son la parte esencial del
proceso de seguridad de cualquier empresa y deben permanecer permanentemente actualizados.
5.1. Cierre brechas
A continuación se enuncian en resumen las acciones que debe realizar la empresa para dar cierre
a las brechas, las cuales han sido mencionadas en el ítem referente a la declaración de
aplicabilidad, (Anexo 2. Gestión del riesgo)
- Aplicación y gestión de medidas de protección adecuadas para preservar la integridad,
confidencialidad y disponibilidad de la información.
- Acuerdos contractuales: Se establecerán acuerdos con terceros en lo relacionado con:
acuerdos de niveles de servicio, periodicidad de mantenimiento de equipos, adquisición
de pólizas de seguro para la protección frente a desastres naturales y de origen industrial,
personal de contacto, conexión de equipos de monitoreo y alarmas con las centrales
locales (bomberos, policía, etc.).
- Procedimientos: Se diseñaran los procedimientos de: reporte y atención de incidentes,
gestión de cambios y mantenimientos, registro de eventos, entrenamiento, configuración
de equipos, métricas, prueba de equipos/escenarios y evaluación de proveedores.
- Ejecución de trabajos: En esta etapa se realizaran los trabajos de instalación y
configuración de equipos.
- Pruebas: Se diseñaran escenarios de pruebas que se ejecutaran para verificar que se haya
dado solución a la brecha
- Capacitación: Se realizará el entrenamiento respectivo a los responsables de la
administración y monitoreo.
- Promover: Promover la seguridad de la información dentro de la cultura organizacional
45
Con el fin de dar cumplimiento a las pautas mencionadas anteriormente se diseñó un cronograma
de actividades con fechas tentativas, en donde cada acción tiene asignado un responsable que a
su vez tiene asignadas dos fechas, una fecha inicial para dar inicio a la solución de la brecha y
una fecha final en la que se espera se dé solución a esta. Consultar Anexo 2. Gestión del riesgo.
5.2. Plan de trabajo certificación
A continuación se presentan los proyectos propuestos para el Plan de Acción, especificando el
ámbito de ejecución (Proyecto de gestión y/o técnico), así como la asociación con los riesgos
que se verían mitigados.
Figura Plan de Trabajo
- P0 – Análisis de Riesgos: Esté se llevó a cabo en este proyecto y su proceso se describe
en este documento
- P1 – Aprobar, establecer y difundir el Cuerpo Normativo de SI: En este proyecto se
diseñó una política de seguridad, con el fin de mitigar los riesgos, que debe ser aprobada
por el comité directivo de la compañía.
- P2 – Clasificación de la información de la compañía en base a la normativa establecida:
En este proyecto se realizó un análisis de brechas el cual compara la situación actual de
la empresa con el estándar ISO/IEC/27001:2013
46
- P3 - Consolidación del proceso de altas, bajas y cambios de Contratistas: Este consiste
en realizar acuerdos de servicio con los terceros que prestan servicios a la compañía y de
tal forma determina si es viable continuar trabajando con estos.
- P4 - Guía de homologación de terceros: Los terceros son una extensión de la empresa, en
ese sentido la homologación es una manera de lograr que ellos reflejen los valores,
compromiso y un estándar en el servicio con la empresa Atento SA.
- P5 - Gestión de identidad y acceso: Este consiste en estandarizar la gestión del acceso a
través de varias plataformas para usuarios, dispositivos, aplicaciones y procesos
empresariales, así como puntos de seguridad física como lectores de identificadores,
tarjetas inteligentes y biométrica.
- P6 - Revisión técnica de vulnerabilidades de sistemas: Este consiste en hacer un
seguimiento constante de parches de seguridad mediante herramientas de gestión de
vulnerabilidades y/o actualización automáticas. Evalúa la relevancia y criticidad o
urgencia de los parches en el entorno tecnológico. Actualización de versiones de
sistemas para que los equipos no queden fuera de soporte por el fabricante.
- P7 – Seguridad de dispositivos portátiles: Este radica en actualizar los navegadores
instalar software de seguridad necesarios y mantener los equipos actualizados, en
general verificar que las políticas se cumplan.
- P8 - Formación, concienciación, sensibilización en SI: Este promueve la seguridad de la
información dentro de cultura organizacional.
-
En la Tabla 9 cronograma a un año, permite entender de manera más sencilla y visual la
planificación planteada para los mismos.
Tabla 9 Cronograma de ejecución
Proyecto
Tiempo de ejecución (meses)
M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12
P0 – Análisis de Riesgos
P1 – Clasificación de la
información de la compañía en
base a la normativa establecida
P2 – Aprobar, establecer y
difundir el Cuerpo Normativo
47
de SI
P3 - Consolidación del proceso
de altas, bajas y cambios de
Contratistas
P4 - Guía de homologación de
terceros
P5 - Gestión de identidad y
acceso
P6 - Revisión técnica de
vulnerabilidades de sistemas
P7 – Seguridad de dispositivos
portátiles
P8 - Formación ,
concienciación, sensibilización
en SI
Para llevar a cabo este plan de acción se requiere definir el rol responsable de seguridad de la
información (planificar, desarrollar, controlar y gestionar las políticas, procedimientos y
acciones con el fin de mejorar la seguridad de la información).
5.3. Política de seguridad para los sistemas de información de Atento SA
Como parte del plan de acción se crea una política de seguridad para los sistemas de información
del Datacenter de la empresa, está orientada a cumplir con los controles de seguridad
mencionados en este documento.
Con el fin de llevar a cabo la implementación, se entrega modelo de la política al comité de
seguridad para su respectiva revisión y aprobación. Anexo 3. Política de seguridad Atento.
5.3.1. Objetivo
La política de seguridad informática tiene por objeto establecer las medidas de tipo técnico
y organizacional, necesarias para garantizar la seguridad de las tecnologías de información
(equipos de cómputo, sistemas de información, redes (Voz y Datos)), las cuales se aplican a
todos los usuarios de cómputo de las empresas.
Esta política se requiere proteger los activos de información de todas las amenazas internas o
externas bien sean intencionales o accidentales, tiene como fin asegurar los pilares de la
seguridad informática (Confidencialidad, integridad y disponibilidad).
48
5.3.2. Requerimientos organizacionales:
Se designará un responsable de Seguridad de la información de Atento SA. Esta persona
garantizara la seguridad de los distintos sistemas informáticos y de las redes de
telecomunicaciones soportadas por Atento SA., tendrá el compromiso de prevenir la
ocurrencia de acciones inapropiadas o comportamientos ilegales de los distintos usuarios
que utilizan los recursos informáticos, así como los usuarios externos que acceden a éstos
recursos.
Toda documentación acerca de las políticas de seguridad de la información deberá ser
aprobada por el respectivo Comité de Seguridad y por el Director País de Atento SA y
comunicada a todos los usuarios de la organización a través de los diferentes canales de
comunicación que posee.
5.3.3. Comunicación:
A continuación se describe el modelo de difusión, en caso de que la política sea aprobada
por el comité:
- Publicación en la intranet de la empresa. Responsable Administrador de Servidores
- Envió de comunicados internos por medio del correo electrónico corporativo.
Responsable Recursos Humanos
- Notificación de existencia de la política por medio del fondo de pantalla de los equipos de
trabajo. Responsable Centro de Computo
- Publicación de la política en carteleras ubicadas en lugares estratégicos dentro de la
empresa. Responsable Recursos Humanos.
- Capacitación por medio de charlas en reuniones con los diferentes grupos o áreas de
trabajo.
Los anteriores puntos se deben cumplir a cabalidad inmediatamente aprobada la política de
seguridad. De la buena difusión y concientización de los empleados, depende el éxito de
implementación de la política y el aumento en la seguridad de la empresa.
Para consultar la política planteada, remitirse al Anexo 3. Política de seguridad Atento.
49
5.4. Diseño de la infraestructura lógica de interconectividad
Para la empresa Atento es muy importante contar con una infraestructura lógica de
interconectividad que sea confiable y segura, esto debido a que los servicios que presta,
dependen directamente del funcionamiento de la red a nivel de datos y voz, son múltiples
servicios que los usuarios finales requieren a cada instante (consulta de BD., consulta de
archivos operativos, acceso a aplicaciones, consulta de intranet, entrada y salida de llamadas),
por ende se realizó un modelo que define pautas para llevar a cabo la implementación de nuevos
sistemas de información.
En esta sección se desarrolló el ámbito de la seguridad lógica con las características y
requerimientos tecnológicos que deben ser aplicados, con el fin de garantizar la seguridad de la
red en la empresa.
5.4.1. Seguridad Lógica:
El medio de transporte físico de los datos es un aspecto importante a tener en cuenta para la
seguridad de los mismos, existen dos tipos de canales de transporte de información (Cable y
Wireless), los cuales son usados en la empresa para la prestación de sus servicios.
- Cable: En ámbito LAN, el cableado debe acogerse al estándar UTP CAT5 y CAT6
Estructurado, tomando como medida principal el no permitir la conexión a una distancia
mayor de 100 metros entre hosts
- Wireless: El uso de este canal de transporte se debe realizar dentro de los límites de la
edificación donde se encuentra ubicado el punto de acceso, se debe restringir el acceso
por medio del identificador MAC para cada cliente, no se debe dejar la configuración del
AP sin ningún tipo de cifrado puesto que cualquier persona con alcance a la red tendría
la posibilidad de acceder.
5.4.2. Topología de Red Segura:
Una topología de red segura se basa en el concepto de seguridad perimetral, el cual hace
referencia a la implementación de barreras de defensa ante el exterior.
El elemento principal de esta primera defensa es el Firewall que es básicamente una herramienta
para delimitar una red, es capaz de actuar con base a unas políticas de seguridad establecidas. La
capacidad de realizar ciertas acciones depende del fabricante, sin embargo la razón de uso y el
50
motivo por el cual es muy importante es que puede filtrar el tráfico de red en función del origen,
desino, tipo de tráfico, autenticar usuarios, establecer VPN, entre otros.
Para conseguir una topología de red segura deben seguirse las siguientes pautas:
5.4.3. Zonificación
Con el fin de conseguir un nivel adecuado de seguridad es obligatorio realizar una correcta
zonificación a partir de un Firewall externo. La zonificación de una red tiene por objeto
proporcionar una segmentación de los recursos agrupados por distintos niveles de seguridad y
de visibilidad externa. Con una correcta zonificación se pretende la protección exhaustiva de los
recursos estratégicos de la compañía y establece el filtrado de tráfico entre zonas lo que
garantiza la protección frente a ataques internos o errores de explotación.
Cada una de las zonas establecidas tiene conexión directa e independiente con el Firewall de
forma que se pueda establecer de forma independiente los servicios y trafico permitido. Este
tipo de configuración también permite el establecimiento de registros o logs adecuados para la
realización de auditorías y estadísticas del tráfico segmentado. Como parte del diseño de
interconectividad, para este proyecto se establecieron las siguientes zonas:
5.4.4. Red de Acceso
Esta red tiene por objeto unir las redes externas a las redes internas por medio del Firewall. Esta
red permite el crecimiento ilimitado de los recursos de comunicaciones (canales y routers) por
un lado y Firewall de acceso por el otro. Este tipo de rede es originalmente insegura, es decir, no
dispone de elementos anteriores de protección, por lo tanto solo se permite la conexión de
Routers, Firewalls o cualquier otro dispositivo que obliga condiciones de seguridad.
5.4.5. Red Desmilitarizada
También conocida como DMZ, debe contener únicamente aquellos sistemas que requieran
visibilidad externa. Estos sistemas tendrán, por medio del Firewall, habilitada la publicación de
servicios al exterior y nunca contendrán datos críticos. Para llevar a cabo esto, el Firewall debe
habilitar aquellos servidores que estén configurados sobre esta red, la conexión con algún
recurso corporativo que disponga de la información a publicar en el exterior.
51
5.4.6. Red Militarizada
Conocida también como MZ, en esta zona se ubican aquellos servidores que requieren un nivel
de protección superior, aquí se establecen políticas de acceso, restringiendo incluso el acceso
desde las zonas de la red interna.
5.4.7. Red Interna
Se establece una red protegida de ataques por el Firewall y separadas de los servidores que
ofrecen servicios en internet. Dentro de la red interna deben establecerse nuevas zonas, ya sea a
partir de un Firewall o por medio de VLAN. Como parte del diseño se establecen las siguientes
zonas internas:
- Red de Operación: Esta red es la que contiene todos los puestos de teleoperación y los
servidores de uso específico de ellos. Esta red aun estando en la red interna cuenta con
un alto grado de inseguridad, puesto que el acceso a esta red está dispuesto para la
mayoría del personal de la empresa, la variedad de servicios que se manejan son altos,
aumentando la probabilidad de que un atacante pueda ingresar al sistema y pueda
generar alguna indisponibilidad del servicio.
- Red de Administración: En esta red se configura la conectividad a través de VLAN con
todos los elementos de red, desde esta red es donde se administran los equipos de
cómputo que prestan servicios internos, esta red contiene los equipos que se encargan de
recolectar logs y gestionar alarmas. Es en esta red donde fue ubicado en sistema de
monitoreo para los canales de comunicación y servidores de la empresa.
- Red Corporativa: En esta zona se sitúan los equipos del personal de estructura de
Atento, junto con los servidores de propósito general tales como servidores de dominio,
servidores de archivos, servidores de impresión, entre otros.
- Red de Contenidos: Se establece una red donde se ubican los servidores que tienen
como objeto la entrega de información posterior a una consulta realizada por otro
52
servidor que a su vez entrega los datos al usuario (Bases de Datos, Servicios de datos de
internet)
5.4.8. Pautas para la interconectividad de Zonas
Con el fin de realizar un modelo seguro de conectividad se establecieron una serie de flujos
entre zonas, las cuales permitirán a los administradores de la red otorgar o denegar viabilidades
para la implementación de nuevos recursos. Estas pautas también servirán en el momento de
realizar auditorías internas, permitiendo realizar un diagnóstico y tomar medias frente a
cualquier inconformidad.
En la Tabla 10 se muestra los tipos de conexión que puede existir o no de acuerdo a las zonas
especificadas anteriormente:
Tabla 10 Modelo de conexión entre zonas
ORIGEN \ DESTINO RA DMZ RC RI MZ
RA SI NO NO NO
DMZ NO SI NO NO
RC NO NO NO NO
RI SI SI NO SI
MZ NO NO NO SI
Convenciones:
RA: Red Acceso (internet, conexión con cliente externo)
DMZ: Zona desmilitarizada:
RC: Zona de contenidos
RI: Redes Internas
MZ: Red militarizada
En la siguiente figura se representa el esquema de conexiones descrito anteriormente.
53
Figura 12. Diseño esquema de conexiones
5.4.9. Flujo de Datos
Gracias a la correcta zonificación de los equipos y servicios pueden establecerse situaciones
seguras para los datos que deben ser servidos a usuarios ajenos a la organización. Estos datos
deben estar físicamente en servidores ubicados en la red de contenidos.
Siguiendo al esquema anterior nadie podrá realizar una conexión directa contra la zona de
contenidos por lo que habrá de habilitarse rutas para alcanzar los datos que allí estén
disponibles. En la mayoría de los casos la el paso será a través de un servidor web, que según lo
establecido debe estar ubicado en la Zona DMZ, quien a través de consultas de Bases de Datos u
otros servicios presente al usuario la información requerida.
54
5.4.10. Barreras de Seguridad:
Con el fin de aumentar la seguridad la seguridad, es conveniente establecer barreras con dos
niveles de Firewall, la primera barrera se denomina como Firewall de Perímetro y la segunda
como Firewall Interno.
Gracias a este esquema de dos barreras se podrán implementar políticas de seguridad de distinto
tipo, con niveles permisivos en los Firewall Externos, permitiendo conexiones a los equipos de
la zona publica y otro nivel restrictivo en los internos, permitiendo únicamente las conexiones
necesarias hacia el interior de la red, generalmente conexiones desde la zona DMZ a la zona de
contenidos.
Para esta topología, la DMZ cumple un rol importante en la seguridad, situándose lógicamente
como barrera hacia la red interna, esto se logra estableciendo un esquema Multihomed, el cual
se configura en modo Firewall Gateway. Este proporciona la conexión entre la red de la
empresa y las redes públicas como internet.
Figura 13. Esquema Multihomed
55
Cuando se configura un servidor como Firewall, este no pasa paquetes entre las redes que están
conectadas a las interfaces de host, sin embargo a un puede proporcionar servicios de TCP/IP
estándar como ssh a los usuarios autorizados. De esta manera y salvo que un atacante consiga el
control de la maquina no se podrá acceder físicamente a la red interna, excepto las peticiones
que hagan los equipos de la DMZ por su interfaz interna hacia la red de contenidos.
5.4.11. Alta Disponibilidad en Firewall:
Debido a la gran cantidad de tráfico de red que pasa por el Firewall debe usarse alta
disponibilidad para que una incidencia en este equipo no provoque la caída total o parcial de la
actividad de la empresa. Como medida adicional se debe permitir el balanceo de carga con el fin
de que en un futuro se pueda ampliar la capacidad sin necesidad de adquirir nuevos equipos y de
esta forma se ahorre en costos.
5.4.12. VLAN´s:
Los esquemas VLAN (red virtual) proporcionan los medios adecuados para solucionar la
problemática de la limitación geográfica la cual hace referencia a que los miembros de un
determinado grupo deben estar situados adyacentemente por su conexión al mismo concentrador
o segmento de la red; esto se hace realizando una agrupación de forma lógica en lugar de física.
Con la aplicación de esta solución, los usuarios pueden así, moverse a través de la red
manteniendo su pertenencia al grupo de trabajo lógico. Por otro lado al distribuir a los usuarios
de un mismo grupo lógico a través de diferentes segmentos se logra como consecuencia directa
el incremento del ancho de banda en dicho grupo de usuarios.
Sin dejar de lado la seguridad deseada, en cada configuración el administrador debe garantizar
que cada VLAN sea privada restringiendo el acceso de una a otra. Se deben aplicar ACL´s con
el fin de permitir o denegar el paso de tráfico de un segmento de red a otro, dependiendo de los
requerimientos del negocio. Como parte del modelo de conectividad, se establecen los
siguientes grupos VLAN, los cuales harán parte de la zona interna de la organización:
VLAN Servidores Telefonía
VLAN Equipos de teleoperación
VLAN Equipos de Estructura
VLAN Administrativa
VLAN Servidores
56
6. ETAPA DE PREPRODUCCION
En este punto se realizó la implementación de una herramienta que permite el monitoreo de
enlaces y equipos del Datacenter de la empresa Atento, de acuerdo a la viabilidad dada por la
empresa se permitió realizar una etapa experimental con el fin de mostrar lo que se obtendría
como resultado al implementar la política de seguridad propuesta.
Para esto se propuso implementar una herramienta de monitoreo. Con ello se brindaría un avance
tecnológico en el modo de monitoreo y un aumento en la seguridad informática de la empresa.
Después de realizar un análisis de las herramientas de monitoreo, donde las principales razones
de selección fueron el tipo de licencia, escalabilidad y funcionalidad frente a las necesidades de
la empresa, se opta por utilizar la herramienta de monitoreo Nagios.
Esta herramienta está bajo la GNU (General Public Licence) Versión 2 publicada por la free
software fundation, con la cual se obtiene el permiso legal de copiar, distribuir o modificar
Nagios.
Por el tipo de licencia que tiene no se asume ningún costo de adquisición, implementación y/o
soporte, sin embargo estos procesos deben ser ejecutados por el usuario final, en este caso, el
personal de la empresa Atento. Esta herramienta cuenta con la capacidad de soportar el
monitoreo de más de 4000 equipos y servicios por lo tanto se ajusta a la demanda que exige la
empresa, teniendo en cuenta un posible incremento en los equipos en los próximos.
A pesar de que se implementa una herramienta sin costo, con limitaciones de soporte (como
cualquier software de tipo Open Source) esta herramienta cuenta con una variante, la cual
incluye mejoras de uso y soporte 100%, con un costo significativo de $ 3,495 Dólares. Esta
variante esta opcional para la empresa si en un futuro considera que es viable su adquisición.
A continuación se describe el proceso llevado a cabo para lograr la implementación de la política
de seguridad, en la descripción se enfocan los procesos realizados con el fin de garantizar la
seguridad de la herramienta de monitoreo y resaltar las los numerales aplicables de la política de
seguridad.
57
6.1. Solicitud de Equipos:
Con el fin de dar inicio al proceso de implementación se solicitó al área de Servidores un equipo
con las siguientes características, las cuales están dentro de los requerimientos mínimos de
configuración de la herramienta:
Procesador: 2 x Xeon Dual Core 3.6 GHz
Memoria Ram: 4 Gb
Disco Duro : 200 Gb Mínimo
El área de Servidores nos entregó una maquina virtualizada sobre VMware 5.5 con el respectivo
usuario de administración. Teniendo esto se realizó la configuración del servidor sobre el cual,
posteriormente se instaló el Sistema Operativo Ubuntu 12.04.
6.2. Proceso de Configuración:
El objetivo de esta etapa del proyecto es aplicar los parámetros establecidos en la política de
seguridad que se creó anteriormente.
Como medidas de seguridad implementadas, se describen a continuación las evidencias
tomadas:
En la instalación del SO se establece el usuario administrador local (ver Figura 14) con su
respectiva contraseña, se realizó la encriptación del directorio donde quedara almacenada la
información del usuario (ver Figura 15).
58
Figura 14. Configuración del usuario local
Figura 15. Encriptación del directorio de usuario
59
Paso seguido se configuró el direccionamiento IP LAN de forma estática, para este caso se
configuro la interfaz eth0 (IP 172.16.1.17) como lo muestra la Figura 16
Figura 16. Configuración IP LAN
Estando en este punto se actualizó el SO con los últimos parches de seguridad disponibles. (Ver
Figura 15)
Figura 17. Configuración IP LAN 2
60
En este punto se tiene el servidor listo para dar inicio a la configuración de la herramienta de
monitoreo. Para la implementación de la herramienta fue necesario instalar los paquetes de
instalación Nagios CORE, Nagios QL, PNP4NAGIOS. En la instalación de estos paquetes se
establece el usuario “nagios” y se asignan los permisos para la visualización vía web (ver figura
18). Este usuario es el que permite la administración de la herramienta, ya sea por medio de la
consola o por la interfaz web.
Figura 18. Configuración usuario administrador de la herramienta de monitoreo.
Finalizado el proceso de instalación de paquetes se ingresa por medio de la interfaz web a la
configuración de monitoreo. Allí es donde el administrador de la herramienta (operadores de
centro de cómputo) ingresara los equipos que desea monitorear. (Ver Figura 19)
61
Figura 19. Interfaz Web Nagios
Continuando se definió y realizó la creación de los usuarios con el rol de invitado, administrador
y de monitoreo (ver Figura 20)
Figura 20. Configuración de roles para usuarios nuevos
Estos roles se definieron de acuerdo a la labor que desempeña cada área de tecnología, para este
caso debido a que los responsables de la herramienta son los operadores de centro de cómputo,
son ellos los que tendrán un usuario con rol administrador y los demás usuarios cuentan con rol
de invitado, en donde a estos se les permitió realizar modificaciones, pero únicamente sobre los
recursos propios de cada área.
62
Se habilita la opción para que los usuarios puedan realizar el cambio de contraseña después del
primer inicio de sesión en la herramienta. (Ver Figura 21)
Figura 21. Cambio de contraseña por los mismos usuarios
Como método para garantizar la disponibilidad de la información se realiza un backup de la
configuración, cuando esta se modifica. De igual forma esta herramienta archiva los registros de
eventos relacionados con los equipos que monitorea, cumpliendo de esta manera con otro
numeral de la política de seguridad.
Verificación de Seguridad a nivel de red
Haciendo uso del esquema de interconectividad realizado en este proyecto se configuran los
permisos de acceso de la red origen (Nagios) a las redes destino (Red Teleoperacion, red DMZ,
red de Acceso), sin embardo debido a que el diseño no se encuentra implementado de tal forma
en Atento, la configuración se realiza con los equipos existentes. Se solicita al área de redes la
configuración de las políticas en el Firewal. En la figura 22 se muestra la evidencia de la política
configurada para permitir el tráfico de red desde el servidor de monitoreo hacia la red que sería
denominada como DMZ
Figura 22 Política Firewall de conexión a la DMZ
63
En la figura 23 se muestra la evidencia de otra política la cual permite el tráfico del servidor de
monitoreo a la red MZ
Figura 23 Política Firewall de conexión hacia la MZ
Este servidor es ubicado en la zona interna dentro de la red de administración, por lo tanto, no es
necesario realizar configuración de políticas en el Firewall para tener acceso a los equipos
pertenecientes a las otras zonas de red, sin embargo este servidor por ser una herramienta de
monitoreo se permitió el acceso a las VLAN donde se encuentran servicios que utilizan los
usuarios de la empresa.
64
7. RESULTADOS
A continuación se describen los resultados obtenidos:
7.1. Etapa análisis de riesgos
En la Figura 24 se visualizan 4 grandes grupos de amenazas y la cantidad de amenazas por
grupo que afectan cada pilar de la seguridad de la información. Se puede comprobar que la
Disponibilidad de la información es la más afectada en los grupos de amenazas, a diferencia del
grupo de ataques intencionados, que el pilar que más se afecta es el de la Confidencialidad de la
informacion.
Figura 24: Dimensiones afectadas por amenazas
En la figura 25 se puede visualizar que los impactos que ocurren con MPF (Muy Poca
Frecuencia) y con PF (Poca Frecuencia) son los que afectan en mayor medida la disponibilidad
de la información, algunos de estos impactos son: Fuego, daños por agua, otros desastres
naturales, emanaciones electromagnéticas, etc.
También se puede visualizar que los impactos que ocurren con mayor frecuencia (F) como:
Errores de mantenimiento / actualización de equipos (hardware), errores de mantenimiento /
65
actualización de programas (software) y errores de los usuarios; afectan pilares como la
confiabilidad, la disponibilidad y la integridad de la información.
Figura 25: Frecuencia Vs impacto
7.2. Gestión de riesgos
En la tabla 11 se muestra el nivel de cumplimiento de la empresa frente a la estándar
ISO/IEC27001:2013 y el estado de madurez de los controles que se tienen implementados
actualmente.
Tabla 11 Nivel de cumplimiento ISO27001
Control Nivel de
Cumplimiento Estado de madurez
Políticas de Seguridad 25 Inicial
Organización de la Seguridad de la
Información 2 Inexistente
Seguridad de los Recursos Humanos 58 Parcialmente
implementado
Gestión de Activos de Seguridad de la
Información 20 Inicial
Control de accesos (aplicaciones) 11 Inexistente
66
Criptografía 5 Inexistente
Seguridad física y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Seguridad en las comunicaciones 59 Parcialmente
implementado
Adquisición, desarrollo y mantenimiento de
sistemas 50
Parcialmente
implementado
Relaciones con los proveedores 40 Parcialmente
implementado
Gestión de incidentes de seguridad de la
información 21 Inicial
Aspectos de la SI de la gestión de
continuidad de negocio 80 Manejado
Cumplimiento 5 Inexistente
Convenciones:
Nivel de madurez Escala
Inexistente 0 – 19
Inicial 20 – 39
Parcialmente
implementado 40 – 59
Definido 60 – 79
Manejado 80 – 94
Optimizado 95 – 100
El porcentaje de los controles que la empresa tiene definidos y manejados es mínimo en
comparación con los que están parcialmente implementados e inexistentes, dejando ver que es
necesario implementar un sistema de seguridad de la informacion.
Figura 26: Nivel de cumplimiento ISO27001
67
7.3. Gestión de riesgos
Gracias a la implementación de los ítem de seguridad propuestos en la política de seguridad se
logra establecer una herramienta de monitoreo con un nivel alto de seguridad, los controles
aplicados a nivel de software y hardware permitieron obtener un resultado óptimo después de
realizar un escaneo de vulnerabilidades. Este reporte indica la cantidad de vulnerabilidades a la
que está expuesto un equipo de cómputo. En este caso según la figura 27 se detecta 20
vulnerabilidades de tipo bajo e informativo, es decir que no son significantes o que no generan
algún riesgo para la información.
Figura 27 Reporte vulnerabilidades
68
8. CONCLUSIONES
La recopilación de los valores de los activos aunque no eran precisos, permitió completar el análisis y
extraer los resultados donde se evidenciaron los riesgos de seguridad que podrían estar afectando
el desempeño del área.
El desarrollo de una política de Seguridad en cualquier organización cubre la gran parte de los
aspectos que componen un Sistema de Gestión de la Seguridad de la Información.
El análisis de riesgos permitió tener una noción real del estado actual de la empresa a nivel de
seguridad en el entorno relacionado con el Datacenter.
El análisis realizado a partir de la norma ISO/IEC 27001:2013 permitió identificar la necesidad de
implementar un plan y una política de seguridad, con el fin de mitigar los riesgos o
vulnerabilidades a los que pueda estar expuesta la empresa.
Con la implementación de la herramienta de monitoreo, aplicando los controles de seguridad
pertinentes y haciendo uso de la zonificación de red establecida se logró evidenciar que es
posible mitigar vulnerabilidades de los sistemas, haciendo de estos unos equipos con alto nivel
de seguridad.
Con el desarrollo de este trabajo se logró el cumplimiento del 100% de los objetivos planteados
69
9. BIBLIOGRAFÍA
Alcaldía Mayor de Bogotá D.C. (2008). Secretaría General de la Alcaldía Mayor de Bogotá D.C.
Congreso Decreta. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=31431
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro II - Catálogo de Elementos. Madrid España: Ministerio de Hacienda y
Administraciones Públicas, Secretaría General Técnica, Subdirección General de Información,
Documentación y Publicaciones y Centro de Publicaciones.
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración
Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro I - Método. Madrid España: Ministerio de Hacienda y Administraciones
Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y
Publicaciones y Centro de Publicaciones.
Mifsud Elvira. (Marzo 2012). Pilares de la Seguridad de la Información: confidencialidad, integridad
y disponibilidad. Retrieved from http://blog.firma-e.com/pilares-de-la-seguridad-de-la-
informacion-confidencialidad-integridad-y-disponibilidad/
70
10. REFERENCIAS
Aguinaga, E., & Ryan, H. (2013). Análisis y diseño de un sistema de gestión de seguridad de
información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y
comercialización de productos de consumo masivo. Obtenido de
http://tesis.pucp.edu.pe/repositorio//handle/123456789/4957
Aguirre Juan y Aristizabal Catalina. (Agosto, 2013). Diseño del sistema de gestión de seguridad de la
información para el grupo empresarial la ofrenda. Proyecto de grado, universidad tecnológica de
Pereira.
Aurela Jose y Segovia Antonio. (Junio 2013). Plan de implementación de la norma ISO/IEC
27001:2005. Master interuniversitario en seguridad de las tecnologías de la información y las
comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat
Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears.
blogfirmae. (n.d.). Pilares de la Seguridad de la Información: confidencialidad, integridad y
disponibilidad. Obtenido de http://blog.firma-e.com/pilares-de-la-seguridad-de-la-informacion-
confidencialidad-integridad-y-disponibilidad/
Córdova Rodríguez, Norma Edith. (Lima, 2003). Plan de seguridad informática para una entidad
financiera. Trabajo Monográfico (Lic.)-- Universidad Nacional Mayor de San Marcos. Facultad
de Ciencias Matemáticas.
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la
Administración Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información. Libro I – Método. Madrid España:
Ministerio de Hacienda y Administraciones Públicas, Secretaría General Técnica, Subdirección
General de Información, Documentación y Publicaciones y Centro de Publicaciones.
EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.
Espinoza Aguinaga y Hans Ryan. (Octubre 2013). Análisis y diseño de un sistema de gestión de
seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de
producción y comercialización de productos de consumo masivo. Tesis de grado facultad de
ciencias e ingeniería, pontificia universidad católica del Perú.
71
Introducción a la seguridad informática. (n.d.). Retrieved August 10, 2015, de
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Retrieved August 11, 2015, de
http://www.pmnconsultores.com/ISO31000
ISO/IEC27000. (n.d). Organización Internacional para la Estandarización, Gestión de seguridad de la
información. Obtenido de
http://www.iso.org/iso/home/standards.htm
Normas Apa 2015. (n.d.). Obtenido de http://normasapa.net/actualizacion-apa-2015/
Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition.
CRC Press.
Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/
Sistema de gestión de la seguridad de la información. (2015, June 3). In Wikipedia, la enciclopedia
libre. Obtenido de
https://es.wikipedia.org/w/index.php?title=Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_
informaci%C3%B3n&oldid=82939765
Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and
breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la
ingeniería y la tecnología (IJET)