modelo de gestiÓn de riesgos de la …repository.udistrital.edu.co/bitstream/11349/8322/1/proyecto...
TRANSCRIPT
0
2017
HAWIN ANDREI TAPIERO TAPIERO
HEINER SUAREZ RAMIREZ
MODELO DE GESTIÓN DE
RIESGOS DE LA
SEGURIDAD DE LA
INFORMACIÓN EN
EMPRESAS DEL SECTOR
ASEGURADOR UTILIZANDO
LA NORMA ISO/IEC 27005
1
MODELO DE GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL
SECTOR ASEGURADOR UTILIZANDO LA NORMA ISO/IEC 27005
HAWIN ANDREI TAPIERO TAPIERO HEINER SUAREZ RAMIREZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA BOGOTÁ
2017
2
MODELO DE GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN EN EMPRESAS DEL
SECTOR ASEGURADOR UTILIZANDO LA NORMA ISO/IEC 27005
HAWIN ANDREI TAPIERO TAPIERO HEINER SUAREZ RAMIREZ
Proyecto presentado como requisito para optar al título de Ingeniería en Telemática
TUTOR: JAIRO HERNANDEZ GUTIERREZ
Ingeniero en Sistemas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA BOGOTÁ
2017
3
Nota de aceptación
Tutor
Jurado
Bogotá D.C. ___Abril de 2017
4
TABLA DE CONTENIDO
TABLA DE CONTENIDO......................................................................................... 4
1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ......................................... 17
1.1. TITULO .................................................................................................... 17
1.2. PLANTEAMIENTO DEL PROBLEMA ...................................................... 17
1.3. OBJETIVOS ............................................................................................. 18
1.3.1. Objetivo General ................................................................................ 18
1.3.1. Objetivo Específicos .......................................................................... 18
1.4. SOLUCIÓN TECNOLÓGICA ................................................................... 18
1.5. MARCO DE REFERENCIA ...................................................................... 20
1.5.1. Marco teórico ..................................................................................... 20
1.5.2. Antecedentes ..................................................................................... 24
Norma ISO/IEC 27005 ................................................................................... 25
1.5.3. Marco Metodológico .......................................................................... 27
1.6. CRONOGRAMA ....................................................................................... 28
1.7. FACTIBILIDAD ECONÓMICA .................................................................. 29
1.7.1. Factibilidad Económica: Recursos Humanos .................................... 29
1.7.2. Factibilidad Económica: Recursos Técnicos ..................................... 29
1.7.3. Total Factibilidad Costo Total ............................................................ 30
1.8. FACTIBILIDAD TÉCNICA. ....................................................................... 30
1.9. FACTIBILIDAD OPERATIVA. .................................................................. 30
2. ANALISIS DE LA SITUACIÒN ACTUAL ........................................................ 32
2.1. CASO ESTUDIO ...................................................................................... 32
2.2. INFORMACIÓN TECNICA ....................................................................... 37
2.2.1. CARACTERIZACIÓN DE LA RED ACTUAL...................................... 37
2.3. SITUACIÓN ACTUAL DE METLIFE EN SEGURIDAD DE LA
INFORMACIÓN ................................................................................................. 50
2.4. RECOPILACIÓN DE INFORMACIÓN ...................................................... 50
3. ETAPA DE PLANEACIÓN ............................................................................. 52
3.1. MATRIZ DOFA ......................................................................................... 52
3.1.1. Análisis DOFA ................................................................................... 52
5
3.1.2. Matriz DOFA ...................................................................................... 53
3.2. DECLARACIÓN DE APLICABILIDAD ...................................................... 54
3.3. ALCANCE DEL SGSI EN EL CASO ESTUDIO ....................................... 54
3.3.1. Norma ISO/IEC 27005 ....................................................................... 55
3.4. METODOLOGIA A USAR ........................................................................ 56
3.5. TIPOS DE ACTIVOS ................................................................................ 56
3.6. IDENTIFICACIÓN DE ACTIVOS .............................................................. 56
3.6.1. Hardware (Equipamiento Informático) ............................................... 57
3.6.2. Activo de Información (Datos) ........................................................... 57
3.6.3. Infraestructura.................................................................................... 58
3.6.4. Personas ........................................................................................... 58
3.6.5. Servicios ............................................................................................ 59
3.6.6. Software ............................................................................................ 59
3.7. CODIFICACIÓN O ETIQUETACIÓN DE LOS ACTIVOS ......................... 60
3.7.1. Etiquetación Tipo de Activo ............................................................... 60
3.8. CRITERIOS PARA LA VALORACIÓN DE ACTIVOS............................... 60
3.8.1. Valoración de Activos por tipo ........................................................... 61
3.8.1.1. Valoración de activos de hardware ................................................... 61
3.8.1.2. Valoración de activos de información ................................................ 62
3.8.1.3. Valoración de activos de infraestructura ........................................... 62
3.8.1.4. Valoración de activos de personas .................................................... 63
3.8.1.5. Valoración de activos de servicios .................................................... 63
3.8.1.6. Valoración de activos de software ..................................................... 63
3.9. VALORACIÓN DEL IMPACTO ................................................................ 64
3.9.1. Valoración del impacto de activos ..................................................... 65
3.9.1.1. Valoración de impacto Hardware ..................................................... 65
3.9.1.2. Valoración de impacto Información .................................................. 66
3.9.1.3. Valoración de impacto Personas ...................................................... 66
3.9.1.4. Valoración de impacto Infraestructura .............................................. 67
3.9.1.5. Valoración de impacto Servicios ...................................................... 67
3.9.1.6. Valoración de impacto Software ....................................................... 67
3.10. IDENTIFICACION DE AMENAZAS ...................................................... 68
6
3.10.1. Tipos de Amenazas ........................................................................ 69
3.10.1.1. Amenazas de tipo acciones no autorizadas ................................... 69
3.10.1.2. Amenazas de tipo Compromiso de la Información ......................... 69
3.10.1.3. Amenazas de tipo Compromiso de las Funciones ......................... 70
3.10.1.4. Amenazas de tipo Daño físico ........................................................ 70
3.10.1.5. Amenazas de tipo Eventos naturales ............................................. 70
3.10.1.6. Amenazas de tipo Fallas técnicas .................................................. 70
3.10.1.7. Amenazas de tipo Perdida de los servicios esenciales .................. 71
3.10.2. Origen de las Amenazas ................................................................ 71
3.10.2.1. Eventos naturales y su origen ......................................................... 71
3.10.2.2. Acciones no autorizadas y su origen ............................................... 72
3.10.2.3. Compromiso de la información y su origen ..................................... 72
3.10.2.4. Compromiso de las funciones y su origen ....................................... 72
3.10.2.5. Daño físico y su origen .................................................................... 73
3.10.2.6. Fallas técnicas y su origen .............................................................. 73
3.10.2.7. Pérdida de los servicios esenciales y su origen .............................. 73
3.11. IDENTIFICACION DE VULNERABILIDADES ....................................... 74
3.11.1. Valoración de Vulnerabilidad por Amenazas de tipo de Activo ...... 74
3.11.1.1. Vulnerabilidades por Hardware ....................................................... 75
3.11.1.2. Vulnerabilidades por Infraestructura ................................................ 75
3.12. VALORACION DETALLADA DE LOS RIESGOS EN LA SEGURIDAD
DE LA INFORMACION ...................................................................................... 76
3.12.1. Relación entre Impacto, Probabilidad y Riesgo .............................. 76
3.12.1.1. Matriz de Riesgo ............................................................................. 77
4. POLITICAS Y CONTROLES DE SEGURIDAD .............................................. 79
4.1. PROCEDIMIENTOS Y CONTROLES ...................................................... 79
4.2. POLITICAS DE SEGURIDAD .................................................................. 79
5. CONCLUSIONES .......................................................................................... 81
6. RECOMENDACIONES .................................................................................. 82
7. REFERENCIAS .............................................................................................. 83
8. ANEXOS ........................................................................................................ 87
8.1. Anexo A. Controles ISO27002 ................................................................. 87
7
8.2. Anexo B. Cuadro de Riesgos ................................................................... 94
8.2.1. Identificación de activos ..................................................................... 94
8.2.2. Identificación de Amenazas. .............................................................. 96
8.2.3. Identificación de Vulnerabilidades por Activo .................................... 97
8.2.4. Identificación y valoración de Riesgos ............................................. 100
8.3. Anexo C. Políticas de Seguridad ............................................................ 100
LISTA DE ANEXOS
Anexo A. ControlesISO27002.xls (En medio magnético)
Anexo B. Cuadro de Riesgos.xls (En medio magnético)
Anexo C. Políticas de Seguridad. (En medio magnético)
8
LISTA DE TABLAS
Tabla 1: Factibilidad Económica: Recursos Humanos .......................................... 29
Tabla 2: Factibilidad Económica: Recursos Técnicos ........................................... 29
Tabla 3: Total Factibilidad costo total .................................................................... 30
Tabla 4.Caracterización de Servidores ................................................................. 39
Tabla 5: Análisis DOFA ......................................................................................... 52
Tabla 6: Matriz DOFA ............................................................................................ 53
Tabla 7: Etiquetación Tipo de Activo ..................................................................... 60
Tabla 8: Criterios de valoración de activos ............................................................ 61
Tabla 9: Valoración de activos de hardware ......................................................... 61
Tabla 10: Valoración de activos de información .................................................... 62
Tabla 11: Valoración de activos de infraestructura ................................................ 62
Tabla 12: Valoración de activos de personas ........................................................ 63
Tabla 13: Valoración de activos de servicios......................................................... 63
Tabla 14: Valoración de activos de software ......................................................... 63
Tabla 15: Valoración de impacto Hardware .......................................................... 65
Tabla 16: Valoración de impacto Información ....................................................... 66
Tabla 17: Valoración de impacto Personas ........................................................... 66
Tabla 18: Valoración de impacto Infraestructura ................................................... 67
Tabla 19: Valoración de impacto Servicios ........................................................... 67
Tabla 20: Valoración de impacto Software ............................................................ 67
Tabla 21: Amenazas de tipo acciones no autorizadas .......................................... 69
Tabla 22: Amenazas de tipo Compromiso de la Información ................................ 69
Tabla 23: Amenazas de tipo Compromiso de las Funciones ................................ 70
Tabla 24: Amenazas de tipo Daño físico ............................................................... 70
Tabla 25: Amenazas de tipo Eventos naturales .................................................... 70
Tabla 26: Amenazas de tipo Fallas técnicas ......................................................... 70
Tabla 27: Amenazas de tipo Perdida de los servicios esenciales ......................... 71
Tabla 28: Origen de las Amenazas ....................................................................... 71
Tabla 29: Eventos naturales y su origen ............................................................... 71
Tabla 30: Acciones no autorizadas y su origen ..................................................... 72
Tabla 31: Compromiso de la información y su origen ........................................... 72
Tabla 32: Compromiso de las funciones y su origen ............................................. 72
Tabla 33: Daño físico y su origen .......................................................................... 73
Tabla 34: Fallas técnicas y su origen .................................................................... 73
Tabla 35: Pérdida de los servicios esenciales y su origen .................................... 73
Tabla 36: Vulnerabilidades por Hardware ............................................................. 75
Tabla 37: Vulnerabilidades por Infraestructura ...................................................... 75
Tabla 38: Riesgos Inherentes................................................................................ 77
Tabla 39: Riesgo Residual .................................................................................... 77
Tabla 40. Políticas de seguridad ........................................................................... 87
9
Tabla 41. Aspectos Organizativos ......................................................................... 87
Tabla 42. Seguridad Ligada a los RR.HH ............................................................. 88
Tabla 43. Gestión de activos ................................................................................. 88
Tabla 44. Control de Accesos ............................................................................... 89
Tabla 45. Cifrado ................................................................................................... 89
Tabla 46.Seguridad Física y Ambiental ................................................................. 90
Tabla 47. Seguridad en la Operativa ..................................................................... 90
Tabla 48.Seguridad en las Telecomunicaciones ................................................... 91
Tabla 49.Adquisición, Desarrollo y Mantenimiento de los SI ................................. 92
Tabla 50. Relaciones con Suministradores ........................................................... 92
Tabla 51. Gestión de Incidentes ............................................................................ 93
Tabla 52. Aspectos de Seguridad de la Información ............................................. 93
Tabla 53. Cumplimiento ........................................................................................ 94
Tabla 54. Identificación de Activos ........................................................................ 94
Tabla 55. Identificación de Amenazas ................................................................... 96
Tabla 56. Identificación de Vulnerabilidades por Activo ........................................ 97
10
LISTA DE FIGURAS
Figura 1: Gestión de riesgos ................................................................................. 21
Figura 2: Ciclo PDCA ............................................................................................ 26
Figura 3: Cronograma ........................................................................................... 28
Figura 4: Organigrama MetLife Colombia ............................................................. 36
Figura 5: Topología de la red de datos de MetLife ................................................ 44
Figura 6: enlace de red de datos entre Colombia y Estados Unidos ..................... 45
Figura 7: Enlace de red de datos punto a punto entre dos oficinas de MetLife ..... 45
Figura 8: Red de datos de una sucursal de MetLife .............................................. 46
Figura 9: Aplicación SACC de MetLife .................................................................. 47
Figura 10: Aplicación Ramos Inviduales de MetLife .............................................. 48
Figura 11: Aplicación AS400 de MetLife ............................................................... 41
Figura 12: Aplicación GSP de MetLife ................................................................... 48
Figura 13: Página de inicio del sitio web de MetLife .............................................. 49
Figura 14: Servicios en línea que ofrece el sitio web de MetLife ........................... 50
11
AGRADECIMIENTOS
Expresamos nuestros más sinceros agradecimientos:
A nuestro tutor el ingeniero Jairo Hernández Gutiérrez quien nos prestó su
constante apoyo para el desarrollo de este proyecto resolviendo las dudas que
surgían acerca de los diferentes temas.
A nuestras familias quienes estuvieron apoyándonos durante todo el transcurso
del proyecto, dándonos apoyo en diferentes índoles.
Y muchas gracias a todas las personas que siempre estuvieron prestas a
colaborarnos en la solución de las dudas que surgieron durante el desarrollo del
proyecto.
12
RESUMEN
En este documento, da a conocer el desarrollo de un modelo de gestión de riesgos
de la seguridad de la información dirigido a empresas del sector asegurador, con
base en el enfoque de gestión de riesgos de la norma técnica colombiana NTC-
ISO/IEC 27005:2008, la cual ofrece las pautas para implementar
satisfactoriamente un modelo de seguridad en cualquier tipo de organización que
quiera mitigar el riesgo en la seguridad de la información.
Se realizó un análisis a la situación actual de las empresas aseguradoras, para
determinar su estado en la gestión del riesgo en la seguridad de la información, y
así poder comparar los datos obtenidos con los estándares que se están
trabajando actualmente en gestión del riesgo en la seguridad de la información.
Se hizo una valoración de activos presentes en las empresas aseguradoras y se
evaluaron los impactos que pueden llegar a tener para la entidad.
Se determinaron cuáles pueden ser las vulnerabilidades en las aseguradoras en
cuanto a la seguridad de la información y se buscaron los métodos de evaluación,
para poder disminuir los riesgos en cada uno de los hallazgos.
Se definieron políticas de seguridad de la información que permiten reducir las
vulnerabilidades y amenazas en las entidades aseguradoras.
Se realizó una valoración cualitativa y cuantitativa de los riesgos en seguridad de
la información a los que puede estar expuesta una empresa aseguradora.
Finalmente, se describen las recomendaciones para generar un informe donde se
evidencien hallazgos que permiten definir estrategias en la gestión de riesgos de
la seguridad de la información y partir de estas crear planes de acción ajustados a
la realidad de las entidades del sector asegurador, que les puedan servir para
mantener a salvo la información de los asegurados, la cual es el activo más
importante en este sector.
13
ABSTRACT
In this document, based on the risk management approach of the Colombian
technical standard NTC-ISO / IEC 27005: 2008, in order to know the development
of an information security risk management model for companies in the insurance
sector, Which provides the guidelines for successfully implementing a security
model in any type of organization that wants to mitigate the risk in information
security.
An analysis was made of the current situation of the insurance companies, to
determine their status in the management of the risk in the information security,
and thus power The data were obtained with the standards that are currently
working in the risk management in Information Security
An asset valuation was made in the insurance companies and the impacts that
they may have for the entity were evaluated.
It was determined what the vulnerabilities in the insurers may be in terms of
information security and to look for the evaluation methods to reduce the risks in
each of the findings.
Information security policies were defined to reduce vulnerabilities and threats in
insurance companies.
A qualitative and quantitative assessment of the security risks of the information in
which an insurance company may be exposed.
Strategies in risk management of information security and the creation of action
plans adjusted to the reality of insurance sector entities the service to keep the
information of the insured, which is the most important asset in this sector.
14
INTRODUCCIÒN
El presente trabajo se refiere al tema de la gestión de riesgos en la seguridad de la
información, teniendo en cuenta que es uno de los temas más importantes en la
actualidad y en cualquier tipo de organización, ya que los datos son uno de los
activos más transcendentales que existen hoy por hoy, puesto que con ellos se
pueden realizar diversidad de estudios para obtener beneficios de los mismos.
La característica principal de la seguridad de la información es conservar la
confidencialidad, integridad y disponibilidad de la información, si alguna de estas
características falla no estamos ante nada seguro.
Para analizar este tema es necesario mencionar las causas que pueden llegar
afectar la seguridad de la información en las organizaciones, y para este trabajo
en particular se realizó el caso estudio con la compañía de seguros MetLife
Seguros de Vida Colombia, donde se evidencia que aún se incluyen aspectos
informáticos clásicos como los controles perimetrales, la vulnerabilidad, la
detección de intrusos en los sistemas, pero ahora, además, se debe garantizar
que el personal sea capaz de gestionar la información de la organización de una
forma segura, independientemente del formato o soporte en el que se encuentra.
La investigación de este trabajo se realizó por el interés de conocer, como la
información juega un papel importante dentro de una organización y con base a
esto se debe garantizar que la misma se encuentre protegida, bajo estándares de
calidad que permitan que se le brinde un buen manejo, evitando que sus
características sean vulneradas y facilitando a cualquier compañía su
administración, dando respaldo y seguridad a sus clientes de que su información
se encuentra en un lugar seguro y confiable.
Teniendo en cuenta lo anterior para este trabajo se tuvo en cuenta los
lineamientos propuestos en la norma técnica colombiana NTC-IS0/IEC
27005:2008, esta norma proporciona directrices para la gestión del riesgo en la
seguridad de la información en una organización, dando soporte particular a los
requisitos de un sistema de gestión de seguridad de la información (SGSI) de
acuerdo con la norma NTC-ISO/IEC 27001.
Lo que se busca con este trabajo es primero identificar la situación actual de la
compañía MetLife seguros de vida con respecto a la seguridad de la información,
realizando una valoración de sus activos, identificando vulnerabilidades y
amenazas que se puedan presentar, con el fin de buscar métodos basados en la
norma NTC-IS0/IEC 27005:2008 que permitan reducirlas fortaleciendo este activo
tan importante para la compañía.
15
JUSTIFICACIÒN
Teniendo en cuenta la situación problema, se desarrolló este proyecto pensando
en cada uno de los clientes pertenecientes a las diferentes aseguradoras del país,
ya que a través de la adquisición de pólizas de seguro se brinda información
sensible con el fin de acceder a dichos seguros, de ahí la importancia de que la
información brindada por las personas se trate de forma adecuada brindando
tranquilidad y confiabilidad a sus clientes, con el fin de garantizar de una u otra
forma su permanencia en las compañías.
Por otro lado cabe resaltar que a través de un manejo seguro y confiable de la
información se evite que gente inescrupulosa tenga acceso a la información y le
dé un manejo inapropiado, para ello a través de este proyecto lo que se busca es
que con ayuda e implementación de la norma ISO/IEC 27005 se evite al máximo
que la información sea vulnerable, gestionando todo lo referente a la seguridad de
la información. En el presente documento se detalla un modelo de gestión de
riesgo estructurado que permitirá para este caso puntual a las empresas de
seguro tener definidos unos controles, políticas y demás mecanismos que
permitan tener un alto nivel de seguridad en el manejo de la información,
garantizando a sus clientes que su información está en buenas manos.
Por último es importante en este estudio identificar muy bien las amenazas y
vulnerabilidades presentadas actualmente en las aseguradoras, ya que este será
el punto de partida para tomar los correctivos necesarios y así de esta manera
evitar que el riesgo se materialice trayendo consigo consecuencias negativas para
las empresas de seguro.
16
CAPITULO I
DEFINICIÓN, PLANEACIÓN Y
ORGANIZACIÓN
17
1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
1.1. TITULO
Modelo de gestión de riesgos de la seguridad de la información en empresas del sector asegurador utilizando la norma ISO/IEC 27005.
1.2. PLANTEAMIENTO DEL PROBLEMA
En las empresas del sector asegurador se manejan grandes volúmenes de
información, de ahí la importancia de tener un sistema de seguridad de la
información que permita la gestión de vulnerabilidades, riesgos y amenazas a las
que normalmente se ve expuesta esta información presente en cada uno de los
procesos internos de estas compañías, en algunas de estas empresas no se
tienen estandarizados controles que lleven a mitigar delitos informáticos o
amenazas a los que están expuestos los datos, comprometiendo la integridad,
confidencialidad y disponibilidad de la información.
Existen procedimientos creados subjetivamente por iniciativa y experiencia de los
miembros del equipo trabajo de cada empresa; por ejemplo, no existe una política
clara de uso de claves de usuario, no se tienen en cuenta estándares de calidad
en el manejo de los servicios y procesos, se maneja información de manera
inapropiada siendo vulnerables a la fuga de datos y manipulación de la
información por parte de personas no autorizadas.
Es necesario tener en cuenta que las empresas de seguros han tomado fuerza en
los últimos años y uno de los inconvenientes más significativos dentro del manejo
de la información debido a que ha ido creciendo paulatinamente y no se ha
tomado conciencia de la importancia de asegurar la información existente; a
medida que avanza es necesario adoptar y crear políticas que regulen las buenas
prácticas en cada una de las transacciones, procesos y recursos relacionados con
la información y para esto, es indispensable realizar el análisis de riesgos de la
seguridad de la información.
De no integrar dentro de sus sistemas, buenas prácticas y recomendaciones de
seguridad informática, resultado del análisis de riesgos; muy seguramente en un
futuro cercano podría ser víctima de delitos informáticos que obstaculicen su
normal funcionamiento como lo pueden ser intrusiones, modificación y/o robo de
información, denegación de servicios, entre otros.
¿Cómo identificar y tratar los riesgos que afecten la seguridad de la información en
empresas del sector asegurador, con el fin de definir e implementar a futuro un
Modelo de Gestión de Seguridad de la Información, mediante el análisis de
riesgos?
18
1.3. OBJETIVOS
1.3.1. Objetivo General
Desarrollar un modelo de gestión de riesgos de la seguridad de la información
dirigido a empresas del sector asegurador, con base en el enfoque de gestión de
riesgos de la norma ISO/IEC 27005.
1.3.1. Objetivo Específicos
Realizar un análisis actual de las empresas aseguradoras, para
determinar su estado en la gestión del riesgo en la seguridad de la
información, en comparación con los estándares que se están
trabajando actualmente.
Hacer una valoración de activos y la evaluación del impacto en las
empresas del sector asegurador.
Establecer las vulnerabilidades y buscar sus métodos de evaluación,
con el fin de disminuir los riesgos en la seguridad de la información.
Definir políticas de seguridad que permitan reducir las vulnerabilidades y
amenazas que se puedan presentar en las empresas del sector
asegurador.
Realizar una valoración cualitativa y cuantitativa de los riesgos a los que
puede estar expuesta una empresa de seguros.
Diseñar recomendaciones para generar un informe donde se evidencien
hallazgos que permitan definir estrategias en la gestión de riesgos y con
base en éstas crear planes de acción ajustados a la realidad de las
empresas del sector asegurador.
1.4. SOLUCIÓN TECNOLÓGICA
En la actualidad las empresas y organizaciones de cualquier índole deben
considerar dentro de sus planes de gobierno el aseguramiento de la información
generando políticas y controles bien sea en busca de garantizar la continuidad del
negocio o de una certificación como carta de presentación y de distinción ante la
competencia. Es importante que las empresas y en este caso particular las de
seguros tomen conciencia de la necesidad de alinear sus objetivos institucionales,
asegurar el flujo de información, optimizar recursos y garantizar la
confidencialidad, disponibilidad e integridad de la misma.
Este es uno de los retos que deben asumir las compañías de seguros, para estar
acorde a los modelos y estándares actuales; para ello es necesario empezar con
la ejecución del análisis de riesgos de la seguridad de la información, hacer una
valoración de los activos con los que se cuenta, una evaluación de los impactos
que dichos activos puedan tener, con el fin de que en un futuro sean la base para
19
implementar el sistema de gestión de seguridad de la información (SGSI), que
permitirá mantener un modelo de negocio estable logrando un valor agregado y
posicionamiento a nivel regional.
Teniendo en cuenta lo anterior es importante tener un análisis de riesgos en estas
empresas con el fin de garantizar una mayor efectividad y eficiencia dentro de
cada uno de los procesos, para ello dentro de este proyecto se utilizará la norma
ISO/IEC 27005:2008 como referencia para desarrollar un modelo de gestión de
riesgo en la seguridad de la información y así disminuir los riesgos que se puedan
presentar en el tratamiento de la información, partiendo del conocimiento de las
fortalezas y debilidades, con el fin de mejorar el control y la administración de
recursos tecnológicos acorde a los estándares nacionales e internacionales que
buscan proporcionar mecanismos y herramientas para adoptar buenas prácticas
de seguridad de la información y que de esta forma se logren los objetivos
corporativos de cada compañía aseguradora.
Este proyecto comprende el desarrollo de un modelo de gestión de riesgos basado
en la norma ISO/IEC 27005:2008 dirigido a las empresas del sector asegurador y
con el cual se pretende apoyar el proceso organizacional de estas empresas del
sector público y privado, es importante aclarar que el proyecto es un modelo que
se planteara para su uso, sin embargo no llegará a una etapa de implementación,
será un marco de referencia donde se busca reducir los riesgos en el manejo de la
información y un material que se deja a disposición para que sea tomado como
material de apoyo a la hora de requerir un modelo de este tipo.
Es importante aclarar que el entregable es un modelo guía enfocado en el
tratamiento de los riesgos de la seguridad de la información en las empresas
aseguradoras, donde se brinden recomendaciones que permitan definir un
sistema de análisis de riesgos ajustado a la realidad de las empresas del sector
asegurador con ayuda de la norma ISO/IEC 27005:2008
20
1.5. MARCO DE REFERENCIA
1.5.1. Marco teórico
DE LA IDENTIFICACIÓN Y ANÁLISIS A LA GESTIÓN DE RIESGOS DE
SEGURIDAD
Uno de los pilares de la gestión de la seguridad de la información se encuentra en
la gestión de riesgos, que del mismo modo, también se trata de unas de las
actividades básicas que son establecidas en los estándares de seguridad.
De este modo, una cantidad importante de esfuerzos enfocados en la protección
de la información, los activos y el negocio deriva de los resultados obtenidos de la
valoración y priorización que se realiza a los riesgos de seguridad. Estos son, en
gran medida, utilizados para la toma de decisiones.
Por estas razones, en esta publicación abordaremos los aspectos básicos de la
gestión de riesgos, como una de las actividades fundamentales para la gestión de
la seguridad de la información.1
Definiciones y conceptos: ¿riesgo o amenaza?
Adicional a otras actividades clave como la conformación de un gobierno o la
formulación y aplicación de políticas de seguridad, la gestión de riesgos forma
parte de las primeras y más importantes actividades.
Es necesario tener en cuenta las siguientes definiciones. Para tener el contexto
general, es importante recordar que el diccionario indica que un riesgo se entiende
como una “contingencia o la proximidad de un daño”, ya que si el daño no está
“próximo”, se habla de una amenaza.
En el contexto de la seguridad y en términos del estándar ISO 27001, un riesgo
puede ser expresado como el efecto de la incertidumbre sobre los objetivos de
seguridad de la información. También, están asociados a la causa potencial de
que una amenaza pueda explotar una o más vulnerabilidades de un activo o grupo
de activos de información, teniendo como consecuencia algún tipo de daño.
Generalmente, los riesgos se expresan en términos de la combinación de la
posibilidad de ocurrencia de un evento no deseado (probabilidad) y sus
consecuencias (impacto), por lo que las medidas de seguridad están orientadas a
reducir alguna de estas dos variables, o en el mejor de los casos a ambas.
1 MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de riesgos de seguridad. {En
línea}. {18 de octubre de 2016} disponible en: http://www.welivesecurity.com/la-es/2015/07/16/analisis-gestion-de-riesgos-seguridad/
21
Según lo anterior, con ayuda de los estándares desarrollados por PMI, que tiene
entre otros objetivos el establecer estándares de Dirección de Proyectos,
organizar seminarios y programas educativos y administrar la certificación de
profesionales, para el proyecto de desarrollo de un modelo de gestión de riesgos,
es posible utilizar la guía PMBOK que es un estándar desarrollado por PMI, el cual
reconoce 5 procesos básicos y 10 áreas de conocimiento comunes
aproximadamente en todos los proyectos (Inicio, Planificación, Ejecución, Control
y Monitoreo y Cierre).
Gestión de Riesgos en Tecnologías de la Información
Gestión del Riesgo es una actividad recurrente que se refiere al análisis,
planificación, ejecución, control y seguimiento de las medidas implementadas y la
política de seguridad impuesta. La actualización de establecimiento,
mantenimiento y continua mejora de un SGSI ofrecen una clara indicación de que
una empresa está utilizando un enfoque sistemático para la identificación,
evaluación y gestión de riesgos de seguridad de la información.2
Contexto de la Gestión de Riesgos de Seguridad
Luego de conocer los conceptos relacionados, revisemos el contexto junto con las
actividades que implican su aplicación y ejecución. En un sentido amplio, la
gestión involucra actividades que permiten dirigir, controlar, medir y continuamente
mejorar la organización a través de las estructuras apropiadas. En términos de
seguridad, la gestión consiste en la supervisión y toma de decisiones orientadas a
lograr los objetivos de la empresa en materia de seguridad de la información. En el
ámbito de los riesgos, se tiene como propósito principal mitigar la
materialización de amenazas, y para ello se realizan distintas actividades
(identificación, análisis y evaluación de riesgos) y fases (valoración, tratamiento y
aceptación de los mismos). Si representamos gráficamente estas actividades y
fases, podemos observarlas de la siguiente manera:
Figura 1: Gestión de riesgos
Fuente: ISO/EIC 27005
2 MURILLO POLANIA, Sujel. ISO/IEC 27005 Gestión de riesgos de seguridad de la Información. .
{En línea}. {24 de abril de 2012} disponible en: http://segweb.blogspot.com.co/2012/04/27005.html
22
Al tratarse de un proceso de mejora, se consideran otras fases y actividades
durante la gestión de riesgos. Por ejemplo, ISO/IEC 27005:2008 (que define un
proceso de gestión de riesgos de seguridad), incluye una fase previa a la
valoración, denominada ‘establecer el contexto’, donde se deben definir (entre
otros elementos), los criterios para su aceptación y priorización. También,
considera actividades transversales: monitoreo, revisión, comunicación y consulta.
De acuerdo con las actividades, la identificación pretende conocer los activos más
importantes para una organización junto con las amenazas que podrían afectarlos.
Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos
para luego ser evaluados de forma cualitativa o cuantitativa en función de los
criterios. Todo esto se considera dentro de la fase de valoración.3
Una vez que los riesgos han sido evaluados y priorizados (valorados en su
conjunto), la siguiente fase tiene como propósito llevar a cabo alguna actividad
para su tratamiento: mitigar, eliminar, transferir o aceptar. Esta etapa tiene como
objetivo la definición de las acciones a realizar con relación a los riesgos y la
aplicación de controles de seguridad.
• Mitigar. Consiste en implementar algún control que reduzca el riesgo.
• Transferir. Ocurre cuando se delega la acción de mitigación a un tercero.
• Aceptar. Se presenta cuando el impacto es suficientemente bajo para que
la organización decida no tomar ninguna acción de mitigación o cuando el
costo de la aplicación de un control supera el valor del activo.
La eliminación es una actividad ideal, ya que difícilmente se puede reducir a cero
un riesgo y generalmente se presenta cuando el activo en cuestión deja de tener
valor, por lo que los riesgos asociados pueden ser descartados. Cuando se ha
definido una acción para cada riesgo valorado, es necesario que los resultados
sean aceptados y las medidas de seguridad aplicadas. Esto se vuelve necesario
ya que al aplicar una contramedida o control, todavía se cuenta con un riesgo
denominado residual, es decir, un remanente que debe ser aprobado.
Gestión de Riesgos: Actividad Básica para la Seguridad
Los esfuerzos realizados a través de la aplicación de medidas de seguridad se
concretan en mitigar riesgos, de manera que la realización de un ataque o la
materialización de una amenaza sea impráctica, no viable o con las
3 MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de riesgos de seguridad. {En
línea}. {18 de octubre de 2016} disponible en: http://www.welivesecurity.com/la-es/2015/07/16/analisis-gestion-de-riesgos-seguridad/
23
consecuencias mínimas aceptables. Por lo tanto, retoma relevancia la idea sobre
la seguridad, relacionada con el hecho de que aunque no se pueda garantizar por
completo, los riesgos deben ser tratados y reducidos hasta un nivel que, en caso
de presentarse, no involucren consecuencias considerables. Esta es la idea básica
de la gestión de riesgos. Además, debido a que el riesgo es variable, el daño tiene
como base el valor del activo y cualquier cambio en las variables lo modifica. En
términos de la gestión, suelen aceptarse los riesgos poco probables o de bajo
impacto, así como aquellos que no afectan un activo de valor. Por todo lo anterior,
la gestión resulta fundamental en busca de dirigir, controlar y tomar las mejores
decisiones.
En la Facultad Tecnológica de la Universidad Distrital Francisco José de Caldas,
se han desarrollado algunos proyectos relacionados con la gestión de riesgos,
como los siguientes:
GESTIÓN DE RIESGOS TECNOLÓGICOS BASADA EN ISO 31000 E ISO
27005 Y SOPORTE A LA CONTINUIDAD DE NEGOCIOS Realizado por
Alexandra Ramírez Castro
MODELO DE CONFIABILIDAD BASADO EN LA NORMA DE GESTIÓN DE
RIESGO ISO 31000 PARA EMPRESAS DE DISTRIBUCIÓN DE ENERGÍA
ELÉCTRICA EN CIRCUITOS RADIALES. Realizado por Andrés Mauricio
Rueda Triana y Yaqueline Garzón Rodríguez
PLAN DE EJECUCIÓN DE AUDITORIA INTERNA PARA EL GRUPO
PHOENIX, Realizado por Sandra Patricia Ardila Lara, Elizabeth Taylor
Cubillos Torrecillas y Manuel Alfonso Mayorga Morato
Algunos proyectos que se han realizado sobre gestión de riesgos en la seguridad
de la información, son los siguientes:
GUIA DE GESTIÓN DE RIESGOS. SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN. Realizado por el Ministerio de Tecnologías de la
Información y las Comunicaciones.
GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN CON
BASE EN LA NORMA ISO/IEC 27005 DE 2011, PROPONIENDO UNA
ADAPTACIÓN DE LA METODOLOGÍA OCTAVE-S. CASO DE ESTUDIO:
PROCESO DE INSCRIPCIONES Y ADMISIONES EN LA DIVISIÓN DE
ADMISIÓN REGISTRO Y CONTROL ACADÉMICO (DARCA) DE LA
UNIVERSIDAD DEL CAUCA. Realizado por Diego Espinosa, Juan Martínez
y Siler Amador de la Universidad del Cauca.
24
ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD
INFORMÁTICA EN LA EMPRESA ASEGURADORA SUÁREZ PADILLA &
CÍA. LTDA, QUE BRINDE UNA ADECUADA PROTECCIÓN EN
SEGURIDAD INFORMÁTICA DE LA INFRAESTRUCTURA
TECNOLÓGICA DE LA ORGANIZACIÓN. Realizado por Sandra Yomay
Suarez Padilla de la Universidad Nacional Abierta Y A Distancia.
DESARROLLANDO UNA METODOLOGÍA DE ANÁLISIS DE RIESGOS
PARA QUE EL SECTOR ASEGURADOR PUEDA TASAR LOS RIESGOS
EN LAS PYMES. Realizado por Antonio Santos, Luis Enrique Sánchez y
Eduardo Fernández de la Universidad de Alicante.
1.5.2. Antecedentes
SGSI: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de
la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.4
En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de
su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.
Fundamentos:
Para garantizar que la seguridad de la información es gestionada correctamente
se debe identificar inicialmente su ciclo de vida y los aspectos relevantes
adoptados para garantizar su C-I-D:
Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
4 SGSI. http://www.iso27000.es/sgsi.html. 2015
25
Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
En base al conocimiento del ciclo de vida de cada información relevante se debe
adoptar el uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
Norma ISO/IEC 27005
Esta norma suministra directrices para la gestión de riesgo en la seguridad de la
información.
Esta norma brinda soporte a los conceptos generales que se especifican en la
norma NTC–ISO/IEC 27001 y está diseñada para facilitar la implementación
satisfactoria de la seguridad de la información con base en el enfoque de gestión
de riesgo.
El conocimiento de os conceptos, modelos, procesos y terminologías que se
describen en la norma NTC–ISO/IEC 27001 y en NTC–ISO/IEC 27002, es
importante para la total compresión de la norma.
Esta norma se aplica a todos los tipos de las organizaciones (por ejemplo
empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro)
que pretenden gestionar los riesgos que podrían comprometer la seguridad de la
información de la organización.5
¿Qué es el Ciclo PDCA (o Ciclo PHVA)?
El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer,
Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como
Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su autor.
Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo
de forma sistemática para lograr la mejora continua, entendiendo como tal al
mejoramiento continuado de la calidad (disminución de fallos, aumento de la
eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos
potenciales…).
El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez
acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de
forma que las actividades son reevaluadas periódicamente para incorporar nuevas
5 - NTC-ISO/IEC 27005. {19 de marzo de 2017} disponible en: https://
http://www.icontec.org/Ser/Ed/Paginas/Sgsi.aspx
26
mejoras. La aplicación de esta metodología está enfocada principalmente para
para ser usada en empresas y organizaciones.
Figura 2: Ciclo PDCA
Fuente: ISO/EIC 27005
¿Cómo implementar el Ciclo PDCA en una organización?
Las cuatro etapas que componen el ciclo son las siguientes:
1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden
realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar
nuevas tecnologías mejores a las que se están usando ahora, etc.
2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta.
Generalmente conviene hacer una prueba piloto para probar el funcionamiento
antes de realizar los cambios a gran escala.
3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un
periodo de prueba para verificar su correcto funcionamiento. Si la mejora no
cumple las expectativas iniciales habrá que modificarla para ajustarla a los
objetivos esperados.
4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben
estudiar los resultados y compararlos con el funcionamiento de las actividades
antes de haber sido implantada la mejora. Si los resultados son satisfactorios se
implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar
cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4,
se debe volver al primer paso periódicamente para estudiar nuevas mejoras a
implantar.
27
Hay varias formas de aplicar los principios de “Planificar, Hacer, Controlar y
Actuar”. Para saber más puedes leer este artículo sobre cómo implantar
Programas de Acciones (Correctivas, Preventivas y de Mejora), y también puedes
consultar nuestro apartado de Herramientas de mejora.
1.5.3. Marco Metodológico
En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una
metodología que permite implantar un sistema de mejora continua, esto ayudara
en el análisis de riesgo en el desarrollo del proyecto y además permitirá hacer una
mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la
Información.
En el presente proyecto se usará el ciclo Deming en una forma global de la
siguiente manera:
Planificar: En esta etapa se enmarca todo el proceso de análisis de la situación
en que actualmente se encuentra la empresa respecto a los mecanismos de
seguridad implementados y se establecen el alcance, los objetivos, los puntos de
medición dispuestos para verificar y medir. Adicionalmente se identifican los
sistemas informáticos de hardware y los sistemas de información que actualmente
utiliza la empresa para el cumplimiento de su misión u objeto social y se evalúan
los riesgos, se tratan y se seleccionan los controles a implementar.
Hacer: En esta etapa se implementan todos los controles necesarios de acuerdo a
una previa selección en la etapa de planeación, teniendo en cuenta el tipo de
empresa. También se formula y se implementa un plan de riesgo.
Verificar: Consiste en efectuar el control de todos los procedimientos
implementados en el SGSI. En este sentido, se realizan exámenes periódicos
para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos
aceptables y residuales y se realicen periódicamente auditorías internas para el
SGSI.
Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,
realizar las acciones correctivas y preventivas, mantener comunicación con el
personal de la organización relevante.
28
1.6. CRONOGRAMA
Figura 3: Cronograma
29
1.7. FACTIBILIDAD ECONÓMICA
La factibilidad económica del proyecto es alta, ya que para su desarrollo
necesitamos en términos financieros mínimo dos equipos de trabajo, espacios de
asesoría por parte del tutor del proyecto, acceso a Internet y papelería para
realizar la documentación del proyecto.
En las tablas que se presentarán a continuación se describe la factibilidad
económica, identificando los costos de papelería, hardware, software y recursos
humanos necesarios para el desarrollo del proyecto de investigación que se está
proponiendo.
La factibilidad está separada en tres aspectos, recursos humanos, recursos
técnicos y otros recursos, en la siguiente tabla se muestra el detalle de los
recursos humanos, Tabla 1 Factibilidad de Recursos Humanos.
1.7.1. Factibilidad Económica: Recursos Humanos
Tabla 1: Factibilidad Económica: Recursos Humanos
Tipo Descripción Valor-Hora Cantidad Total
Tutor Asesorías para la realización del proyecto,
referente a la metodología de trabajo.
$ 50.000 150 $ 7.500.000
2 Analistas Dos analistas que realicen el desarrollo de la
solución propuesta.
$ 35.000 10 horas
semanales
$ 7.000.000
Total Recursos Humanos $ 14.500.000
Fuente: Los Autores
Aquí se presenta el tiempo de las asesorías necesarias para el desarrollo del
proyecto y los gastos de los analistas requeridos.
En la Tabla 2 se presentarán los gastos de los recursos que se necesitan para el
desarrollo del proyecto.
1.7.2. Factibilidad Económica: Recursos Técnicos
Tabla 2: Factibilidad Económica: Recursos Técnicos
Recurso Descripción Valor Unitario Cantidad Total
Equipos de
cómputo.
Equipos de escritorio para el
desarrollo y documentación del
proyecto.
$ 1.800.000 2 $ 3.600.000
Total Recursos Técnicos $ 3.600.000
30
Fuente: Los Autores
Por último se muestran los gastos adicionales (imprevistos) en la Tabla 3 que serán solventados
por los analistas del proyecto.
1.7.3. Total Factibilidad Costo Total
Tabla 3: Total Factibilidad costo total
Recurso Valor
Total Recursos Humanos $ 14.500.000
Total Recursos Técnicos $ 3.600.000
Total Otros recursos $ 100.000
Costos imprevistos (10%) $ 1.820.000
TOTAL COSTO $ 20.020.000
Fuente: Los Autores
1.8. FACTIBILIDAD TÉCNICA.
Para el desarrollo del modelo propuesto se hará uso de un computador que cuente
con sistema operativo Windows 7, y que este equipado con las siguientes
herramientas: toda la suite ofimática de office, acceso a internet; en general un
computador que cuente con el equipamiento informático adecuado para el
desarrollo del proyecto, es importante aclarar que no se requiere una máquina de
gran capacidad ya que no se realizara ningún prototipo.
1.9. FACTIBILIDAD OPERATIVA.
El modelo de gestión que se propone se realizará de tal forma de que al momento
que cualquier empresa del sector asegurador desee implementarlo, funcione y se
adapte a sus necesidades. Se desarrollará con base a que no requiera de muchos
recursos tanto operativos como humanos para su funcionamiento y adaptación de
tal forma que sea muy sencillo de comprender al momento de que sea utilizado
por los diferentes tipos de empresas, ya que lo que se busca es que pueda ser
utilizado hasta por personas que no tengan muchos conocimientos en temas de
gestión de riesgos.
En cuanto a los analistas destinados como recurso humano del proyecto, se
cuenta con conocimientos sobre el tema al que se le dará solución y se realizará
investigación a los temas desconocidos para la implementación del modelo
propuesto. Adicionalmente se cuenta con la asesoría de nuestro tutor Jairo
Hernández Gutiérrez docente de la Universidad Distrital Francisco José de Caldas.
31
CAPITULO II
ANÁLISIS CASO ESTUDIO
32
2. ANALISIS DE LA SITUACIÒN ACTUAL
A continuación se muestra la situación actual que se tiene frente al manejo de la
información en una empresa de seguros.
2.1. CASO ESTUDIO
En la actualidad muchas de las empresas no cuentan con un sistema de gestión
de seguridad de la información completo y bien estructurado que permita
salvaguardar este activo de alto valor para las compañías, por lo cual muchas
veces se ve expuesto por no tener de forma documentada y bajo la normativa el
tratamiento adecuado de la información, exponiendo información de los clientes y
poniendo en riesgo la seguridad de los mismos.
Para este caso particular las empresas de seguros deben ser muy cuidosas en el
manejo de la información ya que muchas veces tratan información sensible de los
clientes (ingresos, activos, historias clínicas, datos básicos y familiares, etc.), por
esto la importancia de implementar mecanismos de seguridad que conlleven al
mejoramiento de las actividades y procesos que se desarrollan al interior de estas
compañías, solo de esta forma se puede garantizar que los niveles de
productividad y satisfacción de los clientes sean altos permitiendo que estas
empresas se mantengan en el mercado y sean reconocidas por su excelencia en
el servicio y en el manejo de información de sus clientes.
En la actualidad para acceder a una póliza de seguro es necesario diligenciar una
solicitud de seguro donde se debe registrar información como nombres,
direcciones, teléfonos, activos, datos de familiares para registrar como
beneficiarios, ingresos mensuales, medios de pago etc., información que se
entrega de manera física en la solicitud y la cual para su respectivo ingreso al
sistema y evaluación de aprobación del seguro debe ser manipulada por varias
personas, es aquí donde se identifica una primer oportunidad de mejora en el
tratamiento de información ya que se puede presentar manipulación, alteración o
hasta perdida de la misma.
Otro factor relevante en el manejo de información son los sistemas de información,
ya que a través de estos se gestiona la información entregada por el cliente, se
almacena, se actualiza y se elimina en un determinado momento de ser necesario,
de aquí la importancia que estos sistemas sean manejados por personal
autorizado a través de perfiles de usuario que permitan ser monitoreados
constantemente para evitar fuga de información, sin embargo muchas veces esto
no es tenido en cuenta y se encuentran casos donde se vulnera el acceso a la
33
información afectando al cliente en la seguridad, integridad y confidencialidad de
su información.
Es de aclarar que pese a cualquier medida que se tome para la protección de la
información, está siempre va estar en riesgo y puede ser vulnerable en cualquier
momento por un factor interno de la compañía o externo como incendios,
terremotos, inundaciones etc. , sin embargo dependerá del sistema de gestión de
seguridad que este riesgo sea mínimo y permita que se pueda salvaguardar y
procesar de manera apropiada la información personal de los clientes ya que esto
permitirá un alto nivel de confianza entre el cliente y la compañía junto con sus
colaboradores, es importante aclarar que las empresas de seguros deben velar
por la seguridad de la información ya que revelar de manera inapropiada o
involuntaria, así como procesar de manera ilegal la información puede afectar la
reputación de la empresa, así como exponerla a responsabilidades legales y
regulatorias.
ESTUDIO DE LA ORGANIZACIÓN
La organización de nuestro caso estudio es la aseguradora MetLife Colombia
Seguros de Vida S.A., y a continuación se da a conocer algunos datos importantes
de esta entidad.
Quiénes Somos en el Mundo
Las empresas MetLife son líderes en innovación y reconocidos en soluciones de
protección, retiro y ahorro alrededor del mundo con más de 148 años de
experiencia. A través de sus subsidiarias y compañías afiliadas, MetLife mantiene
posiciones de liderazgo en mercados como Estados Unidos, Japón, América
Latina, Asia Pacífico, Europa y Medio Oriente.
Más de 100 millones de clientes en cerca de 50 países han confiado en sus
servicios. El éxito que ha logrado la empresa en el rubro de los seguros, en gran
parte se lo atribuyen a la contribución de los más de 65.000 empleadores que han
permitido que sus empleados puedan contar con un sistema de seguridad para
ellos y sus familias
Las grandes compañías a nivel mundial, reconocen la importancia de ser cliente
de MetLife, es por esto que ofrecemos servicios a 95 de las primeras 100
empresas de FORTUNE 500®.6
6 MetLife Seguros de Vida, Quienes Somos, Disponible en:
http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html
34
Alrededor del mundo, las empresas MetLife ofrecen seguros de vida, accidentes,
retiro y ahorro, así como reaseguramiento a través de agentes, distribuidores
como bancos y corredores de seguros, y canales de marketing directo. Nosotros
trabajamos con familias, empresas y gobiernos ofreciéndoles soluciones que
otorgan garantías financieras en sus vidas. Tenemos la experiencia, recursos
globales y la visión para ofrecer certeza financiera para un mundo incierto.
FORTUNE 500® es una marca registrada de la revista FORTUNE®, una división
de Time Inc.
Quiénes Somos en Colombia
MetLife llega a Colombia en noviembre de 2010, gracias a la adquisición de Alico
(American Life Insurance Company) por parte de MetLife Inc.; por eso, y con
mucho orgullo, desde marzo de 2011 operamos bajo la marca MetLife.
Al combinar la experiencia local de 50 años en el mercado Colombiano, con la
fortaleza de un líder mundial, somos los únicos en poder ofrecer productos y
servicios únicos e innovadores, que harán mejor la vida de millones de
colombianos.
Nuestro objetivo está encaminado a convertirnos en un verdadero apoyo para
usted y los suyos, tanto en el cuidado como en la construcción de un futuro sólido,
seguro y tranquilo, mientras disfrutan de los momentos valiosos de la vida.
Actualmente contamos con 8 sedes para satisfacer las necesidades de nuestros
clientes, ubicadas en las ciudades de Bogotá, Medellín, Cali, Manizales, Pereira,
Barranquilla, Bucaramanga y Rionegro. Atendemos a más de 1.100.000
asegurados en todo el territorio nacional a través de un excelente equipo humano
con más de 1000 empleados directos y más de 300 intermediarios de seguros,
que son permanentemente capacitados para garantizar la excelencia de nuestros
servicios.
Contamos con un sistema de gestión de la calidad certificado desde el 2004 bajo
la norma ISO 9901: 2008
En MetLife disponemos de toda la experiencia, recursos y visión que se requiere
para convertirnos en un verdadero apoyo en el cuidado y la construcción de un
futuro sólido y tranquilo para todos nuestros asegurados.7 Para ello, contamos con
una completa oferta de seguros de vida individual, tradicionales y variables,
seguros de beneficios para empleados en sus modalidades de vida grupo,
hospitalización y cirugía, seguros de vida deudor, accidentes personales, seguros
de pensiones y rentas vitalicias. Trabajamos día a día para ser una compañía en
la que usted pueda confiar de por vida.
7MetLife Seguros de Vida, Quienes Somos, Disponible en:
http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html
35
La Misión de MetLife Colombia
En MetLife construimos libertad financiera para nuestros clientes ofreciendo
productos y servicios de protección y acumulación, y programas de beneficios
para empleados. Bajo principios éticos y de responsabilidad social, nuestro trabajo
está orientado a satisfacer integralmente las necesidades de los clientes, generar
utilidades para los accionistas y desarrollar nuestro talento humano.
La Visión de MetLife Colombia
Convertirnos en "One MetLife" una empresa reconocida como líder a nivel mundial
de seguros de vida y beneficios para trabajadores. A través de nuestra estrategia,
haremos que MetLife sea una empresa mundial de primer nivel.8
Valores Corporativos de MetLife Colombia
Ser los Mejores.
Buscamos nuevas y mejores formas de hacer las cosas.
Como líderes, elevamos constantemente el nivel.
Corremos riesgos calculados y
Aprendemos rápidamente de nuestros valores.
Poner a los clientes primero.
Cuidamos y respetamos a nuestros clientes.
Es el centro de todo lo que hacemos.
Define nuestro trabajo y forma de cultura de nuestra gente.
Se irradia hacia nuestros accionistas y comunidades.
Hacer las cosas fáciles.
Facilitamos la comprensión de nuestros productos.
Buscamos formas más simples para brindar mejores soluciones.
8 MetLife Seguros de Vida, Misión y Visión, Disponible en:
http://www.metlife.com.co/es/Individual/Quienes-Somos/Local/Mision-y-Vision.html
36
Superamos las expectativas de nuestros clientes.
Generamos confianza.
Tener éxito juntos.
Unidos por un propósito común.
Somos abiertos e incluyentes.
Aplicamos las mejores ideas de cualquier parte de la empresa.
Valores de la Marca
Fortaleza financiera: somos una de las compañías de seguros de vida
más grandes y con mayor respaldo y presencia a escala global.
Confianza: millones de clientes alrededor de 50 países en el mundo, y más
de 688.000 en Colombia.
Liderazgo: a través de sus subsidiarias y afiliadas, MetLife tiene posiciones
de liderazgo en los mercados de Estados Unidos, Japón, América Latina,
Asia Pacifico Europa y Oriente Medio.
Innovación: MetLife ha sido pionera en la introducción de productos y
servicios en el sector de seguros de vida.9
Organigrama MetLife Colombia
Figura 4: Organigrama MetLife Colombia
Fuente: Página web MetLife
9 MetLife Seguros de Vida, Valores, Disponible en: http://www.metlife.com.co/es/Individual/Unete-
al-equipo/Valores.html
37
Política para el tratamiento de los datos personales de MetLife Colombia
MetLife Colombia Seguros de Vida S.A.
Informa lo siguiente:
Con anterioridad a la expedición del Decreto 1377 del 27 de junio de 2013 ha
recolectado algunos de sus datos personales con ocasión de nuestra actividad.
Por eso y para los fines del artículo 10 del citado decreto, de la manera más
amable y cordial solicita su consentimiento para continuar tratando sus datos
personales de manera leal, lícita, segura y confiable para las finalidades señaladas
en nuestra autorización de tratamiento de datos personales.
MetLife Colombia Seguros de Vida S.A., ha creado una Política de Tratamiento de
Información en la cual se definen, entre otros, los principios que se cumplirán al
recolectar, almacenar, usar y realizar cualquier actividad con sus datos
personales. En la misma también se establecen los mecanismos para que ejerza
sus derechos consagrados en el artículo 15 de la Constitución Nacional, la Ley
Estatutaria 1581 de 2012 y el Decreto 1377 de 2013.
Así las cosas, cualquier decisión que de manera informada usted tome con base
en lo anteriormente expuesto, podrá comunicárnosla a través de la línea telefónica
3581258 en Bogotá dentro de los treinta (30) días hábiles siguientes a partir del 26
de julio de 2013.10
2.2. INFORMACIÓN TECNICA
2.2.1. CARACTERIZACIÓN DE LA RED ACTUAL
Infraestructura actual
MetLife Colombia Seguros de Vida S.A. determina, proporciona y mantiene la
infraestructura necesaria y adecuada para ofrecer sus servicios. La infraestructura
incluye:
Sucursal principal se encuentra ubicada en Bogotá DC. Carrera 7 No. 99 –
53 Pisos 1er, 5to y 17.
Sucursal en Bogotá DC. Calle 97 No. 23 - 60 Piso 4to, 5to y 7°.
Adicional se encuentran 7 sucursales a nivel nacional.
Cali
Medellín
10
MetLife Seguros de Vida, Autorización y Política para el Tratamiento de sus datos personales, Disponible en: http://www.metlife.com.co/es/Individual/Servicio-al-Cliente/politicas_informacion.html
38
Bucaramanga
Barranquilla
Rionegro
Manizales
Pereira.
Las cuales cuentan con amplios espacios de trabajo, iluminación adecuada,
equipos de cómputo con los programas necesarios para el buen funcionamiento
de la organización.
Se realiza mantenimiento a los elementos requeridos para la prestación del
servicio a nivel nacional de acuerdo la necesidad, y se dejan soportes de lo
ejecutado (mantenimiento general de las oficinas, mantenimiento eléctrico,
iluminación, puestos de trabajo, aire acondicionado), donde se evidencia a la
ejecución del mismo adicionalmente, existe cronograma de mantenimiento
preventivo a equipos de cómputo y servidores.
Oficina Central
Los usuarios fijos se deben repartir en los 6 pisos que tienen las dos sedes
ubicadas en la ciudad de Bogotá, el edificio principal con medidas de 30 m de
frente por 40 m de fondo, cuenta con 6 ascensores ubicados al extremo opuesto
uno del otro, pero de frente, el tamaño del ascensor es de 3.5 X 2.5 m cuadrados y
las escaleras internas están ubicadas a un costado del edificio, y su tamaño es de
2X2 m.
A una distancia en línea vista de 2.3 Km aprox. existe la otra sede, un edificio de
11 pisos en donde sus instalaciones están ubicadas en tres de ellos (4to, 5to y 7°),
donde está ubicada la fuerza de ventas, un grupo administrativo que acompaña la
labor comercial, el área de suscripción y el área de IT, la cual se interconecta con
el edificio principal mencionado por fibra óptica. Esta sucursal cuenta ya con 215
puntos de red de cableado de categoría 5E, que llegan a un centro de cableado y
se conectan a los servidores disponibles en esta sede con cada uno de los
servicios necesarios para el correcto funcionamiento del negocio.
En el edificio principal, cada puesto de trabajo ocupa el espacio adecuado
teniendo en cuenta el concepto de oficina abierta y permite la operación de correo
electrónico para todos los usuarios y acceso a Internet junto con cada una de las
aplicaciones necesarias en el CORE del negocio.
39
La oficina de recursos humanos, Vicepresidencias, Auditoria, Planeación y las
salas de juntas con todas sus ayudas audiovisuales y de comunicación están
ubicados en el piso 17, Cartera, Tesorería, Financiera y Actuaria en el piso 5to y la
oficina de atención al cliente ubicada en el 1er piso del edificio principal.
CARACTERIZACIÓN DE LOS SERVIDORES
Los servidores del CORE del negocio son DELL, los cuales contienen las
aplicaciones misionales del negocio. Entre estos servidores están los de dominio,
archivos, de correo, base de datos, clúster, proxy, aplicaciones y Web con sistema
operativo Windows Server 2012.
Tabla 4.Caracterización de Servidores
DENOMINACIÓN
DEL SERVIDOR
DESCRIPCIÓN CANTIDAD
Servidor de Correo Es el servidor que almacena, envía, recibe
y realiza todas las operaciones
relacionadas con el e-mail de MetLife
Seguros de Vida.
1
Servidor Proxy Es el servidor que actúa de intermediario
de forma que el servidor que recibe una
petición no conoce quién es el cliente que
verdaderamente está detrás de esa
petición.
1
Servidor Web Almacena principalmente documentos
HTML (son documentos a modo de
archivos con un formato especial para la
visualización de páginas web en los
navegadores de los clientes), imágenes,
videos, texto, presentaciones, y en general
todo tipo de información. Además se
encarga de enviar estas informaciones a
los clientes como Web Services de
MetLife.
1
Servidor de Base
de Datos
Da servicios de almacenamiento y gestión
de bases de datos a sus clientes. Una
base de datos que permite almacenar
grandes cantidades de información. Por
ejemplo, todos los datos de los clientes de
la aseguradora MetLife y sus movimientos
en los seguros vendidos.
2
Servidores Clúster Son servidores especializados en el 3
40
almacenamiento de la información
teniendo grandes capacidades de
almacenamiento y permitiendo evitar la
pérdida de la información por problemas
en otros servidores.
Servidores
Dedicados
Son los servidores que están reservados
para cumplir tareas específicas, como por
ejemplo el servicio de antivirus, la
telefonía, entre otros.
5
Servidor de
Aplicaciones
El servidor de aplicaciones gestiona la
mayor parte de las funciones de lógica de
negocio y de acceso a los datos de la
aplicación.
2
Fuente: Autores
Cableado estructurado
El centro de cómputo principal se encuentra ubicado en la sede de la Carrera 7
No. 99 – 53 Piso 1 Edificio Corpbanca, igualmente este edificio posee 2 centros de
cableado secundarios distribuidos en los pisos 5 y 17. El edificio Proksol ubicado
en la Calle 97 No. 23 - 60 cuenta con 3 centros de cableado.
El cableado de los dos edificios está implementado en categoría 5E. El backbone
está implementado con tecnología Gigabit Ethernet y el suministro de
conectividad hacia las estaciones se realiza por switches a 10/100 y 10/100/1000.
La fibra óptica utilizada es 50/125 OM2 para interconectar cada centro de
cableado.
MetLife posee 23 servidores en el nivel central y 9 servidores en el nivel
descentralizado (uno por Gerencia)
MetLife posee un canal dedicado contratado con Claro a 12 Mbps para el servicio
de Internet para toda la entidad.
TERMINALES
Estaciones de trabajo: 750 Unidades entre las marcas DELL y HP
Servidores: 32 Unidades en su mayoría de la marca DELL y otros de la
marca CISCO
EQUIPO AS/400
El sistema AS/400 es un equipo de IBM de gama media y alta, para todo tipo de
empresas y grandes departamentos, en MetLife se encuentra ubicado en la sede
de la Carrera 7 No. 99 – 53 Piso 1 Edificio Corpbanca, este sistema permite
41
realizar las operaciones de cartera y toda la administración de pagos de las
pólizas vigentes y de las solicitudes nuevas que entran a estudio, administra los
dineros que ingresan a la compañía, permite realizar devolución de sobrantes, etc.
Figura 5: Aplicación AS400 de MetLife
Fuente: área de IT MetLife
TELEFONÍA IP
MetLife cuenta con telefonía IP Avaya, Plataforma IP Office, la cual le ofrece los
siguientes aspectos técnicos:
Escala
Desde cinco hasta 3.000 usuarios
Conecta hasta 150 sistemas IP Office
Modelos de implementación
El software IP Office virtualizado (corriendo en una Máquina Virtual)
Requiere software VMware vSphere 4.x o 5.x
Servidor dedicado
Dispositivo IP Office 500 v2
Cualquier combinación de los anteriores
Dispositivos telefónicos que soporta
Teléfonos IP
Teléfonos digitales
42
Teléfonos analógicos
Softphones
Inalámbricos Analógicos y Digitales (incluyendo DECT)
Cualquier combinación de los anteriores
Integración de Terceros
TAPI Link Lite
TAPI Link Pro
DevLink Pro
Administración
Basado en la Web - administrado centralmente
Cliente Windows
Respaldo y restauración de base de datos
Centro de Contacto
De 5 hasta 250 agentes
Multicanal – Voz, correo electrónico, chat en la web, fax, SMS
Enrutamiento basado en habilidades
Clientes basados en el navegador
Clientes de Windows
Integración con soluciones CRM
Movilidad
Permite hacer y recibir llamadas a través de redes de datos Wi-Fi/3G/4G
Correo de voz visual
Realizar transferencias con y sin supervisión
Presencia
Mensajería instantánea
Controles de conferencia
Rastreo y presencia de geo-ubicación
43
Integración con el Calendario Microsoft Outlook
Aplicación Avaya one-X® Mobile
Android
iOS
Cliente Desktop
UI basado en navegador
hasta 3000 usuarios (Edición Select)
Integración Microsoft Lync
Salesforce.com
Plug-in de Microsoft Outlook
RED INALAMBRICA
La red inalámbrica está distribuida por los pisos de MetLife a través de Access
Point marca Linksys. La referencia del dispositivo es LINKSYS LAPN600. Dicha
red ofrece un SSID para un grupo selecto de funcionarios de la entidad, los cuales
son los que utilizan equipo portátil y otro para invitados, cuando se requiere darle
acceso a una persona externa a la entidad.
44
TOPOLOGIA DE LA RED DE METLIFE
La siguiente figura, muestra la topología de red de MetLife en Colombia. El
dispositivo central (core), se enlaza con las sucursales en las otras ciudades y
además con el ISP AT&T, quienes son los que proveen el enlace entre Colombia y
la sede principal a nivel mundial que queda en Estados Unidos.
Figura 6: Topología de la red de datos de MetLife
Fuente: área de IT MetLife
45
La siguiente figura muestra un poco más detallado el enlace internacional con la
sede principal de MetLife en Estados Unidos.
Figura 7: enlace de red de datos entre Colombia y Estados Unidos
Fuente: área de IT MetLife
La siguiente figura, muestra el enlace punto a punto de dos oficinas de MetLife.
Figura 8: Enlace de red de datos punto a punto entre dos oficinas de MetLife
Fuente: área de IT MetLife
46
La siguiente figura es de cómo funciona la red en una sucursal de MetLife.
Figura 9: Red de datos de una sucursal de MetLife
Fuente: área de IT MetLife
DATA CENTER
Actualmente MetLife Colombia cuenta con un data center principal que se
encuentra ubicado en la sede principal de Bogotá en la Carrera 7 No. 99 – 53 en el
primer piso y adicional cuenta con otro de respaldo en la sucursal Calle 97 No. 23
- 60 en el 4to piso, este último contiene los 9 servidores que soportan las
aplicaciones de core del negocio.
El data center principal cuenta con las siguientes características:
El data center queda ubicado en el 1er piso de la sede principal Carrera 7
No. 99 – 53 Torre Corpbanca en el área de IT y cuenta con un área de 5x8
metros.
Tiene una disponibilidad de 7x24 y garantiza una disponibilidad de 99.74%
clasificándolo en un Tier nivel II.
47
En este data center se encuentran alojados los servidores de
almacenamiento, las bases de datos, Aplicaciones del core del negocio y
como tal el centro principal de cableado de la empresa.
Tiene puerta de seguridad, se encuentra con acceso restringido, solo puede
ingresar personal autorizado y cuenta con lector de huella para identificar
los ingresos al cuarto.
Tiene sistema de refrigeración para medir los niveles de temperatura y
humedad.
Dentro de la instalación se encuentra publicado el cronograma de
mantenimientos.
El data center de respaldo ubicado en el 4to piso del edificio Calle 97 No.
23 – 60, cuenta con estas mismas características solo que no tiene lector
de huella, este cuarto se encuentra bajo llave y los ingresos se registran en
una minuta por el analista de infraestructura.
APLICACIONES PRINCIPALES DEL CORE DEL NEGOCIO
SACC: Aplicación que permite visualizar la información que tiene cada uno de los
clientes con la compañía, permite visualizar cada una de sus pólizas de seguro,
beneficiarios, estados (vigentes, en mora, canceladas, siniestradas), y todo el
historial del cliente con cada una de sus peticiones quejas o reclamos que en
algún momento haya radicado para su respectivo tramite.
Figura 10: Aplicación SACC de MetLife
Fuente: área de IT MetLife
Ramos Individuales: esta aplicación sirve para ingresar al sistema toda la
información de las solicitudes registradas de los propuestos asegurados para su
respectivo estudio, permite ver todos los estados de estudio, desde el
sometimiento, la suscripción, Expedición y mantenimientos de las pólizas.
48
Figura 11: Aplicación Ramos Inviduales de MetLife
Fuente: área de IT MetLife
GSP: aplicación utilizada por la fuerza de ventas para la cotización de las pólizas
de seguros de los clientes en los diferentes modalidades que ofrece MetLife. Allí
puede obtener la información completa para describirle al cliente lo que ofrece la
póliza de seguro y el detalle de los costos por el servicio que desea adquirir.
Figura 12: Aplicación GSP de MetLife
49
Fuente: área de IT MetLife
Servicios de la página web.
La página web de MetLife Colombia, en su parte superior muestra la información
del quienes somos, opción para aplicar a vacantes, un glosario de términos que se
manejan en el sector asegurador, preguntas frecuentes, un formulario para
diligenciar y ser contactado, un acceso a la herramienta para cotizar pólizas y la
política de tratamiento de datos personales.
Ofrece la herramienta buscar dentro de la página, brinda la información de
productos por sector de ventas (masivos, empresarial e individual). Tiene un
módulo de servicio al cliente y uno de procesos de reclamación, en los cuales los
clientes tienen la forma de solucionar inquietudes y realizar seguimiento a los
casos expuestos a la aseguradora. La página web tiene una vista amigable con el
usuario, para que pueda ser fácil de navegar en las diferentes opciones que ofrece
en su contenido.
Figura 13: Página de inicio del sitio web de MetLife
Fuente: página web de MetLife
El sitio web también ofrece un módulo transaccional donde se pueden realizar
varias opciones, como las que se describen en la siguiente ilustración.
50
Figura 14: Servicios en línea que ofrece el sitio web de MetLife
Fuente: página web de MetLife
2.3. SITUACIÓN ACTUAL DE METLIFE EN SEGURIDAD DE LA
INFORMACIÓN
Para obtener información acerca de la situación actual de MetLife Colombia en el
tema de como realizan el tratamiento de la seguridad de la información, se realizó
un análisis con base a los controles establecidos en la norma ISO/IEC
27002:2013, con el fin de obtener datos sobre si la entidad se encuentra a la altura
de la norma. Este análisis se encuentra como el Anexo A ControlesISO27002.xls
(En medio magnético).
2.4. RECOPILACIÓN DE INFORMACIÓN
Teniendo en cuenta la importancia de conocer la situación actual de la empresa y
saber un poco más sobre su infraestructura, se realizó un Focus Group con Cesar
Bernal Ingeniero de Infraestructura y Andrés Chacón Analista de Aplicaciones,
quienes conocen al detalle la dinámica de la empresa y que con su experiencia
lograron resolver dudas con respecto a la información de la red de la empresa.
51
CAPITULO III
ANÁLISIS Y DEFINICIÓN DE
ACTIVOS Y RIESGOS
52
3. ETAPA DE ANÁLISIS
3.1. MATRIZ DOFA
El análisis DOFA es una herramienta de diagnóstico y análisis para la generación
creativa de posibles estrategias a partir de la identificación de los factores internos
y externos de la organización, dada su actual situación y contexto. Se identifican
las áreas y actividades que tienen el mayor potencial para un mayor desarrollo y
mejora y que permiten minimizar los impactos negativos del contexto.
Teniendo en cuenta lo anterior para este caso estudio se realizó un análisis DOFA
sobre la situación actual de MetLife seguros de vida Colombia, con el fin de
identificar sus Debilidades, Oportunidades, Fortalezas y Amenazas y así
profundizar en los aspectos importantes de la compañía, requeridos para el
sistema de gestión de riegos de la información.
En la siguiente tabla se observa la distribución de la matriz inicial:
3.1.1. Análisis DOFA
Tabla 5: Análisis DOFA
Análisis Interno
Fortalezas Debilidades
1. Optimización de la seguridad / entorno informático
2. Reducción de costes 3. Reduce el tiempo de
interrupción del servicio y mejora el grado de satisfacción de los clientes
4. Reducción de riesgos, pérdidas, derroches
5. Reducción de riesgos que
afecten la seguridad,
disponibilidad y
confidencialidad de la
información.
1. Desconocimiento de la metodología
2. Poca implicación por parte de la dirección
3. Resultados a medio/largo plazo
4. El desarrollo del SGSI sea muy detallado
5. Sistema muy detallado, retrase los procesos
6. Falta de políticas de seguridad bien definidas
Análisis Externo
Oportunidades Amenazas
53
1. Certificación ISO 27001 2. Momento estratégico de
Seguridad 3. Aumentar la confianza de la
organización 4. Definición de políticas de
seguridad de la información, estableciendo controles y normas para el manejo de seguridad.
5. Definir procedimientos y
políticas para el ciclo de
vida de la información.
1. Disponer de personal no calificado.
2. Dificultad a la hora de poner en práctica esos conocimientos.
3. Falta de recursos económicos.
4. Falta de compromiso en la implementación del SGSI.
5. Oposición interna al aplicar
los controles o mecanismos
de seguridad apropiados.
Fuente: Autores
Estrategias y Acciones FO: Conducentes al uso y potencialización de las
fortalezas internas de una organización con el objeto de aprovechar las
oportunidades externas.
Estrategias y Acciones DO: Dirigidas a mejorar cada una de las debilidades
utilizando las oportunidades identificadas.
Estrategias y Acciones DA: Conducentes a minimizar los peligros potenciales en
el sector donde nuestras debilidades se encuentran con las amenazas.
Estrategias y Acciones FA: Dirigidas a Estrategias para prevenir el impacto de
las amenazas identificadas utilizando las fortalezas existentes en la organización.
3.1.2. Matriz DOFA
Tabla 6: Matriz DOFA
DOFA Oportunidades Amenazas
Fortalezas E1: Aprovechar la mejora de la seguridad de la información para aumentar la confianza en la organización por medio de una campaña publicitaria
E2: Fortalecer los
procesos del negocio para
aumentar la calidad del
producto ayudados de una
gestión fuerte de PQR
E3: Realizar
capacitaciones a todo
el personal para
mejorar la calidad del
producto.
54
Debilidades E4: Asesoramiento
profesional para cumplir
los requisitos para la
certificación ISO 27001
E5: Fomentar la seguridad
en los procedimientos de la
organización por medio de
dinámicas
E6: Capacitar a los
empleados en cuanto a la
norma NTC-ISO/IEC
27005:2008
E7: Resaltar la
importancia de la
creación y puesta en
marcha del SGSI.
E8: Poner en marcha
una campaña
corporativa que
concientice al personal
en cuanto a la
importancia de la
implementación del
sistema.
Fuente: Autores
3.2. DECLARACIÓN DE APLICABILIDAD
La presente declaración de aplicabilidad se realizara en la organización teniendo
en cuenta las áreas establecidas a continuación, para un buen desempeño en los
controles y su desarrollo.
Áreas a tener en cuenta:
Operaciones
Tesorería
Comercial
Servicio al cliente
Administrativa
Suscripciones
Actuaria
Auditoría
Legal
Seguridad
IT
Directiva
Recursos humanos
3.3. ALCANCE DEL SGSI EN EL CASO ESTUDIO
Para la implementación de la NTC-ISO/IEC 27005:2008, se ha identificado la
actividad principal de las entidades aseguradoras, como lo es la prestación de
servicios de seguros. Por ello, se ha determinado que se debe realizar el SGSI
con base en el enfoque de gestión del riesgo.
55
3.3.1. Norma ISO/IEC 27005
Gestión de riesgos de la Seguridad de la Información
ISO 27005 es el estándar internacional que se ocupa de la gestión de
riesgos de seguridad de información. La norma suministra las directrices
para la gestión de riesgos de seguridad de la información en una empresa,
apoyando particularmente los requisitos del sistema de gestión de
seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la
intención de gestionar los riesgos que puedan complicar la seguridad de la
información de su organización. No recomienda una metodología concreta,
dependerá de una serie de factores, como el alcance real del Sistema de
Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones
Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma
ISO / IEC TR 13335-4:2000.
Las secciones de contenido son:
Prefacio.
Introducción.
Referencias normativas.
Términos y definiciones.
Estructura.
Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información.
Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión.
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
Enfoques ISRA: Anexo E. ANALISIS DE RIESGO
56
3.4. METODOLOGIA A USAR
La metodología a utilizar para realizar el análisis de riesgos en el presente
proyecto es la norma ISO/IEC 27005:2008 la cual proporciona directrices para la
gestión del riesgo en la seguridad de la información en una organización, dando
soporte particular a los requisitos de un sistema de gestión de seguridad de la
información (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001, adicional se
tendrá ayuda de la norma ISO/IEC 27001:2013 y los controles definidos en la
norma ISO/IEC 27002:2013, esto nos permite a través de un análisis identificar y
conocer de la compañía cuál es su nivel de cumplimiento con respecto a la norma
y así determinar que buenas prácticas y planes de acción se pueden poner en
marcha para la seguridad de la información.
Para ver los controles utilizados remitirse:
Anexo A. Controles ISO27002.xls (En medio magnético)
3.5. TIPOS DE ACTIVOS
De acuerdo a la NTC-ISO/IEC 27005:2008 los activos se pueden diferenciar en
dos clases:
Los activos primarios
Actividades y procesos del negocio
Información
Los activos de soporte (de los cuales dependen los elementos primarios del
alcance) de todos los tipos:
Hardware
Software
Redes
Personal
Ubicación
Estructura de la organización
3.6. IDENTIFICACIÓN DE ACTIVOS
Los activos son todos los elementos que una organización posee para el
tratamiento de la información (hardware, software, recurso humano, entre otros.).
Es importante tener en cuenta que los activos se deben agrupar en varios tipos de
acuerdo a la función que ejercen en el tratamiento de la información. La empresa
cuenta con diferentes activos que son importantes para el desarrollo de su trabajo,
tales como:
57
3.6.1. Hardware (Equipamiento Informático)
En el equipamiento de hardware se encuentra los siguientes:
Servidores: De aplicación y base de datos.
Computadores de escritorio: se encuentran en las diferentes áreas
de la aseguradora.
Portátiles: Son de uso restringido de acuerdo al rol y perfil
desempeñado en la compañía.
Dispositivos móviles: celulares, tabletas.
Impresoras: Dispositivos multifuncionales para áreas operativas y
administrativas.
AS400: Sistema multiusuario para la administración de depósitos.
Equipos multifuncional: Dispositivos para la fuerza comercial.
Router: se encuentra ubicado en el centro de computo
Teléfonos: Se encuentran en áreas operativas y en la fuerza
comercial.
Módems: se encuentran ubicados de acuerdo a la necesidad en
cada una de las áreas.
Memoria USB: Se encuentran en áreas de ventas.
CD/DVD: Se encuentran en el área de suscripción.
Dispositivo portables: discos extraíbles, entre otros.
Cámaras de seguridad: Se encuentran ubicadas en lugares
estratégicos seleccionados por la compañía.
Lector Huellas Dactilar: Se encuentran en las entradas de cada
piso.
Televisores: se encuentran ubicados en las salas de espera
3.6.2. Activo de Información (Datos)
Los Datos e información que se deben tener en cuenta son:
Base de datos: Donde se almacena toda la información que maneja la aseguradora, entre ella: información médica de los asegurados, cotizaciones, pólizas, estadísticas y reportes, hojas de vidas de los empleados, contratos, entre otras.
Archivos de Datos: Hojas de vida, contratos, pólizas, entre otros.
Manuales de Usuario: Donde se especifican las funcionalidades del sistema para personal nuevo.
Documentación del Sistema: Se especifican funcionalidades técnicas del sistema.
58
Solicitudes: Documentación entrega por el posible asegurado.
Formatos: inclusión de asegurado, resultado de exámenes, UND, facturas, entre otros.
Hojas de Vida: HV de personal de ventas y administrativo de la compañía.
Documentos Internos: Documentación de procesos internos.
Entregables CD/DVD: Resultados médicos para asegurabilidad.
Material físico (impreso): copias de pólizas, procesos etc.
Información en Carpetas compartidas en Red: información corporativa.
Información discos portables: procesos internos de la compañía.
Información médica: se almacena toda la información personal y confidencial del asegurado, como lo son: datos personales, diagnósticos médicos, antecedentes, enfermedades, laboratorios, riesgos de salud, entre otros.
Información memorias USB: cotizaciones comerciales.
3.6.3. Infraestructura
La infraestructura con que la organización cuenta son:
Planta de la Organización: Cuenta con 2 sucursales en Bogotá y 7 regionales a nivel nacional.
Canalización de red Eléctrica: Canalizado en su totalidad
Canalización de red Datos: Canalizado en su totalidad
Instalación de red de Datos: Canalizado en su totalidad
Instalación de red de Eléctrica: Canalizado en su totalidad
3.6.4. Personas
El personal que se tiene en cuenta en la organización son:
Usuarios internos: Fuerza comercial F2F
Usuarios externos: Sponsor, agrupadoras, fuerza comercial
externa.
Analistas: Administrativos de cada uno de los ramos de la
compañía.
Directores: Por área hay un líder de procesos.
Coordinadores: Soportan al director de área.
Desarrolladores: Equipo de IT para las actualizaciones de las
aplicaciones.
Clientes: Usuarios a los que se les presta el servicio.
59
Personal administrativo: empleados de la aseguradora.
Proveedores: prestadores del servicio telefónico, eléctrico,
exámenes, entre otros.
Médicos: Personal del proceso de suscripción.
3.6.5. Servicios
Los servicios a tener en cuenta:
Capacitaciones: Charlas motivaciones y de interés para la fuerza
comercial.
Telefonía: Lo presta el proveedor Claro.
Internet: Lo presta el proveedor Claro.
Red Inalámbrica: cuenta con una buena cobertura.
Almacenamiento de información: Lo presta el proveedor AT&T.
Fluido eléctrico: Lo presta el proveedor Codensa
Correo: servicio de envío y recepción de mensajería electrónica
soportado por Microsoft Exchange Server 2013.
3.6.6. Software
El software o aplicaciones que se tienen en cuenta son:
Sistemas operativos: Windows 7.
Antivirus: McAfee.
Servidores Aplicaciones/Contenedores: Core del negocio.
SACC: Software Administrador Contactos con Clientes.
Ramos Individuales: Aplicación para el registro de solicitudes.
GSP: Cotizador de la fuerza de ventas.
Página WEB: Plataforma web disponible para servicios en línea
(pagos, reclamaciones, consulta de productos, etc.).
Navegadores: Internet Explorer para acceder a la intranet e internet.
Office: La suite de office para los procesos de la compañía.
Motor de Base datos: Usan SQL server como motor de base de
datos.
Licencias: Licencias adquiridas para el software usado por la
compañía.
60
3.7. CODIFICACIÓN O ETIQUETACIÓN DE LOS ACTIVOS
De acuerdo a cada tipo de activo, se etiquetara la lista de activos identificados en
el caso estudio de la siguiente manera:
3.7.1. Etiquetación Tipo de Activo
Tabla 7: Etiquetación Tipo de Activo
Activo Identificación
Información Info - ##
Software Sw - ##
Hardware Hw - ##
Servicios Serv - ##
Infraestructura Infr - ##
Personas Pers - ##
Fuente: Autores
Para ver completa la identificación de activos remitirse:
Anexo B. Cuadro de Riesgos.xls: Pestaña Identificación de Activos (En
medio magnético).
3.8. CRITERIOS PARA LA VALORACIÓN DE ACTIVOS
Según la NTC-ISO/IEC 27005:2008, se debe pactar la escala que se va a utilizar y
los criterios para la asignación de una ubicación particular en esa escala para
cada uno de los activos, con base en la valoración. Debido a la diversidad de
activos que se encuentran en la mayoría de las organizaciones, es probable que
algunos activos que tengan un valor monetario conocido sean valorados en la
moneda local en donde están presentes, mientas otros que tienen un valor más
cualitativo, se les puede asignar un rango de valores, por ejemplo, desde “muy
bajo” hasta “muy alto”. La decisión de utilizar una escala cuantitativa en lugar de
una cualitativa es realmente un asunto de preferencia organizacional, pero debería
ser pertinente para los activos que se están valorando. Ambos tipos de valoración
se pueden utilizar para el mismo activo.
Los términos típicos utilizados para la valoración cualitativa de los activos incluyen
palabras como: insignificante, muy bajo, bajo, medio, alto, muy alto y crítico. La
selección y la gama de términos adecuados para una organización dependen
significativamente de las necesidades de la seguridad, del tamaño y de otros
factores específicos para dicha organización.
61
La valoración de los activos se realizó con base a la siguiente tabla:
Tabla 8: Criterios de valoración de activos
Nivel de Valor Valor Criterio
5 Critico Daño extremadamente grave
4 Muy Alto Daño muy grave
3 Alto Daño grave
2 Bajo Daño importante
1 Muy Bajo Daño menor
0 Insignificante Irrelevante a efectos prácticos
Fuente: ISO/IEC 27005:2008
3.8.1. Valoración de Activos por tipo
A continuación se muestra cada de uno de los activos con su respectiva valoración
de acuerdo a su clasificación y la tabla 8 criterios de valoración de activos.
3.8.1.1. Valoración de activos de hardware
Tabla 9: Valoración de activos de hardware
Tipo de Activo Descripción del Activo Valoración del activo
Hardware
Servidores 4
Computadores de escritorio 3
Portátiles 3
Dispositivos móviles 3
Impresoras 2
Equipos multifuncional 2
Routers 4
Teléfonos 3
Módems 4
Memoria USB 2
CD/DVD 2
Discos Portables 2
Cámaras de Seguridad 3
Lector Huella Dactilar 2
Televisores 1
Fuente: Autores
62
3.8.1.2. Valoración de activos de información
Tabla 10: Valoración de activos de información
Tipo de Activo
Información
Descripción del Activo Valoración del activo
Base de datos 5
Archivos de Datos 5
Manuales de Usuario 3
Documentación del sistema 3
Solicitudes 4
Formatos 4
Hojas de Vida 2
Documentos internos 3
Entregables (CD/DVD) 2
Material Físico (Impreso) 2
Información en carpetas compartidas en red 4
Información Disco Portables 3
Información Medica 4
Información memorias USB 2 Fuente: Autores
3.8.1.3. Valoración de activos de infraestructura
Tabla 11: Valoración de activos de infraestructura
Tipo de Activo Descripción del Activo Valoración del activo
Infraestructura
Instalaciones de la Organización 4
Canalización de red eléctrica 4
Canalización de red de datos 4
Instalación de red de datos 4
Instalación de red eléctrica 4 Fuente: Autores
63
3.8.1.4. Valoración de activos de personas
Tabla 12: Valoración de activos de personas
Tipo de Activo Descripción del Activo Valoración del activo
Personas
Usuarios Internos 3
Usuarios externos 4
Analistas 3
Directores 3
Coordinadores 3
Desarrolladores 3
Clientes 3
Personal Administrativo 4
Proveedores 3
Médicos 3
Fuente: Autores
3.8.1.5. Valoración de activos de servicios
Tabla 13: Valoración de activos de servicios
Tipo de Activo Descripción del Activo Valoración del activo
Servicios
Capacitaciones 4
Telefonía 4
Internet 4
Red Inalámbrica 4
Almacenamiento de información 5
Fluido Eléctrico 5 Fuente: Autores
3.8.1.6. Valoración de activos de software
Tabla 14: Valoración de activos de software
Tipo de Activo Descripción del Activo Valoración del activo
Software
Desarrollos a medida y/o propios de la organización 4
Sistemas Operativos 4
Antivirus 4
Servidores Aplicaciones/ Contenedores 4
Navegadores 4
Office 4
Motor de Base de Datos 4
Licencias 3 Fuente: Autores
64
3.9. VALORACIÓN DEL IMPACTO
Un incidente de seguridad de la información puede tener impacto en más de un
activo o únicamente en una parte de un activo. El impacto se relaciona con el
grado de éxito del incidente. En consecuencia, existe una diferencia importante
entre el valor del activo y el impacto resultante de un incidente. Se considera que
el impacto tiene un efecto inmediato (operacional) o un efecto futuro (en el
negocio) que incluye consecuencias financieras y de mercado.
El impacto inmediato (operacional) es directo o indirecto.
Directo:
a. El valor financiero de la reposición del activo perdido (o parte de este
activo)
b. El costo de adquisición, configuración e instalación del activo nuevo o de su
copia de soporte
c. El costo de las operaciones suspendidas debido al incidente hasta que se
restaure el servicio prestado por el (los) activo (s).
d. El impacto tiene como resultado una brecha en la seguridad de la
información.
Indirecto
a. Costos de la oportunidad (nuevos recursos financieros necesarios para
reemplazar o reparar un activo se podrían haber utilizado en otra parte).
b. El costo de las operaciones interrumpidas.
c. El potencial de la mala utilización de la información obtenida a través de
una brecha en la seguridad
d. Incumplimiento de las obligaciones estatutarias o reglamentarias.
e. Incumplimiento del código ético de conducta.
Así la primera valoración (sin controles de ningún tipo) estimará un impacto como
muy cercano al valor del activo involucrado (o combinación de valores). Para toda
repetición posterior para este activo, el impacto será diferente (normalmente más
bajo) dada la presencia y la eficacia de los controles implementados.
65
3.9.1. Valoración del impacto de activos
Teniendo en cuenta el impacto que se puede presentar en los activos de cada
compañía, a continuación se muestra la valoración del impacto de cada uno de los
activos de acuerdo a su tipo.
3.9.1.1. Valoración de impacto Hardware
Tabla 15: Valoración de impacto Hardware
Tipo de Activo Descripción del Activo Valoración del Impacto
Hardware
Servidores Directo
Computadores de escritorio Indirecto
Portátiles Indirecto
Dispositivos móviles Indirecto
Impresoras Indirecto
Equipos multifuncional Indirecto
Routers Indirecto
Teléfonos Indirecto
Módems Indirecto
Memoria USB Indirecto
CD/DVD Indirecto
Discos Portables Indirecto
Cámaras de Seguridad Directo
Lector Huella Dactilar Directo
Televisores Indirecto
Fuente: Autores
66
3.9.1.2. Valoración de impacto Información
Tabla 16: Valoración de impacto Información
Tipo de Activo Descripción del Activo Valoración del Impacto
Información
Base de Datos Directo
Archivos de Datos Directo
Manuales de Usuario Directo
Documentación del sistema Directo
Solicitudes Directo
Formatos Directo
Hojas de Vida Directo
Documentos internos Directo
Entregables (CD/DVD) Indirecto
Material Físico (Impreso) Indirecto
Información en carpetas compartidas en red Directo
Información Disco Portables Indirecto
Información Medica Directo
Información memorias USB Indirecto Fuente: Autores
3.9.1.3. Valoración de impacto Personas
Tabla 17: Valoración de impacto Personas
Tipo de Activo Descripción del Activo Valoración del Impacto
Personas
Usuarios Internos Directo
Usuarios externos Indirecto
Analistas Indirecto
Directores Indirecto
Coordinadores Indirecto
Desarrolladores Indirecto
Clientes Directo
Personal Administrativo Indirecto
Proveedores Indirecto
Médicos Indirecto Fuente: Autores
67
3.9.1.4. Valoración de impacto Infraestructura
Tabla 18: Valoración de impacto Infraestructura
Tipo de Activo Descripción del Activo Valoración del Impacto
Infraestructura
Instalaciones de la Organización Directo
Canalización de red eléctrica Directo
Canalización de red de datos Directo
Instalación de red de datos Directo
Instalación de red eléctrica Directo Fuente: Autores
3.9.1.5. Valoración de impacto Servicios
Tabla 19: Valoración de impacto Servicios
Tipo de Activo Descripción del Activo Valoración del Impacto
Servicios
Capacitaciones Indirecto
Telefonía Indirecto
Internet Directo
Red Inalámbrica Indirecto
Almacenamiento de información Directo
Fluido Eléctrico Directo Fuente: Autores
3.9.1.6. Valoración de impacto Software
Tabla 20: Valoración de impacto Software
Tipo de Activo Descripción del Activo Valoración del Impacto
Software
Desarrollos a medida y/o propios de la organización
Indirecto
Sistemas Operativos Indirecto
Antivirus Indirecto
Servidores Aplicaciones/ Contenedores
Directo
Navegadores Directo
Office Indirecto
Motor de Base de Datos Directo
Licencias Indirecto Fuente: Autores
68
3.10. IDENTIFICACION DE AMENAZAS
Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto a las organizaciones. Las amenazas pueden
ser de origen natural o humano y podrían ser accidentales o deliberadas. Es
recomendable identificar tanto de las amenazas accidentales como de las
deliberadas. Una amenaza puede tener su origen dentro o fuera de la
organización. Las amenazas se deberían identificar genéricamente y por tipo (por
ejemplo, acciones no autorizadas, daño físico, fallas técnicas) y, cuando sea
adecuado, las amenazas individuales dentro de la clase genérica identificada. Esto
significa que ninguna amenaza se pasa por alto, incluidas las inesperadas, pero
teniendo en cuenta que el volumen de trabajo requerido es limitado.
Algunas amenazas pueden afectar a más de un activo. En tales casos pueden
causar diferentes impactos dependiendo de
los activos que se vean afectados.
La entrada para la identificación de las
amenazas y la estimación de la
probabilidad de ocurrencia se puede
obtener de los propietarios o los usuarios
del activo, del personal de recursos
humanos, del administrador de las
instalaciones y de los especialistas en
seguridad de la información, expertos en
seguridad física, área jurídica y otras
organizaciones que incluye organismos
legales, bien sean ya autoridades,
compañías de seguros y autoridades del
gobierno nacional. Los aspectos ambientales y culturales se deben tener en
cuenta cuando se consideran amenazas.
La experiencia interna obtenida de los incidentes y las valoraciones anteriores de
las amenazas, se deberían tomar en consideración en la valoración actual. Podría
ser valioso consultar otros catálogos de amenazas (pueden ser específicas para
una organización o un negocio) para completar la lista de amenazas genéricas
cuando sea pertinente, los catálogos y las estadísticas sobre las amenazas están
disponibles en organismos industriales, del gobierno nacional, organizaciones
legales, compañías de seguro, etc.
69
3.10.1. Tipos de Amenazas
Teniendo en cuenta lo anterior, es importante clasificar las amenazas según su
tipo y naturaleza, a continuación se muestra esta clasificación de acuerdo a las
amanezcas identificadas para el caso estudio.
3.10.1.1. Amenazas de tipo acciones no autorizadas
Tabla 21: Amenazas de tipo acciones no autorizadas
Tipo Amenaza
Acciones no autorizadas
Procesamiento Ilegal de la información
Acceso no autorizado al sistema
Ataques contra el sistema Copia fraudulenta del software
Corrupción de los datos
Ingreso de datos falsos o corruptos
Intrusión, accesos forzados al sistema
Suplantación de Identidad
Uso de software falso o copiado
Uso no autorizado del equipo Fuente: Autores
3.10.1.2. Amenazas de tipo Compromiso de la Información
Tabla 22: Amenazas de tipo Compromiso de la Información
Tipo Amenaza
Compromiso de la Información
Espionaje Remoto
Divulgación
Hurto de Equipo
Hurto de Información
Hurto de medios o Documentos
Hurto del Entregable
Manipulación con Software
Recuperación de medios reciclados o desechados Fuente: Autores
70
3.10.1.3. Amenazas de tipo Compromiso de las Funciones
Tabla 23: Amenazas de tipo Compromiso de las Funciones
Tipo Amenaza
Compromiso de las Funciones
Abuso de derechos
Error en el uso
Incumplimiento en la disponibilidad del personal
Negación de Servicio Fuente: Autores
3.10.1.4. Amenazas de tipo Daño físico
Tabla 24: Amenazas de tipo Daño físico
Tipo Amenaza
Daño físico
Accidente Importante
Daño por agua
Daño por fuego
Destrucción del Equipo o de los Medios
Polvo, corrosión, congelamiento Fuente: Autores
3.10.1.5. Amenazas de tipo Eventos naturales
Tabla 25: Amenazas de tipo Eventos naturales
Tipo Amenaza
Eventos naturales
Fenómenos climáticos
Inundación
Sismo / Terremoto Fuente: Autores
3.10.1.6. Amenazas de tipo Fallas técnicas
Tabla 26: Amenazas de tipo Fallas técnicas
Tipo Amenaza
Fallas técnicas
Saturación del sistema de información
Errores en el sistema
Falla del equipo
Incumplimiento en el mantenimiento del sistema de información
Mal funcionamiento del equipo
Mal funcionamiento del software Fuente: Autores
71
3.10.1.7. Amenazas de tipo Perdida de los servicios esenciales
Tabla 27: Amenazas de tipo Perdida de los servicios esenciales
Tipo Amenaza
Perdida de los servicios esenciales Fallas en el equipo de telecomunicaciones
Perdida de suministro de energía Fuente: Autores
3.10.2. Origen de las Amenazas
Teniendo en cuenta la valoración de amenazas realizada, es necesario determinar
el origen de las amenazas, las cuales pueden ser deliberadas, accidentales o
ambientales (naturales) y pueden dar como resultado, por ejemplo, daño o perdida
de los servicios esenciales. Para cada uno de los tipos de amenazas ya
previamente identificados a continuación se mostrara su origen teniendo en cuenta
la tabla 28. Origen de las Amenazas.
Tabla 28: Origen de las Amenazas
Origen de las Amenazas
Clasificación Descripción
A Accidentales: Clasifica las acciones humanas que pueden dañar accidentalmente los activos de información.
D Deliberadas: Clasifica todas las acciones deliberadas que tienen como objetivo los activos de la información.
E Ambientales: Clasifica todos los incidentes que no se basa en acciones humanas.
Fuente: ISO/IEC 27005:2008
3.10.2.1. Eventos naturales y su origen
Tabla 29: Eventos naturales y su origen
Tipo Amenaza Origen
Eventos naturales
Fenómenos climáticos E
Inundación E
Sismo / Terremoto E Fuente: Autores
72
3.10.2.2. Acciones no autorizadas y su origen
Tabla 30: Acciones no autorizadas y su origen
Tipo Amenaza Origen
Acciones no autorizadas
Procesamiento Ilegal de la información D
Acceso no autorizado al sistema D Ataques contra el sistema D Copia fraudulenta del software D
Corrupción de los datos D
Ingreso de datos falsos o corruptos A,D
Intrusión, accesos forzados al sistema A,D
Suplantación de Identidad D
Uso de software falso o copiado A,D
Uso no autorizado del equipo D Fuente: Autores
3.10.2.3. Compromiso de la información y su origen
Tabla 31: Compromiso de la información y su origen
Tipo Amenaza Origen
Compromiso de la Información
Espionaje Remoto D
Divulgación A,D
Hurto de Equipo D
Hurto de Información D
Hurto de medios o Documentos D
Hurto del Entregable D
Manipulación con Software D
Recuperación de medios reciclados o desechados D Fuente: Autores
3.10.2.4. Compromiso de las funciones y su origen
Tabla 32: Compromiso de las funciones y su origen
Tipo Amenaza Origen
Compromiso de las Funciones
Abuso de derechos A,D
Error en el uso A
Incumplimiento en la disponibilidad del personal A,D,E
Negación de Servicio D Fuente: Autores
73
3.10.2.5. Daño físico y su origen
Tabla 33: Daño físico y su origen
Tipo Amenaza Origen
Daño físico
Accidente Importante A,D,E
Daño por agua A,D,E
Daño por fuego A,D,E
Destrucción del Equipo o de los Medios A,D,E
Polvo, corrosión, congelamiento A,D,E Fuente: Autores
3.10.2.6. Fallas técnicas y su origen
Tabla 34: Fallas técnicas y su origen
Tipo Amenaza Origen
Fallas técnicas
Saturación del sistema de información A,D
Errores en el sistema A
Falla del equipo A
Incumplimiento en el mantenimiento del sistema de información A,D
Mal funcionamiento del equipo A
Mal funcionamiento del software A Fuente: Autores
3.10.2.7. Pérdida de los servicios esenciales y su origen
Tabla 35: Pérdida de los servicios esenciales y su origen
Tipo Amenaza Origen
Perdida de los servicios esenciales Fallas en el equipo de telecomunicaciones A,D
Perdida de suministro de energía A,D,E Fuente: Autores
Para ver el cuadro completo de amenazas remitirse:
Anexo B. Cuadro de Riesgos.xls: Pestaña Identificación de Amenazas (En
medio magnético).
74
3.11. IDENTIFICACION DE VULNERABILIDADES
Para iniciar con las vulnerabilidades es importante ya tener identificadas las
amenazas y la lista de activos, adicional se deberían identificar las
vulnerabilidades que pueden ser explotadas por las amenazas para causar daños
a los activos o la organización.
Se pueden identificar vulnerabilidades en áreas como:
Organización
Proceso y procedimientos
Rutinas de gestión
Personal
Ambiente físico
Configuración del sistema de información
Hardware, software o equipo de comunicaciones
Dependencia de partes externas
La sola presencia de una vulnerabilidad no causa daño por sí misma, dado que es
necesario que haya una amenaza presente para explotarla. Una vulnerabilidad
que no tiene una amenaza correspondiente puede no requerir de la
implementación de un control, pero es recomendable reconocerla y monitorearla
para determinar los cambios.
3.11.1. Valoración de Vulnerabilidad por Amenazas de tipo de
Activo
Se realiza la identificación y valoración de las vulnerabilidades identificadas en
cada una de las amenazas por tipo de activo identificado, todo esto en base a la
norma ISO/IEC 27005:2008.
A partir de la identificación de las vulnerabilidades se encuentra que se deben
documentar y mejorar los procesos y procedimientos que manejan en la
aseguradora, como el control de acceso por parte de los usuarios, la manera de
ubicar los equipos y dispositivos en áreas adecuadas y la manera de salvaguardar
la información de cada uno de los asegurados
A continuación se muestra cada una de las vulnerabilidades de acuerdo a las
amenazas y los tipos de activos y definidos.
75
3.11.1.1. Vulnerabilidades por Hardware
Tabla 36: Vulnerabilidades por Hardware
Tipo de Activo Amenaza Vulnerabilidad
Hardware
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área susceptible de inundación
Daño por fuego Ubicación en un área susceptible
Error en el uso Configuración incorrecta de parámetros
Falla del equipo Mantenimiento insuficiente
Mal funcionamiento del equipo
Contaminación mecánica
Perdida de suministro de energía
No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo
Polvo, corrosión, congelamiento
Deterioro del hardware
Uso no autorizado del equipo
Falta de revisiones regulares por parte de la gerencia
Destrucción del Equipo o de los Medios
Falta de esquemas de reemplazo periódico
Hurto de equipo
Perdida de Información
Falta de procesos disciplinarios definidos en el caso de incidentes de seguridad de la información
Fuente: Autores
3.11.1.2. Vulnerabilidades por Infraestructura
Tabla 37: Vulnerabilidades por Infraestructura
Tipo de Activo Amenaza Vulnerabilidad
Infraestructura
Daño por Fuego Ubicación en un área susceptible
Inundación Ubicación en un área susceptible de inundación
Sismo / Terremoto Disponibilidad de la información
Daño por Agua Ubicación en un área susceptible de inundación
Polvo, corrosión, congelamiento Susceptibilidad a la humedad, el polvo y la suciedad
Fuente: Autores
Para ver el resto de vulnerabilidades remitirse:
Anexo B. Cuadro de Riesgos.xls: Pestaña Vulnerabilidades por Activo (En
medio magnético).
76
3.12. VALORACION DETALLADA DE LOS RIESGOS EN LA SEGURIDAD DE
LA INFORMACION
El proceso de valoración detallada de los riesgos en la seguridad de la información
implica la identificación y valoración profunda de los activos, la valoración de las
amenazas para tales activos y la valoración de las vulnerabilidades. Los
resultados de estas actividades se utilizan para evaluar los riesgos y luego
identificar su tratamiento.
Las consecuencias se pueden evaluar de varias maneras, incluyendo el uso de
medidas cuantitativas, por ejemplo monetarias y cualitativas (las cuales se pueden
basar en el uso de adjetivos tales como moderado o grave) o una combinación de
ambas. Para evaluar la probabilidad de ocurrencia o una amenaza, se debería
establecer el marco temporal en el cual el activo tendrá valor o necesitara
protección. La probabilidad de ocurrencia de una amenaza específica está
afectada por los siguientes aspectos:
Lo atractivo que se el activo, o el impacto posible aplicable cuando se toma
en consideración una amenaza humana deliberada.
La facilidad de transformar en beneficio, la explotación de una
vulnerabilidad del activo, aplicable cuando se toma en consideración una
amenaza humana deliberada.
Las capacidades técnicas del agente amenazador, aplicable a amenazas
humana deliberadas.
La susceptibilidad de la vulnerabilidad a la explotación, aplicable tanto a
vulnerabilidades técnica como no técnicas.
Muchos métodos utilizan tablas y combinan medidas subjetivas y empíricas. Es
importante que la organización utilice un método con el cual este cómoda, en el
cual la organización tenga confianza y que produzca resultados repetibles.
3.12.1. Relación entre Impacto, Probabilidad y Riesgo
Teniendo en cuenta lo descrito en la valoración detallada de los riesgos, lo que se
busca con este análisis de riesgo es identificar la relación existente entre el riesgo
evidenciado, la probabilidad de que ocurra y el impacto que puede tener este
riesgo en cada uno de los activos que ya se identificaron previamente.
A continuación se muestran las tablas utilizadas para el análisis de riesgo
realizado para este proyecto.
77
3.12.1.1. Matriz de Riesgo
La Matriz para el Análisis de riesgo, es de mucha ayuda ya que nos permite
analizar y determinar los riesgos existentes en el manejo de los datos e
información de la organización. La Matriz, no brindara un resultado detallado sobre
los riesgos y peligros de cada activo de la organización, sino más bien una mirada
aproximada y generalizada de estos.
En esta matriz no se tuvo en cuenta los controles propuestos en el caso estudio,
es decir el riesgo Inherente.
Tabla 38: Riesgos Inherentes
Impacto
Probabilidad Muy Bajo Bajo Medio Alto Muy Alto
Siempre 0 0 1 3 18
Casi Siempre 0 0 1 20 31
A Menudo 0 0 2 12 32
Algunas Veces 0 0 2 20 25
Casi Nunca 0 0 0 0 4
Fuente: ISO/IEC 27005 y los Autores
En la siguiente tabla se relaciona la Matriz de Riesgo de los activos identificados
en el caso estudio, teniendo en cuenta los controles propuestos en el caso
estudio, es decir el riesgo Residual.
Tabla 39: Riesgo Residual
Impacto
Probabilidad Muy Bajo Bajo Medio Alto Muy Alto
Siempre 0 0 0 0 2
Casi Siempre 0 0 6 50 93
A Menudo 0 0 0 3 11
Algunas Veces 0 0 0 2 4
Casi Nunca 0 0 0 0 0
Fuente: ISO/IEC 27005 y los Autores
Para ver el análisis de riesgo realizado remitirse:
Anexo B. Cuadro de Riesgos.xls: Pestaña Riesgos (En medio magnético).
78
CAPITULO IV
POLÍTICAS Y CONTROLES DE
SEGURIDAD
79
4. POLITICAS Y CONTROLES DE SEGURIDAD
Las políticas junto con los controles de seguridad de la información cubren todos
los aspectos administrativos y de control que deben ser cumplidos por los
directivos, funcionarios y terceros que laboren o tengan relación con MetLife de
seguros de vida Colombia, para conseguir un adecuado nivel de protección de las
características de seguridad y calidad de la información relacionada.
4.1. PROCEDIMIENTOS Y CONTROLES
De acuerdo al análisis de riesgo para la implementación del SGSI (Sistema de
Gestión de Seguridad de la Información) en el caso estudio se procedió a definir
una serie de controles asociados a cada objetivo de control teniendo en cuenta la
norma ISO 27002:2005, en donde se identifican cuáles de ellos aplican a las
amenazas identificadas por cada activo. Adicionalmente de acuerdo al desarrollo
del caso estudio se plantean una serie de controles por parte de los autores con el
fin de que sean tenidas en cuenta en cualquier momento de ser necesario.
Para ver el Tratamiento de Riesgos realizado remitirse:
Anexo B. Cuadro de Riesgos.xls: Pestaña Riesgos (En medio magnético).
4.2. POLITICAS DE SEGURIDAD
Las políticas de seguridad son un conjunto de leyes, reglas y prácticas que
regulan la manera de dirigir, proteger y distribuir recursos en una organización
para llevar a cabo los objetivos de seguridad informática dentro de la misma. Por
esta razón, es importante definirlas y comunicarlas al personal de la entidad para
que se cumplan y así se pueda garantizar la integridad, disponibilidad,
confiabilidad y seguridad de la información.
Para ver las políticas de seguridad remitirse:
Ver Anexo C. Políticas de Seguridad.
80
CAPITULO V
CONCLUSIONES,
RECOMENDACIONES Y
REFERENCIAS
81
5. CONCLUSIONES
Teniendo en cuenta el trabajo realizado con apoyo de la norma ISO/IEC
27005:2008 se evidencia la importancia de realizar un análisis de la situación
actual de la compañía MetLife seguros de vida Colombia con respecto a su estado
en la gestión del riesgo en la seguridad de la información, ya que nos permitió ver
su actualidad y adicional como estaba con respecto a la normatividad vigente, fue
de vital importancia realizar este análisis previo y así conocer las debilidades y
fortalezas de la compañía.
Fue importante realizar una identificación de los activos que posee la compañía
para el tratamiento de la información, esto con fin de clasificarlos, codificarlos, y
darles un criterio dependiendo de su importancia y criticidad para la empresa, con
base a esto se empezaron a establecer las vulnerabilidades e identificar las
posibles amenazas a las que se encontraba expuesta la compañía.
A partir de los hallazgos identificados fue necesario realizar una valoración
cualitativa y cuantitativa de los riesgos a los que se encontraba expuesta la
compañía, ya que con estos se logró definir políticas de seguridad que permitieran
reducir las vulnerabilidades y las amenazas identificadas previamente, y así lograr
que la aseguradora MetLife seguro de vida Colombia pueda tener un mejor
tratamiento de la información.
En conclusión es importante resaltar la importancia de definir un SGSI (sistema de
gestión de la seguridad de la información), ya que este es de gran ayuda para las
organizaciones, permite que sus clientes, usuarios, empleados etc., estén seguros
de que su información está protegida, ayuda a las empresas a brindar garantías
en el manejo de la información con el objetivo de garantizar la integridad, la
confidencialidad y autenticidad de la misma, adicional permite a las organizaciones
gozar de buena reputación y destacarse ante la competencia por su compromiso
con la reducción de los riesgos y el interés en mantener seguro un activo tan
importante como lo es la información.
82
6. RECOMENDACIONES
Es importante que las organizaciones cuenten con un equipo especializado
en seguridad de la información que constantemente revise y realice
estudios pertinentes para el análisis de riesgo y el funcionamiento del core
del negocio, esto con el objetivo de obtener un alto nivel de seguridad.
Es importante que las organizaciones busquen de manera continua,
garantizar la seguridad de la información a través de la optimización de sus
procesos y la retroalimentación oportuna de las oportunidades de mejora.
Las organizaciones periódicamente deben identificar sus activos de
información con el fin de realizar evaluaciones precisas del riesgo y sus
posibles planes de acción.
Buscar siempre la preservación de la reputación y el buen nombre de la
organización con respecto a su competencia.
Brindar a los clientes y usuarios de la compañía la confianza necesaria,
mostrando el compromiso de la organización con la protección de sus
datos.
Capacitar constantemente al personal de la empresa en temas de
seguridad de la información, ayudara en gran sobremanera a proteger este
activo vital en los procesos de las organizaciones.
83
7. REFERENCIAS
AREITIO. Javier. Seguridad de la información. Redes, informática y
sistemas de información. Madrid: Paraninfo. 2008. 566p
BERNAL, Jorge Jimeno. Ciclo PDCA (Planificar, Hacer, Verificar y Actuar):
El círculo de Deming de mejora continua. {En línea}. {08 de mayo de 2017}
disponible en: http://www.pdcahome.com/5202/ciclo-pdca/
CARPENTIER, Jean-Francois. La seguridad informática en la PYME:
Situación actual y mejores prácticas. Barcelona: Ediciones ENI. 2016. 436p.
El portal de ISO 27001 en Español. {En línea}. {11 de mayo de 2017}
disponible en: http://www.iso27000.es/iso27000.html
ESPINOSA, Diego, MARTINEZ, Juan y AMADOR, Siler. Gestión Del
Riesgo En La Seguridad De La Información Con Base En La Norma
ISO/IEC 27005 De 2011, Proponiendo Una Adaptación De La Metodología
Octave-S. Caso De Estudio: Proceso De Inscripciones Y Admisiones En La
División De Admisión Registro Y Control Académico (Darca) De La
Universidad Del Cauca. {En línea}. {08 de mayo de 2017} disponible en:
http://web.usbmed.edu.co/usbmed/fing/v5n2/pdf/Articulo_Gestion_Riesgo_S
eguridad_Informacion
GARCIA, Alfonso, HURTADO, Cervigón, ALEGRE RAMOS, María del Pilar.
Seguridad Informática. Edición 11. Madrid: Paraninfo, 2011. 163p.
IBERIA, Willis. Gerencia de riesgos: Cómo proteger los objetivos de tu
empresa. {En línea}. {11 de mayo de 2017} disponible en:
http://willisupdate.com/gerencia-riesgos-proteger-los-objetivos-empresa-
infografia-parte-2/
ISO/IEC 27005:2011(en). Information Technology — Security techniques —
Information security risk management. {En línea}. {11 de mayo de 2017}
disponible en: https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-2:v1:en
MENDOZA, Miguel Ángel De la identificación y análisis a la gestión de
riesgos de seguridad. {En línea}. {11 de mayo de 2017} disponible en:
http://www.welivesecurity.com/la-es/2015/07/16/analisis-gestion-de-riesgos-
seguridad/
84
MetLife Seguros de Vida, Autorización y Política para el Tratamiento de sus
datos personales, Disponible en:
http://www.metlife.com.co/es/Individual/Servicio-al-
Cliente/politicas_informacion.html
MetLife Seguros de Vida, Misión y Visión, Disponible en:
http://www.metlife.com.co/es/Individual/Quienes-Somos/Local/Mision-y-
Vision.html
MetLife Seguros de Vida, Quienes Somos, Disponible en:
http://www.metlife.com.co/es/Individual/Quienes-Somos/index.html
Ministerio de Tecnologías de la Información y las Comunicaciones. - Guía
De Gestión De Riesgos. Seguridad Y Privacidad De La Información. {En
línea}. {08 de mayo de 2017} disponible en:
http://www.mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf
MURILLO POLANIA, Sujel. ISO/IEC 27005 Gestión de riesgos de seguridad
de la Información. . {En línea}. {13 de junio de 2017} disponible en:
http://segweb.blogspot.com.co/2012/04/27005.html
NTC-ISO 27005. {13 de junio de 2017} disponible en:
https://es.scribd.com/doc/124454177/ISO-27005-espanol
PAGNOTTA, Sabrina. Infografía sobre cómo implementar un buen SGSI.
{En línea}. {13 de junio de 2017} disponible en:
http://www.welivesecurity.com/la-es/2015/09/23/infografia-como-
implementar-buen-sgsi/
SANTOS, Antonio, SÁNCHEZ, Luis Enrique y FERNÁNDEZ, Eduardo.
Desarrollando una metodología de análisis de riesgos para que el sector
asegurador pueda tasar los riesgos en las PYMES. {En línea}. {13 de junio
de 2017} disponible en:
https://web.ua.es/va/recsi2014/documentos/papers/desarrollando-una-
metodologia-de-analisis-de-riesgos-para-que-el-sector-asegurador-pueda-
tasar-los-riesgos-en-las-pymes.pdf
SUAREZ PADILLA, Sandra Yomay. Análisis Y Diseño De Un Sistema De
Gestión De Seguridad Informática En La Empresa Aseguradora Suárez
Padilla & Cía. Ltda., Que Brinde Una Adecuada Protección En Seguridad
Informática De La Infraestructura Tecnológica De La Organización. {En
85
línea}. {13 de junio de 2017} disponible en:
http://repository.unad.edu.co/bitstream/10596/3777/1/20904541.pdf
VELASQUEZ GAVIRIA, John. ISO/IEC 27005. Gestión de riesgos de la
Seguridad de la Información. {En línea}. {13 de junio de 2017} disponible
en: https://prezi.com/5p79m3u5wklw/isoiec-27005-gestion-de-riesgos-de-la-
seguridad-la-informa/
86
ANEXOS
87
8. ANEXOS
8.1. Anexo A. Controles ISO27002
En el anexo A se encuentra listado cada uno de los controles a tener en cuenta en
la definición de las políticas de seguridad de acuerdo a la norma ISO/IEC
27002:2013 y se detalla cómo se encuentra la entidad frente a cada uno de ellos
y las posibles recomendaciones a tener en cuenta; a continuación se listan cada
uno de ellos según su dominio y objetivo.
Dominio: POLITICAS DE SEGURIDAD
Objetivo: Directrices de la Dirección en seguridad de la información.
Tabla 40. Políticas de seguridad
5. POLITICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información.
5.1.2 Revisión de las políticas para la seguridad de la información. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACION.
Objetivos: - Organización interna.
- Dispositivos para movilidad y teletrabajo.
Tabla 41. Aspectos Organizativos
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION.
6.1 Organización interna.
6.1.1 Asignación de responsabilidades para la seguridad de la información.
6.1.2 Segregación de tareas.
6.1.3 Contacto con las autoridades.
6.1.4 Contacto con grupos de interés especial.
6.1.5 Seguridad de la información en la gestión de proyectos.
6.2 Dispositivos para movilidad y teletrabajo.
6.2.1 Política de uso de dispositivos para movilidad.
6.2.2 Teletrabajo. Fuente: ISO/IEC 27002:2013 y los Autores
88
Dominio: SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
Objetivos: - Antes de la contratación.
- Durante la contratación.
- Cese o cambio de puesto de trabajo.
Tabla 42. Seguridad Ligada a los RR.HH
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
7.1 Antes de la contratación.
7.1.1 Investigación de antecedentes.
7.1.2 Términos y condiciones de contratación.
7.2 Durante la contratación.
7.2.1 Responsabilidades de gestión.
7.2.2 Concienciación, educación y capacitación en seguridad de la información
7.2.3 Proceso disciplinario.
7.3 Cese o cambio de puesto de trabajo.
7.3.1 Cese o cambio de puesto de trabajo. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: GESTIÓN DE ACTIVOS.
Objetivos: - Responsabilidad sobre los activos - Clasificación de la información.
- Manejo de los soportes de almacenamiento.
Tabla 43. Gestión de activos
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.2.3 Manipulación de activos.
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes.
8.3.3 Soportes físicos en tránsito. Fuente: ISO/IEC 27002:2013 y los Autores
89
Dominio: CONTROL DE ACCESOS.
Objetivos: - Requisitos de negocio para el control de accesos.
- Gestión de acceso de usuario.
- Responsabilidades del usuario.
- Control de acceso a sistemas y aplicaciones.
Tabla 44. Control de Accesos
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.4 Gestión de información confidencial de autenticación de usuarios.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.3 Responsabilidades del usuario.
9.3.1 Uso de información confidencial para la autenticación.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: CIFRADO.
Objetivo: Controles criptográficos.
Tabla 45. Cifrado
10. CIFRADO.
10.1 Controles criptográficos.
10.1.1 Política de uso de los controles criptográficos.
10.1.2 Gestión de claves. Fuente: ISO/IEC 27002:2013 y los Autores
90
Dominio: SEGURIDAD FÍSICA Y AMBIENTAL.
Objetivos: - Áreas seguras.
- Seguridad de los equipos.
Tabla 46.Seguridad Física y Ambiental
11. SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga.
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: SEGURIDAD EN LA OPERATIVA.
Objetivos: - Responsabilidades y procedimientos de operación. - Protección
contra código malicioso. - Copias de seguridad. - Registro de actividad y
supervisión. - Control del software en explotación. - Gestión de la vulnerabilidad
técnica. - Consideraciones de las auditorías de los sistemas de información.
Tabla 47. Seguridad en la Operativa
12. SEGURIDAD EN LA OPERATIVA.
12.1 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación.
12.1.2 Gestión de cambios.
12.1.3 Gestión de capacidades.
12.1.4 Separación de entornos de desarrollo, prueba y producción.
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso.
91
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la información.
12.4 Registro de actividad y supervisión.
12.4.1 Registro y gestión de eventos de actividad.
12.4.2 Protección de los registros de información.
12.4.3 Registros de actividad del administrador y operador del sistema.
12.4.4 Sincronización de relojes.
12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en producción.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software.
12.7 Consideraciones de las auditorías de los sistemas de información.
12.7.1 Controles de auditoría de los sistemas de información. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: SEGURIDAD EN LAS TELECOMUNICACIONES.
Objetivos: - Gestión de la seguridad en las redes.
- Intercambio de información con partes externas.
Tabla 48.Seguridad en las Telecomunicaciones
13. SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto. Fuente: ISO/IEC 27002:2013 y los Autores
92
Dominio: ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIÓN.
Objetivos: - Requisitos de seguridad de los sistemas de información. - Seguridad
en los procesos de desarrollo y soporte. - Datos de prueba.
Tabla 49.Adquisición, Desarrollo y Mantenimiento de los SI
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN.
14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de los requisitos de seguridad.
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas.
14.1.3 Protección de las transacciones por redes telemáticas.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniería en protección de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalización del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación.
14.3 Datos de prueba.
14.3.1 Protección de los datos utilizados en pruebas. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: RELACIONES CON SUMINISTRADORES.
Objetivos: - Seguridad de la información en las relaciones con suministradores.
- Gestión de la prestación del servicio por suministradores.
Tabla 50. Relaciones con Suministradores
15. RELACIONES CON SUMINISTRADORES.
15.1 Seguridad de la información en las relaciones con suministradores.
15.1.1 Política de seguridad de la información para suministradores.
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores.
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones.
15.2 Gestión de la prestación del servicio por suministradores.
15.2.1 Supervisión y revisión de los servicios prestados por terceros.
15.2.2 Gestión de cambios en los servicios prestados por terceros.
93
Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA
INFORMACIÓN.
Objetivo: - Gestión de incidentes de seguridad de la información y mejoras.
Tabla 51. Gestión de Incidentes
16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Notificación de los eventos de seguridad de la información.
16.1.3 Notificación de puntos débiles de la seguridad.
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la información.
16.1.7 Recopilación de evidencias. Fuente: ISO/IEC 27002:2013 y los Autores
Dominio: ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN
DE LA CONTINUIDAD DEL NEGOCIO.
Objetivos: - Continuidad de la seguridad de la información.
- Redundancias.
Tabla 52. Aspectos de Seguridad de la Información
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de la seguridad de la información.
17.1.1 Planificación de la continuidad de la seguridad de la información.
17.1.2 Implantación de la continuidad de la seguridad de la información.
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información.
17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información. Fuente: ISO/IEC 27002:2013 y los Autores
94
Dominio: CUMPLIMIENTO.
Objetivos: - Cumplimiento de los requisitos legales y contractuales.
- Revisiones de la seguridad de la información.
Tabla 53. Cumplimiento
18. CUMPLIMIENTO.
18.1 Cumplimiento de los requisitos legales y contractuales.
18.1.1 Identificación de la legislación aplicable.
18.1.2 Derechos de propiedad intelectual (DPI).
18.1.3 Protección de los registros de la organización.
18.1.4 Protección de datos y privacidad de la información personal.
18.1.5 Regulación de los controles criptográficos.
18.2 Revisiones de la seguridad de la información.
18.2.1 Revisión independiente de la seguridad de la información.
18.2.2 Cumplimiento de las políticas y normas de seguridad.
18.2.3 Comprobación del cumplimiento.
Fuente: ISO/IEC 27002:2013 y los Autores
8.2. Anexo B. Cuadro de Riesgos
8.2.1. Identificación de activos
Tabla 54. Identificación de Activos
Identificador Descripción del Activo
Hw-01 Servidores
Hw-02 Computadores de escritorio
Hw-03 Portátiles
Hw-04 Dispositivos móviles
Hw-05 Impresoras
Hw-06 Equipos multifuncional
Hw-07 Routers
Hw-08 Teléfonos
Hw-09 Módems
Hw-10 Memoria USB
Hw-11 CD/DVD
Hw-12 Discos Portables
Hw-13 Cámaras de Seguridad
Hw-14 Lector Huella Dactilar
Hw-15 Televisores
Info-01 Base de Datos
95
Info-02 Archivos de Datos
Info-03 Manuales de Usuario
Info-04 Documentación del sistema
Info-05 Solicitudes
Info-06 Formatos
Info-07 Hojas de Vida
Info-08 Documentos internos
Info-09 Entregables (CD/DVD)
Info-10 Material Físico (Impreso)
Info-11 Información en carpetas compartidas en red
Info-12 Información Disco Portables
Info-13 Información Medica
Info-14 Información memorias USB
Infr-01 Instalaciones de la Organización
Infr-02 Canalización de red eléctrica
Infr-03 Canalización de red de datos
Infr-04 Instalación de red de datos
Infr-05 Instalación de red eléctrica
Pers-01 Usuarios Internos
Pers-02 Usuarios externos
Pers-03 Analistas
Pers-04 Directores
Pers-05 Coordinadores
Pers-06 Desarrolladores
Pers-07 Clientes
Pers-08 Personal Administrativo
Pers-09 Proveedores
Pers-10 Médicos
Serv-01 Capacitaciones
Serv-02 Telefonía
Serv-03 Internet
Serv-04 Red Inalámbrica
Serv-05 Almacenamiento de información
Serv-06 Fluido Eléctrico
Sw-01 Sistemas Operativos
Sw-02 Antivirus
Sw-03 Servidores Aplicaciones/ Contenedores
Sw-04 SACC
Sw-05 Ramos individuales
Sw-06 AS400
Sw-07 GSP
Sw-08 Página WEB
96
Sw-09 Navegadores
Sw-10 Office
Sw-11 Motor de Base de Datos
Sw-12 Licencias Fuente: Autores
8.2.2. Identificación de Amenazas.
Tabla 55. Identificación de Amenazas
Tipo Amenaza Origen
Acciones no autorizadas
Procesamiento Ilegal de la información D
Acceso no autorizado al sistema D
Ataques contra el sistema D
Copia fraudulenta del software D
Corrupción de los datos D
Ingreso de datos falsos o corruptos A,D
Intrusión, accesos forzados al sistema A,D
Suplantación de Identidad D
Uso de software falso o copiado A,D
Uso no autorizado del equipo D
Compromiso de la Información
Espionaje Remoto D
Divulgación A,D
Hurto de Equipo D
Hurto de Información D
Hurto de medios o Documentos D
Hurto del Entregable D
Manipulación con Software D
Recuperación de medios reciclados o desechados D
Compromiso de las Funciones
Abuso de derechos A,D
Error en el uso A
Incumplimiento en la disponibilidad del personal A,D,E
Negación de Servicio D
Daño físico
Accidente Importante A,D,E
Daño por agua A,D,E
Daño por fuego A,D,E
Destrucción del Equipo o de los Medios A,D,E
Polvo, corrosión, congelamiento A,D,E
Eventos naturales
Fenómenos climáticos E
Inundación E
Sismo / Terremoto E
Fallas técnicas Saturación del sistema de información A,D
97
Errores en el sistema A
Falla del equipo A
Incumplimiento en el mantenimiento del sistema de información
A,D
Mal funcionamiento del equipo A
Mal funcionamiento del software A
Perdida de los servicios esenciales
Fallas en el equipo de telecomunicaciones A,D
Perdida de suministro de energía A,D,E Fuente: Autores
8.2.3. Identificación de Vulnerabilidades por Activo
Tabla 56. Identificación de Vulnerabilidades por Activo
Tipo de Activo Amenaza Vulnerabilidad
Hardware
Accidente Importante Sobrecargas
Daño por agua Ubicación en un área susceptible de inundación
Daño por fuego Ubicación en un área susceptible
Error en el uso Configuración incorrecta de parámetros
Falla del equipo Mantenimiento insuficiente
Mal funcionamiento del equipo Contaminación mecánica
Perdida de suministro de energía No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo
Polvo, corrosión, congelamiento Deterioro del hardware
Uso no autorizado del equipo Falta de revisiones regulares por parte de la gerencia
Destrucción del Equipo o de los Medios Falta de esquemas de reemplazo periódico
Hurto de equipo Perdida de Información
Falta de procesos disciplinarios definidos en el caso de incidentes de seguridad de la información
Información
Corrupción de los datos Utilización de los programas de aplicación a los datos errados en términos de tiempo
Hurto de Información Almacenamiento sin protección
Ingreso de datos falsos o corruptos Disponibilidad de la información
Intrusión, accesos forzados al sistema Almacenamiento sin protección
Manipulación con Software Falta de copias de respaldo
Descarga y uso no controlado de
98
software
Saturación del sistema de información Falta de mantenimiento
Gestión inadecuada de la red
Daño por Fuego Ubicación en un área susceptible
Daño por Agua Ubicación en un área susceptible de inundación
Destrucción del Equipo o de los Medios Falta de esquemas de reemplazo periódico
Hurto de equipo Falta de procesos disciplinarios definidos en el caso de incidentes de seguridad de la información
Polvo, corrosión, congelamiento Susceptibilidad a la humedad, el polvo y la suciedad
Procesamiento Ilegal de la información Fuga de Información
Falta de mecanismos de monitoreo Habilitación de servicios innecesarios
Abuso de derechos Falta de procedimiento formal para el registro y retiro del registro de usuario
Hurto de medios o Documentos Almacenamiento sin protección
Divulgación Sesiones de Usuario habilitadas
Fuga de Información
Susceptibilidad a la humedad, el polvo y la suciedad
Recuperación de medios reciclados o desechados
Perdida de Información
Hurto del Entregable Disponibilidad de la información
Suplantación de Identidad Sesiones de Usuario habilitadas
Error en el uso Configuración incorrecta de parámetros
Perdida de suministro de Energía Falta de dispositivos de almacenamiento de energía (UPS)
Espionaje Remoto Arquitectura insegura de la red
Transferencia de contraseñas autorizadas
Uso no autorizado del equipo Falta de revisiones regulares por parte de la gerencia
Infraestructura
Daño por Fuego Ubicación en un área susceptible
Inundación Ubicación en un área susceptible de inundación
Sismo / Terremoto Disponibilidad de la información
Daño por Agua Ubicación en un área susceptible de inundación
99
Polvo, corrosión, congelamiento Susceptibilidad a la humedad, el polvo y la suciedad
Personas
Incumplimiento en la disponibilidad del personal
Ausencia del Personal
Suplantación de Identidad Sesiones de Usuario habilitadas
Servicios
Incumplimiento en la disponibilidad del personal
Ausencia del Personal
Fallas en el equipo de telecomunicaciones
Conexión deficiente de los cables
Fenómenos climáticos Susceptibilidad a las variaciones de temperatura
Perdida de suministro de energía Falta de dispositivos de almacenamiento de energía (UPS)
Falla en el equipo Mantenimiento insuficiente
Software
Ataques contra el sistema Perdida de Información
Copia fraudulenta del software Falta de disponibilidad (con respecto a la seguridad de la información)
Corrupción de los datos Utilización de los programas de aplicación a los datos errados en términos de tiempo
Error en el uso Configuración incorrecta de parámetros
Errores en el sistema Disponibilidad de la información
Incumplimiento en el mantenimiento del sistema de información
Falta de procedimiento de control de cambios
Copia fraudulenta del software Falta de disponibilidad (con respecto a la seguridad de la información)
Mal funcionamiento del software Disponibilidad del servicio
Uso de software falso o copiado Falta de procedimientos del cumplimiento delas disposiciones con los derechos intelectuales
Hurto de Información Almacenamiento sin protección
Uso no autorizado del equipo Perdida de Información
Falla en el equipo de Telecomunicaciones
Conexión deficiente de los cables
Negación de Servicio Disponibilidad de la información
Acceso no autorizado al sistema Almacenamiento sin protección Fuente: Autores
100
8.2.4. Identificación y valoración de Riesgos
Este cuadro puede ser consultado en el Anexo B. cuadro de riesgos, allí se puede
visualizar cada uno de los activos identificados durante la ejecución del proyecto,
al igual que las vulnerabilidades y amenazas. Teniendo en cuenta la identificación
de activos se realizó una valoración de riesgos de acuerdo al impacto que puede
tener si se llegase a materializar y adicional su probabilidad de ocurrencia. En
dicho cuadro también se puede ver el tratamiento actual a cada uno de los riesgos
expuestos.
8.3. Anexo C. Políticas de Seguridad
Las políticas junto con los controles de seguridad de la información cubren todos
los aspectos administrativos y de control que deben ser cumplidos por los
directivos, funcionarios y terceros que laboren o tengan relación con MetLife de
seguros de vida Colombia, para conseguir un adecuado nivel de protección de las
características de seguridad y calidad de la información relacionada. En el anexo
C. políticas de seguridad se puede encontrar la política establecida para la
compañía, y cada una de las políticas sugeridas acorde con los controles
establecidos dentro de la norma ISO/IEC 27002:2013.