Fase 2 Diseño y Analisis de Riesgo - Colaborativo 1

FASE 2 - DISEÑAR EL ANÁLISIS DE RIESGOS

Estudiantes unad

Presentado a: SALOMÓN GONZÁLEZ GARCÍA DIRECTOR

MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA FACULTAD DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA ESPECIALIZACION EN SEGURIDAD INFORMATICA 2016 RESUMEN

Gracias a la aplicación de un análisis de riesgos oportuno en una empresa, se puede realizar la identificación, el análisis y la evaluación de los riesgos que eventualmente podrían alterar su normal funcionamiento. Y a pesar que existen

muchas metodologías utilizadas para este proceso y todas ellas parten de un punto común, la identificación de activos de información, todos aquellos recursos involucrados que incluyen los datos, el hardware hasta el recurso humano. Es sobre estos elementos que el análisis de riesgos centra su identificación de amenazas o riesgos y las vulnerabilidades. De allí se define una amenaza como un evento que puede afectar los activos, ya sea por acción del recurso humano, algún evento natural o posibles fallas técnicas. Por su parte, al identificar las vulnerabilidades se procese a determinar una característica de un activo que represente un riesgo para la seguridad de la información. Se continúa identificando las amenazas, que son la materialización de las vulnerabilidades causando como resultado algún tipo de pérdida para la empresa. Para la realización de este proceso el presente proyecto emplea la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), propuesto por la Administración electrónica del gobierno español (http://administracionelectronica.gob.es/) la cual se puede apoyar en el software PILAR desarrollado por la compañía EAR, el que mediante la documentación de los procesos antes mencionados y previa caracterización y asignación de valores a todos los elementos presenta un desarrollo del análisis de riesgo de la compañía. Una vez identificada los posibles impactos y riesgos a los cuales se ve enfrentada la compañía, para este caso en específico se ha seleccionado la empresa JAVA INGENIERÍA, se continua identificando y proponiendo los posibles controles a emplearse del estándar ISO 27001 y las recomendaciones de seguridad propuestos para el estudio específico, para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario al recibir una valoración para determinar cuáles son los más críticos para la empresa. En este documento se identifican y valoran los principales riesgos que pueden afectar los activos de información de la empresa JAVA INGENIERÍA.

ABSTRACT Thanks to the implementation of an appropriate risk analysis in a company, you can make the identification, analysis and assessment of the risks that could eventually disrupt normal operation. And although there are many methodologies used for this process and they all start from a common point, identification of information assets, all involved resources including data, hardware to human resources. It is on these elements that risk analysis focuses identification of threats or risks and vulnerabilities.

From there a threat as an event that may affect the assets, whether by action of human resources, some natural event or possible technical failures defined. Meanwhile, to identify vulnerabilities is processed to determine a characteristic of an asset that represents a risk to information security. It continues to identify threats, which are the embodiment of vulnerabilities as a result causing any loss to the company. To carry out this process this project employs the MAGERIT methodology (Methods of Analysis and Risk Management Information Systems), proposed by the Spanish government eGovernment (http://administracionelectronica.gob.es/) which it can be supported in the EAR developed by the company PILAR software, which by documenting the aforementioned processes and prior characterization and assignment of values to all elements presents a development of risk analysis company.

Once identified potential impacts and risks to which is confronted the company, for this specific case has selected the company JAVA ENGINEERING is continuously identifying and proposing possible controls to be used in the ISO 27001 standard and safety recommendations proposed for the specific study, so that the company can make decisions on how to deal with the various risks necessary to receive an assessment to determine what are the most critical for the company. This document identified and assessed the main risks that can affect information assets enterprise JAVA ENGINEERING.

CONTENIDO RESUMEN.................................................................................................................... 2 ABSTRACT................................................................................................................... 3 INTRODUCCION.......................................................................................................... 5 ANÁLISIS DE RIESGOS................................................................................................ 6 BIBLIOGRAFIA........................................................................................................... 34

5

INTRODUCCION La ocurrencia de pérdidas de información por ataques humanos, técnicos o por fallas en los equipos de cómputo es una de las principales preocupaciones a la que en la actualidad se ve enfrentado el equipo encargado de la seguridad de la información de las compañías. De igual manera, se considera que en un alto porcentaje los riesgos corporativos no desaparecen dado que pocas veces las empresas logran eliminarlos del todo, o al menos de forma inmediata. Para conseguirlo se debe ejecutar una serie de pasos que se enmarcan dentro de un proceso concreto. Para la consecución de estas condiciones es posible emplear la metodología MAGERIT para la identificación de riesgos y su evaluación posterior, una vez obtenida esta valoración y presentadas las posibles soluciones, las opciones más habituales de las empresas ante los riesgos son aceptarlos, mitigarlos, transferirlos o evitarlos. Estas decisiones son tomadas a partir de recomendaciones hechas por el grupo encargado del estudio, para el presente trabajo se empleara el estándar ISO 27001 para identificar los controles mas apropiados para la compañía JAVA INGENIERÍA y con ellos las recomendaciones a aplicar sobre la seguridad de la información.

.

6

DESARROLLO DEL TRABAJO 1. ANÁLISIS DE RIESGOS Para el desarrollo del análisis de riesgos se procede a seleccionar la compañía la cual se va a realizar el proceso, el grupo de trabajo ha considerado a la compañía JAVA INGENIERÍA de la ciudad de Pasto como un sistema propicio para su ejecución, a continuación se presenta la información necesaria para la identificación del inventario de activos. 

Presentación de la compañía:

Java Ingeniería 12993397-1 es una empresa fundada en la ciudad de Pasto, cuyas oficinas se encuentran en la carrera 24 No. 22 – 13 Los dos puentes. JAVA INGENIERÍA Es una empresa de Ingeniería Eléctrica que presta servicios al sector de la construcción, ejecutando obras de Instalaciones eléctricas, Diseñando proyectos de Ingeniería, inspecciones a obras, asesorías técnicas y mantenimiento en general de instalaciones eléctricas y sistemas de apoyo como UPS. Entre los servicios brindados se encuentran: Redes Eléctricas •

Redes eléctricas y subestaciones en media y baja tensión.

•

Instalaciones eléctricas internas.

•

Sistemas de apantallamiento y puesta a tierra.

•

Iluminación interior, exterior, ornamental y alumbrado público

Diseño de Instalaciones Eléctricas •

Diseñamos sistemas eléctricos eficientes, seguro y a la medida. Ofrecemos alternativas

innovadoras con soluciones viables de costo-beneficio, cumpliendo con la normatividad vigente.

7

Mantenimiento Eléctrico •

Se brinda servicio de Mantenimiento Predictivo, Preventivo y Correctivo en media y baja

tensión para plantas eléctricas, motores, subestaciones y maquinaria eléctrica en general. •

Utilizando equipos de análisis y pruebas con tecnología de punta.

Instalaciones de Cables UTP •

Diseño y desarrollo de toda infraestructura de telecomunicaciones con flexibilidad de

Instalación, capacidad de crecimiento y facilidad de administración Diseños y Construcciones Sostenibles en Desarrollo •



Aplicación de tecnología LED para iluminación.

Diseño organizacional:

La compañía en la actualidad cuenta con un total de 12 empleados, los cuales se contratan según necesidad, distribuidos según su campo de acción así: 1 Gerente: Alfredo Moncayo Apraes 1 Ingeniero de sistemas titulado encargado del diseño y la interventoría de los proyectos de redes de datos 1 Ingeniero eléctrico titulado encargado del diseño y la interventoría de los proyectos eléctricos. 2 Tecnólogos en computación, uno encargado de las funciones de auxiliar administrativo para el control de las bases de datos y el mantenimiento de los equipos y la intranet de la compañía y el segundo para el servicio de mantenimiento de equipos de cómputo y redes de datos a externos. 5 Técnicos encargados de la instalación y mantenimiento de redes eléctricas 3 Técnicos encargados de la instalación y configuración de redes de datos, estructura y armado de armarios de comunicaciones

8



Activos Físicos de la compañía:

Computador I3: Memoria RAM de 4 GB y disco duro de 1TB, lector de memorias, INTEL core i3 4ta generación, quemador de dvd, sistema Windows 8.1 Update 1 64 bits, aplicaciones: office 2013 profesional plus. Computador Janus: Intel Celeron dual core 2,41 ghz, board integrada biostar, disco duro 1tb, 2gb so-dimm de memoria, dvd-rw, multilector de memorias. Sistema Windows 7 32 bits, aplicaciones office proffesional plus 2013. 1 Modem Technicolor 7110.02 provisto por el ISP, dos conectores uno coaxial un Ethernet. No se tiene acceso a las configuraciones del sistema. El proveedor de servicios de internet es CLARO. 1 Router inalambrico N 150mbps Tp-link Tl-wr740n, 1 conexion WLan 4 conexiones LAN 10/100 Mbps, tecnologia 802.11n. Configurado por el personal de la compañía. Intranet interconectada mediante patch cord categoria 6, almacenada en ducteria tipo canaleta plástica con divisor central. Impresora multifuncional Epson L200, compartida en red conectada al computador I3 

Activos software:

Los equipos tienen en la actualidad instalados los siguientes aplicativos. Sistemas Operativos – La empresa no posee licencias: Windows 8.1 Update 1 64 bits Windows 7 profesional 64 bits 

Aplicaciones instaladas:

Winrar 3.7 Winamp 557

9

Setup Virtual Clone Drive K-Lite code pack 995 mega Avira Free Antivirus Adobe Reader X USB Disk Security 7 2013 Office proffesional plus 2013 Nitro Pro 64 Bits Nero 8 

Configuraciones de Red:

La red se encuentra configurada mediante la asignación de direcciones IP dinámicas generadas por el servidor DHCP del router Tl-wr740n La red inalámbrica emplea la misma asignación de direcciones y se protege con contraseña empleando WPA-PSK de 64bits 

Sistemas de información:

JAVA INGENIERIA cuenta con una plantilla contable realizada en Excel para el registro contable. La empresa además emplea plantillas en Excel para •

Plantilla de seguimiento del proyecto

•

Plantilla del diagrama de Gant

•

Presupuesto del Proyecto

•

Escala de tiempo del proyecto

•

Lista de tareas

10

En la actualidad se está empleando los conocimientos de los Tecnólogos para el desarrollo de una base de datos con motor MySQL y java con NetBeans para reemplazar la plantilla de seguimiento del proyecto, para obtener una solución a medida de esta plataforma.



Medidas de seguridad aplicadas en la actualidad:

Los computadores no poseen contraseñas para los usuarios, los discos duros contienen 2 particiones una para el sistema operativo y otra para datos, no existen copias de seguridad de la información ni sistemas externos de copia de datos. La compañía posee una cuenta gratuita de Dropbox para mantener copia de la información referente a la contabilidad y el registro de proveedores y proyectos.

2. DESARROLLO DEL ANÁLISIS DE RIESGOS Para el análisis de riesgos se hace uso del aplicativo PILAR desarrollado por EAR, el cual ha sido desarrollado en JAVA y que puede ser descargado de la página oficial de la empresa, debido a que el software es licenciado se hace uso de la versión de prueba que permite el desarrollo y la ejecución de proyectos con ciertas restricciones como son la generación de informes textuales, razón por la cual para la documentación del análisis se empleara la captura de pantallas. 2.1.

Datos del proyecto:

11

Fig. 1. Datos del proyecto

Fuente: El presente documento

2.2.

Fuentes de información: Se toman como fuentes el personal que labora en la compañía

Fig. 2. Datos de las fuentes de información

Fuente: El presente documento 2.3.

Dominios de seguridad: se identifican los dominios a considerar para el análisis de riesgos, para este estudio se define como dominios los aspectos de seguridad física que relaciona

todos

los

componentes

hardware,

con

sus

características,

amenazas,

12

vulnerabilidades y el dominio de seguridad lógica que hace su parte con lo relacionado al software. Fig. 3. Datos de dominios de seguridad

Fuente: El presente documento

13

2.4. Se procede con la identificación de los activos así: 2.4.1. Identificación: Fig. 4. Identificación de activos

Fuente: El presente documento Dando como resultado las siguientes estadísticas: Fig. 5. Activos por capas

Fuente: El presente documento

14

Fig. 6. Activos por dominios

Fuente: El presente documento Fig. 7. Activos por fuentes

Fuente: El presente documento 2.4.2. Clases de activos. Fig. 8. Clases de activos

Fuente: El presente documento

15

2.5.

Valoración de los dominios

Fig. 9. Valoración de dominios

Fuente: El presente documento Fig. 10. Valoración de dominós – Continuación

Fuente: El presente documento

2.6.

Valoración de los activos

16

Fig. 11. Valoración de activos

Fuente: El presente documento

17

2.7. Identificación de las amenazas 2.7.1. Factores agravantes o atenuantes Fig. 12. Dominios de seguridad

Fuente: El presente documento 2.7.2. Factores agravantes o atenuantes – Continuación

18

Fig. 13. Dominios de seguridad – Continuación

Fuente: El presente documento

19

2.7.3. Identificación de amenazas Fig. 14. Identificación de las amenazas

Fuente: El presente documento

20

2.7.4. Valoración de las amenazas Fig. 15. Valoración de las amenazas

Fuente: El presente documento

21

2.8. Manejo de los salvaguardas 2.8.1. Identificación. Fig. 16. Identificación de las salvaguardas

Fuente: El presente documento 2.8.2. Valoración Fig. 17. Valoración de los salvaguardas

Fuente: El presente documento

22

2.9.

Impacto y riesgo – Valores acumulados

Para el análisis de riesgos se toma en cuenta la siguiente tabla Fig. 18. Niveles de criticidad

Fuente: PILAR 5.4.7. Dando como resultado Fig. 19. Impactos y riesgos acumulados

Fuente: El presente documento

23

De lo cual es posible determinar que el mayor riesgo que se presenta es la denegación del servicio de red para los computadores debido a que en ellos se encuentra la información primordial para el funcionamiento de la empresa. Se continúa con la caída del sistema por agotamiento de recursos, y con posteriores ataques destructivos los cuales pueden ser causados por factores como daños físicos producidos por desastres naturales principalmente. Fig. 20. Impactos y riesgos menos evaluados

Fuente: El presente documento De igual manera es posible determinar que las instalaciones de red son quienes presentan el menor nivel de riesgo ya que solo se pueden ver afectadas por emanaciones electromagnéticas. 2.10.

Riesgo repercutido

Para el análisis de riesgos se toma en cuenta la siguiente tabla Fig. 21. Niveles de criticidad

Fuente: PILAR 5.4.7.

24

Dando como resultado Fig. 22. Impactos y riesgos repercutidos

Fuente: El presente documento Que la repercusión principal se orienta hacia la información importante a través de accesos no autorizados. Fig. 23. Impactos y riesgos repercutidos menos valorados

Fuente: El presente documento Al igual que en el análisis anterior las instalaciones de red son quienes presentan el menor nivel de riesgos. 2.11.

Informes.

Tomando en consideración el tipo de licencia adquirido y los posibles reportes a entregar se obtienen las siguientes gráficas.

25

2.11.1. Valor dominio de seguridad Fig. 24. Valor dominio seguridad

Fuente: El presente documento Es posible identificar que la seguridad lógica se ve afectada por un mayor número de aspectos que la seguridad física y estos a su vez poseen una valoración mayor, razón por lo cual los riesgos que afecten a este dominio presentaran mayor ponderación en al análisis de riesgos. 2.11.2. Impacto acumulado

26

Fig. 25. Gráfica impacto acumulado

Fuente: El presente documento En el grafico es posible identificar el impacto acumulado en el cual se observa el impacto deseado a partir del color verde y el impacto actual representado con color azul. 2.11.3. Riesgo acumulado Fig. 26. Grafica riesgo acumulado

Fuente: El presente documento

27

En el grafico es posible identificar que el riesgo acumulado actual en rojo es mucho mas alto que el sugerido por la aplicación PILAR en azul. Para una mayor comprensión de los resultados se adjunta una copia digital del proyecto en el archivo “javaingenieria.mgr”, que puede consultarse con el programa EAR PILAR. La matriz de riesgos completa se encuentra en el Anexo 1 del presente documento.

28

3. IDENTIFICACIÓN DE LOS CONTROLES Y RECOMENDACIONES DE LA ISO 27001 A EMPLEAR EN LA COMPAÑÍA JAVA INGENIERÍA En este punto, para ser más conciso, se tendrá en cuenta la puntuación que a cada uno de los controles le asigna la norma. Política de seguridad: La información es un recurso muy importante para la empresa JAVA INGENIERÍA, al igual que los demás activos por tanto debe ser protegida correctamente. La aplicación de la política de seguridad de la información garantiza un compromiso inevitable frente a las continuas amenazas que se presentan hoy en día. Con esta política se contribuye a reducir los riesgos que puedan presentarse y se asegura un cumplimiento eficiente de las funciones de la entidad. La compañía proveerá los mecanismos necesarios para el estudio, aplicación, apropiación, difusión, actualización y consolidación de la política de seguridad de la información. Organización de la información de seguridad La empresa JAVA INGENIERÍA garantiza el apoyo a los procesos de implementación, operación, mantenimiento y mejora del sistema de gestión de la seguridad de la información por medio de una comisión técnica o comité que se encargará de velar por el cumplimiento de la política de seguridad de la información. Administración de recursos -

Se asigna a cada colaborador o miembro de la empresa la responsabilidad de los recursos

que utiliza para el correcto desarrollo de sus actividades laborales. -

Se realiza un inventario de los activos fijos de la empresa y se relaciona cada equipo con

sus dispositivos a un usuario, cada activo fijo debe llevar un código de barras para que sea más fácil su identificación e inventario.

29

Seguridad de los recursos humanos Se trata de un trabajo conjunto entre RRHH y los responsables de la seguridad de la información. Documentación para la contratación de personal, definir los diferentes perfiles de la organización, basados en la responsabilidades en materia de manejo de información que tenga cada puesto de trabajo. No se puede omitir ningún detalle puesto que esto se podría volver peligroso para la seguridad de la información, por ejemplo cuando se realiza el retiro de un empleado y tiempo después continua teniendo los permisos que tenía cuando estaba vinculado a la institución. Para cumplir con estos objetivos se hace necesario capacitar a los empleados continuamente, socializar las políticas de seguridad de la empresa y los procesos que se deben llevar a cabo en cada situación. La empresa JAVA INGENIERIA dentro de sus procesos internos tiene definido un plan de formación continuo sobre la seguridad de la información, el cual permite que sus colaboradores o funcionarios se concienticen de la importancia de realizar estos procedimientos y que se apropien del desarrollo de estas actividades. Seguridad física y del entorno JAVA INGENIERIA realiza controles en las entradas y salidas físicas de sus locales, edificios y recursos, protegiéndose de amenazas externas y del entorno en lugares de acceso público y demás áreas. Por medio de vigilancia permanente, cámaras de seguridad, detector de metales, lectores biométricos para las áreas de mayor importancia como los cuartos de servidores y comunicaciones. Para garantizar la seguridad de los equipos, estos deben estar en ambientes seguros y protegidos con: •

Controles de acceso y seguridad física

•

Detección de incendio y sistemas de extinción de conflagraciones

•

Controles de humedad y temperatura

•

Bajo riesgo de inundación

30

•

Sistemas eléctricos regulados y respaldados por fuentes de potencia ininterrumpida

(UPS). Toda información de la institución que se encuentre en medios digitales, debe ser mantenida en servidores aprobados por la oficina de sistemas o los especialistas en seguridad informática. Los equipos de gran importancia e impacto deben contar con regulación y estar protegidos por medio de UPS. Los medios en los cuales se alojan las copias de seguridad deben ser conservados de acuerdo a las políticas y estándares definidos por el comité de seguridad de la información. Administración de las comunicaciones y operaciones •

Reporte e investigación de incidentes de seguridad

El personal de JAVA INGENIERIA se compromete a reportar con prontitud y responsabilidad las presuntas violaciones de seguridad que se presenten siguiendo los protocolos y estructura jerárquica de la empresa a través de su jefe inmediato y en ocasiones especiales directamente a la oficina asesora de sistemas. Protección contra software malicioso y hacking Todos los sistemas informáticos deben ser protegidos, utilizando un enfoque multinivel el cual involucre controles humanos, técnicos, físicos y administrativos. El comité de seguridad de la información se encargará de dar las directrices y elaborará las normas, estándares, procedimientos y guías para garantizar la disminución de los riesgos relacionados con amenazas de software malicioso y técnicas de hacking. Como medida inicial, todas las estaciones de trabajo deben contar con un software antivirus que se pueda actualizar automáticamente, contar con las licencias del mismo y obtener el soporte respectivo por medio del proveedor. Copias de seguridad Toda información que pertenezca a la empresa JAVA INGENIERÍA, que sea de su interés y uso dentro de los procesos misionales debe ser respaldada por copias de seguridad, las cuales se

31

realizarán de acuerdo a los procedimientos documentados por el comité de seguridad de la información. Las copias de seguridad se deben realizar siguiendo los cronogramas definidos y programados por los funcionarios encargados. Especificación de los Controles ISO: Determinar los controles a implementar basados en la ISO 27001. 1. POLÍTICA DE SEGURIDAD. 1.1 Política de seguridad de la información. La empresa Java Ingeniería requiere definir y adoptar una política básica de Seguridad de la Información, la cual debe contener como mínimo los siguientes aspectos:  Cerrar siempre la sesión de los equipos, antes de ausentarse del puesto de trabajo.  No bloquear los puntos de red de datos y eléctricos con carpetas, cajas, escritorios, entre otros.  No escribir las contraseñas en lugares visibles.  Tener precaución en el transporte y almacenamiento de la información, tanto digital como física.  La información que cada empleado maneja constituye un derecho y es quien decide, quién la tiene, en qué condiciones la tiene y hasta cuándo la tiene.  Los equipos que queden ubicados cerca de zonas de atención al público, deben situarlos de forma que las pantallas no puedan ser visualizadas por personas externas.  No dejar memorias USB, CD’s, discos duros extraíbles, u otro elemento removible con información en lugares visibles y accesibles.  Desconfiar de aquellos correos en los que entidades bancarias, sitios de venta online, le solicitan contraseñas, información confidencial, etc.  Proteger la información de Java Ingeniería incluso fuera del ámbito de la empresa.  Las licencias de software o aplicativos informáticos y sus medios, se deben guardar y relacionar de tal forma que asegure su protección y disposición en un futuro.  Organizar y guardar en forma segura el material sensible.  Cerrar con llave escritorios, cajones y oficinas.  Asegurar el equipo costoso (teléfonos, notebook, PDA, etc.).

32

 Destruir en forma efectiva los documentos sensibles que se colocan en el canasto de basura (usar máquinas picadoras de papel, etc.)  Revisar que deja el lugar de trabajo en orden, los equipos apagados y ningún documento sin guardar, antes de irse definitivamente de la oficina.  Si se utiliza un computador portátil, mantenerlo en un lugar seguro. 1.1.1

Documento de política de seguridad de la información. La Empresa Java Ingeniería debe producir un manual de la política de seguridad de la información coherente a los requisitos de la organización, las leyes y normas relevantes.

1.1.2

Revisión de la política de seguridad de la información. Se determina la frecuencia de revisión de la política de seguridad de la información y su divulgación a los empleados de la Empresa, para revisar su idoneidad y adecuación con el crecimiento de la organización y su objetivo misional, midiendo el grado de despliegue y adopción de la política a través de gerencia o autoevaluación.

2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN. 2.1 Organización interna. Establecer una estructura de gestión con objeto de iniciar y supervisar la implantación de la seguridad de la información, asignando los roles de seguridad y su coordinación, procurando un enfoque multidisciplinario que implique la cooperación y la colaboración de la gerencia, los ingenieros, tecnólogos, técnicos y usuarios para mantener los riesgos de seguridad de la información por debajo de un porcentaje moderado por la gerencia e identificar a los empleados que han recibido y aceptado formalmente los roles y responsabilidades de seguridad de la información.

2.1.1

Compromiso de la Dirección con la seguridad de la información.

33

La gerencia de Java Ingeniería debe respaldar la política adoptada en seguridad de la información, demostrando su apoyo y compromiso, asignando y aprobando explícitamente las responsabilidades dentro de la Empresa. 2.1.2

Asignación de responsabilidades relativas a la seguridad de la información. Se deben definir claramente todas las responsabilidades para la seguridad de la información, teniendo en cuenta el manual de procesos y procedimientos de la Empresa o los contratos de cada empleado, donde se mencionan las actividades a realizar y el tiempo de ejecución.

2.1.3

Acuerdos de confidencialidad. Identificar y revisar en los acuerdos anexos a los contratos, los requisitos de confidencialidad o no divulgación que contemplan las necesidades de protección de la información en la Empresa Java Ingeniería.

3. GESTIÓN DE ACTIVOS. 3.1 Responsabilidad sobre los activos. Todos los activos deben tener asignado un responsable con el fin de mantener y alcanzar una protección adecuada de los activos de la organización, estos controles específicos son delegados por el gerente de Java Ingeniería. 3.1.1

Inventario de activos. Elaborar y mantener un inventario de activos de información indicando el propietario o responsable de proteger los activos, mostrando detalles relevantes como ubicación, serial, modelo, marca, estado, etc., para conocer el estado real de los activos e implementar una estrategia de mitigación de riesgos de seguridad de la información según sea el caso.

3.1.2

Uso aceptable de los activos. Java Ingeniería necesita identificar, establecer e implementar regulaciones para el uso adecuado y permitido de la información y de los activos de la empresa, considerando sanciones o causales de despido por el indebido uso de los recursos de la organización.

34

4. SEGURIDAD FÍSICA Y DEL ENTORNO. 4.1 Áreas seguras. Restringir el acceso no autorizado, evitando daños e intromisiones en las instalaciones de la empresa, salvaguardando la información. 4.1.1

Perímetro de seguridad física. Definir un perímetro de seguridad resguardado por controles de entrada adecuados, que garanticen la protección de los servicios de procesamiento de información contra accesos no autorizados, daños e interferencias. Esta protección debe ser acorde con los riesgos identificados.

4.1.2

Controles físicos de entrada. Examinar la entrada y salida de las personas que ingresan a las instalaciones de Java Ingeniería, ya sea porque sean clientes o empleados, generando informes de inspecciones de seguridad física de la organización, asegurándose que el ingreso de las personas a las oficinas y/o lugares sea el permitido y/o autorizado.

4.1.3

Protección contra las amenazas externas y de origen ambiental. Aplicar medidas de protección física contra incendios, inundaciones, terremotos y amenaza de erupción del Volcán Galeras. Dentro de estas medidas están el tener un extintor de incendios, definir una ruta de evacuación y un lugar seguro para conservar el archivo de la empresa lejos de tuberías las cuales podrían romperse y malograr el archivo.

4.2 Seguridad de los equipos. Evitar la pérdida, daño o robo de los activos e interrupción del trabajo desarrollado por la empresa, para ello es necesario proteger los equipos contra amenazas físicas y ambientales, reduciendo el riesgo de accesos no autorizados a la información y la adquisición de pólizas de seguro contra todo daño. 4.2.1

Emplazamiento y protección de equipos.

35

Los equipos deben situarse en lugares seguros y protegidos contra incidentes y accidentes potenciales, lejos de ventanas y la caída de objetos pesados, para reducir el riesgo de materialización de las amenazas del entorno y las oportunidades de acceso no autorizado. 4.2.2

Instalaciones de suministro. Los equipos de la empresa Java Ingeniería deben estar protegidos contra fallos en el suministro de energía, haciendo uso de UPS, de una instalación eléctrica con polo a tierra y una antena pararrayos.

4.2.3

Seguridad del cableado. Proteger el cableado eléctrico y el de telecomunicaciones contra posibles interceptaciones o daños, se procura que no haya cables sueltos o mal ubicados o a la exposición de agentes que lo puedan averiar. Todo el cableado de la empresa debe estar en canaletas y fuera del alcance de los clientes y de los mismos empleados.

4.2.4

Mantenimiento de los equipos. La continuidad de la prestación de servicios que ofrece Java Ingeniería, depende del mantenimiento adecuado y periódico que brinde a los equipos para garantizar su disponibilidad e integridad.

4.2.5

Seguridad de los equipos fuera de las instalaciones. Como Java Ingeniería ejecuta obras de instalaciones eléctricas y de mantenimiento, es relevante que la empresa asegure los equipos que se hallan fuera de sus instalaciones considerando los diversos riesgos a los que están expuestos.

5. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 5.1 Protección contra el código malicioso y descargable. Proteger la integridad del software manejado en la empresa y de la información, para tomar precauciones y poder prevenir y detectar la introducción de código malicioso. Es indispensable que Java Ingeniería adquiera sistemas operativos licenciados y que los

36

administradores de la red ejecuten controles y medidas para detectar y evitar la intromisión de virus. 5.1.1

Controles contra el código malicioso. Aunque la empresa esté usando el antivirus Avira Free Antivirus, se recomienda el uso de software licenciado, puesto que los antivirus gratuitos no ofrecen la misma seguridad que un antivirus con el respaldo de una organización dedicada a la protección de datos. Además se debe concienciar a los empleados y clientes sobre los controles de prevención contra el malware.

5.2 Copias de seguridad. Establecer procedimientos rutinarios para realizar copias de seguridad y recuperación para satisfacer requisitos de los clientes y procesos internos, a partir de la evaluación de riesgos y la identificación de los activos de información más importantes y generar así una estrategia de backup y recuperación para la empresa Java Ingeniería. 5.2.1

Copias de seguridad de la información. De acuerdo a las necesidades de la empresa se establece el tipo de almacenamiento, soporte a utilizar, la aplicación de backup, la frecuencia de copia y la prueba de soportes.

5.3 Gestión de la seguridad de las redes. La gestión de la seguridad de las redes para asegurar la protección de la información en la red utilizada por Java Ingeniería, atención en los flujos de datos, las implicaciones legales, el monitoreo y la protección de su infraestructura.

5.3.1

Controles de red. Implantar estándares, directrices y procedimientos de seguridad para redes y herramientas de red como una DMZ (Zona Desmilitarizada) para mantener y controlar adecuadamente las redes de amenazas y proteger los sistemas y aplicaciones que éstas utilizan.

37

5.3.2

Seguridad de los servicios de red. El proveedor de Internet de Java Ingeniería debe identificar e incluir las características de seguridad, los niveles de servicio y los requisitos de gestión de los servicios de red.

6. ADQUISICIÓN,

DESARROLLO

Y

MANTENIMIENTO

DE

SISTEMAS

DE

INFORMACIÓN. 6.1.1 Requisitos de seguridad de los sistemas de información Requisitos de seguridad de los sistemas de información: Este control se encarga de la vigilancia de “… los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones desarrolladas por los usuarios…” La empresa JAVA INGENIERIA debe planificar y aplicar a los desarrollos de sistemas de información, una metodología de desarrollo de software que documente y organice todas las etapas de producción. Si además se tiene en cuenta que el diseño e implantación de los sistemas de información que sustentan los procesos de negocio pueden ser cruciales para la seguridad y que la empresa JAVA INGENIERIA se encuentra actualmente en desarrollo de sus propios sistemas de información, la compañía debería identificar los requisitos de seguridad previamente al desarrollo o la implantación de los nuevos sistemas de información. Si se tiene en consideración que los equipos de cómputo se emplean tanto para el desarrollo como para el uso en procesos administrativos la información está expuesta tanto a conexiones del exterior como es el caso de Internet como a la Intranet de la empresa por lo cual entre los controles a emplear de este dominio se tiene: • Análisis y especificación de los requisitos de seguridad. • Seguridad de las comunicaciones en servicios accesibles por redes públicas. • Protección de las transacciones por redes telemáticas De igual manera se requiere controlar la Seguridad en los procesos de desarrollo y soporte, mediante los controles, los cuales según la norma deben cumplir que “… Todos los requisitos de seguridad deberían identificarse en la fase de recogida de requisitos de

38

un proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de información…” por lo que es necesario que JAVA INGENIERIA defina: • Política de desarrollo seguro de software. • Procedimientos de control de cambios en los sistemas. • Restricciones a los cambios en los paquetes de software. • Seguridad en entornos de desarrollo. • Pruebas de funcionalidad durante el desarrollo de los sistemas. • Pruebas de aceptación. Estas condiciones deben documentarse y emplearse mediante la constitución de manuales de funciones y políticas adecuadas. Se recomienda emplear alguna de estas herramientas para verificar el cumplimiento del estándar en el desarrollo de soluciones informáticas: Applipedia: Base de datos proporcionada en abierto por Palo Alto Network Research y su equipo de investigación para que aprender más sobre el nivel de riesgo de las aplicaciones que utilizan la red. FFIEC: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre cómo implantar un proceso de desarrollo y adquisición de TI eficaz en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso. Métrica 3: La metodología MÉTRICA Versión 3 ofrece a las organizaciones un instrumento útil para la sistematización de las actividades que dan soporte al ciclo de vida del software. Está promovida por el Gobierno español. OWASP: La guía de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible también en español. Una vez finalizado el desarrollo de los sistemas de información se requiere aplicar el control encargado de los Datos de prueba, el cual se centra principalmente en la Protección de los datos utilizados en pruebas.

39

BIBLIOGRAFÍA INCIBE.

(s.f.).

https://www.incibe.es/.

Obtenido

de

https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/plan_director _de_seguridad/plan_director_de_seguridad__hoja_para_el_analisis_de_riesgos. xls Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. (M. d. Públicas, Ed.) Madrid. Aglone3. (30 de Junio de 2015). ISO 27002. PORTAL DE SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002. Recuperado de https://iso27002.wiki.zoho.com/ISO-27002.html ISO/IEC

27002:2005.

(s.f).

Recuperado

de

http://www.iso27000.es/download/ControlesISO27002-2005.pdf (2016). Recuperado el 11 de Octubre de 2016, de http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_I.pdf (2016). Recuperado el 11 de Octubre de 2016, de (2016). De http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf ISO27000.es - El portal de ISO 27001 en español. Gestión de Seguridad de la Información. (2016). Iso27000.es. Recuperado el 11 de Octubre de 2016, de http://www.iso27000.es/iso27002_5.html (2016). Recuperado el 11 de Octubre de 2016, de http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSe guridad.pdf (2016). Recuperado el 11 de Octubre de 2016, de https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seg uridad/archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf

40

Anexo 1: Matriz de riesgos completa

41

42

43

44

45