gerencia tecnologia de informacion

IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE

CALI, EMCALI E.I.C.E-ESP.

PAUL ROSEMBERG ENRIQUEZ ESPINOSA

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA

DEPARTAMENTO DE INGENIERÍA INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN

PROGRAMA INGENIERIA INFORMATICA SANTIAGO DE CALI

2013

IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE

CALI, EMCALI E.I.C.E-ESP.

PAUL ROSEMBERG ENRIQUEZ ESPINOSA -

Pasantía Institucional para optar por el título de Ingeniero Informático

Director

MARIO WILSON CASTRO

Ing. De Sistemas

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE DEPARTAMENTO

FACULTAD DE INGENIERÍA INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN

PROGRAMA INGENIERIA INFORMATICA SANTIAGO DE CALI

2013

3

Nota de aceptación

Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático.

ARMANDO GARCÍA

Jurado

Santiago de Cali, Julio de 2013

4

Agradezco a DIOS por la salud y sabiduría con la que me colma cada día y por oportunidad que me ha brindado de poder educarme en una Universidad y por permitirles a mis padres la salud y los recursos necesarios para el pago de la misma.

A mis padres Winston Enriquez Álzate y Gloria M. Espinosa Garcés por sus consejos y su ayuda incondicional para superar toda adversidad que se presentó durante mi formación profesional; sin ellos lo que hoy en día soy y he logrado no hubiera podido hacerse realidad.

A la dirección académica de la Universidad Autónoma de Occidente, por compartir sus conocimientos conmigo, en especial al Ing. Mario Wilson Castro por su ayuda contribución en mi formación profesional y su ayuda incondicional durante mí proceso de trabajo de grado.

A las empresas públicas de Cali EMCALI E.I.C.E-ESP, por permitirme realizar mi pasantía institucional al interior de su organización; agradezco especialmente a la Gerencia de TI por acogerme dentro de sus instalaciones y a la Ing. Luz Stella Mora, por su apoyo incondicional y por compartir con migo el conocimiento que hoy se ve consolidado en este documento.

A mis amigos por estar siempre a mi lado brindándome sus buenas energías y por recordarme que este es el último peldaño de este sueño llamado ingeniería informática y que para alcanzarlo debo dar lo mejor de mí.

Paul Rosemberg Enriquez Espinosa.

5

CONTENIDO

RESUMEN 14

INTRODUCCIÓN 15

1. ANTECEDENTES 17

2. PROBLEMA DE INVESTIGACIÓN 19

2.1. PLANTEAMIENTO DEL PROBLEMA 19

3. JUSTIFICACIÓN 23

3.1. JUSTIFICACIÓN ECONÓMICA 23

3.2. JUSTIFICACIÓN SOCIAL 24

3.3. JUSTIFICACIÓN TÉCNICA 24

3.4. JUSTIFICACIÓN TEÓRICA 25

4. OBJETIVOS 27

4.1. OBJETIVO GENERAL 27

4.2. OBJETIVOS ESPECÍFICOS 27

5. MARCO TEORICO 29

5.1. SERIE ISO/27000 29

5.2. ISO/27001 30

5.3. ISO/27002 32

5.4. ISO/27001 ANEXO A 34

5.5. DOMINIO GESTIÓN DE ACTIVOS 35

5.6. GESTIÓN DE RIESGO 40

5.6.1. Procedimientos para la Gestión de Riesgos. 40

5.7. METODOLOGÍA PARA GESTIÓN DE RIESGOS 42

5.7.1. Metodología de Gestión de riesgos Magerit 43

5.7.2 Magerit establece dos tipos de objetivos 43

6

5.8.1Planear 45

5.8.2 Hacer 45

5.8.3 Verificar 46

5.8.4 Actuar 46

6. METODOLOGÍA 47

7. DESARROLLO DEL PROYECTO 48

7.1. LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO 48

7.1.1. Establecer el contexto 49

7.1.2. Identificación del Riesgo 60

7.1.3. Estimación del Riesgo 62

7.1.4. Evaluación Del Riesgo 64

7.1.5. Tratamiento Del Riesgo 65

7.1.6. Comunicación y Consulta 66

7.1.7. Monitoreo y Revisión 66

7.2. ACTIVOS DE INFORMACION OBJETO DE ANÁLISIS 67

7.2.1. Análisis de Activos 67

7.2.2. Gerencia de TI 68

7.2.3. Departamento Operaciones 70

7.2.4. Departamento Sistemas de Información 72

7.2.5. Departamento Planeación Tecnológica 74

7.2.6. Conclusión Respecto al Análisis de Activos y Actualización del Inventario 76

7.2.7. Determinar El Alcance 76

7.3. INVENTARIO DE ACTIVOS 80

7.3.1 Campos de información a asociar al inventario 80

7.2 MATRIZ DE RIESGOS 81

7.3 CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO 81

7.3.1 Controles 81

7.4 METODOLOGÍA PARA LA ACTUALIZACIÓN DEL INVENTARIO DE ACTIVOS 83

7.4.1 Etapa número uno, activos a dar de baja 84

7

7.4.2 Etapa número dos, actualizar valoración de criticidad 84

7.4.4 Etapa número 1, Activos a dar de baja 86

7.4.4.1 Indagar 86

7.4.5 Etapa Numero Dos 89

7.4.5.1 Actualizar valor de Criticidad 90

7.4.5.2 Traslado de Activos de Información 90

7.4.5.3 Traspaso de activos de información 91

7.4.6 Etapa número tres 92

7.4.6.1 Análisis Activos de Información 92

7.4.6.2 Dar de Alta 93

7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN 95

7.5.1 Políticas de Seguridad de la Información 95

7.5.2 Políticas Generales 96

7.5.3 Políticas Específicas 97

7.5.3.1 Políticas Para el Uso Adecuado del Correo Electrónico 98

7.5.3.2 Políticas de Uso de Estaciones de Trabajo 100

7.5.3.3 Políticas de Uso de Cuentas de Usuario y Contraseñas 101

7.5.3.4 Políticas de Disponibilidad de la Información 103

7.5.4 Etiquetado de Activos de Información 104

7.5.4.1 Propósito de Seguridad Respecto al Etiquetado de Equipos Cómputo 105

7.5.4.2 Consolidación del Etiquetado de Equipos de Cómputo 105

7.5.4.3 Definir Activos a Etiquetar 105

7.5.4.4 Información Registrada en el Inventario de Activos 106

7.5.4.5 Recaudo de información Adicional 108

7.5.4.6 Diseño de la Etiqueta de Marcado 109

7.5.4.7 Disposición de Etiquetas sobre el Activo de Información 110

7.5.4.8 Delegación de Responsabilidades 111

7.5.4.9 Marcado de Activos 111

7.5.4.10 Muestra de Resultados 111

7.5.5 Estrategia de Sensibilización al Usuario Respecto al Etiquetado de Activos y la Importancia de los Activos de Información 112

7.5.5.1 Enfoque y Estrategia para la Sensibilización 113

8

7.5.5.2 Factores a Fortalecer en el Empleado 115

7.5.5.3 Fortalecimiento del Factor Cognitivo 115

7.5.5.4 Fortalecimiento del Factor Psicológico 116

7.5.5.5 Fortalecimiento del Factor Laboral (Compromiso respecto a la seguridad de la información) 116

7.5.5.6 Control y Seguimiento 116

7.5.5.7 Seguimiento 117

7.5.5.8 Estimación Cronológica y Económica Para la Ejecución de la Estrategia de Concientización 118

8. CONCLUSIÓN 119

9. RECOMENDACIONES 121

BIBLIOGRAFÍA 123

ANEXOS 128

9

LISTA DE FIGURAS

Pág.

Figura 1 Controles Asociados a la Norma ISO/27002 33 Figura 2. Dominio gestion de activos asociado al Ane xo A 35 Figura 3. Clasificación de los activos de informació n respecto a su confidencialidad 51 Figura 4 Clasificación de los activos de información respecto a su integridad 51 Figura 5 Clasificación de los activos de información respecto a su disponibilidad 52 Figura 6. Clasificación de los activos de informació n respecto a su Trazabilidad 53 Figura 7. Distribución de Activos de información ac tualizada 68 Figura 8. Activos asociados a la Gerencia de TI, dis tribuidos respecto a su valor de criticidad 69 Figura 9. Activos asociados a la gerencia de TI, que se encuentran registrados en la matriz de riesgos 70 Figura 10. Activos asociados al departamento de oper aciones, distribuidos respecto a su valor de criticidad 71 Figura 11. Activos asociados al departamento de oper aciones, que se encuentran registrados en la matriz de riesgos 72 Figura 12. Activos asociados al departamento de sist emas de información, distribuidos respecto a su valor de criticidad 73

10

Figura 13. Activos asociados al departamento de sistemas de información, que se encuentran registrados en la matriz de riesgoS 74 Figura 14. Activos asociados al departamento de plan eación tecnológica, distribuidos respecto a su valor de criticidad 75 Figura 15. Activos asociados al departamento de pla neación tecnológica, que se encuentran registrados en la matriz de riesgos 76 Figura 16. Prototipo etiquetas de marcado 110 Figura 17. Prototipo Etiquetas de Marcado 2 110

11

LISTA DE CUADROS

Pág.

Cuadro 1. Niveles de valoración de los activos de información 50 Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los activos de información 54 Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos de información 54 Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los activos de información 55 Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los activos de información 55 Cuadro 6. Ejemplo Valoración final de los activos de información respecto a su criticidad 56 Cuadro 7. Ejemplo construcción de etiqueta de critic idad 56 Cuadro 8. Escala de probabilidad 62 Cuadro 9. Escala de impacto 63 Cuadro 10. Matriz de probabilidad VS Impacto 65 Cuadro 11. Activos de información asociados al proce so gestionar tecnología 77 Cuadro 12. Tipo de Baja 88 Cuadro 13. Modo de adquisición del activo 94 Cuadro 14. Nomenclatura para identificación de propi etario de activos 107

12

Cuadro 15. Valores de criticidad a asociar a la etiqueta de marcado 107 Cuadro 16. Nomenclatura para la identificación de at ributos 107

13

LISTA DE ANEXOS

Pág.

Anexo A. Inventario de activos de información y matriz de riesgos

Anexo B. Formato de Baja y Alta 125

Anexo C. Formato de Traslado y Traspaso 126

Anexo D. Formato de Delegación de Responsabilidades y Entrega

de Recursos 127

Anexo E. Formato de Control en el Etiquetado 128

14

RESUMEN

La necesidad percibida en el estudio y análisis de una situación real al interior de empresas municipales de Cali (EMCALI E.I.C.E-ESP), específicamente dentro de la gerencia de tecnología de la información, permite que el proyecto desarrollado en modalidad de pasantía como opción de grado - IMPLEMENTACIÓN DE LOS CONTROLES ASIGNADOS AL DOMINIO “GESTIÓN DE ACTIVOS”, BAJO LOS LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A, PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP – surja como una alternativa de solución para coadyuvar en el desarrollo del dominio número siete (Gestión de Activos) de la Norma ISO/27001 Anexo A.

El proyecto se emprendió inicialmente con el diagnostico preliminar del estado de desarrollo en el cual se encontraba el proyecto de “Sistema de Gestión de Seguridad de la Información (SGSI)”, a fin de establecer un punto de partida para el inicio del proyecto, partiendo del avance que EMCALI haya consolidado para el proyecto (SGSI), proyecto el cual requiere del desarrollo del dominio número siete (Gestión de Activos), para encontrase conforme con las directrices establecidas por la Norma ISO/27001 y alcanzar de esta manera la certificación en seguridad de la información.

El presente documento ostenta la posición con la cual se proyecta una perspectiva que permita coadyuvar en el cumplimiento del dominio Gestión de Activos de la Norma ISO/27001 Anexo A, mediante la consecución de cada uno de los objetivos de control y controles asociados a este dominio, para los cuales se formaron estrategias que permitirán a la organización minimizar el riesgo sobre los activos de información, mediante la identificación de activos críticos, propiedad y custodio de los activos, políticas para el buen uso de los activos de información y la generación de cultura y hábitos de seguridad respecto a la seguridad de la información en los empleados de la organización, garantizando de esta manera la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información.

Palabras clave: seguridad de la información, activos de información, actividad empresarial, gestión de seguridad de la información.

15

INTRODUCCIÓN

La seguridad de la información son todas aquellas acciones que llevan a cabo las organizaciones con el fin de disminuir los riesgos que recaen sobre los activos de información que dichas organizaciones poseen, y de esta manera poder garantizar la confidencialidad, disponibilidad, integridad y trazabilidad de los activos de información.

El proceso de implementar la seguridad de la información dentro de una organización es un proceso dispendioso, el cual requiere de la cooperación y trabajo en equipo de las diferentes áreas organizacionales que componen la organización, ya que cada área organizacional cuenta con activos de información valiosos para mantener la actividad empresarial de la organización en competencia. Los activos de información deben ser asegurados por el área organizacional o grupo de personas encargadas de implementar la seguridad de la información al interior de la organización, el área o grupo de personas responsables de llevar a cabo esta labor, deben contar con conocimiento de los conceptos que se ven abarcados por la seguridad de la información, como lo es el concepto de sistema de gestión de seguridad de la información (SGSI) el cual es una herramienta clave para el desarrollo de la seguridad de la información.

El sistema de gestión de seguridad de la información (SGSI) es una herramienta de gestión que nos permite conocer, gestionar y minimizar los riesgos a los cuales están expuestos los activos de información. El SGSI contempla la definición de políticas de seguridad las cuales permitan realizar un correcto uso de los activos de información, sin comprometer su confidencialidad, disponibilidad, integridad, y trazabilidad. Para la implementación del sistema de seguridad de la información (SGSI) se debe tener en cuenta la norma ISO/270001 las cual está elaborada para orientar el proceso de implementación de SGSI.

1 ISO/IEC 27000-series [en línea]. 24 de marzo 2012 [consultado el 10 de noviembre de 2012]

Disponible en Internet: http://es.wikipedia.org/wiki/ISO/IEC_27000-series

16

La norma se compone de una serie de normas asociadas como son la norma ISO/270012, la cual hace referencia a las buenas practicas que se deben tener en cuenta a la hora de llevar acabo la implantación de un SGSI, esta norma es la que otorga la certificación en seguridad de la información; la otra norma asociada es la norma ISO/270023 la cual complementa a la norma ISO/27001, ya que la norma ISO 27002 hace referencia a los controles para hacer efectiva las buenas practicas contenidas en la norma ISO/27001.

La norma ISO/27002 contiene 11 dominios, 39 objetivos de control, y 133 controles, los cuales permiten el correcto aseguramiento de los activos de información, en dicha norma se encuentra estipulado el dominio “gestión de activos de información” el cual contiene los siguientes objetivos de control y controles:

Responsabilidad sobre los activos.

• Inventario de activos. • Propiedad de los activos. • Uso aceptable de los activos.

Clasificación de la información.

• Directrices de clasificación • Etiquetado y manipulación de la información.

El dominio anteriormente mencionado junto a sus respectivos objetivos de control y controles, son los que se llevaran a cabo su desarrollo en este anteproyecto y posterior desarrollo de proyecto de grado.

2 ISO/27001 [en línea]. [consultado el 15 de noviembre de 2012] Disponible en Internet en https://seguinfo.wordpress.com/category/estandares/page/6/

3 ISO/27002 [en línea]. [consultado 14 de noviembre de 2012] Disponible en Internet en http://es.wikipedia.org/wiki/ISO/IEC_17799

17

1. ANTECEDENTES

El Sistema de Gestión de Seguridad de la Información (SGSI) es un sistema de gestión, el cual su estructuración se ve basada en seguir los lineamientos de la Norma ISO/27001 Anexo A y apropiarse de las recomendaciones establecidas en la Norma, la Norma ISO/27002 es también parte importante en el establecimiento del SGSI ya que en dicha Norma se describe en un mayor detalle los controles sugeridos en el Anexo A de la Norma ISO/27001. El SGSI permite a través de la implementación de una serie de actividades bien formadas tener un control sobre los activos de información que se han identificado como importantes para las actividades y procesos empresariales, y a partir del control obtenido poder mitigar el riesgo que recae sobre los activos de información.

Debido a la efectividad del proceso de gestión que se logra obtener con el SGSI, diversas organización tanto del sector público como del privado, a nivel mundial como nacional, optan por la implementación de este sistema con el fin de tener una herramienta efectiva en la gestión del riesgo de activos de información dentro de la organización.

Un caso puntual en el cual una organización ha reconocido la importancia de establecer un proyecto de seguridad de la información en el cual se ha contemplado el desarrollo de un sistema de gestión de seguridad de la información (SGSI) incluyendo dentro de este, el desarrollo de los controles asociados al dominio Gestión de Activos de Información. El Gobierno de la república de Colombia el cual a través de su ministerio de comunicaciones en el 2008 aprobó un documento oficial en el cual se detalla el modelo de

Seguridad de la información-sistema SANSI4-SGSI Modelo de seguridad de la información para la estrategia de gobierno en línea, en dicho documento el gobierno de la república de Colombia ha establecido el modelo de seguridad de la

4 SANSI: El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y mantenimiento de las políticas y controles del Modelo de Seguridad

18

información para la estrategia de gobierno en línea el cual ha establecido el SGSI partiendo de los lineamientos consolidados en la Norma ISO/27001 e ISO/27002, haciendo caso a las recomendaciones para incluidas en dichas normas respecto al establecimiento y estructuración del SGSI e implementando los controles sugeridos para la gestión del riesgo de los activos de información. El documento oficializado por el ministerio de comunicaciones presenta la consolidación del proyecto de seguridad de la información que se ha establecido por parte del gobierno nacional de la República de Colombia y en el cual se detalla la estructuración del sistema de gestión de seguridad de la información SGSI que han adelantado5.

5Ministerio de Comunicaciones de la República de Colombia, Gobierno en Línea, Modelo de Seguridad de la Información-Sistema SANSI-SGSI [En línea] [Consultado 18 de octubre de 2012] http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf

19

2. PROBLEMA DE INVESTIGACIÓN

2.1 PLANTEAMIENTO DEL PROBLEMA

EMCALI como toda organización cuenta con activos de información6 los cuales representan una parte fundamental en el proceso empresarial que se desempeña, ya que basados en los activos de información que EMCALI posee se sustentan muchas de las decisiones que se toman a nivel comercial, operativo y de infraestructura de EMCALI.

EMCALI cuenta numerosos departamentos los cuales ayudan a mantenerlo en operación continua gracias a los procesos operativos que se adelantan en cada uno de ellos. Dentro de estos departamentos se encuentra planeación tecnológica, operaciones y Sistemas de Información los cuales se encuentran dentro de la Gerencia Tecnología de la Información, gerencia la cual cuentan con un gran número de activos de información los cuales son de gran importancia para la organización, ya que gracias a la información que dichos activos contienen se toman decisiones trascendentales para mantener la organización en competencia.

Reconociendo la importancia de los activos de información para la actividad empresarial de EMCALI se ha considero adecuada la implantación de un sistema de gestión de seguridad de la información (SGSI), el cual ayudara a EMCALI a reducir el riesgos sobre sus activos de información, mediante la selección e implementación de una serie de controles y el establecimiento de políticas, normas y procedimientos que permitan realizar una administración del riesgo que se cierne sobre los activos de información.

La Gerencia Tecnología de la Información se encuentra conformada por tres departamentos y por la Gerencia de TI, los cuales hacen uso de sus de activos de información concernientes a cada una de los procesos y actividades propias de cada departamento, y que por estar comprendidos dentro de la Gerencia

6 Realiso. Activos de Información [en línea]. [consultado el 10 de julio de 2012] disponible en Internet: https://sites.google.com/a/realiso.com/realisms-spa/gestao-de-risco/-3-3-ativos-de-informacao

20

Tecnología de la Información requieren que sobre sus activos se realice una debida gestión del riesgo.

Los tres departamentos y la gerencia de TI los cuales son acogidos dentro de la Gerencia Tecnología de la información poseen la siguiente distribución respecto al número de activos de información asociados a cada departamento y a la Gerencia de TI.

• Gerencia , esta área cuenta hasta el momento con un total de veinte y cuatro (24) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. • Operaciones , esta área cuenta hasta el momento con un total de ochenta y cinco (85) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. • Sistemas de Información , esta área cuenta hasta el momento con un total de veinte y dos (22) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área. • Planeación , esta área cuenta hasta el momento con un total de veinte y dos (22) activos de información, identificados y registrados dentro de inventario de activos de información perteneciente a esta área.

La gestión de activos de información como parte del anexo A de la Norma ISO/27001, demanda la realización de un estudio con el objetivo de poder identificar, registrar, y gestionar los activos de información, mediante la implementación de cinco controles los cuales se encuentran comprendidos dentro del dominio de GESTION DE ACTIVOS DE INFORMACION, los controles anteriormente mencionados son los siguientes y cuentan con la siguiente descripción:

• Inventario de activos , por medio de este control se lleva a cabo la actividad de identificación y registro de los activos de información de cada una de los departamentos que componen la Gerencia tecnología de la Información. Este control requiere que una vez sea establecido el inventario de activos de información asociado a cada departamento y a la Gerencia de TI, a cada uno de los inventarios creados, se les realice periódicamente un proceso de actualización de los inventarios con el fin de poder determinar que activos de información han cumplido con su ciclo de vida dentro de EMCALI y poder de esta manera desvincularlos del inventario, y mediante este mismo proceso de actualización

21

poder determinar que nuevos activos de información hacen parte de cada una de las áreas y poder vincular estos activos al inventario.

• Propiedad de los activos , a través de este control se realiza el proceso de identificación del propietario y custodio del activo de información, con el fin de determinar la persona o área en especial que hace uso del activo de información, y el custodio es la persona que realiza un monitoreo del activo de información y ejecuta los controles definidos para minimizar los riesgos sobre el activo de información.

• Uso aceptable de los activos, corresponde al establecimiento de políticas de seguridad de la información las cuales promuevan el buen uso de los activos de información dentro de la organización, haciendo uso de estos activos con fines que contribuyan a la actividad empresarial de esta.

• Directrices de clasificación, mediante la implementación de este control se logra detallar la clasificación de los activos de información, los activos deben ser clasificados teniendo en cuenta la valoración de los mismos es decir que para ello se debe tener en cuenta su valor en confidencialidad, integridad, disponibilidad y trazabilidad.

• Etiquetado y manipulación de la información, es el proceso mediante el cual se identifican, clasifican, protegen los activos de información contribuyen a que los empleados vinculados a la organización, identifiquen el nivel de criticidad de los activos y a partir de ello puedan tomar las medidas preventivas en el uso de los activos de información.

El desarrollo del dominio de Gestión de Activos de Información a partir de los lineamientos establecidos en el Anexo A se considera como una contribución valiosa para el proyecto de seguridad de la información que se adelanta en EMCALI, ya que “El Anexo A es donde se juntan las normas ISO/27001 e ISO/27002. Los controles de la norma ISO/27002 tienen los mismos nombres que en el Anexo A de la norma ISO/27001; pero la diferencia se encuentra en el nivel de detalle: la ISO/27001 sólo proporciona una breve descripción de un control,

22

mientras que la ISO/27002 ofrece lineamientos detallados sobre cómo implementar el control”7.

7 DEJAN Kosutic, ISO/27001 & ISO/22301 [en línea] [consultado el 20 2010] Disponible en Internet: http://blog.iso27001standard.com/es/tag/anexo-a/

23

3. JUSTIFICACIÓN

3.1. JUSTIFICACIÓN ECONÓMICA

En la actualidad se han venido gestando diversos cambios en los rubros comerciales generando un cambio en el paradigma de hacer negocios y en el trato con la información derivada del mismo, este cambio ha surgido como efecto del fenómeno de globalización mundial, ya que este fenómeno ha traído consigo diferentes políticas y normativas con las cuales las organizaciones deben con el fin de estas hagan una participación activa de los procesos de los procesos de negocio.

Con la entrada en vigencia de los diferentes tratados de libre comercio (TLC) entre Colombia y diferentes países como estados unidos de américa, chile entre otros, se ha evidenciado un surgimiento en la exigencia de mayor calidad y seguridad en sus procesos productivos y manejo de la información en las empresas colombianas.

Reconociendo las nuevas tendencias y exigencias del mercado, EMCALI como empresa prestadora de servicios ha tomado la decisión de adelantar la implementación de una serie de normativas de seguridad de la información que rigen a nivel internacional con el fin de hacer parte activa de los proceso de negocios, entre la serie de normativas que brindan recomendación en cuanto a seguridad de la información se refiere EMCALI ha decidido implementar alinearse con la Norma ISO/2700, la cual rige a nivel internacional y la cual brinda una certificación en seguridad de la información, la Norma ISO/27001 tiene como objetivo que las compañías se apropien de las recomendaciones que se establecen en la Norma y de esta manera puedan contar con un nivel de seguridad aceptable para la protección de sus activos de información, la implementación de esta norma trata de minimizar que los activos de información sufran afectaciones en cuanto a su confidencialidad, integridad, disponibilidad y trazabilidad, ya que estas afectaciones ocasionarían perdidas económicas para EMCALI y para sus usuarios en caso de que la información que EMCALI contiene de ellos sea vulnerada, ocasionando demandas y por ende perdidas económicas para la organización.

24

3.2. JUSTIFICACIÓN SOCIAL

Con la implementación del proyecto de seguridad de la información teniendo como punto de partida el cumplimiento a las directrices establecidas por la Norma ISO/27001 se lograra un beneficio social respecto a la confidencialidad e integridad de los datos que los usuarios han confiado a EMCALI como requisito para acceder a los diferentes servicios que ofrece la organización.

El alineamiento con la Norma ISO/27001 traerá como resultado la firma de acuerdos de negocios con otras organizaciones que reconocen que a partir de la alineación de los objetivos empresariales de EMCALI con la Norma, se genera un entorno de negocios mucho más confiable y seguro. A partir de la firma de acuerdos de negocios se generaran muchos más recursos para poder para inversión social como reforestación de bosques y sitios cercanos a afluentes de acuíferos y mejoramiento de los servicios que la empresa presta a sus usuarios.

3.3. JUSTIFICACIÓN TÉCNICA

Se deben crear políticas, normas y procedimientos que ayuden a la gestión de los riesgos que se acentúan sobre los activos de información de la EMCALI, este trabajo debe ser llevado acabo por personal con conocimientos en la norma ISO/27001 y experiencia en la implementación de proyectos de seguridad de la información, de no contarse con personal capacitado en el tema de seguridad de la información se deberá buscar la manera más efectiva de poder garantizar que el personal adquiera los conocimientos y capacidades necesarias para alcanzar el objetivo que se tiene planteado con el desarrollo del proyecto de seguridad de la información.

El grupo de personas responsables de liderar y adelantar el proyecto de seguridad de la información debe contar con total apoyo de la dirección de la empresa, ya que el desarrollo de un proyecto de seguridad de la información en el cual se desarrolle un SGSI requiere de la inversión en tecnología en ciertos aspecto, como puede ser la adquisición de un software para el manejo del inventario de activos de información, adquisición de software para la

25

administración de roles de los empleados, entre otra serie de tecnologías que garantizaran una gestión aceptable de los riesgos.

3.4. JUSTIFICACIÓN TEÓRICA

Con el fin de mantener las actividades empresariales de EMCALI en competencia, se ha decidido por parte de la Gerencia Tecnología de la Información adelantar la implementación de un proyecto de seguridad de la información en el cual se desarrollara el Sistema de Gestión de Seguridad de la Información bajo los lineamientos de la Norma ISO/27001 Anexo A en la cual se involucra el desarrollo del dominio de GESTION DE ACTIVOS DE INFORMACIO como reconocimiento a la relevancia de este dominio en la gestión del riesgo sobre los activos, la necesidad del desarrollo de un proyecto de esta índole radica en los continuos cambios en el mundo empresarial en especial en el campo comercial de prestación de servicios, el cual exige tener un mayor control sobre los activos de información que se encuentran en poder de la organización, como lo son los activos de:

Servicios: incluyen los procesos de negocios de la organización que ofrece la organización al exterior o que ofrece con carácter interno como lo es el caso de la gestión de nóminas.

Datos e información: son los datos que se manejan al interior de la organización dentro de ellos se incluyen información de usuarios externos e información de procesos adelantados por la organización. La suele ser el núcleo del sistema, mientras que el resto de activos sirven como medios de almacenamiento, de despliegue de la información y de manipulación de dichos activos de información.

Aplicaciones de software: son las aplicaciones lógicas que permiten procesar y analizar información valiosa para la organización.

Equipos informáticos: se refiere a los equipos físicos como computadores, que brindan soporte a las aplicaciones de software que procesan la información y luego permiten visualizarla dentro de estos.

Personal: es el activo que presenta más dificultad en su control, ya que al ser un activo de recurso humano, presenta variaciones continuas e impredecibles en su actuar.

26

Redes de comunicaciones: dichas redes brindan soporte a la organización para el movimiento de la información, dichas redes pueden ser propias o subcontratadas con terceros.

Soporte de información: son los soportes físicos como los servidores, los cuales permiten el almacenamiento de la información por largos periodos de tiempo.

Equipamiento auxiliar: este tipo de equipamiento brinda soporte a los sistemas de información y son activos que no se han incluido en ninguna otra de las clasificaciones; dentro de este tipo de activos podemos encontrar equipos de destrucción de documentación y sistemas de climatización de ambiente.

El control en los activos anteriormente mencionados se ve reflejado en la implementación del dominio de GESTION DE ACTIVOS, el cual incluye como control la implementación de un inventario de activos de información que nos permite conocer que activos requieren de un seguimiento especial por su nivel de importancia para las actividades de la organización, y por medio de un proceso de actualización de inventario de activos de información, poder conocer que nuevos activos de información se encuentran involucrados a la organización y que requieren que se han incluidos en el inventario, con el fin de que sobre estos se apliquen controles que garanticen su confidencialidad, disponibilidad, integridad, y trazabilidad, determinando mediante un reconocimiento de activos, que activos han cumplido con su ciclo de vida dentro de la organización y se considera que ya no es relevante que estos estén dentro del inventario de activos de información. El desarrollo de implementación del inventario de activos de información, también nos permite conocer, la etiqueta con la cual cuenta el activo de información, quien es el propietario de los activos de información, y el custodio de dichos activos y de esta manera poder garantizar la confidencialidad, integridad, disponibilidad, y trazabilidad de los activos de información.

27

4. OBJETIVOS

4.1. OBJETIVO GENERAL

• Desarrollar los controles asociados al dominio gestión de activos, bajo la estructura de la Norma ISO/27001 Anexo A, garantizando a EMCALI E.I.C.E-ESP minimizar el riesgo sobre sus activos de información.

4.2. OBJETIVOS ESPECÍFICOS

• Examinar el inventario de activos de información de cada una de los departamentos que componen la Gerencia de Tecnología de la Información y la matriz de riesgos, con el fin de conocer que no conformidades e inconsistencias se encuentran respecto al diligenciamiento del inventario de activos de información y de la matriz de riesgos.

• Diseñar una metodología que permita realizar actividades de actualización del inventario de activos de información y de la matriz de riesgos.

• Adelantar el respectivo análisis de riesgos de los activos a vincular a la matriz de riesgos

• Sugerir políticas de seguridad que permitan hacer un uso aceptable de los activos de información.

• Crear una metodología la cual permita desarrollar el control de etiquetado y manejo de la información.

28

• Diseñar una etiqueta de marcado apropiada para la identificación de los activos de información físicos, en la cual se pueda detallar información concerniente al activo y el nivel de criticidad que tiene asociado. • Sugerir una estrategia de sensibilización relacionada al control de etiquetado y manejo de la información, la cual permita sensibilizar y dar a conocer a los empleados la importancia de este control.

29

5. MARCO TEORICO

La seguridad de la información es la reunión de un conjunto de procedimientos los cuales están enfocados a proteger los activos de información de una organización, dentro de este conjunto de procedimientos se cuenta con una herramienta la cual es el Sistema de Gestión de Seguridad de la Información (SGSI), la cual busca asegurar la confidencialidad, integridad, disponibilidad, y trazabilidad de los activos de información minimizando los riesgos de seguridad de la información.

Con la finalidad de lograr el objetivo de minimizar el riesgo sobre los activos de información mediante la puesta en marcha de un proyecto de seguridad de la información el cual contemple el desarrollo de un SGSI se deberá tener en cuenta las norma ISO/27000 y su normas asociadas, para nuestro caso las Normas ISO/27001 e ISO/27002.

5.1. SERIE ISO/27000

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

30

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son:

• ISO27000 (términos y definiciones), • ISO27002 (objetivos de control y controles), • ISO27003 (guía de implantación de un SGSI), • ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI), • ISO27005 (guía para la gestión del riesgo de seguridad de la información) • ISO27006 (proceso de acreditación de entidades de certificación y el registro

de SGSI)8.

5.2. ISO/27001

La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información.

La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual

8ISO/27000 [en línea]. [consultado el 5 de marzo de 2010] Documento disponible en Internet: http://www.iso27000.es/download/doc_iso27000_all.pdf

31

significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.

A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc.

La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.

Las fases son las siguientes:

• La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). • La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior. • La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. • La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI9.

9 DEJAN, Kosutic, Information security & business continuity academy, conceptos básicos sobre ISO/27001. [en línea] [consultado el 20 de marzo de 2010] Disponible en Internet: http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos

32

5.3. ISO/27002

La ISO/IEC 27002:2005 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:200510.

Los 39 objetivos de control y 133 controles, agrupados en 11 dominios se presentan a continuación en la siguiente imagen. Ver Imagen 1.

10 ORCI, Consultoría aplicada, capacitación/conferencias, tecnología, gestión de servicios. ISO/IEC 27002 [en línea ]. [consultado el 6 de marzo de 2010] Disponible en Internet: http://www.orcilatam.com/index.php?option=com_content&view=article&id=143&Itemid=191

33

Fuente : Iso/Iec 27002:2005. [en línea]. [consultado el 9 de noviembre de 2009] Disponible en Internet: http://www.iso27000.es/download/ControlesISO27002-2005.pdf

Figura 1 Controles Asociados a la Norma ISO/27002

34

5.4. ISO/27001 ANEXO A

El Anexo A contiene los siguientes puntos (a veces denominados como dominios del Anexo A de la norma ISO/27001):

• A.5 Política de seguridad • A.6 Organización de la seguridad de la información • A.7 Gestión de activos • A.8 Seguridad relacionada con el personal • A.9 Seguridad física y del entorno • A.10 Gestión de comunicaciones y operaciones • A.11 Control de acceso • A.12 Adquisición, desarrollo y mantenimiento de los sistemas de la información • A.13 Gestión de los incidentes de seguridad de la información • A.14 Gestión de la continuidad del negocio • A.15 Cumplimiento

El Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologías de la información; también incluyen seguridad física, protección legal, gestión de recursos humanos, asuntos organizacionales, etc.

Por lo tanto, puede considerar al Anexo A como una especie de catálogo de medidas de seguridad para utilizar durante el proceso de tratamiento: una vez que identifica riesgos no aceptables en la evaluación de riesgos, el Anexo A le ayudará a escoger los controles adecuados para disminuir esos riesgos. Y le asegura no olvidar ningún control importante.

El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 sólo proporciona una breve descripción de un control, mientras que la ISO 27002 ofrece lineamientos detallados sobre cómo implementar el control11.

11 DEJAN Kosutic, ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001 [en línea] [consultado el 20 de octubre de 2010]. Disponible en Internet: http://blog.iso27001standard.com/es/tag/anexo-a/

35

Con la finalidad de dar continuidad a lo expresado anteriormente sobre el Anexo A y sus controles asociados, se presenta a continuación en mayor detalle el enfoque que presenta el Anexo A respecto al dominio Gestión de activos el cual su respectivo desarrollo se presenta en este documento como proyecto de grado para aspirar al título de Ingeniero informático.

5.5. DOMINIO GESTIÓN DE ACTIVOS

La realizacion del proyecto de grado en la modalidad de pasantia involucra el desarrollo del dominio GESTION DE ACTIVOS DE INFORMACION el cual tiene asociado dos objetivos de control y cinco controles, el dominio en cuestion se presenta acontinuacion en la siguiente imagen. Ver Figura 2.

Figura 2. Dominio gestion de activos asociado al Anexo A

Fuente: Dominio gestión de activo [en línea] [consultado el 10 de junio de 2010] http://www.gigabytesperu.com/trabajos/ISOIEC%20FDIS%2027001.pdf

“La implementación del dominio de gestión de activos, consiste en el desarrollo de los controles asociados a cada objetivo de control, este desarrollo se debe llevar a cabo mediante los siguientes procesos asociados a cada control, teniendo en

36

cuenta que cada objetivo de control y controles asociados a este dominio será descripto de acuerdo al índice numeral que se encuentra asociado a cada uno de los controles abarcados dentro del dominio de gestión de activos y que fueron expuestos con anterioridad en la Figura 2 .”

• Responsabilidad por los activos Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales. Todos los activos debieran ser inventariados y contar con un propietario nombrado. Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección apropiada de los activos. • Inventario de los activos Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado. Además, se debiera acordar y documentar la propiedad y la clasificación de la propiedad para cada uno de los activos. Basados en la importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección que se conmensuran con la importancia de los activos. Existen muchos tipos de activos, incluyendo: • Información: bases de datos y archivos de data, contratos y acuerdos, documentación del sistema, información de investigaciones, manuales del usuario, material de capacitación, procedimientos operacionales o de

37

soporte, planes de continuidad del negocio, acuerdos para contingencias, rastros de auditoría e información archivada. • Activos de software: software de aplicación, software del sistema, herramientas de desarrollo y utilidades; • Activos físicos: equipo de cómputo, equipo de comunicación, medios removibles y otro equipo; • Servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción, iluminación, energía y aire acondicionado; • Personas , y sus calificaciones, capacidades y experiencia; • Intangibles , tales como la reputación y la imagen de la organización. Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva de los activos, y también puede requerir de otros propósitos comerciales; como planes de salud y seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un inventario de activos es un pre-requisito importante de la gestión del riesgo. • Propiedad de los activos Toda la información y los activos asociados con los medios de procesamiento de información debieran ser propiedad de una parte designada de la organización. El propietario del activo debiera ser responsable de: • Asegurar que la información y los activos asociados con los medios de procesamiento de la información sean clasificados apropiadamente; • Definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables. La propiedad puede ser asignada a: o un proceso comercial; o un conjunto de actividades definido; o una aplicación; o o un conjunto de data definido. Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el activo diariamente, pero la responsabilidad permanece con el propietario. En los sistemas de información complejos podría ser útil designar grupos de activos, los cuales actúan juntos para proporcionar una función particular como “servicios”. En este caso el propietario es responsable de la entrega del servicio, incluyendo el funcionamiento de los activos que los proveen. El término “propietario” identifica una persona o entidad que cuenta con la responsabilidad gerencial aprobada de controlar la producción, desarrollo,

38

mantenimiento, uso y seguridad de los activos. El término “propietario” no significa que la persona en realidad tenga algún derecho de propiedad sobre el activo. [10]

• Uso aceptable de los activos Se debieran identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información. Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información, incluyendo: - reglas para la utilización del correo electrónico e Internet; - lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera del local de la organización. La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados, contratistas y terceros que usan o tienen acceso a los activos de la organización debieran estar al tanto de los límites existentes para su uso de la información y los activos asociados con los medios y recursos del procesamiento de la información de la organización. Ellos debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de información, y de cualquier uso realizado bajo su responsabilidad.

• Clasificación de la información Objetivo: Asegurar que la información reciba un nivel de protección apropiado. La información debiera ser clasificada para indicar la necesidad, prioridades y grado de protección esperado cuando se maneja la información. La información tiene diversos grados de confidencialidad e importancia. Algunos ítems pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales.

• Lineamientos de clasificación Se debiera clasificar la información en términos de su valor, requerimientos legales, sensibilidad y grado crítico para la organización. Las clasificaciones y los controles de protección asociados para la información debieran tomar en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos comerciales asociados con dichas necesidades. Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial

39

y la reclasificación a lo largo del tiempo; en concordancia con alguna política pre-determinada de control de acceso. Debiera ser responsabilidad del propietario del activo (ver 7.1.2) definir la clasificación de un activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel apropiado. La clasificación debiera tomar en cuenta el efecto de agregación mencionado en 10.7.2. Se debiera tener en consideración el número de categorías de clasificación y los beneficios a obtenerse con su uso. Los esquemas demasiado complejos pueden volverse engorrosos y anti-económicos de utilizar o pueden volverse poco prácticos. Se debiera tener cuidado al interpretar los encabezados de la clasificación en los documentos de otras organizaciones, los cuales pueden tener definiciones diferentes para encabezados con el mismo nombre o nombre similares. Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y disponibilidad, y cualquier otro requerimiento para la información considerada. Con frecuencia, la información deja de ser sensible o crítica después de cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles innecesarios resultando en un gasto adicional. Agrupar documentos con requerimientos de seguridad similares cuando se asignan niveles de clasificación podría ayudar a simplificar la tarea de clasificación. En general, la clasificación dada a la información es una manera rápida para determinar cómo se está manejando y protegiendo la información.12 • Etiquetado y manejo de la información Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización. Los procedimientos para el etiquetado de la información necesitan abarcar los activos de información en formatos físicos y electrónicos. El output de los sistemas conteniendo información que es clasificada como sensible o crítica debiera llevar la etiqueta de clasificación apropiada (en el output). El etiquetado debiera reflejar la clasificación de acuerdo a las reglas establecidas en 7.2.1. Los ítems a considerarse incluyen reportes

12 Estándar Internacional ISO/IEC 17799 segunda edición 2005-06-15 Tecnología de la Información-Técnicas de Seguridad-Código para la práctica de la gestión de la seguridad de la información [en línea] [Consultado 30 de Junio de 2012]. Disponible en Internet: http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

40

impresos, presentaciones en pantalla, medios de grabación (por ejemplo; cintas, discos, CDs), mensajes electrónicos y transferencia de archivos. Para cada nivel de clasificación, se debiera definir los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, de-clasificación y destrucción. Esto también debiera incluir los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante. Los acuerdos con otras organizaciones que incluyen intercambio de información debieran incluir procedimientos para identificar la clasificación de esa información e interpretar las etiquetas de clasificación de otras organizaciones. El etiquetado y el manejo seguro de la información clasificada es un requerimiento clave para los acuerdos de intercambio de información. Las etiquetas físicas son una forma común de etiquetado. Sin embargo, algunos archivos de información, como documentos en forma electrónica, no pueden ser etiquetados físicamente y se necesitan medios electrónicos para el etiquetado. Por ejemplo, la etiqueta de notificación puede aparecer en la pantalla. Cuando no es factible el etiquetado, se pueden aplicar otros medios para designar la clasificación de la información; por ejemplo, mediante procedimientos o meta-data13.

5.6. GESTIÓN DE RIESGO.

La gestión de riesgos se basa sobre conceptos de gestión de riesgos establecidos por el SGSI, pero además de tener como base el SGSI se debe contar con una metodología de gestión de riesgos la cual brinde una serie de lineamientos que permitan analizar y reducir el riesgo hasta un nivel aceptable de tolerancia.

5.6.1. Procedimientos para la Gestión de Riesgos.El desarrollo del SGSI permite dilucidar una serie de elementos que contribuyen a la gestión del riesgo y por ende a la minimización de estos sobre los activos; algunos de los elementos más relevantes en el desarrollo del SGSI son:

• Criterios contra los cuales se evaluaran los riesgos.

13

Estándar Internacional ISO/IEC 27001 primera edición 2005-10-15 Tecnología de la Información-Técnicas de Seguridad-Sistemas de gestión de seguridad de la información-Requerimientos http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

41

o Ser aprobado por la dirección. • Definir el enfoque organizacional para la valoración del riesgo. o Identificar una metodología de valoración del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la información del negocio, identificados. o Desarrollar criterios para la aceptación de riesgos, e identificar los niveles de riesgo aceptables. • Identificar los riesgos. o Identificar los activos dentro del alcance del SGSI, y los propietarios de estos activos. o Identificar las amenazas de estos activos. o Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas. o Identificar los impactos que la perdida de confidencialidad, integridad, y disponibilidad puede tener sobre estos activos. • Analizar y evaluar los riesgos. o Valorar el impacto de negocios que podría causar una falla de seguridad, sobre la organización, teniendo en cuenta las consecuencias de la perdida de la confidencialidad, integridad, y disponibilidad de los activos. o Valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente. o Estimar los niveles de los riesgos. o Determinar la aceptación del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el establecimiento del SGSI. • Identificar y evaluar las opciones para el tratamiento de los riesgos.

Las posibles acciones incluyen:

o Aplicar los controles apropiados. o Aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la política y los criterios de la organización para la aceptación de riesgos. o Evitar riesgos, y o Transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc. • Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos, para el caso de este anteproyecto de grado en modalidad de pasantía se ha declarado solo la implementación del dominio Gestión de Activos de Información, con sus respectivos objetivos de control y controles asociados a dicho dominio.

42

Los objetivos de control y los controles se encuentran incluidos en el Anexo A, estos se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos.

Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.

• Obtener la aprobación de la dirección sobre los riesgos residuales propuestos. • Obtener autorización de la dirección para implementar y operar el SGSI. • Elaborar una declaración de aplicabilidad.

Se debe elaborar una declaración de aplicabilidad que incluya:

o Los objetivos de control y los controles seleccionados junto con la razones de su selección.

o Los objetivos de control implementados actualmente. o La exclusión de cualquier objetivo de control y controles enumerados en el

Anexo A y la justificación para su exclusión14.

5.7. METODOLOGÍA PARA GESTIÓN DE RIESGOS

Una metodología de gestión de riesgos nos permite conocer el riesgo al que están sometidos los activos de información y a partir de conocer el riesgo poder idear estrategias que nos permitan llevar el riesgo a su más mínima expresión a través de la gestión del mismo. Existen diferentes metodologías para poder determinar la mejor manera de poder hacer una buena gestión, para la selección de una determinada metodología debemos tener en cuenta el número de activos, el tipo de activos, el tipo de empresa, y el tamaño de la misma, ya que existen metodologías que son mucho más completas que otras ya que con el pasar de los años se les ha dado cierto 14ALEXANDER, ALBERTO G. Diseño de un sistema de gestión de seguridad de información: óptica ISO 27001:2005. Bogotá, D.C : Alfaomega, 2007. 176 p. : il. 005.8 / A374 (UAO). .

43

reconocimiento a partir de los estudios que se han realizado sobre estas con el fin de hacer de la metodología una guía capaz de cumplir con los retos de la nueva era.

5.7.1. Metodología de Gestión de riesgos Magerit. Magerit 15 es una metodología de gestión de riesgos con la cual se ha decidido trabajar para este proyecto de grado en modalidad de pasantía, ya que Magerit cumple con altos estándares de calidad y es reconocida como la metodología de gestión de riesgos más utilizada en España y además cuenta con el reconocimiento del gobierno español, el cumplimiento de estándares de calidad y el reconocimiento por un ente gubernamental respetado hacen de Magerit una metodología de gestión de riegos que sobresale sobre las demás metodologías, esto hace de Magerit la metodología ideal para aplicarla en la gestión de riesgos de los activos de información de EMCALI.

5.7.2 Magerit establece dos tipos de objetivos:

5.7.2.1. Objetivos Directos

• Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. • Ofrecer un método sistemático para analizar los riesgos.

• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.

5.7.2.2 Objetivos indirectos.

• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso, También se ha

15 MAGERIT: Metodología de análisis y gestión de riesgos de los Sistemas de Información. [en

línea]. Consejo Superior de Administración Electrónica [consultada el 5de noviembre de 2010 Disponible en Internet en http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)

44

buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: Modelo de valor: caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. Mapa de riesgos: relación de las amenazas a que están expuestos los activos. Evaluación de salvaguardas : evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo : caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad: c onjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos16. 5.8. METODOLOGÍA PHVA (PLANEAR, HACER, VERIFICAR, ACTUAR). La metodología PHVA es una estrategia de mejora continua de la calidad, la cual es concebida como una herramienta de planificación y mejora continua, permitiendo una mejora integral de la competencia, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costos, incrementando la participación del mercado y aumentando la rentabilidad.

PHVA establece cuatro etapas en las cuales se logran planear, implementar, verificar y actuar, en cada una de estas etapas se vinculan una serie de actividades las cuales ayudaran a establecer que se quiere lograr a partir de cada una de ellas y dando claridad para el establecimiento del cronograma adjunto al proyecto.

16

Ibíd., Disponible en Internet. http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276529683497133

45

5.8.1Planear:

- Realización de tareas de recolección de información y reconocimiento de campo.

- Conocer cuál es el estado del proyecto de implementación del Sistema de Gestión de Seguridad de la Información, dentro de EMCALI.

- Realizar tareas de documentación a nivel de conocer más a profundidad los lineamientos establecidos por la Norma ISO/27001 respecto al Anexo A.

- Conocer los riesgos a los cuales se ven expuestos los activos de información.

5.8.2 Hacer:

• Examinar que nuevos activos de información se han vinculado a cada área.

• Comparar los activos registrados dentro de los inventarios de activos de información de cada departamento, contra los activos reales que cada departamento posee.

• Determinar si haya activos de información que respecto a su nivel de criticidad deben ser asociados a la matriz de riesgos para la debida gestión del riesgo que se cierne sobre estos.

• Sugerir políticas de seguridad con el fin de garantizar el correcto uso de los activos de información.

• Diseñar una propuesta de banco de incidentes el cual permita llevar el historial de los acontecimientos anormales que suceden al interior del GTI y que pueden afectar la confidencialidad, integridad, disponibilidad, y trazabilidad, de los activos de información.

• Diseñar un estrategia la cual permita realizar actividades de actualización del inventario de activos de información, el cual permita determinar el propietario y custodio de cada activo, la respectiva clasificación de activos de información y

46

poder proponer la etiqueta correspondiente a cada activo según la valoración y clasificación que se haya obtenido del proceso de clasificación activos, todo esto con el fin de poder realizar la gestión de actualización de inventarios de una manera eficiente y ordenada del cual se pueda llevar un registro de las acciones realizadas y también permita realizar tareas de documentación de incidentes.

5.8.3 Verificar:

• Verificar si las políticas propuestas para el uso aceptable de activos en realidad son efectivas.

• Conocer si se han registrado incidentes de seguridad durante el proyecto.

5.8.4 Actuar:

• Documentar el progreso que se ha tenido respecto a la implementación del proyecto mediante documentos que permitan evidenciar un avance en la implementación de los controles.

• Presentar los resultado del estudio realizado y definir qué acciones se podrían determinar con base a las necesidades manifiestas que han resultado a partir de los problemas detectados y llegar a una solución a partir de los resultados expuestos.

47

6. METODOLOGÍA

Este estudio parte de la solicitud de EMCALI por implementar el dominio de GESTION DE ACTIVOS el cual se encuentra incluido dentro del anexo A de la Norma ISO 27001, con el fin de que los controles concernientes a este dominio sean encaminados a garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información que posee la Gerencia Tecnología de la Información y sus departamentos asociados, contribuyendo de esta manera a la correcta implementación del Sistema de Gestión de Seguridad de la Información para EMCALI.

Respecto al desarrollo del dominio Gestión de Activos, es importante conocer la importancia de los activos de información para las actividades empresariales de EMCALI, ya que de esta manera se puede determinar con mayor certeza el impacto que tendría para la empresa que un riesgo se materialice y afecte de manera negativa a un activo de información, para ello se ha decidido usar una metodología basada en PHVA(Planear, Hacer, Verificar, Actuar), ya que es una herramienta de planificación metodología adaptable a contextos y necesidades que surgen durante el desarrollo de proyecto y la cual permite la evolución de las actividades a partir de avances anteriores que se tengan consolidados, el uso de esta metodología permitirá reunir en una serie de etapas las actividades a desarrollar durante el proyecto con el objetivo de conocer más en detalles los activos de información y la manera como pueden ser abordados estos para el desarrollo de los controles establecidos en el dominio de Gestión de Activos. 17

48

7. DESARROLLO DEL PROYECTO

7.1. LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO

Los lineamientos para la administración del riesgo que se declaran en el presente numeral, plantea un enfoque de riesgos fundamentado en la identificación de riesgos, amenazas y vulnerabilidades presentes en los activos que se vinculen al inventario de activos de información; estos activos se encontrarán sometidos al cálculo de la probabilidad e impacto de materialización de los riesgos y los efectos que estos podrían causarle a la normal operación de los procesos productivos de la organización.

Con base en lo anteriormente expuesto y siguiendo las recomendaciones de la Norma ISO/27001 y la metodología para gestión del riesgo MAGERIT, se formulan una serie de pasos sobre los cuales se fundamentara cualquier esfuerzo para la mitigación del riesgo.

• Establecer el Contexto. o Establecer el alcance. o Determinar sistema de clasificación de activos de información. o Definir el nivel de criticidad asociado a los activos de información. o Determinar campos de información que harán parte del inventario de activos.

• Identificación del Riesgo o Identificar los activos que serán objeto de análisis. o Tipos de riesgo. o Identificar Vulnerabilidades y Amenazas.

• Estimación del Riesgo. o Descripción del Riesgo. o Descripción de Consecuencias. o Determinar probabilidad de materialización e impacto.

49

• Evaluación del Riesgo o Priorizar necesidades de tratamiento. • Tratamiento del Riesgo o Identificar y Evaluar las Opciones de Tratamiento del Riesgo. • Comunicación y Consulta o Obtener y compartir información. • Monitoreo y Revisión o Identificar cambios en el contexto. o Monitorear y analizar incidentes de seguridad.

A continuación se presenta con un mayor detalle cada uno de los encisos anteriormente expuestos.

7.1.1. Establecer el contexto

• Establecer El Alcance.

El establecimiento del alcance es un paso muy importante al emprender cualquier actividad que tenga como objetivo gestionar el riesgo sobre un grupo de activos pertenecientes a un proceso organizacional, ya que el alcance es el que nos limitara cual será cual será el rango de acción sobre el cual se deberán invertir esfuerzos para minimizar el riesgo de materialización de un incidente que pueda afectar nuestros activos de información respecto a su confidencialidad, integridad, disponibilidad y trazabilidad; de no establecerse apropiadamente el alcance se corre el riesgo de invertir esfuerzos en mitigar el riesgo sobre activos que no tengan tanta relevancia para la organización, como si lo tendrían otros, o también puede suceder que se determine un alcance muy extenso y se inviertan recursos y esfuerzo y al final no se cumpla con el objetivo de minimizar el riesgo sobre los activos de información que se encuentren involucrados dentro del alcance.

• Determinar sistema de clasificación de activos de información.

La construcción del sistema de clasificación de activos de información es un paso fundamental para la valoración de los activos de información, ya que la clasificación de activos ayuda a comprender la relevancia de un activo para la organización. El sistema de clasificación es fundamental para la construcción del

50

inventario de activos debido a que el inventario es el recurso en el cual servirá de guía para la administración de los activos.

Al interior del sistema de clasificación se encuentran dispuestos seis niveles de valoración, niveles los cuales nos ayudaran a comprender la relevancia de cada activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, a continuación se presentan los seis niveles de valoración:

Cuadro 1. Niveles de valoración de los activos de información

VALOR DESCRIPCION

Muy Alto Impactaría negativamente a la mayoría de sus clientes o a la ciudad de Cali y su población

Alto Impactaría negativamente a los objetivos estratégicos de EMCALI.

Medio Impactaría negativamente a EMCALI o algún porcentaje de clientes.

Bajo Impactaría negativamente no solo al proceso valorado sino a otros procesos del EMCALI.

Muy Bajo Impactaría negativamente al proceso valorado.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información. Teniendo claridad en lo que representa cada nivel de valoración se procede a continuación a la presentación del sistema de clasificación de activos respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

o Clasificación Respecto a la Confidencialidad

La clasificación de los activos en cuanto a la confidencialidad proporcionan a los propietarios, custodios la base para determinar controles básicos y lineamientos que se deben seguir para la protección del activo frente a los accesos no autorizados.

La clasificación definida por EMCALI respecto a la confidencialidad de los activos de información es la siguiente:

51

Figura 3. Clasificación de los activos de información respecto a su confidencialidad

CONFIDENCIAL

MUY ALTO

ALTO

RESERVADO MEDIO

PUBLICO BAJO

MUY BAJO Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o Clasificación Respecto a la Integridad

La clasificación de los activos en cuanto a la integridad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir para la protección del activo respecto a la fidelidad y la no alteración de la información.


Figura 4 Clasificación de los activos de información respecto a su integridad

IDENTIFICADOR

I1

MUY ALTO

ALTO

MEDIO

I2 BAJO


52

o Clasificación Respecto a la Disponibilidad

La clasificación de los activos en cuanto a la disponibilidad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir a fin de garantizar que los activos se encuentren disponibles en el momento que se los requiera.


Figura 5 Clasificación de los activos de información respecto a su disponibilidad

IDENTIFICADOR

D1

MUY ALTO

ALTO

MEDIO

D2 BAJO

MUY BAJO Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información. o Clasificación Respecto a la Trazabilidad

La clasificación de los activos en cuanto a la disponibilidad proporciona a los propietarios, custodios y usuarios de determinado activo de información, la base para determinar controles básicos que deben seguir a fin de garantizar la protección del activo respecto a su acceso, visualización, ejecución y modificación.

53


Figura 6. Clasificación de los activos de información respecto a su Trazabilidad

IDENTIFICADOR

T1

MUY ALTO

ALTO

MEDIO

T2 BAJO


• Nivel de Criticidad asociado a los activos de información .

Diferentes campos de información en el cual se dispone el grado de importancia o de criticidad que posee un activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad. A continuación se presenta en un mayor detalle cada uno de los aspectos anteriormente mencionados.

o Nivel de criticidad respecto a la confidencialidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la confidencialidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

54

Cuadro 2. Ejemplo de nivel de criticidad respecto a la confidencialidad de los activos de información

Confidencialidad Valor Justificación

Muy bajo El activo es de carácter publico

Muy Alto

El activo es restringido a un gran número de personas, solo las personas pertenecientes a X proyecto o actividad pueden tener acceso al activo.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información. o Nivel de criticidad respecto a la integridad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la integridad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 3. Ejemplo nivel de criticidad respecto a la integridad de los activos de información

Integridad Valor Justificación

Bajo

La integridad del activo no representa un gran relevancia debido a que el activo no hace parte fundamental de un proceso X.

Muy alto

Afectaciones en la integridad del activo ocasionaría el paro de un proceso X, lo cual devengaría en la perdida de dinero.

. Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

55

o Nivel de criticidad respecto a la disponibilidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la disponibilidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 4. Ejemplo Nivel de criticidad Respecto a la disponibilidad de los activos de información

Disponibilidad Valor Justificación

Muy bajo

La disponibilidad del activo es poco relevante debido a que el activo no representa demasiado interés para un proceso X.

Muy Alto La disponibilidad del activo es muy alta debido a que existen varios procesos que son dependientes al activo.

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información.

o Nivel de criticidad respecto a la trazabilidad

En la declaración del inventario de activos de información debe existir un aparte en el cual se declare el nivel de criticidad respecto a la trazabilidad del activo de información, la valoración dispuesta para este aparte será tenida en cuenta para determinar la valoración final del activo respecto a su criticidad.

Cuadro 5. Ejemplo de nivel de criticidad respecto a la trazabilidad de los activos de información

Trazabilidad Valor Justificación

Muy bajo Debido a que el activo es de carácter público su trazabilidad no representa un factor que se deba controlar con dedicación.

Alto Se debe controlar las personas que acceden al activo, la hora de consulta y los fines de uso.


56

o Definir la valoración de criticidad final para cada activo

La valoración de criticidad final es muy importante ya que a partir de dicha valoración se determinaran los activos que harán parte de la matriz de riesgos. La valoración de criticidad final es determinada por el valor critico más alto que se haya obtenido en los diferentes factores que se han evaluado (confidencialidad, integridad, disponibilidad, trazabilidad).

Cuadro 6. Ejemplo Valoración final de los activos de información respecto a su criticidad

Confidencialidad Integridad Disponibilidad Trazabilidad Valora

ción Final Valor Justific

ación Valor Justifica

ción Valor Justifica

ción Valor

Justificación

Muy bajo

………………

Bajo ………………

Bajo ………………

Muy bajo

………………

Bajo

Muy alto

………………

Muy alto

………………

Muy alto

………………

Alto ………………

Muy alto

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información o Etiqueta de Criticidad

La etiqueta de criticidad es un identificador el cual permite identificar el nivel de criticidad asociado a cada activo de información, a construcción de la etiqueta depende del sistema de clasificación que haya sido adoptado, ya que la valoración que se obtenga para la confidencialidad, integridad, disponibilidad y trazabilidad se verá reflejada en la etiqueta de criticidad.

Cuadro 7. Ejemplo construcción de etiqueta de criticidad Confidencialida

d Integridad Disponibilidad

Trazabilidad Etiqueta de

criticidad Clasificación Clasificació

n Clasificación Clasificación

Publico I2 D2 T2 PublicoI2D2T2

Confidencial I1 D1 T1 ConfidencialI1D1T1


57

• Determinar campos de información que harán parte del inventario de activos.

Los campos de información son una parte fundamental de todo inventario, estos campos de información deben ser seleccionados racionalmente y no dejar esta tarea al azar, un campo de información debe ser visto como un elemento el cual nos proporcionara información valiosa sobre el activo, información la cual nos sea útil en algún momento de la implementación u operación del SGSI.

A continuación se declaran los campos de información con los cuales se encuentra conformado desde el 2011 el inventario de activos de activos de información de EMCALI.

o ID.

Es el número que identifica a cada activo dentro del inventario, el inventario se encuentra dividido en cuatro grandes grupos los cuales hacen distinción a los activos pertenecientes a la gerencia de TI, Depto. Sistemas de Información, Depto. Operaciones, Depto. Planeación tecnológica, para cada grupo el identificador va desde el número uno hasta el último activo que se registre dentro del grupo.

o Nombre del Activo.

Es el nombre que distingue a cada activo y por el cual el personal lo reconoce dentro de su espacio laboral.

o Descripción/Observaciones.

Campo de información en el cual se presenta una descripción concisa sobre el activo, la descripción que se asocie a cada activo debe ser pensada y redactada de tal manera que una persona al leer la descripción asociada al activo logre conocer aspectos de interés del activo.

o Proceso.

Hace referencia al proceso al cual se encuentra vinculado el activo.

58

o Tipo de Activo.

Se encuentra definido por EMCALI de la siguiente manera:

Información , se considera información a datos e información almacenada o procesada física o electrónicamente: bases de datos documentos, manuales entre otros.

Personas , son consideradas como un activo debido al conocimiento, habilidades, experiencia son consideradas activos de información

Servicios , se considera como servicio a los servicios computaciones y de comunicaciones tales como el correo corporativo, intranet, páginas personales, telefonía, entre otros servicios soportados por la infraestructura tecnológica de la organización.

Hardware , son activos físicos como computadores, equipos de impresión, equipos de comunicaciones y de red entre otros.

Software , se considera como software a las aplicaciones computacionales, sistemas operativos, desarrollo hechos a medida entre otros.

o Fecha de Ingreso .

Fecha en la cual el activo salió a producción.

o Fecha de salida .

Fecha en la cual el activo salió de operación.

o Personal .

Campo de información en el cual se declara si el activo es de carácter personal, privado o semiprivado.

59

o Atributos .

Los atributos corresponden a información que apoya el proceso de valoración de los activos de información.

• Los atributos a verificar para cada uno de los activos de información son:A1: Activo de clientes o terceros que debe protegerse. • Activo que debe ser restringido a un número limitado de empleados.

• Activo que puede ser alterado o comprometido para fraudes y corrupción. • Activo que es muy crítico para las operaciones internas. • Activo que es muy crítico para el servicio hacia terceros. • Activo que ha sido declarado de conocimiento público por parte de la persona con autoridad para hacerlo o por alguna norma jurídica. o Ubicación .

Campo de información el cual corresponde a determinar la ubicación física como también electrónica del activo de información.

o Propietario.

Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de garantizar que la información y los activos asociados con los servicios de procesamiento de información se clasifican adecuadamente.

o Custodio.

Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo encargado de hacer efectivos los controles de seguridad definidos por el propietario.

o Nivel de Criticidad .

60

Diferentes campos de información en el cual se dispone el grado de importancia o de criticidad que posee un activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

o Entrevistado .

Campo de información en el cual se dispone a registrar el nombre de la persona que ha proporcionado la información referente al activo.

7.1.2. Identificación del Riesgo.

• Identificar los activos que serán objeto de análisis.

Es un proceso mediante el cual se realizan entrevistas junto a los jefes de departamento a fin de conocer cuáles son los activos de información que presentan mayor relevancia para los procesos de los cuales son responsables, a fin de luego incluirlos en la matriz de riesgos y realizar la correspondiente caracterización de cada uno de ellos. Luego de la caracterización de cada activo se deben identificar los activos de información para los cuales su valor total de criticidad es Muy Alto y Alto debido a que estos serán los que se tendrán en cuenta para la conformación de la matriz de riesgos y su correspondiente análisis de riesgo.

• Tipos de riesgo

El tipo o condición de riesgo viene dada por la afectación que sufre el activo respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, por ello se ha considerado adecuado declarar los siguientes tipos de riesgo:

o Acceso no autorizado al activo de información: Riesgo que un activo se vea afectado respecto a su confidencialidad. o Perdida de la integridad del activo de información: Riesgo que un activo sea alterado en su contenido o forma, causando la no utilización parcial del activo o pérdida definitiva. o Perdida de la disponibilidad del activo de información: Riesgo que un activo no se encuentra en operación por algún motivo. o Perdida de la trazabilidad del activo de información: Riesgo que no pueda tenerse conocimiento de las acciones que se realizan con un activo de información y tampoco pueda conocerse la persona la acción.

61

• Identificar Vulnerabilidades y Amenazas

o Vulnerabilidades

Las vulnerabilidades son falencias o debilidades que puede estar presentes en la tecnología, las personas o en las políticas y procedimientos de EMCALI.

A continuación se presentan algunas recomendaciones que se deben tener en cuenta al momento de identificar vulnerabilidades:

� El activo de información que se está analizando, y el riesgo identificado. � Las pruebas de Intrusión realizadas, dado que muchos de los activos de información son almacenados, distribuidos, resguardados y protegidos por la infraestructura de información y tecnología. � Por cada riesgo versus activo de información se pueden identificar diferentes vulnerabilidades.

o Amenazas

Son los escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en EMCALI (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.

A continuación se presentan algunas percibidas en el ámbito laboral de EMCALI:

� Recurso Humano: Conjunto de personas vinculadas directa o indirectamente con el Activo de Información (personal externo e interno). � Procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad. � Tecnología: Es el conjunto de herramientas empleadas para soportar el activo de información. Incluye: hardware, software y telecomunicaciones. � Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Información. � Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad.

62

7.1.3. Estimación del Riesgo

• Descripción del Riesgo.

La descripción del riesgo se realiza bajo el escenario amenaza VS vulnerabilidad, es decir el supuesto que una amenaza logre explotar una vulnerabilidad y materialice un riesgo previamente identificado.

• Descripción de consecuencias.

Las consecuencias son todas aquellas repercusiones que sufre un activo de llegarse a materializar un riesgo, las consecuencias deben ser declaradas de manera sencilla y sin el uso de ternísimos a fin de que cualquier persona pueda entender las afectaciones que se sufrirían, se recomienda que las consecuencias se han declaradas en términos económicos, eficiencia operacional, afectaciones legales y pérdida de clientes.

• Probabilidad de Materialización.

A continuación se presenta la escala de probabilidad de materialización con la cual EMCALI pretende medir la probabilidad de ocurrencia de un riesgo en el tiempo.

Cuadro 8. Escala de probabilidad ESCALA DE PROBABILIDAD

RARO Evento que puede ocurrir sólo en circunstancias excepcionales (0 – 5%), entre 0 y 1 vez cada año

IMPROBABLE Evento que pudo ocurrir en algún momento (6% - 10%), entre 2 y 4 veces en año.

POSIBLE Evento que podría ocurrir en algún momento (11% - 15%) entre 5 y 6 veces en el año.

PROBABLE Evento que probablemente ocurrirá en la mayoría de las circunstancias (16% - 20%) entre 7 y 12 veces en un año.

CASI CERTEZA Evento que se espera ocurra en la mayoría de las circunstancias (Mayor al 20%) más de 12 veces en un año.

63

• Determinar Impacto

A continuación se presenta la escala de impacto con la cual EMCALI determinara la afectación que causaría la materialización de un riesgo para su imagen, información, victimas, ambiental, operaciones, económicas y financieras, mercadeo, clientes

Cuadro 9. Escala de impacto ESCALA DE IMPACTO

NIVEL Imagen Información Operaciones

Económicas y

Financieras

INSIGNIFICANTE

Impacta negativamente la imagen de un rol.

Impacta de forma leve la información requerida para el desarrollo de las actividades de un rol

Impacta de forma leve la operación de un rol

Se pueden presentar una afectación del 20% del presupuesto

MENOR

Impacta negativamente la imagen del proceso.

Impacta de forma importante la información requerida para el desarrollo de las actividades del proceso evaluado

Impacta importante la operación del proceso


MODERADO

Impacta negativamente la imagen no sólo del proceso evaluado sino de otros procesos

Impacta negativamente la información requerida para el desarrollo de las actividades no solo del

Impacta negativamente no sólo la operación del proceso evaluado sino a otros procesos


64

proceso evaluado sino de otros procesos.

MAYOR

Impacta negativamente la imagen de EMCALI ante sus suscriptores

Impacta negativamente la información concerniente y que apoya el cumplimiento de los objetivos estratégicos de EMCALI

Impacta negativamente la operación de EMCALI


CATASTROFICO

Impacta negativamente la imagen de la Ciudad de Cali

Impacta negativamente la información concerniente y que apoya la prestación del servicio a los suscriptores.

Impacta negativamente la no solo operación de EMCALI sino de sus Subscriptores

Se pueden presentar una afectación del mas del 51% del presupuesto

N/A No hay impacto

No hay impacto

No hay impacto

No hay impacto

Fuente: Tomado de textos consolidados por EMCALI, para la clasificación y valoración de activos de información. 7.1.4. Evaluación Del Riesgo.

• Priorizar Necesidades de Tratamiento.

Priorizar las necesidades de tratamiento otorga la pauta para la definición de nuevos controles o mejoras de los controles existentes, teniendo en cuenta que el nivel aceptable de riesgo es bajo, se ha determinado que para los demás niveles

Cuadro 9. (Continuación)

65

de riesgo se deberá definir planes los cuales permitan involucrar controles los cuales permitan llevar el riesgo hasta su mínima expresión. 18

Cuadro 10. Matriz de probabilidad VS Impacto

PROBABILIDAD IMPACTO

1 2 3 4 5 Insignificante Menor Moderado Mayor Catastrófico

1 RARO B B M A A 2 IMPROBABLE B B M A E 3 MODERADO B M A E E 4 PROBABLE M A A E E

5 CASI CERTEZA A A E E E

B: Zona de Riesgo Baja, asumir el riesgo. M: Zona de Riesgo Moderada, asumir el riesgo, reducir el riesgo. A: Zona de Riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir. E: Zona de Riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir.


7.1.5. Tratamiento Del Riesgo.

• Identificación y Selección de Opciones para el Tratamiento Del Riesgo.

La identificación de opciones o medidas para el tratamiento del riesgo parte del análisis de las vulnerabilidades y necesidades que perciba la organización respecto a mantener la seguridad de sus activos de información, la elección de medidas de seguridad luego de realizado el análisis de vulnerabilidades se ve soportado por la Norma ISO/27001 Anexo A en la cual se presentan 133 controles los cuales se presentan una amplia gama de medidas de seguridad las cuales ayudaran a blindar de buena manera la organización en materia de seguridad de la información. La organización también tiene como material de apoyo a Norma ISO/27002, Norma en la cual radican los mismos 133 controles del Anexo A pero adicional a esto presenta la guía de implementación de cada uno de los controles que el Anexo A abarca.

18

Información obtenida de los lineamientos establecidos por EMCALI para la construcción de la matriz de inventario de activos y matriz para la gestión del riesgo, documento

66

7.1.6. Comunicación y Consulta.

• Obtener y Compartir Información.

Obtener y compartir información es parte la cual desempeña un papel clave dentro de la gestión del riesgo, ya que mediante la obtención de información de las partes interesadas se puede conocer el estado de un proceso y de sus activos asociados respecto a su seguridad y el grado de exposición en cuanto se llegue a presentar la materialización de un incidente de seguridad. Es de igual importancia compartir o comunicar la información ya que mediante ello puede tomarse medidas oportunamente y de esta manera minimizar la probabilidad de ocurrencia de un incidente de seguridad en particular.

7.1.7. Monitoreo y Revisión.

• Identificar Cambios en el Contexto.

El monitoreo y las revisiones programadas permiten develar cambios en los contextos en los cuales convergen los activos de información que se involucran en los procesos organizaciones, conocer el cambio en un contexto es de suma importancia, ya que un cambio por mínimo que sea puede influir en múltiples variables las cuales podrían desencadenar situaciones que puedan poner en riesgo la seguridad de los activos de información que se buscan proteger; el monitoreo y la revisión son actividades que buscan prevenir incidentes de seguridad mediante la anticipación de los hechos, es decir no se espera a que pase el incidente para luego tomar medidas sino que se buscan cerrar las brechas entre la seguridad y el contexto que el cual mantiene en constante dinamismo.

• Analizar los incidentes de Seguridad.

El análisis de un incidente de seguridad en el antes, durante y después de suceso es muy importante ya que contribuye a fortalecer la base del conocimiento de la organización respecto a la seguridad de la información ya que mediante el análisis la organización puede retroalimentarse y tomar medidas que permitan que incidentes como los ya ocurridos no prosperen en el futuro.

Teniendo definidos y claramente descrito cada uno de los apartes los cuales harán parte de nuestros lineamientos para la gestión del riesgo se presenta a continuación la contextualización de estos (a excepción del aparte 9.1.6 y 9.1.7, ya

67

que no se encuentran contemplados como parte de la operación del SGSI, mas no de su estructuración como tal), a fin de dar cumplimiento al control “7.1.1 Inventario de Activos” el cual se encuentra asociado al objetivo de control “7.1 Responsabilidad sobre los Activos” y este a su vez inmerso en el dominio “7 Gestión de Activos”.

7.2 ACTIVOS DE INFORMACION OBJETO DE ANÁLISIS

Con el fin de dar cumplimiento a este aparte se empezó conociendo en primera instancia los activos de información que habían sido levantados por EMCALI en el 2011 actividad la cual dio por resultado la siguiente información:

Se pudieron identificar 153 activos de información los cuales fueron levantados en el 2011, activos de información los cuales se encontraban repartidos de la siguiente manera.

• Gerencia de TI, dependencia en la cual se identificaron 24 activos de información. • Departamento de Operaciones, departamento en el cual se identificación 85 activos de información. • Departamento de Sistemas de Información, departamento en el cual se identificaron 22 activos de información. • Departamento de Planeación Tecnológica, departamento en el cual se identificaron 22 activos de información.

Identificados los activos de información se procedió a adelantar la actualización del inventario de activos mediante entrevistas con los responsables de cada departamento y mediante una comparación con la matriz de riesgos a fin de conocer si los activos a los cuales se debía dar seguimiento en realidad estaban siendo sometidos a una gestión a fin de minimizar el nivel de riesgo al cual se encuentran expuestos.

A continuación se presenta un informe con los resultados obtenidos de la actividad de actualización del inventario de activos.

7.1.8. Análisis de Activos. Gracias al análisis realizado de los inventarios de activos de información de los departamentos que componen el GTI y de la matriz

68

de riesgos de EMCALI, Se ha determinado que el número total de activos de información que se encuentran contenidos en los cuatro departamentos que componen el GTI es de 147 activos, los cuales se encuentran distribuidos de la siguiente manera:

Figura 7. Distribución de Activos de información actualizada

7.1.9. Gerencia de TI.El departamento de Gerencia de TI cuenta con 19 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 10 activos que tiene asociado un valor de criticidad de ALTO, 5 activos tienen asociado un valor de criticidad MEDIO, y finalmente se tienen 4 activos con un valor de criticidad asociado BAJO.

19

87

21 20

0

10

20

30

40

50

60

70

80

90

100

Gerencia de TI Departamento de

Operaciones.

Departamento

de Sistemas de

Información.

Departamento de

Planeación

Tecnológica.

ACTIVOS DE INFORMACION

69

Figura 8. Activos asociados a la Gerencia de TI, distribuidos respecto a su valor de criticidad

Los activos de información con un nivel de criticidad ALTO, de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos) , deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos; cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de ALTO.

10

5

4

0

2

4

6

8

10

12

Activos con Valor de Criticidad

Alto.

Activos con Valor de Criticidad

Medio.

Activos con valor de Criticidad

Bajo.

ACTIVOS POR VALOR DE CRITICIDAD

70

Figura 9. Activos asociados a la gerencia de TI, que se encuentran registrados en la matriz de riesgos

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es consistente con el número de activos identificados con un nivel de criticidad Alto.

7.1.10. Departamento Operaciones. El departamento de la Operaciones cuenta con 87 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 5 activos que tiene asociado un valor de criticidad de MUY ALTO, 62 activos tienen asociado un valor de criticidad ALTO, se tienen 11 activos con un valor de criticidad asociado MEDIO, y final mente se tienen 9 activos con un nivel de criticidad BAJO.

10

9

8,4

8,6

8,8

9

9,2

9,4

9,6

9,8

10

10,2

Activos que estan registrados

en la matriz de riesgos.

Activos que no estan registrados


ACTIVOS REGISTRADOS EN LA MATRIZ DE

RIESGOS

71

Figura 10. Activos asociados al departamento de operaciones, distribuidos respecto a su valor de criticidad

Los activos de información con un nivel de criticidad MUY ALTO, y ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.

A continuación se muestran el número correspondiente de activos asociado a la matriz de riesgos, cabe aclarar que el número de activos registrados en la matriz de riesgos debe ser igual a la cantidad de activos con nivel de criticidad de MUY ALTO, y ALTO.

5

62

11 90

10

20

30

40

50

60

70

MUY ALTO ALTO MEDIO BAJO

VALORACION DE CRITICIDAD DE LOS ACTIVOS

DE INFORMACION

72

Figura 11. Activos asociados al departamento de operaciones, que se encuentran registrados en la matriz de riesgos

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos no es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

Al examinar el inventario de activos y comparando sus activos contra la matriz de riesgos se encontró que había nueve (9) activos con nivel de criticidad ALTO que no fueron incluidos en la matriz de riesgos.

7.1.11. Departamento Sistemas de Información. El departamento de Sistemas de Información cuenta con 21 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 6 activos que tiene asociado un valor de criticidad de MUY ALTO, 10 activos tienen asociado un valor de criticidad ALTO, se tienen 3 activos con un valor de criticidad asociado MEDIO, y final mente se tienen 2 activos con un nivel de criticidad BAJO.

67

20

0

10

20

30

40

50

60

70


en la matriz de riesgos de EMCALI

Activos que no estan registrados en la matriz de

riesgos de EMCALI


RIESGOS DE EMCALI

73

Figura 12. Activos asociados al departamento de sistemas de información, distribuidos respecto a su valor de criticidad

Los activos de información con un nivel de criticidad MUY ALTO, y ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que de acuerdo a su nivel de criticidad se considera que estos activos deben de tener una gestión especial sobre ellos.


6

10

3

2

0

2

4

6

8

10

12

Activos con Valor de

Criticidad Muy Alto.


Criticidad Alto.


Criticidad Medio.

Activos con valor de

Criticidad Bajo.


74

Figura 13. Activos asociados al departamento de sistemas de información, que se encuentran registrados en la matriz de riesgoS

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

7.1.12. Departamento Planeación Tecnológica. El departamento de Planeación Tecnológica cuenta con 20 activos de información inventariados, de estos activos de información se puede concluir lo siguiente:

Se cuenta con 11 activos los cuales tienen asociado un valor de criticidad ALTO, se tienen 4 activos con un valor de criticidad asociado MEDIO, hay 2 activos con un nivel de criticidad BAJO, y finalmente se tienen 3 activos con un nivel de criticidad de MUY BAJO.

16

5

0

2

4

6

8

10

12

14

16

18






RIESGOS

75

Figura 14. Activos asociados al departamento de planeación tecnológica, distribuidos respecto a su valor de criticidad

Los activos de información con un nivel de criticidad ALTO de acuerdo a lo declarado en el punto (2) (nivel de criticidad de los riesgos), deberán ser registrados en la matriz de riesgo ya que su nivel de criticidad considera que estos activos deben de tener una gestión especial sobre ellos.


11

4

2

3

0

2

4

6

8

10

12


Criticidad Alto.


Criticidad Medio.

Activos con valor de

Criticidad Bajo.


Criticidad Muy Bajo


76

Figura 15. Activos asociados al departamento de planeación tecnológica, que se encuentran registrados en la matriz de riesgos

Respecto a este grafico podemos concluir que el número de activos registrados en la matriz de riesgos es igual a la suma de los activos con nivel de criticidad MUY ALTO y ALTO identificados previamente.

7.1.13. Conclusión Respecto al Análisis de Activos y Actualización del Inventario . A raíz de la actualización del inventario de activos y de conocer las pretensiones de EMCALI por alcanzar la certificación en la Norma ISO/27001de seguridad de la información, se presenta como sugerencia enfocar todos los esfuerzos sobre un proceso crítico para la Gerencia de TI en pro de asegurar un activo o activos de información, los cuales representen interés tanto para el proceso como para toda la organización; de acuerdo a este orden de ideas se ha considerado pertinente declarar para el proyecto de SGSI, un nuevo alcance con el cual pueda obtenerse la certificación de la norma ISO/27001, debido a que en la primera fase del proyecto SGSI en la cual participo la organización especializada en seguridad de la información (NewNet S.A), no se logró definir un alcance certificable que en base a los 147 activos de información que se habían definido en la primera fase del proyecto, se pudiese llegar a cumplir el objetivo de alcanzar la certificación en la Norma ISO/27001.

7.1.14. Determinar El Alcance. Partiendo de las ideas declaradas en el aparte inmediatamente anterior, se sugiere a EMCALI enfocar esfuerzos para alcanzar la certificación, sobre el proceso “Gestionar Tecnología” – proceso anteriormente citado lleva por nombre un nombre ficticio, ya que se considera

15

5

0

2

4

6

8

10

12

14

16






RIESGOS

77

como material confidencial el mapa de procesos de la gerencia de TI – ya que se considera un proceso de interés dentro de la gerencia de TI y al interior del mismo asegurar el activo “CORE del Negocio” – el nombre por el cual será llamado el activo es un nombre ficticio, ya que el nombre real del activo es considerado como confidencial por parte de EMCALI - el cual es un activo de interés para el proceso “Gestionar Tecnología” y es un activo transversal a toda la organización.

Definido el proceso y el activo sobre el cual enfocaremos esfuerzos para su aseguramiento, procedemos a declarar el nuevo alcance certificable para el proyecto SGSI de EMCALI y detallar dentro del mismo el activo “CORE del Negocio” , a fin de conocer los activos que integran el activo “CORE del negocio” y de esta manera poder asegurar el activo en toda su comprensión.

• Alcance certificable.

El Alcance se encuentra limitado a la Gerencia de TI de EMCALI, al proceso gestionar tecnología y al aseguramiento del activo CORE del Negocio el cual se encuentra compuesto por los siguientes activos:

Cuadro 11. Activos de información asociados al proceso gestionar tecnología

PROCESO ACTIVO DETALLE

GESTIONAR TECNOLOGIA CORE DEL NEGOCIO

APLICACIÓN BASE DE DATOS 1 BASE DE DATOS 2 BASE DE DATOS 3

SERVIDOR 1 SERVIDOR 2

Todo lo anterior a fin de realizar la gestión del riesgo a partir del análisis de su nivel de criticidad, vulnerabilidades y amenazas, para de esta manera poder determinar el impacto que tendría para la empresa que estos activos se vean vulnerados respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.

78

Nota 1: Los activos asociados al activo CORE (Aplicación, Base de datos 1, Base de datos 2, Base de datos 3, Servidor 1, servidor 2) fueron nombrados bajo nombres ficticios, ya que esta información es considerada como confidencial por EMCALI.

Nota 2: Los activos declarados en un principio por EMCALI y sobre los cuales se realizó un análisis a fin de actualizar su estado dentro del inventario de activos, no serán tenidos en cuenta dentro del alcance certificable anteriormente propuesto, es decir que los 147 activos de información que fueron levantados en un principio por EMCALI no serán tenidos en cuenta, ya que tal cantidad de activos de información dispuestos para aseguramiento, generaría un desgaste inmenso para la organización y el objetivo de obtener la certificación en la norma ISO/27001 podría llegar a no materializarse.

Nota 3: Los seis activos de información (Aplicación, Base de datos 1, Base de datos 2, Base de datos 3, Servidor 1, servidor 2) declarados como el nuevo alcance certificable para el proyecto SGSI, se encuentran sujetos para el presente proyecto, a limitaciones en cuanto al detalle de su información, debido a que estos activos son considerados por EMCALI como críticos y cualquier tipo de divulgación de información no autorizada por la empresa es considerada como un incidente de seguridad, el cual pondría en riesgo la confidencialidad, integridad, disponibilidad y trazabilidad del activo de información y por ende la EMCALI se vería afectada de manera negativa en sus intereses.

Descripción de los activos embebidos en el alcance certificable.

A continuación se presenta la descripción de cada uno de los activos de información relacionados en el alcance certificable:

o Aplicación.

Activo de información el cual Permite a los usuarios autorizados consultar, adicionar, modificar información y ejecutar funcionalidades que permitan obtener resultados de interés para un determinado proceso.

o Base de datos 1.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; La Información contenida en esta base de datos debe ser

79

protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales"), para el presente activo de información existe una oportunidad de mejora de poder actualizar el motor de la base de datos, ya que en la actualidad el motor de la base de datos se encuentra operando bajo una versión desactualizada y ello podría acarrear problemas de soporte por parte del proveedor.

o Base de datos 2.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; el presente activo de información también posee información de la gerencia financiera como lo son estados de cuentas, pago a proveedores y nómina de los empleados de EMCALI. La Información contenida en esta base de datos debe ser protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales").

o Base de datos 3.

Base de datos que contiene información confidencial del negocio e información personal de los clientes; el presente activo de información también posee información concerniente a la genérica de gestión humana y administrativa de EMCALI, en la cual se involucra la información personal de todos los funcionarios públicos de la empresa así como también información concerniente a practicantes y contratistas. La Información contenida en esta base de datos debe ser protegida a fin de cumplir con disposiciones legales establecidas por el Gobierno de la Republica Colombia, disposiciones las cuales tienen por exigencia proteger la información personal de los Clientes, Trabajadores y Proveedores "Ley 1266 de 2008 Habeas Data y Ley Estatutaria 1581 de 2012 Protección de datos personales").

o Servidor 1.

Servidor de alta disponibilidad que aloja la base de datos 1, base de datos la cual almacena información sensible del sistema de información CORE del Negocio. Soportar física, operativa y tecnológicamente la base de datos del sistema

80

comercial de EMCALI, manteniendo la información de la base de datos de manera confidencial, integra y siempre disponible para las personas autorizadas.

o Servidor 2.

Servidor de alta disponibilidad que aloja la base de datos 2 y 3, bases de datos las cuales almacenan información sensible del sistema de información CORE del Negocio. Soportar física, operativa y tecnológicamente la base de datos del sistema comercial de EMCALI, manteniendo la información de la base de datos de manera confidencial, integra y siempre disponible para las personas autorizadas.

7.2. INVENTARIO DE ACTIVOS

7.3.1 Campos de información a asociar al inventario. Respecto a los campos de información se considera adecuada la asociación al inventario de activos, de cada uno de los campos definidos por EMCALI, pero a raíz de la observación y análisis del inventario de activos de información se ha podido evidenciar oportunidades de mejora las cuales permitirán mejorar la calidad de la información que proporciona el inventario de activos al personal el cual lo administra.

A continuación se presentan los campos de información que se sugieren como oportunidad de mejora a integrar al inventario de activos de información:

• Función del Activo , campo de información en el cual se detallara concretamente la funcionalidad del activo de información al interior de EMCALI. • Personal administrador , Campo de información en el cual debe registrarse el nombre de la o las personas que administran o son líderes técnicos para el activo de información. • Datos de Contacto , Campo de información en el cual deben disponerse los datos del personal administrador o lideres técnicos para el activo, a fin de tener a disposición información que contribuya a la ubicación del personal en caso de presentarse una duda, fallo o incidente de seguridad respecto a un activo. • Oportunidades de mejora , Campo de información en el cual se dispondrán para registro las vulnerabilidades más inmediatas a tratar para la seguridad del activo. • Gestión de vulnerabilidades , Campo de información en el cual se consolidan los esfuerzos que se están realizando para cubrir las vulnerabilidades detectadas.

81

El producto consolidado como inventario de activos se encuentra adjunto como anexo al presente documento, Observar Anexo A documento inventario de activos.

7.2 MATRIZ DE RIESGOS

El producto consolidado bajo el Nombre Matriz de riesgos se encuentra adjunto como anexo al presente documento, Observar Anexo A documento matriz de riesgos.

7.3 CONTROLES SUGERIDOS PARA MINIMIZAR EL RIESGO

Definidos los activos de información e identificadas sus riesgos, vulnerabilidades, amenazas y riesgo residual a partir del análisis de los controles que EMCALI tiene actualmente definidos para mitigar el riesgo que existe sobre estos, se a logrado determinar que el nivel de riesgo residual que tienen los activos respecto a su confidencialidad, integridad, disponibilidad y trazabilidad no se encuentra en el nivel de tolerancia o aceptación definido por EMCALI, debido a que ningún activo se encuentra en un nivel de residual Bajo, por lo cual EMCALI debe considerar Asumir el riesgo, Mitigar, Transferir o en un caso extremo y poco habitual eliminar el activo. .

Considerando el nivel de riesgo residual de los activos de información se presenta a como recomendación a EMCALI la implementación de los siguientes controles sugeridos por la Norma ISO/27001 Anexo A, a fin de mitigar el riesgo con la puesta en operación de los mismos.

7.3.1 Controles.

• Uso aceptable de los activos , Control mediante el cual la empresa puede formar criterios y disposiciones organizacionales respecto a la seguridad de los activos de información y la manera en la cual los empleados deben emplear los recursos de información de la empresa.

82

• Concienciación, formación y capacitación en seguridad de la información , Control mediante el cual se permite formar y concientizar a los empleados respecto a la importancia de la seguridad de la información y poder mantener los activos de información respecto a su confidencialidad, integridad, disponibilidad y trazabilidad. • 8Responsabilidad del cese o cambio , Control mediante el cual la empresa declara responsabilidades respecto al cambio de perfil de un empleado o la baja de su usuario y credenciales de acceso ante un posible retiro del empleado de la empresa. • Devolución de activos , Control mediante el cual la empresa pude establecer procedimientos mediante los cuales, los activos pertenecientes a la empresa que se encuentren asignados a un empleado puedan ser reintegrados a la organización ante un cambio de rol del empleado o un posible retiro de la empresa. • Retirada de los derechos de acceso , Control mediante el cual la empresa puede formular procedimientos mediante los cuales, el empleado responsable de los retiros de acceso de un usuario puede efectuar correctamente la retirada de los privilegios de acceso de un empleado a determinados sistemas de información de la organización, los procedimientos pueden efectuarse bajo el supuesto de cambio de rol del empleado, retiro del empleado de la organización, retiro de los privilegios por motivo de investigaciones entre otros supuestos que EMCALI considere apropiados tener en cuenta para el retiro de los derechos de acceso. • Gestión de capacidades , Control el cual se encuentra enfocado a determinar la capacidad de los sistemas de información, bases de datos, servidores e infraestructura de redes y comunicaciones a fin de soportar con calidad las demandas de los usuarios asociados a la organización. • Controles de red , Control el cual sugiere la implementación de mecanismos de control de red, los cuales permitan controlar el acceso a los recursos de red y el monitoreo de los mismos, a fin de evitar incidentes de seguridad que pongan en riesgo la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información. • Seguridad en los servicios de red , Control mediante el cual se sugiere la implementación de disposiciones de seguridad la cual permita mantener la confidencialidad e integridad de los servicios prestados por la empresa y de la información que por ellos fluye. • Supervisión del uso del sistema , La empresa debe mantener la supervisión de sus sistemas de información a fin de evitar y conocer posibles afectaciones de los usuarios hacia la información que en los sistemas reposa. • Gestión de privilegios , Control mediante el cual la empresa puede conformar un proceso de segregación de funciones el cual contribuya a determinar los privilegios que los usuarios requieren para el adelanto de sus responsabilidades laborales. • Gestión de contraseñas de usuarios , Mediante la conformación de un proceso informático el cual regule la conformación de contraseñas se puede

83

disminuir la probabilidad de que los usuarios diseñen contraseñas con una seguridad baja. • Revisión de los derechos de acceso de usuarios , Disponer de un control mediante el cual se revise si un usuario tiene más privilegios de los que debería tener asignados, ya que esto representa un riesgo de fuga de información y de alteración de información sensible. • Restricción del acceso a la información , determinar qué información tienen derechos los usuarios de consultar. • Identificación de la legislación aplicable , la identificación de la legislación aplicable y vigente es un factor de importancia considerable y el cual se debe tener claro a fin de encontrarse conforme con las disposiciones legales del estado para de esta manera evitar ser objeto de multas y sanciones. 7.4 METODOLOGÍA PARA LA ACTUALIZACIÓN DEL INVENTARIO DE

ACTIVOS

La actualización de inventario de activos de información una actividad de vital importancia para EMCALI, puesto que determina que activos de información ya no deben ser considerados dentro del inventario de activos de información, y posteriormente indagar que nuevos activos se han vinculado a EMCALI y que requieran de un control sobre ellos, ya que estos pueden comprometer la confidencialidad, integridad, disponibilidad y trazabilidad, y por ende deben ser vinculados al inventario de activos de información.

La información puede estar representada en diferentes formas (impresa, en sistemas de información computacionales, en imágenes, etc.) y tiene, además, un ciclo de vida que cuenta con diferentes etapas (creación, procesamiento, uso, almacenamiento, transmisión y destrucción); independiente de su representación y de la etapa en que se encuentra, la información debe ser protegida adecuadamente, de acuerdo con su nivel de confidencialidad, integridad y disponibilidad.

La metodología que se presenta como sugerencia para realizar la actividad de actualización de inventario y clasificación de activos de información se encuentra dividida en tres (3) etapas:

84

7.4.1 Etapa número uno, activos a dar de baja.

o Indagar: corresponde al proceso de identificación, comprobación, y valoración de activos de información, que se considera que ya no representen un riesgo para las actividades empresariales de EMCALI, o su ciclo de vida ya ha concluido y ya no se encuentran vinculados a los procesos empresariales de EMCALI.

o Dar de baja: actividad correspondiente a desvincular del inventario los activos de información que previamente han sido identificados, comprobados, y valorados en la etapa de escrutinio, ya que se ha determinado que estos activos de información ya no representan un riesgo para las actividades empresariales de EMCALI.

7.4.2 Etapa número dos, actualizar valoración de criticidad.

o Actualizar: es el proceso mediante el cual se evalúan los activos que han quedado incluidos en el inventario luego de realizar la acción de dar de baja, este proceso tiene como objetivo examinar si el nivel de criticidad que se ha definido para los activos en un pasado sigue siendo acertado o si este ha sufrido cambios en el tiempo. o Traslado de activos de información: actividad mediante la cual un activo de información inventariado cambia de ubicación, pero sin cambiar de departamento al cual se encuentra vinculado. o Traspaso de activos de información: actividad mediante la cual un activo de información inventariado cambia de departamento responsable del activo a otro.

7.4.3 Etapa número tres, activos a dar de alta.

o Análisis de activos de información: corresponde a las actividades de la identificación, caracterización y valoración de activos de información nuevos, que dependiendo del impacto y la importancia que estos puedan generar a las

85

actividades empresariales de EMCALI, requieren un control continuo para minimizar los riesgos que existen sobre estos. o Dar de alta: actividad correspondiente a vincular al inventario los activos de información que previamente han sido identificados, caracterizados, y valorados en la etapa de análisis de activos de información, ya que se ha determinado que estos activos de información representan un riesgo para las actividades empresariales de EMCALI, y requieren de medidas que minimicen el riesgo sobre estos.

o Clasificación de activos de información y valor total del Activo : corresponde a la definición del sistema de clasificación y la clasificación de los activos de información de acuerdo a este sistema. El sistema de clasificación fue revisado y aprobado por el Comité de Gerencia de GTI. El sistema de clasificación contempla la Confidencialidad, Integridad, Disponibilidad y Trazabilidad del activo de información, de acuerdo con el impacto que puede generar la pérdida de alguna de éstas propiedades.

Dentro de la etapa número dos, se vinculan dos procesos adicionales los cuales son los siguientes:

86

7.4.4 Etapa número 1, Activos a dar de baja.

7.4.4.1 Indagar. La actividad de indagar consiste en poder conocer información del estado de los activos de información incluidos previamente en el inventario, esto con el fin de poder determinar si los activos incluidos en el inventario realmente son de gran relevancia para las actividades empresariales de la organización, esto con el fin de garantizar la confidencialidad, integridad y disponibilidad del activo de información.

La actividad de indagar también nos permitirá ahorrar esfuerzo en el control de riesgos sobre los activos de información, ya que con la implementación de esta actividad, en el inventario de activos de información solo tendremos activos que se ha comprobado y corroborado que requieren de atenciones de control especiales. Si no se implementara esta actividad se estarían haciendo esfuerzos en el control de los activos de información, sin conocer realmente si dichos activos son realmente indispensables para el funcionamiento empresarial de EMCALI.

Para efectuar la actividad de indagar se deben tener en cuenta la información pertinente a cada activo de información, con el fin de conocer si un activo debe ser desvinculado del inventario de activos de información.

o El activo de información es vital para la actividad empresarial de EMCALI. o El activo es de carácter • Público • Semiprivado • Privado

87

o El ciclo de vida del activo de información es:

• Temporal. • extenso. • indefinido.

o El activo de información requiere cuidados especiales como:

• Mantenimiento. • Almacenar en medios especiales como cajas fuertes o entornos con temperaturas controladas. • Monitoreo continuo. • Acceso restringido.

o Medio en el cual se encuentra contenido el activo de información.

• Digital • Físico

o El activo de información puede ser transferido de un área a otra.

o El activo de información puede ser trasladado de un lugar a otro dentro de la misma área propietaria del activo de información.

o Indicar las vulnerabilidades actuales del activo.

o Indicar las amenazas actuales a las que se ve sometido el activo.

o Indicar el nivel de riesgo que corre actualmente el activo de información y describirlo.

88

o Tipo de baja.

Cuadro 12. Tipo de Baja CODIGO EVENTUALIDAD CODIGO EVENTUALIDAD

B1 Venta. B4 Robo. B2 Inservible. B5 Despido.

B3 Perdida. B6 Termino del ciclo de vida de la información.

NOTA: la selección de cualquier eventualidad de tipo de baja, debidamente justificada, considerara la baja inminente del activo de información del inventario de activos de información.

• Venta.

Para la eventualidad de venta se debe anexar la información de la venta como copia del documento de identidad de la persona a la cual se le vendió el activo de información, y el documento que certifique que la venta se realizó correctamente.

• Inservible.

Se debe indicar en un documento, la revisión que se ha realizado sobre el activo la cual llevo a determinar que el activo de información se encuentra en un estado inservible.

• Perdida.

Debe contener la explicación del porque el activo de información no tiene una ubicación determina en la cual se le pueda localizar, se debe anexar quien es el propietario y el custodio del activo de información.

• Robo.

Debe contener el documento con la denuncia ante las autoridades, del robo del activo de información, se debe anexar quien es el propietario y el custodio del activo de información.

• Despido.

89

Se debe detallar el motivo por el cual se realizó el despido del funcionario de EMCALI, se debe incluir el documento que corrobore el correcto despido del funcionario.

7.4.4.2 Dar de Baja. Es la desvinculación de un activo de información del inventario de activos de información, este proceso se lleva a cabo gracias al proceso anteriormente indicado (indagar), el cual permite conocer si un activo candidato a salir del inventario.

Para la correcta desvinculación de un activo de información del inventario de activos de información, se deberá hacer uso de un formato de desvinculación (Formato de baja y Alta, Observar Anexo B) , el cual deberá ser diligenciado por el área a cargo del activo de información, este formato cuenta con los siguientes campos de información:

• Identificar el tipo de proceso: esta actividad se llevara a cabo marcando con una “X” , el tipo de procedimiento que se quiere llevar a cabo, en este caso se macara con una “X” el ítem de dar de baja. • Código del activo: se debe incluir en el formato de dar de baja el código del activo de información que se quiere desvincular del inventario de activos de información. • Inventario al que pertenece: se debe indicar el inventario al cual pertenece el activo de información código o nombre de inventario. • Fecha de baja: se debe indicar la fecha en la cual se realiza la desvinculación del activo de información del inventario de activos de información. • Tipo de baja: se debe incluir el código de tipo de baja, el cual se señaló en el cuadro de tipo de baja, de la etapa de indagar. Este campo solo se debe diligenciar solo si, se señaló alguna eventualidad de baja en la etapa de indagar • Tramite de proceso de baja: este proceso se debe llevar acabo ante el administrador del inventario de activos de información, este trámite debe estar acompañado del formulario de desvinculación de activos de información (formulario de baja). Luego de presentar esta solicitud de baja el administrador del inventario debe aprobar la solicitud y posteriormente archivar este formato en el lugar dispuesto para llevar el debido control documental de las acciones de baja de activos, dando cumplimiento al archivado de la solicitud se procederá a desvincular del inventario de activos al activo en cuestión.

7.4.5 Etapa Numero Dos

90

7.4.5.1 Actualizar valor de Criticidad. El desarrollo de esta actividad involucra realizar una actividad de análisis, la cual permita evidenciar si la valoración de criticidad que se encuentra asociada a los activos es la adecuada o no, dicho análisis parte de conocer los procesos en los cuales se encuentra involucrados los activos, conocer si la cantidad de personas que hacen uso del activo es grande o pequeño, conocer el tipo de información que contiene el activo, conocer el control de acceso que se tiene del activo, y conocer la importancia actual que tiene el activo para las actividades empresariales de EMCALI.

7.4.5.2 Traslado de Activos de Información. Esta etapa se debe desarrollar en el caso que se desee efectuar un cambio de ubicación física o digital del activo de información que se contiene en un área organizacional del GTI, a fin de efectuar el traslado de un activo de información se recomienda que se ha diligenciado el formato de traslado y traspaso de activos (Observar Anexo C), formato del cual a continuación se presenta la descripción de sus campos de información.

• Identificación del proceso: se debe marcar con una “X” la casilla de traslado. • Descripción del activo de información: se indicara el código que tiene el activo de información dentro del inventario y a esa información se debe agregar una breve descripción del activo de información. • Código del activo: se deberá asignar un código al activo de información a incluir en el inventario. • Inventario al que pertenece: se debe indicar el inventario al cual pertenece el activo de información código o nombre de inventario. • Área contenedora: se debe indicar el área en la cual se encuentra contenido el activo de información. • Ubicación origen: corresponde a la ubicación original del activo de información. • Ubicación destino: corresponde a la nueva ubicación en la cual estará alojado el activo de información. • Tramite de traslado de activos de información: este proceso se debe llevar acabo ante el ente el encargado de manejar el inventario de activos de información, este trámite debe estar acompañado del formulario de traslado de activos de información. Luego de presentar esta solicitud de traslado, el encargado del manejo del inventario de activos de información, debe registrar su firma en el formulario de traslado, indicando que ha recibido la solicitud de traslado de activos de información, también se debe contar con la fecha de recepción de la solicitud de traslado de activos de información y la fecha en la que se hace efectivo el traslado del activo de información a su nueva ubicación detallada en el inventario, el traslado de dicho activo de información debe realizarse inmediatamente se

91

reciba la solicitud de traslado de activo de información, por ello la fecha de radicado de la solicitud de traslado de activo de información, debe ser la misma que la fecha de procesada la solicitud.

7.4.5.3 Traspaso de activos de información. Este procedimiento se materializa cuando se pretende cambiar un activo de información de un área organizacional a otra, lo cual implicaría un posible cambio de ubicación dentro del GTI y un cambio de propietario y pueda ser que también de custodio, a fin de efectuar el traspaso de un activo de información se recomienda que se ha diligenciado el formato de traslado y traspaso de activos (Observar Anexo C ), formato del cual a continuación se presenta la descripción de sus campos de información.

• Identificación del proceso: se debe marcar con una “X” la casilla de traspaso. • Descripción del activo de información: se indicara el código que tiene el activo de información dentro del inventario y a esa información se debe agregar una breve descripción del activo de información. • Código del activo: se deberá asignar un código al activo de información a incluir en el inventario. •••• Inventario al que pertenece: se debe indicar el inventario al cual pertenece el activo de información (código o nombre de inventario). •••• Área contenedora inicial: se debe indicar el área original en la cual se encuentra alojado el activo de información. •••• Departamento y Área contenedor destino: se debe indicar el departamento y área destino en la cual se va a encontrar alojado el activo de información. •••• Custodio inicial: se debe indicar el custodio original o inicial, encargado de proteger el activo de información. •••• Custodio final: se debe indicar el nuevo custodio del activo de información. •••• Tramite de traspaso de activos de información: este proceso se debe llevar acabo ante el ente el encargado de manejar el inventario de activos de información, este trámite debe estar acompañado del formulario de traspaso de activos de información. Luego de presentar esta solicitud de traspaso, el encargado del manejo del inventario de activos de información, debe registrar su firma en el formulario de traspaso, indicando que ha recibido la solicitud de traspaso de activos de información, también se debe contar con la fecha de recepción de la solicitud de traspaso de activos de información y la fecha en la que se hace efectivo el traspaso del activo de información a su nueva área organizacional, ubicación final, y custodio detallada en el inventario, el traspaso de dicho activo de información debe realizarse inmediatamente se reciba la solicitud de traspaso de activo de información, por ello la fecha de radicado de la solicitud

92

de traspaso de activo de información, debe ser la misma que la fecha de procesada la solicitud.

7.4.6 Etapa número tres.

7.4.6.1 Análisis Activos de Información. La actividad de análisis de activos de información, consiste en determinar que nuevos activos se han vinculado a los departamentos que conforman el GTI (Gerencia de TI, Sistemas de Información, Operaciones, Planeación Tecnológica) esto con el fin de poder determinar que activos de información son candidatos a ser vinculados al inventario de activos de información de un departamento en especial.

Este procedimiento se realiza con el fin de poder garantizar que todos los activos de información que son de vital importancia para la actividad empresarial de EMCALI, sean incluidos en el inventario de activos de información, con el fin de implementar sobre estos tareas de control que permitan minimizar los riesgos sobre estos, y de esta manera garantizar la Confidencialidad, Integridad, Disponibilidad y Trazabilidad de los activos de información.

Dicho proceso Corresponde a las actividades de identificación, caracterización y valoración de los activos de información, que dependiendo del impacto y la importancia que estos puedan generar a las actividades empresariales de EMCALI, requieren un control continuo para minimizar los riesgos que existen sobre estos, y poder de esta manera garantizar Confidencialidad, Integridad, Trazabilidad y Disponibilidad.

Para garantizar un correcto análisis de los activos se sugiere conocer lo siguientes datos sobre los activos de información:

o Indicar el carácter de la información que se ve incluida en el activo de información. • Público. • Semiprivado. • Privado. o Indicar la importancia del activo para la empresa. • De poco interés • Interés medio • Vital

93

o El ciclo de vida del activo de información es: • Temporal. • Extenso. • Indefinido. o El activo de información contiene información personal: • Publica. • Semiprivada. • Privada. o El activo de información requiere cuidados especiales como: • Mantenimiento. • Almacenar en medios especiales como cajas fuertes o entornos con temperaturas controladas. • Monitoreo continuo. • Control de acceso. o Medio en el cual se encuentra contenido el activo de información. • Digital • Físico o Indicar las vulnerabilidades del activo. o Indicar las amenazas a las que se ve sometido el activo. o Describir el riesgo que corre el activo de información. 7.4.6.2 Dar de Alta. Permite la vinculación de activos de información al inventario de activos de información, para la correcta vinculación de un activo de información al inventario de activos de información, se recomienda hacer uso del formato de vinculación de activos de información (Formato de Baja y Alta, Observar Anexo B ), dicho formato de vinculación deberá contener las siguientes instrucciones:

94

o Identificar el tipo de proceso: Esta actividad se llevara a cabo marcando con una “X” , el tipo de procedimiento que se quiere llevar a cabo, en este caso se macara con una “X” el ítem de dar de alta. o Código del activo: Se deberá asignar un código al activo de información a incluir en el inventario. o Inventario al que pertenecerá: Se debe indicar el inventario al cual pertenecerá el activo de información código o nombre de inventario. o Fecha de alta: Se debe indicar la fecha en la cual se realiza la el proceso de vinculación del activo de información al inventario de activos de información. o Etiquetado: Se procederá a realizar la etiqueta del activo de información teniendo en cuenta los parámetros para el etiquetado del activo respecto a su criticidad (Confidencialidad, Integridad, disponibilidad y trazabilidad). o Descripción: Se debe indicar una breve descripción del activo de información a incorporar al inventario, dependiendo del tipo de activo se debe indicar la marca, modelo, y número de serie. o Modo de adquisición: se deberá indicar el tipo de vinculación del activo con EMCALI, de acuerdo a los siguientes parámetros establecidos:

Cuadro 13. Modo de adquisición del activo

CODIGO TIPO DE INCORPORACION CODIGO TIPO DE

INCORPORACION A1 Compra A4 alquiler A2 cesión A5 Producto intelectual A3 contratación A6 Firma de contrato

NOTA: la selección de alguno de estos tipos de incorporación deben, estar debidamente justificada para efectos de claridad en su vinculación al inventario de activos de información.

Compra.

Se debe anexar el comprobante de compra del activo de información.

Cesión.

Se debe indicar la persona, fundación, asociación u organización, que cede el activo de información a EMCALI, se debe anexar un documento que conste que los activos de información recibidos en cesión, fueron debidamente incorporados a EMCALI.

Contratación.

95

Detallar el proceso de vinculación de la persona que será considerada como activo de información, mediante una copia del contrato de vinculación a EMCALI.

Alquiler.

Comprobar por medio de una copia del contrato de alquiler, la vinculación activo de información a la empresa.

o Tramite de proceso de alta: este proceso se debe llevar acabo ante el administrador del inventario de activos, este trámite debe estar acompañado del formulario de vinculación de activos de información (formulario de alta). Luego de presentar esta solicitud de alta el administrador del inventario de activos de información, debe registrar su firma en el formulario de alta, indicando que ha recibido la solicitud de alta, también se debe contar con la fecha de recepción de la solicitud de alta, y la fecha en la que se hace efectiva la vinculación del activo de información al inventario de activos de información, la vinculación de este activo debe realizarse inmediatamente se reciba la solicitud del formato de alta, por ello la fecha de radicado de la solicitud de vinculación del activo al inventario, debe ser la misma que la fecha de procesada la solicitud.

7.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIÓN

7.5.1 Políticas de Seguridad de la Información.

� Objetivo.

Proveer directrices de seguridad de la información con las cuales se Proteja y preserve la seguridad de los activos respecto a la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información.

� Alcance.

Esta política se aplica a todos los funcionarios públicos, consultores, personal temporal y contratistas los cuales hacen uso de los activos de información de EMCALI con fines laborales.

Se presentan a continuación una serie de numerales en los cuales se disponen una serie de políticas de seguridad de la información, pensadas en asegurar los activos de información a partir de directrices y comportamientos que guíen las

96

acciones de los empleados respecto al uso aceptable que deben de hacer de los activos de información.

7.5.2 Políticas Generales

o Los recursos, herramientas y privilegios que EMCALI otorgue a sus empleados son de uso exclusivo para el adelanto de sus procesos y actividades laborales. o Los activos de información de EMCALI solo pueden ser utilizados con fines empresariales. o La información que se derive del trato con terceros, debe ser contemplado como un activo de información a asegurar. o Debe asegurarse que toda información considerada como crítica por parte de EMCALI, cuente con mecanismos que permitan recuperar el activo en caso de suceder algún incidente de seguridad. o El acceso al centro de cómputo debe considerarse como restringido, respecto a la importancia que tiene para el procesamiento de la información, prestación de servicios y almacenamiento de información. o El acceso y permanencia en el centro de cómputo debe contar con mecanismos que permitan el registro, monitoreo y supervisión de las acciones del personal que acceda a este espacio. o El acceso a estaciones de trabajo y sistema de información, debe contemplarse bajo mecanismos de autentificación, los cuales solo permitan el acceso al personal autorizado para hacer uso de estos. o Se considera como falta a las políticas de seguridad de la información, el uso no adecuado de los activos de información y de los recursos de EMCALI. las acciones consideradas como no apropiadas para el mantenimiento de la seguridad de los activos, se ven reflejadas en las conductas que se presentan a continuación: • Suministrar información confidencial a una persona ajena a la empresa. • Hacer uso de la información de la empresa con fines de lucro personal o de terceros. • Alterar información con fines de ocultar alguna situación anormal. • Divulgar información sin tener el consentimiento y debida autorización. • Hurtar información, software o equipos de cómputo. • Realizar copias no autorizadas de documentos y software.

97

• Realizar acciones de extorción, amenazas con la finalidad de obtener información por parte de otro funcionario. • Hacer uso indebido del usuario administrador. • Instalar en los computadores software sin la debida autorización. • Instalar software malicioso (software espía, keylogger, virus entre otros). • Reubica equipos de cómputo, archivadores, servidores entre otros activos, sin la debida autorización. • Violar los controles de seguridad para obtener acceso a espacios restringidos o sitios de internet. • Realizar la captura de las tramas de información del tráfico de la red. • Envió de mensajes o correos electrónicos fraudulentos a nombre de EMCALI. • Vulnerar la propiedad intelectual de algún otro empleado, mediante acciones que impliquen el robo de información o plagio de la misma. • Perjudicar las actividades operativas de EMCALI, a través de la infección de los sistemas de información con virus informáticos. • Publicar en medios de información de acceso libre como la Internet, información confidencial de EMCALI.

7.5.3 Políticas Específicas. Las políticas específicas constituyen una parte fundamental en la construcción de directrices y comportamientos a los cuales deben ceñirse las acciones de los empleados, con el fin de que ellos hagan un buen uso de los activos de información y de los recursos sobre los cuales se encuentran soportados los procesos productivos de la empresa.

Las políticas específicas buscan detallar aspectos puntuales del uso de los activos de información, como también del uso de recursos que facilitan la operación y comunicación al interior de la empresa, estas políticas involucran todos aquellos activos y recursos que por el dinamismo e importancia que representan para EMCALI, requieren un nivel mucho más especializado al declarar cual es la forma apropiada de hacer uso de ellos, esto permitirá corregir aspectos en los cuales se ha identificado que se requiere por parte de los empleados una mayor atención en el uso de los activos.

Las políticas específicas contemplan aspectos como:

• Políticas Para el Uso Adecuado del Correo Electrónico. • Políticas de Uso de Estaciones de Trabajo. • Políticas de Uso de Cuentas de Usuario y Contraseñas.

98

• Políticas de Disponibilidad de la Información.

7.5.3.1 Políticas Para el Uso Adecuado del Correo Electrónico.

• Objetivo.

Establecer las directrices y comportamientos a seguir por las personas que hacen parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los cuales se encuentran, empleados nombrados, contratistas entre otros, a los cuales se les haya adjudicado una cuenta de correo electrónico corporativo de EMCALI, para la mejora de la mejora de las comunicaciones al interior de la organización.

• Alcance.

La política se encuentra acotada a todo empleado que tenga bajo su responsabilidad una cuenta de correo electrónico corporativo de EMCALI, haga empleo de ella dentro o fuera de empresa, en horario laboral o no laboral o días hábiles o festivos.

• El correo electrónico corporativo es una herramienta de comunicación provista por EMCALI, para la facilitar la difusión e intercambio de información laboral entre los empleados, esta herramienta no debe ser usada por los empleados como un medio de difusión de cualquier tipo indiscriminado de información, ya que esta herramienta tiene propósitos estrictamente laborales. • La solicitud de correo electrónico para la asignación de una cuenta de correo para un empleado, debe tramitarse mediante una solicitud formal la cual será radicada ante el departamento responsable de la administración del correo electrónico. • La cuenta de correo electrónico que sea asignada a un usuario es de carácter personal e intransferible, la cuenta de correo se encuentra estructurada conforme a las directrices empresariales que se hayan definido por la empresa como lo son un nombre de usuario (letra inicial del primer nombre de la persona seguido del apellido, en caso que esta asociación coincida con otra que ya se encuentre establecida, se deberá buscar una asociación que única para la persona que hace la solicitud de correo) seguido del dominio de la cuenta de correo (@emcali.com.co) • Los empleados deben comprometerse a hacer buen uso del correo electrónico tanto dentro de EMCALI como por fuera de EMCALI y en horarios laborales como en horarios no laborales.

99

• Una vez sea asignado una cuenta de correo electrónico al empleado, este deberá cambiar la contraseña que el departamento responsable de la administración del correo le ha asignado por defecto, esta acción puede ser realizada por el empleado tantas veces el considere necesario cambiarla, ya que el empleado es el responsable de mantener la confidencialidad de la información que en su correo electrónico se almacene. • El empleado que tenga el privilegio de hacer uso del correo electrónico corporativo, es el único responsable de los correos electrónicos enviados en su nombre, por lo tanto EMCALI no se hace responsable de las actividades o acciones que el empleado haga a través del este medio, EMCALI solo podrá tomar sobre el empleado, la aplicación de las acciones disciplinarias que se consideren adecuadas respecto a la falta que haya cometido el empleado. • No enviar información sensible a través del correo electrónico. • No enviar mensajes que puedan ocasionar un efecto de cadena en los empleados. • Utilizar el correo electrónico como una herramienta de trabajo y no como un recurso para la distracción personal. • Debe mantener de manera confidencial el usuario y la clave de acceso al correo electrónico. • Evitar enviar correos a personas que no tengan ningún vínculo laboral con usted. • No se debe distribuir material considerado como obsceno a través del correo electrónico. • Se debe evitar enviar material que pueda herir la susceptibilidad de las personas que laboran en EMCALI. • Evitar la participación en la masificación de correos de tipo cadena. • El empleado debe evitar dejar el correo electrónico abierto en caso de que tenga que ausentarse del puesto de trabajo. • El empleado debe hacer uso de carpetas personales con la finalidad de almacenar los correo en una carpeta dentro del equipo de cómputo y de esta manera poder liberar recursos en la base de datos. • Los correos electrónicos que sean considerados de gran importancia por el empelado deben ser almacenados en medios seguros que se encuentren por

100

fuera de los recursos de almacenamiento del correo electrónico, y luego de esto deberá procederse a la eliminación de estos del correo. • Los correo que el empleado envié deben contener la firma del empleado (incluir al final de correo el nombre del empleado, Gerencia a la cual pertenece, cargo que ostenta dentro de la organización y el número de la extensión en la cual puede ser ubicado). • Evite enviar los mensajes con la opción de respuesta de envió de recepción exitosa y confirmación de lectura, a menos que sea un mensaje que amerite la importancia suficiente para habilitar estas opciones, ya que la confirmación de recepción y de lectura causan congestión en la red.

7.5.3.2 Políticas de Uso de Estaciones de Trabajo.

� Objetivo.

Establecer las directrices y comportamientos a seguir por las personas que hacen parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los cuales se encuentran, empleados nombrados, contratistas entre otros, con el fin de que ellos a través de sus acciones laborales logren preservar la confidencialidad, integridad, disponibilidad y trazabilidad de los activos de información.

� Alcance.

La política se encuentra acotada a todo empleado, no importa la distinción (contratista o funcionario público), y cualquier otra persona que tenga acceso y haga uso de los sistemas de información de EMCALI y estaciones de trabajo.

• Proteger las estaciones de trabajo bajo la implementación de sistemas de usuarios y contraseñas, los cuales permitan el acceso solo a la persona autorizada. • Ante la ausencia del empleado de su estación de trabajo, el empleado deberá dejar su equipo de cómputo con la pantalla bloqueada si tiene algún proceso que no haya finalizado o dejar el equipo con la sección concluida si el empleado considerase que es necesario. • Revisar los componentes periféricos del equipo al inicio de labores, con la finalidad de conocer si hay elementos anómalos integrados a este.

101

• Cerrar la sección de usuario al término del día laboral. • Cada Gerencia debe velar por mantener espacios seguros de almacenamiento de información documentada en medio físico (papel). • Almacenar en espacios seguros (archivadores accesibles con llave, gabinetes entre otros) los documentos que representen interés para EMCALI y que no se encuentren siendo utilizados por los empleados durante su jornada laboral, también deben considerarse apropiado almacenar los documentos luego de finalizada la jornada laboral. • Debe llevarse un registro histórico de las solicitudes de los empleados para el acceso a los documentos contenidos en los diferentes medios de almacenamiento seguros, incluyendo la fecha de solicitud, la documentación solicitada, la justificación de uso, tiempo en el cual el documento estuvo bajo la responsabilidad del empleado y la fecha de entrega del documento para su almacenamiento. • Bloquear mediante un usuario y contraseña los dispositivos de impresión y escaneo de documentos, con la finalidad de que solo personal autorizado tenga acceso a este tipo de recursos. • Bloquear dispositivos de escaneo y de impresión de documentos en horarios que se consideren como no habituales para este tipo de acciones. • Los empleados deben mantener el escritorio de su computador libre de cualquier carpeta o documento, este tipo de recursos deben mantenerse almacenados dentro de carpetas propias del sistema o en los diferentes discos en los cuales fue partido el disco duro para el almacenamiento de la información, con la finalidad de que en caso de un descuido por parte del empleado responsable del equipo, la información no quede visible en un primer plano de acceso al equipo y de esta manera se pueda dificultar un poco la búsqueda y obtención de la información a alguna persona malintencionada. 7.5.3.3 Políticas de Uso de Cuentas de Usuario y Contraseñas

� Objetivo.

Dar a conocer las políticas para el uso de las cuentas de usuario y contraseñas, dispuestas por EMCALI para el acceso autorizado de los usuarios a los sistemas de información de EMCALI y estaciones de trabajo.

102

� Alcance.

La política se encuentra acotada a todo usuario que tenga bajo su responsabilidad una cuenta de usuario y una contraseña designada para el acceso a los sistemas de información y estaciones de trabajo.

• El uso de la cuenta de usuario y contraseña es responsabilidad exclusiva de la persona a la cual pertenece este recurso. • La cuenta de usuario es un recurso intransferible, por ello no se debe compartir la cuenta de usuario y contraseña con ninguna otra persona. • La cuenta de usuario y contraseña no debe encontrarse escrita en ningún lugar que se encuentre a la vista de empleados o visitantes. • La cuenta de usuario y contraseña debe resguardarse en un lugar en el cual solo tenga acceso la persona que es titular de la cuenta de usuario. • La contraseña no debe ser: una secuencia numérica (1234), el nombre de la persona titular de la cuenta de usuario, nombre de familiares, fechas de nacimiento, nombres de mascotas o cualquier otro tipo de información que está relacionada con la persona titular de la cuenta. • Se considera apropiado que hayan diferentes contraseñas para el acceso a diferentes sistemas de información o recursos de la empresa como el internet o correo electrónico. • EMCALI tiene la autoridad de deshabilitar la cuenta de usuario para el acceso a un determinado sistema de información o recurso de la empresa, si EMCALI considera que se pone en riesgo la confidencialidad, integridad, disponibilidad o trazabilidad de los activos de información. • La contraseña de usuario debe ser cambiada pasado un periodo de tiempo que EMCALI haya establecido como apropiado para que se efectué el proceso de cambio. • La contraseña para el acceso a un determinado sistema de información, será asignada por el departamento responsable de la administración de ese sistema de información en particular (la contraseña deberá darse a conocer al empleado en forma personal, con el fin de evitar que esta quede registrada en algún correo o comunicado escrito). • Debe hacerse una distinción sobre la cuenta de usuario normal y la cuenta de usuario administrador (Que privilegios diferencian una cuenta de la otra)

103

• Debe definirse que empleados tienen el privilegio de hacer uso de la cuenta de usuario administrador. • En caso de olvido de la contraseña, el empleado deberá acudir ante el departamento responsable de la administración del sistema de información o recurso, el cual el usuario haya olvidado la contraseña de acceso, para que le sea restablecida la contraseña. • Debe establecerse criterios para la construcción de contraseñas seguras. A continuación se presentan una serie de criterios los cuales deben ser establecidos por EMCALI para la consolidación de contraseñas seguras. • Determinar la longitud que debe tener la contraseña (se recomienda que sea de mínimo 8 caracteres). • Debe contener una combinación de mayúsculas y minúsculas, debe establecerse que cantidad de caracteres en mayúsculas se requieren (se recomienda que mínimo haya un carácter en mayúscula).

• EMCALI debe establecer si la contraseña debe contener o no caracteres especiales. Por ejemplo %, &, /, =, ?, ¡, etc.

7.5.3.4 Políticas de Disponibilidad de la Información.

� Objetivo.

Dictar las directrices bajo las cuales se garantice la disponibilidad de los activos de información, teniendo en cuenta el criterio de que un activos de información siempre debe estar disponible para un usuario el cual cuente con la autorización para el uso del mismo.

� Alcance.

Mantener la disponibilidad de los sistemas de información como también de estaciones de trabajo y recursos de información necesarios para el adelanto de actividades laborales por parte de los empleados.

• La información debe encuentre disponible para el empleado adecuada y en el momento que el empleado requiera hacer uso de esta. • Debe garantizar que la información que requieran los clientes se encuentre disponible en cualquier momento que estos deseen hacer la consulta de esta,

104

siempre y cuando estos se encuentren autorizados para hacer la consulta de la misma. • Los sistemas de pago y facturación deben estar disponibles 24/7 y en un nivel del 100% de funcionalidad. • Toda la información que es soportada por la infraestructura de red y por los sistemas de información, debe encontrarse almacenada y respaldada de acuerdo a las directrices de un procedimiento, en el cual se encuentre definida la forma en la cual se generara, se mantendrá en el tiempo y se distribuirá las copias de seguridad de la información en caso de que llegase a pasar un incidente de seguridad. • El almacenamiento de la información debe realizarse interna o externamente según lo considere EMCALI, respecto a la importancia y el nivel de riesgo que tiene la información.

7.5.4 Etiquetado de Activos de Información.El adelanto del control que hace referencia al etiquetado de activos y manejo de la información, presenta como antecedente a su desarrollo la identificación de los activos de información y la consolidación de estos dentro de una matriz de inventario de activos en la cual se haya establecido el nivel de criticidad de los activos entre otros factores de interés.

El cumplimiento de este control sugerido por la Norma ISO/27001 Anexo A, no tiene una directriz precisa la cual indique que acciones se deben emprender para dar cumplimiento a este control, sino que solo otorga el propósito con el cual debe fundamentarse la construcción de una solución con la cual se de cumplimiento al control y otorga libertad absoluta a la organización para que esta respecto a sus necesidades presente una solución la cual contribuya a dar cumplimiento a al mismo.

Conociendo el propósito con el cual la Norma/ISO 27001 Anexo A presenta como recomendación el control 7.2.2 Etiquetado y Manipulado de la Información , se presenta a EMCALI con el ánimo de coadyuvar en el cumplimiento del control una solución la cual surge del análisis previo del estado de la organización ante la seguridad de la información, análisis llevo a plantear el etiquetado de los equipo de cómputo de la gerencia de TI, reconociendo los equipos de cómputo como un recurso de relevante para el adelanto de labores operativas de la organización y en el cual se almacena gran cantidad de información de suma importancia para EMCALI.

105

7.5.4.1 Propósito de Seguridad Respecto al Etiquetado de Equipos Cómputo.El propósito de seguridad con el cual se sugiere el etiquetado de los equipos de cómputo, es que a partir de la etiqueta de marcado que se disponga sobre los equipos de cómputo estos puedan ser identificables respecto a su relevancia y criticidad que estos tienen para la organización.

La etiqueta de marcado se encuentra estructurada respecto a su información en dos partes, la primera parte contempla la asociación a de información física (escrita) relevante para el trato del usuario hacia el equipo, información la cual deberá ser breve a su vez que ayude al usuario a reconocer la importancia del equipo de cómputo para EMCALI, la segunda parte de contempla la asociación de información virtual la cual podrá ser accedida a través de un dispositivo lector de códigos de barras o códigos QR, al código que lleve cada etiqueta se asociara información referente al equipo como lo es, persona responsable del equipo de cómputo, persona que labora en el equipo, información relevante que contiene el equipo, procesos de interés que corren en el equipo, software asociado al equipo, Permisos asociados al equipo, dirección IP, Hoja de vida del equipo, entre mucha otra información que EMCALI considere relevante asociar a la información virtual del equipo.

La asociación de información virtual asociada a la etiqueta de marcado deriva de una necesidad percibida al momento de realizar el mantenimiento preventivo de los equipos, ya que el personal de EMCALI al dar inicio al mantenimiento de los equipos en muchas ocasiones no conocían la relevancia de los equipos para la actividad productiva de la empresa, los programas licenciados que se encuentran en el computador, la persona responsable del equipo entre muchos otros aspectos de interés que al no conocerse llevaban al personal a cometer errores los cuales podrían llegar a generar perdida de información y paro en proceso productivos.

7.5.4.2 Consolidación del Etiquetado de Equipos de Cómputo.Al interior de este numeral se contemplan las acciones que deben ser adelantadas a fin de poder construir la etiqueta de marcado.

7.5.4.3 Definir Activos a Etiquetar. El punto que se presenta consiste en determinar que activos de información van a hacer dispuestos para el correspondiente etiquetado y poder conocer con anterioridad la información asociada al quipo para luego poder vincular la misma a la etiqueta de marcado.

106

7.5.4.4 Información Registrada en el Inventario de Activos. Una vez haya sido desarrollado el control referente al inventario de activos, se ha logrado recopilar y registrar en dicho recurso una numerosa cantidad de información concerniente a los activos y a su nivel de criticidad, a partir de dicha información consignada en este recurso se debe determinar qué información de la registrada en el inventario de activos es pertinente que sea asociada a la etiqueta que será dispuesta para el marcado de los activos de información.

Con la finalidad de concertar la información que se registrara en la etiqueta de activos, se sugiere realizar un análisis del inventario de activos con la finalidad de conocer los campos de información más relevante que debería conocer un usuario al primer contacto con el activo, dicho análisis debe involucrar una valoración de los campos de información asociados a este recurso y la correspondiente socialización de esta actividad con las personas involucrada en el proyecto, dándoles a conocer la valoración determinada durante el proceso de valoración de los campos de información y de esta manera poder determinar la información que deberá consignarse en las etiquetas.

A continuación se sugiere la vinculación de la siguiente información a la etiqueta, dicha información que se sugiere sea vinculada a la etiqueta no es exhaustiva por lo cual puede ser agregada más información a la etiqueta o puede retirarse algún campo de información que se considere no deba registrar en la etiqueta.

• Información a vincular a la etiqueta respecto del inventario de activos. o Propietario: este campo de información deberá figurar el departamento a cargo del activo de información, no se considera importante vincular si el activo está directamente cargado a la cuenta de una persona en especial esta información puede ser registrada mucho más en detalle en el registro informativo que debe aparecer al momento de pasar un lector de código de barras sobre una etiqueta. Se deberá establecer una nomenclatura para identificar a cada departamento propietario de un activo, a continuación se sugiere una nomenclatura la cual puede representar el departamento a cargo:

107

Cuadro 14. Nomenclatura para identificación de propietario de activos DEPARTAMENTO. NOMENCLATURA.

Gerencia de TI GTI Operaciones DOP

Sistemas de información DSI Planeación Tecnológica DPL

o Valor: Se sugiere vincular este campo de información ya que este campo indica el valor total de criticidad total asociado al activo, los valores de criticidad posibles son los siguientes:

Cuadro 15. Valores de criticidad a asociar a la etiqueta de marcado

VALOR. Muy Bajo

Bajo

Medio

Alto

Muy Alto

o Etiqueta: Este campo de información se considera adecuado para su vinculación a la etiqueta que marcara al activo, ya que en él se especifica el valor de criticidad del activo en cuanto a su Confidencialidad, Integridad, Disponibilidad, Trazabilidad. o Atributos: El campo atributo considera seis (6) atributos los cuales ayudan a determinar en cierta forma la importancia de un activo para la organización, el cuidado que debe tenerse en el uso del activo y la disponibilidad a un determinado número de usuarios, los atributos son los siguientes:

Cuadro 16. Nomenclatura para la identificación de atributos

ATRIBUTOS. NOMENCLATURA. Activo de clientes o terceros que debe protegerse. A1

108

Activo que debe ser restringida a un número limitado de empleados.

A2

Activo que puede ser alterada o comprometida para fraudes y corrupción.

A3

Activo que es muy crítica para las operaciones internas. A4

Activo que es muy crítica para el servicio hacia terceros. A5

Activo que es muy crítica para el servicio hacia terceros. A6

La nomenclatura asociada a los atributos deberá ser asociada a la etiqueta de marcado, en dicha etiqueta deberá consignarse la nomenclatura que registre como marcada en el inventario de activos, ejemplo. En el caso que un activo registre con los atributos A1, A2 y A4 como marcados, en la etiqueta estos tres atributos deberán figurar de la siguiente manera “A1A2A4”.

A la etiqueta de marcado también puede ser asociada información referente al activo al cual se esté etiquetando, como lo es el nombre del equipo en la red, identificación de fábrica del equipo o algún otro identificador que se considere necesario agregar al activo.

7.5.4.5 Recaudo de información Adicional. El proceso de recaudo de información es un proceso que se sugiere sea adelantado con el ánimo de poder obtener información adicional del activo, la cual no se encuentra asociada al inventario de activos y que pueda significar una contribución importante al momento de establecer una etiqueta para la identificación y aseguramiento del activo. Con la finalidad de poder recaudar información significativa a la que ya se tiene en el inventario de activos, se presenta una guía de posibles datos e información que podría ser asociada a la etiqueta de marcado: • Identificación del equipo en la red. • Identificación del activo en un espacio físico (Sala de computo) • Registro identificador del equipo. • Fecha de terminación del contrato. • Fecha de vencimiento de soporte técnico o licenciamiento. • ID fabricante. • Equipo público o privado.

109

La información adicional que se recaude con la finalidad de determinar si su vinculación en una etiqueta de marcado representa relevancia o no para la identificación y seguridad del activo de información, deberá ser valorada respecto a los siguientes cuestionamientos los cuales buscan generar discusión sobre si un dato o información es en verdad relevante para el control de etiquetado de activos:

• El impacto que genera el dato o información en el usuario respecto a la identificación del activo y seguridad del mismo es:

Bajo Medio Alto

• Al visualizar la información o dato en la etiqueta de marcado el usuario logra deducir algo sobre el activo:

Nada Poco Mucho • Se considera en verdad relevante que el usuario conozca ese tipo de información o dato.

Nada Poco Mucho

• Se considera que la información o dato a asociar a la etiqueta de marcado puede causar confusión en el usuario.

Nada Poco Mucho

• La vinculación de la información o dato a la puede generar alguna confusión en el usuario respecto al trato y manejo que este debe tener con el activo.

Nada Poco Mucho

7.5.4.6 Diseño de la Etiqueta de Marcado. El diseño de la etiqueta es la actividad en la cual se concibe la etiqueta como tal, es decir se establecerá la forma que esta tendrá, la ubicación en la que se encontrara distribuida la información que será asociada a la etiqueta.

Se presenta dos etiquetas como sugerencias para el marcado de los activos de información que cuentan con características o condiciones fiscas para ser marcados (Equipos hardware, Archivadores, Repositorio de discos de instalación y manuales).

A continuación se muestran los diferentes tipos de etiquetas que se sugieren para el marcado de los activos anteriormente descritos.

110

Figura 16. Prototipo etiquetas de marcado

A continuación se presenta una representación gráfica de como quedarían quedaría finalmente representada una etiqueta con su correspondiente información.

Figura 17. Prototipo Etiquetas de Marcado 2

La información respecto a nombre de equipo en la red será dispuesta en la etiqueta respecto a si el activo que se está marcando tiene como característica figurar en la red con un respectivo nombre que lo identifique en la red, activos que deberían figurar con un nombre dentro de la red podrían ser equipos de cómputo Impresoras y demás que equipos que intervengan en la red.

7.5.4.7 Disposición de Etiquetas sobre el Activo de Información. Como se ha expresado anteriormente este procedimiento tiene como objetivo etiquetar los activos de información con la correspondiente etiqueta de marcado que se ha gestado para su identificación y poder conocer a través de ella el nivel de criticidad y de importancia que tiene el activo para EMCALI.

111

El procedimiento de etiquetado se ve reflejado en tres momentos fundamentales en los cuales se verán desarrollados procesos que cubrirán las necesidades que se presentan en estos momentos. Los procesos que se establecerán a continuación se encuentran adjuntos a la estructura del procedimiento referente a la consolidación de etiquetado, estos procesos son concebidos a partir del reconocimiento de la necesidad de ejercer un control sobre ciertos momentos de importancia en el desarrollo del control de etiquetado de activos y manejo de la información, con el propósito de suplir esta necesidad de control se establecen los siguientes procesos que permitirán dar cumplimiento un correcto cumplimiento al procedimiento de consolidación de etiquetado.

7.5.4.8 Delegación de Responsabilidades.El primer momento de importancia en el cual se sugiere establecer un proceso con fines de control es el momento en el cual el responsable de direccionar el desarrollo del control de etiquetado delega sobre un(os) empleado(s) capacitado(s) la responsabilidad de adelantar la consolidación del etiquetado de activos de información, brindándoles las instrucciones pertinentes para el desarrollo de la labor asignada y otorgándoles los recursos de los cuales deberá hacer uso para la consolidación del etiquetado (entrega de etiquetas de marcado), con el fin de tener un control en la asignación de responsabilidades y recursos se sugiere la vinculación de un recurso de soporte documental (Formatos de delegación de responsabilidades y entrega de recursos, Observar Anexo D ) en el cual se encuentren consignadas las directrices que indicaran a los empleados que deberán realizar para cumplir a cabalidad con la responsabilidad encomendada y los recursos que fueron puestos a disposición del empleado para la realización de la misma. 7.5.4.9 Marcado de Activos.El segundo momento de importancia en el cual se sugiere recalcar el establecimiento de un proceso que garantice un control en la consolidación del etiquetado, es en la disposición de la etiqueta de marcado sobre los activos de información que fueron designados para su correspondiente etiquetado.

Este proceso permitirá mediante el uso de un recurso de soporte documental (Formato de control en el etiquetado, Observar Anexo E ) llevar un registro de si se ha podido establecer correctamente sobre el activo la correspondiente etiqueta de marcado o si se ha suscitado algún evento que no haya permitido dar cumplimiento al etiquetado del activo.

7.5.4.10 Muestra de Resultados. Debe presentarse el Formato de control en el etiquetado, (Observar Anexo E ) debidamente diligenciado, luego de haber realizado el correspondiente etiquetado de activos, además debe hacer la debida

112

entrega de los recursos (Etiquetas de marcado) que fueron dispuestas para el etiquetado de activos y que no fueron dispuestas sobre el activo por algún motivo, dicho motivo debe quedar registrado en el (Formato de control en el etiquetado) en caso de que se llegase a presentar.

7.5.5 Estrategia de Sensibilización al Usuario Respecto al Etiquetado de Activos y la Importancia de los Activos de Información. La planificación y final ejecución de una estrategia de sensibilización es considerada como una de las partes más importante durante el adelanto de cualquier acción que tenga como objetivo el aseguramiento de activos de información a partir de la implementación de una serie de medidas que permitan minimizar el índice de ocurrencia de incidentes de seguridad que se generan a partir de la materialización de un riesgo a través de una vulnerabilidad.

Es de gran importancia llevar a cabo un plan de sensibilización debido a que se debe reconocer a los usuarios como el eslabón más débil de la cadena de seguridad y finalmente son ellos quienes interactúan con los activos de información, es por ello que se debe dar a conocer a ellos cual es la importancias de los activos de información para la organización y cuáles son las medidas que se están tomando para su protección y cuál sería el rol, desempeño y compromiso que la empresa espera de sus empleados respecto al uso de los activos de información y al acogimiento de las medidas que se desarrollen con el fin de proteger los activos de información.

Es por ello que reconociendo la importancia de sensibilizar a los empleados respecto a la relevancia que tienes los activos de información para la empresa y la socialización de las medidas de seguridad se presenta como sugerencia una estrategia la cual permitirá reconocer la importancia de los activo de información para la estrategia del negocio y poder reconocer la importancia y nivel de criticidad de un activo de información a partir de su etiqueta de marcado.

Conociendo la relevancia de desarrollar una estrategia de sensibilización se proporciona como sugerencia para la estructuración del plan de sensibilización tener en cuenta los apartes que se muestran a continuación:

• Enfoque y estrategia para la sensibilización, se determina el enfoque y el objetivo con el cual se quiere desarrollar la estrategia de sensibilización y se determina la manera y los recursos con los cuales se quiere alcanzar el objetivo.

113

• Factores a fortalecer en el empleado, Son aquellas características o cualidades que consideremos importante fortalecer en el empleado para obtener un mejor resultado en el aseguramiento de los activos de información. • Control y seguimiento, etapa en la cual se realiza un control de las actividades a realizar y se controla que la inversión de los recursos se efectué satisfactoriamente, como también al finalizar el periodo de sensibilización debe efectuarse una etapa de seguimiento la cual permita corroborar que este fue efectivo. • Estimación cronológica y económica de la ejecución de la estrategia de sensibilización, es la etapa en la cual se pronostica las fechas entre las cuales se encontrara comprendida la ejecución de la estrategia de sensibilización, como también se evalúan los gastos económicos en los cuales deberá incurrir la organización para la ejecución de la estrategia de sensibilización.

A continuación se presenta como una sugerencia una descripción más en detalle sobre los apartes anteriormente expuestos.

7.5.5.1 Enfoque y Estrategia para la Sensibilización.

� Objetivo.

Dar a conocer a los empleados la importancia de los activos de información para la estrategia e intereses del negocio y socializar el control de etiquetado de activos de información (activos de información físicos).

� Estrategia.

Al interior de la estructura de la estrategia para el plan de sensibilización se contempla el desarrollo de los apartes que se expondrán a continuación:

• Identificación de Usuarios a Quienes Va Dirigida la Estrategia de Sensibilización.

En una primera instancia la estrategia de sensibilización ira dirigida a los empleados que laboran al interior de la Gerencia de Tecnología de la Información,

114

ya que en este lugar parte la iniciativa de Implementación del SGSI, no obstante a medida que el sistema se vaya abriendo a otras dependencias de la organización de la misma manera lo tendrá que hacer la estrategia de sensibilización.

• Diseño de una imagen representativa para la estrategia de sensibilización.

La imagen representativa para la estrategia de sensibilización de empleados respecto al reconocimiento de la importancia de la etiqueta de marcado como recursos que permite al empleado reconocer la importancia del activo y el nivel de riesgo que este tiene asociado.

La imagen representativa que se considere apropiada para la representación del plan de sensibilización de contar con las siguientes características con la finalidad de despertar en los empleados el interés por la temática a considerarse dentro de la campaña de sensibilización de empleados.

A continuación se expresan las características que se sugiere sean tenidas en cuenta al momento de gestionar una imagen representativa para el plan de sensibilización.

La imagen representativa debe:

o Crear expectativas en el empleado ante el plan que se desarrollara. o Tener relación respecto al tema que se desarrollara. o Exponer un significado lógico de la temática a tratar. o Identificar el plan de sensibilización como una iniciativa propia de la empresa. o Debe incluir un texto o mensaje que complemente la iniciativa del que se tiene

propuesta con la creación de la imagen representativa.

• Estrategia de apoyo para el afianzamiento de la estrategia de sensibilización. • Carteles.

El uso de carteles se considera apropiado ya que es un recurso de apoyo que pueden ser dispuestos en lugares por los cuales se haya detectado con anterioridad que circula con mayor frecuencia el personal que se verá involucrado dentro del plan de sensibilización, este medio permite llegar de manera masiva a

115

todo el personal con un mínimo esfuerzo humano y económico ya que de pocos medios (carteles) pueden alimentarse de información un gran número de empleados y el recurso puede estar a la disposición para los empleados el tiempo que el personal responsable de la ejecución del plan de concientización considere prudente.

o Salva pantallas y Fondos de Escritorio.

El uso del presente recurso como material o elemento de apoyo conlleva varios beneficios como lo son:

� Amplia difusión del material de apoyo, ya que al ser un recurso que es asociado directamente en cada uno de los equipos de trabajo personal de cada empleado se garantiza que el mensaje sea conocido por todas las personas que se ven involucradas dentro del plan de sensibilización. � El recurso de apoyo puede estar a disposición de los empleados por el tiempo que el personal responsable de la ejecución del plan de concientización considere prudente. � El costo de inversión es mínimo. o Souvenir

El uso del presente recurso como material o elemento de apoyo conlleva varios beneficios como lo son:

� Involucrar en el entorno laboral del empleado un objeto de uso común para todos, el cual al ser usado u observado por los empleados, les recuerde aspectos relevantes para mantener la seguridad de los activos de información. � Permite que se prolonguen en el tiempo recomendaciones que permitan hacer buen uso de los activos de información y reconocer la importancia y el nivel de riesgo asociado a los activos de información. 7.5.5.2 Factores a Fortalecer en el Empleado.

7.5.5.3 Fortalecimiento del Factor Cognitivo.

Es uno de los factores más importantes, ya que este factor hace referencia al conocimiento que tienen las personas sobre un determinado tema o cuestión en especial, para nuestro caso es el conocimiento que las personas tienen en el uso y trato de los activos de información teniendo como punto de referencia el nivel de criticidad que tienen los activos, en el fortalecimiento del factor cognitivo se busca hacer énfasis en el fortalecimiento de los siguientes aspectos:

116

• Manejo conceptual referente a la seguridad de la información. • Reconocimiento de las características y beneficios en la implementación de los controles de seguridad de la información declarados en la Norma ISO/27001 Anexo A (Etiquetado de activos de información). • Condiciones de uso de los recursos de información de la organización. • Políticas de seguridad de la información. • Reconocer la importancia de un activo de información a partir de la lectura de su etiqueta de marcado que haya sido dispuesta sobre el activo. 7.5.5.4 Fortalecimiento del Factor Psicológico (Sentido de pertenecía). El factor psicológico es uno de los factores más complejos, ya que al ser un factor arraigado a los seres humanos se hace dependiente de la conducta, formación integral de la persona, sentido de pertenencia y estado de animo de la persona, este factor se torna muy cambiante debido a la condición humana del usuario lo cual lo hace independiente y autónomo en sus criterios y decisiones. 7.5.5.5 Fortalecimiento del Factor Laboral (Compromiso respecto a la seguridad de la información). El factor laboral puede que sea a simple vista uno de los más simples o sencillos de determinar en una persona que labora en una organización, ya que las acciones que la persona realice deberán estar sujetas a las políticas y lineamientos establecidos por la organización, pero esto no comprende el factor laboral en toda su plenitud, ya que el factor laboral también comprende el compromiso del empleado para con su trabajo y con el uso adecuado de las herramientas y recursos que la organización le suministra para el desarrollo de sus actividades laborales. 7.5.5.6 Control y Seguimiento

• Control

El desarrollo de la etapa de control debe garantizar mediante la gestión e implementación de recursos y mecanismos que garanticen el cumplimiento de los siguientes aspectos:

• Asistencia.

Se debe garantizar que las personas para las cuales se encuentra dirigido el plan de sensibilización asistan a las actividades que se contemplan dentro del plan de sensibilización, con el fin de garantizar este aspecto se considera apropiado que se tomen en consideración las siguientes sugerencias:

o Listados de asistencia.

117

o Sanciones laborales por falta al compromiso con la seguridad de la información.

• Cumplimiento en el contenido programado y el tiempo establecido para su desarrollo.

Considerando que el no cumplimiento en las actividades que se contemplan programadas dentro del plan de sensibilización podría causar un incremento en los costos de implementación del plan de sensibilización además de molestias y perdida de interés en los empleados.

Considerando los efectos del no cumplimiento del contenido programado se considera apropiado que se desarrollen los siguientes recursos las cuales garanticen un control sobre lo programado dentro del plan de sensibilización.

o Desarrollo de un plan de trabajo. o Desarrollo del Cronograma de actividades. • Inversión en recursos.

Se debe garantizar que los recursos que se destinen como inversión para el desarrollo del plan de sensibilización sean correctamente capitalizados en las actividades, pago de personal y en la gestión de recursos de apoyo para la consolidación del plan, ya que si no se capitalizan estos recursos de una manera adecuada podría verse afectado la ejecución del plan de sensibilización hasta el punto de que este llegue a fracasar.

Conociendo la importancia del uso adecuado de los recursos monetarios se considera apropiado tomar en consideración las siguientes medidas:

o Desarrollo de un balance de inversión. o Desarrollo de procesos de control que garanticen la capitalización de los recursos (auditorias). o Control sobre las facturas y comprobantes de pago. 7.5.5.7 Seguimiento. La etapa de seguimiento se desarrolla con el ánimo de poder constatar que los conocimientos y recomendaciones dadas a los empleados

118

como herramientas efectivas en la disminución del riesgo sobre los activos, se encuentran siendo puestos en práctica por los empleados y también poder conocer que concepto tienen los empleados respecto a la efectividad del plan de sensibilización que se desarrolló.

Con la finalidad de poder desarrollar un proceso de seguimiento exitoso se propone el desarrollo de las siguientes actividades:

• Realizar una encuesta entre los empleados que asistieron al desarrollo de las actividades involucradas en el plan de sensibilización, con el fin de constatar que tan efectivo consideran ellos que fue el proceso de sensibilización. • Realizar un análisis de los incidentes y eventos de seguridad suscitas luego de desarrollarse el plan de sensibilización, con la finalidad si hubo un incremento o decremento de estos sucesos y poder determinar si alguno de estos tuvo relación con la temática desarrollada en el plan de sensibilización y de esta manera poder medir la efectividad del plan de sensibilización. • Tomar una muestra poblacional del grupo de empleados que asistió al desarrollo del plan de sensibilización y realizar un test que permita conocer si los conocimientos y recomendaciones dadas en el desarrollo del plan de sensibilización perduraron en el tiempo.

7.5.5.8 Estimación Cronológica y Económica Para la Ejecución de la

Estrategia de Concientización.

• Campaña de Sensibilización GTI.

Se sugiere que el plan de sensibilización tome por cada departamento un periodo de tiempo en su ejecución de 1 mes, el cual se prolongue por 1 mes más mediante la exposición de material de apoyo en el entorno laboral del empleado y finalizado el segundo mes se dé inicio a las actividades de seguimiento para la cuales se ha considerado prudente que su tiempo de ejecución sea de 1 mes.

• Costos.

Depende de la cantidad de material impreso que se vaya a usar en el desarrollo de la estrategia de concientización, costos del personal responsable de adelantar el plan de concientización, entre otros costos que puedan incurrir en dentro del plan de sensibilización.

119

8 CONCLUSIÓN

Reconociendo a la información como el activo más importante de una organización, el proyecto se centró en la consideración de medidas las cuales permitirán a las empresas municipales de Cali, EMCALI E.I.C.E-ESP, disminuir el riesgo que recae sobre sus activos de información (acceso no autorizado al activo de información, perdida de la integridad del activo, perdida de la disponibilidad del activo, perdida de la trazabilidad del activo), mediante la adecuada clasificación de los activos de información, el conocimiento del nivel de criticidad del activo y evaluación del activo respecto a su nivel de riesgo, el cual es determinado por las vulnerabilidades y amenazas a las cuales se encuentra expuesto el activo de información respecto a su Confidencialidad, Integridad, Disponibilidad y Trazabilidad.

El presente proyecto ha contribuido de manera positiva para el interés de EMCALI de mantener la seguridad de sus activos de información respecto a su Confidencialidad, Integridad, Disponibilidad y trazabilidad, ya que el proyecto cuenta con un enfoque analítico y de prevención, lo cual derivo en el análisis de riesgo de los activos de información y la recomendación de medidas que llevadas a la implementación contribuirán a mitigar el riesgo de manera significativa, siempre teniendo como directriz de implementación el estándar de seguridad de la información ISO/27001, Norma la cual contiene los requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información SGSI.

En el desarrollo del proyecto se lograron identificar al interior de la gerencia de TI, oportunidades de mejora respecto a la seguridad de la información, oportunidades las cuales surgieron del análisis del desempeño de los empleados, lo cual llevo a la construcción de medidas como: formulación de políticas de seguridad de la información, a fin de condicionar ciertos aspectos respecto al uso de los activos de información; la construcción de medidas que permitieran adelantar el proceso de mantenimiento preventivo de equipos de una manera mucho más segura y certera, teniendo como principal recurso para la adecuada manipulación de los equipos de cómputo, toda la información asociada al equipo, lo cual permite al personal conocer los cuidados y precauciones que debe tener al desarrollar sus actividades.

Para concluir es importante recalcar que con la construcción de este proyecto no se pretende garantizar la seguridad y protección total de los activos de información, lo que se propone es llegar a minimizar el riesgo sobre los activos a

120

partir de la valoración de los mismos, el reconocimiento de los riesgos las amenazas y vulnerabilidades, logrando a si la disminución de la probabilidad de ocurrencia, como también de las consecuencias adversas que se generarían de llegar a desencadenarse un incidente de seguridad, es por ello que la formulación y posterior ejecución de medidas de seguridad permitirán a los empleados tener un mejor desempeño respecto al uso de los activos de información, proveyendo de esta misma manera a la organización herramientas las cuales le permitan hacer de la seguridad de la información no solo un sistema de gestión sino un estilo de vida.

121

9 RECOMENDACIONES

A continuación se presentan a EMCALI una serie de recomendaciones con el ánimo de generar oportunidades las cuales permitan mejorar en aspectos referentes a la seguridad de la información.

• Es de suma importancia que la organización defina claramente un route map, el cual permita conocer a futuro las acciones y actividades que deben gestarse a fin de alcanzar la certificación en la Norma ISO/27001.

• La documentación de procesos y el reconocimiento de estos por parte de la organización como documentos organizacionales bajo los cuales se rige un proceso o una determinada actividad, permitirá la disminución de incidentes de seguridad, ya que existiría un recurso físico bajo el cual los empleados podrían guiar su accionar respecto a situaciones al interior de los procesos o actividades a los cuales se encuentre vinculado.

• La formalización y divulgación de políticas de seguridad a nivel organizacional, fundamentara a un más el compromiso de la organización con la seguridad de la información y proveerá a la organización el recurso bajo el cual podrá considerar como una acción que atente contra la seguridad de los activos de información, cualquier acción que se encuentre señalada dentro del marco de las políticas que se establezcan por parte de la organización.

• La gerencia de TI como emprendedora del proyecto de SGSI, debe fortalecer sus lazos con el resto de gerencias de EMCALI, ya que el proyecto puede haber nacido en la Gerencia de TI, pero el objetivo del SGSI es que este se abra a toda la organización, con el fin de asegurar activos de información de gran importancia los cuales se encuentren por fuera de la Gerencia de TI.

• Adquirir un software el cual permita llevar el historial de los equipos de cómputo a fin de poder integrar la aplicación con la etiqueta de marcado que se disponga sobre el equipo, para de esta manera al hacer la lectura de la etiqueta de marcado dispuesta sobre el equipo, la aplicación pueda arrojar en tiempo real toda la información concerniente al equipo, contribuyendo de esta manera a la disminución de errores humanos por desconocimiento de la información que se encuentra en el equipo.

122

• Al proyecto de SGSI debe llegar una persona con conocimiento de leyes, especialmente con formación en delitos informáticos, a fin de consolidar un grupo interdisciplinario el cual afronte desde todos los campos del conocimiento las exigencias normativas que impone el estado colombiano en materia de protección de datos personales como también los retos que reclama el mundo comercial y de la prestación de servicios.

123

BIBLIOGRAFÍA

ACEITUNO Canal, Vicente. Seguridad de la información : expectativas, riesgos y técnicas de protección. Madrid : Creadiciones Copyright, 2004. xx, 149 p. : il. 005.8 / A173 (UAO).

ALBERTO G. Alexander, ph.D, CBRP, auditor SGSI certificado IRCA análisis del Riesgo y el Sistema de Gestion de Seguridad de Informacion: El Enfoque ISO 27001:2005 [en línea] [Consultado 29 de Junio de 2012]. Disponible en Internet: http://www.libreriainteramericana.com/pdf/analisis_riesgo_y_sgsi.pdf

ALEXANDER, ALBERTO G. Diseño de un sistema de gestión de seguridad de información: óptica ISO 27001:2005. Bogotá, D.C : Alfaomega, 2007. 176 p. : il. 005.8 / A374 (UAO).

BRUNA López Ignacio - Licenciado en derecho de las nuevas tecnologías - Diplomado en Dirección de Seguridad de la Información - Auditor CISA (Cetified Infotmation Systems Auditor) por ISACA, Confidencialidad, Integridad y Disponibilidad de la Información. [En línea] [Consultado 1 Noviembre de 2012] http://www.belt.es/expertos/experto.asp?id=2245

CALDER, Alan. Nueve claves para el éxito : una visión general de la implementación de la norma NTC-ISO/IEC 27001. Bogotá, D.C : ICONTEC, 2006. 127 p. : il. 005.8 / C146n (UAO)

Castaño Duque German Albeiro Universidad Nacional de Colombia. Seminario de Teoría Administrativa. Manizales. [En Línea] [Consultado 14 Enero de 2013] http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulo1/Pages/1.4/148Ciclo_Control_PHVA.htm

CORLETTI Estrada Alejandro Análisis de ISO-27001:2005 Mail: [email protected] [en línea] [Consultado 29 de Junio de 2012]. Disponible en Internet: http://www.kriptopolis.org/docs/iso.pdf

124

(--------) ISO-27001: Los controles (Parte I) Mail: [email protected] [en línea] [Consultado 29 de Junio de 2012]. Disponible en Internet: http://www.kriptopolis.org/docs/ISO-27001_Los-controles.pdf

(--------) ISO-27001: Los controles (Parte II) Mail: [email protected] [en línea] [Consultado 29 de Junio de 2012]. Disponible en Internet: http://www.kriptopolis.org/docs/ISO-27001_Los-controles2.pdf

Definición ISO 27000. [En línea] [Consultado 27 de agosto de 2012]. Disponible en internet: http://es.wikipedia.org/wiki/ISO/IEC_27000-series

Definición ISO 27001. [En línea] [Consultado 27 de agosto de 2012]. Disponible en internet: https://seguinfo.wordpress.com/category/estandares/page/6/

Definición ISO 27002. [En línea] [Consultado 27 de agosto de 2012]. Disponible en

internet: http://es.wikipedia.org/wiki/ISO/IEC_17799

Definición MAGERIT. [En Línea] [Consultado 26 Julio de 2013] http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)

DEJAN Kosutic, Information security & business continuity academy, conceptos básicos sobre ISO/27001. [En línea] [Consultado 19 de octubre de 2012] http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos

(--------), ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001, Información registrada en el blog en la fecha octubre 20 de 2010 [En línea] [Consultado 18 de octubre de 2012]. http://blog.iso27001standard.com/es/tag/anexo-a/

Departamento de Justicia y Administración publica - Dirección de Informática y Telecomunicaciones, Manual de seguridad - Aplicación de Tramitación Telemática (Platea). [En Línea] [Consultado 1 Noviembre de 2012] https://euskadi.net/r47-contbp2z/es/contenidos/informacion/bp_segurtasuna/es_dit/adjuntos/MSPLATEA_c.pdf

125

Documento con contenido relacionado a la Norma ISO/27000 [En línea] [Consultado 18 de octubre de 2012]. http://www.iso27000.es/download/doc_iso27000_all.pdf

Estándar Internacional ISO/IEC 27001 primera edición 2005-10-15 Tecnología de la Información-Técnicas de Seguridad-Sistemas de gestión de seguridad de la información-Requerimientos [en línea] [Consultado 30 de Junio de 2012]. Disponible en Internet: http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf

Estándar Internacional ISO/IEC 17799 segunda edición 2005-06-15 Tecnología de la Información-Técnicas de Seguridad-Código para la práctica de la gestión de la seguridad de la información [en línea] [Consultado 30 de Junio de 2012]. Disponible en Internet: http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

GOMEZ Ricardo, Perez Diego Hernan, Donoso Yezid, Herrera Andrea metodología y gobierno de la gestión de riesgos de tecnologías de la información [en línea] [Consultado 14 de Julio de 2012]. Disponible en Internet: http://revistaing.uniandes.edu.co/pdf/A10%2031.pdf

Ing. JORGE Martin Figueroa Profesor, Alumnas Gutierrez Medina Claudia, Guevara Angeldonis Catherine Universidad San Martin de Porres curso de Seguridad y Auditoria de Sistemas de Información ISO/IEC FDIS 27001 [en línea] [Consultado 7 de Julio de 2012]. Disponible en Internet: http://www.gigabytesperu.com/trabajos/ISOIEC%20FDIS%2027001.pdf

INSTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION, ICONTEC. Compendio: Sistema de gestión de la seguridad de la información (SGSI).Bogotá: ICONTEC, 2006. 257p. 005.8/I59

Institución Nacional de Tecnologías de la Comunicación ITENCO, formación, SGSI [en línea] [Consultado 14 de Julio de 2012]. Disponible en Internet: http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/

126

JULIA H. Allen, Software Engineering Institute, Homeland Security, Build Security In, Setting a higher standard for software assurance, Plan-Do-Check-Act [En línea] [Consultado 17 de octubre de 2012]. https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/deployment/574-BSI.html

Ley Estatutaria 1266 de 2008 de Diciembre de 31 [En Línea] [Consultado 14 Enero de 2013] http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html

Ley 1273 de 2009 de enero 5 [En Línea] [Consultado 14 Enero de 2013] http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html

Ley Estatutaria 1581 de 2012 de octubre 12 [En Línea] [Consultado 14 Enero de 2013] http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981

Magerit - v.2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Gobierno de España. [En línea] [Consultado 27 de agosto de 2012]. Disponible en Internet: http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276529683497133

Ministerio de Comunicaciones de la República de Colombia, Gobierno en Línea, Modelo de Seguridad de la Información-Sistema SANSI-SGSI [En línea] [Consultado 18 de octubre de 2012] http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf

ORCI, Consultoría aplicada, capacitación/conferencias, tecnología, gestión de servicios. ISO/IEC 27002. [En línea] [Consultado 19 de octubre de 2012] http://www.orcilatam.com/index.php?option=com_content&view=article&id=143&Itemid=191

127

Portal de la ISO 27001 en español, Categoría SGSI [en línea] [Consultado 7 de Julio de 2012]. Disponible en Internet: http://www.iso27000.es/herramientas.html#section7a

Realiso, real isms - Guía de referencia de Uso, Activos de información. [En línea] [Consultado 17 de octubre de 2012]. Disponible en Internet: https://sites.google.com/a/realiso.com/realisms-spa/gestao-de-risco/-3-3-ativos-de-informacao

Universidad Autónoma de Occidente, Resolución Del Concejo Superior Numero 374 [En Línea] [Consultado 14 Enero de 2013] http://www.uao.edu.co/sites/default/files/11.pdf

128

ANEXOS

Anexo B Formato de Baja y Alta.

Fuente: Autor.

129

Anexo C. Formato de Traslado y Traspaso.

Fuente: Autor.

130

Anexo D. Formato de Delegación de Responsabilidades y Entrega de Recursos.

Fuente: Autor.

131

Anexo E. Formato de Control en el Etiquetado.

Fuente: Autor.

gerencia tecnologia de informacion

Documents