modelo de un sistema de gestiÓn de la seguridad de...

2

MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI) APLICADA A CORREDORES DE SEGUROS BAJO EL

MARCO DE REFERENCIA DE LA NORMA ISO/IEC 27001:2013

EDICSON LEONARDO GÓMEZ PACHÓN

ALEX MAURICIO LATORRE AGUILAR

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTÁ D.C

AGOSTO DE 2018

3

MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI) APLICADA A CORREDORES DE SEGUROS BAJO EL

MARCO DE REFERENCIA DE LA NORMA ISO/IEC 27001:2013

EDICSON LEONARDO GÓMEZ PACHÓN

ALEX MAURICIO LATORRE AGUILAR

PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR AL TÍTULO DE


MIGUEL ÁNGEL LEGUIZAMÓN PÁEZ

INGENIERO EN SISTEMAS

TUTOR

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA


BOGOTÁ D.C

AGOSTO DE 2018

4

Nota de aceptación

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

____________________________________________________

Tutor

____________________________________________________

Jurado

___________________________________________

Bogotá, 07 de agosto de 2018

5

CONTENIDO

ILUSTRACIONES ............................................................................................. 12

LISTADO DE TABLAS ...................................................................................... 14

RESUMEN ........................................................................................................ 18

ABSTRACT ....................................................................................................... 19

GLOSARIO ....................................................................................................... 20

INTRODUCCIÓN .............................................................................................. 22

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ..................... 24

1.1 Título ........................................................................................................... 24

1.2 Tema ........................................................................................................... 24

1.3 Planteamiento del problema ....................................................................... 24

1.3.1 Formulación del problema ........................................................................ 26

1.4 Justificación ................................................................................................ 26

1.5 Objetivos ..................................................................................................... 27

1.5.1 Objetivo general ....................................................................................... 27

1.5.2 Objetivos específicos ............................................................................... 27

1.6 Solución tecnológica ................................................................................... 28

1.7 Alcance ....................................................................................................... 29

1.8 Limitaciones ................................................................................................ 29

1.8.1 Temporal .................................................................................................. 29

1.8.2 Geográfica ............................................................................................... 29

1.8.3 Conceptual ............................................................................................... 30

6

1.8.4 Operativa ................................................................................................. 30

1.9 Marcos de referencia .................................................................................. 30

1.9.1 Marco histórico ......................................................................................... 30

1.9.2 Estado del arte ......................................................................................... 31

1.9.3 Marco conceptual ..................................................................................... 38

1.9.3.1 ¿Para qué sirve un SGSI? .................................................................... 38

1.9.3.2 ¿QUÉ INCLUYE UN SGSI? .................................................................. 40

1.9.3.2.1 Documentos de nivel 1 ....................................................................... 41




1.9.4 Marco teórico ........................................................................................... 43

1.9.4.1 Norma ISO 27001 – 2013 ..................................................................... 44

1.9.4.2 Norma ISO 31000 – 2011 ..................................................................... 45

1.9.4.3 Sistema de gestión de seguridad de la información (SGSI) .................. 46

1.9.4.3.1 Utilización SGSI ................................................................................. 48

1.9.4.3.2 Beneficios de un SGSI ....................................................................... 49

1.10 Factibilidad ................................................................................................ 50

1.10.1 Técnica. ................................................................................................. 50

1.10.2 Legal. ..................................................................................................... 50

1.10.3 Económica. ............................................................................................ 50

1.10.3.1 Talento humano. ................................................................................. 51

1.10.3.2 Recurso de hardware .......................................................................... 51

7

1.10.3.3 Otros recursos .................................................................................... 52

1.10.3.4 Consolidado ........................................................................................ 52

1.11 Cronograma de actividades. ..................................................................... 53

2. ESTADO ACTUAL SINERGIA PROFESIONALES EN SEGUROS .............. 54

2.1 Descripción. ................................................................................................ 54

2.2 Reconocimiento de la organización. ........................................................... 54

2.2.1 Estructura organizacional......................................................................... 57

2.2.3 Red de datos. ........................................................................................... 59

2.2.4 Equipos .................................................................................................... 60

2.2.5 Dispositivos .............................................................................................. 61

2.2.6 Aplicaciones. ............................................................................................ 61

2.3 Análisis de seguridad existente ................................................................... 62

2.3 Propuesta de red para pequeñas y medias empresas ................................ 63

2.3.1 Base de datos. ......................................................................................... 63

2.3.2 Aplicaciones. ............................................................................................ 65

2.3.3 Correo ...................................................................................................... 66

2.3.4 Infraestructura (Servidores, Storage) ....................................................... 70

2.3.5 Redes y comunicaciones (Switches, routers, canales). ........................... 71

2.3.6 Topología física ........................................................................................ 71

2.3.7 Cableado horizontal. ................................................................................ 72

2.3.8 Infraestructura Física (Ups, Electricidad, Aire acondicionado). ................ 72

2.3.9 Seguridad informática. ............................................................................. 73

2.3.10 Seguridad física. .................................................................................... 74

8

2.3.10.1 Control de acceso ............................................................................... 75

2.3.11 Seguridad lógica .................................................................................... 76

2.4 ESTADO ACTUAL – COMPARACIÓN NORMA ISO/IEC 27001 ................ 77

2.4.1 A5 Políticas de seguridad de la información ............................................ 80

2.4.2 A6 Organización de la seguridad de la información ................................. 80

2.4.3 A7 Seguridad de los recursos humanos. ................................................. 81

2.4.4 A8 Gestión de activos. ............................................................................. 82

2.4.5 A9 Control de acceso. .............................................................................. 83

2.4.6 A10 Criptografía. ...................................................................................... 84

2.4.7 A11 Seguridad física y ambiental. ............................................................ 85

2.4.8 A12 Seguridad de las operaciones. ......................................................... 86

2.4.9 A13 Seguridad de las comunicaciones. ................................................... 87

2.4.10 A14 Adquisición, desarrollo y mantenimiento de sistemas. ................... 88

2.4.11 A15 Relaciones con los proveedores ..................................................... 89

2.4.12 A16 Gestión de los incidentes de seguridad. ......................................... 90

2.4.13 A17 Gestión de la continuidad del negocio ............................................ 91

2.4.14 A18 Cumplimiento con requerimientos legales y contractuales. ............ 92

2.5 Alcances y limitaciones. .............................................................................. 95

2.5.1 Alcance del SGSI ..................................................................................... 95

2.5.2 Limitaciones del SGSI .............................................................................. 95

2.6 Definición de la política de seguridad ......................................................... 96

2.7 Aplicabilidad ................................................................................................ 97

2.8 Nivel de cumplimiento ................................................................................. 97

9

3. GESTIÓN DE RIESGOS.............................................................................. 98

3.1 Metodología. ............................................................................................... 98

3.2 Ventajas de la implementación de la gestión de riesgos .......................... 100

3.3 Análisis de riesgos .................................................................................... 101

3.3.1 criterios de evaluación. .......................................................................... 102

3.4 Desarrollo de requerimientos. ................................................................... 103

3.5 Identificación de riesgo ............................................................................. 104

3.6 Objetivos de control para la gestión de riesgos ........................................ 104

3.6.1 Objetivo de control A.5 Política de seguridad de la Información ............ 104

3.6.1.1 Identificación de riesgos Objetivo de control A.5.1 Política de seguridad de

la Información ................................................................................................. 105

3.6.2 Objetivo de control A.6 sobre Organización de la seguridad de la Información

........................................................................................................................ 105

3.6.2.1 Identificación de riesgos Objetivo de control A.6.2 Dispositivos Móviles y

teletrabajo ....................................................................................................... 106

3.6.3 Objetivo de control A.8 sobre Organización de la seguridad de la Información

........................................................................................................................ 107

3.6.3.1 Identificación de riesgos Objetivo de control A.8.2 Clasificación de la

Información ..................................................................................................... 107


Información ..................................................................................................... 108

3.6.4 Objetivo de control A.9 sobre Control de Acceso ................................... 108


Información, Requisitos para el control de acceso en una organización de

corredores de seguros. ................................................................................... 109

10

3.6.4.2 Identificación de riesgos Objetivo de control A.9.2 Gestión de usuarios en

una organización de corredores de seguros ................................................... 110

3.6.4.3 Identificación de riesgos Objetivo de control A.9.3 Responsabilidades de los

usuarios. ......................................................................................................... 111

3.6.4.4 Identificación de riesgos Objetivo de control A.9.4 Control de acceso a

sistemas y aplicaciones. ................................................................................. 112

3.6.5 Objetivo de control A.10 sobre Criptografía ........................................... 112

3.6.5.1 Identificación de riesgos Objetivo de control A.10.1 Controles criptográficos.

........................................................................................................................ 113

3.6.6 Objetivo de control A.12 sobre Seguridad de las Operaciones .............. 113

3.6.6.1 Identificación de riesgos Objetivo de control A.12.2 Protección contra

códigos maliciosos .......................................................................................... 114


códigos maliciosos. ......................................................................................... 114

3.7 Análisis de riesgo identificado ................................................................... 115

3.7.1 Evaluación del Riesgo ........................................................................... 115

3.7.2 Evaluación de Riesgos identificados ...................................................... 116

3.7.2.1 Análisis de riesgos proceso A.5.1 ....................................................... 117







11


3.7.2.9 Análisis de riesgos proceso A.10.1 ..................................................... 125

3.7.2.10 Análisis de riesgos proceso A.12.2 ................................................... 126

3.7.2.11 Análisis de riesgos proceso A.12.3 ................................................... 127

3.8 Mapa de Riesgos ...................................................................................... 127

3.8.1 Análisis de riesgos proceso A.5.1 .......................................................... 128

4 POLÍTICAS DE SEGURIDAD ...................................................................... 129

4.1 Políticas de seguridad de la información .................................................. 129

5. MONITOREO Y REVISIÓN ........................................................................ 130

5.1 Técnicas para obtener evidencias del proceso de gestión de riesgos ...... 131

6. CONCLUSIONES ..................................................................................... 132

7. RECOMENDACIONES ............................................................................ 134

8. BIBLIOGRAFÍA ........................................................................................ 137

ANEXOS ......................................................................................................... 141

Anexo A Estado actual de la compañía .......................................................... 141

Anexo B Entrevista ......................................................................................... 141

Anexo C Gestión de riesgos ........................................................................... 141

Anexo D Políticas de seguridad ...................................................................... 142

12

ILUSTRACIONES

Ilustración 1 - funcionamiento SGSI ....................................................................... 39

Ilustración 2 - Componentes de un SGSI ............................................................... 40

Ilustración 3 - Estructura organizacional ................................................................ 57

Ilustración 4 - Clúster activo – activo ..................................................................... 59

Ilustración 5 - Clúster activo – activo ..................................................................... 64

Ilustración 6 - Disponibilidad y balanceo ................................................................ 65

Ilustración 7 - Correo Gmail ................................................................................... 68

Ilustración 8 - Red de servidores ........................................................................... 70

Ilustración 9 - Topología física ............................................................................... 71

Ilustración 10 - Controles de acceso ...................................................................... 76

Ilustración 11 - Resultados encuesta Estado de la organización ........................... 78

Ilustración 12 - A5 Política de seguridad ................................................................ 80

Ilustración 13 - A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN .... 81

Ilustración 14 - A7 Seguridad de los recursos humanos ........................................ 82

Ilustración 15 - A8 Gestión de activos .................................................................... 83

Ilustración 16 - A9 Control de acceso. ................................................................... 84

13

Ilustración 17 – A10 Criptografía. .......................................................................... 85

Ilustración 18 – A11 Seguridad física y ambiental. ................................................ 86

Ilustración 19 – A12 Seguridad en las operaciones. .............................................. 87

Ilustración 20 – A13 Seguridad en las comunicaciones. ........................................ 88

Ilustración 21 – A14 Adquisición, desarrollo y mantenimiento de sistemas. .......... 89

Ilustración 22 – A15 Relación con proveedores. .................................................... 90

Ilustración 23 – A16 Gestión de los incidentes de seguridad. ................................ 91

Ilustración 24 – A17 Continuidad del negocio. ....................................................... 92

Ilustración 25 – A18 Cumplimiento con requerimientos legales y contractuales. ... 93

Ilustración 26 - Relaciones entre los principios, en el marco de referencia y los

procesos de la gestión del riesgo. .......................................................................... 99

Ilustración 27 - Ciclo administración del riesgo .................................................... 102

Ilustración 28 - Matriz de calificación, evaluación y respuesta a los riesgos ........ 116

14

LISTADO DE TABLAS

Tabla 1 - Talento humano ...................................................................................... 51

Tabla 2 - Recurso de hardware .............................................................................. 51

Tabla 3 - Otros recursos ........................................................................................ 52

Tabla 4 - Consolidado ............................................................................................ 52

Tabla 5 - Servicios de seguros personales prestados por Sinergia ....................... 55

Tabla 6 - Servicios de seguros empresariales prestados por Sinergia .................. 56

Tabla 7 - Muestra del personal y clientes de la organización ................................ 58

Tabla 8 – Equipos Existentes................................................................................. 60

Tabla 9 – Distribución de Equipos ......................................................................... 60

Tabla 10 - Lista de dispositivos .............................................................................. 61

Tabla 11 – Aplicaciones ......................................................................................... 61

Tabla 12 - Items de respuesta encuesta: estado actual de la organización. .......... 78

Tabla 13 - Resultados Estado actual comparado con la ISO 27001-2013 ............. 79

Tabla 14 - Objetivos de control A.5 ...................................................................... 104

Tabla 15 - Identificación de riesgos para el objetivo de control A.5 ..................... 105


Tabla 17 - Identificación de riesgos para el objetivo de control A.6 ..................... 106


Tabla 19 - Identificación de riesgos para el objetivo de control A.8.2 .................. 107


15






Tabla 26 - Objetivos de control A.10 .................................................................... 112

Tabla 27 - Identificación de riesgos para el objetivo de control A.10.1 ................ 113

Tabla 28 - Objetivos de control A.12 ................................................................... 113



Tabla 31 - Análisis de riesgos proceso A.5.1 ....................................................... 117








Tabla 39 - Análisis de riesgos proceso A.10.1. .................................................... 125

Tabla 40 - Análisis de riesgos proceso A.12.2 ..................................................... 126

Tabla 41 - Análisis de riesgos proceso A.12.3 ..................................................... 127


16

LISTADO DE ANEXOS CD-ROM

1. Anexo A. Estado actual de la compañía.

2. Anexo B. Audios Entrevista.

3. Anexo C. Gestión de Riesgos.

3.1. Identificación de riesgos.

3.2. Análisis de riesgos.

3.3. Mapa de riesgos.

4. Anexo D. Políticas de seguridad.

17

AGRADECIMIENTOS.

Expresamos nuestro sincero agradecimiento a Dios, por brindarnos Salud y

permitirnos llegar hasta este momento tan importante. Agradecemos

profundamente a nuestros padres, por su apoyo y amor incondicional, y fueron

testigos de nuestra formación profesional.

Agradecemos a la Universidad Francisco José de Caldas por habernos brindado la

oportunidad de estudiar, ser personas con valores y cumplir una meta personal al

culminar una carrera profesional.

Al Ing. Miguel Ángel Leguizamón Páez, por su orientación, supervisión, apoyo y

participación activa en el desarrollo del proyecto y a lo largo de nuestra carrera

profesional. Finalmente, pero no con menos importancia agradecemos a nuestra

familia, compañeros y amigos, puesto que nos brindaron su apoyo y sus consejos

para seguir adelante con nuestra formación profesional y personal.

18

RESUMEN

Documento monográfico que establece una guía para la planificación e

implementación de un sistema de gestión de la seguridad de la información (SGSI)

de las empresas corredoras de seguros y afines, basada en la norma ISO

27001:2013; y gestión de riesgos de la norma ISO 31000.; iniciando con el análisis

de la situación actual bajo la óptica de los procesos críticos de la operación

documental, ejecución del diagnóstico de seguridad de la información, análisis,

identificación y mapeo de los principales riesgos que determina la ISO 31000 dentro

de la gestión de riesgos .

El proyecto se estructura por capítulos; en cada uno de estos se desarrollan los

objetivos planteados de la siguiente manera:

1. Planeación: Se especifica el planteamiento del problema, en el cual se

evidencian las problemáticas en organizaciones corredoras de seguros que no

cuentan con un completo SGSI. Se establecen los objetivos del SGSI a desarrollar,

el marco de referencia a partir del cual se logró medir las dimensiones del proyecto

culminando con el cronograma del proyecto y la factibilidad económica para

implementarlo en cualquier institución educativa.

2. Análisis de la situación actual: Se inicia con la descripción de la situación actual

de la empresa a intervenir (Sinergia Profesionales en Seguros Ltda.); basados en el

análisis y diagnóstico de la red de datos implementado actualmente. Dicho estudio

se ejecuta con el fin de plantear un modelo de seguridad de la información, que sirva

de guía a pequeñas y medianas empresas que requieran un modelo para fortalecer

la disponibilidad, integridad y confiabilidad de la información, así como la

implementación y/o actualización de sus actuales modelos.

3. Planificación: Se desarrolla el análisis de riesgos con base en la descripción

inicial y lo establecido en la norma ISO 27001.; se establece una identificación de

activos y se estructuran los controles para mitigar los riesgos identificados.

4. Políticas de seguridad: define las políticas y prácticas que regulan la forma en

que se protegen los recursos, con el fin de llevar a cabo los objetivos de seguridad

de la información.

19

ABSTRACT

This monograph document, describes the objectives, the scope, the expectation of

the ISMS and the methodology associated with the definition, planning, identification

and design of the information security model applied to brokers, based on ISO

27001: 2013 ; starting with the analysis of the current situation from the point of view

of the critical processes of the documentary operation, execution of the diagnosis of

information security, identification of the main vulnerabilities and threats, applying a

methodology of information security risk management, planning and risk treatment

with a support document that allows building an information security management

system focused on insurance brokers.

The project is structured by chapters, in each of these the objectives stated are

developed as follows:

1. Planning: specifies the approach to the problem in which the disadvantages

presented by insurance brokerage organizations that do not have an implemented

ISMS, the objectives of the ISMS to be developed, the reference framework as of

which was able to measure the dimensions of the project and finally find the project

schedule and the economic feasibility to implement it in any educational institution.

2. Analysis of the current situation: describes the current situation of the company

Sinergia Ltd., in terms of the analysis and diagnosis of the data network. This

company is selected for the study in order to raise a model of information security,

with the main objective is to guide small and medium-sized companies that need this

model to strengthen the availability, integrity and reliability of the information, as well

as the implementation or update of their current models.

3. Planning: the risk analysis is developed according to what was identified in the

organization and what is established in ISO 27001, an identification of assets is

established and controls are established to mitigate the identified risks.

4. Security policies: defines the policies and practices that regulate the way in

which resources are protected, in order to carry out information security objectives.

20

GLOSARIO

ACTIVO DE INFORMACIÓN: Recursos del sistema de información o relacionados

con este, necesarios para que la organización funcione correctamente y alcance los

objetivos propuestos por la dirección.

ALTA DIRECCIÓN: Está conformada por la gerencia y directivos de la organización

AMENAZAS: Eventos que pueden desencadenar incidentes en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

ANÁLISIS DE RIESGOS: Método sistemático de recopilación, evaluación, registro

y difusión de información requerida para formular recomendaciones encaminadas a

la adopción de una medida en respuesta a un determinado peligro.

CONTROL: Medida preventiva o correctiva ante la presencia de diferentes riesgos.

EFECTIVIDAD: Medida del impacto de la gestión tanto en el logro de los resultados

planificados, como en el manejo de los recursos utilizados y disponibles.

EFICACIA: Grado en que se realizan las actividades planificadas y se alcanzan los

resultados planificados.

EFICIENCIA: Relación entre el resultado alcanzado y los recursos estimados.

ESTIMACIÓN DEL RIESGO: Proceso de asignación de valores a la probabilidad de

impacto de un riesgo.

GESTIÓN DEL RIESGO: Actividades coordinadas para dirigir y controlar los

aspectos asociados al riesgo dentro de una organización.

IMPACTO DE UN ACTIVO: Consecuencia sobre éste de la materialización de una

amenaza.

INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: Evento o serie de eventos

de seguridad de la información no deseados o esperados, que pueden comprometer

las operaciones del negocio y amenazar la seguridad de la información.

INFORMACIÓN: Datos relacionados que tienen significado para la organización.

ISMS: Término en ingles de SGSI. Information Security Management System.

ISO: International Standard Organization. En español Organización de Estándares

Internacionales.

21

PROBABILIDAD: Posibilidad de que una amenaza aproveche la vulnerabilidad

para materializar el riesgo.

PROCESO: Actividades relacionadas entre sí o que interactúan para generar valor

y las cuales transforman elementos de entrada en resultados.

RIESGO: Toda posibilidad de ocurrencia de una situación que pueda impedir el

desarrollo normal de las funciones de la empresa dificultando el logro de sus

objetivos.

RIESGO RESIDUAL: Valor de riesgo tras la aplicación de uno o varios controles.

SEGURIDAD INFORMÁTICA: Asegurar que los recursos del sistema de

información de una organización sean seguro y confiables, mediante el

establecimiento de normas, métodos y técnicas.

S.G.S.I: Sistema de Gestión de Seguridad de la Información

VULNERABILIDADES: Debilidades que son aprovechadas por amenazas y

generan un riesgo

PRUEBAS DE FAILOVER: Es un modo de funcionamiento de respaldo en el que

las funciones de un componente de sistema (tal como un procesador, servidor, red

o base de datos, por ejemplo) son asumidos por componentes del sistema

secundario cuando el componente principal no está disponible ya sea debido a una

falla o por el tiempo de inactividad programado.

22

INTRODUCCIÓN

En los últimos años la información se considera uno de los activos más valiosos de

una empresa, los costos derivados a la pérdida de seguridad en el manejo de dicha

información (no son sólo costes económicos directos), afectan directamente la

imagen y fiabilidad de la empresa; por ende, la seguridad de la información forma

parte de los principales objetivos de las empresas e incentiva la necesidad de

reforzar e implementar sistemas de gestión que refuerce dichos aspectos.

La continua evolución, crecimiento y sofisticación de la tecnología, al igual que los

ataques cibernéticos en las organizaciones, ponen en manifiesto la necesidad de

adoptar las medidas y modelos que permitan proteger a la empresa ante las

amenazas a los activos informáticos.

Sinergia Profesionales en Seguros Ltda, ubicada en la ciudad de Bogotá– Colombia,

es una empresa prestadora de servicios de intermediación de seguros para

personas jurídicas y naturales. Como empresa quieren asegurarse de brindar a sus

clientes la satisfacción del cumplimento de todas sus necesidades específicas

dentro de su campo de acción. Actualmente la empresa no cuenta con un modelo

de control eficaz en el campo de la confidencialidad, protección de la integridad de

la información y garantía de disponibilidad de la misma; así como la precisión

durante el tratamiento de la información. Razón por la cual no cuenta con la correcta

protección de los datos de clientes, empleados, socios comerciales y cualquier ente

relacionado.

Basados en la importancia y necesidades primarias mencionadas sobre el manejo

de información, es necesario el desarrollo de un modelo de gestión de seguridad de

la información (SGSI). Esté, específicamente planteado para corredores de bolsa y

afines, busca ayudar a las empresas, compañías u organizaciones a cumplir sus

objetivos y promesas de seguridad en el manejo de la información. La gestión de la

seguridad de la información debe realizarse mediante un proceso sistemático,

documentado y conocido por todos los integrantes de la empresa.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso

de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de

la seguridad de la información es, garantizar que los riesgos de la seguridad de la

información sean conocidos, asumidos, gestionados y minimizados por la

organización de una forma documentada, sistemática, estructurada, repetible,

23

eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las

tecnologías.

Para la protección y seguridad de la información se deben tener en cuenta todas las

medidas preventivas y reactivas de las organizaciones y de los sistemas

tecnológicos que permitan resguardar y proteger la información, buscando de esta

manera mantener la confidencialidad, la disponibilidad e integridad de la misma.

Las entidades que cuentan con un flujo de información sensible, están en la

obligación de garantizar la debida seguridad, protección y privacidad de la

información financiera y personal de los usuarios que residen en sus bases de

datos; lo que implica que deben contar con los más altos estándares y niveles de

seguridad con el fin de asegurar la correcta recolección, almacenamiento,

tratamiento y uso de esta información.

La seguridad en los datos es una latente constante en las empresas, esto debido a

los diferentes cambios en las leyes y regulaciones como se cita en el siguiente

párrafo del centro criptológico nacional. “La importancia de la gestión de riesgos

operativos y de seguridad se ha incrementado debido a diversos factores, entre los

que se destacan el aumento de los requisitos por parte de leyes y regulaciones, el

crecimiento de los riesgos en seguridad por parte de los empleados y el número

cada vez mayor de brechas en la seguridad de los datos.1”

1Centro Criptológico Nacional, Defensa frente a las ciberamenazas, [En línea] 2007, [Consultado el 16 de junio

de 2017], Disponible en internet (https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-

preocupaciones-en-seguridad-del-sector-bancario.html)

24

1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN

La información, junto a sus procesos y sistemas de manejo, son activos importantes

de una empresa. La confidencialidad, integridad y disponibilidad de información

sensible pueden ser características fundamentales para mantener los niveles de

competitividad, rentabilidad, conformidad legal e imagen empresarial. La correcta

identificación de las vulnerabilidades y amenazas que afectan a la empresa, permite

construir y actualizar mecanismos, estándares y políticas que lleve a la empresa a

reducir los riesgos (calculado, residual, intrínseco). Por esta razón la elaboración e

implementación de políticas ayudan en la preservación de los pilares fundamentales

de un SGIS, así como de los sistemas implicados en su tratamiento, dentro de una

organización.

1.1 Título

Modelo de un sistema de gestión de la seguridad de la información (SGSI) aplicada

a corredores de seguros bajo el marco de referencia de la norma ISO/IEC 27001

1.2 Tema

El tema principal de este proyecto es la elaboración de un SGSI (Sistema de Gestión

de Seguridad de la Información) que sirva como modelo o base de iniciación en el

planteamiento, desarrollo y posteriormente implantación en empresas de corredores

de seguros y afines. Entre los puntos más relevantes se destacan las políticas a

implementar en el ámbito operativo, cifrado de información, respaldo de información,

seguridad en red, entre otros.

1.3 Planteamiento del problema

Actualmente las entidades intermediarias o corredores de seguros, como

COOMEVA corredores de seguros, AVIA corredores de seguros S.A, entre otras

que se especializan en correduría de seguros (Agencias de seguros, agentes de

seguros, comerciales de seguros), tienen la responsabilidad de manejar de la

manera más segura y confiable, el volumen de información que manejan todos los

25

usuarios que solicitan uno de los muchos tipos de seguros que prestas las

aseguradoras del país; pues son ellos los encargados de supervisar y asegurar

responsablemente la manipulación de la información personal y especifica de los

usuarios, facturación, pólizas, recaudos y toda la parte administrativa, dicha

manipulación debe estar soportada en un sistema de información que apoye la

gestión de riesgos de seguridad, en conjunto con el personal de la compañía.

Dentro de los innumerables servicios que prestan los corredores de seguros, es

notable ver que no cuentan con un modelo adecuado de SGSI (Sistema de Gestión

de Seguridad de la información), que permita analizar, prever y solucionar riesgos,

amenazas y vulnerabilidades de seguridad que se presenten en este proceso,

donde generalmente conlleva a fraudes, sabotaje y suplantación, afectando la

integridad de las personas y de la misma organización.

Actualmente las empresas corredoras de seguros, presentan falencias en sus

sistemas de gestión y seguridad de la información, ya sea porque no se

contemplaron los posibles escenarios de riego, amenazas, vulnerabilidades y

demás aspectos de seguridad a nivel tecnológico o sencillamente porque sus SGSI

no son adaptables a la constante evolución tecnológica que requiere este mercado.

Actualmente existen riesgos que amenazan la privacidad de la información, que

deben ser controlados para mitigar los daños que puedan causar, y en base a eso

cumplir con los principios básicos de confiabilidad y disponibilidad de la información.

En un SGSI, los riesgos son definidos y expresados en términos de la combinación

de la probabilidad de ocurrencia de un evento no deseado y sus consecuencias, por

lo cual todas las medidas de seguridad que se deseen tomar van enfocadas a

reducir gradualmente los riesgos, con la finalidad de mitigar cualquier impacto

negativo que se pueda presentar si se llegase a materializar la amenaza.

En las últimas décadas, se ha incrementado de manera exponencial la adquisición

de cualquier tipo de seguro por parte de las personas naturales y/o jurídicas, por lo

cual los corredores de seguros han evolucionado sus formas de comercializar sus

productos: Ventas puerta a puerta, promociones, ventas digitales (llamadas, pagina

web) entre otros; con la finalidad de atender la demanda actual.

Es importante resaltar que las pólizas de seguros que hoy se adquieren cuentan

con grandes ofertas que motivan al posible beneficiario adquirir uno o más servicios,

ya sea para garantizar un cubrimiento económico en caso un evento no deseado,

tanto para el bienestar del asegurado como para sus bienes.

26

1.3.1 Formulación del problema

Son tres los principios básicos de un SGSI: Confidencialidad, Integridad y

Disponibilidad; si alguno de estos presenta falencias es necesario plantear nuevas

políticas que apoyen a reducir los riesgos y las amenazas. La sinergia de estos

principios es fundamental para el óptimo y satisfactorio desarrollo e implementación

del sistema de gestión de la información. Por lo cual, es indispensable cuestionarse

desde el inicio de los procesos corporativos si se cumplen dichos principios, ¿Se

garantiza la integridad de los datos?, ¿Está bien que información personal se

demore en llegar a las instalaciones? ¿Qué ocurre si se extravía un formato ya

diligenciado?

¿Cómo identificar los componentes para gestionar la información recopilada por

corredores de seguros garantizando confidencialidad, integridad y disponibilidad de

los datos?

1.4 Justificación

Teniendo en cuenta el creciente aumento de amenazas informáticas que buscan

sustraer de las empresas su información, que con lleva a fraudes financieros,

denegación de servicios además de afectar directamente la imagen de una

organización; las empresas encargadas de los temas de seguridad y como soporte

sus informes, han obligado a las organizaciones a darle prioridad al tema de la

seguridad ya que tanto la información, los procesos y los sistemas que hacen uso

de la misma, son sus activos más valiosos.

Las organizaciones han entendido que, si los mecanismos de protección informática

implementados fallan, es necesario contar con procesos estructurados y personal

especializado que maneje incidentes de seguridad de información y restablezca los

temas en el menor tiempo posible. Es por esto que en la actualidad poder asegurar

la confidencialidad, integridad y disponibilidad de la información más sensible llegan

a ser esenciales para ellas en aras de mantener sus niveles de competitividad,

beneficio económico, conformidad legal e imagen empresarial obligatorios para

lograr los objetivos de la organización, asegurando obtener beneficios económicos.

Los datos e información constituyen la materia prima para la gestión de las

empresas de correduría de seguros. Es deber de la organización garantizar la

27

confidencialidad, integridad y disponibilidad de esta información; la dirección es

consciente que la seguridad establecida por las compañía en este momento es

puede ser limita e incompleta, es por esto que requieren como una primera etapa,

se realice un análisis de la situación actual de las empresas en cuanto a la seguridad

informática, y con base en este diagnóstico se diseñe un modelo de Sistema de

Seguridad que permita ofrecer un mejor nivel de servicio en calidad, funcionalidad

y facilidad en el uso de la seguridad a este tipo de empresas, de manera tal que al

ser implementado minimice costos a la organización.

1.5 Objetivos

1.5.1 Objetivo general

Diseñar un documento guía de un modelo de un sistema de gestión de la seguridad

de la información (SGSI), donde se identifiquen las políticas de seguridad de la

información, que permitan implementar mecanismos y controles necesarios para

hacer gestión de riesgos, basados en la norma ISO/IEC 27001:2013.

1.5.2 Objetivos específicos

Realizar levantamiento de información para analizar la situación actual de

seguridad de la información en las entidades intermediarias de seguros.

Analizar e identificar riesgos utilizando los fundamentos de la gestión de

riesgos ISO 31000.

Contextualizar los riesgos identificados para determinar acciones de

detección y prevención con la finalidad de minimizar cualquier impacto

generado por la ocurrencia de una amenaza.

28

Definir políticas de seguridad que garanticen el correcto funcionamiento de

un SGSI, bajo los principios fundamentales de la seguridad de la información

(integridad, confidencialidad, disponibilidad).

1.6 Solución tecnológica

En este proyecto se realiza la definición de cada uno de los principales riesgos

identificados, que puede afectar a la organización, con el fin de construir políticas

generales que puedan ser consideradas, modificadas y/o aplicadas para minimizar

los riesgos latentes a los que se encuentran expuestos las compañías de corredores

de seguros, asumiendo como finalidad general el garantizar la confiabilidad,

disponibilidad e integridad de la información.

Con la evolución de los mercados y de las organizaciones, uno de los activos más

importantes con las que estos cuentan es la información (data), es por ello que se

hace vital contar con mecanismos, planes y/o estrategias que permitan garantizar

la calidad y el aseguramiento de la información generando políticas y controles bien

sea en busca de garantizar la continuidad del negocio o de una certificación como

carta de presentación y de distinción ante la competencia. Es importante que las

organizaciones y en este caso particular las de corredores de seguros tomen

conciencia de la necesidad de alinear sus objetivos institucionales, asegurar el flujo

de información, optimizar recursos y garantizar la confidencialidad, disponibilidad e

integridad de la misma.

Como resultado final se entrega una monografía donde se identifican cada una de

los riesgos, donde un profesional encargado procederá a realizar las respectivas

implementaciones de las políticas establecidas, las cuales se encuentran apoyadas

en un sistema de gestión de seguridad de la información (SGSI) que ayudará a llevar

a feliz término dicha implementación.

29

1.7 Alcance

De acuerdo al estándar internacional ISO/IEC 27001:2013, se realiza un

levantamiento de información para analizar la posible situación actual de la

seguridad de la información, se evaluarán riesgos e impactos, permitiendo así un

análisis comparativo de los controles a ser establecidos en la organización, respecto

a los controles planteados en la norma.

Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) áreas críticas

de cualquier organización como son los activos, seguridad física y ambiental, el

control de acceso y adicionalmente estos dominios están directamente relacionados

con los tres pilares básicos de la seguridad.

El documento generado a partir de la investigación realizada en este proyecto podrá

ser tenido en cuenta como guía por las compañías corredores de seguro para su

evaluación, corrección e implementación de las políticas resaltadas en el SGSI, por

lo tanto, el alcance máximo del proyecto radica en la identificación, valoración y la

construcción de la política para reducir los riesgos identificados.

1.8 Limitaciones

Las “limitaciones” jamás se refieren a las dificultades de realización, sino a los

“límites” o fronteras hasta donde llegan las aspiraciones de la investigación,

referencia a los objetivos

1.8.1 Temporal

Para la elaboración de un modelo de un sistema de gestión de la seguridad de la

información (SGSI) aplicado a corredores de seguros, bajo el marco de referencia

de la norma ISO/IEC 27001 se estima un tiempo de seis a nueve meses, abarcados

entre las fechas de enero de 2018 hasta septiembre de 2018.

1.8.2 Geográfica

El análisis de los riesgos existentes para las organizaciones de corredores de

seguros se realiza únicamente en la ciudad de Bogotá. Sinergia Profesionales en

Seguros Ltda es la empresa seleccionada para el análisis, planteamiento, desarrollo

e implementación del SGSI.

30

1.8.3 Conceptual

Los conceptos a manejar en este proyecto son los relacionados con la Seguridad

de la Información, Sistema de Gestión de Seguridad de la Información (SGSI),

Riesgos, Administración de Riesgos, Políticas de Seguridad de la Información y

Controles.

1.8.4 Operativa

Este proyecto diseña un Sistema de Gestión de Seguridad de la Información (SGSI)

para las organizaciones de corredores de seguros, en aras de lograr un excelente

nivel de protección de los activos de información de acuerdo con el valor y riesgo

que represente para la organización.

1.9 Marcos de referencia

1.9.1 Marco histórico

Las políticas y los procedimientos de seguridad informática surgen como una

herramienta organizacional para concienciar a cada uno de los miembros de una

organización sobre la importancia y la sensibilidad de la información que favorecen

el desarrollo y el buen funcionamiento de la organización. Deben considerarse como

reglas a cumplir que surgen para evitar problemas y que se establecen para dar

soporte a los mecanismos de seguridad implementados en los sistemas y en las

redes de comunicación.2

Un plan de seguridad en una organización debe estar soportado por políticas y

procedimientos que definan porque proteger un recurso, que quiere hacer la

organización para protegerlo y como debe procederse para poder lograrlo.

2 Guindel Sánchez, Esmeralda. Calidad y seguridad de la información y auditoría informática. e-

archivo.uc3m.es. [En línea]. [Consultado 15 de julio de 2017]. Disponible en internet: https://e-

archivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessionid=10850A53006DB846CED4

EDCEDEDE1C40?sequence=1

31

1.9.2 Estado del arte

En la actualidad la seguridad de la información debe ser un componente crítico en

la estrategia de negocio para cualquier organización, adicionalmente debe ser

manejada en un proceso integral, que garantice “protección” en todos los aspectos

(físicos, lógicos, humanos), bajo esta visión en los últimos años en Colombia las

organizaciones tanto en el ámbito público como en el privado, vienen blindando sus

infraestructuras tecnológicas contra todo tipo de amenazas, en aras de proteger su

infraestructura crítica y por ende sus procesos vitales.

Resultado de este nuevo enfoque empresarial se han venido desarrollado estudios,

investigaciones y proyectos de grado relacionados con el tema de seguridad

informática, los cuales han sido tomados como referentes para el desarrollo del

presente trabajo, los cuales se describen a continuación:

“Marco Normativo (Normas y políticas) de un SGSI”3

El tema de reglamentación de seguridad de la información en Colombia es

prácticamente inexistente, por lo que todo SGSI está fundamentado netamente en

la 27001 con los controles de la 27002 (Anexo A de la 27001).

Para implementar con éxito un SGSI se debe constituir un modelo normativo el cual

puede estructurarse mediante el documento de políticas, teniendo en cuenta uno a

uno todos los dominios y normas que complementen a la política y que agrupen los

objetivos de control existentes en la ISO 27002, obteniendo así 10 Políticas, y 30

normas o más en busca de cubrir completamente lo incluido en esta Norma.

Dificultades en la implementación de un SGSI4

A la hora de hacer la implementación y desarrollo de un plan de SGSI, es importante

tener en cuenta los problemas con los que se va a encontrar, teniendo en cuenta

que se aplicará sobre una empresa que ya se encuentra constituida y la

3 CAMELO, Leonardo. Seguridad de la Información en Colombia. Marco Normativo (Normas y políticas) de

un SGSI. [En línea]. 2010. [Consultado 10 de junio de 2017]. Disponible en Internet:

(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-normas-y-politicas-de.html) 4 CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia personal: dificultades en la

implementación de un SGSI. [En línea]. [Consultado 26 de marzo, 2017]. Disponible en Internet:

(seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-dificultades-en-la.html)

32

implementación de estos planes precisan de cambios en distintas áreas tales como

manejo de personal, manejo de información, cambio de políticas e inversión de

recursos.

Dentro de las dificultades a la hora de implementar un SGSI quizá la más

significativa es la del dinero, no se puede hablar de dinero sin haber hecho

previamente una adecuada evaluación de riesgos la cual nos indique a que

amenazas está expuesta la Organización, y allí si determinar cuáles serían los

controles a implementar sabiendo obviamente cuales costos van a representar. Este

tema si va en un solo sentido: no se puede hablar primero de dinero y luego de

controles.

Aun así, una vez se haga una adecuada evaluación de los riesgos será más

controlable la variable riesgo.

Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea

2.05

El documento presenta una estrategia de preparación por parte del Gobierno para

soportar al Sistema de Administración de Seguridad de la Información de Gobierno

en Línea (SASIGEL) como modelo sostenible, y cubre desde la preparación de la

organización para comenzar la implementación del Modelo, la definición de las

brechas, la alineación y la implementación del SGSI como modelo sostenible.

En el capítulo tres (3), se presenta la alineación del Modelo de seguridad de la

Información con la arquitectura empresarial de la Estrategia de Gobierno en línea.

En el capítulo cuatro (4), se presenta una estrategia de preparación por parte del

gobierno central para soportar al Sistema de Administración de Seguridad de la

Información de Gobierno en línea (SASIGEL) como modelo sostenible.

Posteriormente, en el capítulo cinco (5), se cubre la preparación de la organización

para comenzar la implementación del Modelo, la definición de las brechas, la

alineación y la implementación del Sistema de Gestión de la Seguridad de la

Información (SGSI) como modelo sostenible.

5 MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. Modelo de

Seguridad de la Información para la Estrategia de Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. [Consultado

el 15 de junio de 2017]. Disponible en Internet:

(http://www.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pdf)

33

La importancia de un SGSI6

Para el autor de este artículo un SGSI permite obtener una visión global del estado

de los sistemas de información sin caer en detalles técnicos, brindando la opción de

observar los resultados obtenidos al aplicar las medidas de seguridad; con estos

resultados la alta gerencia podrá tomar mejores decisiones estratégicas.

Adicionalmente define como punto importante a tener en cuenta el que un SGSI se

debe documentar muy bien y debe darse a conocer a todo el personal de la

organización en todos los niveles jerárquicos, teniendo en cuenta que será

necesario implantar diferentes controles que ayudarán a mantener los riesgos

potenciales en un nivel bajo.

Una organización debe considerar dentro de sus prioridades establecer un SGSI si

realmente quiere administrar la seguridad en su organización, especialmente para

conseguir eficiencia y garantía en la protección de sus activos de información.

Resumen Ejecutivo Memoria TFM Plan de Implementación del SGSI7

El autor hace una descripción de una manera diferente de su visión como Consultor

en seguridad de la información sobre la Ciberseguridad y cómo “los malos” han

impactado el mundo de los sistemas de información. Su visión la resume en tres

goles que estos malos han marcado, donde el primer gol se debe a que no se le dio

la suficiente importancia de la seguridad desde el diseño en la fabricación de

software, ocasionando con ello productos inseguros.

El segundo gol se produce debido a que uno, las empresas no le dan la suficiente

importancia al área de tecnología ocasionando la falta de recursos humanos

6 PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En línea].2010. [Consultado

25 de junio de 2017]. Disponible en Internet: (www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-

un-sgsi/) 7 SALCEDO, Robin. Plan de Implementación del SGSI basado en la Norma ISO 27001:2013. Memoria Trabajo

Final Máster MISTIC. Barcelona: Universidad Oberte Catalunya. [En línea].2014. 43 p. [Consultado 13 de

enero, 2015]. Disponible en Internet:

(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214memoria.pdf)

34

especializados y recursos tecnológicos para afrontar los peligros cibernéticos

generados por la conexión a Internet y que día a día acechan las empresas, pues

como es sabido el delincuente online es internacional y el Internet no conoce

fronteras; y dos la prioridad que se da a perseguir a los ciber delincuentes es

relativamente baja al igual que las penas por delitos cibernético, transmitiendo

mensajes equivocados a la delincuencia online, la cual aumenta a gran velocidad.

El tercer gol se debe a que los malos desarrollaron una auténtica industria del

malware logrado traspasar medidas de seguridad perimetral como Firewalls y

antivirus. El malware ahora viene como un software inofensivo que el antivirus no

detecta; en el fondo los malos están utilizando las mismas técnicas usadas en la

protección legítima de datos, pero para unas finalidades diferentes. Es por esto que

con este nivel de sofisticación las medidas tradicionales ya están siendo superadas.

Consejos de implantación y métricas de ISO/IEC 27001 y 270028

Este documento pretende ayudar a otros que estén implantando o planeando

implantar los estándares ISO/IEC de gestión de seguridad de la información. Al igual

que los propios estándares ISO/IEC, se trata de un documento genérico y necesita

ser adaptado a las necesidades específicas de cada uno.

Se considera la gestión de continuidad de negocio como un proceso con entradas

provenientes de muchas funciones como: alta dirección, TI, operaciones, entre

otros. y de diversas actividades entre ellas la evaluación de riesgos, asegurando la

adaptación y concienciación mediante personas y unidades organizativas

relevantes en los planes de continuidad de negocio. Deberían llevarse a cabo las

pruebas pertinentes entre ellas simulacros, pruebas de fail over, pruebas sobre el

papel, entre otros.) para de esa forma mantener los planes actualizados, aumentar

la confianza de la alta dirección en los planes y por último familiarizar a los

empleados relevantes con sus funciones y responsabilidades cuando se encuentren

bajo condiciones de desastre.

8COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE

ISO27001SECURITY.COM. Consejos de implantación y métricas de ISO/IEC 27001 y 27002. Traducido por

www.iso27000.es. [En línea] Versión 1, 16 p. 2007. [Consultado 26 de junio de 2017]. Disponible en Internet:

(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.pdf)

35

Lo que no debes pasar por alto para gestionar la seguridad de la información9

Para el autor al momento de integrar temas seguridad de la información con la

organización lo más complicado es que estos no se orientan en las necesidades e

intereses del negocio, razón por la cual revisa son los aspectos fundamentales que

no se deben pasar por alto, tales como:

¿Qué debe garantizar nuestro Sistema de Gestión de Seguridad de la

Información (SGSI)?

La piedra angular: política de seguridad

Clasificar la información corporativa

Qué hacer y dónde enfocar esfuerzos: Análisis de riesgos

Lo que no se puede olvidar

Normatividad: Políticas de seguridad de la información - Parte I10

En el ámbito de la seguridad de la información, una política es un documento donde

se consignan las reglas o requisitos definidos y que deben cumplirse en una

organización. Presenta una declaración formal, de manera breve y en un alto nivel,

la cual que abarca las creencias generales de la organización, metas, objetivos y

procedimientos aceptables para un área determinada.

9 GUTIÉRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad de la información. En:

Revista. Seguridad. [En línea]. no.22 (ago-sep.2014). p.04-06. [Consultado 26 de marzo, 2017]. Disponible en

Internet: revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num22.pdf

10 MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones: Políticas de seguridad de

la información - Parte I. En: Revista Seguridad. [En línea]. no.16, (Ene-Feb 2013). p. 13-17. [Consultado 17 de

julio de 2017]. Disponible en Internet:

(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seguridad_Num16_0.pdf)

36

Las políticas de seguridad de la información proveen un marco para que los

empleados de una organización sigan las mejores prácticas, permitiendo de esta

manera minimizar riesgos y responder a incidentes inesperados, es por esto que al

crearse el documento de las políticas es imprescindible tener en cuenta las

operaciones cotidianas, los hábitos de sus empleados y la cultura organizacional,

para así llegar a todas las audiencias logrando su aceptación y cumplimiento.

Igualmente ayudan a la organización a asegurar sus activos, definir su postura ante

la protección de la información frente a sucesos tales como: accesos no autorizados,

modificación, divulgación o destrucción.

La norma ISO 27001:2013 ¿Cuál es su estructura?11

La norma ISO 27001:2013 no sólo establece cambios en el contenido sino también

en la estructura, viéndose reflejada en otros documentos que hacen parte de la

familia ISO 27000.

La norma ISO 27001:2013, proporcionando un formato y una alineación conjunta

que siguen el desarrollo documental de un Sistema de Gestión sin importarle el

enfoque empresarial; todos los documentos que se relacionan con el Sistema de

Gestión de Seguridad de la Información se alinean bajo la misma estructura

evitando problemas de integración con otros marcos de referencia.

¿Por qué implantar un SGSI basado en la norma ISO 27001?12

Según ISO-27001 un Sistema de Gestión de Seguridad de la Información eficaz,

tiene que generar valor agregado a las organizaciones, ya que les permiten hacer

mejor las cosas, es decir, de una forma mucho más económica y más rápida.

11 ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 ¿Cuál es su estructura? [En línea]. 2015.

[Consultado 18 de junio de 2017]. Disponible en Internet: (http://www.pmg-ssi.com/2015/08/norma-iso-27001-

2013-estructura/) 12 ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma ISO 27001. [En línea].

2015. [Consultado 18 de junio de 2017]. Disponible en Internet: (http://www.pmg-ssi.com/2015/05/por-que-

implantar-un-sgsi-basado-en-la-norma-iso-27001/)

37

Implementar un Sistema de Gestión de Seguridad de la Información ISO 27001

ofrece la oportunidad de optimizar las áreas, dentro de la organización, relacionadas

con la información que más le importan a la alta dirección de la empresa.

La norma ISO 27001 persigue un enfoque muy detallado hacía la Seguridad de la

Información. Los activos necesitan proteger la información, ya sea en papel, en

formato digital o los activos físicos, los empleados deben tener los conocimientos

necesarios.

Medición de un SGSI: diseñando el cuadro de mandos13

Implantar un SGSI debe siempre tener una motivación y unos objetivos concretos y

tangibles. Por tanto, la medición que se debe instaurar dentro del sistema deberá

tender a medir la realidad del cumplimiento de estos objetivos. Se pueden

establecer tres grandes ejes donde colocar sensores de medición relacionados con

las metas del SGSI, estos ejes son:

Eje de Metas de la Dirección: La organización establece su estrategia de

seguridad basándose en el análisis de riesgos, pero estos resultados no son

los únicos que determinan las necesidades de seguridad. Hay

organizaciones que consideran no tolerable sufrir un incumplimiento legal o

no poder recuperarse frente a un desastre, aunque ello no suponga riesgos

fuera del umbral aceptable. Por tanto, en este eje se tienen en consideración

aquellos requisitos de negocio que están relacionados con la seguridad de la

información o condicionados por su buen funcionamiento y tiene que ver con

logros a medio y largo plazo.

Eje del riesgo: Estos objetivos estarán directamente relacionados con los

resultados del análisis de riesgos y tendrán como finalidad la reducción de

los mismos. Por tanto, los indicadores serán situados en torno a las medidas

de seguridad que velan por reducir los riesgos más preocupantes que no han

sido aceptados y sobre los que se ha diseñado un plan de tratamiento a poner

en marcha. Estas son las medidas de seguridad más importantes para

13 CAO, Javier. Medición de un SGSI: diseñando el cuadro de mandos. [En línea]. [consultado 12 de junio de

2017]. Disponible en Internet: (https://www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-

cuadro-de-mandos/)

38

nuestro SGSI dado que su error o fallo implica un problema severo de

seguridad (que sitúa al riesgo fuera del umbral aceptable) y tienen que ver

con los resultados del día a día.

Eje del tiempo: Es necesario también medir la evolución a lo largo del tiempo del grado de implantación del plan de tratamiento del riesgo, así como la evolución de la madurez de las medidas. Dado que una de las actividades dentro del ciclo de gestión del SGSI es la definición de un plan de tratamiento, el seguimiento de la ejecución en el tiempo será otro eje a atender.

1.9.3 Marco conceptual

1.9.3.1 ¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos

muy importantes de una organización. La confidencialidad, integridad y

disponibilidad de información sensible pueden llegar a ser esenciales para mantener

los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial

necesarios para lograr los objetivos de la organización y asegurar beneficios

económicos.

Las organizaciones y sus sistemas de información están expuestos a un número

cada vez más elevado de amenazas que, aprovechando cualquiera de las

vulnerabilidades existentes, pueden someter a activos críticos de información a

diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos,

el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes

y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de

seguridad causados voluntaria o involuntariamente desde dentro de la propia

organización o aquellos provocados accidentalmente por catástrofes naturales y

fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones

variables del entorno, la protección adecuada de los objetivos de negocio para

asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de

negocio, son algunos de los aspectos fundamentales en los que un SGSI es una

39

herramienta de gran utilidad y de importante ayuda para la gestión de las

organizaciones.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por

sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la

organización, con la gerencia al frente, tomando en consideración también a clientes

y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe

contemplar unos procedimientos adecuados y la planificación e implantación de

controles de seguridad basados en una evaluación de riesgos y en una medición de

la eficacia de los mismos.

Ilustración 1 - funcionamiento SGSI

Fuente: www.iso27000.es

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer

estas políticas y procedimientos en relación a los objetivos de negocio de la

40

organización, con objeto de mantener un nivel de exposición siempre menor al nivel

de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su

información y los asume, minimiza, transfiere o controla mediante una sistemática

definida, documentada y conocida por todos, que se revisa y mejora

constantemente.

1.9.3.2 ¿QUÉ INCLUYE UN SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado

gráficamente la documentación del sistema como una pirámide de cuatro niveles.

Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la

Información basado en ISO 27001 de la siguiente forma:

Ilustración 2 - Componentes de un SGSI

Fuente: www.iso27000.es

41

1.9.3.2.1 Documentos de nivel 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término

se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el

sistema, el que expone y determina las intenciones, alcance, objetivos,

responsabilidades, políticas y directrices principales, entre otras, del SGSI.


Procedimientos: documentos en el nivel operativo, que aseguran que se realicen

de forma eficaz la planificación, operación y control de los procesos de seguridad

de la información.


Instrucciones, check lists y formularios: documentos que describen cómo se

realizan las tareas y las actividades específicas relacionadas con la seguridad de la

información.


Registros: documentos que proporcionan una evidencia objetiva del cumplimiento

de los requisitos del SGSI; están asociados a documentos de los otros tres niveles

como output que demuestra que se ha cumplido lo indicado en los mismos. De

manera específica, ISO 27001 indica que un SGSI debe estar formado por los

siguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

incluyendo una identificación clara de las dependencias, relaciones y límites

que existen entre el alcance y aquellas partes que no hayan sido

consideradas (en aquellos casos en los que el ámbito de influencia del SGSI

considere un subconjunto de la organización como delegaciones, divisiones,

áreas, procesos, sistemas o tareas concretas).

42

Política y objetivos de seguridad: documento de contenido genérico que

establece el compromiso de la dirección y el enfoque de la organización en

la gestión de la seguridad de la información.

Procedimientos y mecanismos de control que soportan al SGSI:

aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluación de riesgos: descripción de la metodología a

emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades,

probabilidades de ocurrencia e impactos en relación a los activos de

información contenidos dentro del alcance seleccionado), desarrollo de

criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

Informe de evaluación de riesgos: estudio resultante de aplicar la

metodología de evaluación anteriormente mencionada a los activos de

información de la organización.

Plan de tratamiento de riesgos: documento que identifica las acciones de

la dirección, los recursos, las responsabilidades y las prioridades para

gestionar los riesgos de seguridad de la información, en función de las

conclusiones obtenidas de la evaluación de riesgos, de los objetivos de

control identificados, de los recursos disponibles, entre otros.

Procedimientos documentados: todos los necesarios para asegurar la

planificación, operación y control de los procesos de seguridad de la

información, así como para la medida de la eficacia de los controles

implantados.

Registros: documentos que proporcionan evidencias de la conformidad con

los requisitos y del funcionamiento eficaz del SGSI.

Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus

siglas inglesas); documento que contiene los objetivos de control y los

controles contemplados por el SGSI, basado en los resultados de los

procesos de evaluación y tratamiento de riesgos, justificando inclusiones y

exclusiones.

43

1.9.4 Marco teórico

El presente proyecto se encuentra fundamentado en las normas NTC – ISO 27001

de 2013 y la norma NTC – ISO 31000 de 2011 con las cuales se identifican y se

gestionan los riesgos, amenazas y vulnerabilidades identificadas para la compañía

Sinergia Profesionales en Seguros y permitirá ser un modelo para las

organizaciones que deseen tomar como documento guía el estudio realizado y que

se apoyará en temas como:

Identificación de las principales debilidades de las organizaciones enfocadas

a los corredores de seguros.

Normatividad actual de estandarización según Normas ISO 27001.

Metodología para identificación de debilidades como lo son encuestas y

entrevistas.

Elaboración de procesos normativos para el desempeño del SGSI

Sinergia Profesionales en Seguros, ubicada en la ciudad de Bogotá – Colombia es

una compañía dedicada a prestar servicios de intermediación de seguros para

personas jurídicas y naturales, teniendo como primer componente de su filosofía

empresarial el aseguramiento de la satisfacción de las necesidades de sus clientes.

Actualmente en la organización no existe un control adecuado que asegure la

confidencialidad, proteja la integridad de la información en su totalidad y que

garantice la disponibilidad, así como la precisión durante el tratamiento de la

información, razón por la cual no se cuenta con la correcta protección de los datos

de clientes, empleados, socios comerciales y la sociedad en general.

Por esta razón se ha realizado un protocolo basado en la norma ISO 27001 e ISO

31000, entendiendo que la seguridad tiene una función muy importante para la

organización y que es la evaluación y análisis de riesgos la que la lleva a reducir el

dallo efectivo que puede ocasionar la materialización de una amenaza.

44

1.9.4.1 Norma ISO 27001 – 201314

ISO 27001 es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los

sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la

Información permite a las organizaciones la evaluación del riesgo y la aplicación de

los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que

mejora la competitividad y la imagen de una organización.

La norma ISO-27001 se conforma de una serie de paso que conforma su estructura

la cual se definen a continuación:

a) Objeto y campo de aplicación: La norma comienza aportando unas

orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.

b) Referencias Normativas: Recomienda la consulta de ciertos documentos

indispensables para la aplicación de ISO27001.

c) Términos y Definiciones: Describe la terminología aplicable a este estándar.

d) Contexto de la Organización: Este es el primer requisito de la norma, el cual

recoge indicaciones sobre el conocimiento de la organización y su contexto,

la comprensión de las necesidades y expectativas de las partes interesadas

y la determinación del alcance del SGSI.

e) Liderazgo: Este apartado destaca la necesidad de que todos los empleados

de la organización han de contribuir al establecimiento de la norma. Para ello

la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar

una política de seguridad que conozca toda la organización y ha de asignar

roles, responsabilidades y autoridades dentro de la misma.

f) Planificación: Esta es una sección que pone de manifiesto la importancia de

la determinación de riesgos y oportunidades a la hora de planificar un

14 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información.

Requisitos. Norma Técnica NTC-ISO-IEC colombiana 27001-2013

45

Sistema de Gestión de Seguridad de la Información, así como de establecer

objetivos de Seguridad de la Información y el modo de lograrlos.

g) Soporte: En esta cláusula la norma señala que para el buen funcionamiento

del SGSI la organización debe contar con los recursos, competencias,

conciencia, comunicación e información documentada pertinente en cada

caso.

h) Operación: Para cumplir con los requisitos de Seguridad de la Información,

esta parte de la norma indica que se debe planificar, implementar y controlar

los procesos de la organización, hacer una valoración de los riesgos de la

Seguridad de la Información y un tratamiento de ellos.

i) Evaluación del Desempeño: En este punto se establece la necesidad y forma

de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la

auditoría interna y la revisión por la dirección del Sistema de Gestión de

Seguridad de la Información, para asegurar que funciona según lo

planificado.

j) Mejora: Por último, en la sección décima vamos a encontrar las obligaciones

que tendrá una organización cuando encuentre una no conformidad y la

importancia de mejorar continuamente la conveniencia, adecuación y eficacia

del SGSI.

1.9.4.2 Norma ISO 31000 – 201115

Desde que se inició la crisis financiera mundial sobre el año 2008, la gestión del

riesgo se ha convertido en factor clave para todo tipo de organizaciones o empresas,

gobiernos o industrias, ya que la exposición al riesgo es más evidente, y con ello, la

necesidad de prepararse frente a ellos, o incluso, beneficiarse cuando tengan lugar.

De ahí el surgimiento de la ISO 31000.

Para cualquier actividad que se realice, existe un potencial riesgo que puede o no

materializarse, siendo las fuentes del riesgo diversas. Es decir, la incertidumbre del

mercado, fallos durante el diseño, desarrollo o producción de proyectos,

15 Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, [en línea], [consultado el 20 de abril

de 2018], Disponible en: https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf

46

responsabilidades legales, accidentes, causas naturales, responsabilidades

legales, entre otras. son posibles orígenes de riesgos.

La norma ISO 31000, se ofrece la posibilidad de transformar un riesgo en una

oportunidad. Por ejemplo, en Japón, debido a la amenaza constante de terremotos,

se ha desarrollado uno de los sistemas de gestión de emergencias más sofisticados

que se conocen, de esta forma una de las amenazas con mayor impacto lleva a

implementar políticas que la puedan transformar o mitigar.

La era de la tecnología, plantea nuevos retos. Nuevos desafíos a los que debemos

aprender a enfrentarnos, procurando siempre obtener la mejor parte de ello. Para

cumplir con esto, muchas compañías apuestan por la implantación de la ISO 31000

dentro de su estrategia comercial, que se diseñó especialmente para proporcionar

una estructura y orientación de buenas prácticas para todas las operaciones que

tengan lugar en el seno de una organización.

Como parte de estos avances, la ISO 31000 está siendo revisada, para garantizar

que los principios y directrices de la norma sigan siendo relevantes para sus

usuarios, y ofreciendo un siguiente paso para hacer que la gestión de riegos sea

más fácil, clara y concisa.

Como para cualquier Sistema de Gestión, en la ISO 31000 la cooperación y

colaboración entre las diferentes áreas y niveles jerárquicos que forman parte de

una organización es esencial, pero esto no es tarea fácil. Es decir, no sólo con la

implantación de la nueva versión de la ISO 31000 podrás llevar a cabo una gestión

de riesgos eficaz, ni podrás comprender las causas e identificar las medidas

necesarias para reducir los riesgos que generan la incertidumbre del mercado

financiero hoy en día, sino que se requiere de la voluntad de todos los implicados.

Esto supone la transparencia de las operaciones, buenas regulaciones y

cumplimiento, integridad, responsabilidad y, por supuesto, buen gobierno.

1.9.4.3 Sistema de gestión de seguridad de la información (SGSI)

Un SGSI es una parte del sistema de gestión de una organización, basado en una

aproximación a los riesgos del negocio, que permite establecer, implementar,

operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de

una organización. Son componentes esenciales de un sistema así los siguientes:

47

Estructura organizativa.

Políticas.

Planificación.

Responsabilidades definidas.

Buenas prácticas.

Procedimientos de actuación.

Procesos de gestión.

Recursos suficientes.

Podemos entender por información todo el conjunto de datos que se organizan en una organización y otorgan valor añadido para ésta, de forma independiente de la forma en la que se guarde o transmita, el origen que tenga o la fecha de elaboración.

El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la organización.

Para garantizar que el Sistema de Gestión de Seguridad de la Información gestionado de forma correcta se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar, los cuales son:

Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.

Integridad: mantener de forma completa y exacta la información y los métodos de proceso.

Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.

Según el conocimiento que se tiene del ciclo de vida de la información relevante se puede adoptar la utilización de un proceso sistemático, documentado y conocido por toda la empresa, desde un enfoque de riesgos empresarial. El proceso es el que constituye un SGSI.

48

1.9.4.3.1 Utilización SGSI

La información, junto a los procesos y los sistemas que hacen uso de ella, son

activos demasiado importantes para la empresa. La confidencialidad, integridad y

disponibilidad de dicha información puede ser esencial para mantener los niveles

de competitividad, conformidad, rentabilidad e imagen de la empresa necesarios

para conseguir los objetivos de la empresa y asegurase de que haya beneficios

económicos.

Las empresas y los sistemas de información se encuentran expuestos a un número

cada vez más elevado de amenazas que aprovechan cualquier tipo de

vulnerabilidad para someter a los activos críticos de información a ataques,

espionajes, vandalismo, y otros eventos. Los virus informáticos o los ataques son

ejemplos muy comunes y conocidos, pero también se deben asumir los riesgos de

sufrir incidentes de seguridad que pueden ser causados voluntariamente o

involuntariamente desde dentro de la propia empresa o los que son provocados de

forma accidental por catástrofes naturales.

El cumplimiento de la legislación, la adaptación dinámica y de forma puntual de

todas las condiciones variables del entorno, la protección adecuada de los objetivos

de negocio para asegurar que se obtiene el máximo beneficio son algunos de los

aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y

de importante ayuda para la gestión de las empresas. El nivel de seguridad que se

alcanza gracias a los medios técnicos es limitado e insuficiente por sí mismo.

Durante la gestión efectiva de la seguridad debe tomar parte activa toda la empresa,

con la gerencia al frente, tomando en consideración a los clientes y a los

proveedores de la organización.

El modelo de gestión de la seguridad tiene que contemplar unos procedimientos

adecuados y planificar e implementar controles de seguridad que se basan en una

evaluación de riesgos y en una medición de la eficiencia de los mismos. Para

entender que es SGSI, ayuda a establecer la política de seguridad y los

procedimientos en relación a los objetivos de negocio de la empresa, con objeto de

mantener un nivel de exposición siempre menor al nivel de riesgo que la propia

organización ha decidido asumir.

49

1.9.4.3.2 Beneficios de un SGSI

A continuación, se realiza una lista de los principales beneficios que se tienen al

implementar un SGSI en una organización:

1) Establecer una metodología de Gestión de la Seguridad estructurada y clara.

2) Reducir el riesgo de pérdida, robo o corrupción de la información sensible.

3) Los clientes tienen acceso a la información mediante medidas de seguridad.

4) Los riesgos y los controles son continuamente revisados.

5) Se garantiza la confianza de los clientes y los socios de la organización.

6) Las auditorías externas ayudan de forma cíclica a identificar las debilidades

del SGSI y las áreas que se deben mejorar.

7) Facilita la integración con otros sistemas de gestión.

8) Se garantiza la continuidad de negocio tras un incidente grave.

9) Cumple con la legislación vigente sobre información personal, propiedad

intelectual y otras.

10) La imagen de la organización a nivel internacional mejora.

11) Aumenta la confianza y las reglas claras para las personas de la empresa.

12) Reduce los costes y la mejora de los procesos y el servicio.

13) Se incrementa la motivación y la satisfacción del personal.

14) Aumenta la seguridad en base la gestión de procesos en lugar de una compra

sistemática de productos y tecnologías.

50

1.10 Factibilidad

1.10.1 Técnica.

El desarrollo de este proyecto requiere conocimiento y experiencia a nivel de

seguridad de la información, aplicando la norma NTC-ISO-IEC 270001 de 2013, la

metodología establecida en la norma NTC – ISO 31000, análisis de amenazas,

gestión de riesgo y aplicación de medidas que permitan garantizar la

confidencialidad, integridad y disponibilidad de la información en la organización.

1.10.2 Legal.

Este proyecto es utilizado como guía y se desarrolla manejando metodologías de

libre implementación que se encuentran disponibles en diferentes medios para su

aplicación, por lo cual no requieren de pagos a empresas por su respectiva

implementación, permitiendo que varias organizaciones puedan tomarlo como base

para mejorar sus SGSI.

Tanto la norma NTC-ISO-IEC 27001 de 2013 y la metodología establecida en la

norma NTC – ISO 31000 son instrumentos bases que permiten construir este

documento, brindando orientación para la gestión e implementación del SGSI en la

organización. Adicionalmente, se tiene presente las normativas que se encuentran

vigentes y que son susceptibles en el desarrollo de las actividades de la misma, por

lo cual realizamos un listado de las leyes nacionales que intervienen con la actividad

de la organización.

Ley 1273 – De la protección de la información y de los datos

Ley 1581 de 2012 - Ley de protección de datos personales.

1.10.3 Económica.

El objetivo de este proyecto es brindar un documento guía para la implementación

de un SGSI, por lo tanto, la factibilidad económica se ve contemplada en los

recursos destinados para la elaboración del mismo.

En las siguientes tablas se detalla e identifican los costos relacionados, formando

tres grupos importantes en el desarrollo del proyecto.

51

1.10.3.1 Talento humano.

TIPO DESCRIPCIÓN VALOR HORA

CANTIDAD TOTAL

TUTOR ASESORIAS DEL TURTOR UNIVERSIDAD DISTRITAL

FRANCISCO JOSÉ DE CALDAS

$ 70.000

150 HORAS 10.500.000

ANALISTA IMPLMENTADOR

DOS ANALISTA ENCARGADOS DE

IMPLEMENTAR MODELO DE UN SISTEMA DE

GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI) APLICADA A

CORREDORES DE SEGUROS BAJO EL

MARCO DE REFERENCIA DE LA NORMAL ISO/IEC

27001

$ 40.000

8 HORAS SEMANALES

10.240.000

TOTAL TALENTO HUMANO. 20.740.000

Tabla 1 - Talento humano

Fuente: Elaboración Propia.

1.10.3.2 Recurso de hardware

RECURSO DESCRIPCIÓN VALOR UNITARIO

CANTIDAD TOTAL

PROCESADOR INTEL CORE I5 350.000 1 350.000

DISCO DURO SATA TOSHIBA 500 GB

170.000 1 170.000

MEMORIA RAM Markvision 8.00 gb 150.000 1 150.000

UNIDAD CD Quemador DVD 90.000 1 90.000

COSTO TOTAL 670.000

Tabla 2 - Recurso de hardware


52

1.10.3.3 Otros recursos

RECURSO DESCRIPCION VALOR UNITARIO

CANTIDAD TOTAL

Norma iso 27001 Documento técnico norma

iso

67500 1 67.500

Papelería (resma) 9500 1 9.500

Fotocopias 100 80 8.000

Transportes 2000 120 240.000

COSTO TOTAL 325.000

Tabla 3 - Otros recursos


1.10.3.4 Consolidado

RECURSO DESCRIPCIÓN VALOR

TALENTO HUMANO Profesionales da las áreas

20.740.000

HARDWARE Dispositivos tecnológicos

670.000

OTROS Gastos no definidos 325.000

CONSOLIDADO TOTAL 21.735.000

Tabla 4 - Consolidado


53

1.11 Cronograma de actividades.

54

2. ESTADO ACTUAL SINERGIA PROFESIONALES EN SEGUROS

El proyecto será ejecutado tomando como referencia una metodología de trabajo

que permita en un futuro la implementación del Sistema de Gestión de Seguridad

de la Información (SGSI), bajo el estándar ISO 27001-2013.

Para el desarrollo de este capítulo, se toma como referencia la empresa Sinergia

Profesionales en Seguros que tiene cinco años de experiencia bajo la actividad

económica: Actividades de agentes y corredores de seguros, esta única sede está

ubicada en la ciudad de Bogotá. Esta empresa fue escogida con el fin de plantear

un modelo de seguridad de la información para los procesos de correduría de

seguros, dónde nuestro principal objetivo es guiar a pequeñas y medianas

empresas que realmente necesiten de este modelo para fortalecer la disponibilidad,

integridad y confiabilidad de la información.

2.1 Descripción.

Sinergia Profesionales en Seguros es una organización enfocada a prestar servicios

de intermediación de seguros para personas jurídicas y naturales, teniendo como

primer componente de su filosofía empresarial el aseguramiento de la satisfacción

de las necesidades de sus clientes.

Con una única sede en Bogotá, esta empresa Pyme, que lleva tres años en el

mercado, busca optimizar sus procesos con el objetivo de ampliar su cobertura y

convertirse en una de las organizaciones líderes del mercado, sin embargo, para

empezar a lograr tal objetivo, debe iniciar implementando controles y políticas que

permita garantizar la integridad, confidencialidad y disponibilidad de la información.

2.2 Reconocimiento de la organización.

Este diseño se realiza en base a información descrita por colaboradores de distintas

organizaciones dedicadas a esta actividad véase Anexo Audios “Entrevista

ejecutiva de cuenta colectiva Ingrid Paola Gómez”.

En la actualidad es indispensable mantener un esquema seguro y eficiente sobre

las redes de datos, ya que para cualquier tipo de empresa representa un recurso

indispensable de controlar y procesar datos tanto de la parte interna en términos

administrativos, así como la parte externa que involucra clientes, empleados

55

outsourcing y proveedores, esquema de trabajo desarrollado por Sinergia

Profesionales de Seguros.

Dentro de los procesos de negocio que maneja Sinergia Profesionales en Seguros

Ltda., se destaca la utilización de una red sencilla, donde sus procesos de

almacenamiento (Aplicación DigiDoc), documentación, facturación, contabilidad,

pagos, cuentas. (Aplicación ERP). Esta información es privada y se maneja a través

de servicios cloud que le presta un proveedor de servicios de almacenamiento y

aplicaciones donde se cumplen con las normas de privacidad de la información

suministrada por Sinergia según información suministrada en la entrevista ver

Anexo - “Audios” disponible en CD-ROM carpeta Anexo-Audios.

A continuación, se definen los tipos de seguros que ofrecen como servicio a sus

clientes personales y empresa.

SEGUROS PERSONAS

Productos de Vida

· Vida Individual. · Accidentes Personales y Escolares.

· Seguro Exequial. · Enfermedades Graves.

Productos de Salud

· Medicina Prepagada. · Planes Complementarios. · Hospitalización y Cirugía. · Asistencia Internacional.

· Seguro Odontológico.

Productos de Protección Patrimonial

· Hogar. · Seguro de Arrendamiento.

· Seguro de Automóviles. · Seguro Obligatorio Accidentes SOAT.

· Responsabilidad Civil Profesional (errores y omisiones).

Productos de Ahorro · Universidad Prepagada. · Capitalización.

Cirugías Estéticas · Cirugías Estéticas. Tabla 5 - Servicios de seguros personales prestados por Sinergia


56

SEGUROS EMPRESAS

Productos de Daños

· Seguros de Automóviles · Seguros de Daños Materiales

· Seguro de Transporte de Valores · Seguro de Montaje y Construcción

· Seguros Agrícolas · Seguros de Equipo y Maquinaria

Productos de vida

· Seguros de Vida Grupo · Colectivo Vida

· Vida Grupo Deudores · Colectivo de Vida y Accidentes Personales Condiciones

Particulares USO · Accidentes Personales

· Seguro Exequial · Riesgos Laborales

Productos de Salud

· Medicina Prepagada · Planes Complementarios · Hospitalización y Cirugía

· Asistencia Médica Domiciliaria · Asistencia Internacional

Productos de Protección Patrimonial

· Responsabilidad Civil Extracontractual · Seguro Obligatorio Accidentes SOAT

· Cumplimientos Estatales · Cumplimientos Particulares

· Cumplimiento de Disposiciones Legales · Pólizas de Caución Judicial

· Directores y Administradores · Infidelidad y Riesgos Financieros

· Responsabilidad Civil Profesional (errores y omisiones) · Seguros de Manejo

Productos de Ahorro · Capitalización Tabla 6 - Servicios de seguros empresariales prestados por Sinergia


57

2.2.1 Estructura organizacional.

La estructura organizacional Sinergia Profesionales en Seguros se basa en la

jerarquía de los cargos ejecutivos y áreas definidas, ésta a su vez está encabezada

por un gerente general y un director.

2.2.1.1 Modelo estructura organizacional

Ilustración 3 - Estructura organizacional


Gerencia General

Director

PlaceMent

Ejecutivo de cuentas

Colectivas

Técnico Senior Línea Coletiva

Técnico Junior Línea Colectiva

Ejecutivos de cuenta Linea

personal

Técnico Senior Línea Personal

Técnico Junior Línea Personal

Asistente General

Analista de administración

Personal

58

2.2.1.2 Muestra poblacional de la organización

Dentro de la estructura organizacional y muestra de la empresa Sinergia

Profesionales de Seguros Ltda., ésta nos permitió obtener la siguiente información

por áreas:

Organización y Muestra

PERSONAL CANTIDAD ACTIVIDAD

Gerencia 1 Dirigir, organizar y controlar los procesos

Dirección 1 Dirección de Operaciones

Analista de Administración Personal

1 Dirección de recursos humanos

de Placement 1 - Estudio de mercado – Propuestas de Seguros –

Ventajas y Desventajas por aseguradora

Ejecutivos de cuenta Colectivos

2 Asesoran clientes empresariales y su sitio de trabajo varía entre

inhouse y oficina principal

Ejecutivos de cuenta Linea Personal

3 Asesoran clientes personales y su sitio de trabajo sólo se

desarrolla en la oficina principal.

Técnicos Senior 2 Análisis de siniestros y gestión de cartera

Técnico Junior 3 Facturación, reporte de afiliaciones, novedades hacia las aseguradoras y gestión de base

de datos

Cliente Colectivo Promedio

30 Cliente empresa

Cliente Personal Promedio Mensual

250 Cliente Personal

Tabla 7 - Muestra del personal y clientes de la organización


59

2.2.3 Red de datos.

Sinergia Profesionales en Seguros tiene contratado un servicio de fibra mono modo

de 50 MB con la compañía Claro, quien deja en sitio un router cisco 867 el cual

presenta una configuración de dos Vlans para telefonía y tráfico de datos. También

se cuenta con un firewall fortinet, un equipo servidor para el manejo de la telefonía

y un switch cisco 2960.

Se cuenta con una topología en estrella en la cual se tienen disponibles 24 puntos

de acceso, gracias al switch Cisco Catalyst 2960-24PC-L podemos utilizar su

funcionalidad de PoE (Power over Ethernet) nos garantiza que podamos ubicar

nuestros dispositivos en la red sin tener que dedicar puntos exclusivos a la telefonía.

Ilustración 4 - Clúster activo – activo

Fuente: Elaboración propia.

60

2.2.4 Equipos

En la definición de los equipos, se tienen disponibles los siguientes elementos

distribuidos de la siguiente manera:

Tipo y Características de equipos existentes

CARACTERÍSTICAS

Equipo de Escritorio Fabricante: Hewllwett-Packard Company Modelo: Hp notbook

Procesador: Inter Core I 5-4570 CPU: 3.20 GHz

Memoria RAM: 4 GB Sistema Operativo: Windows 7 Professional 64 Bits

Service Pack 1

Equipo Portátil Fabricante: Hewllwett-Packard Company Modelo: Hp ProBook 440 G2

Procesador: Inter Core I 5-4210U CPU: 1.70 GHz

Memoria RAM: 4 GB Sistema Operativo: Windows 8 Pro 64 Bits

Tabla 8 – Equipos Existentes

Fuente: Elaboración propia

Organización y Muestra

PERSONAL EQUIPOS TIPO DE EQUIPO

Gerencia 2 Escritorio, Portátil

Dirección 2 Escritorio, Portátil

Analista de Administración Personal

1 Escritorio

de Placement 1 Escritorio

Ejecutivos de cuenta Colectivos

2 Portátil

Ejecutivos de cuenta Linea Personal

3 Portátil

Técnicos Senior 2 Escritorio

Técnico Junior 3 Escritorio Tabla 9 – Distribución de Equipos


61

2.2.5 Dispositivos

Adicional de los equipos de cómputo, se cuenta con los siguientes dispositivos:

EQUIPO MARCA

Firewall Fortinet

Servidor de correos Gmail empresarial

Router Cisco 867

Switch Cisco 2960

Servidor Servidor para telefonía asterisk

Teléfono Tabla 10 - Lista de dispositivos


2.2.6 Aplicaciones.

Sinergia Profesionales en Seguros utiliza en su operación las siguientes

herramientas tecnológicas:

APLICACIÓN TIPO DE APLICACIÓN

DESCRIPCIÓN

Paquete Office 2016 Herramienta de Ofimática

Microsoft Windows 7 Professional

Sistema operativo

Microsoft Windows 8 Pro

Sistema Operativo

Skype Comunicaciones Para comunicación entre clientes y proveedores

DigiDoc servicio proveedor Cloud

Gestión de archivos

Almacenamiento en la nube de archivos de Formatos, pólizas,

facturación, novedades, soporte de siniestros y otros.

ERP Servicio proveedor Cloud

Gestión contable y financiera

facturación, contabilidad, pagos, cuentas, entre otras.

McAfee Antivirus Antivirus instalado en equipos portátiles y de escritorio

asteriks Gestión Telefónica Suministrado por el servidor Tabla 11 – Aplicaciones


62

2.3 Análisis de seguridad existente

Con base al levantamiento de información proporcionado por el personal de Sinergia

Profesionales de Seguros Ltda., se destaca que la empresa, aunque no tiene

documentada ninguna norma que haga cumplir las buenas prácticas para manejo

de seguridad de la información, ésta mantiene un sentido común de los procesos

seguros que deben realizarse por cada una de las operaciones o la misma

privacidad de la información. A continuación, se listan las evidencias que existen

con respecto a la seguridad existente.

1. Dentro de las aplicaciones en la nube prestadas por un proveedor del

servicio, se destaca el uso de permiso y roles en las aplicaciones de ERP y

digitalización de documentos, existe todo un gestor de acceso que limita la

divulgación de la información privada dentro del personal de la compañía.

2. Los puertos USB de cada equipo están bloqueados principalmente para

restringirlos de virus y no como un método que involucre robo de información.

3. Cada usuario tiene un equipo de escritorio que sólo es manipulado por él, los

ejecutivos de cuenta colectiva mantienen un equipo portátil con el que visitan

a los clientes, estos equipos no poseen un tipo de restricción para conexión

de redes externas a la empresa WIFI o LAN algo que puede infiltración de

agentes externos por medio de este tipo de redes no propias.

4. Los equipos de escritorio están protegidos con un sistema de pantalla anti

espías para limitar el acceso visual de la información dentro de las

instalaciones.

5. Los quipos cuentan con antivirus y aplicaciones licenciadas.

63

6. La documentación correspondiente a las pólizas, novedades, archivos de

facturación y otros documentos, después de ser almacenada en las

aplicaciones, ésta se resguarda en bolsas marcadas y se envía por medio de

cajas a un outsourcing que administra el archivo inactivo.

7. Actualmente los equipos están protegidos con contraseña, aunque estas

contraseñas no son modificadas por periodos de tiempo determinados.

8. Actualmente la empresa mantiene restringido el acceso no autorizado a sus

instalaciones por medio de proveedor seguridad perimetral.

9. Toda la documentación que es suministrada por la aseguradora y va dirigida

a clientes, está relacionada con políticas de tratamientos de datos

personales, donde el corredor de seguros suministra una carta para su

respectivo uso privado bajo consentimiento propio.

2.3 Propuesta de red para pequeñas y medias empresas

A continuación, se presenta como propuesta de red, el detalle de la infraestructura

técnica con el que puede contar una compañía de corredores de seguros, con el fin

de almacenar su información privada sin depender de terceros, de esta forma puede

mantener un alto estándar de seguridad en la información dentro de su negocio

2.3.1 Base de datos.

Para la operación de procesos, desarrollos y aplicaciones se sugiere implementar

como mínimo el motor de base de datos Microsoft SQL Server 2012, esto debido a su

robustez, ya que proporciona capacidades de centro de datos de tecnología avanzada

completas con un rendimiento ultra rápido, virtualización ilimitada y Business

Intelligence integral, que habilita los mayores niveles de servicio para las cargas de

trabajo de gran importancia y el acceso del usuario final a ideas claras de los datos.

Esto no significa que una empresa corredora de seguros no pueda utilizar motores

diferentes como lo son Oracle o inclusive PostgresSQL.

64

Se debe garantizar un esquema de alta disponibilidad para las bases de datos, por

lo tanto, se recomienda tener un clúster configurado activo – activo donde se

encuentran al menos dos equipos con el mismo servicio, brindando una conexión

instantánea.

Entre las ventajas de manejar un clúster se encuentran la adquisición de nuevas

instancias de bases de datos según la capacidad del mismo y, sobre todo, la

posibilidad de alojar motores totalmente diferentes y comunicarlos entre sí.

Ilustración 5 - Clúster activo – activo


65

2.3.2 Aplicaciones.

Las empresas corredoras de seguros cuentas con una serie de aplicaciones para

uso interno y externo sobre las cuales se soporta la operación de la misma, estas

aplicaciones garantizan el normal desempeño de las funciones de la entidad. En

cuanto a las aplicaciones publicadas hacia internet se debe tener una infraestructura

de servidores para garantizar una óptima prestación del servicio, esto con el uso de

un esquema de alta disponibilidad y balanceo de carga NLB (Network Load

Balancing de Microsoft), con la siguiente arquitectura:

Ilustración 6 - Disponibilidad y balanceo


Este esquema de NLB garantiza que las aplicaciones publicadas estén disponibles

y con un adecuado performance en su desempeño, ya que cada uno de sus nodos

es una máquina robusta y que con el balanceo de cargas se optimiza la ejecución

de las diferentes aplicaciones.

66

A nivel interno de una compañía corredores de seguros puede disponer de los

siguientes aplicativos para ejecutar sus operaciones:

PROGRAMA DIGITALIZADOR DE ARCHIVOS Y ERP: Programas que

permiten organizar administrar y controlar la información para el manejo

administrativo de los intermediarios de seguros con los siguientes

módulos: Producción, recaudos, cartera, Vencimientos.

PRINT MANAGER PLUS: Software que controla la cantidad de

impresiones realizadas día a día por cada uno de los usuarios.

INFOPOINT: Sistema de radicación de correspondencia.

VIEW TRACK: Software que controla la cantidad de copias, scans y fax

realizados día a día por cada uno de los usuarios a través de las

impresoras.

EAGLE CONTROL ADMINISTRATOR (SOFTWARE DE TARIFICACION

DE LLAMADAS): Software que controla las llamadas entrantes y salientes

de toda la organización.

FOREFRONT: Este es el antivirus utilizado por toda la organización.

MICROSOFT OFFICE PROFESSIONAL: Aplicaciones ofimáticas.

2.3.3 Correo

El contacto vía mensajería electrónica se encuentra en auge, por lo cual las

organizaciones de corredores de seguros deben garantizar el uso del correo

corporativo y por lo tanto es de gran importancia tener un contrato con algún

proveedor de servicios de correo electrónico; entre los principales se destacan:

Gmail.

Outlook

Yahoo mail

Mail.com

67

Con base en la necesidad de la organización se recomienda tener o implementar

como sistema de mensajería (correo electrónico Google Apps16). La información es

considerada el principal activo de las empresas. Por esta razón, contar con un

respaldo o backup de la información es una inversión segura si se considera que la

pérdida de datos clave puede repercutir en la estabilidad y continuidad de la

empresa.

El plan de Recuperación de Desastres consiste en contar con respaldos de

información crítica del negocio ante situaciones como: ataques informáticos, robo,

incendio, inundación u otro desastre. La eficacia de un plan de recuperación de

desastres se suele medir de dos maneras: Recovery Time Objective (RTO) y

Recovery Point Objective (RPO). La primera opción RTO es el tiempo en que se

tarda en recuperar los datos en caso de pérdida y la segunda opción RPO es el

punto de recuperación de los datos, es decir, en qué momento temporal anterior a

la pérdida se recuperan los datos.

Teniendo en cuenta lo anterior Google posee una de las mayores redes de

procesamiento de datos en el mundo, los datos de los clientes y la protección de la

propiedad intelectual tiene la prioridad más alta. Los centros de datos de Google

están protegidos en todo momento. Google dispone de un equipo de seguridad que

se concentra exclusivamente en la seguridad en los sitios de la empresa. Los

controles implementados por Google se ajustan a los requisitos establecidos por la

auditoría SAS 70 Tipo II.

En este contexto Google ofrece servicios en la nube fiable, los cuales se

caracterizan por entornos informáticos redundantes y la asignación dinámica de

recursos, permiten a los clientes acceder a sus datos prácticamente en cualquier

momento y en cualquier lugar en dispositivos con capacidad para Internet.

Los controles de seguridad aplicados por Google, que aíslan los datos durante el

procesamiento en la nube, se desarrollaron al lado de la tecnología de la base desde

el principio. La seguridad es por lo tanto un componente clave de cada uno de los

elementos de computación en la nube.

Para reducir al mínimo la interrupción del servicio debido a un fallo de hardware,

desastres naturales u otras catástrofes, Google implementa un programa de

recuperación de desastres en todos sus centros de datos. Este programa incluye

16 G Suite. Gmail, Documento, Drive y Calendar para empresas. [En línea]. [Consultado 09 de septiembre de

2017]. Disponible en Internet: (https://gsuite.google.com/intl/es/)

68

múltiples componentes para reducir al mínimo el riesgo de cualquier punto de fallo,

incluyendo las siguientes medidas:

La replicación de datos y copia de seguridad: Para ayudar a asegurar la

disponibilidad en caso de un desastre, los datos de Google Apps son replicados en varios sistemas dentro de un centro de datos, y también replicado en un centro de datos secundario.

Ilustración 7 - Correo Gmail

Fuente: Gsuite by google

Google dispone de un conjunto de centros de datos geográficamente distribuidos

que están diseñados para mantener la continuidad del servicio en el caso de un

desastre u otro incidente en una región. Conexiones de alta velocidad entre los

centros de datos ayudará a asegurar la conmutación por error rápidamente. La

gestión de los centros de datos y la administración del sistema también se distribuye

para proporcionar una cobertura independiente de la ubicación en un esquema

siguiendo el sol.

69

Además de la redundancia de los datos y centros de datos regionales dispares,

Google también tiene un plan de continuidad empresarial para su sede en Mountain

View, CA. El cual involucra personas y servicios no disponibles hasta por 30 días.

Este plan está diseñado para permitir la continuación de las operaciones de los

servicios para los clientes. Google realiza pruebas regulares del plan de

recuperación de desastres.

La aplicación y la arquitectura de la red de Google ha sido diseñada para una

máxima fiabilidad y tiempo de funcionamiento. La plataforma de computación de

Google supone un posible fallo de hardware, y un robusto software de conmutación

por error puede resistir esta interrupción. Todos los sistemas de Google son

intrínsecamente redundantes por su diseño, y cada subsistema no depende de

ningún servidor en particular físico o lógico para su operación.

Google Apps ofrece una manera con sólidas capacidades de recuperación de

desastres, para Google la meta de diseño RPO (Objetivo de Punto de

Recuperación) es igual a cero pérdidas de datos y la meta de diseño RTO (Recovery

Time Objetive) es conmutación por error al instante. Google lo hace a través de la

replicación sincrónica o en directo de los datos: cada acción que sus usuarios

realicen en su correo electrónico es a la vez replicado en dos centros de datos a la

vez, de modo que, si un centro de datos falla, casi al instante se transfieren sus

datos al otro.

Los datos se replican varias veces a través de los servidores de Google, por lo que,

en el caso de un fallo de la máquina, los datos serán accesibles a través de otro

sistema, la información también se replica a los centros de datos secundarios para

garantizar la seguridad en caso de fallas en uno de los centros de datos principales.

El objetivo de Google es no perder los datos cuando se están transferido de un

centro de datos a otro, por tanto, tiene conexiones de alta velocidad entre ellos, para

poder transferir los datos muy rápidamente de un conjunto de servidores a otro. Esto

le permite a Google replicar grandes cantidades de datos al mismo tiempo y se

transfieren los datos con tanta rapidez que ni siquiera los usuarios perciben cuando

un centro de datos está experimentando una interrupción.

Google Apps tiene el mismo nivel de replicación de datos para todas las

aplicaciones importantes en la suite de Google Apps: Gmail, Google Calendar,

Google Docs y Google Sites.

Todo lo anterior confirma que si hay un desastre o una interrupción que afecta a uno

de sus centros de datos, Google es capaz de trasladar a los usuarios a un centro

de datos alternativo, por lo que se puede seguir trabajando sin interrupciones. Su

70

correo electrónico y los documentos serán accesibles para que su organización

pueda continuar a pesar del desastre. Esta es una de las principales razones por

las que los negocios confían sus datos a Google Apps.

2.3.4 Infraestructura (Servidores, Storage)

Se cuenta con una red de datos de aproximadamente de setecientos puntos físicos

y se tiene una proyección a cinco años de mil cuatrocientos puntos de red, esta

plataforma de red se soporta sobre plataforma Microsoft Windows Server 2008 R2

para la administración de servidores físicos, virtuales y un aproximado de

setecientos equipos de cómputo, los cuales operan con sistemas operativos

Windows 7, Windows 8.1, Windows 10. Todas las aplicaciones y procesos de

operación crítica se ejecutan sobre esta plataforma y sobre estos servidores, existen

otros componentes hardware que son complemento de esta plataforma como son

las unidades de Storage SAN “red de área de almacenamiento, en inglés SAN

(Storage Área Network)” y la EVA, sistemas para el respaldo de la información

“Librería SDLT y la VTL virtual tape library” o librería de cintas virtuales. Todos estos

componentes están bajo una estructura y un diseño para soportar la operación de

la entidad, a continuación, se describe esta arquitectura:

Ilustración 8 - Red de servidores


71

2.3.5 Redes y comunicaciones (Switches, routers, canales).

Para interconectar a sus cerca de setecientos usuarios que requieren trabajar en

red y que tiene como base de operación el funcionamiento de la red y del dominio

corporativo, requiere de una infraestructura de networking que soporte este nivel de

usuarios, contemplando la proyección y crecimiento de los mismos con el paso

transcurrir del tiempo, y de la misma manera un diseño y una configuración lógica

que garantice un óptimo rendimiento de los equipos activos instalados, la red

Ethernet de la entidad cuenta aproximadamente con setecientos puntos dobles,

bajo una plataforma Microsoft Windows Server 2008 R2 Enterprise, con un Forest y

un Active Directory nativo en Windows.

2.3.6 Topología física

La siguiente imagen muestra la distribución de equipos y la topología física de la

red.

Ilustración 9 - Topología física


72

2.3.7 Cableado horizontal.

El cableado debe estar enmarcado en un soporte distribuido horizontalmente en

cada aula u oficina, llevarán sus respectivas derivaciones para cumplir el objetivo

final que es llevar los cables hasta cada puesto de trabajo, estas canaletas plásticas

junto con sus accesorios terminarán en una caja y esta caja tendrá su respectivo

faceplate, el cual portará Jack RJ45.

Se debe considerar su proximidad con el cableado eléctrico generador de altos

niveles de EMI (interfaces electromagnéticas) limitaciones descritas en el estándar

ANSI/EIA/TIA 569. Máxima longitud de 90 metros.

La altura de los faceplates desde el piso debe ser de 30 a 45 centímetros. El rack

soporta: los equipos activos de red LAN, patch panels, UTP y sus accesorios)

dependiendo del cuarto donde se alojará se optará por ser cerrado o abierto.

En el rack se debe instalar patch panel de puertos categoría 6 o superior y sistema

frontal de conexión tipo RJ-45. Utilizar organizadores para situar y seleccionar

correctamente los patch cords entrantes a puertos UTP de equipos activos, los

cuales deben ser categoría 6 o superior.

2.3.8 Infraestructura Física (Ups, Electricidad, Aire acondicionado).

La operación de toda la plataforma tecnológica, requiere de una serie de

adecuaciones e instalaciones que permiten el funcionamiento de los diferentes

componentes de hardware y software que soportan la misma. Varios de estos

elementos y servicios su operación y mantenimiento son requeridos para evitar

inconvenientes en la operación.

Aire Acondicionado centro de cómputo (soporte y mantenimiento).

Sistema de detección y extinción de incendios (soporte y mantenimiento).

Sistema de alimentación eléctrica regulada (mantenimiento y soporte a las

UPS y planta eléctrica).

Sistema de monitoreo y alarmas. (sensores y personal que opera la central

de monitoreo).

73

Vigilancia privada (personal de la empresa de vigilancia, control de acceso).

Por tal motivo se interactúa con esta dirección para coordinar la operación y

mantenimiento de los elementos anteriormente mencionados.

2.3.9 Seguridad informática.

La velocidad de los cambios tecnológicos actuales, la multiplicidad de plataformas,

marcas, soluciones y otros, hacen cada día más difícil el tratamiento de la

información de manera eficiente y segura. Sumado a esto, encontramos las barreras

de distancia y tiempo comunes a cada uno de nosotros, lo que entorpece aún más

la actualización tecnológica.

La seguridad informática consiste en asegurar que los recursos de los sistemas de

información (material informático o programas) del DANE sean utilizados de la

manera que se decidió y que el acceso a la información allí contenida, así como su

modificación sólo sea posible a las personas que se encuentren acreditadas y

dentro de los límites de su autorización.

Podemos entender como seguridad un estado de cualquier tipo de información

(informático o no) de como peligro o daño todo aquello que pueda afectar su

funcionamiento directo o los resultados que se obtienen del mismo. Para que un

sistema se pueda definir como seguro debe tener estas tres características:

Integridad: La información sólo puede ser modificada por quien está

autorizado y de manera controlada.

Confidencialidad: La información sólo debe ser legible para los autorizados.

Disponibilidad: Debe estar disponible cuando se necesita.

Dependiendo de las fuentes de amenaza, la seguridad de la entidad puede dividirse

en dos partes: seguridad física y seguridad lógica.

74

2.3.10 Seguridad física.

Para las compañías corredoras de seguros es muy importante ser consciente que

por más que nuestra entidad sea la más segura desde el punto de vista de ataques

externos (hackers, virus, ataques de DoS.); la seguridad de la misma será nula si

no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural

y no tener presente políticas claras de recuperación.

Si bien algunos de los aspectos de seguridad física básicos se prevén, otros, como

la detección de un atacante interno a la empresa que intenta acceder físicamente a

una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante

sea más fácil lograr tomar y copiar una cinta de backup de la sala de cómputo, que

intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la

“aplicación de barreras físicas y procedimientos de control, como medidas de

prevención y contramedidas ante amenazas a los recursos e información

confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y

alrededor del centro de cómputo, así como los medios de acceso remoto al y desde

el mismo; implementados para proteger el hardware y medios de almacenamiento

de datos.

Las principales amenazas que se prevén en Seguridad Física son:

Desastres naturales, incendios accidentales, tormentas e inundaciones.

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad física de las instalaciones de

cómputo y del edificio es la base para comenzar a integrar la seguridad como una

función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

Disminuir siniestros.

Trabajar mejor manteniendo la sensación de seguridad.

75

Descartar falsas hipótesis si se produjeran incidentes.

Tener los medios para luchar contra accidentes

2.3.10.1 Control de acceso

Planta Física-Edificios: Para el ingreso a las instalaciones de la entidad esta

cuenta con los servicios de una empresa especializada en seguridad y vigilancia, la

cual realiza tareas de registro y control al personal externo e interno. En cada uno

de los pisos se cuenta con una persona de esta empresa que vigila el acceso del

personal y la entrada y salida de elementos con anotaciones en libros de bitácoras.

Para los accesos a las dependencias o direcciones ya los funcionarios deben contar

para ingresar con sus tarjetas de control de acceso “magnéticas”.

Independiente a esto se realiza una vigilancia y supervisión por medio de cámaras

que están ubicadas en lugares estratégicos “fuera y dentro de las instalaciones” las

cuales son monitoreadas las 24 horas del día por personal capacitado en una sala

de control.

Centro de Cómputo: El centro de cómputo cuenta con un sistema más complejo

de control de acceso completamente independientes del sistema del sistema de

seguridad principal de la entidad, para el ingreso al centro de cómputo se cuenta

con un sistema de exclusa en donde en la primera puerta) permite el acceso a la

sala de los administradores del sistema y una segunda puerta que permite el acceso

a personas que están registradas y autorizadas, las dos abren con un sistema de

control de acceso biométrico “huella digital”.

1. Tablero de comando del sistema de detección de intrusos con sus

respectivos dispositivos de alarma, sensores de movimiento y cámaras de

monitoreo.

2. Sistema de control de acceso biométrico con su respectivo sistema de

administración instalado en uno de los computadores de los administradores

de la plataforma.

76

Ilustración 10 - Controles de acceso

Fuente: Fotografía elaboración propia.

2.3.11 Seguridad lógica.

Luego de ver como nuestro sistema puede verse afectado por la falta de seguridad

física, es importante recalcar que la mayoría de los daños que puede sufrir un centro

de cómputo no será sobre los medios físicos sino contra información almacenada y

procesada.

Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir

para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado,

el activo más importante que se posee es la información, y por lo tanto deben existir

técnicas, más allá de la seguridad física que la proteja. Estas técnicas las brinda la

Seguridad Lógica.

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que

resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas

autorizadas para hacerlo”. Partimos de la premisa ya conocida que “todo lo que no

está permitido debe estar prohibido” y esto es lo que debe verificar la Seguridad

Lógica.

77

Los objetivos que se definen son:

Restringir el acceso a los programas y archivos.

Asegurar que los funcionarios puedan trabajar sin una supervisión minuciosa

y no puedan modificar los programas ni los archivos que no correspondan.

Asegurar que se estén utilizando los datos, archivos y programas correctos

en y por el procedimiento correcto.

Que la información transmitida sea recibida por el destinatario al cual ha sido

enviada y no a otro.

Que la información recibida sea la misma que ha sido transmitida.

Que existan sistemas alternativos secundarios de transmisión entre

diferentes puntos.

2.4 ESTADO ACTUAL – COMPARACIÓN NORMA ISO/IEC 27001

Para desarrollar un correcto SGSI basado en la norma ISO/IEC 27001 de 2013 se

ejecuta un detallado análisis de la situación actual de la organización Sinergia

Profesionales en Seguros Ltda, el cual nos permite evaluar el contexto en el que se

encuentra, brindando la oportunidad de tener un punto de partida y poder determinar

cuáles son las mejores alternativas a implementar en el momento de diseñar una

política de seguridad de la información.

En el anexo A se encuentra, de forma completa, la encuesta realizada a la

organización y la que nos muestra los resultados obtenidos tras evaluar 117 ítems

distribuidos en los 14 dominios de seguridad que establece la norma. Las posibles

respuestas se encuentran divididas en tres categorías (CS, CP, NC) como se

muestra en la siguiente tabla.

78

SIGLA

ESTADO DE EVALUACIÓN

DESCRIPCIÓN

NC

No Cumple. No se ha implementado en la organización

CP

Cumple Parcialmente.

Se tienen normas establecidas que son basadas en la ISO 27001, se tienen implementadas pero no cumple a

cabalidad con lo definido en la norma

CS

Cumple Satisfactoriamente.

Existe, es gestionado, se está cumpliendo con lo que dice la norma ISO 27001, está documentado, es conocido y

aplicado por todos los involucrados de la organización en el SGSI

Tabla 12 - Ítems de respuesta encuesta: estado actual de la organización.


Finalizado el proceso de validación del estado actual de la organización se obtienen

los siguientes resultados:

Ilustración 11 - Resultados encuesta Estado de la organización


Resultados de la consulta organizacional

CS

CP

NC

79

La ilustración anterior se construye a partir de los datos recopilados por la encuesta

realizada para identificar y comparar el estado de la organización con respecto a la

norma ISO/IEC 27001 de 2013.

ANEXO

DOMINIO CS CP NC

CANT. ITEMS

A5 POLÍTICA DE SEGURIDAD. 0 3 3 6 A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN. 2 3 1 6 A7 SEGURIDAD DE LOS RECURSOS HUMANOS. 3 3 3 9 A8 GESTIÓN DE ACTIVOS. 0 4 5 9 A9 CONTROL DE ACCESO. 3 7 4 14

A10 CRIPTOGRAFÍA. 0 1 4 5 A11 SEGURIDAD FÍSICA Y AMBIENTAL. 3 3 8 14 A12 SEGURIDAD EN LAS OPERACIONES. 1 5 6 12 A13 SEGURIDAD EN LAS COMUNICACIONES. 1 5 1 7

A14

ADQUSICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

1 7 1 9

A15 RELACIÓN CON PROVEEDORES. 4 2 0 6 A16 GESTIÓN DE LOS INCIDENTES DE SEGURIDAD. 1 5 1 7 A17 CONTINUIDAD DEL NEGOCIO. 0 4 1 5

A18

CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Y CONTRACTUALES.

5 2 1 8

CS CP NC

TOTAL ELEMENTO EVALUADOS: 24 54 39 117 Tabla 13 - Resultados Estado actual comparado con la ISO 27001-2013


Los resultados obtenidos en la evaluación, nos permite evidenciar que gran parte

de los ítems no se encuentran sujetos a la norma ISO/IEC 27001 y que sólo el 20%

de los mismos se cumplen en la organización.

Se plantea a Sinergia Profesionales en Seguros Ltda, la importancia de llevar a

cabalidad el cumplimiento de la norma y de los beneficios que se pueden obtener si

se aplica de la forma correcta. A continuación, se realiza una descripción de los

hallazgos realizados con la información entregada.

80

2.4.1 A5 Políticas de seguridad de la información

Se busca que la dirección brinde orientación y soporte para la seguridad de la

información de acuerdo con los requisitos del negocio y con las leyes y reglamentos

pertinentes. Se determina que Sinergia Profesionales en Seguros Ltda. Tienen

grandes falencias en las políticas, procedimientos y controles para garantizar la

seguridad de la información.

Ilustración 12 - A5 Política de seguridad


Este análisis actual de la política de seguridad permite a la organización determinar

los mecanismos necesarios para lograr cambiar las estadísticas encontradas. Se

evidencia que el 50% de las políticas evaluadas no se cumplen en la organización

y el otro 50% se cumplen de forma parcial, exigiendo a la organización actualizar e

implementar nuevas medidas para cambiar estos porcentajes de forma favorable.

2.4.2 A6 Organización de la seguridad de la información

Establece un marco de referencia de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información dentro de la

organización. Sinergia Profesionales en Seguros Ltda. Ha venido trabajando en este

punto generando acuerdos de confidencialidad, definiendo roles, asignando

responsables y realizando capacitaciones.

CS0%

CP50%

NC50%

Política de seguridad

CS

CP

NC

81

Ilustración 13 - A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN


La organización con los resultados obtenidos debe empezar a establecer un marco

de referencia para iniciar y controlar la implementación y la operación de la

seguridad de la información. Los responsables de la seguridad de la información

deben implementar mecanismos efectivos para hacer cumplir el 17% de las políticas

que no se cumplen (NC) y lograr llevar el 50% de las que se cumplen parcialmente

(CP), llevando a cumplir satisfactoriamente (CS) las políticas evaluadas.

2.4.3 A7 Seguridad de los recursos humanos.

Establece los procesos y mecanismos para generar garantías donde se realice una

correcta selección de los empleados y contratistas, buscando que al mismo tiempo

estos comprendan sus responsabilidades frente a la organización.

CS33%

CP50%

NC17%

A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN.

CS

CP

NC

82

Ilustración 14 - A7 Seguridad de los recursos humanos


El anterior gráfico muestra que la organización debe reforzar sus lazos con los

empleados y contratistas, aunque las estadísticas están equilibradas los altos

directivos son conscientes que para cumplir los objetivos es necesario llevar a que

todas las políticas se cumplan de forma satisfactoria. La organización debe

comprometerse en asegurar que los empleados y los contratistas comprendan sus

responsabilidades ante la misma con el fin de llevar al 100% todas las políticas.

2.4.4 A8 Gestión de activos.

Se ejecuta una identificación de activos organizacionales para definir

responsabilidades de protección, garantizando que la información recibe un nivel

apropiado de protección, de acuerdo con su importancia para la organización. Se

determina que Sinergia Profesionales en Seguros Ltda. Ha implementado por

iniciativa medidas para gestionar los activos, sin embargo, no son lo suficientemente

concretas para cumplir con la norma, teniendo como eje un gran porcentaje de

activos en situación de alto riesgo.

CS34%

CP33%

NC33%

A 7 SEGURIDAD DE LOS RECURSOS HUMANOS.

CS

CP

NC

83

Ilustración 15 - A8 Gestión de activos


El gráfico anterior muestra que la organización no tiene un correcto control de los

activos ya que ninguna política cumple satisfactoriamente, el 44% cumplen

parcialmente (CP) y el 56% no cumplen (NC). Los altos directivos deben

implementar los mecanismos y políticas correspondientes con el objetivo de

identificar los activos de la organización y asignar a los profesionales responsables

de los mismo y así cambiar estas estadísticas.

2.4.5 A9 Control de acceso.

Es muy importante para la organización tener un estricto control de acceso a la

información e instalaciones, con el objetivo de minimizar riesgos.

CS0%

CP44%

NC56%

A8 GESTIÓN DE ACTIVOS.

CS

CP

NC

84

Ilustración 16 - A9 Control de acceso.


En el gráfico anterior se evidencia que Sinergia Profesionales en Seguros Ltda, tiene

implementada algunas medidas para controlar el acceso, pero no son suficientes

para proteger todos sus activos, los altos directivos deben implementar políticas que

permitan cambiar se 29% de políticas que no se cumplen (NC) y optimizar el 50%

de las que se cumplen parcialmente (CP).

2.4.6 A10 Criptografía.

Con la criptografía se busca asegurar un uso apropiado y eficaz para proteger los

datos confidenciales, autenticidad y/o la integridad de la información. Se evidencia

que Sinergia Profesionales en Seguros Ltda. Son muy básicos los controles de

protección de información con sistemas criptográficos, de hecho, se podría decir

que procesos de criptografía no existen ya que parte de sus bases de datos se

manejan en documentos Excel.

CS21%

CP50%

NC29%

A9 CONTROL DE ACCESO.

CS

CP

NC

85

Ilustración 17 – A10 Criptografía.


La gráfica anterior compromete a los altos directivos a buscar e implementar

políticas con la mayor brevedad ya que el 80% de los ítems evaluados no se

cumplen (NC), teniendo como objetivo principal proteger de forma segura la

información por medio de mecanismos criptográficos.

2.4.7 A11 Seguridad física y ambiental.

Sinergia Profesionales en Seguros Ltda. Viene trabajando en mejorar las

condiciones de seguridad de sus instalaciones, sin embargo, las acciones

realizadas hasta el momento no son lo suficientemente concretas para minimizar

los riesgos latentes a los que se encuentra expuesta la organización. En el siguiente

gráfico, se evidencia el porcentaje de avance con relación a la encuesta realizada

comparado las medidas existentes con la ISO/IEC 27001 de 2013.

CS0% CP

20%

NO80%

A10 CRIPTOGRAFÍA.

CS

CP

NO

86

Ilustración 18 – A11 Seguridad física y ambiental.


En la anterior ilustración se logra identificar que la organización no se encuentra de

forma equilibrada para cumplir las políticas de seguridad física y ambiental. Los altos

directivos de la organización, con ayuda del auditor y las políticas que se

implementen deben lograr cambiar el 57% de políticas que no se cumplen (NC) y

optimizar el 21% de las que se cumplen parcialmente (CP).

2.4.8 A12 Seguridad de las operaciones.

Con la seguridad en las operaciones se busca obtener procesos concretos y

seguros en el procesamiento de la información. Aquí, se incluyen controles contra

códigos maliciosos, respaldo de información, registro de eventos. Sinergia

Profesionales en Seguros Ltda. Ha llegado a cumplir en un mínimo porcentaje de

forma satisfactoria y de forma parcial estos objetivos, sin embargo, contar con

operaciones que no tienen seguridad en el 50% de sus procesos logra dejar en

evidencia que su estado es muy vulnerable.

CS22%

CP21%

NC57%

A11 SEGURIDAD FÍSICA Y AMBIENTAL.

CS

CP

NC

87

Ilustración 19 – A12 Seguridad en las operaciones.


Prevenir la perdida, daño, robo o compromiso de los activos, y la interrupción de las

operaciones de la organización es uno de los retos más alto de la organización.

Como se evidencia en la ilustración 19, sólo el 8% de las políticas se cumplen

satisfactoriamente (CS) mientras que el 50% no se cumplen (NC).

2.4.9 A13 Seguridad de las comunicaciones.

El nivel de preocupación por asegurar la protección de la información en las redes

y la transferencia de la información en Sinergia Profesionales en Seguros Ltda. Se

enfocado en establecer medidas que mitiguen la pérdida o el hurto de la

información, de tal forma que se pueda garantizar la integridad, confidencialidad y

disponibilidad de la misma en el momento del intercambio entre la organización y

los clientes a través de las herramientas establecidas.

Se evidencia que se tienen varios procesos en ejecución que llevan a la

organización para cumplir a cabalidad este ítem, sim embargo, las medidas

implementadas no se encuentran enfocadas en su totalidad a la norma ISO/IEC

27001 de 2013. A continuación, se muestran los resultados obtenidos en la

encuesta realizada en la organización.

CS8%

CP42%

NC50%

A12 SEGURIDAD EN LAS OPERACIONES.

CS

CP

NC

88

Ilustración 20 – A13 Seguridad en las comunicaciones.


Mantener la seguridad de la información transferida dentro y fuera de la

organización, y con cualquier entidad externa es uno de los compromisos de la alta

gerencia. La ilustración 20 muestra que se ha trabajado en políticas para la

seguridad de las comunicaciones con un 72% de cumplimiento parcial (CP) y un

14% de no cumplimiento (NC).

2.4.10 A14 Adquisición, desarrollo y mantenimiento de sistemas.

Sinergia Profesionales en Seguros Ltda. Es una organización joven que busca

posicionarse en el mercado de forma sólida, ha implementado tareas

correspondientes a los procesos de adquisición, desarrollo y mantenimiento de

sistemas basados en el sentido común. Aunque no se tienen procedimientos

formales, si se tienen establecidos mecanismos y una serie de pasos para este tipo

de proceso que busca el bien organizacional. Con las tareas realizadas se busca

garantizar la seguridad de la información durante todo el ciclo de vida de los

sistemas de información, pero se requiere establecer y aplicar reglas para minimizar

cualquier riesgo o amenaza que se pueda presentar.

CS14%

CP72%

NC14%

A13 SEGURIDAD EN LAS COMUNICACIONES.

CS

CP

NC

89

Ilustración 21 – A14 Adquisición, desarrollo y mantenimiento de sistemas.


Con el 78% de cumplimento parcial (CP) y un 11% de no se cumple (NC), como se

muestra en la ilustración 21, la alta gerencia debe implantar mejoras en las políticas

con el objetivo de cambiar estos valores a “cumple satisfactoriamente” (CS).

2.4.11 A15 Relaciones con los proveedores

Sinergia Profesionales en Seguros Ltda. Tiene como uno de sus principios el

mejorar continuamente la relación que existe entre proveedores – organización, con

el objetivo de buscar y brindar los mejores beneficios a sus clientes. Es por ello que

este ítem evaluado es uno con las mayores calificaciones, puesto que el modelo de

negocio requiere que esta relación sea fuerte y de forma transparente.

CS11%

CP78%

NC11%

A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

CS

CP

NC

90

Ilustración 22 – A15 Relación con proveedores.


Cumpliendo el 67% de forma satisfactoria (CS) y con un 33% de cumplimiento

parcial (CP), como se muestra en la ilustración 22, la organización debe tener

conocimiento que no es suficiente. Asegurar la información y la prestación de

servicios con los proveedores permitirá a la organización cumplir el 100% de las

políticas establecidas.

2.4.12 A16 Gestión de los incidentes de seguridad.

La gestión de los incidentes comprende en asegurar un enfoque coherente y eficaz

para el manejo de los mismos que se relacionan con la seguridad de la información,

incluida la comunicación sobre eventos de seguridad y debilidades.

CS67%

CP33%

NC0%

A15 RELACIÓN CON PROVEEDORES.

CS

CP

NC

91

Ilustración 23 – A16 Gestión de los incidentes de seguridad.


Se evidencia que Sinergia Profesionales en Seguros Ltda cuenta con medidas que

no permiten manejar de la mejor manera este tipo de incidentes, sin embargo, el

hecho de que exista un porcentaje amplio de ítems que cumplen parcialmente nos

muestra que la organización está trabajando en el mejoramiento de la gestión de

los incidentes, asignando responsables, generando documentación actualizada de

los hechos presentados, atendiendo los incidentes con la mayor brevedad posible.

Se resalta que es de gran importancia para cualquier organización cumplir este

conjunto de Ítems de forma completa para minimizar los riesgos y amenazas

existentes.

2.4.13 A17 Gestión de la continuidad del negocio

Sinergia Profesionales en Seguros Ltda entiende que el cliente lo es todo, por lo

tanto, se ha buscado que el negocio siempre esté en constante continuidad. Se

evidencia que cuenta con medidas implementadas para lograr este objetivo y que

el porcentaje que no cumple es bajo, pero lo que tiene actualmente no es suficiente,

ya que la no organización de las medidas implementadas puede generar un efecto

contrario en la organización.

CS14%

CP72%

NC14%

A16 GESTIÓN DE LOS INCIDENTES DE SEGURIDAD.

CS

CP

NC

92

Ilustración 24 – A17 Continuidad del negocio.


En este punto, se recomienda reevaluar lo los mecanismos de continuidad de

negocio existentes, lo que no se tienen y ejecutar un trabajo de re estructuración

para llevar a su máximo potencial la continuidad del negocio y lograr minimizar los

eventos de riego a los que se enfrenta la organización.

2.4.14 A18 Cumplimiento con requerimientos legales y contractuales.

Sinergia Profesionales en Seguros Ltda siendo una empresa joven entiende la

importancia de cumplir a cabalidad todos los requerimientos legales que se tienen

en su campo de desempeño, esto lo hace con un objetivo principal y este se

relaciona con el cliente, y de e igual forma, todos los compromisos legales que se

adquieren el mismo garantizando el compromiso de la organización.

CS0%

CP80%

NC20%

A17 CONTINUIDAD DEL NEGOCIO.

CS

CP

NC

93

Ilustración 25 – A18 Cumplimiento con requerimientos legales y contractuales.


Se evidencia que el trabajo realizado hasta el momento es bueno, pero no lo

suficiente para cumplir con estándares de las grandes organizaciones, por lo tanto,

en el porcentaje que no se cumple de forma satisfactoria se debe trabajar para

alcanzar el objetivo del 100%

Una vez realizado el análisis de la situación actual de la organización en los

diferentes dominios de la norma ISO/IEC 27001 de 2013 se evaluaron un total de

117 ítems, donde el 20.5% se cumplen satisfactoriamente (24 ítems), el 46.1 % se

cumplen de forma parcial (54 ítems) y el 33.4% no se cumplen (39 ítems).

Este análisis demuestra que la organización Sinergia Profesionales en Seguros Ltda

requiere de manera urgente la implementación de forma pronta y efectiva de las

políticas de seguridad planteadas y diseñadas en un SGSI, por lo tanto, se debe

construir e implementar de forma efectiva con el principal objetivo de minimizar los

riesgos y amenazas a los que se encuentra expuesta la organización basados en

los principales hallazgos realizados en este análisis inicial.

CS62%

CP25%

NC13%

A18 CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Y CONTRACTUALES.

CS

CP

NC

94

Sinergia Profesionales en Seguros Ltda se encuentra comprometida con la calidad

de sus productos y servicios con el objetivo de brindar la mejor opción a los clientes,

para ello, es consciente de la importancia de elaborar, implementar y ejecutar en un

cien por ciento un Sistema de Gestión de Seguridad de la Información (SGSI)

basados en el siguiente principio al que se llegó tras el análisis final de estado actual

de la organización:

“En lo que respecta a la seguridad de la información, uno de los aspectos más

importantes es comprender que esta debe ser gestionada, especialmente cuando

se trata de proteger redes corporativas.

Toda organización tiene objetivos, por lo general relacionados con el mercado y los

negocios, y requiere que, desde los procesos de operaciones hasta las políticas de

uso de recursos, sean definidos a un nivel general, de manera confiable. Si bien

gran parte de la información se vincula con computadoras y redes, hay otra parte

que no se representa en forma de bits, sino por ejemplo en papeles, en la memoria

de las personas, en el conocimiento y experiencia de la organización misma, en la

madurez de sus procesos. En ambos casos, la información debe ser protegida de

manera diferente, y aquí entra en juego un SGSI.”

Fuente: Ingrid Paola Gómez: Ejecutiva, Sinergia Profesionales en Seguros LTDA.

95

2.5 Alcances y limitaciones.

El proyecto busca realizar un análisis de la situación actual de la seguridad de la

información que adminsitra Sinergia profesionales en seguros, con el fin de

establecer inicialmente los principios básicos de un SGSI dentro de la compañía.

2.5.1 Alcance del SGSI

El proyecto se lleva a cabo en la empresa Sinergia Profesionales en Seguros, con

la alta gerencia se definió como alcance máximo del proyecto la construcción de las

políticas (documentos aplicables) necesarias para la reducción de los riesgos y

amenazas identificadas en el análisis de riesgos.

De acuerdo al estándar internacional ISO/IEC 27001:2013, se debe realizar un

diagnóstico de la situación actual de la seguridad de la información, se evaluarán

las amenazas, riesgos e impactos, permitiendo así un análisis comparativo de los

controles a ser establecidos en la organización, respecto a los controles planteados

en la norma.

Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) áreas críticas

de cualquier organización como son los activos, la seguridad (física y ambiental), y

el control de acceso y adicionalmente estos dominios están directamente

relacionados con los tres pilares básicos de la seguridad como son: la

confidencialidad, integridad y disponibilidad.

2.5.2 Limitaciones del SGSI

2.5.2.1 Geográfica: El Proyecto se desarrolla en las instalaciones de la empresa

Sinergia Profesionales en Seguros, única sede registrada por la empresa

actualmente que se encuentra ubicada en la Ciudad de Bogotá D.C., donde se

diseña un sistema de gestión de seguridad de la información, que inicialmente se

adapta a la organización, pero puede ser adoptado a diferentes corredores de

seguros.

2.5.2.2 Temporal: Este proyecto se ejecutará en un término de cuatro (4) Meses,

de acuerdo con las diferentes actividades a realizar durante el desarrollo del mismo.

96

2.5.2.3 Conceptual: Los conceptos a manejar en este proyecto son los relacionados

con la seguridad de la información, sistema de gestión de seguridad de la

información (SGSI), disponibilidad, disponibilidad, integridad, riesgos,

administración de riesgos, políticas de seguridad de la información y controles.

2.5.2.4 Operativa: Este proyecto diseñará un modelo sistema de gestión de

seguridad de la información (SGSI) basado en los procesos de la empresa Sinergia

Profesionales en Seguros cuya actividad principal es la correduría de seguros, en

aras de lograr un mejor nivel de protección de los activos de la organización, mejora

económica y visibilidad positiva de la compañía a nivel local y nacional.

2.5.2.5 Personal: Inicialmente el proyecto busca estimular a las buenas practicas e

implementación, guiando así el personal que labora en Sinergia Profesionales en

Seguros en temas como la importancia que tiene esta investigación en relación con

los procesos que se realizan diariamente en su compañía, esto permite múltiples

beneficios internos tales como: Eficiencia, productividad, calidad de

producto/Servicio y control sobre los procesos.

2.5.2.6 Económicas: A través de la realización de este proyecto, se proveerá de

medios que permitan prevenir y resolver los problemas relacionados con la

seguridad de la información, permitiendo así un ahorro en los gastos generales

relacionados a la seguridad de la información actual.

2.6 Definición de la política de seguridad

Las políticas de seguridad (Anexo D), estipuladas en este documento, definen lo

que está permitido, procedimientos a seguir y la responsabilidad de cada funcionario

frente al acceso y tratamiento de los activos de la compañía, definiendo así

procedimientos y herramientas necesarias. Estas políticas expresan el consenso de

alta gerencia y permite adoptar una buena actitud dentro de la organización.

Los objetivos fundamentales de estas políticas son:

Minimizar los riesgos de las funciones más importantes de la Sinergia

Profesionales en Seguros.

Cumplir con los principios de la seguridad de la información de la

organización.

Cumplir con los principios de la función administrativa en la organización,

optimizando los niveles de seguridad existentes.

97

Implementar el sistema de gestión de seguridad de la información SGSI como

modelo para Sinergia Profesionales en Seguros y organizaciones de

correduría de seguros.

Proteger los activos de la organización.

Establecer políticas, procedimientos e instructivos en materia de seguridad

de la información.

Fortalecimiento de la cultura por la seguridad de la información para:

administrativos, colaboradores, contratistas y practicantes dentro y fuera de

la organización.

Garantizar la continuidad de operación de Sinergia Profesionales en

Seguros, frente a incidentes de seguridad.

2.7 Aplicabilidad

Estas políticas se aplican para todos los administrativos, colaboradores, contratistas

practicantes, visitantes y demás personas que se encuentren relacionados con

Sinergia Profesionales en Seguros.

2.8 Nivel de cumplimiento

Para todo el personal que abarca el alcance y aplicabilidad, se espera que se

adhieran en un 100% de las políticas de seguridad, optimizando así los niveles de

seguridad en la organización.

98

3. GESTIÓN DE RIESGOS

En el presente capítulo se detalla la metodología a utilizar para la gestión de riesgos

relacionados con las organizaciones corredores de seguros, con el objetivo principal

de establecer un documento base en el cual se pueden guiar las entidades

mencionadas y a fines que busque establecer controles para mitigar riesgos.

3.1 Metodología.

Todas las actividades de una organización implican riesgo. Las organizaciones

gestionan el riesgo mediante su identificación y análisis y luego evaluando si el

riesgo se debería modificar por medio del tratamiento del riesgo con el fin de

satisfacer los criterios del riesgo. A través de este proceso, las organizaciones se

comunican y consultan con las partes involucradas, monitorean y revisan el riesgo

y los controles que lo están modificando con el fin de garantizar que no se requiere

tratamiento adicional del riesgo. La norma NTC - ISO 3100017 describe el proceso

sistemático y lógico en detalle.

Aunque todas las organizaciones gestionan el riesgo de algún grado, esta norma

establece un número de principios que es necesario satisfacer para hacer que la

gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones

desarrollen, implementen y mejoren continuamente un marco de referencia cuyo

propósito sea integrar el proceso para la gestión del riesgo en los procesos globales

del gobierno, estrategia y planificación, gestión, procesos de presentación de

informe, políticas, valores y cultura de la organización.

La gestión del riesgo puede aplicar a todas las organizaciones, en todas sus muchas

áreas y niveles, en cualquier momento, así como a funciones, proyectos y

actividades específicos.

Aunque la práctica de la gestión el riesgo se ha desarrollado con el paso del tiempo

y en muchos sectores para satisfacer diversas necesidades, la adopción de

procesos consistentes dentro de un marco de referencia exhaustivo puede ayudar

a garantizar que el riesgo se gestione eficaz, eficiente y coherentemente en toda la

17 Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, Página [29],[en línea],[consultado el

20 de Abril de 2018], Disponible en: https://sitios.ces.edu.co/Documentos/NTC-

ISO31000_Gestion_del_riesgo.pdf

https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf

https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf

99

organización. El enfoque genérico que se describe en esta norma suministra los

principios y las directrices para la gestión de cualquier forma de riesgo en una

manera sistemática, transparente y creíble, y en cualquier alcance y contexto.

Cada sector específico o cada aplicación de la gestión del riesgo traen consigo

necesidades, audiencias, percepciones y criterios individuales. Por lo tanto, una

característica clave de esta norma es la inclusión de “establecimiento del contexto”

como una actividad al inicio de este proceso genérico para la gestión del riesgo. Al

establecer el contexto se capturarán los objetivos de la organización, el entorno en

el cual ella persigue sus objetivos, sus partes involucradas y la diversidad de

criterios de riesgo; todo conjunto ayudará a revelar y evaluar la naturaleza y

complejidad de sus riesgos.

La relación entre los principios para la gestión del riesgo, el marco de referencia en

el cual ésta sucede y los procesos de gestión del riesgo descritos aquí se ilustran

en la siguiente figura.

Ilustración 26 - Relaciones entre los principios, en el marco de referencia y los procesos de la gestión del

riesgo.

Fuente: NTC – ISO 31000

100

3.2 Ventajas de la implementación de la gestión de riesgos

Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta

norma, dicha gestión le permite a la organización, entre otras cosas:

Aumentar la probabilidad de alcanzar los objetivos.

Fomentar la gestión proactiva.

Ser consciente de la necesidad de identificar y tratar los riesgos en toda la

organización.

Cumplir con los requisitos legales y reglamentarios pertinentes y con las

normas internacionales.

Mejorar la presentación de los informes obligatorios y voluntarios.

Mejorar la confianza y honestidad de las partes involucradas.

Establecer una base confiable para la toma de decisiones y la planificación.

Mejorar los controles.

Asignar y usar eficazmente los recursos para el tratamiento del riesgo.

Mejorar la eficacia y eficiencia operativa.

Incrementar el desempeño de la salud y la seguridad, así como la protección

ambiental.

Mejorar la prevención de pérdidas y la gestión de incidentes.

Minimizar perdidas.

Mejorar el aprendizaje organizacional.

Mejorar la flexibilidad organizacional.

101

Esta norma está destinada a satisfacer las necesidades de un rango amplio de

partes involucradas, incluyendo.

a) Aquellos responsables del desarrollo de la política de gestión dentro de la

organización.

b) Aquellos responsables de garantizar que el riesgo se gestiona

eficazmente dentro de la organización como unidad o dentro de un área,

proyecto o actividad específico.

c) Aquellos que necesitan evaluar la eficacia de una organización en cuanto

a la gestión del riesgo.

d) Aquellos que desarrollan normas, guías, procedimientos y códigos de

práctica que, parcial o totalmente, establecen la manera de gestionar el

riesgo dentro del contexto específico de estos documentos.

3.3 Análisis de riesgos

Este tipo de análisis es ampliamente utilizado como herramienta de gestión en

estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y

otras para evaluar riesgos (generalmente de naturaleza cuantitativa).

El primer paso del análisis es identificar los activos a proteger o evaluar. La

evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el

proceso de análisis con criterios de riesgo establecidos previamente.

La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de

consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que

permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos

para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones

que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento

y ejecutarlos.

En la siguiente gráfica se muestra el ciclo de administración del riesgo:

102

Ilustración 27 - Ciclo administración del riesgo

Fuente: Gestión del riesgo. Principio y directrices - NTC-ISO31000_Gestion_del_riesgo. - Página

17

3.3.1 criterios de evaluación.

Los criterios de evaluación de riesgos están basados en la norma ISO 31000.

Se han establecido dos aspectos para realizar el análisis de los riesgos

identificados:

A. Probabilidad: Es la posibilidad de ocurrencia del riesgo; esta puede ser

medida con criterios de frecuencia o teniendo en cuenta la presencia de

factores internos y externos que pueden propiciar el riesgo, aunque éste no

se haya presentado nunca.

B. Impacto: Es la consecuencia que puede ocasionar a la entidad la

materialización del riesgo en caso de sucederse.

103

3.4 Desarrollo de requerimientos.

Se tienen en cuenta políticas de: seguridad de la información, de acceso y de

análisis de riesgo.

Se debe tener en cuenta las características fundamentales para el manejo de

riesgos, estas características consisten en:

Evitar: es la técnica de seguridad la cual lleva un control determinado de las

aplicaciones y los accesos que la red pueda tener, este tipo de manejo puede

generar desventajas ya que existen riesgos positivos y riesgos negativos, por la

inflexibilidad de la solución la compañía puede estar perdiendo la posibilidad de

adquirir riesgos positivos.

Reducir: Cuando en determinados casos el riesgo no sea posible de evitar se pasa

a reducir, es decir atenuar el menor índice de interrupciones o daños a la red, esta

opción es la más económica y sencilla de implementar, puesto que consiste en la

generación de protocolos que permitan el control y monitoreo constante de la red.

Asumir o aceptar el Riesgo: Esta técnica es la más utilizada, es la decisión de

aceptar las consecuencias de hecho de que ocurra el evento, pueden ser

alternativas, esta decisión se toma en base a la falta de alternativas para el ataque

o detección de fallos en la seguridad.

Transferir: esta técnica es utilizada con el fin de distribuir el riesgo de un lugar a

otro con el fin de minimizar su ataque, generándole un menor impacto en su

ejecución. Un ejemplo de esta transferencia es la creación de servidores alternos,

escenarios de alta disponibilidad para la reducción del riesgo de pérdida de

información.

104

3.5 Identificación de riesgo

Dentro de la identificación de riesgos la norma ISO 31000, es quién determina el

¿cómo?, ¿Cuándo? y ¿Por qué?, se presenta un suceso que puede impactar y

perjudicar el correcto y seguro funcionamiento de una entidad corredora de seguros.

Esta norma a su vez permite conocer claramente la probabilidad de evento y las

consecuencias.

Por tal razón la norma ISO 31000 permite realizar una identificación de riesgos a

través de los objetivos de control de referencia de la norma ISO 27001 de 2013,

tomando de ésta, los ítems objetivos de control, que más se adecuen al

funcionamiento y a los procesos que desarrolla una empresa Corredora de Seguros,

así como se describen a continuación (Para revisar todos los objetivos de control

véase ANEXO C – Identificación de riesgos).

3.6 Objetivos de control para la gestión de riesgos

3.6.1 Objetivo de control A.5 Política de seguridad de la Información

Objetivo de control de referencia (ISO-27001:2013)

A.5 Política de seguridad de la Información

Proceso Descripción Objetivos

A.5.1

Orientación de la dirección para para la gestión de la

seguridad de la información

Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de

acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes.

Tabla 14 - Objetivos de control A.5

Fuente: Autores bajo la norma ISO-27001:2013

105

3.6.1.1 Identificación de riesgos Objetivo de control A.5.1 Política de seguridad

de la Información

IDENTIFICACIÓN DE RIESGOS

A.5.1 Orientación de la dirección ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la información.

La dirección ejecutiva o encargados deben brindar orientación y soporte, para la seguridad de la información de acuerdo con los requisitos de una empresa corredora de seguros, teniendo en cuenta

las leyes y reglamentos pertinentes.

CAUSAS RIESGO EVENTO / CONSECUENCIA

Definición de conjunto de políticas de seguridad de la

información

No garantizar un adecuado control de la


Consecuencias legales, financieras y prestigio de la compañía

Publicación y comunicación del conjunto de políticas de


El no cumplimiento de las políticas de seguridad

por el personal de la compañía

Posible fuga de información y deterioro del sistema de seguridad de la

información de la compañía

Tabla 15 - Identificación de riesgos para el objetivo de control A.5


3.6.2 Objetivo de control A.6 sobre Organización de la seguridad de la

Información




A.6 Organización de la seguridad de la Información


A.6.2 Dispositivos Móviles y teletrabajo

Garantizar la seguridad del teletrabajo y el uso de servicios móviles

106

3.6.2.1 Identificación de riesgos Objetivo de control A.6.2 Dispositivos Móviles

y teletrabajo


A.6.2 Dispositivos móviles y teletrabajo

La empresa corredora de seguros debe garantizar los procesos seguros, durante el teletrabajo y el uso de dispositivos móviles


Uso de la conexión LAN por medio de equipos de usuarios externos a

la compañía

Robo de la información privada de la compañía, acciones de fraude, ataques de red, abrir

puertas traseras de red.

Manipulación de la información por entes exteriores a la compañía.

Extracción de información privada del corredor de seguros a

equipo que no pertenezcan a la

compañía

Manipulación de información privada de la compañía

Uso no autorizado del equipo, Agilidad en la revocación de

permisos. Accesos en perímetros no

establecidos para el colaborador.

Equipos sin Control de acceso e información

sin ser cifrada.

Manipulación de la información de los equipos portátiles de la

compañía

Manipulación de credenciales de usuarios, corrupción de datos, robo

de información de procesos de la compañía, alteración de datos y

divulgación de la información

Deficiente control de acceso remoto

Manipulación de la información por medios remotos

Espionaje remoto, daños colaterales a las bases de datos, aplicativos, información privada

Deshabilitar Medios Removibles

Extraer información privada de la compañía, implantar

software malicioso o virus que afecten el correcto

funcionamiento de los procesos de la compañía

Extracción de información e implantación de software o virus

maliciosos

Tabla 17 - Identificación de riesgos para el objetivo de control A.6


107

3.6.3 Objetivo de control A.8 sobre Organización de la seguridad de la

Información

Objetivo de control de referencia

(ISO-27001:2013)

A.8 Gestión de Activos


A.8.2 Clasificación de la Información

Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la

organización

A.8.3 Manejo de Medios Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.




Información


A.8.2 Clasificación de la Información

Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la organización


El no clasificar la información para uso del

personal y áreas con acceso definidamente

autorizado

Divulgación o modificación no autorizada de la

información

Divulgación, robo y manipulación de la información por personal o áreas sin

autorización.

Excesivo control sobre la información que es vital

para el correcto funcionamiento del corredor de seguros

Disposición de la información

Deficiencia y poco entendimiento en los procesos de la compañía. Consecuencias

financieras.

Tabla 19 - Identificación de riesgos para el objetivo de control A.8.2


108


Información


A.8.3 Manejo de Medios

Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.


No tener una implementación de la gestión de medios removibles sin uso

Baja disponibilidad de los medios removibles, por

almacenamiento en desuso

Disponibilidad de la Información

No realizar los procedimientos adecuados a la hora de transportar

información por medios físicos, contraseñas o cifrado de información

sobre el medio removibles

Acceso no autorizado a medios físico por trasferencias de

información

Uso indebido o corrupción de la información



3.6.4 Objetivo de control A.9 sobre Control de Acceso


A.9 Control de Acceso


A.9.1 Requisitos para el control de acceso en una organización de

corredores de seguros.

Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en

las instalaciones de una empresa corredora de seguros, teniendo en cuenta las leyes y reglamentos pertinentes.

A.9.2 Gestión de usuarios en una organización de corredores de

seguros.

Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.

A.9.3 Responsabilidades de los usuarios.

Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de la información de

autenticación

A.9.4 Control de acceso a sistemas y aplicaciones.

Evitar acceso a los sistemas y aplicaciones.



109


Información, Requisitos para el control de acceso en una organización de

corredores de seguros.


A.9.1 Requisitos para el control de acceso en una organización de corredores de seguros.

Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en las instalaciones de una empresa corredora de seguros,

teniendo en cuenta las leyes y reglamentos pertinentes.


Zonas, perímetros o áreas de la organización que no

cuenta con un correcto control, que permita regular el ingreso a

espacios establecidos.

El no control e identificación de accesos en la organización

Proveer ingreso de personal no autorizado en áreas exclusivas de

la organización. Posible daño físico en la

organización por la intromisión de personal no idóneo en el área

Perímetros sin barreras de acceso adecuadas.

Entrada y salida de personal no idóneo.

Retiro de equipos o material

alto valor organizacional

Fuga de información. Retiro de equipos.

Afectación en el área de trabajo. Ingreso de personal no autorizado.

No contar con un control de acceso efectivo

Ingreso y salida sin el debido registro del personal

Baja seguridad en el área. Fuga de información.

No identificación del personal

No asignar roles y/o permisos de acceso

Desplazamiento del personal y/o terceros por áreas no

permitidas

Asignación de permisos innecesarios.

Intromisión en áreas fueras de las permitidas.



110

3.6.4.2 Identificación de riesgos Objetivo de control A.9.2 Gestión de usuarios

en una organización de corredores de seguros


A.9.2 Gestión de usuarios en una organización de corredores de seguros.

Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.


No cancelación del registro de usuarios.

Acceso de personal que trabajó en la organización.

No brindar acceso a los nuevos colaboradores cuando ingresan en la

organización. Permitir ingreso a personal

que se ha retirado de la compañía.

Mala definición de derechos de acceso

Ingreso en áreas no restringidas o no relacionadas con su actividad

laboral

Agilidad en la revocación de permisos.

Accesos en perímetros no establecidos para el

colaborador.

Incorrecta clasificación de roles y permisos

Brindar privilegios de acceso a roles que no lo requieren

Privilegios de acceso no controlados.



111

3.6.4.3 Identificación de riesgos Objetivo de control A.9.3 Responsabilidades

de los usuarios.


A.9.3 Responsabilidades de los usuarios.

Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de su información de autenticación


Suplantación de identidad

Infiltración de terceros en la organización. Brindar acceso a personal no autenticado en el sistema.

Suplantación de identidad por perdida o hurto de información.

Brindar acceso a personal no autorizado

Fuga de información. Daño de infraestructura.

violación de permisos. Acceso no autorizado.



112

3.6.4.4 Identificación de riesgos Objetivo de control A.9.4 Control de acceso a

sistemas y aplicaciones.


A.9.4 Control de acceso a sistemas y aplicaciones.

Evitar acceso a los sistemas y aplicaciones.


Seguridad poca o nula en las fuentes de información.

El usuario puede tener acceso a información, editar

y borrar data.

Vulnerabilidad de los datos. Alteración de información.

Perdida de datos.

Una mala política de control de acceso.

Copia y/o borrado de aplicaciones de la

organización.

Acceso sin control en aplicaciones.

Contraseñas estándar, que nunca vencen y de poco

cumplimiento con las políticas.

Identificación de contraseñas de aplicaciones.

Acceso a las aplicaciones protegidas con autenticación

La no existencia de versionamiento de las

aplicaciones desarrolladas.

Publicación de versiones anteriores a las que se

encuentran en producción. Re construcción de código

perdido.

Publicaciones de aplicaciones que no se encuentran actualizadas.



3.6.5 Objetivo de control A.10 sobre Criptografía


A.10 Criptografía

Proceso

Descripción Objetivos

A.10.1

Controles criptográficos. Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la

integridad de la información.



113

3.6.5.1 Identificación de riesgos Objetivo de control A.10.1 Controles

criptográficos.


A.10.1 Controles criptográficos.

Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.


Almacenamiento incorrecto de

información sensible

Violación de acceso. Ingreso no autorizado.

Incumplimiento de política de seguridad

El incorrecto almacenamiento de la información sensible puede llevar a

la difusión de datos privados, incumpliendo las políticas de

seguridad.

Descripción de información

acceso de información Fuga de información. Debilidad criptográfica.

Los documentos deben ser protegidos antes de

ser cifrados.

Los datos que contienen documentos confidenciales se

ven vulnerados si no se cuentan con políticas

correctas.

Información al alcance del personal.

Difusión de las llaves criptográficas.

Construcción de aplicaciones capaces de descifrar datos por

el mal manejo de las llaves

Visualización de información protegida.



3.6.6 Objetivo de control A.12 sobre Seguridad de las Operaciones

Objetivo de control de referencia

(ISO-27001:2013)

A.12 Seguridad de las Operaciones


A.12.2 Protección contra códigos maliciosos

Asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra

códigos maliciosos

A.12.3 Copias de Respaldo Proteger contra la pérdida de datos Tabla 28 - Objetivos de control A.12


114


códigos maliciosos


A.12.2 Protección contra códigos maliciosos

El corredor de seguros debe asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra códigos maliciosos


Fuentes internas o externas

Agentes contaminantes en la red Contaminación por medio de software malicioso a redes e información de la compañía

Poca limitación de acceso a la internet

Descarga de virus o software malicioso por medio del

navegador

Contaminación por medio de software malicioso descargado de la

internet Tabla 29 - Identificación de riesgos para el objetivo de control A.12.2



códigos maliciosos.


A.12.3 Copias de Respaldo

Proteger contra la pérdida de datos


Eventos naturales o Humanos

Pérdida de información critica Baja disponibilidad de la información y restauración

oportuna

Copias de respaldo almacenadas en dentro

de instalaciones

Disponibilidad y seguridad de la información bajo eventos

naturales o humanos



115

3.7 Análisis de riesgo identificado

Dentro del análisis y evaluación del riesgo, se toma la información descrita en la

anterior etapa de identificación de riesgos de la norma 31000. Con base en esto un

corredor de seguros debe tener un criterio de riesgos que se desarrolla por niveles

bajo la aceptación de la compañía.

La guía de Riesgos DAFP define cuales son los pasos a seguir en el análisis de

riesgos bajo los conceptos de probabilidad e impacto, descritos así:

“Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser

medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de

veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia

de factores internos y externos que pueden propiciar el riesgo, aunque éste no se

haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organización

la materialización del riesgo”.18

De esta manera se realiza una calificación de riesgo a partir de una estimación de

la probabilidad de ocurrencia del riesgo y el impacto en la empresa en el caso de

una materialización.

3.7.1 Evaluación del Riesgo

La siguiente tabla desarrollada por la guía de riesgos DAFP, permite definir los

criterios necesarios para el análisis de la probabilidad de ocurrencia y el impacto

que pueda tener un riesgo para la compañía y así obtener una matriz de calificación,

evaluación y respuesta a los riesgos definidos en el capítulo anterior, tal cual lo

describe la siguiente imagen:

18 Guía de Riesgos DAFP, pág 24.

116

Matriz de Calificación, Evaluación y respuesta a los Riesgos

PROBABILIDAD

IMPACTO

Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

CATASTROFICO (5)

Raro (1) B B M A A

Poco Probable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de Riesgo Baja: Asumir el Riesgo

M: Zona de Riesgo Moderado:

Asumir el Riesgo, Reducir el Riesgo

A: Zona De Riesgo Alta: Evitar, compartir o Transferir

E: Zona de Riesgo Extrema:

Reducir el Riesgo, Evitar, compartir o Transferir

Ilustración 28 - Matriz de calificación, evaluación y respuesta a los riesgos

Fuente: Elaboración propia a partir de la Guía de Riesgos DAFP

3.7.2 Evaluación de Riesgos identificados

A continuación, se presenta un análisis de los riesgos de seguridad de la

información identificados a partir de los objetivos de control de la norma ISO-27001

de 2013, para análisis de una empresa corredora de seguros, (Para revisar todos

los objetivos de control véase ANEXO C – Análisis de riesgos).

117

3.7.2.1 Análisis de riesgos proceso A.5.1

ANÁLISIS DEL RIESGO A.5.1

PROCESO: Orientación de la dirección ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la información.

OBJETIVO: La dirección ejecutiva o encargados deben brindar orientación y soporte, para la seguridad de la información de acuerdo con los requisitos de una empresa corredora de

seguros, teniendo en cuenta las leyes y reglamentos pertinentes.

RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo

No garantizar un adecuado

control de la seguridad de la

información

1 5 Confidencialidad, integrad y

disponibilidad de la información.

Alta La compañía corredora de

seguros con base en su gerencia general debe hacer uso de

todo un sistema de gestión de la seguridad de la

información para un uso obligado de su personal

Incumplimiento de las políticas

de seguridad por parte del

personal de la compañía

3 3 Operativo, legal Alta La gerencia debe desarrollar un

plan de contingencia, que permita informar y orientarse en algún enveto de

riesgo que comprometa la información a

cada uno de sus colaboradores

Tabla 31 - Análisis de riesgos proceso A.5.1

Fuente: Autores.

118



PROCESO: Dispositivos móviles y teletrabajo

OBJETIVO: La empresa corredora de seguros debe garantizar los procesos seguros, durante el teletrabajo y el uso de dispositivos móviles

RIESGO CALIFICACIÓN

Tipo de Impacto

Evaluación

Medidas de Respuesta

Probabilidad

Impacto

Zona de Riesgo

Control de acceso por medio de redes LAN a personal externo a la

compañía

3 2 Confidencialidad de la Informació

n

Moderada

Limitar el uso de la conexión LAN a entes exteriores a la compañía, y reemplazarla por tecnología Wifi

Manipulación de información privada de la compañía por

personal con roles sin autorización

4 3 Integridad de la

información

Alta Restringir el acceso a la información a partir de una política

que limite el acceso para determinados usuarios,

Manipulación de la información de los

equipos portátiles de la compañía

5 4 Confidencialidad,

Integridad de la

Información

Extrema

Cumplir a cabalidad con el objetivo de control A.9 sobre equipos

portátiles de la compañía

Manipulación de la información por medios remotos

3 5 Legal, Confidencia

lidad, Integridad

Extrema

Permitir acceso remoto a usuarios bajo supervisión y autorización

explícita.

implantación software malicioso o virus por medios removibles

que afecten el correcto

funcionamiento de los procesos de la

compañía

4 5 Imagen corporativa

, legal, confidencia

lidad, integridad, disponibilid

ad

Extrema

Anulación del acceso a equipos por medio de Medios Removibles


Fuente: Autores.

119



PROCESO: Clasificación de la Información

OBJETIVO: Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la organización

RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta

Probabilidad

Impacto Zona de Riesgo

Divulgación o modificación no autorizada

de la información

5 4 Confidencialidad, Legal

Extremo El corredor de seguros debe

darle una clasificación a

su información para otorgar

permiso y accesos

autorizados por este medio

Disposición de la información

3 3 Disponibilidad Alta La confidencialidad

no debe asemejarse a la

no disponibilidad

de la información


Fuente: Autores.

120



PROCESO: Manejo de Medios

OBJETIVO: Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.

RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta

Probabilidad Impacto Zona de Riesgo

Baja disponibilidad de los medios removibles, que están

almacenados por desuso

3 3 Disponibilidad, Integridad

Alta El disponer de los medios de forma

segura hace parte de los

procedimientos formales de la

compañía.

Acceso no autorizado a

medios removibles por transferencias de información

4 3 Confidencialidad, Legal, Imagen

corporativa

Alta La información que es

transferida debe mantenerse bajo

un proceso de seguridad que la

proteja de accesos no autorizados


Fuente: Autores.

121



PROCESO: Requisitos para el control de acceso en una organización de corredores de seguros.

OBJETIVO: Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en las instalaciones de una empresa corredora de seguros,

teniendo en cuenta las leyes y reglamentos pertinentes.

RIESGO CALIFICACIÓN Tipo de Impacto

Evaluación

Medidas de Respuesta

Probabilidad

Impacto

Zona de Riesgo

No controlar identificación

de accesos en la

organización

3 5 Imagen corporativ

a

Extrema Establecer perímetros de seguridad física en las locaciones

que contengan activos de información cuyo impacto por pérdida de confidencialidad,

integridad o disponibilidad pueda poner en riesgo la normal operación de la compañía.

Entrada y salida de

personal no autorizado.

Retiro de equipos o

material alto valor

organizacional

3 4 Legal, Imagen

corporativa,

confidencialidad

Extrema Establecer perímetros de seguridad cuentan con barreras para el acceso, como puertas o

paredes y se establece un mecanismo, automatizado o no de

control de acceso que tenga un factor de autenticación en el cual

cada funcionario.

Ingreso y salida sin el

debido registro del

personal

1 1 Imagen corporativ

a

Baja Establecer controles de acceso que permita a los funcionarios

identificarse dentro de las instalaciones.

Desplazamiento del

personal y/o terceros por

áreas no permitidas

3 3 Confidencialidad

Alta Definir correctamente el rol para cada colaborador o visitante, con

la finalidad de restringir privilegios de acceso


122



PROCESO: Gestión de usuarios en una organización de corredores de seguros.

OBJETIVO: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.


Acceso de personal que

ya no está vinculada a la organización.

3 2 Imagen corporativa,

confidencialidad

Moderado Actualización del Directorio Activo de la organización

para adicionar o desactivar

registros de colaboradores.

Ingreso en áreas no

restringidas o no

relacionadas con su

actividad laboral

4 2 confidencialidad Alta Implementar un proceso de

suministro de acceso formal de usuarios,

con el objetivo de asignar o

revocar permisos

Brindar privilegios de acceso a roles

que no lo requieren

4 4 confidencialidad Extrema Definir de forma correcta

los perfiles y roles, con sus respectivos puntos de

acceso para garantizar el

control efectivo.


Fuente: Autores.

123



PROCESO: Responsabilidades de los usuarios.

OBJETIVO: Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de su información de autenticación


Infiltración de terceros

en la organización.

4 5 imagen corporativa,

legal, confidencialidad

Extrema Se deben establecer

políticas donde el colaborador y el visitante sean conscientes que su información

de autenticación lo

hace responsable en

caso de un evento.

Fuga de información.

3 4 Confidencialidad, legal, imagen corporativa

Extrema Establece políticas donde se establezca

responsabilidad por brindar acceso no

autorizado. Tabla 37 - Análisis de riesgos proceso A.9.3

Fuente: Autores.

124



PROCESO: Control de acceso a sistemas y aplicaciones.

OBJETIVO: Evitar acceso a los sistemas y aplicaciones.


Usuarios sin permisos con

acceso a información,

editar y borrar data.

3 5 Integridad, confidencialidad,

seguridad, disponibilidad,

legal

Extrema El acceso a la información y a las

funciones de los sistemas de las aplicaciones se

debe restringir con la política de control

de acceso.

Copia y/o borrado de

aplicaciones de la organización.

4 5 Integridad, disponibilidad

Extrema Cuando lo requiere la política de control de acceso, el acceso

a sistemas de aplicaciones se

debe controlar bajo un ingreso seguro.

Acceso a contraseñas de

aplicaciones.

1 4 Integridad, Seguridad

Alta Los sistemas de gestión de

contraseñas deben ser interactivos y deben asegurar la

calidad de las mismas.

Publicación de versiones

anteriores a las que se

encuentran en producción.

Re construcción de código perdido.

3 4 Integridad. Extrema Se debe restringir el acceso a los códigos de los programas, y

garantizar su respectivo

versionamiento.


Fuente: Autores.

125



PROCESO: Controles Criptográficos

OBJETIVO: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.

RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de

Riesgo

Violación de acceso. Ingreso no autorizado.

Incumplimiento de política de seguridad

4 3 Seguridad, Imagen

corporativa

Alta La información que contenga

contraseñas de usuarios o

claves para el control de

acceso no podrá ser almacenada en texto plano

Acceso de información sin

cifrado

2 4 Integridad, disponibilidad,

confidencialidad, seguridad

Alta El cifrado y descifrado de los datos se

debe realizar directamente

con las herramientas desarrolladas.

Los datos que contienen

documentos confidenciales se

ven vulnerados si no se cuenta con

políticas correctas.



Alta Se debe generar claves a los

documentos que cuenten

con información personal.

Construcción de aplicaciones capaces

de descifrar datos por el mal manejo

de las llaves



Extrema Manejo de llaves

criptográficas según la política.

Tabla 39 - Análisis de riesgos proceso A.10.1.

Fuente: Autores.

126



PROCESO: Protección contra Código Malicioso

OBJETIVO: El corredor de seguros debe asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra códigos maliciosos

RIESGO CALIFICACIÓN Tipo de Impacto

Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo

Agentes contaminantes

en la red

3 5 Seguridad, Disponibilidad

Extrema Uso de hardware, software o

aplicaciones que permitan prevenir algún

tipo de infección en

equipos y redes de la compañía

Descarga de virus o software

malicioso por medio del navegador

4 5 Seguridad, Disponibilidad

Extrema Restringir el acceso a la

información web que

provenga de dudosas

procedencias Tabla 40 - Análisis de riesgos proceso A.12.2

Fuente: Autores.

127



PROCESO: Copias de respaldo

OBJETIVO: Proteger contra la pérdida de datos


Pérdida de información

critica


confidencialidad, seguridad, Legal,

imagen corporativa

Extrema Mantener alta disponibilidad

de la información

por medio de copias de seguridad

Disponibilidad y seguridad de la información bajo eventos naturales o humanos

4 4 Imagen corporativa,

disponibilidad

Extrema Copias de respaldo en

lugares externos a la

compañía


Fuente: Autores.

3.8 Mapa de Riesgos

De todos los análisis riesgos bajo cada uno de los objetivos de control de la norma

y enfocado a los procesos que desarrolla una empresa corredora de seguros se

obtiene el Mapa de riesgos (ANEXO C – mapa de riesgos), en el cual se presenta

un resumen de las acciones empleadas para la identificación, análisis y evaluación

de riesgos, así como de la evaluación y elección de los controles, a continuación se

presenta el mapa de riegos para el proceso A.5.1, Orientación de la dirección

ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la

información:

128

3.8.1 Análisis de riesgos proceso A.5.1



129

4 POLÍTICAS DE SEGURIDAD

Una vez identificado los activos y hecho el análisis de gestión de riesgos se hace

necesario establecer mecanismos que permitan garantizar la calidad de la

información de la organización y lograr minimizar los riesgos a los que se enfrenta

día tras día.

La política de seguridad es un documento de alto nivel que denota el compromiso

de la gerencia con la seguridad de la información. Contiene la definición de la

seguridad de la información desde el punto de vista de la entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta,

objetivos de seguridad, procedimientos. Debe estar fácilmente accesible de forma

que los empleados estén al tanto de su existencia y entiendan su contenido. Puede

ser también un documento único o inserto en un manual de seguridad. Se debe

designar un propietario que será el responsable de su mantenimiento y su

actualización a cualquier cambio que se requiera.

4.1 Políticas de seguridad de la información

Tomando como base el análisis de riesgos desarrollado en el capítulo anterior, a

continuación, se definen una serie de normas o políticas de seguridad que van a

permitir un control en la seguridad de la información a partir de los procesos que

desarrolla un corredor de seguros.

Las políticas fueron definidas a partir del análisis de riesgos realizado bajo la norma

ISO 31000 de 2011, dentro del Anexo D Políticas de Seguridad, se encuentran

formalmente presentadas en un formato que define objetivo, alcance, palabras

claves, descripción y hacia quienes se dirige los diferentes grupos de políticas

determinadas por objetivo de control de la norma ISO 27001:2013.

130

5. MONITOREO Y REVISIÓN

El presente capítulo proporciona los principales fundamentos a tener en cuenta para

el análisis, monitoreo y revisión del proceso de evaluación de la seguridad de la

información que se ha diseñado basado en la norma ISO/IEC 27001 de 2013 y la

norma ISO 31000 de 2011.

Para obtener evidencias del proceso de Gestión de Riesgos los auditores internos

pueden considerar diversos procedimientos de auditoría. Veamos algunos:

1. Investigar tendencias de la información, desarrollos actuales y todo lo

relacionado con el sector económico o industrial en el que opera la

organización, con el objetivo de determinar riesgos a los que está expuesto

el negocio, así como los procedimientos de control implementados para tratar

y gestionar esos riesgos.

2. Revisar las políticas corporativas y los informes de la alta dirección, para

determinar la estrategia comercial de la organización, la filosofía sobre

riesgos y la metodología para su gestión.

3. Revisar informes previos de evaluación de riesgos emitidos por la alta

dirección, otros auditores internos, auditores externos o cualquier otra fuente

que emita informes relacionados con la gestión de riesgos.

4. Realizar entrevistas con la alta dirección con el fin de establecer los objetivos

de la auditoría con respecto al tratamiento de riesgos, la mitigación de los

mismos y las actividades de monitoreo y seguimiento.

5. Revisar los problemas relacionados con la gestión de riesgos, que pueden

indicar debilidad y, según corresponda, discutirlos con la alta dirección.

Si el auditor cree que la alta dirección tolera un nivel de riesgo que no está de

acuerdo con la estrategia y la política de gestión de riesgos de la organización, es

importante consultar las normas, las políticas y volver a realizar un análisis de riesgo

e impacto, teniendo en cuenta las consideraciones de la alta dirección.

131

5.1 Técnicas para obtener evidencias del proceso de gestión de riesgos

Una vez el auditor ha establecido cuál o cuáles procedimientos utilizará para obtener

evidencias del proceso de gestión de riesgos, debe definir las técnicas, pasos a

realizar en la práctica, que le permitan desarrollar los procedimientos por los que ha

optado.

Entre los métodos más utilizados se tienen los siguiente:

1) Observación: estando presente cuando la gestión de riesgos se lleve a cabo

en las diferentes áreas y a distintos niveles en la organización, pasando por

los departamentos, los programas, proyectos e incluso, empleados.

2) Entrevistas: a empleados, miembros de la alta dirección y empleados que

tengan asignadas responsabilidades en la gestión de riesgos.

3) Revisión de documentos: agendas, documentos de apoyo, actas emitidas

por la alta dirección, planes estratégicos o documentos de respaldo para la

toma de decisiones del área de recursos humanos.

4) Resultados de auditorías anteriores: con el objetivo de determinar el

cumplimiento de acciones correctivas dispuestas tras el hallazgo de no

conformidades.

5) Técnicas analíticas: causa raíz, análisis de fallas, mapeo de procesos,

análisis estadísticos o revisión y evaluación del modelo de riesgo.

A menudo, el uso de varios procedimientos y técnicas, permite obtener evidencias

del proceso de gestión de riesgos, reuniendo información suficiente para llegar a

conclusiones relevantes para la mejora del sistema. El auditor también evalúa si los

recursos y las habilidades disponibles son los adecuados para proporcionar el

apoyo que requiere la gestión de riesgos y el sistema en general.

Los requerimientos de evidencia varían de acuerdo con el tipo de opinión que el

auditor desee presentar. Por ejemplo, si desea expresar un concepto positivo y de

aseguramiento, debe proporcionar el más alto nivel de evidencia que le permita

apoyar tal concepto.

132

6. CONCLUSIONES

Esta monografía, permite revisar, analizar y proponer las características básicas

dentro de la implementación de un SGSI, abarcando así todos los objetivos de

control de la norman 27001:2013 que están relacionados con los procesos que

desarrollan las empresas con actividades de correduría de seguros.

El levantamiento de información sobre el caso estudio actual es de vital importancia

para reconocer el funcionamiento estructural, técnicas y herramientas que tienen

las empresas dedicadas a la actividad de correduría de seguros.

La gestión de riesgos de la norma ISO 31000:2011 realiza un proceso sincronizado

con los objetivos de control de la norma ISO 27001:2013 a la hora de analizar e

identificar la mayor cantidad de riesgos presentes en diferentes compañías.

La definición de unas correctas políticas de seguridad de la información, permiten

que los riesgos no se materialicen o puedan afectar el correcto funcionamiento de

una compañía siempre y cuando se lleve un control de la aplicación de las mismas

por cada uno de los responsables.

El uso de la gestión de riesgos, permite detallar claramente los riesgos presentes

dentro de la compañía, el análisis por cada uno de los procesos permite detectar y

prevenir acciones o sucesos que generen algún tipo de amenaza que impida el

correcto funcionamiento de las tareas fundamentales del negocio.

Un modelo de seguridad de la información es tan importante para la estructura

organizacional y el funcionamiento de una compañía, pues permite encaminarse a

un desarrollo de buenas prácticas basadas en la importancia de la seguridad de la

información.

Garantizar la integridad, disponibilidad y confidencialidad son los factores mínimos

que debe poseer cualquier tipo de compañía, pues de ésta depende que la

información como un activo sea privada y no difundida o manipulada por entes

externos con intereses particulares.

El uso e implementación de un modelo de seguridad de la información, por parte de

un corredor de seguros, agencia de seguros o agente de seguros, certifica que este

tipo de compañías mantenga un funcionamiento seguro de la información privada a

la que tienen acceso.

133

Es fundamental el uso y aplicación de políticas de seguridad aprobadas por la alta

dirección, pues esto garantiza la implementación, actualización y cumplimiento de

las mismas.

Para que un SGSI sea efectivo en su ejecución y cumpla con su propósito, todas

las áreas y colaboradores de la organización, deben dar cumplimiento a la

normatividad, políticas y controles que están definidos por el SGSI.

134

7. RECOMENDACIONES

La evaluación de madurez indica que la organización está avanzando en un proceso

de concientización, tomando medidas preventivas adecuadas según sus

prioridades. Sin embargo, se recomienda revisar cada una de las políticas

existentes y aplicar las medidas correspondientes al momento de aplicar los

controles que aún se encuentran sin aplicar o que son inexistentes.

Con el fin de mantener un buen funcionamiento y control de seguridad de la

información dentro de la compañía, la norma ISO 27001 se basa en la mejora

continua de SGSI a partir de controles y auditorias que permiten encontrar nuevos

riesgos, ya sea por avances en las tecnologías de la información y comunicación

(Tics), o por nuevos procesos que son adaptados por la compañía. Por tal razón a

continuación se recomiendan algunos controles que puede tener un corredor de

seguros para la mejora continua de su SGSI:

Gestión y control sobre las redes, aplicaciones y procesos con el fin de

prevenir cualquier tipo de fallo que se pueda presentar por la aparición de un

riesgo.

Control estricto sobre el acceso a la información que tiene cada una de su

dependencia o personas.

En el caso de Sinergia Profesionales de Seguros, la empresa debe mantener

un control sobre el servicio que le presta su proveedor de aplicaciones y

almacenamiento, manteniendo así seguridad en las transacciones

realizadas.

La alta gerencia está en la obligación de mantener el cumplimiento de las

políticas de seguridad dentro de la compañía, por tal razón y con el ánimo de

mantener un control, la gerencia de la compañía debe revisar

constantemente el cumplimiento a las normas que hacen parte del

procesamiento de la información privada de la compañía.

Control estricto sobre el uso de herramientas que puedan ayudar a la

protección sobre aplicaciones y/o equipos.

135

De igual manera para el respectivo mantenimiento de SGSI, la compañía debe

tener en cuenta actividades cómo:

Es necesario tener en cuenta el ciclo de vida de la información, pues los

riesgos pueden variar dependiendo los aspectos de cambio dentro de la

compañía.

Es de gran importancia la revisión, actualización y agregación semestral o

según determinado tiempo de Políticas de Seguridad de la Información.

La concientización y la divulgación de las políticas de seguridad de la

información, pretende que haya una aplicación de buenas prácticas y que el

personal esté actualizado con ello.

Acudir a consultores y/o auditores especializados que realicen los estudios

pertinentes para el análisis del funcionamiento de la organización, las

respectivas políticas de seguridad y certificaciones con el objetivo de obtener

un alto nivel de seguridad dentro y fuera de la compañía.

Ya implementado el modelo, a continuación, se describe un proceso de mejora

continua del SGSI para sinergia profesionales en seguros, basado en la

identificación y tratamiento de nuevos riesgos que no hacen parte del estudio actual.

El siguiente es el proceso que describe la norma ISO 31000: 2011:

1. Identificar y reportar de manera oportuna los eventos generadores de riesgos

de Seguridad de la Información;

2. Identificar la(s) causa(s) raíz de los riesgos reportados; ▪

3. Definir los planes de acción tendientes a tomar medidas de tratamiento de

los riesgos identificados (Evitar, Reducir, Transferir o Asumir);

4. Implementar acciones correctivas y preventivas orientadas a reducir el riesgo

a niveles aceptables.

5. Cumplir de forma oportuna y eficiente las acciones tomadas por parte del

responsable del riesgo.

6. Promover la mejora continua en los procesos, haciendo más oportuno y

reiterativo el seguimiento sobre los procesos de mayor importancia.

7. Comunicar a las instancias superiores de la gestión y tratamiento de los

Riesgos identificados en los procesos.

136

8. Establecer roles y responsabilidades de todos los funcionarios que participan

directa o indirectamente en la Administración del Riesgo.

9. Brindar a todo el personal de la Compañía una Metodología común para

identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de

la información.

137

8. BIBLIOGRAFÍA

Centro Criptológico Nacional, Defensa frente a las ciberamenazas, [En línea] 2007,

[Consultado el 16 de junio de 2017], Disponible en internet https://www.ccn-

cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-

del-sector-bancario.html

Guindel Sánchez, Esmeralda. Calidad y seguridad de la información y auditoría

informática. e-archivo.uc3m.es. [En línea]. [Consultado 15 de julio de 2017].

Disponible en internet: https://e-

archivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessionid=

10850A53006DB846CED4EDCEDEDE1C40?sequence=1

CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia

personal: dificultades en la implementación de un SGSI. [En línea]. [Consultado 26

de marzo, 2017]. Disponible en Internet:

seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-

dificultades-en-la.html

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS

COMUNICACIONES. Modelo de Seguridad de la Información para la Estrategia de

Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. [Consultado el 15 de junio de 2017].

Disponible en Internet:

(http://www.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pd

f)

PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En

línea].2010. [Consultado 25 de junio de 2017]. Disponible en Internet:

(www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)

SALCEDO, Robin. Plan de Implementación del SGSI basado en la Norma ISO

27001:2013. Memoria Trabajo Final Máster MISTIC. Barcelona: Universidad Oberte

138

Catalunya. [En línea].2014. 43 p. [Consultado 13 de enero, 2015]. Disponible en

Internet:

(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214me

moria.pdf)

COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE

ISO27001SECURITY.COM. Consejos de implantación y métricas de ISO/IEC

27001 y 27002. Traducido por www.iso27000.es. [En línea] Versión 1, 16 p. 2007.

[Consultado 26 de junio de 2017]. Disponible en Internet:

(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.p

df)

GUTIÉRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad

de la información. En: Revista. Seguridad. [En línea]. no.22 (ago-sep.2014). p.04-

06. [Consultado 26 de marzo, 2017]. Disponible en Internet:

revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num

22.pdf

MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones:

Políticas de seguridad de la información - Parte I. En: Revista.Seguridad. [En línea].

no.16, (Ene-Feb 2013). p. 13-17. [Consultado 17 de julio de 2017]. Disponible en

Internet:

(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seg

uridad_Num16_0.pdf)

ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 ¿Cuál es su

estructura? [En línea]. 2015. [Consultado 18 de junio de 2017]. Disponible en

Internet: (http://www.pmg-ssi.com/2015/08/norma-iso-27001-2013-estructura/)

ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma

ISO 27001. [En línea]. 2015. [Consultado 18 de junio de 2017]. Disponible en

Internet: (http://www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-

la-norma-iso-27001/)

139

CAO, Javier. Medición de un SGSI: diseñando el cuadro de mandos. [En línea].

[consultado 12 de junio de 2017]. Disponible en Internet:

(https://www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-

cuadro-de-mandos/)

CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia

personal: dificultades en la implementación de un SGSI. [En línea]. [Consultado 10

de junio de2017]. Disponible en Internet:

(seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-

dificultades-en-la.html)

CAMELO, Leonardo. Seguridad de la Información en Colombia. Marco Normativo

(Normas y políticas) de un SGSI. [En línea]. 2010. [Consultado 10 de junio de 2017].

Disponible en Internet:

(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-

normas-y-politicas-de.html)

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS

COMUNICACIONES. Modelo de Seguridad de la Información para la Estrategia de

Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. 49p.Bogotá, 2011. [Consultado 16

de diciembre de 2016]. Disponible en Internet:

(http://www.mintic.gov.co/portal/gel4/images/Modelo_Seguridad_Informacion_2_01

.pdf)

PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En

línea].2010. [Consultado 14 de marzo de 2017]. Disponible en Internet:

(www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)

140

ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma

ISO 27001. [En línea]. 2015. [Consultado 18 de agosto de 2017]. Disponible en

Internet: (www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-

normaiso-27001/)

Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, Página [29],

[en línea], [consultado el 20 de abril de 2018], Disponible en: https: // sitios. ces.

edu.co/Documentos /NTCISO31000_Gestion_del_riesgo.pdf

DECRETO 410 DE 1971. Por el cual se expide el Código de Comercio. [En línea].

2010. [Consultado 18 de agosto de 2017]. Disponible en Internet:

(http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=41102)

G Suite. Gmail, Documento, Drive y Calendar para empresas. [En línea].

[Consultado 09 de septiembre de 2017]. Disponible en Internet:

(https://gsuite.google.com/intl/es/)

141

ANEXOS

Los anexos correspondientes al complemento para la guía de implementación del

modelo de SGSI para corredores de seguros, están contenidos en el CD-ROM de

la siguiente manera:

1. Anexo A. Estado actual de la compañía.

2. Anexo B. Audios Entrevista.

3. Anexo C. Gestión de Riesgos.

3.1. Identificación de riesgos.

3.2. Análisis de riesgos.

3.3. Mapa de riesgos.

4. Anexo D. Políticas de seguridad

Anexo A Estado actual de la compañía

Se toma como referencia la empresa Sinergia profesionales en seguros, la cual

presta sus servicios como corredora de seguros, en este anexo se ejecuta un

detallado análisis de la situación actual de la organización con base a los objetivos

de control de la norma ISO 27001:2013.

Anexo B Entrevista

Este anexo está representado por una serie de entrevistas realizadas ejecutiva de

cuenta colectiva de la empresa Sinergia profesionales en seguros, dónde especifica

detalles del funcionamiento de la empresa, seguridad actual, manejo de

aplicaciones, procesos que desarrollan, estructura y roles dentro de la misma.

Anexo C Gestión de riesgos

Este anexo contiene todo el proceso detallado del análisis, identificación y mapas

de riesgos, realizados a partir de la norma ISO 31000 de gestión de riesgos, para la

empresa Sinergia profesionales de seguros, teniendo en cuenta los dominios y

142

controles de la norma ISO 27001:2013 para el uso de técnicas de tratamiento y

controles necesarios por cada uno de los riesgos.

Anexo D Políticas de seguridad

Se define el formato que llevará cada política de seguridad conformada por los ítems

de objetivo, alcance, palabras claves, descripción y hacia quienes se dirige, cada

formato contiene un el grupo de políticas determinadas por el análisis de riesgos

sobre los objetivos de control de la norma ISO 27001:2013.

143

ANEXO D POLÍTICAS DE SEGURIDAD

POLÍTICAS DE SEGURIDAD SINERGIA PROFESIONALES EN SEGUROS

A continuación, se define el formato que llevará cada política de seguridad

conformada por los ítems de objetivo, alcance, palabras claves, descripción y hacia

quienes se dirige, cada formato contiene un el grupo de políticas determinadas por

el análisis de riesgos sobre los objetivos de control de la norma ISO 27001:2013.

Contenido 1. A.5 Orientación de la dirección ejecutiva.................................................. 144

2. A.6 Dispositivos Móviles y teletrabajo – Organización Interna. ................ 145

3. A.7 Seguridad de los recursos humanos. ................................................. 150

4. A.8 Gestión de Activos ............................................................................. 152

5. A.9 Control de acceso. ............................................................................. 156

6. A.10 Criptografía. ..................................................................................... 159

7. A.11 Seguridad física y del entorno. ......................................................... 161

8. A.12 Seguridad de las operaciones .......................................................... 163

9. A.13 Seguridad de las comunicaciones .................................................. 166

10. A.14 Desarrollo de software.................................................................... 169

11. A.15 Relación con Proveedores y gestión de la prestación de servicios de

proveedores .................................................................................................... 171

12. A.16 Gestión de incidentes y mejoras en la seguridad de la información y

Redundancias ................................................................................................. 173

13. A.17 Continuidad del negocio .............................................................. 175

14. A18 Cumplimiento ................................................................................ 177

144

1. A.5 Orientación de la dirección ejecutiva.

ORIENTACIÓN DE LA DIRECCIÓN EJECUTIVA DEL LA EMPRESA CORREDORA DE SEGUROS, PARA LA GESTIÓN DE LA SEGURIDAD DE

LA INFORMACIÓN. OBJETIVO

La dirección ejecutiva del corredor de seguros, deberá tener un equipo profesional

que oriente y soporte en la implementación, uso y cambio de políticas de seguridad

de la información de acuerdo a su actividad económica, leyes y reglamentos

pertinentes.

ALCANCE

Empleados y/o usuarios que hagan parte del corredor de seguros.

DEFINICIONES

Confidencialidad: Propiedad de que la información sólo sea conocida por aquellas

personas que tienen derecho legítimo a conocerla.

Disponibilidad: Propiedad de que la información se encuentre disponible en los

puntos de uso cuando ésta sea requerida por una persona autorizada.

Integridad: Propiedad de que la información sea integra, confiable y no haya sido

alterada bajo ninguna circunstancia.

POLÍTICAS

La dirección general del corredor de seguros, debe ser consciente de la importancia

de la planeación, implementación, mantenimiento y mejora continua del sistema de

gestión de seguridad de la información de su negocio a nivel de confidencialidad,

integridad y disponibilidad, dando cumplimiento a los recursos legales y

reglamentarios que rijan en el país.

La dirección general del corredor de seguros, con el fin de llevar un control

adecuado del estado actual de las políticas para la seguridad de la información,

145

deberá revisar cada tres meses el estado y aplicabilidad de las políticas de

seguridad de información, con el fin de determinar cambios relevantes,

agregaciones o actualizaciones de las misma.

El incumplimiento de las políticas de seguridad de la información, por parte de

funcionarios y colaboradores conllevará a sanciones de la compañía o legales si en

su efecto lo requiere.

El corredor de seguros debe realizar una retroalimentación de lo establecido en el

sistema de seguridad de la información SGSI frecuentemente, con el fin de

mantenerse dispuesto a enfrentar riesgos que se presenten en nuevos escenarios

de los procesos de su negocio

La gerencia del corredor de seguros se compromete a realizar mantenimientos

correctivos y preventivos periódicamente sobre todos sus sistemas, equipos,

dispositivos e instalaciones con el fin de garantizar el correcto funcionamiento de

procesos y trabajo personal.

Todo el personal del corredor de seguros implementará estándares para las buenas

prácticas que involucre la seguridad de la información.

Los equipos que pertenecen a la compañía deberán bloquearse por tiempo de

inactividad de cinco minutos.

La alta gerencia debe mantener y comprometerse a dar una solución de red que

brinde y dé soporte de seguridad frente a nuevos mecanismos de vulnerabilidades.

Los usuarios deberán bloquear sus equipos en caso de ausentarse de su puesto de

trabajo.

Los usuarios deberán usar los equipos de la compañía sólo en horarios habilitados

por la misma, en caso de ser necesario el acceso al equipo, se deberá solicitar

formalmente una solicitud al área encargada para disponer de éste.

HISTORIAL DE VERSIONES

ID V. Fecha Elaboró Aprobado Por:

Resumen de Cambios

POL-001

1.0 1 de Marzo 2018

Mauricio Latorre, Leonardo Gómez.

Gerencia General.

Revisión 1

2. A.6 Dispositivos Móviles y teletrabajo – Organización Interna.

146

EMPRESA CORREDORA DE SEGUROS

POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

OBJETIVO

Permitir que los datos e información utilizada a partir del teletrabajo tengan la

protección necesaria de acuerdo a los requerimientos del corredor de seguros.

ALCANCE

Empleados y/o usuarios que requieran el acceso a la información del corredor de

seguros de una forma remota.

DEFINICIONES

Teletrabajo: El teletrabajo, o trabajo a distancia, permite trabajar en un lugar

diferente a la oficina. El trabajo se realiza en un lugar alejado de las oficinas

centrales o de las instalaciones de producción, mediante la utilización de las nuevas

tecnologías de la información y la comunicación (TICs).

POLÍTICAS

En las oficinas del corredor de seguros no se permiten las conexiones a la red LAN

por parte de computadores portátiles o de escritorio para personal externo a la

compañía, para tal caso se hará uso de la red pública designada por la compañía

que permite la conexión a internet vía WIFI como invitado.

Si se requiere conectividad a la red interna por un usuario externo, se debe notificar

al Oficial de Seguridad de la información y/o Líderes de TI que administren los

sistemas de gestión.

Los equipos portátiles que son parte del corredor de seguros y que contienen

información en ellos relacionada con los procesos de la empresa, deberán estar

protegidos en el acceso con contraseña definida grupo de TI o área a fin del corredor

de seguros, así como la instalación de programas y aplicaciones que no hacen parte

de la compañía. En el caso de una instalación de programas o aplicaciones

147

necesarias, se deberá comunicar con el área encargada para generar la solicitud de

instalación.

Cuando algún usuario y/o empleado requiera acceso remoto hacía la red del

corredor de seguros, se solicitará autorización explícita a su jefe inmediato y así

mismo al área encargada de analizar el riesgo que implica la solicitud de conexión

remota.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

148


POLÍTICAS ORGANIZACIÓN INTERNA

OBJETIVO

Establecer las directrices sobre las cuales se efectuará la organización de seguridad

de la información interna.

ALCANCE

Todos los funcionarios de la compañía.

DEFINICIONES

Confidencialidad: La propiedad de que la información sólo sea conocida por

aquellas personas que tienen derecho legítimo a conocerla.

Disponibilidad: La propiedad de que la información se encuentre disponible en los


Integridad: La propiedad de que la información sea integra, confiable y no haya

sido alterada bajo ninguna circunstancia.

Responsables: Las personas o áreas que tiene la responsabilidad de producir /

procesar o entregar una pieza de información específica.

POLÍTICAS

La Gerencia administrativa debe tener compromiso con la seguridad de la

información mediante la asignación de encargados de los recursos de seguridad

para mantener el control de los riesgos frente a la confidencialidad, integridad o

disponibilidad. De igual manera establecer responsabilidades en seguridad de la

información para todos los funcionarios.

Se debe un grupo entre administrativos, expertos internos o externos y encargados

de la seguridad de la información para gestionar de manera periódica

actualizaciones, cambios y eventos referentes a la seguridad de la información.

149

El grupo asignará, revisará y modificará las diferentes responsabilidades en cuanto

a la seguridad de la información de los miembros y de los funcionarios que

dependen de ellos.

El grupo revisará la política de seguridad de la información de manera periódica

(cada seis meses) para garantizar que ésta es adecuada y sigue siendo acorde con

los objetivos de negocio, del SGSI y de la situación política y legal.

Para la seguridad interna, la compañía cuenta con acuerdos de confidencialidad

firmados por las partes en cuanto al manejo de la información por parte de

contratistas y terceros.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

150

3. A.7 Seguridad de los recursos humanos.


POLÍTICA: CLASIFICACIÓN DE LA INFORMACIÓN

OBJETIVO

Establecer los lineamientos de seguridad de la información bajo los cuales se

llevarán a cabo los procesos de contratación, permanencia y retiro de los

funcionarios.

ALCANCE

Empleados y/o área de recursos humanos del corredor de seguros.

DEFINICIONES

Activos de Información: Cualquier pieza de información, sea esta en cualquier

medio magnético, impreso o que sea transmitida electrónica, visual u oralmente y

que tenga importancia para el cumplimiento de las funciones.

Candidato: Persona que aspira a ocupar un cargo dentro de la compañía o

cualquier tercero que constituirá un contrato de trabajo permanente o temporal.

POLÍTICAS

La compañía debe establecer, documentar y divulgar todos los roles y

responsabilidades para cada uno de los perfiles de cargo de los funcionarios que

deban efectuar labores y que tengan acceso a la información de la compañía.

ha integrado dentro del proceso de selección de personal mecanismos particulares

que garanticen la confiabilidad y credibilidad de cualquier candidato en

concordancia con las leyes y normativas vigentes para la selección de personal.

La compañía debe incluir dentro de todos los contratos con funcionarios la

obligación del cumplimiento de las políticas de seguridad de la información, así

como las responsabilidades, los términos y condiciones referentes a la protección

151

de la seguridad y uso adecuado de los activos de información a los que tendrá

acceso.

Se deben establecer dentro de los convenios o contratos con funcionarios cláusulas

de confidencialidad, así como el cumplimiento del modelo de seguridad de la

información.

Durante la finalización del contrato de un colaborador, o la rotación de cargos se

debe llevar cabo de una manera segura, especificando responsabilidades claras por

parte del funcionario que entrega el cargo.

Todos los empleados cuando sea finalizado su contrato serán removidos o

bloqueados en el sistema, además de que se realice la entrega de todos los activos

de información que le han sido asignados.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

152

4. A.8 Gestión de Activos


POLÍTICA: CLASIFICACIÓN DE LA INFORMACIÓN

OBJETIVO

Establecer las normas para el manejo confidencial de la información usada en los

procesos del corredor de seguros.

ALCANCE

Empleados y/o usuarios e información que haga parte del corredor de seguros.

DEFINICIONES

Confidencialidad: Propiedad de que la información sólo sea conocida por aquellas

personas que tienen derecho legítimo a conocerla.



Integridad: Propiedad de que la información sea integra, confiable y no haya sido

alterada bajo ninguna circunstancia.

POLÍTICAS

La información del corredor de seguros debe ser solamente de uso interno de la

compañía, para un responsables o áreas con acceso autorizado a ella.

El personal encargado de la información, está en la obligación de determinar la

importancia y el acceso confidencial de la nueva información que se le suministre.

La información del corredor de seguros debe estar disponible en el momento de ser

requerida por las leyes de justicia que rigen el país.

El corredor de seguros deberá implementar formatos para la manipulación de

información por parte del equipo de trabajo, los formatos deberán ser monitoreados

constantemente para determinar alteración o robos de la información.

El corredor de seguros deberá formalizar los procesos de almacenamiento para el

archivo inactivo (Digitalización, carga, descarga y embalaje de la información) con

153

el fin de que todo el que tenga permisos de acceso a esa información conozca

claramente el procedimiento para el tratamiento del archivo inactivo.

El corredor de seguros deberá crear un documento legalmente constituido sobre la

privacidad de su información y remitirlo a cada uno de sus proveedores para ser

cumplido o tomar acciones legales frente a la manipulación indebida de su

información.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

154


POLÍTICA: MANEJO DE MEDIOS

OBJETIVO

Permitir que los datos e información utilizada a través de medios físicos tengan la

protección necesaria de acuerdo a los requerimientos del corredor de seguros.

ALCANCE

Empleados.

DEFINICIONES



Dispositivos de almacenamiento extraíble: elementos de

almacenamiento de datos en formato digital, tales como: memorias USB,

CDs, DVDs, Smartphone, memorias SD, entre otros.

POLÍTICAS

Los medios removibles como dispositivos de almacenamiento extraíble que no

tenga uso, deberán ser etiquetados y almacenados en un lugar o área definida para

mantener una alta disponibilidad de la información de su contenido.

El personal encargado del intercambio de información interna del corredor de

seguros, deberá tomar las medidas necesarias para proteger la información de

accesos no autorizados ya sea por medio de contraseñas de acceso al medio o

cifrado de la información si así lo requiere.

El corredor de seguros en vista de manejar información por aplicaciones en la nube,

deberá realizar un seguimiento constante por medio de su equipo de trabajo a los

procesos de actualización eliminación y agregación de información a las bases de

datos del proveedor, informando cualquier tipo de irregularidad en los datos que se

tengan.

Todo equipo o dispositivo de la compañía deberá estar protegido bajo contraseña,

este tipo de contraseñas deberá ser modificado periódicamente por el grupo de TI.

155



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

156

5. A.9 Control de acceso.


CONTROL DE ACCESO

OBJETIVO

La dirección ejecutiva del corredor de seguros, debe implementar lineamientos de

seguridad física para la protección de los activos de la información que se

encuentren en las instalaciones.

ALCANCE

Empleados, usuario y visitantes que formen parte del sector de corredores de

seguros.

DEFINICIONES

Activos de Información: Cualquier pieza de información, sea esta en

cualquier medio magnético, impreso o que sea transmitida electrónica,

visual u oralmente y que tenga importancia para el cumplimiento de las

funciones.

Borrado Seguro: Técnicas de borrado de archivos que hacen imposible la

recuperación de los datos luego de su eliminación.

Confidencialidad: La propiedad de que la información sólo sea conocida

por aquellas personas que tienen derecho legítimo a conocerla.

Disponibilidad: La propiedad de que la información se encuentre

disponible en los puntos de uso cuando ésta sea requerida por una persona

autorizada.

Integridad: La propiedad de que la información sea integra, confiable y no

haya sido alterada bajo ninguna circunstancia.

157

POLÍTICAS

El corredor de seguros debe contar con el control de acceso físico, está compuesto

por un conjunto de políticas que interactúan entre sí, para garantizar un proceso

más riguroso de desplazamientos de personal dentro de la organización.

El cumplimiento correcto de cada una de las políticas establecidas permite

garantizar, a las entidades de corredores de seguros, de manera mucho más

precisa, un control sobre los activos de la organización estableciendo de esta forma

áreas más seguras llevando un registro automatizado de los movimientos de un

individuo o grupo dentro de un espacio determinado.

El corredor de seguros debe establecer perímetros de seguridad en las

instalaciones, contar con barreras para el acceso como puertas o paredes y

establecer un mecanismo, automatizado o no, de control de acceso que tenga un

factor de autenticación en el cual cada funcionario debe quedar registrado.

Todos los visitantes a las instalaciones deben realizar el respectivo proceso de

control acceso de para generar un registro de su ingreso.

Los visitantes que requieran ingreso a las instalaciones, deben estar debidamente

identificados como visitantes y permanentemente acompañados por un funcionario,

quien es responsable del visitante durante su estadía en las oficinas. De igual forma

los equipos de cómputo que ingresen con cada uno de los visitantes, deben ser

registrados en dicho proceso.

Los usuarios deben responsabilidades frente a los controles implementados por la

organización, por consiguiente, es importante aclarar que cada integrante que se

encuentre dentro de las instalaciones, debe garantizar el correcto uso de

información de autenticación, cumpliendo las políticas establecidas.

La compañía debe proveer de acceso lógico, que corresponde a permisos y

privilegios establecidos dentro de los sistemas y/o aplicativos con los que cuenta el

corredor de seguros.

El corredor de seguros debe realizar una actualización periódica del Directorio

Activo de la organización para adicionar o desactivar registros asociado a

colaboradores que ingresan o se retiran de la organización. Si bien, el acceso físico

ya se ha restringido, es vital realizar este proceso para evitar ingresos de nivel lógico

con usuarios no activos.

158

El corredor de seguros debe establecer configuración respecto a roles y perfiles en

los aplicativos que maneje con el fin delimitar los privilegios que se tienen que

asignar a cada uno de los usuarios con el fin de determinar datos de consulta,

ingreso de peticiones, validación de datos, parametrización y administración de

información.

El corredor de seguros deberá crear un formato o documento oficial donde se

estipule la función y permisos que tiene cada integrante ya sea por área o función

de su grupo de trabajo sobre la documentación privada de los procesos de la

empresa.

El personal del corredor de seguros debe tener definido y formalizado los privilegios

y restricciones que le otorgan los roles que pertenecen a su respectivo cargo.

El corredor de seguros deberá exigir a su proveedor de aplicaciones reportes de la

gestión de sus usuarios a la información almacenada para su respectivo control.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

159

6. A.10 Criptografía.


CRIPTOGRAFÍA

OBJETIVO

Las organizaciones de corredores de seguros deben garantizar que la información

de mayor nivel de sensibilidad sea cifrada al momento de ser transmitida y

almacenada con el objetivo de cumplir uno de los pilares fundamentales del SGSI,

la confidencialidad.

ALCANCE

Esta política aplica para todas las áreas del sector de corredores de seguros que

tratan información clasificada como confidencial o de uso interno.

DEFINICIONES

Cifrar: Es un procedimiento que utiliza un algoritmo de cifrado con

cierta clave (clave de cifrado) transforma la información, sin atender a su estructura lingüística o significado, de tal forma que

sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta.

Cifrar información en el almacenamiento: mientras se

mantiene almacenada.

Cifrar información cuando se transmite: mientras es

transmitida por cualquier medio.

Texto plano: es un archivo informático que contiene

únicamente texto formado solo por caracteres que son legibles por

humanos, careciendo de cualquier tipo de formato tipográfico. También son llamados archivos de texto llano, simple o sin formato.

160

Llaves criptográficas: Son códigos (algoritmos) que se generan de forma automática y se guarda en un directorio especial durante

la instalación. Habitualmente, esta información es una secuencia de números o letras mediante la cual, en criptografía, se especifica la

transformación del texto plano en texto cifrado, o viceversa.

POLÍTICAS

El corredor debe implementar un cifrado de información o mecanismos de

protección de datos que reposan en servidores externos y que se

transmiten por medios de comunicación, esto con el fin de garantizar la

confidencialidad de información sensible.

Todos los documentos que se han cifrado y descifrado, en caso que se

requiera, deberán ser almacenados y tratados con las medidas de

seguridad requeridas conforme al grado de clasificación de la información.

Se deberá identificar todo sistema de información que requiera realizar

transmisión de información confidencial, para así garantizar que cuente

con mecanismos de cifrado de datos.

El manejo de llaves criptográficas se debe realizar de acuerdo a los

lineamientos establecidos en la Política de Gestión de Llaves

Criptográficas. Cada vez que se solicite una llave criptográfica, es

necesario informar al oficial de seguridad de la información, o quien haga

sus veces con el fin de evaluar los riesgos de seguridad y la aplicación de

los debidos procedimientos.

La información que contenga contraseñas de usuario o claves para el

control de acceso a los sistemas de información no podrá ser almacenada

en texto plano y deberá hacer uso de mecanismos criptográficos.

Se deberán cifrar los discos duros de los portátiles que contengan

información confidencial.

161



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

7. A.11 Seguridad física y del entorno.


AREAS SEGURAS Y EQUIPOS

OBJETIVO

Establecer los lineamientos de seguridad física para la protección de los activos de

información que se encuentran en las instalaciones de la compañía

ALCANCE

Todos los funcionarios y proveedores terceros.

DEFINICIONES

Activos de Información: Cualquier pieza de información, sea esta en

cualquier medio magnético, impreso o que sea transmitida electrónica,

visual u oralmente y que tenga importancia para el cumplimiento de las

funciones.

Borrado Seguro: Técnicas de borrado de archivos que hacen imposible

la recuperación de los datos luego de su eliminación.

Confidencialidad: La propiedad de que la información sólo sea conocida

por aquellas personas que tienen derecho legítimo a conocerla.

162

Disponibilidad: La propiedad de que la información se encuentre

disponible en los puntos de uso cuando ésta sea requerida por una

persona autorizada.

Integridad: La propiedad de que la información sea integra, confiable y

no haya sido alterada bajo ninguna circunstancia.

POLÍTICAS

La empresa debe establecer perímetros de seguridad física en los lugares

que contengan activos de información cuyo impacto por pérdida de

confidencialidad, integridad o disponibilidad pueda poner en riesgo la

normal operación de la compañía y/o aquellos lugares donde exista

información clasificada.

Los perímetros de seguridad deben contar con barreras para el acceso,

como puertas o paredes o un mecanismo automatizado para el control de

acceso bajo autenticación.

Los funcionarios deben contar con un carnet de identificación, que deben

portar en lugar visible dentro de las instalaciones de la compañía.

Todos los visitantes a las instalaciones del corredor de seguros deben

diligenciar el formato Control acceso de visitantes para generar un

registro de su ingreso. Al acceder a las instalaciones, deben estar

debidamente identificados como visitantes y permanentemente

acompañados por un funcionario, quien es responsable del visitante

durante su estadía en la compañía.

Los equipos de cómputo de los visitantes, deben ser registrados en el

formato de control de acceso.

La compañía debe contar con los mecanismos necesarios para la

prevención de amenazas medio ambientales como inundaciones,

incendios, terremotos, etc.

Los equipos de comunicación, cableados de datos y energía y en general

los equipos que componen la plataforma tecnológica y de comunicaciones

de la compañía, deben ser resguardados en un centro de datos con acceso

biométrico solo para personal autorizado, aire acondicionado y sensores

de humedad y temperatura.

163

La compañía debe contar con planta eléctrica con el fin de suplir

interferencias eléctricas.

Se deben proporciona mantenimientos adecuados a todos los equipos de

la compañía según un cronograma organizado por el área de tecnología.

Cuando se decida dar de baja algún equipo tecnológico de la compañía,

se asegurará de efectuar el borrado seguro de todos los datos contenidos

en el activo de información y de llevar a cabo actas o registros

correspondientes del procedimiento realizado al equipo.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

8. A.12 Seguridad de las operaciones


POLÍTICAS: PROTECCIÓN CONTRA CÓDIGO MALICIOSO

OBJETIVO

Dar orientación al personal y realizar procedimientos para el control de código

malicioso.

ALCANCE

Todos los funcionarios del Corredor de Seguros.

DEFINICIONES




164

Agente Contaminante: Cualquier clase de virus, troyano, spam, malware,

herramientas hacker, rootkit o en general cualquier clase de programa que pueda

distribuirse mediante técnicas subrepticias hacia una red de datos o un equipo de

cómputo

Código Malicioso: Cualquier clase de programa de software que pueda llegar a

ser un agente contaminante.

POLÍTICAS

Los líderes TI del corredor de seguros, deberán seleccionar los mecanismos y/o

herramientas idóneas bajo aprobación de la gerencia, para proteger los activos de

información de cualquier tipo de riesgo que provenga de fuentes internas o externas

cómo agentes contaminantes que pongan en riesgo los equipos de cómputo o la

información.

Los Líderes TI del corredor de seguros, deberán establecer los mecanismos

adecuados para el control de acceso a sitios de internet o correo electrónico que

pueda contener agentes contaminantes.

Los equipos de la compañía tendrán restricción de instalación de programas o

aplicaciones sin la autorización del área encargada.

Los equipos de la empresa deberán siempre estar protegidos a partir de un antivirus

u otras aplicaciones si así lo requiera debidamente licenciadas cumpliendo así con

los aspectos legales.

El acceso a internet debe estar restringido de algunos sitios no confiables y que no

tengan relación a las actividades de la empresa.

Los equipos de la compañía deberán estar restringidos de software no licenciado.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

165


POLÍTICA: COPIAS DE RESPALDO

OBJETIVO

Establecer las normas para el respaldo de la información del corredor de seguros.

ALCANCE

Empleados, Usuarios e Información.

DEFINICIONES



POLÍTICAS

La compañía corredora de seguros, debe realizar copias de seguridad de la

información que esté en estado crítico inmediatamente para mantener una alta

disponibilidad de la información ante un evento humano o natural que atente contra

la misma.

Todas las copias de seguridad deberán ser identificada y marcadas por el personal

encargado manteniendo una bitácora de los procedimientos que se realizaron sobre

ésta, y que permiten a las entidades de corredores de seguros llevar un registro

exacto de los procesos realizados.

Todos los respaldos de la información deberán ser almacenados en un lugar externo

a las oficinas principales con el fin de evitar pérdidas de disponibilidad por eventos

naturales o humanos.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

166

9. A.13 Seguridad de las comunicaciones

EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA SEGURIDAD DE LAS REDES

OBJETIVO

Especificar los lineamientos necesarios para la protección de los servicios de red

ALCANCE

Aplica a las instalaciones de la sede principal.

DEFINICIONES

Redes de datos: Cualquier mecanismo de interconexión por cable o inalámbrico que permita la comunicación de dos o más sistemas de cómputo para compartir recursos entre sí.

POLÍTICAS

El encargado de TI en conjunto con el grupo encargado del sistema de

seguridad deberá realizar capacitaciones constantes a los usuarios que

acceden al sistema y/o red, sobre los cuidados que deben tener con

respecto a la seguridad de la información y la red de telecomunicaciones

(ataques, amenazas, engaños, mejores prácticas, lo que no debe hacerse,

etc.), como también las posibles consecuencias que conllevan cada acción

ejecutada por los usuarios.

Los servidores solamente deberán ser accedidos por usuarios con

privilegios otorgados por el organismo que gestione el sistema de

seguridad.

Se deberá llevar un control escrito por medio de un formato que lleve el

control o registro de los cambios que se realicen sobre los servidores y

demás dispositivos de la red de la compañía

Los encargados de TI deberán asignar ip estáticas a cada uno de los

equipos que están en la oficina.

167

El equipo de TI deberá vigilar y monitorear constantemente los servicios

de red por medio de herramientas que se adapten a las necesidades de

la compañía.

Los servidores, dispositivos, red de telecomunicaciones, red eléctrica y

demás aspectos deberán ser estar bajo mantenimientos correctivos y/o

preventivos para garantizar el correcto funcionamiento de las operaciones

de la compañía.

Se debe garantizar que los servidores y dispositivos cuenten con entornos

adecuados bajo las normas que rijan para el correcto funcionamiento de

los mismos.

Se deben mantener registros como diagramas e instructivos relacionados

con la red de datos, así como los acuerdos de nivel de servicio con terceros

que provean servicios sobre las redes y el responsable de aprobar y

gestionar los cambios relacionados con dichos registros será el Gerente

de tecnologías de la información.

El área de computo deberá ser administrada y controlada solamente por

el grupo de infraestructura de la red.

El equipo de TI deberá gestionar el cambio de contraseña de los equipos

y dispositivos según unos periodos determinados y planeados, de igual

manera informar a todo el personal afectado.

El equipo de Ti deberá asignar usuario y contraseña a cada uno de los

empleados de la compañía informándole anticipadamente al personal

sobre accesos, disponibilidad y demás normas y políticas que se deben

cumplir por el uso de equipos de la compañía.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

168

EMPRESA CORREDORA DE SEGUROS TRANSFERENCIA DE INFORMACIÓN

ETIVO

Establecer los lineamientos que se tendrán en cuenta para el intercambio de

información interna y con terceros.

ALCANCE

Aplica para todos los funcionarios.

DEFINICIONES

Redes de datos: Cualquier mecanismo de interconexión por cable o inalámbrico que permita la comunicación de dos o más sistemas de cómputo para compartir recursos entre sí.

POLÍTICAS

En caso de transferir información por cualquier medio de transmisión

(electrónico, físico, impreso, audiovisual) con terceros, sean estos

clientes, proveedores, organismos de control o una compañía externa, es

necesario seguir un procedimiento seguro de intercambio con terceros.

Se deben establecer mecanismos que incluyan la firma de acuerdos de

intercambio de información con los terceros estableciendo las

responsabilidades de la compañía y del receptor de la información.

Cuando la información, sea cual sea el medio en que se encuentre, deba

ser transportada de un lugar a otro, se toman las medidas necesarias para

garantizar que dicha información no sea susceptible de acceso no

autorizado.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

169

10. A.14 Desarrollo de software

EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA EL DESARROLLO DE SOFTWARE

OBJETIVO

Establecer los lineamientos mediante los cuales el corredor de seguros controla el

desarrollo y mantenimiento de software.

ALCANCE

Aplica al Departamento de Tecnologías de la Información y comunicaciones, oficial

de seguridad de la información y funcionarios que requieran desarrollos.

DEFINICIONES

Ambiente de producción: El objetivo del ambiente de producción es

proveer la infraestructura de hardware y software necesaria para realizar la

operación final del sistema.

Ambiente de pruebas: El objetivo del ambiente de pruebas es proveer la

infraestructura de hardware y software necesaria para realizar la ejecución

de pruebas de integración, técnicas y funcionales para determinar el

comportamiento de una aplicación en escenarios reales.

POLÍTICAS

Los desarrolladores deben documentar el levantamiento de

requerimientos, teniendo en cuenta los requerimientos de seguridad, con

buenas prácticas para el desarrollo seguro de aplicaciones según

procedimiento de desarrollo tecnológico.

Dentro de las aplicaciones los desarrolladores deben suministrar opciones

de cierre de sesión que permitan la desconexión asociada a la aplicación.

Se deben proteger los códigos fuente de las aplicaciones desarrolladas,

de tal manera que no sea descargado ni modificado por ningún

funcionario.

170



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

171

11. A.15 Relación con Proveedores y gestión de la prestación de

servicios de proveedores

EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA RELACIÓN CON PROVEDORES

OBJETIVO

Establecer mecanismos de control en las relaciones del corredor de seguros con

sus proveedores, con el objetivo de asegurar que la información a la que tengan

acceso y los servicios que sean provistos por ellos, cumplan con las políticas y

procedimientos de seguridad de la información.

ALCANCE

Esta política aplica para todos los proveedores de productos y servicios del corredor

de seguros, así mismo, es aplicable a todo el personal que| se vea

involucrado en relaciones con proveedores.

DEFINICIONES

Acuerdos de Confidencialidad: Es un contrato legal entre al menos dos compañías para compartir material confidencial o

conocimiento para ciertos propósitos, pero restringiendo su uso público.

Acuerdos de Intercambio de información: Es un contrato legal

entre al menos dos compañías para compartir información o conocimiento para ciertos propósitos, donde se definen las

responsabilidades de protección que se le deberá dar a dicha información.

Acuerdos de Niveles de Servicio: Es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel

acordado para la calidad de dicho servicio.

172

POLÍTICAS

Se deberá identificar, mitigar y monitorear los riesgos relacionados con

los proveedores de servicios, incluidos los servicios de tecnología o

comunicaciones.

Se deberá divulgar las políticas y procedimientos de seguridad de la

información del corredor de seguros a los proveedores, así como velar por

el acceso a la información y a los recursos de almacenamiento o

procesamiento de la misma.

Se deberá evaluar y aprobar de manera formal los accesos a la

información de la compañía requeridos por terceras partes.

Se deberá monitorear las condiciones de conexión para los equipos de

cómputo o dispositivos desde terceros hacía la red de datos de la

compañía.

Se deberá establecer y monitorear las condiciones de seguridad física y

ambiental de los terceros que prestan servicio al corredor de seguros

dentro de sus instalaciones.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

173

12. A.16 Gestión de incidentes y mejoras en la seguridad de la

información y Redundancias

EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA

INFORMACIÓN Y REDUNDANCIAS

OBJETIVO

Establecer los lineamientos bajo los cuales se brindará la respuesta a incidentes de

seguridad de la información, con el fin de prevenir el impacto de los mismos.

ALCANCE

Aplica a los funcionarios y proveedores que tengan acceso a los sistemas de

información del corredor de seguros.

DEFINICIONES




Confidencialidad: La propiedad de que la información sólo sea conocida por

aquellas personas que tienen derecho legítimo a conocerla.

Disponibilidad: La propiedad de que la información se encuentre disponible en los


Integridad: La propiedad de que la información sea integra, confiable y no haya

sido alterada bajo ninguna circunstancia.

Vulnerabilidad: Situación anómala que crea una debilidad, generalmente causada

por el hombre y que puede ser explotada por una amenaza para poner en riesgo un

activo de información.

POLÍTICAS

174

Los funcionarios del corredor de seguros deberán informar la existencia de un potencial evento o incidente de seguridad de la información o

vulnerabilidad que pueda afectar, en términos de integridad, disponibilidad y/o confidencialidad de los activos de información de la

compañía.

Disponer de mecanismos claros para el reporte de incidentes que afecten la seguridad de la información.

Establecer procedimientos para la atención de incidentes; buscando la mejora continua en la respuesta a incidentes de seguridad.

Analizar los eventos de seguridad para determinar si se cataloga como incidente de seguridad de la información.

Efectuar cuando lo considere necesario, investigaciones sobre los

incidentes de seguridad de la información, actuando como primer respondiente y con la responsabilidad de recolectar, preservar, analizar,

sustentar y reportar la evidencia digital derivada de dicho incidente.

El equipo de TI o proveedor encargado deberá realizar un plan y ejecución de los herramientas y mecanismos necesarios para mantener redundancia

en los sistemas de información con el fin de mantener los requisitos de disponibilidad.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

175

13. A.17 Continuidad del negocio

EMPRESA CORREDORA DE SEGUROS POLITICA DE CONTINUIDAD DE NEGOCIO

OBJETIVO

Garantizar que se incluyan los aspectos de seguridad de la información en el plan

de continuidad de negocios

ALCANCE

Aplica a los Administradores de Sistemas, Gerencia de TI y al Oficial de Seguridad.

DEFINICIONES

Confidencialidad: La propiedad de que la información sólo sea conocida por aquellas personas que tienen derecho legítimo a conocerla.

Disponibilidad: La propiedad de que la información se encuentre disponible en los puntos de uso cuando ésta sea requerida por una persona autorizada.

Integridad: La propiedad de que la información sea integra, confiable y no haya sido alterada bajo ninguna circunstancia.

POLÍTICAS

Se deben establecer procedimientos de restablecimiento de las actividades críticas para garantizar la continuidad del negocio en

momentos de crisis y recuperación.

Se deben analizar riesgos de continuidad para el establecimiento del Plan de Continuidad de Negocio.

176

Se deben realizar pruebas periódicas del plan de continuidad de negocio al menos una vez al año, efectuando las actualizaciones y mejoras que

resulten de dichas pruebas.

La participación del personal en las pruebas de continuidad es de carácter obligatorio.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

177

14. A18 Cumplimiento

EMPRESA CORREDORA DE SEGUROS POLITICA DE CUMPLIMIENTO DE REQUISITOS LEGALES DE SEGURIDAD DE LA

INFORMACION

OBJETIVO

Establecer el compromiso de cada uno de los colaboradores de del corredor de

seguros con el fin de cumplir los requisitos técnicos, legales, contractuales y

reglamentarios relacionados con seguridad de la información.

ALCANCE

Esta política aplica para todos los funcionarios del corredor de seguros

DEFINICIONES

Contractual: es lo relativo, procedente o derivado de un contrato. Definiendo a contrato como un acuerdo que se establece con

determinadas formalidades entre dos o más personas, mediante el cual se obligan de forma recíproca a determinadas cosas. Por su

parte, también es el documento en que se acredita ese acuerdo.

POLÍTICAS

El corredor de seguros deberá verificar y dar seguimiento a los

requerimientos legales y/o reglamentarios a nivel nacional o internacional

por medio de asesores expertos en el tema.

La alta gerencia debe vela por el cumplimiento de las políticas de

seguridad de la información y de toda clase de políticas, normas,

estándares y procedimientos para el control de la seguridad de la

información, auditará periódicamente el cumplimiento de los funcionarios,

sistemas de información y los procesos; y ejecutará las actividades que

considere para reforzar el cumplimiento de las mismas en donde sea

necesario.

178

El equipo de TI deberá llevar un control y análisis de nuevas estructuras

técnicas frente a la gestión de seguridad de la información.



Resumen de Cambios

POL-001

1.0 1 de Marzo 2018


Gerencia General.

Revisión 1

modelo de un sistema de gestiÓn de la seguridad de...

Documents