Professional Documents
Culture Documents
de Implementacin de
la ISO/IEC 27001:2013
Trabajo final de maestra
Sistemas de Gestin de seguridad
Resumen:
En el presente proyecto, se analiza una empresa Colombiana del sector
agropecuario con ms de 5000 empleados a nivel nacional. Se plantea
a implementacin de un sistema de gestin de seguridad de la
informacin basado en los requerimientos de la norma ISO/IEC
27001:2013 y la planeacin de la implementacin de los controles de la
ISO/IEC 27002:2013. La empresa solo tiene un oficial de seguridad
informtica y no cuenta con una estrategia de seguridad de la
informacin. Se realiza toda la propuesta de implementacin para
sustentar la necesidad de implantar un SGSI a corto plazo.
Absract
In this project, a Colombian company of the agricultural sector with over
5,000 employees nationwide is analyzed. It is planned to implement a
management system for information security based on the requirements
of ISO/IEC 27001:2013 and planning the implementation of the controls
proposed by the ISO / IEC 27002: 2013. The company has only one
official computer security and does not have a strategy for information
security. Full implementation proposal is made to support the need to
implement an ISMS short term.
CONTENIDO
1.
Introduccin .................................................................................................................................. 5
2.
Contextualizacin ......................................................................................................................... 6
3.
4.
5.
2.1.
La Empresa ......................................................................................................................... 6
2.2.
3.2.
Objetivos especficos......................................................................................................... 11
4.2.
Introduccin ....................................................................................................................... 19
5.2.
Inventario de activos.......................................................................................................... 21
6.2.
6.3.
6.4.
6.5.
6.6.
Anlisis de riesgos............................................................................................................. 27
8.
Recomendaciones ............................................................................................................. 29
Introduccin ....................................................................................................................... 32
7.2.
Proyectos ........................................................................................................................... 32
Introduccin ....................................................................................................................... 33
8.2.
Metodologa ....................................................................................................................... 33
8.3.
9.
9.2.
9.3.
9.4.
10.
Anexos ................................................................................................................................... 40
11.
Referencias ........................................................................................................................... 41
1. INTRODUCCIN
La ISO 27001 expresa que un Sistema de Gestin de la Seguridad de la Informacin, es
un sistema de gestin que comprende la poltica, estructura organizativa, los
procedimientos, los procesos y los recursos necesarios para implantar la gestin de la
seguridad de la informacin. Este sistema es la herramienta de que dispone la Direccin
de las organizaciones para llevar a cabo las polticas y los objetivos de seguridad
(integridad,
confidencialidad
disponibilidad,
asignacin
de
responsabilidad,
2. CONTEXTUALIZACIN
A continuacin se indicarn los detalles importantes de la empresa que permitirn
comprender el enfoque del Plan Director de Seguridad a desarrollar.
2.1.
LA EMPRESA
Es una institucin sin nimo de lucro que de forma democrtica representa nacional e
internacionalmente los intereses del gremio de productores colombianos de caf, de
manera que sean ellos mismos quienes lleguen a consensos necesarios para definir
programas de beneficio comn.
Para llevar a cabo todas estas actividades, la institucin cuenta con unidades de apoyo
que prestan servicios a los cafeteros, como una fundacin, un centro de investigacin y
las cooperativas de caficultores ubicadas en los municipios productores de todo el pas,
agrupados en comits departamentales. A su vez, cuenta filiales que representan sus
Unidades Estratgicas de Negocio, como las tiendas de artculos y comestibles derivados
del caf, y los centros de almacenaje y comercializacin de caf.
repositorio centralizado de archivos al cual tienen acceso todos los usuarios de la oficina
central donde residen todas las empresas.
En el siguiente diagrama de red de alto nivel se puede apreciar cmo estn
interconectadas las redes y subredes y como salen a internet.
Esta infraestructura hasta hace 2 aos, era administrada remotamente por un bestshore1
localizado en Argentina. Actualmente el departamento de TI para aplicaciones e
infraestructura se encuentra en sitio conformado por un equipo multidisciplinario de
especialistas que se encargan de la gestin y por su parte, la gerencia de tecnologa se
encuentra adelantando un proceso de modernizacin de las plataformas y de
implementacin de buenas prcticas de gerencia de TI debido a que no recibi una
documentacin organizada del estado de los sistemas por parte del bestshore que
pudiera plantear una estrategia de TI que evolucionara a corto y mediano plazo con las
necesidades del negocio.
2.2.
El Plan de Director se desarrollar para los activos informacin que estn a cargo de la
Direccin de Tecnologa de la informacin y que se encuentran en la infraestructura local
de la Oficina Central para los usuarios de institucin que estn ubicados en el edificio de
la Oficina Central y que no pertenezcan o sean administrados por funcionarios de sus
filiales o empresas asociadas. Se limitar a la infraestructura de los sistemas de
informacin que soporten los procesos operativos o de los cules sea responsable por su
funcionamiento exclusivamente la Unidad de Apoyo - Tecnologa de la Informacin de
Oficina Central de acuerdo con la Declaracin de Aplicabilidad, versin 1.0.
Bestshoring: mover los procesos o componentes de negocio a localidades o pases que brinden la mejor relacin costo-beneficio. Fuente:
http://en.wikipedia.org/wiki/Bestshoring
OBJETIVOS GENERALES
10
3.2.
OBJETIVOS ESPECFICOS
11
seguridad:
Disponibilidad,
Integridad,
Confidencialidad,
Autenticidad
Trazabilidad.
[OBJ-7] Tener un cuadro de mando con los indicadores necesarios que permitan a
la Direccin de TI de la Institucin evaluar la efectividad y eficacia de los controles
implementados y apoyar en la toma de decisiones sobre la operacin de los
mismos.
[OBJ-8] Tener un programa de auditoras interno que garantice la confiabilidad de
la ejecucin de todos los procesos del SGSI y fortalezca la confianza y credibilidad
de la calidad de los servicios prestados, no solo en los usuarios de Oficina Central
sino en las Directivas en general, las filiales y empresas de apoyo de la Institucin.
13
4. ANLISIS DIFERENCIAL
A continuacin de comparar el estado de la gestin de la seguridad de la informacin en
compaa con la norma ISO/IEC 27001 y las mejores prcticas descritas en ISO/IEC
27002 para evaluar la capacidad actual y realizar las recomendaciones y oportunidades
de mejora.
Tanto los requisitos de la norma IO/IEC27001 como los controles descritos en la ISO/IEC
27002 fueron evaluados con en el Modelo de Madurez de la Capacidad (CMM), resumido
en la siguiente tabla:
ESTADO
DESCRIPCIN
No Existe
10
Inicial
50
Limitado
90
Definido
95
Gestionado
100
Optimizado
No aplicable
14
4.1.
Clusula
4. Contexto de la organizacin
Valoracin
Inicial
5. Liderazgo
Limitado
6. Planeacin
Inicial
7. Soporte
8. Operacin
9. Evaluacin de rendimiento
10. Mejora
Limitado
Inicial
No Existe
Inicial
15
16
4.2.
Esta seccin describe la evaluacin a alto nivel del grado de implementacin de los
controles y objetivos de control en los 14 dominios descritos en la ISO/IEC 27002:2013.
POLTICAS DE SEGURIDAD.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIN
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
GESTIN DE ACTIVOS.
CONTROL DE ACCESOS.
CIFRADO.
SEGURIDAD FSICA Y AMBIENTAL.
SEGURIDAD OPERATIVA.
SEGURIDAD EN LAS TELECOMUNICACIONES.
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN.
RELACIONES CON PROVEEDORES.
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA
INFORMACIN.
ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA
GESTIN DE LA CONTINUIDAD DEL NEGOCIO.
CUMPLIMIENTO.
PROPORCIN DE
IMPLEMENTACIN
55%
Definido
67%
Definido
81%
35%
58%
30%
84%
72%
89%
Definido
Limitado
Definido
Limitado
Definido
Definido
Definido
81%
Definido
88%
Definido
40%
Limitado
86%
Definido
73%
Definido
17
18
5. ESQUEMA DOCUMENTAL
5.1.
INTRODUCCIN
5.2.
ESQUEMA DOCUMENTAL
19
Anexo
Documental
IV.
Procedimiento
de
Gestin
de
Roles
Responsabilidades
Definicin del Comit de Seguridad encargado de crear, mantener, supervisar y mejorar
el Sistema de Gestin de Seguridad de la Informacin.
20
6. ANLISIS DE RIESGOS
La primera etapa hacia la
consecucin
del
6.1.
INVENTARIO DE ACTIVOS
Cdigo
Activo
AUX1
AUX2
AUX3
AUX4
AUX5
AUX6
COM1
COM2
COM3
COM4
COM5
D1
D2
D3
D4
D5
D6
HW1
HW2
HW3
HW4
HW5
HW6
HW7
L1
Cdigo
MEDIA1
P1
P2
P3
P4
P5
P6
P7
P8
S1
S2
S3
S4
SW1
SW2
SW3
SW4
SW5
SW6
SW7
SW8
Activo
Cintas de backup
Usuarios externos
Usuarios internos
Operadores
Administradores de infraestructura
Coordinadores
Directivas
Contratistas
Representantes de proveedores
Canal de internet
Repositorio de Archivos
Pginas web
Correo electrnico
Aplicativos de Ofimtica
Clientes de correo electrnico
Sistema de gestin de base de datos
Sistemas operativos
Gestor de mquinas virtuales
Sistema de gestin de backups
Sistema de referenciacin geogrfica
Sistema de gestin de pagos a asociados
Tabla 4. Inventario de activos
[MEDIA] Soportes de
Informacin
mbitos de Activos
Datos que materializan la informacin
Servicios auxiliares que se necesitan para poder organizar
el sistema
Las aplicaciones informticas (software) que permiten
manejar los datos.
Los equipos informticos (hardware) y que permiten
hospedar datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de
almacenamiento de datos.
[AUX] Equipamiento
Auxiliar
[COM] Redes de
comunicaciones
[D] Datos
[S] Servicios
[SW] Software
[HW] Hardware
22
mbitos de Activos
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
[L] Instalaciones
[P] Personal
6.2.
Para la valoracin de los activos, se utiliz la escala que propone MAGERIT en su Libro
III (punto 2.1), completndolo con una estimacin cuantitativa representada en trminos
monetarios para la organizacin.
Valor
Abreviatura Descripcin
MA
Muy alto
valor > 200'
A
Alto
200' > valor > 100'
Valoracin de los activos
M
Medio
100' > valor > 50'
(COP$ millones)
B
Bajo
50' > valor > 10'
MB
Muy bajo
10' > valor > 1'
Tabla 6. Criterios de valoracin de los activos
6.3.
DIMENSIONES DE SEGURIDAD
23
6.4.
ANLISIS DE AMENAZAS
[N] Desastres
naturales
[I] De origen
industrial
Tipos de Amenazas
Sucesos que pueden ocurrir sin intervencin de los seres
humanos como causa directa o indirecta.
Sucesos que pueden ocurrir de forma accidental, derivados de la
actividad humana de tipo industrial. Estas amenazas puede
darse de forma accidental o deliberada.
24
Se valoraron los activos como de importancia Muy Alta, Alta, Media, Baja o
Despreciable a la vez que se le asign a cada activo en cada dimensin una
valoracin siguiendo los siguientes criterios:
Valor Abreviatura
Descripcin
0
D
Despreciable - Irrelevante a efectos prcticos
1-3
B
Bajo - Dao menor a la organizacin
4-6
M
Medio - Dao importante a la organizacin
7-8
A
Alto - Dao grave a la organizacin
10
MA
Muy Alto - Dao muy grave a la organizacin
Tabla 9. Criterios de valoracin de criticidad de los activos
Valor Abreviatura
Descripcin
1
EF
Extremadamente frecuente (1 vez al da)
0,071
MF
Muy frecuente (1 vez cada 2 semanas)
0,016
F
Frecuente (1 vez cada 2 meses)
0,005
PF
Poco Frecuente (1 vez cada 6 meses)
0,003
MPF
Muy poco frecuente (1 vez cada ao)
0
D
Despreciable
Tabla 10. Escala de valoracin de Frecuencia (Vulnerabilidad - Probabilidad de ocurrencia)
En el Anexo B. Anlisis de Riesgos, se encuentran los registros del anlisis realizado por
cada activo.
25
6.5.
El impacto puede resumirse como el tanto por ciento del valor del activo que se pierde en
el caso de que suceda un incidente sobre l. Para el presente ejercicio, se tom la
siguiente escala de valoracin.
Valor
Abreviatura Descripcin
MA
Muy alto
valor > 80%
A
Alto
60% > valor > 80%
M
Medio
40% > valor > 60%
B
Bajo
20% > valor > 40%
MB
Muy bajo
valor < 20%
Tabla 11. Escala de valoracin del impacto degradacin del activo
26
6.6.
ANLISIS DE RIESGOS
Para la estimacin del riesgo, se realiz una combinacin entre el impacto y la frecuencia,
detallada en la siguiente tabla.
RIESGO
EF
MF
F
Frecuencia
PF
MPF
D
MA
MA
MA
A
M
B
MB
A
MA
MA
A
M
B
MB
Impacto
M
MA
A
M
B
MB
MB
B
MA
A
M
B
MB
MB
MB
MA
M
B
MB
MB
MB
Para efectos de clculo de la matriz de riesgos, la misma tabla puede ser representada en
valores numricos de acuerdo a las escalas definidas de la siguiente manera:
RIESGO
1
100,00%
0,071
7,12%
0,016
1,64%
Frecuencia
0,005
0,55%
0,003
0,27%
0,000
0,00%
Impacto
80,00% 60,00%
5,70% 4,27%
1,32% 0,99%
0,44% 0,33%
0,22% 0,16%
0,00% 0,00%
40,00% 20,00%
2,85% 1,42%
0,66% 0,33%
0,22% 0,11%
0,11% 0,05%
0,00% 0,00%
Para efectos prcticos, se utiliz la siguiente escala de valores para la relacin enter
impacto y frecuencia, determinando el nivel de riesgo por cada amenaza para cada activo
en cada dimensin y en la tabla de resumen de impacto potencial por activo.
Valor
Abreviatura Descripcin
MA
Muy alto
valor > 4,5%
A
Alto
4,5% > valor > 1%
M
Medio
1% > valor > 0,4%
B
Bajo
0,4% > valor > 0,2%
MB
Muy bajo
valor < 0,2%
Tabla 14. Escala de riesgos
27
Ejemplo prctico
Para un activo de informacin dado:
Calcular el valor ms alto de cada dominio de control por todas las amenazas del
tipo de activo y calcular la tabla resumen de activos.
28
6.7.
RECOMENDACIONES
[REC A]
de internet con estadsticas de utilizacin que permitan definir bien sea medidas de
reduccin y buen de uso o que sirvan de soporte para sustentar un aumento del
recurso por necesidades del negocio
[REC B]
Publicar los directorios exclusivamente para los usuarios que tienen acceso
a su contenido, para evitar que las personas puedan ver la totalidad de los
recursos compartidos por el servidor de archivos
29
[REC I]
defina los usuarios autorizados para la eliminacin de archivos dentro del recurso
[REC J]
de autenticacin existentes
[REC S]
30
[REC U]
infraestructura de manera que haya otra persona que pueda ejecutar actividades
operativas de un cargo en caso que el responsable no se encuentre disponible
[REC W] Definir el procedimiento de solicitud y autorizacin de software en los
equipos asignados a los usuarios as como la definicin de los responsables para
su instalacin
[REC X]
31
7. PROPUESTA DE PROYECTOS
7.1.
INTRODUCCIN
7.2.
PROYECTOS
Cdigo y Nombre
Impacto Prioridad
Alto
Baja
Alto
Alta
Medio
Media
Alto
Alta
Bajo
Media
Alto
Media
Medio
Alta
Medio
Media
Medio
Alta
Bajo
Baja
PRJ 10
32
8. AUDITORA DE CUMPLIMENTO
8.1.
INTRODUCCIN
Llegados a esta fase, conocemos los activos de la empresa y hemos evaluado las
amenazas. Es el momento de hacer un alto en el camino y evaluar hasta qu punto la
empresa cumple con las buenas prcticas en materia de seguridad. La ISO/IEC
27002:2005 nos servir como marco de control del estado de la seguridad.
8.2.
METODOLOGA
El estudio debe realizar una revisin de los 133 controles planteados por la norma para
cumplir con los diferentes objetivos de control el nmero de los cuales se indica entre
parntesis para cada uno de los dominios-. Esta estimacin la realizaremos segn el
Modelo de Madurez de la Capacidad (CMM)
33
8.3.
ANLISIS DE CUMPLIMIENTO
34
REQUISITO
REQUERIMIENTOS SGSI
4
5
6
7
8
9
10
CONTEXTO DE LA ORGANIZACIN
LIDERAZGO
PLANIFICACIN
SOPORTE
OPERACIN
EVALUACIN DEL DESEMPEO
MEJORA
PROPORCIN DE CUMPLIMIENTO
95%
97%
98%
84%
100%
100%
100%
Gestionado
Optimizado
Optimizado
Definido
Optimizado
Optimizado
Optimizado
35
36
PROPORCIN DE
IMPLEMENTACIN
98%
Optimizado
88%
Definido
88%
90%
86%
60%
90%
89%
85%
Definido
Definido
Definido
Definido
Gestionado
Definido
Definido
86%
Definido
93%
Gestionado
93%
Gestionado
95%
Gestionado
89%
Definido
37
38
9. INFORMES DE RESULTADOS
En el presente apartado se mencionarn los informes de resultados del Plan de Seguridad
de la Informacin.
9.1.
RESUMEN EJECUTIVO
9.2.
SEGURIDAD DE LA INFORMACIN
(Anexo F. Presentacin2 - Campanna Sensibilizacin) Presentacin enfocada a instruir al
personal
9.3.
de
la
Organizacin
en
materia
de
Seguridad
de
la
Informacin
CONTROLES
(Anexo G. Presentacin3 - Resumen estado de controles) Presentacin enfocada a
mostrar el estado de cumplimiento de los controles y estado de ejecucin de los
proyectos.
9.4.
PRESENTACIN RESULTADOS
39
10. ANEXOS
ANEXO A. ANLISIS GAP DE IMPLEMENTACIN ISOIEC 27001 E ISOIEC 27002
ANEXO B. ANLISIS DE RIESGOS
ANEXO C. PROYECTOS DE MEJORA
ANEXO D. ANLISIS GAP DE IMPLEMENTACIN ISOIEC 27001 E ISOIEC 27002
ANEXO E. PRESENTACIN1 - RESUMEN EJECUTIVO
ANEXO F. PRESENTACIN2 - CAMPANNA SENSIBILIZACION
ANEXO G. PRESENTACIN3 - RESUMEN ESTADO DE CONTROLES
ANEXO H. PRESENTACIN4 - RESULTADOS
40
11. REFERENCIAS
http://www.iso27001security.com/
http://www.iso27001standard.com/
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Normativa_SGSI/
http://www.iso27000.es/sgsi_implantar.html
http://video.anetcom.es/editorial/Seguridad_empresa.pdf
https://seguridadinformaticaufps.wikispaces.com/MAGERIT
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/exs/index.html
http://gr2dest.org/metodologia-de-analisis-de-riesgos-magerit/
41
42
NDICE DE ILUSTRACIONES
Ilustracin 1. Estructura de organizacin por procesos ...................................................................... 7
Ilustracin 2. Diagrama de red de alto nivel ........................................................................................ 8
Ilustracin 3. Cumplimiento de las secciones de requisitos del SGSI .............................................. 15
Ilustracin 4. Proporcin de cumplimiento de los requisitos del SGSI.............................................. 16
Ilustracin 5. Grado de cumplimiento de Dominios de control .......................................................... 18
Ilustracin 6. Proporcin de controles por estado de implementacin ............................................. 18
Ilustracin 7. Comparacin de porcentaje de implementacin ......................................................... 34
Ilustracin 8. Cumplimiento de las secciones de requisitos del SGSI .............................................. 35
Ilustracin 9. Proporcin de cumplimiento de los requisitos del SGSI.............................................. 36
Ilustracin 10. Grado de cumplimiento de Dominios de control ........................................................ 38
Ilustracin 11. Proporcin de controles por estado de implementacin ........................................... 38
43
NDICE DE TABLAS
Tabla 1. Modelo de Madurez de la Capacidad (CMM) ..................................................................... 14
Tabla 2. Valoracin de clusulas de requerimientos ISO/IEC 27001:2013 ...................................... 15
Tabla 3. Proporcin de implementacin de controles por dominio ................................................... 17
Tabla 4. Inventario de activos ........................................................................................................... 22
Tabla 5. mbitos de activos .............................................................................................................. 23
Tabla 6. Criterios de valoracin de los activos .................................................................................. 23
Tabla 7. Dimensiones de valoracin de los activos .......................................................................... 24
Tabla 8. Tipos de amenazas ............................................................................................................. 24
Tabla 9. Criterios de valoracin de criticidad de los activos ............................................................. 25
Tabla 10. Escala de valoracin de Frecuencia (Vulnerabilidad - Probabilidad de ocurrencia) ........ 25
Tabla 11. Escala de valoracin del impacto degradacin del activo ............................................. 26
Tabla 12. Tabla de estimacin del riesgo ......................................................................................... 27
Tabla 13. Tabla del clculo de estimacin del riesgo. ...................................................................... 27
Tabla 14. Escala de riesgos .............................................................................................................. 27
Tabla 15. Valoracin de clusulas de requerimientos ISO/IEC 27001:2013 .................................... 35
Tabla 16. Proporcin de implementacin de controles por dominio ................................................. 37
44