Professional Documents
Culture Documents
Director
MARIO WILSON CASTRO
Ing. De Sistemas
Nota de aceptacin
Aprobado por el Comit de Grado
en cumplimiento de los requisitos
exigidos por
la
Universidad
Autnoma de Occidente para optar
al ttulo de Ingeniero Informtico.
ARMANDO GARCA
Jurado
Agradezco a DIOS por la salud y sabidura con la que me colma cada da y por
oportunidad que me ha brindado de poder educarme en una Universidad y por
permitirles a mis padres la salud y los recursos necesarios para el pago de la
misma.
A mis padres Winston Enriquez lzate y Gloria M. Espinosa Garcs por sus
consejos y su ayuda incondicional para superar toda adversidad que se present
durante mi formacin profesional; sin ellos lo que hoy en da soy y he logrado no
hubiera podido hacerse realidad.
A mis amigos por estar siempre a mi lado brindndome sus buenas energas y por
recordarme que este es el ltimo peldao de este sueo llamado ingeniera
informtica y que para alcanzarlo debo dar lo mejor de m.
CONTENIDO
RESUMEN
14
INTRODUCCIN
15
1.
ANTECEDENTES
17
2.
PROBLEMA DE INVESTIGACIN
19
19
3.
JUSTIFICACIN
23
3.1.
JUSTIFICACIN ECONMICA
23
3.2.
JUSTIFICACIN SOCIAL
24
3.3.
JUSTIFICACIN TCNICA
24
3.4.
JUSTIFICACIN TERICA
25
4.
OBJETIVOS
27
4.1.
OBJETIVO GENERAL
27
4.2.
OBJETIVOS ESPECFICOS
27
5.
MARCO TEORICO
29
5.1.
SERIE ISO/27000
29
5.2.
ISO/27001
30
5.3.
ISO/27002
32
5.4.
ISO/27001 ANEXO A
34
5.5.
35
5.6.
GESTIN DE RIESGO
40
5.6.1.
5.7.
5.7.1.
43
40
42
43
5.8.1Planear
45
5.8.2 Hacer
45
5.8.3 Verificar
46
5.8.4 Actuar
46
6.
METODOLOGA
47
7.
48
7.1.
48
7.1.1.
Establecer el contexto
49
7.1.2.
60
7.1.3.
62
7.1.4.
64
7.1.5.
65
7.1.6.
Comunicacin y Consulta
66
7.1.7.
Monitoreo y Revisin
66
7.2.
67
7.2.1.
Anlisis de Activos
67
7.2.2.
Gerencia de TI
68
7.2.3.
Departamento Operaciones
70
7.2.4.
72
7.2.5.
74
7.2.6.
Conclusin Respecto al Anlisis de Activos y Actualizacin del
Inventario
76
7.2.7.
7.3.
7.3.1
Determinar El Alcance
76
INVENTARIO DE ACTIVOS
80
80
7.2
MATRIZ DE RIESGOS
81
7.3
81
7.3.1
Controles
81
7.4
METODOLOGA PARA LA ACTUALIZACIN DEL INVENTARIO DE
ACTIVOS
83
7.4.1
84
7.4.2
84
7.4.4
86
7.4.4.1
Indagar
86
7.4.5
89
7.4.5.1
90
7.4.5.2
90
7.4.5.3
91
7.4.6
92
7.4.6.1
92
7.4.6.2
Dar de Alta
93
95
7.5.1
95
7.5.2
Polticas Generales
96
7.5.3
Polticas Especficas
97
7.5.3.1
7.5.3.2
100
7.5.3.3
101
7.5.3.4
103
7.5.4
98
104
105
7.5.4.2
105
7.5.4.3
105
7.5.4.4
106
7.5.4.5
108
7.5.4.6
109
7.5.4.7
110
7.5.4.8
Delegacin de Responsabilidades
111
7.5.4.9
Marcado de Activos
111
7.5.4.10
Muestra de Resultados
111
113
7.5.5.2
115
7.5.5.3
115
7.5.5.4
116
7.5.5.5
Fortalecimiento del Factor Laboral (Compromiso respecto a
la seguridad de la informacin)
116
7.5.5.6
7.5.5.7
Control y Seguimiento
116
Seguimiento
117
7.5.5.8
Estimacin Cronolgica y Econmica Para la Ejecucin de la
Estrategia de Concientizacin
118
8.
CONCLUSIN
119
9.
RECOMENDACIONES
121
BIBLIOGRAFA
123
ANEXOS
128
LISTA DE FIGURAS
Pg.
33
35
51
51
52
53
68
70
72
110
110
10
LISTA DE CUADROS
Pg.
50
55
55
56
62
63
65
77
88
94
11
107
107
107
12
LISTA DE ANEXOS
Pg.
125
126
Recursos
127
13
128
RESUMEN
La necesidad percibida en el estudio y anlisis de una situacin real al interior de
empresas municipales de Cali (EMCALI E.I.C.E-ESP), especficamente dentro de
la gerencia de tecnologa de la informacin, permite que el proyecto desarrollado
en modalidad de pasanta como opcin de grado - IMPLEMENTACIN DE LOS
CONTROLES ASIGNADOS AL DOMINIO GESTIN DE ACTIVOS, BAJO LOS
LINEAMIENTOS ESTABLECIDOS POR LA NORMA ISO/27001 ANEXO A,
PARA LAS EMPRESAS MUNICIPALES DE CALI, EMCALI E.I.C.E-ESP surja
como una alternativa de solucin para coadyuvar en el desarrollo del dominio
nmero siete (Gestin de Activos) de la Norma ISO/27001 Anexo A.
14
INTRODUCCIN
La seguridad de la informacin son todas aquellas acciones que llevan a cabo las
organizaciones con el fin de disminuir los riesgos que recaen sobre los activos de
informacin que dichas organizaciones poseen, y de esta manera poder garantizar
la confidencialidad, disponibilidad, integridad y trazabilidad de los activos de
informacin.
15
Inventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Clasificacin de la informacin.
Directrices de clasificacin
Etiquetado y manipulacin de la informacin.
16
1. ANTECEDENTES
Debido a la efectividad del proceso de gestin que se logra obtener con el SGSI,
diversas organizacin tanto del sector pblico como del privado, a nivel mundial
como nacional, optan por la implementacin de este sistema con el fin de tener
una herramienta efectiva en la gestin del riesgo de activos de informacin dentro
de la organizacin.
17
18
2. PROBLEMA DE INVESTIGACIN
EMCALI como toda organizacin cuenta con activos de informacin6 los cuales
representan una parte fundamental en el proceso empresarial que se desempea,
ya que basados en los activos de informacin que EMCALI posee se sustentan
muchas de las decisiones que se toman a nivel comercial, operativo y de
infraestructura de EMCALI.
19
20
poder determinar que nuevos activos de informacin hacen parte de cada una de
las reas y poder vincular estos activos al inventario.
21
22
2010] Disponible en
3. JUSTIFICACIN
3.1.
JUSTIFICACIN ECONMICA
Con la entrada en vigencia de los diferentes tratados de libre comercio (TLC) entre
Colombia y diferentes pases como estados unidos de amrica, chile entre otros,
se ha evidenciado un surgimiento en la exigencia de mayor calidad y seguridad en
sus procesos productivos y manejo de la informacin en las empresas
colombianas.
23
3.2.
JUSTIFICACIN SOCIAL
3.3.
JUSTIFICACIN TCNICA
24
3.4.
JUSTIFICACIN TERICA
25
26
4. OBJETIVOS
4.1.
OBJETIVO GENERAL
4.2.
OBJETIVOS ESPECFICOS
27
28
5. MARCO TEORICO
5.1.
SERIE ISO/27000
29
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cmo puede una organizacin implantar un sistema de gestin
de seguridad de la informacin (SGSI) basado en ISO 27001.
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En el 2005 incluy en ella la
primera de la serie (ISO 27001), las dems son:
5.2.
ISO/27001
30
DEJAN, Kosutic, Information security & business continuity academy, conceptos bsicos sobre
ISO/27001. [en lnea] [consultado el 20 de marzo de 2010] Disponible en Internet:
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001#documentos
31
5.3.
ISO/27002
10
32
33
5.4.
ISO/27001 ANEXO A
A.15 Cumplimiento
El Anexo A contiene 133 controles que, como se puede observar por los nombres
de los puntos, no se centran solamente en tecnologas de la informacin; tambin
incluyen seguridad fsica, proteccin legal, gestin de recursos humanos, asuntos
organizacionales, etc.
El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles
de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma
ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001
slo proporciona una breve descripcin de un control, mientras que la ISO 27002
ofrece lineamientos detallados sobre cmo implementar el control11.
11
DEJAN Kosutic, ISO/27001 & ISO/22301, controles del Anexo A de la Norma ISO/27001 [en
lnea] [consultado el 20 de octubre de 2010]. Disponible en Internet:
http://blog.iso27001standard.com/es/tag/anexo-a/
34
5.5.
cuenta que cada objetivo de control y controles asociados a este dominio ser
descripto de acuerdo al ndice numeral que se encuentra asociado a cada uno de
los controles abarcados dentro del dominio de gestin de activos y que fueron
expuestos con anterioridad en la Figura 2.
proteccin
de
los
activos
36
un proceso comercial;
un conjunto de actividades definido;
una aplicacin; o
un conjunto de data definido.
Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa
el activo diariamente, pero la responsabilidad permanece con el propietario. En los
sistemas de informacin complejos podra ser til designar grupos de activos, los
cuales actan juntos para proporcionar una funcin particular como servicios. En
este caso el propietario es responsable de la entrega del servicio, incluyendo el
funcionamiento de los activos que los proveen.
El trmino propietario identifica una persona o entidad que cuenta con la
responsabilidad gerencial aprobada de controlar la produccin, desarrollo,
37
38
y la reclasificacin a lo largo del tiempo; en concordancia con alguna poltica predeterminada de control de acceso.
Debiera ser responsabilidad del propietario del activo (ver 7.1.2) definir la
clasificacin de un activo, revisarla peridicamente y asegurarse que se mantenga
actualizada y en el nivel apropiado. La clasificacin debiera tomar en cuenta el
efecto de agregacin mencionado en 10.7.2. Se debiera tener en consideracin el
nmero de categoras de clasificacin y los beneficios a obtenerse con su uso. Los
esquemas demasiado complejos pueden volverse engorrosos y anti-econmicos
de utilizar o pueden volverse poco prcticos. Se debiera tener cuidado
al interpretar los encabezados de la clasificacin en los documentos de otras
organizaciones, los cuales pueden tener definiciones diferentes para encabezados
con el mismo nombre o nombre similares.
39
5.6.
GESTIN DE RIESGO.
13
Estndar Internacional ISO/IEC 27001 primera edicin 2005-10-15 Tecnologa de la InformacinTcnicas de Seguridad-Sistemas de gestin de seguridad de la informacin-Requerimientos
http://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
40
o
Ser aprobado por la direccin.
41
5.7.
Una metodologa de gestin de riesgos nos permite conocer el riesgo al que estn
sometidos los activos de informacin y a partir de conocer el riesgo poder idear
estrategias que nos permitan llevar el riesgo a su ms mnima expresin a travs
de la gestin del mismo.
42
reconocimiento a partir de los estudios que se han realizado sobre estas con el fin
de hacer de la metodologa una gua capaz de cumplir con los retos de la nueva
era.
15
43
Mapa de riesgos: relacin de las amenazas a que estn expuestos los activos.
Evaluacin de salvaguardas: evaluacin de la eficacia de las salvaguardas
existentes en relacin al riesgo que afrontan.
Estado de riesgo: caracterizacin de los activos por su riesgo residual; es decir,
por lo que puede pasar tomando en consideracin las salvaguardas desplegadas.
Informe de insuficiencias
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para
reducir los riesgos sobre el sistema.
5.8.
16
Ibd.,
Disponible
en
Internet.
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&lang
Pae=es&detalleLista=PAE_1276529683497133
44
5.8.1Planear:
- Realizacin de tareas de recoleccin de informacin y reconocimiento de campo.
- Conocer cul es el estado del proyecto de implementacin del Sistema de
Gestin de Seguridad de la Informacin, dentro de EMCALI.
- Realizar tareas de documentacin a nivel de conocer ms a profundidad los
lineamientos establecidos por la Norma ISO/27001 respecto al Anexo A.
- Conocer los riesgos a los cuales se ven expuestos los activos de informacin.
5.8.2 Hacer:
45
5.8.3 Verificar:
5.8.4 Actuar:
46
6. METODOLOGA
47
7.1.
Establecer el Contexto.
o
Establecer el alcance.
o
Determinar sistema de clasificacin de activos de informacin.
o
Definir el nivel de criticidad asociado a los activos de informacin.
o
Determinar campos de informacin que harn parte del inventario de
activos.
o
o
o
o
o
o
48
Monitoreo y Revisin
o
o
Establecer El Alcance.
49
Muy Alto
Alto
Medio
Bajo
Muy Bajo
DESCRIPCION
50
MUY ALTO
CONFIDENCIAL
ALTO
RESERVADO
MEDIO
BAJO
PUBLICO
MUY BAJO
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
IDENTIFICADOR
MUY ALTO
ALTO
I1
MEDIO
BAJO
I2
MUY BAJO
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
51
IDENTIFICADOR
MUY ALTO
ALTO
D1
MEDIO
BAJO
D2
MUY BAJO
52
IDENTIFICADOR
MUY ALTO
ALTO
T1
MEDIO
BAJO
T2
MUY BAJO
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
53
Justificacin
La integridad del activo no representa
un gran relevancia debido a que el
activo no hace parte fundamental de un
proceso X.
Afectaciones en la integridad del activo
ocasionara el paro de un proceso X, lo
cual devengara en la perdida de
dinero.
Bajo
Muy alto
.
54
Justificacin
La disponibilidad del activo es poco
relevante debido a que el activo no
Muy bajo
representa demasiado inters para un
proceso X.
La disponibilidad del activo es muy alta
Muy Alto
debido a que existen varios procesos
que son dependientes al activo.
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
55
Bajo
Muy Bajo
bajo
bajo
Muy
Muy
Muy
Alto Muy
alto
alto
alto
alto
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin
Etiqueta de Criticidad
Etiqueta de
criticidad
PublicoI2D2T2
ConfidencialI1D1T
Confidencial
I1
D1
T1
1
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
56
Los campos de informacin son una parte fundamental de todo inventario, estos
campos de informacin deben ser seleccionados racionalmente y no dejar esta
tarea al azar, un campo de informacin debe ser visto como un elemento el cual
nos proporcionara informacin valiosa sobre el activo, informacin la cual nos sea
til en algn momento de la implementacin u operacin del SGSI.
A continuacin se declaran los campos de informacin con los cuales se
encuentra conformado desde el 2011 el inventario de activos de activos de
informacin de EMCALI.
ID.
Descripcin/Observaciones.
Proceso.
57
Tipo de Activo.
Fecha de Ingreso.
Fecha de salida.
Personal.
58
Atributos.
Ubicacin.
Nivel de Criticidad.
59
Entrevistado.
Tipos de riesgo
El tipo o condicin de riesgo viene dada por la afectacin que sufre el activo
respecto a su confidencialidad, integridad, disponibilidad y trazabilidad, por ello se
ha considerado adecuado declarar los siguientes tipos de riesgo:
o
Acceso no autorizado al activo de informacin: Riesgo que un activo se
vea afectado respecto a su confidencialidad.
o
Perdida de la integridad del activo de informacin: Riesgo que un activo
sea alterado en su contenido o forma, causando la no utilizacin parcial del activo
o prdida definitiva.
o
Perdida de la disponibilidad del activo de informacin: Riesgo que un
activo no se encuentra en operacin por algn motivo.
o
Perdida de la trazabilidad del activo de informacin: Riesgo que no
pueda tenerse conocimiento de las acciones que se realizan con un activo de
informacin y tampoco pueda conocerse la persona la accin.
60
Amenazas
Son los escenarios internos o externos que puede hacer uso de una vulnerabilidad
para generar un perjuicio o impacto negativo en EMCALI (Materializar el riesgo), o
los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas
u ocasionadas.
61
Descripcin de consecuencias.
Probabilidad de Materializacin.
62
Determinar Impacto
INSIGNIFICAN
TE
Imagen
Impacta
negativament
e la imagen
de un rol.
MENOR
Impacta
negativament
e la imagen
del proceso.
MODERADO
Impacta
negativament
e la imagen
no slo del
proceso
evaluado sino
de otros
procesos
Informacin
Impacta de
forma leve la
informacin
requerida
para el
desarrollo de
las
actividades de
un rol
Impacta de
forma
importante la
informacin
requerida
para el
desarrollo de
las
actividades
del proceso
evaluado
Impacta
negativament
e la
informacin
requerida
para el
desarrollo de
las
actividades no
solo del
63
Operaciones
Econmic
as y
Financiera
s
Impacta de
forma leve la
operacin de
un rol
Se pueden
presentar
una
afectacin
del 20% del
presupuest
o
Impacta
importante la
operacin del
proceso
Se pueden
presentar
una
afectacin
del 30% del
presupuest
o
Impacta
negativament
e no slo la
operacin del
proceso
evaluado sino
a otros
procesos
Se pueden
presentar
una
afectacin
del 40% del
presupuest
o
Cuadro 9. (Continuacin)
proceso
evaluado sino
de otros
procesos.
Impacta
negativament
e la
Se pueden
Impacta
informacin
presentar
negativament concerniente
Impacta
una
e la imagen
y que apoya
negativament
MAYOR
afectacin
de EMCALI
el
e la operacin
del 50% del
ante sus
cumplimiento de EMCALI
presupuest
suscriptores
de los
o
objetivos
estratgicos
de EMCALI
Impacta
negativament
Se pueden
Impacta
e la
presentar
Impacta
negativament
informacin
una
negativament
e la no solo
CATASTROFIC
concerniente
afectacin
e la imagen
operacin de
O
y que apoya
del mas del
EMCALI sino
de la Ciudad
la prestacin
51% del
de Cali
de sus
del servicio a
presupuest
Subscriptores
los
o
suscriptores.
No hay
No hay
No hay
No hay
N/A
impacto
impacto
impacto
impacto
Fuente: Tomado de textos consolidados por EMCALI, para la clasificacin y
valoracin de activos de informacin.
64
de riesgo se deber definir planes los cuales permitan involucrar controles los
cuales permitan llevar el riesgo hasta su mnima expresin. 18
18
65
Teniendo definidos y claramente descrito cada uno de los apartes los cuales harn
parte de nuestros lineamientos para la gestin del riesgo se presenta a
continuacin la contextualizacin de estos (a excepcin del aparte 9.1.6 y 9.1.7, ya
66
ACTIVOS DE INFORMACION
100
90
80
70
60
50
40
30
20
10
0
87
21
19
Gerencia de TI
Departamento de
Operaciones.
Departamento
de Sistemas de
Informacin.
20
Departamento de
Planeacin
Tecnolgica.
68
5
4
2
0
Activos con Valor de Criticidad Activos con Valor de Criticidad Activos con valor de Criticidad
Alto.
Medio.
Bajo.
69
10
9,6
9,4
9,2
9
9
8,8
8,6
8,4
Activos que estan registrados
en la matriz de riesgos.
70
62
50
40
30
20
10
5
11
MEDIO
BAJO
0
MUY ALTO
ALTO
71
67
40
30
20
20
10
0
Activos que estan registrados
en la matriz de riesgos de EMCALI
7.1.11.
Departamento Sistemas de Informacin. El departamento de
Sistemas de Informacin cuenta con 21 activos de informacin inventariados, de
estos activos de informacin se puede concluir lo siguiente:
Se cuenta con 6 activos que tiene asociado un valor de criticidad de MUY ALTO,
10 activos tienen asociado un valor de criticidad ALTO, se tienen 3 activos con un
valor de criticidad asociado MEDIO, y final mente se tienen 2 activos con un nivel
de criticidad BAJO.
72
2
0
Activos con Valor de
Criticidad Muy Alto.
73
18
16
14
16
12
10
8
6
4
2
0
Activos que estan registrados
en la matriz de riesgos.
7.1.12.
Departamento Planeacin Tecnolgica.El departamento de
Planeacin Tecnolgica cuenta con 20 activos de informacin inventariados, de
estos activos de informacin se puede concluir lo siguiente:
Se cuenta con 11 activos los cuales tienen asociado un valor de criticidad ALTO,
se tienen 4 activos con un valor de criticidad asociado MEDIO, hay 2 activos con
un nivel de criticidad BAJO, y finalmente se tienen 3 activos con un nivel de
criticidad de MUY BAJO.
74
11
8
6
4
4
3
2
2
0
Activos con Valor de
Criticidad Alto.
75
15
5
Activos que estan registrados
en la matriz de riesgos.
7.1.13.
Conclusin Respecto al Anlisis de Activos y Actualizacin del
Inventario. A raz de la actualizacin del inventario de activos y de conocer las
pretensiones de EMCALI por alcanzar la certificacin en la Norma ISO/27001de
seguridad de la informacin, se presenta como sugerencia enfocar todos los
esfuerzos sobre un proceso crtico para la Gerencia de TI en pro de asegurar un
activo o activos de informacin, los cuales representen inters tanto para el
proceso como para toda la organizacin; de acuerdo a este orden de ideas se ha
considerado pertinente declarar para el proyecto de SGSI, un nuevo alcance con
el cual pueda obtenerse la certificacin de la norma ISO/27001, debido a que en la
primera fase del proyecto SGSI en la cual participo la organizacin especializada
en seguridad de la informacin (NewNet S.A), no se logr definir un alcance
certificable que en base a los 147 activos de informacin que se haban definido
en la primera fase del proyecto, se pudiese llegar a cumplir el objetivo de alcanzar
la certificacin en la Norma ISO/27001.
7.1.14.
Determinar El Alcance. Partiendo de las ideas declaradas en el
aparte inmediatamente anterior, se sugiere a EMCALI enfocar esfuerzos para
alcanzar la certificacin, sobre el proceso Gestionar Tecnologa proceso
anteriormente citado lleva por nombre un nombre ficticio, ya que se considera
76
Alcance certificable.
Todo lo anterior a fin de realizar la gestin del riesgo a partir del anlisis de su
nivel de criticidad, vulnerabilidades y amenazas, para de esta manera poder
determinar el impacto que tendra para la empresa que estos activos se vean
vulnerados respecto a su confidencialidad, integridad, disponibilidad y trazabilidad.
77
Nota 1: Los activos asociados al activo CORE (Aplicacin, Base de datos 1, Base
de datos 2, Base de datos 3, Servidor 1, servidor 2) fueron nombrados bajo
nombres ficticios, ya que esta informacin es considerada como confidencial por
EMCALI.
Nota 2: Los activos declarados en un principio por EMCALI y sobre los cuales se
realiz un anlisis a fin de actualizar su estado dentro del inventario de activos, no
sern tenidos en cuenta dentro del alcance certificable anteriormente propuesto,
es decir que los 147 activos de informacin que fueron levantados en un principio
por EMCALI no sern tenidos en cuenta, ya que tal cantidad de activos de
informacin dispuestos para aseguramiento, generara un desgaste inmenso para
la organizacin y el objetivo de obtener la certificacin en la norma ISO/27001
podra llegar a no materializarse.
Aplicacin.
Base de datos 1.
78
Base de datos 2.
Base de datos 3.
Servidor 1.
Servidor de alta disponibilidad que aloja la base de datos 1, base de datos la cual
almacena informacin sensible del sistema de informacin CORE del Negocio.
Soportar fsica, operativa y tecnolgicamente la base de datos del sistema
79
Servidor 2.
Servidor de alta disponibilidad que aloja la base de datos 2 y 3, bases de datos las
cuales almacenan informacin sensible del sistema de informacin CORE del
Negocio. Soportar fsica, operativa y tecnolgicamente la base de datos del
sistema comercial de EMCALI, manteniendo la informacin de la base de datos de
manera confidencial, integra y siempre disponible para las personas autorizadas.
7.2.
INVENTARIO DE ACTIVOS
80
7.3.1 Controles.
81
Concienciacin, formacin y capacitacin en seguridad de la
informacin, Control mediante el cual se permite formar y concientizar a los
empleados respecto a la importancia de la seguridad de la informacin y poder
mantener los activos de informacin respecto a su confidencialidad, integridad,
disponibilidad y trazabilidad.
82
83
o
Actualizar: es el proceso mediante el cual se evalan los activos que han
quedado incluidos en el inventario luego de realizar la accin de dar de baja, este
proceso tiene como objetivo examinar si el nivel de criticidad que se ha definido
para los activos en un pasado sigue siendo acertado o si este ha sufrido cambios
en el tiempo.
o
Traslado de activos de informacin: actividad mediante la cual un activo
de informacin inventariado cambia de ubicacin, pero sin cambiar de
departamento al cual se encuentra vinculado.
o
Traspaso de activos de informacin: actividad mediante la cual un activo
de informacin inventariado cambia de departamento responsable del activo a
otro.
84
o
Dar de alta: actividad correspondiente a vincular al inventario los activos
de informacin que previamente han sido identificados, caracterizados, y
valorados en la etapa de anlisis de activos de informacin, ya que se ha
determinado que estos activos de informacin representan un riesgo para las
actividades empresariales de EMCALI, y requieren de medidas que minimicen el
riesgo sobre estos.
o
Clasificacin de activos de informacin y valor total del Activo:
corresponde a la definicin del sistema de clasificacin y la clasificacin de los
activos de informacin de acuerdo a este sistema. El sistema de clasificacin fue
revisado y aprobado por el Comit de Gerencia de GTI. El sistema de clasificacin
contempla la Confidencialidad, Integridad, Disponibilidad y Trazabilidad del activo
de informacin, de acuerdo con el impacto que puede generar la prdida de
alguna de stas propiedades.
Dentro de la etapa nmero dos, se vinculan dos procesos adicionales los cuales
son los siguientes:
85
7.4.4.1
Indagar.La actividad de indagar consiste en poder conocer
informacin del estado de los activos de informacin incluidos previamente en el
inventario, esto con el fin de poder determinar si los activos incluidos en el
inventario realmente son de gran relevancia para las actividades empresariales de
la organizacin, esto con el fin de garantizar la confidencialidad, integridad y
disponibilidad del activo de informacin.
El activo es de carcter
Pblico
Semiprivado
Privado
86
Temporal.
extenso.
indefinido.
Mantenimiento.
Monitoreo continuo.
Acceso restringido.
Digital
Fsico
o
El activo de informacin puede ser trasladado de un lugar a otro dentro de
la misma rea propietaria del activo de informacin.
o
Indicar el nivel de riesgo que corre actualmente el activo de informacin y
describirlo.
87
Tipo de baja.
CODIGO
B4
B5
Perdida.
B6
EVENTUALIDAD
Robo.
Despido.
Termino del ciclo de
vida de la informacin.
Venta.
Inservible.
Perdida.
Robo.
Debe contener el documento con la denuncia ante las autoridades, del robo del
activo de informacin, se debe anexar quien es el propietario y el custodio del
activo de informacin.
Despido.
88
7.4.4.2
Dar de Baja.Es la desvinculacin de un activo de informacin del
inventario de activos de informacin, este proceso se lleva a cabo gracias al
proceso anteriormente indicado (indagar), el cual permite conocer si un activo
candidato a salir del inventario.
Para la correcta desvinculacin de un activo de informacin del inventario de
activos de informacin, se deber hacer uso de un formato de desvinculacin
(Formato de baja y Alta, Observar Anexo B), el cual deber ser diligenciado por
el rea a cargo del activo de informacin, este formato cuenta con los siguientes
campos de informacin:
89
7.4.5.1
Actualizar valor de Criticidad. El desarrollo de esta actividad
involucra realizar una actividad de anlisis, la cual permita evidenciar si la
valoracin de criticidad que se encuentra asociada a los activos es la adecuada o
no, dicho anlisis parte de conocer los procesos en los cuales se encuentra
involucrados los activos, conocer si la cantidad de personas que hacen uso del
activo es grande o pequeo, conocer el tipo de informacin que contiene el activo,
conocer el control de acceso que se tiene del activo, y conocer la importancia
actual que tiene el activo para las actividades empresariales de EMCALI.
7.4.5.2
Traslado de Activos de Informacin. Esta etapa se debe
desarrollar en el caso que se desee efectuar un cambio de ubicacin fsica o
digital del activo de informacin que se contiene en un rea organizacional del
GTI, a fin de efectuar el traslado de un activo de informacin se recomienda que
se ha diligenciado el formato de traslado y traspaso de activos (Observar Anexo
C), formato del cual a continuacin se presenta la descripcin de sus campos de
informacin.
7.4.5.3
Traspaso de activos de informacin.Este procedimiento se
materializa cuando se pretende cambiar un activo de informacin de un rea
organizacional a otra, lo cual implicara un posible cambio de ubicacin dentro del
GTI y un cambio de propietario y pueda ser que tambin de custodio, a fin de
efectuar el traspaso de un activo de informacin se recomienda que se ha
diligenciado el formato de traslado y traspaso de activos (Observar Anexo C),
formato del cual a continuacin se presenta la descripcin de sus campos de
informacin.
91
7.4.6.1
Anlisis Activos de Informacin.La actividad de anlisis de activos
de informacin, consiste en determinar que nuevos activos se han vinculado a los
departamentos que conforman el GTI (Gerencia de TI, Sistemas de Informacin,
Operaciones, Planeacin Tecnolgica) esto con el fin de poder determinar que
activos de informacin son candidatos a ser vinculados al inventario de activos de
informacin de un departamento en especial.
Este procedimiento se realiza con el fin de poder garantizar que todos los activos
de informacin que son de vital importancia para la actividad empresarial de
EMCALI, sean incluidos en el inventario de activos de informacin, con el fin de
implementar sobre estos tareas de control que permitan minimizar los riesgos
sobre estos, y de esta manera garantizar la Confidencialidad, Integridad,
Disponibilidad y Trazabilidad de los activos de informacin.
Dicho proceso Corresponde a las actividades de identificacin, caracterizacin y
valoracin de los activos de informacin, que dependiendo del impacto y la
importancia que estos puedan generar a las actividades empresariales de
EMCALI, requieren un control continuo para minimizar los riesgos que existen
sobre estos, y poder de esta manera garantizar Confidencialidad, Integridad,
Trazabilidad y Disponibilidad.
Para garantizar un correcto anlisis de los activos se sugiere conocer lo siguientes
datos sobre los activos de informacin:
o
Indicar el carcter de la informacin que se ve incluida en el activo de
informacin.
Pblico.
Semiprivado.
Privado.
De poco inters
Inters medio
Vital
92
o
El activo de informacin requiere cuidados especiales como:
Mantenimiento.
Monitoreo continuo.
Control de acceso.
7.4.6.2
Dar de Alta. Permite la vinculacin de activos de informacin al
inventario de activos de informacin, para la correcta vinculacin de un activo de
informacin al inventario de activos de informacin, se recomienda hacer uso del
formato de vinculacin de activos de informacin (Formato de Baja y Alta,
Observar Anexo B), dicho formato de vinculacin deber contener las siguientes
instrucciones:
93
o
Identificar el tipo de proceso: Esta actividad se llevara a cabo marcando
con una X , el tipo de procedimiento que se quiere llevar a cabo, en este caso se
macara con una X el tem de dar de alta.
o
Cdigo del activo: Se deber asignar un cdigo al activo de informacin a
incluir en el inventario.
o
Inventario al que pertenecer: Se debe indicar el inventario al cual
pertenecer el activo de informacin cdigo o nombre de inventario.
o
Fecha de alta: Se debe indicar la fecha en la cual se realiza la el proceso
de vinculacin del activo de informacin al inventario de activos de informacin.
o
Etiquetado: Se proceder a realizar la etiqueta del activo de informacin
teniendo en cuenta los parmetros para el etiquetado del activo respecto a su
criticidad (Confidencialidad, Integridad, disponibilidad y trazabilidad).
o
Descripcin: Se debe indicar una breve descripcin del activo de
informacin a incorporar al inventario, dependiendo del tipo de activo se debe
indicar la marca, modelo, y nmero de serie.
o
Modo de adquisicin: se deber indicar el tipo de vinculacin del activo
con EMCALI, de acuerdo a los siguientes parmetros establecidos:
94
Alquiler.
Comprobar por medio de una copia del contrato de alquiler, la vinculacin activo
de informacin a la empresa.
o
Tramite de proceso de alta: este proceso se debe llevar acabo ante el
administrador del inventario de activos, este trmite debe estar acompaado del
formulario de vinculacin de activos de informacin (formulario de alta). Luego de
presentar esta solicitud de alta el administrador del inventario de activos de
informacin, debe registrar su firma en el formulario de alta, indicando que ha
recibido la solicitud de alta, tambin se debe contar con la fecha de recepcin de
la solicitud de alta, y la fecha en la que se hace efectiva la vinculacin del activo
de informacin al inventario de activos de informacin, la vinculacin de este
activo debe realizarse inmediatamente se reciba la solicitud del formato de alta,
por ello la fecha de radicado de la solicitud de vinculacin del activo al inventario,
debe ser la misma que la fecha de procesada la solicitud.
Objetivo.
Proveer directrices de seguridad de la informacin con las cuales se Proteja y
preserve la seguridad de los activos respecto a la confidencialidad, integridad,
disponibilidad y trazabilidad de los activos de informacin.
Alcance.
Esta poltica se aplica a todos los funcionarios pblicos, consultores, personal
temporal y contratistas los cuales hacen uso de los activos de informacin de
EMCALI con fines laborales.
95
acciones de los empleados respecto al uso aceptable que deben de hacer de los
activos de informacin.
o
Los recursos, herramientas y privilegios que EMCALI otorgue a sus
empleados son de uso exclusivo para el adelanto de sus procesos y actividades
laborales.
o
Los activos de informacin de EMCALI solo pueden ser utilizados con fines
empresariales.
o
La informacin que se derive del trato con terceros, debe ser contemplado
como un activo de informacin a asegurar.
o
Debe asegurarse que toda informacin considerada como crtica por parte
de EMCALI, cuente con mecanismos que permitan recuperar el activo en caso de
suceder algn incidente de seguridad.
o
El acceso al centro de cmputo debe considerarse como restringido,
respecto a la importancia que tiene para el procesamiento de la informacin,
prestacin de servicios y almacenamiento de informacin.
o
El acceso y permanencia en el centro de cmputo debe contar con
mecanismos que permitan el registro, monitoreo y supervisin de las acciones del
personal que acceda a este espacio.
o
El acceso a estaciones de trabajo y sistema de informacin, debe
contemplarse bajo mecanismos de autentificacin, los cuales solo permitan el
acceso al personal autorizado para hacer uso de estos.
o
Se considera como falta a las polticas de seguridad de la informacin, el
uso no adecuado de los activos de informacin y de los recursos de EMCALI. las
acciones consideradas como no apropiadas para el mantenimiento de la seguridad
de los activos, se ven reflejadas en las conductas que se presentan a
continuacin:
Realizar acciones de extorcin, amenazas con la finalidad de obtener
informacin por parte de otro funcionario.
Las polticas especficas buscan detallar aspectos puntuales del uso de los activos
de informacin, como tambin del uso de recursos que facilitan la operacin y
comunicacin al interior de la empresa, estas polticas involucran todos aquellos
activos y recursos que por el dinamismo e importancia que representan para
EMCALI, requieren un nivel mucho ms especializado al declarar cual es la forma
apropiada de hacer uso de ellos, esto permitir corregir aspectos en los cuales se
ha identificado que se requiere por parte de los empleados una mayor atencin en
el uso de los activos.
97
7.5.3.1
Objetivo.
Establecer las directrices y comportamientos a seguir por las personas que hacen
parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los
cuales se encuentran, empleados nombrados, contratistas entre otros, a los cuales
se les haya adjudicado una cuenta de correo electrnico corporativo de EMCALI,
para la mejora de la mejora de las comunicaciones al interior de la organizacin.
Alcance.
98
Una vez sea asignado una cuenta de correo electrnico al empleado, este
deber cambiar la contrasea que el departamento responsable de la
administracin del correo le ha asignado por defecto, esta accin puede ser
realizada por el empleado tantas veces el considere necesario cambiarla, ya que
el empleado es el responsable de mantener la confidencialidad de la informacin
que en su correo electrnico se almacene.
Evitar enviar correos a personas que no tengan ningn vnculo laboral con
usted.
99
Los correo que el empleado envi deben contener la firma del empleado
(incluir al final de correo el nombre del empleado, Gerencia a la cual pertenece,
cargo que ostenta dentro de la organizacin y el nmero de la extensin en la cual
puede ser ubicado).
7.5.3.2
Objetivo.
Establecer las directrices y comportamientos a seguir por las personas que hacen
parte del colectivo de empleados pertenecientes a EMCALI E.I.C.E-ESP, entre los
cuales se encuentran, empleados nombrados, contratistas entre otros, con el fin
de que ellos a travs de sus acciones laborales logren preservar la
confidencialidad, integridad, disponibilidad y trazabilidad de los activos de
informacin.
Alcance.
La poltica se encuentra acotada a todo empleado, no importa la distincin
(contratista o funcionario pblico), y cualquier otra persona que tenga acceso y
haga uso de los sistemas de informacin de EMCALI y estaciones de trabajo.
100
de
7.5.3.3
Objetivo.
Dar a conocer las polticas para el uso de las cuentas de usuario y contraseas,
dispuestas por EMCALI para el acceso autorizado de los usuarios a los sistemas
de informacin de EMCALI y estaciones de trabajo.
101
Alcance.
La poltica se encuentra acotada a todo usuario que tenga bajo su responsabilidad
una cuenta de usuario y una contrasea designada para el acceso a los sistemas
de informacin y estaciones de trabajo.
102
Debe definirse que empleados tienen el privilegio de hacer uso de la cuenta
de usuario administrador.
7.5.3.4
Objetivo.
Dictar las directrices bajo las cuales se garantice la disponibilidad de los activos de
informacin, teniendo en cuenta el criterio de que un activos de informacin
siempre debe estar disponible para un usuario el cual cuente con la autorizacin
para el uso del mismo.
Alcance.
Mantener la disponibilidad de los sistemas de informacin como tambin de
estaciones de trabajo y recursos de informacin necesarios para el adelanto de
actividades laborales por parte de los empleados.
103
104
7.5.4.1
Propsito de Seguridad Respecto al Etiquetado de Equipos
Cmputo.El propsito de seguridad con el cual se sugiere el etiquetado de los
equipos de cmputo, es que a partir de la etiqueta de marcado que se disponga
sobre los equipos de cmputo estos puedan ser identificables respecto a su
relevancia y criticidad que estos tienen para la organizacin.
7.5.4.2
Consolidacin del Etiquetado de Equipos de Cmputo.Al interior
de este numeral se contemplan las acciones que deben ser adelantadas a fin de
poder construir la etiqueta de marcado.
7.5.4.3
Definir Activos a Etiquetar. El punto que se presenta consiste en
determinar que activos de informacin van a hacer dispuestos para el
correspondiente etiquetado y poder conocer con anterioridad la informacin
asociada al quipo para luego poder vincular la misma a la etiqueta de marcado.
105
7.5.4.4
Informacin Registrada en el Inventario de Activos. Una vez haya
sido desarrollado el control referente al inventario de activos, se ha logrado
recopilar y registrar en dicho recurso una numerosa cantidad de informacin
concerniente a los activos y a su nivel de criticidad, a partir de dicha informacin
consignada en este recurso se debe determinar qu informacin de la registrada
en el inventario de activos es pertinente que sea asociada a la etiqueta que ser
dispuesta para el marcado de los activos de informacin.
o
Propietario: este campo de informacin deber figurar el departamento a
cargo del activo de informacin, no se considera importante vincular si el activo
est directamente cargado a la cuenta de una persona en especial esta
informacin puede ser registrada mucho ms en detalle en el registro informativo
que debe aparecer al momento de pasar un lector de cdigo de barras sobre una
etiqueta.
Se deber establecer una nomenclatura para identificar a cada departamento
propietario de un activo, a continuacin se sugiere una nomenclatura la cual puede
representar el departamento a cargo:
106
VALOR.
Muy Bajo
Bajo
Medio
Alto
Muy Alto
o
Etiqueta: Este campo de informacin se considera adecuado para su
vinculacin a la etiqueta que marcara al activo, ya que en l se especifica el valor
de criticidad del activo en cuanto a su Confidencialidad, Integridad, Disponibilidad,
Trazabilidad.
o
Atributos: El campo atributo considera seis (6) atributos los cuales ayudan
a determinar en cierta forma la importancia de un activo para la organizacin, el
cuidado que debe tenerse en el uso del activo y la disponibilidad a un determinado
nmero de usuarios, los atributos son los siguientes:
A2
A3
A4
A5
A6
7.5.4.5
Recaudo de informacin Adicional. El proceso de recaudo de
informacin es un proceso que se sugiere sea adelantado con el nimo de poder
obtener informacin adicional del activo, la cual no se encuentra asociada al
inventario de activos y que pueda significar una contribucin importante al
momento de establecer una etiqueta para la identificacin y aseguramiento del
activo. Con la finalidad de poder recaudar informacin significativa a la que ya se
tiene en el inventario de activos, se presenta una gua de posibles datos e
informacin que podra ser asociada a la etiqueta de marcado:
ID fabricante.
108
Poco
Mucho
Poco
Mucho
7.5.4.6
Diseo de la Etiqueta de Marcado.El diseo de la etiqueta es la
actividad en la cual se concibe la etiqueta como tal, es decir se establecer la
forma que esta tendr, la ubicacin en la que se encontrara distribuida la
informacin que ser asociada a la etiqueta.
Se presenta dos etiquetas como sugerencias para el marcado de los activos de
informacin que cuentan con caractersticas o condiciones fiscas para ser
marcados (Equipos hardware, Archivadores, Repositorio de discos de instalacin y
manuales).
109
7.5.4.7
Disposicin de Etiquetas sobre el Activo de Informacin. Como
se ha expresado anteriormente este procedimiento tiene como objetivo etiquetar
los activos de informacin con la correspondiente etiqueta de marcado que se ha
gestado para su identificacin y poder conocer a travs de ella el nivel de
criticidad y de importancia que tiene el activo para EMCALI.
110
7.5.4.8
Delegacin de Responsabilidades.El primer momento de
importancia en el cual se sugiere establecer un proceso con fines de control es el
momento en el cual el responsable de direccionar el desarrollo del control de
etiquetado delega sobre un(os) empleado(s) capacitado(s) la responsabilidad de
adelantar la consolidacin del etiquetado de activos de informacin, brindndoles
las instrucciones pertinentes para el desarrollo de la labor asignada y otorgndoles
los recursos de los cuales deber hacer uso para la consolidacin del etiquetado
(entrega de etiquetas de marcado), con el fin de tener un control en la asignacin
de responsabilidades y recursos se sugiere la vinculacin de un recurso de
soporte documental (Formatos de delegacin de responsabilidades y entrega
de recursos, Observar Anexo D) en el cual se encuentren consignadas las
directrices que indicaran a los empleados que debern realizar para cumplir a
cabalidad con la responsabilidad encomendada y los recursos que fueron puestos
a disposicin del empleado para la realizacin de la misma.
7.5.4.9
Marcado de Activos.El segundo momento de importancia en el cual
se sugiere recalcar el establecimiento de un proceso que garantice un control en la
consolidacin del etiquetado, es en la disposicin de la etiqueta de marcado sobre
los activos de informacin que fueron designados para su correspondiente
etiquetado.
111
112
Factores a fortalecer en el empleado, Son aquellas caractersticas o
cualidades que consideremos importante fortalecer en el empleado para obtener
un mejor resultado en el aseguramiento de los activos de informacin.
7.5.5.1
Objetivo.
113
Carteles.
114
El uso del presente recurso como material o elemento de apoyo conlleva varios
beneficios como lo son:
Amplia difusin del material de apoyo, ya que al ser un recurso que es
asociado directamente en cada uno de los equipos de trabajo personal de cada
empleado se garantiza que el mensaje sea conocido por todas las personas que
se ven involucradas dentro del plan de sensibilizacin.
El recurso de apoyo puede estar a disposicin de los empleados por el
tiempo que el personal responsable de la ejecucin del plan de concientizacin
considere prudente.
El costo de inversin es mnimo.
o
Souvenir
El uso del presente recurso como material o elemento de apoyo conlleva varios
beneficios como lo son:
Involucrar en el entorno laboral del empleado un objeto de uso comn para
todos, el cual al ser usado u observado por los empleados, les recuerde aspectos
relevantes para mantener la seguridad de los activos de informacin.
Permite que se prolonguen en el tiempo recomendaciones que permitan
hacer buen uso de los activos de informacin y reconocer la importancia y el nivel
de riesgo asociado a los activos de informacin.
7.5.5.2
7.5.5.3
115
Manejo conceptual referente a la seguridad de la informacin.
7.5.5.4
Fortalecimiento del Factor Psicolgico (Sentido de perteneca).
El factor psicolgico es uno de los factores ms complejos, ya que al ser un factor
arraigado a los seres humanos se hace dependiente de la conducta, formacin
integral de la persona, sentido de pertenencia y estado de animo de la persona,
este factor se torna muy cambiante debido a la condicin humana del usuario lo
cual lo hace independiente y autnomo en sus criterios y decisiones.
7.5.5.5
Fortalecimiento del Factor Laboral (Compromiso respecto a la
seguridad de la informacin). El factor laboral puede que sea a simple vista
uno de los ms simples o sencillos de determinar en una persona que labora en
una organizacin, ya que las acciones que la persona realice debern estar
sujetas a las polticas y lineamientos establecidos por la organizacin, pero esto
no comprende el factor laboral en toda su plenitud, ya que el factor laboral tambin
comprende el compromiso del empleado para con su trabajo y con el uso
adecuado de las herramientas y recursos que la organizacin le suministra para el
desarrollo de sus actividades laborales.
7.5.5.6
Control y Seguimiento
Control
Asistencia.
Se debe garantizar que las personas para las cuales se encuentra dirigido el plan
de sensibilizacin asistan a las actividades que se contemplan dentro del plan de
sensibilizacin, con el fin de garantizar este aspecto se considera apropiado que
se tomen en consideracin las siguientes sugerencias:
o Listados de asistencia.
116
o
o
Inversin en recursos.
Se debe garantizar que los recursos que se destinen como inversin para el
desarrollo del plan de sensibilizacin sean correctamente capitalizados en las
actividades, pago de personal y en la gestin de recursos de apoyo para la
consolidacin del plan, ya que si no se capitalizan estos recursos de una manera
adecuada podra verse afectado la ejecucin del plan de sensibilizacin hasta el
punto de que este llegue a fracasar.
7.5.5.7
Seguimiento. La etapa de seguimiento se desarrolla con el nimo de
poder constatar que los conocimientos y recomendaciones dadas a los empleados
117
7.5.5.8
Costos.
118
8 CONCLUSIN
Reconociendo a la informacin como el activo ms importante de una
organizacin, el proyecto se centr en la consideracin de medidas las cuales
permitirn a las empresas municipales de Cali, EMCALI E.I.C.E-ESP, disminuir el
riesgo que recae sobre sus activos de informacin (acceso no autorizado al activo
de informacin, perdida de la integridad del activo, perdida de la disponibilidad del
activo, perdida de la trazabilidad del activo), mediante la adecuada clasificacin de
los activos de informacin, el conocimiento del nivel de criticidad del activo y
evaluacin del activo respecto a su nivel de riesgo, el cual es determinado por las
vulnerabilidades y amenazas a las cuales se encuentra expuesto el activo de
informacin respecto a su Confidencialidad, Integridad, Disponibilidad y
Trazabilidad.
119
120
9 RECOMENDACIONES
121
122
BIBLIOGRAFA
ACEITUNO Canal, Vicente. Seguridad de la informacin : expectativas, riesgos y
tcnicas de proteccin. Madrid : Creadiciones Copyright, 2004. xx, 149 p. : il.
005.8 / A173 (UAO).
ALBERTO G. Alexander, ph.D, CBRP, auditor SGSI certificado IRCA anlisis del
Riesgo y el Sistema de Gestion de Seguridad de Informacion: El Enfoque ISO
27001:2005 [en lnea] [Consultado 29 de Junio de 2012]. Disponible en Internet:
http://www.libreriainteramericana.com/pdf/analisis_riesgo_y_sgsi.pdf
BRUNA Lpez Ignacio - Licenciado en derecho de las nuevas tecnologas Diplomado en Direccin de Seguridad de la Informacin - Auditor CISA (Cetified
Infotmation Systems Auditor) por ISACA, Confidencialidad, Integridad y
Disponibilidad de la Informacin. [En lnea] [Consultado 1 Noviembre de 2012]
http://www.belt.es/expertos/experto.asp?id=2245
CORLETTI
Estrada
Alejandro
Anlisis
de
ISO-27001:2005
Mail:
acorletti@hotmail.com [en lnea] [Consultado 29 de Junio de 2012]. Disponible en
Internet: http://www.kriptopolis.org/docs/iso.pdf
123
(--------) ISO-27001: Los controles (Parte II) Mail: acorletti@hotmail.com [en lnea]
[Consultado
29
de
Junio
de
2012].
Disponible
en
Internet:
http://www.kriptopolis.org/docs/ISO-27001_Los-controles2.pdf
Julio
de
2013]
124
125
126
127
ANEXOS
Anexo B Formato de Baja y Alta.
Fuente: Autor.
128
Fuente: Autor.
129
Fuente: Autor.
130
Fuente: Autor.
131