FASE 2 - DISEAR EL ANLISIS DE RIESGOS

Estudiantes unad

Presentado a:
SALOMN GONZLEZ GARCA
DIRECTOR

MODELOS Y ESTNDARES DE SEGURIDAD INFORMTICA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

FACULTAD DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
ESPECIALIZACION EN SEGURIDAD INFORMATICA
2016
RESUMEN

Gracias a la aplicacin de un anlisis de riesgos oportuno en una empresa, se puede

realizar la identificacin, el anlisis y la evaluacin de los riesgos que
eventualmente podran alterar su normal funcionamiento. Y a pesar que existen

muchas metodologas utilizadas para este proceso y todas ellas parten de un punto
comn, la identificacin de activos de informacin, todos aquellos recursos
involucrados que incluyen los datos, el hardware hasta el recurso humano. Es sobre
estos elementos que el anlisis de riesgos centra su identificacin de amenazas o
riesgos y las vulnerabilidades.
De all se define una amenaza como un evento que puede afectar los activos, ya
sea por accin del recurso humano, algn evento natural o posibles fallas tcnicas.
Por su parte, al identificar las vulnerabilidades se procese a determinar una
caracterstica de un activo que represente un riesgo para la seguridad de la
informacin. Se contina identificando las amenazas, que son la materializacin de
las vulnerabilidades causando como resultado algn tipo de prdida para la
empresa. Para la realizacin de este proceso el presente proyecto emplea la
metodologa MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin), propuesto por la Administracin electrnica del gobierno
espaol (http://administracionelectronica.gob.es/) la cual se puede apoyar en el
software PILAR desarrollado por la compaa EAR, el que mediante la
documentacin de los procesos antes mencionados y previa caracterizacin y
asignacin de valores a todos los elementos presenta un desarrollo del anlisis de
riesgo de la compaa.
Una vez identificada los posibles impactos y riesgos a los cuales se ve enfrentada la
compaa, para este caso en especfico se ha seleccionado la empresa JAVA
INGENIERA, se continua identificando y proponiendo los posibles controles a
emplearse del estndar ISO 27001 y las recomendaciones de seguridad propuestos
para el estudio especfico, para que la empresa pueda tomar decisiones sobre
cmo actuar ante los diferentes riesgos es necesario al recibir una valoracin para
determinar cules son los ms crticos para la empresa. En este documento se
identifican y valoran los principales riesgos que pueden afectar los activos de
informacin de la empresa JAVA INGENIERA.

ABSTRACT
Thanks to the implementation of an appropriate risk analysis in a company, you can
make the identification, analysis and assessment of the risks that could eventually
disrupt normal operation. And although there are many methodologies used for this
process and they all start from a common point, identification of information assets,
all involved resources including data, hardware to human resources. It is on these
elements that risk analysis focuses identification of threats or risks and
vulnerabilities.

From there a threat as an event that may affect the assets, whether by action of
human resources, some natural event or possible technical failures defined.
Meanwhile, to identify vulnerabilities is processed to determine a characteristic of
an asset that represents a risk to information security. It continues to identify
threats, which are the embodiment of vulnerabilities as a result causing any loss to
the company. To carry out this process this project employs the MAGERIT
methodology (Methods of Analysis and Risk Management Information Systems),
proposed
by
the
Spanish
government
eGovernment
(http://administracionelectronica.gob.es/) which it can be supported in the EAR
developed by the company PILAR software, which by documenting the
aforementioned processes and prior characterization and assignment of values to
all elements presents a development of risk analysis company.

Once identified potential impacts and risks to which is confronted the company, for
this specific case has selected the company JAVA ENGINEERING is continuously
identifying and proposing possible controls to be used in the ISO 27001 standard
and safety recommendations proposed for the specific study, so that the company
can make decisions on how to deal with the various risks necessary to receive an
assessment to determine what are the most critical for the company. This document
identified and assessed the main risks that can affect information assets enterprise
JAVA ENGINEERING.

CONTENIDO
RESUMEN.................................................................................................................... 2
ABSTRACT................................................................................................................... 3
INTRODUCCION.......................................................................................................... 5
ANLISIS DE RIESGOS................................................................................................ 6
BIBLIOGRAFIA........................................................................................................... 34

INTRODUCCION
La ocurrencia de prdidas de informacin por ataques humanos, tcnicos o por
fallas en los equipos de cmputo es una de las principales preocupaciones a la que
en la actualidad se ve enfrentado el equipo encargado de la seguridad de la
informacin de las compaas. De igual manera, se considera que en un alto
porcentaje los riesgos corporativos no desaparecen dado que pocas veces las
empresas logran eliminarlos del todo, o al menos de forma inmediata. Para
conseguirlo se debe ejecutar una serie de pasos que se enmarcan dentro de un
proceso concreto. Para la consecucin de estas condiciones es posible emplear la
metodologa MAGERIT para la identificacin de riesgos y su evaluacin posterior,
una vez obtenida esta valoracin y presentadas las posibles soluciones, las
opciones ms habituales de las empresas ante los riesgos son aceptarlos,
mitigarlos, transferirlos o evitarlos.
Estas decisiones son tomadas a partir de recomendaciones hechas por el grupo
encargado del estudio, para el presente trabajo se empleara el estndar ISO 27001
para identificar los controles mas apropiados para la compaa JAVA INGENIERA y
con ellos las recomendaciones a aplicar sobre la seguridad de la informacin.

DESARROLLO DEL TRABAJO

1. ANLISIS DE RIESGOS
Para el desarrollo del anlisis de riesgos se procede a seleccionar la compaa la cual se va a
realizar el proceso, el grupo de trabajo ha considerado a la compaa JAVA INGENIERA de la
ciudad de Pasto como un sistema propicio para su ejecucin, a continuacin se presenta la
informacin necesaria para la identificacin del inventario de activos.

Presentacin de la compaa:

Java Ingeniera 12993397-1 es una empresa fundada en la ciudad de Pasto, cuyas oficinas se
encuentran en la carrera 24 No. 22 13 Los dos puentes. JAVA INGENIERA Es una empresa de
Ingeniera Elctrica que presta servicios al sector de la construccin, ejecutando obras de
Instalaciones elctricas, Diseando proyectos de Ingeniera, inspecciones a obras, asesoras
tcnicas y mantenimiento en general de instalaciones elctricas y sistemas de apoyo como UPS.
Entre los servicios brindados se encuentran:
Redes Elctricas

Redes elctricas y subestaciones en media y baja tensin.

Instalaciones elctricas internas.

Sistemas de apantallamiento y puesta a tierra.

Iluminacin interior, exterior, ornamental y alumbrado pblico

Diseo de Instalaciones Elctricas

Diseamos sistemas elctricos eficientes, seguro y a la medida. Ofrecemos alternativas

innovadoras con soluciones viables de costo-beneficio, cumpliendo con la normatividad vigente.

Mantenimiento Elctrico

Se brinda servicio de Mantenimiento Predictivo, Preventivo y Correctivo en media y baja

tensin para plantas elctricas, motores, subestaciones y maquinaria elctrica en general.

Utilizando equipos de anlisis y pruebas con tecnologa de punta.

Instalaciones de Cables UTP

Diseo y desarrollo de toda infraestructura de telecomunicaciones con flexibilidad de

Instalacin, capacidad de crecimiento y facilidad de administracin

Diseos y Construcciones Sostenibles en Desarrollo

Aplicacin de tecnologa LED para iluminacin.

Diseo organizacional:

La compaa en la actualidad cuenta con un total de 12 empleados, los cuales se contratan segn
necesidad, distribuidos segn su campo de accin as:
1 Gerente: Alfredo Moncayo Apraes
1 Ingeniero de sistemas titulado encargado del diseo y la interventora de los proyectos de redes
de datos
1 Ingeniero elctrico titulado encargado del diseo y la interventora de los proyectos elctricos.
2 Tecnlogos en computacin, uno encargado de las funciones de auxiliar administrativo para el
control de las bases de datos y el mantenimiento de los equipos y la intranet de la compaa y el
segundo para el servicio de mantenimiento de equipos de cmputo y redes de datos a externos.
5 Tcnicos encargados de la instalacin y mantenimiento de redes elctricas
3 Tcnicos encargados de la instalacin y configuracin de redes de datos, estructura y armado
de armarios de comunicaciones

Activos Fsicos de la compaa:

Computador I3: Memoria RAM de 4 GB y disco duro de 1TB, lector de memorias, INTEL core
i3 4ta generacin, quemador de dvd, sistema Windows 8.1 Update 1 64 bits, aplicaciones: office
2013 profesional plus.
Computador Janus: Intel Celeron dual core 2,41 ghz, board integrada biostar, disco duro 1tb, 2gb
so-dimm de memoria, dvd-rw, multilector de memorias. Sistema Windows 7 32 bits, aplicaciones
office proffesional plus 2013.
1 Modem Technicolor 7110.02 provisto por el ISP, dos conectores uno coaxial un Ethernet. No se
tiene acceso a las configuraciones del sistema. El proveedor de servicios de internet es CLARO.
1 Router inalambrico N 150mbps Tp-link Tl-wr740n, 1 conexion WLan 4 conexiones LAN
10/100 Mbps, tecnologia 802.11n. Configurado por el personal de la compaa.
Intranet interconectada mediante patch cord categoria 6, almacenada en ducteria tipo canaleta
plstica con divisor central.
Impresora multifuncional Epson L200, compartida en red conectada al computador I3

Activos software:

Los equipos tienen en la actualidad instalados los siguientes aplicativos.

Sistemas Operativos La empresa no posee licencias:
Windows 8.1 Update 1 64 bits
Windows 7 profesional 64 bits

Aplicaciones instaladas:

Winrar 3.7
Winamp 557

Setup Virtual Clone Drive

K-Lite code pack 995 mega
Avira Free Antivirus
Adobe Reader X
USB Disk Security 7 2013
Office proffesional plus 2013
Nitro Pro 64 Bits
Nero 8

Configuraciones de Red:

La red se encuentra configurada mediante la asignacin de direcciones IP dinmicas generadas

por el servidor DHCP del router Tl-wr740n
La red inalmbrica emplea la misma asignacin de direcciones y se protege con contrasea
empleando WPA-PSK de 64bits

Sistemas de informacin:

JAVA INGENIERIA cuenta con una plantilla contable realizada en Excel para el registro
contable.
La empresa adems emplea plantillas en Excel para

Plantilla de seguimiento del proyecto

Plantilla del diagrama de Gant

Presupuesto del Proyecto

Escala de tiempo del proyecto

Lista de tareas

10

En la actualidad se est empleando los conocimientos de los Tecnlogos para el desarrollo de una
base de datos con motor MySQL y java con NetBeans para reemplazar la plantilla de
seguimiento del proyecto, para obtener una solucin a medida de esta plataforma.

Medidas de seguridad aplicadas en la actualidad:

Los computadores no poseen contraseas para los usuarios, los discos duros contienen 2
particiones una para el sistema operativo y otra para datos, no existen copias de seguridad de la
informacin ni sistemas externos de copia de datos.
La compaa posee una cuenta gratuita de Dropbox para mantener copia de la informacin
referente a la contabilidad y el registro de proveedores y proyectos.

2. DESARROLLO DEL ANLISIS DE RIESGOS

Para el anlisis de riesgos se hace uso del aplicativo PILAR desarrollado por EAR, el cual ha
sido desarrollado en JAVA y que puede ser descargado de la pgina oficial de la empresa, debido
a que el software es licenciado se hace uso de la versin de prueba que permite el desarrollo y la
ejecucin de proyectos con ciertas restricciones como son la generacin de informes textuales,
razn por la cual para la documentacin del anlisis se empleara la captura de pantallas.
2.1.

Datos del proyecto:

11

Fig. 1. Datos del proyecto

Fuente: El presente documento

2.2.

Fuentes de informacin: Se toman como fuentes el personal que labora en la compaa

Fig. 2. Datos de las fuentes de informacin

Fuente: El presente documento

2.3.

Dominios de seguridad: se identifican los dominios a considerar para el anlisis de

riesgos, para este estudio se define como dominios los aspectos de seguridad fsica que
relaciona

todos

los

componentes

hardware,

con

sus

caractersticas,

amenazas,

12

vulnerabilidades y el dominio de seguridad lgica que hace su parte con lo relacionado al

software.
Fig. 3. Datos de dominios de seguridad

Fuente: El presente documento

13

2.4.
Se procede con la identificacin de los activos as:
2.4.1. Identificacin:
Fig. 4. Identificacin de activos

Fuente: El presente documento

Dando como resultado las siguientes estadsticas:
Fig. 5. Activos por capas

Fuente: El presente documento

14

Fig. 6. Activos por dominios

Fuente: El presente documento

Fig. 7. Activos por fuentes

Fuente: El presente documento

2.4.2. Clases de activos.
Fig. 8. Clases de activos

Fuente: El presente documento

15

2.5.

Valoracin de los dominios

Fig. 9. Valoracin de dominios

Fuente: El presente documento

Fig. 10. Valoracin de domins Continuacin

Fuente: El presente documento

2.6.

Valoracin de los activos

16

Fig. 11. Valoracin de activos

Fuente: El presente documento

17

2.7.
Identificacin de las amenazas
2.7.1. Factores agravantes o atenuantes
Fig. 12. Dominios de seguridad

Fuente: El presente documento

2.7.2. Factores agravantes o atenuantes Continuacin

18

Fig. 13. Dominios de seguridad Continuacin

Fuente: El presente documento

19

2.7.3. Identificacin de amenazas

Fig. 14. Identificacin de las amenazas

Fuente: El presente documento

20

2.7.4. Valoracin de las amenazas

Fig. 15. Valoracin de las amenazas

Fuente: El presente documento

21

2.8.
Manejo de los salvaguardas
2.8.1. Identificacin.
Fig. 16. Identificacin de las salvaguardas

Fuente: El presente documento

2.8.2. Valoracin
Fig. 17. Valoracin de los salvaguardas

Fuente: El presente documento

22

2.9.

Impacto y riesgo Valores acumulados

Para el anlisis de riesgos se toma en cuenta la siguiente tabla

Fig. 18. Niveles de criticidad

Fuente: PILAR 5.4.7.

Dando como resultado
Fig. 19. Impactos y riesgos acumulados

Fuente: El presente documento

23

De lo cual es posible determinar que el mayor riesgo que se presenta es la denegacin del
servicio de red para los computadores debido a que en ellos se encuentra la informacin
primordial para el funcionamiento de la empresa.
Se contina con la cada del sistema por agotamiento de recursos, y con posteriores ataques
destructivos los cuales pueden ser causados por factores como daos fsicos producidos por
desastres naturales principalmente.
Fig. 20. Impactos y riesgos menos evaluados

Fuente: El presente documento

De igual manera es posible determinar que las instalaciones de red son quienes presentan el
menor nivel de riesgo ya que solo se pueden ver afectadas por emanaciones electromagnticas.
2.10.

Riesgo repercutido

Para el anlisis de riesgos se toma en cuenta la siguiente tabla

Fig. 21. Niveles de criticidad

Fuente: PILAR 5.4.7.

24

Dando como resultado

Fig. 22. Impactos y riesgos repercutidos

Fuente: El presente documento

Que la repercusin principal se orienta hacia la informacin importante a travs de accesos no
autorizados.
Fig. 23. Impactos y riesgos repercutidos menos valorados

Fuente: El presente documento

Al igual que en el anlisis anterior las instalaciones de red son quienes presentan el menor nivel
de riesgos.
2.11.

Informes.

Tomando en consideracin el tipo de licencia adquirido y los posibles reportes a entregar se

obtienen las siguientes grficas.

25

2.11.1. Valor dominio de seguridad

Fig. 24. Valor dominio seguridad

Fuente: El presente documento

Es posible identificar que la seguridad lgica se ve afectada por un mayor nmero de aspectos
que la seguridad fsica y estos a su vez poseen una valoracin mayor, razn por lo cual los
riesgos que afecten a este dominio presentaran mayor ponderacin en al anlisis de riesgos.
2.11.2. Impacto acumulado

26

Fig. 25. Grfica impacto acumulado

Fuente: El presente documento

En el grafico es posible identificar el impacto acumulado en el cual se observa el impacto
deseado a partir del color verde y el impacto actual representado con color azul.
2.11.3. Riesgo acumulado
Fig. 26. Grafica riesgo acumulado

Fuente: El presente documento

27

En el grafico es posible identificar que el riesgo acumulado actual en rojo es mucho mas alto que
el sugerido por la aplicacin PILAR en azul.
Para una mayor comprensin de los resultados se adjunta una copia digital del proyecto en el
archivo javaingenieria.mgr, que puede consultarse con el programa EAR PILAR.
La matriz de riesgos completa se encuentra en el Anexo 1 del presente documento.

28

3. IDENTIFICACIN DE LOS CONTROLES Y RECOMENDACIONES DE LA ISO

27001 A EMPLEAR EN LA COMPAA JAVA INGENIERA
En este punto, para ser ms conciso, se tendr en cuenta la puntuacin que a cada uno de los
controles le asigna la norma.
Poltica de seguridad:
La informacin es un recurso muy importante para la empresa JAVA INGENIERA, al igual que
los dems activos por tanto debe ser protegida correctamente.
La aplicacin de la poltica de seguridad de la informacin garantiza un compromiso inevitable
frente a las continuas amenazas que se presentan hoy en da. Con esta poltica se contribuye a
reducir los riesgos que puedan presentarse y se asegura un cumplimiento eficiente de las
funciones de la entidad.
La compaa proveer los mecanismos necesarios para el estudio, aplicacin, apropiacin,
difusin, actualizacin y consolidacin de la poltica de seguridad de la informacin.
Organizacin de la informacin de seguridad
La empresa JAVA INGENIERA garantiza el apoyo a los procesos de implementacin,
operacin, mantenimiento y mejora del sistema de gestin de la seguridad de la informacin por
medio de una comisin tcnica o comit que se encargar de velar por el cumplimiento de la
poltica de seguridad de la informacin.
Administracin de recursos
-

Se asigna a cada colaborador o miembro de la empresa la responsabilidad de los recursos

que utiliza para el correcto desarrollo de sus actividades laborales.

-

Se realiza un inventario de los activos fijos de la empresa y se relaciona cada equipo con

sus dispositivos a un usuario, cada activo fijo debe llevar un cdigo de barras para que sea ms
fcil su identificacin e inventario.

29

Seguridad de los recursos humanos

Se trata de un trabajo conjunto entre RRHH y los responsables de la seguridad de la informacin.
Documentacin para la contratacin de personal, definir los diferentes perfiles de la
organizacin, basados en la responsabilidades en materia de manejo de informacin que tenga
cada puesto de trabajo.
No se puede omitir ningn detalle puesto que esto se podra volver peligroso para la seguridad de
la informacin, por ejemplo cuando se realiza el retiro de un empleado y tiempo despus
continua teniendo los permisos que tena cuando estaba vinculado a la institucin.
Para cumplir con estos objetivos se hace necesario capacitar a los empleados continuamente,
socializar las polticas de seguridad de la empresa y los procesos que se deben llevar a cabo en
cada situacin.
La empresa JAVA INGENIERIA dentro de sus procesos internos tiene definido un plan de
formacin continuo sobre la seguridad de la informacin, el cual permite que sus colaboradores o
funcionarios se concienticen de la importancia de realizar estos procedimientos y que se apropien
del desarrollo de estas actividades.
Seguridad fsica y del entorno
JAVA INGENIERIA realiza controles en las entradas y salidas fsicas de sus locales, edificios y
recursos, protegindose de amenazas externas y del entorno en lugares de acceso pblico y
dems reas. Por medio de vigilancia permanente, cmaras de seguridad, detector de metales,
lectores biomtricos para las reas de mayor importancia como los cuartos de servidores y
comunicaciones.
Para garantizar la seguridad de los equipos, estos deben estar en ambientes seguros y protegidos
con:

Controles de acceso y seguridad fsica

Deteccin de incendio y sistemas de extincin de conflagraciones

Controles de humedad y temperatura

Bajo riesgo de inundacin

30

Sistemas elctricos regulados y respaldados por fuentes de potencia ininterrumpida

(UPS).
Toda informacin de la institucin que se encuentre en medios digitales, debe ser mantenida en
servidores aprobados por la oficina de sistemas o los especialistas en seguridad informtica.
Los equipos de gran importancia e impacto deben contar con regulacin y estar protegidos por
medio de UPS.
Los medios en los cuales se alojan las copias de seguridad deben ser conservados de acuerdo a
las polticas y estndares definidos por el comit de seguridad de la informacin.
Administracin de las comunicaciones y operaciones

Reporte e investigacin de incidentes de seguridad

El personal de JAVA INGENIERIA se compromete a reportar con prontitud y responsabilidad las

presuntas violaciones de seguridad que se presenten siguiendo los protocolos y estructura
jerrquica de la empresa a travs de su jefe inmediato y en ocasiones especiales directamente a la
oficina asesora de sistemas.
Proteccin contra software malicioso y hacking
Todos los sistemas informticos deben ser protegidos, utilizando un enfoque multinivel el cual
involucre controles humanos, tcnicos, fsicos y administrativos.
El comit de seguridad de la informacin se encargar de dar las directrices y elaborar las
normas, estndares, procedimientos y guas para garantizar la disminucin de los riesgos
relacionados con amenazas de software malicioso y tcnicas de hacking.
Como medida inicial, todas las estaciones de trabajo deben contar con un software antivirus que
se pueda actualizar automticamente, contar con las licencias del mismo y obtener el soporte
respectivo por medio del proveedor.
Copias de seguridad
Toda informacin que pertenezca a la empresa JAVA INGENIERA, que sea de su inters y uso
dentro de los procesos misionales debe ser respaldada por copias de seguridad, las cuales se

31

realizarn de acuerdo a los procedimientos documentados por el comit de seguridad de la

informacin.
Las copias de seguridad se deben realizar siguiendo los cronogramas definidos y programados
por los funcionarios encargados.
Especificacin de los Controles ISO: Determinar los controles a implementar basados en la
ISO 27001.
1. POLTICA DE SEGURIDAD.
1.1 Poltica de seguridad de la informacin.
La empresa Java Ingeniera requiere definir y adoptar una poltica bsica de Seguridad de la
Informacin, la cual debe contener como mnimo los siguientes aspectos:
Cerrar siempre la sesin de los equipos, antes de ausentarse del puesto de trabajo.
No bloquear los puntos de red de datos y elctricos con carpetas, cajas, escritorios, entre
otros.
No escribir las contraseas en lugares visibles.
Tener precaucin en el transporte y almacenamiento de la informacin, tanto digital como
fsica.
La informacin que cada empleado maneja constituye un derecho y es quien decide, quin
la tiene, en qu condiciones la tiene y hasta cundo la tiene.
Los equipos que queden ubicados cerca de zonas de atencin al pblico, deben situarlos
de forma que las pantallas no puedan ser visualizadas por personas externas.
No dejar memorias USB, CDs, discos duros extrables, u otro elemento removible con
informacin en lugares visibles y accesibles.
Desconfiar de aquellos correos en los que entidades bancarias, sitios de venta online, le
solicitan contraseas, informacin confidencial, etc.
Proteger la informacin de Java Ingeniera incluso fuera del mbito de la empresa.
Las licencias de software o aplicativos informticos y sus medios, se deben guardar y
relacionar de tal forma que asegure su proteccin y disposicin en un futuro.
Organizar y guardar en forma segura el material sensible.
Cerrar con llave escritorios, cajones y oficinas.
Asegurar el equipo costoso (telfonos, notebook, PDA, etc.).

32

Destruir en forma efectiva los documentos sensibles que se colocan en el canasto de

basura (usar mquinas picadoras de papel, etc.)
Revisar que deja el lugar de trabajo en orden, los equipos apagados y ningn documento
sin guardar, antes de irse definitivamente de la oficina.
Si se utiliza un computador porttil, mantenerlo en un lugar seguro.
1.1.1

Documento de poltica de seguridad de la informacin.

La Empresa Java Ingeniera debe producir un manual de la poltica de seguridad de la
informacin coherente a los requisitos de la organizacin, las leyes y normas relevantes.

1.1.2

Revisin de la poltica de seguridad de la informacin.

Se determina la frecuencia de revisin de la poltica de seguridad de la informacin y su
divulgacin a los empleados de la Empresa, para revisar su idoneidad y adecuacin con el
crecimiento de la organizacin y su objetivo misional, midiendo el grado de despliegue y
adopcin de la poltica a travs de gerencia o autoevaluacin.

2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN.

2.1 Organizacin interna.
Establecer una estructura de gestin con objeto de iniciar y supervisar la implantacin de la
seguridad de la informacin, asignando los roles de seguridad y su coordinacin, procurando
un enfoque multidisciplinario que implique la cooperacin y la colaboracin de la gerencia,
los ingenieros, tecnlogos, tcnicos y usuarios para mantener los riesgos de seguridad de la
informacin por debajo de un porcentaje moderado por la gerencia e identificar a los
empleados que han recibido y aceptado formalmente los roles y responsabilidades de
seguridad de la informacin.

2.1.1

Compromiso de la Direccin con la seguridad de la informacin.

33

La gerencia de Java Ingeniera debe respaldar la poltica adoptada en seguridad de la

informacin, demostrando su apoyo y compromiso, asignando y aprobando
explcitamente las responsabilidades dentro de la Empresa.
2.1.2

Asignacin de responsabilidades relativas a la seguridad de la informacin.

Se deben definir claramente todas las responsabilidades para la seguridad de la
informacin, teniendo en cuenta el manual de procesos y procedimientos de la Empresa o
los contratos de cada empleado, donde se mencionan las actividades a realizar y el tiempo
de ejecucin.

2.1.3

Acuerdos de confidencialidad.
Identificar y revisar en los acuerdos anexos a los contratos, los requisitos de
confidencialidad o no divulgacin que contemplan las necesidades de proteccin de la
informacin en la Empresa Java Ingeniera.

3. GESTIN DE ACTIVOS.
3.1 Responsabilidad sobre los activos.
Todos los activos deben tener asignado un responsable con el fin de mantener y alcanzar una
proteccin adecuada de los activos de la organizacin, estos controles especficos son
delegados por el gerente de Java Ingeniera.
3.1.1

Inventario de activos.
Elaborar y mantener un inventario de activos de informacin indicando el propietario o
responsable de proteger los activos, mostrando detalles relevantes como ubicacin, serial,
modelo, marca, estado, etc., para conocer el estado real de los activos e implementar una
estrategia de mitigacin de riesgos de seguridad de la informacin segn sea el caso.

3.1.2

Uso aceptable de los activos.

Java Ingeniera necesita identificar, establecer e implementar regulaciones para el uso
adecuado y permitido de la informacin y de los activos de la empresa, considerando
sanciones o causales de despido por el indebido uso de los recursos de la organizacin.

34

4. SEGURIDAD FSICA Y DEL ENTORNO.

4.1 reas seguras.
Restringir el acceso no autorizado, evitando daos e intromisiones en las instalaciones de la
empresa, salvaguardando la informacin.
4.1.1

Permetro de seguridad fsica.

Definir un permetro de seguridad resguardado por controles de entrada adecuados, que
garanticen la proteccin de los servicios de procesamiento de informacin contra accesos
no autorizados, daos e interferencias. Esta proteccin debe ser acorde con los riesgos
identificados.

4.1.2

Controles fsicos de entrada.

Examinar la entrada y salida de las personas que ingresan a las instalaciones de Java
Ingeniera, ya sea porque sean clientes o empleados, generando informes de inspecciones
de seguridad fsica de la organizacin, asegurndose que el ingreso de las personas a las
oficinas y/o lugares sea el permitido y/o autorizado.

4.1.3

Proteccin contra las amenazas externas y de origen ambiental.

Aplicar medidas de proteccin fsica contra incendios, inundaciones, terremotos y
amenaza de erupcin del Volcn Galeras. Dentro de estas medidas estn el tener un
extintor de incendios, definir una ruta de evacuacin y un lugar seguro para conservar el
archivo de la empresa lejos de tuberas las cuales podran romperse y malograr el archivo.

4.2 Seguridad de los equipos.

Evitar la prdida, dao o robo de los activos e interrupcin del trabajo desarrollado por la
empresa, para ello es necesario proteger los equipos contra amenazas fsicas y ambientales,
reduciendo el riesgo de accesos no autorizados a la informacin y la adquisicin de plizas
de seguro contra todo dao.
4.2.1

Emplazamiento y proteccin de equipos.

35

Los equipos deben situarse en lugares seguros y protegidos contra incidentes y accidentes
potenciales, lejos de ventanas y la cada de objetos pesados, para reducir el riesgo de
materializacin de las amenazas del entorno y las oportunidades de acceso no autorizado.
4.2.2

Instalaciones de suministro.
Los equipos de la empresa Java Ingeniera deben estar protegidos contra fallos en el
suministro de energa, haciendo uso de UPS, de una instalacin elctrica con polo a tierra
y una antena pararrayos.

4.2.3

Seguridad del cableado.

Proteger el cableado elctrico y el de telecomunicaciones contra posibles interceptaciones
o daos, se procura que no haya cables sueltos o mal ubicados o a la exposicin de
agentes que lo puedan averiar. Todo el cableado de la empresa debe estar en canaletas y
fuera del alcance de los clientes y de los mismos empleados.

4.2.4

Mantenimiento de los equipos.

La continuidad de la prestacin de servicios que ofrece Java Ingeniera, depende del
mantenimiento adecuado y peridico que brinde a los equipos para garantizar su
disponibilidad e integridad.

4.2.5

Seguridad de los equipos fuera de las instalaciones.

Como Java Ingeniera ejecuta obras de instalaciones elctricas y de mantenimiento, es
relevante que la empresa asegure los equipos que se hallan fuera de sus instalaciones
considerando los diversos riesgos a los que estn expuestos.

5. GESTIN DE COMUNICACIONES Y OPERACIONES.

5.1 Proteccin contra el cdigo malicioso y descargable.
Proteger la integridad del software manejado en la empresa y de la informacin, para tomar
precauciones y poder prevenir y detectar la introduccin de cdigo malicioso. Es
indispensable que Java Ingeniera adquiera sistemas operativos licenciados y que los

36

administradores de la red ejecuten controles y medidas para detectar y evitar la intromisin

de virus.
5.1.1

Controles contra el cdigo malicioso.

Aunque la empresa est usando el antivirus Avira Free Antivirus, se recomienda el uso de
software licenciado, puesto que los antivirus gratuitos no ofrecen la misma seguridad que
un antivirus con el respaldo de una organizacin dedicada a la proteccin de datos.
Adems se debe concienciar a los empleados y clientes sobre los controles de prevencin
contra el malware.

5.2 Copias de seguridad.

Establecer procedimientos rutinarios para realizar copias de seguridad y recuperacin para
satisfacer requisitos de los clientes y procesos internos, a partir de la evaluacin de riesgos y
la identificacin de los activos de informacin ms importantes y generar as una estrategia
de backup y recuperacin para la empresa Java Ingeniera.
5.2.1

Copias de seguridad de la informacin.

De acuerdo a las necesidades de la empresa se establece el tipo de almacenamiento,
soporte a utilizar, la aplicacin de backup, la frecuencia de copia y la prueba de soportes.

5.3 Gestin de la seguridad de las redes.

La gestin de la seguridad de las redes para asegurar la proteccin de la informacin en la red
utilizada por Java Ingeniera, atencin en los flujos de datos, las implicaciones legales, el
monitoreo y la proteccin de su infraestructura.

5.3.1

Controles de red.
Implantar estndares, directrices y procedimientos de seguridad para redes y herramientas
de red como una DMZ (Zona Desmilitarizada) para mantener y controlar adecuadamente
las redes de amenazas y proteger los sistemas y aplicaciones que stas utilizan.

37

5.3.2

Seguridad de los servicios de red.

El proveedor de Internet de Java Ingeniera debe identificar e incluir las caractersticas de
seguridad, los niveles de servicio y los requisitos de gestin de los servicios de red.

6. ADQUISICIN,

DESARROLLO

MANTENIMIENTO

DE

SISTEMAS

DE

INFORMACIN.
6.1.1 Requisitos de seguridad de los sistemas de informacin
Requisitos de seguridad de los sistemas de informacin: Este control se encarga de la
vigilancia de los sistemas operativos, infraestructuras, aplicaciones de negocio,
aplicaciones estndar o de uso generalizado, servicios y aplicaciones desarrolladas por los
usuarios
La empresa JAVA INGENIERIA debe planificar y aplicar a los desarrollos de sistemas de
informacin, una metodologa de desarrollo de software que documente y organice todas
las etapas de produccin.
Si adems se tiene en cuenta que el diseo e implantacin de los sistemas de informacin
que sustentan los procesos de negocio pueden ser cruciales para la seguridad y que la
empresa JAVA INGENIERIA se encuentra actualmente en desarrollo de sus propios
sistemas de informacin, la compaa debera identificar los requisitos de seguridad
previamente al desarrollo o la implantacin de los nuevos sistemas de informacin.
Si se tiene en consideracin que los equipos de cmputo se emplean tanto para el
desarrollo como para el uso en procesos administrativos la informacin est expuesta
tanto a conexiones del exterior como es el caso de Internet como a la Intranet de la
empresa por lo cual entre los controles a emplear de este dominio se tiene:

Anlisis y especificacin de los requisitos de seguridad.

Seguridad de las comunicaciones en servicios accesibles por redes pblicas.

Proteccin de las transacciones por redes telemticas

De igual manera se requiere controlar la Seguridad en los procesos de desarrollo y
soporte, mediante los controles, los cuales segn la norma deben cumplir que Todos
los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de

38

un proyecto y ser justificados, aceptados y documentados como parte del proceso

completo para un sistema de informacin por lo que es necesario que JAVA
INGENIERIA defina:

Poltica de desarrollo seguro de software.

Procedimientos de control de cambios en los sistemas.

Restricciones a los cambios en los paquetes de software.

Seguridad en entornos de desarrollo.

Pruebas de funcionalidad durante el desarrollo de los sistemas.

Pruebas de aceptacin.
Estas condiciones deben documentarse y emplearse mediante la constitucin de manuales
de funciones y polticas adecuadas. Se recomienda emplear alguna de estas herramientas
para verificar el cumplimiento del estndar en el desarrollo de soluciones informticas:
Applipedia: Base de datos proporcionada en abierto por Palo Alto Network Research y su
equipo de investigacin para que aprender ms sobre el nivel de riesgo de las
aplicaciones que utilizan la red.
FFIEC: Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls,
sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una
organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho
proceso.
Mtrica 3: La metodologa MTRICA Versin 3 ofrece a las organizaciones un
instrumento til para la sistematizacin de las actividades que dan soporte al ciclo de vida
del software. Est promovida por el Gobierno espaol.
OWASP: La gua de desarrollo de OWASP (Open Web Application Security Project)
ayuda a crear aplicaciones web seguras. Disponible tambin en espaol.
Una vez finalizado el desarrollo de los sistemas de informacin se requiere aplicar el
control encargado de los Datos de prueba, el cual se centra principalmente en la
Proteccin de los datos utilizados en pruebas.

39

BIBLIOGRAFA
INCIBE.

(s.f.).

https://www.incibe.es/.

Obtenido

de

https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/plan_director
_de_seguridad/plan_director_de_seguridad__hoja_para_el_analisis_de_riesgos.
xls
Ministerio de Hacienda y Administraciones Pblicas. (2012). MAGERIT versin 3.0.
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
(M. d. Pblicas, Ed.) Madrid.
Aglone3. (30 de Junio de 2015). ISO 27002. PORTAL DE SOLUCIONES TCNICAS Y
ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002. Recuperado de
https://iso27002.wiki.zoho.com/ISO-27002.html
ISO/IEC

27002:2005.

(s.f).

Recuperado

de

http://www.iso27000.es/download/ControlesISO27002-2005.pdf
(2016). Recuperado el 11 de Octubre de 2016, de
http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_I.pdf
(2016). Recuperado el 11 de Octubre de 2016, de (2016). De
http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf
ISO27000.es - El portal de ISO 27001 en espaol. Gestin de Seguridad de la
Informacin. (2016). Iso27000.es. Recuperado el 11 de Octubre de 2016, de
http://www.iso27000.es/iso27002_5.html
(2016). Recuperado el 11 de Octubre de 2016, de
http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSe
guridad.pdf
(2016). Recuperado el 11 de Octubre de 2016, de
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seg
uridad/archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf

40

Anexo 1: Matriz de riesgos completa

41

42

43

44

45