Sie sind auf Seite 1von 12

1

>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

Propuesta de Implementación de SGSI a la


organización política CREO.
Camilo Andrés Gutiérrez, Andrés Darío Olarte, Leidy Johanna Velandia.
Resumen—En este documento se describe la importancia de A Very important example of this vulnerability is the political
la implementación del sistema de gestión de seguridad de la enterprise CREO which database and web page are
información SGSI en una empresa privada del sector vulnerable and fragile, Therefore, this Academic research
político, para ello se parte de un análisis gap y auditoría de presents a proposal for implementing a System Information
los controles de la organización con el fin de dar a conocer Security Management SGSI, which not only prevents but
los peligros que corren la misma al no tener un SGSI, y de corrects and monitors future security risks for CREO, as
esta forma identificar esos puntos de falla que necesitan la well as establishing action plans, corrective actions and
aplicación de la norma y la propuesta de un sistema de preventive measures to maintain the management system.
gestión que ayude a proteger y generar valor agregado a la
información y los datos de la empresa. Bajo la definición y Palabras claves—Auditoría, Amenazas, Ciberseguridad,
conceptos claros se hará una definición y planteamiento del Controles, Informática, Información sensible, Impactos,
problema de la organización, enfocado en que se maneja y Implementación, Mitigación, Protección, Riesgos,
transmite mucha información y el crecimiento de la Tecnología, Vulnerabilidad.
tecnología, servidores, medios extraíbles, discos, y otros
componentes, están siendo usados con mucha frecuencia, Index Terms—Audit, Threats, Cybersecurity, Controls,
por lo cual la empresa empieza a ser vulnerable ante la Information Technology, Sensitive Information, Impacts,
amenaza de robo o pérdida de información para otros fines Implementation, Mitigation, Protection, Risks, Technology,
al punto que la organización se ve obligada a tener controles Vulnerability.
idóneos como barrera de protección de la información. Muy
importante hay que destacar que en la empresa política I. INTRODUCCIÓN
CREO hay mucha información valiosa como bases de datos
y páginas web que son frágiles y vulnerables. Por lo anterior
la idea del presente trabajo es presentar una propuesta para
Hoy en día los sistemas de información se han convertido
hacer la implementación del Sistema de Gestión de en pilares fundamentales de la empresa, ya que ayudan en la
Seguridad de la Información SGSI, que no sólo prevenga, toma de decisiones y forman parte del Management de esta
sino que corrija y monitoree futuros riesgos a la seguridad [1]. Los sistemas de información deben ir de acuerdo con la
informática del movimiento político CREO, así mismo que administración de la empresa, procurando mejorarla
se implementen los planes de acción, acciones correctivas y haciéndola cada vez más eficaz y eficiente, ya que la gestión
preventivas para mantener el sistema de gestión. de la empresa sobre sistemas mal diseñados puede generar un
serio problema y desencadenar un efecto dominó sobre la
misma que conlleve a poner en peligro su funcionamiento.
Debido a la importancia de los Sistemas de Información
Abstract- This Academic piece of work shows the dentro de la empresa, existe la propuesta de una
importance of implementing a security management system implementación de un SGSI, la tarea consiste en la realización
for the ISMS information on a private company in the de un examen crítico mediante una auditoría informática con
political sector, having this into consideration a gap analysis el fin de evaluar la eficiencia y eficacia de una empresa. [2]
and an audit of the controls in the organization are the
departing points in order to highlight the risks faced by the Este documento describe de una manera comprensible la
company for not having an ISMS, and therefore identifying propuesta de una posible implementación de un sistema de
possible weaknesses which will need the application of the gestión de la seguridad de la información donde se
norm and the development of a management system for establecerán algunas políticas básicas que se deberían aplicar
protecting and generating added value to the information en cualquier empresa y poder mitigar cualquier falencia que
and data of the company. identificada mediante una auditoría con mejora continua.
Based on clear concepts and definitions, an approach to the Debemos hacer algo para evitar pérdida, manipulación o
problem will be tailored focused on the fact that nowadays extracción de los datos de las empresas ya sea interna o
the handling and transmission of great amounts of externamente; lo que vamos a desarrollar en el siguiente
information are possible due to the growth of technology, trabajo.
servers, removable media, disks, and other components
which are being used very frequently, causing companies to
be vulnerable to threats such as theft or loss of data.
2
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

II. IDENTIFICACIÓN DE LA SITUACIÓN percepción de esta integridad en base de datos cuando vemos
PROBLEMA que entre dos instancias o entre dos actualizaciones de un
La organización política CREO en la actualidad no posee registro de datos, no hay ninguna alteración, lo que significa
ningún tipo de controles en los sistemas informáticos como se que los datos están intactos y sin cambios.” [3]
va a describir a continuación: El Jefe de Seguridad de la Información es responsable directo
sobre el mantenimiento de esta política, por brindar consejo y
A. Diagnóstico guía para su implementación, e investigar toda violación
Dentro de la organización política encontramos que en los 2 reportada por el personal [4]
servidores que se tiene la información, no se encuentra 5) Jefe de CREO STEREO
dividida la misma, lo que hace que sea fácil su extracción, ya En los equipos están la música y el funcionamiento de la
sea por medios USB, CD o internet. Además de que los emisora virtual, además de las bases de datos de anunciantes,
empleados no cuentan con ciertas reglas y protocolos, ya sea proveedores y programas grabados a los cuales cualquiera
por omisión de ellos o por falta de capacitación. tiene acceso, lo que lleva a que el jefe de CREO STEREO no
tenga definidos roles para manejo correcto de ellos, tampoco
B. Identificación de los actores relevantes se tiene una bitácora de uso, no hay seguridad física en el
La organización política CREO posee 7 actores que lugar del servidor.
interactúan con los equipos informáticos, ellos son: 6) Jefe CREO UIRIS
El jefe de esta área tiene en sus equipos toda la información de
1) Servidores las bases de datos de la ayuda en los procesos jurídicos que se
2) PC´S dan a personas de escasos recursos y los abogados, los cuales
3) Secretaria están en peligro, ya que todos pueden acceder a ellos lo que no
4) Jefe de sistemas deberían hacer.
5) Jefe de CREO STEREO
6) Jefe CREO UIRIS 7) Jefe CREO SALUDABLES
7) Jefe CREO SALUDABLES
El jefe del área es el encargado de guardar en su equipo los
C. Causas posibles de la situación problema desde cada cronogramas, doctores y proveedores, a los cuales cualquiera
actor tiene acceso sin ninguna restricción ni seguridad de la
información.
Los actores del sistema informático de la organización política
CREO tienen los siguientes problemas: D. Identificación de indicadores
1) Servidores Para poder tener una correcta medición de nuestro proyecto
Los servidores y la información alojada en ellos no están colocaremos los siguientes indicadores:
dividida y tampoco se han dado los permisos necesarios y 1) Indicador 1: Nivel de implementación del SGSI –
adecuados para cada rol o puesto de trabajo para el manejo y ISO 27001
acceso, además de no haber unos protocolos para su manejo. En este indicador vamos a proponer basarse en el estándar
2) PC´S 27001 para la propuesta de implementación, ya que es el
Los PC’S no poseen ningún antivirus bueno ni se tiene estándar más usado para realizar un SGSI. La norma ISO
previsto una bitácora de manejo ni protocolos de control, 27001 proporciona diferentes recomendaciones de las mejores
asignación de roles ni protocolos ante un ataque informático prácticas en la gestión de la seguridad de la información a
3) Secretaria todos los interesados y responsables para iniciar, implementar
La secretaria no tiene claro el papel que tiene dentro del o mantener sistemas de gestión de seguridad de la
sistema de información al no contar con un protocolo claro información. La seguridad de la información se define en el
sobre el uso de los servidores y los PC’S ni qué acciones estándar como “la preservación de la confidencialidad,
realizar en caso de emergencia, tampoco aplica la mínima integridad y disponibilidad. [5]
seguridad de las distintas bases de datos en su PC. 2) Indicador 2: Compromiso de la alta dirección
4) Jefe de sistemas Este ítem es fundamental ya que sin liderazgo de la directiva y
El jefe de sistemas no posee una guía a la hora de prestar los sin ayuda no podremos proponer crear, implementar y
equipos, y no hay un control de los medios extraíbles que capacitar en el desarrollo del SGSI tomando las mejores
entran a la sala donde se encuentran los equipos, además la decisiones para la organización.
seguridad física y la falta de brindar la seguridad del software 3) Indicador 3: Gestión Incidentes de seguridad
adicionado a no tener claro la integridad y autenticidad de la Aquí se va a proponer llevar una bitácora de todos los
información alojada en las 3 bases de datos de cada incidentes informáticos ocurrido dentro de la organización.
dependencia de CREO. 4) Indicador 4: Gestión de riesgos
La importancia de esto está basada en la siguiente premisa En este punto se va a proponer crear protocolos para que los
“Cuando se habla de integridad en base de datos se está incidentes informáticos sus niveles sean mínimos.
refiriendo a la completitud, la exactitud y la coherencia del
conjunto de datos de una base de datos. Podemos tener una
3
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

5) Indicador 5: Capacitación, entrenamiento y toma de


conciencia
En este punto se va a proponer programar y medir las
capacitaciones para el uso correcto del SGSI periódicamente. No hay
Manipulación
Los detalles de la metodología adoptada para la evaluación del políticas de
de datos
riesgo y su tratamiento se encuentran descritos en la política seguridad
Cualquiera
del SGSI. [6] Extracción de
puede
6) Indicador 6: Control de acceso datos vía mail
manipular los
En este indicador se va a proponer evaluar periódicamente si o USB
equipos
No hay buena
cada empleado tiene el rol y acceso correcto al sistema de Perdida o fuga
regulación ni
información implementado dentro de la organización. de datos Daño eléctrico
una buena
Como dice Turmero “El control de acceso implica quién tiene confidenciales
UPShay
No
acceso a sistemas informáticos específicos y recursos en un
momento dado. El concepto de control de acceso consta de Daño por extintores en
tres pasos. Estos pasos son la identificación, autenticación y incendio las áreas de los
autorización.” [7] servidores
No existen
7) Indicador 7: Controles criptográficos Ataques vía
firewall ni un
Se van a proponer los diferentes métodos criptográficos y internet
buen antivirus
controles para proteger la información enviada y recibida.
8) Indicador 8: Protección contra software malicioso
Se propondrá evaluar los antivirus periódicamente, además de
evaluar los periodos para escanear los equipos, con el fin de Flujograma explicativo causal
minimizar los riesgos.
9) Indicador 9: Análisis de vulnerabilidades
En este ítem se va a proponer medir las posibles amenazas que
tienen los sistemas informáticos con el fin de hacer los
correctivos necesarios.
E. Cadenas causales - Mapa de causas
1) Relación de hechos

Manipulación de datos Crear políticas de seguridad


Extracción de datos vía mail Controlar la manipulación
o USB de la información.
Daño eléctrico Disponer de UPS
Daño por incendio Crear políticas y planes para
prevenir incendios.
Ataques vía internet Comprar buenos firewall y
antivirus.
III. PLANTEAMIENTO DEL PROBLEMA
2) Árbol de causas

Las organizaciones de hoy necesitan contar con mecanismos


robustos y entendibles que permitan proteger y darles claridad
a los tres pilares de la información; confidencialidad,
disponibilidad, integridad, por lo tanto, el partido político
CREO requiere tener un estado de madurez que permita
identificar puntos débiles y oportunidades de mejora para
implementar un sistema de gestión de seguridad de la
información integral que genere valor y que proteja los
intereses de los dueños del partido. [8]

Es un aspecto diferenciador las acciones preventivas y de


mantenimiento enfocadas y que pueda definir e implementar
los controles necesarios para que se cumplan con los
mecanismos que protejan la información, ya que la
organización se encuentra muy expuesta en razón a que con el
4
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

avance de la tecnología, el crecimiento propio de la empresa, La seguridad de la información, según ISO 27001, consiste en
el aumento en el número tecnológico, es decir los servidores, y la preservación de su confidencialidad, integridad y
la era de internet, los sistemas de información pueden estar disponibilidad, así como de los sistemas implicados en su
muy vulnerables, y esto puede traer consecuencias en la tratamiento, dentro de una organización. [15] Cosa que la
medida que la información que manejan es importante y organización CREO carece de ello tal como se demuestran en
confidencial, y se corre el riesgo que pueda ser sustraída o se la matriz de riesgos
pueda generar un fraude que pueda afectar la imagen y
reputación de la compañía y con solo este hecho llegar a La propuesta de la implementación del SGSI mediante
desaparecer, más aun teniendo en cuenta que la empresa debe controles permite evitar o detectar en tiempo real fugas o
proteger sus intereses los cuales son los intereses de todas las pérdidas de información para que la organización esté
personas que hacen parte del partido político. [9] preparada ante incidentes o eventos de indisponibilidad o falla
de la información, para mitigar los impactos o afectación de la
Por lo tanto, el problema radica en que al no contar con imagen, reputación, temas legales o contractuales.
medidas de seguridad perimetral como firewall, Switches,
DLP, buenas prácticas de seguridad, la empresa estará muy
desprotegida y será presa fácil de los ciberdelincuentes los V. ANÁLISIS DE LA PROSPECTIVA
cuales cada vez más se especializan para cometer delitos [10].
Por lo tanto, es una necesidad para la empresa la cual le Dentro de los 7 actores que intervienen en la organización
ayudará a cerrar las brechas de fugas de información, si se política Creo, se propondrá la solución para cada actor.
diseñan y aplican unas políticas claras e integrales. 1) Servidores
Adicionalmente estas medidas de seguridad permitirán poder Para los diferentes servidores se propone dividir en cada una
proteger la información y evitar fugas o materialización de de las áreas de la organización y conceder a los empleados los
riesgos que impactan la integridad, disponibilidad y permisos necesarios únicamente a la información vital para el
confiabilidad de la información [11], ejecutando acciones desarrollo de su labor.
preventivas y correctivas. ¿Qué acciones y procedimientos 2) PC´S
tomar y actividades ejecutar para evitar la fuga y pérdida de Se recomienda tener un buen antivirus y actualizado. También
información confidencial, así como materialización de un se recomienda tener una bitácora donde se lleve registro de
evento de seguridad de la información, en el partido político que empleado uso el equipo y el tiempo de uso.
CREO? [12] Al igual que los servidores se deben crear roles a los
empleados de acuerdo con su cargo.
IV. JUSTIFICACIÓN Se debe cifrar la información vital con un buen método
criptográfico junto con certificados y firmas digitales.
Los sistemas de gestión permiten que las organizaciones de Los PC’S no poseen ningún antivirus aceptable ni se tiene
forma estructurada y transversal tengan un control y alcance previsto una bitácora ni protocolos de manejo, asignación de
de dominio e identificación de los diferentes puntos y roles ni protocolos ante un ataque informático.
extremos de sus procesos y servicios [13], ahora en las 3) Secretaria
empresas son muchas más las personas que manipulan y Se propone realizar capacitación de cifrado y manejo de
tienen acceso a la información, tanto internas como externas, y seguridad de la información, además de conocer y aplicar los
se utilizan diversidad de medios tecnológicos para la protocolos.
transferencia, procesamiento y envío de la información, esto No tiene claro el papel que tiene dentro del sistema de
hace que las empresas sean muy vulnerables a que se utilice información al no contar con un protocolo definido sobre el
dicha información en estas etapas para otros usos. uso de los servidores y los PC’S ni qué acciones realizar en
caso de emergencia, tampoco posee la mínima seguridad de
La propuesta de una implementación de sistema de gestión de las distintas bases de datos en su PC.
seguridad de la información permite contar con una barrera de 4) Jefe de sistemas
protección y una identificación clara de sus activos, Se propone llevar una bitácora de los equipos prestados a los
inventarios, flujogramas, puntos de falla, y otros aspectos que empleados o visitantes.
no será posible tenerlos si no se pudiera contar con un SGSI, Asignar los roles adecuados a cada empleado.
por lo tanto el mismo se justifica hacer una propuesta donde la Controlar el acceso a los equipos físicos.
organización tome la decisión y conciencia de la sensibilidad Asegurar la autenticidad e integridad de la información
de sus datos y el acceso por parte de muchos actores a la alojada en las diferentes bases de datos.
información, merece unas barreras de protección eficientes 5) Jefe de CREO STEREO
que generen alarmas para poder actuar a tiempo en caso de ser Se propone llevar una bitácora del uso de los equipos además
requerido y se genere un proceso de mejora continua, de administrar los roles de acceso a los mismos.
determinado según los autores, como la transformación que 6) Jefe CREO UIRIS
permite mediante el ciclo PHVA que se realice mantenimiento Se propone llevar una bitácora del uso de los equipos además
y cambios relevantes asociados. [14] de administrar los roles de acceso a los mismos.
5
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

7) Jefe CREO SALUDABLES incidentes de seguridad de la información en el momento que


Se propone llevar una bitácora del uso de los equipos además sea necesario.
de administrar los roles de acceso a los mismos.
F. B) Restringir los accesos a los equipos de cómputo
de acuerdo con los perfiles de los cargos y las necesidades de
VI. SITUACIONES DESEADAS FUTURAS
las tareas y del momento
A lo largo de la propuesta de la implementación del sistema de La restricción de los equipos va a permitir tener control de
gestión de seguridad de la información SGSI, en el partido acceso de los funcionarios de la organización, desde la
política CREO. Aparte de implementar los controles y equipos oportunidad al realizar la restricción se van a crear barreras
propuestos deberá realizar capacitaciones periódicas al para evitar el ingreso de personas con perfiles que no
personal para ellos adopten las buenas prácticas del sistema de corresponden y no deben ingresar a la información, por lo que
gestión y estén alerta a cualquier tipo de vulnerabilidad que se se fue oportuno ya que se va a bloquear el acceso en el
presente. momento necesario. Con respecto al impacto se va a disminuir
A) Crear protocolos definidos para atender las emergencias e porque al no tener acceso a perfiles diferentes se mitiga el
incidentes ante los ataques informáticos, y ejecutar un impacto de la pérdida o potencial fuga de información en los
entrenamiento y sensibilización de las personas involucradas sistemas y servidores. Desde el punto de vista de
en el tema. gobernabilidad se van a restringir los accesos se va a
B) Restringir los accesos a los equipos de cómputo de acuerdo establecer una política de ingreso que va a ser aprobada y
con los perfiles de los cargos y las necesidades de sus formalizada por la alta dirección la cual desde gobierno va a
funciones. administrar y se va a dar el aval para estas acciones que van a
C) Asegurar que la información que se califique como activos realizar.
importantes debe contar con los parámetros de cifrado. G. C) Dividir y asegurar la información que permanece,
D) Adquirir equipos que cuenten con las configuraciones de ingresa y transita en los activos de información, con buenos y
bloqueo que aseguren la protección a la infraestructura y de la adecuados programas de antivirus y de criptografía.
información que se almacena en el partido político CREO.
La división y asegurabilidad de la información con los
Todas estas soluciones pueden ser implementadas por el
respectivos programa de antivirus en los equipos y medidas de
partido político CREÓ con el fin de proteger la información y
criptografía, van a permitir ser oportunos para cuando se
cualquier tipo de sistema.
detecten algún virus o ataque cibernético, el antivirus lo
identificara y contrarrestara a tiempo con oportunidad, para el
caso de la criptografía se enviaron todos los correos y
mensajes entre la organización y fuera de ella con una
VII. ANÁLISIS DE VIABILIDAD
herramienta de encriptación para proteger toda la información
circulante, más aún si es confidencial. con respecto al impacto
Para cada una de las soluciones del apunte anterior se realizó
con estas medidas de protección se van a mitigar los impactos
un análisis de viabilidad de cada situación, desde la visión de
económicos y legales por virus, troyanos, phishing y otros
la oportunidad, el impacto y la gobernabilidad.
mecanismos como la ingeniería social que usan los
ciberdelincuentes, de igual manera con la criptografía se
A) Crear protocolos definidos de comunicación para atender
mitigo el impacto de reputación e imagen que se puede dar al
las emergencias e incidentes ante los ataques informáticos, y
perderse o fugarse información confidencial para la empresa.
ejecutar un entrenamiento y sensibilización de las personas
Con respecto a la gobernabilidad estas herramientas de
involucradas en el tema.
antivirus y criptografía permitirán que desde la alta gerencia y
gobierno corporativo vayan a tener control transversal a la
Los protocolos de comunicación van a permitir tener un
organización de las máquinas y computadores y de control de
estándar clave para la atención de incidentes o eventos de
los correos que entran y salen en la compañía.
seguridad, ya que se atendió oportunamente las situaciones
ocurridas. Con respecto al impacto este protocolo va a
disminuir y mitigar el impacto de cada evento ya que se va a
VIII. ESCOGENCIA SITUACIÓN DESEADA
atender en el menor tiempo el incidente y se tomarán las
medidas respectivas ayudando a que no se vuelva a presentar o
La situación deseada escogida corresponde a la opción C
se lo hiciese prevenir y atender a tiempo. La gobernabilidad se
planteada en que no hay ninguna división de la información y
va a mejorar ya que el protocolo que se va a incluir la
lo importante es proponer dividirla y asegurarla con buenos
determinación y creación de una estructura de comunicación y
programas de antivirus y de criptografía. Esto es algo válido
crisis que bajo el estándar de gobierno y a nivel transversal
que se abordará mediante la propuesta de solución del
ayuda a la organización para ser eficiente en la atención de
problema con el planteamiento realizado y la solución a esta
6
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

situación deseada futura se realizará con la propuesta de 1) Entrevista


implementación de seguridad de la información. Se va a hacer una entrevista donde se va a recolectar las
opiniones de los empleados para saber la opinión del estado de
la seguridad de la información en la organización. Este
IX. OBJETIVOS proceso durará 8 días.
2) Auditoría
Se va a realizar una auditoría informática con el fin de tener
A. General información real del estado del sistema informático. Este
Realizar una propuesta de implementación de un SGSI proceso durará 20 días
asegurando que los datos e información de la organización B. Análisis de información
política CREO no sean extraídos, modificados o eliminados.
Se realizará un informe donde se analice los resultados de la
B. Específicos entrevista y la auditoría y se recomiendan ciertas acciones.
● Realizar un levantamiento de información sobre el Este proceso durará 1 mes
estado actual de la organización política CREO C. Aplicación del SGSI
● Elaborar el plan de auditoría (Gap análisis) de
acuerdo con la información recolectada de la Se va a implementar el SGSI basado en los resultados y en el
organización política CREO. estándar ISO 27002 su tiempo de implementación es de 3
● Realizar la Auditoría en Seguridad de información al meses
interior de la de la organización política CREO D. Capacitación SGSI
● Realizar una entrevista a los jefes de los equipos de Se capacitará a todo el personal sobre el SGSI implementado
comunicaciones y de sistemas, utilizando como su duración es de 1 mes
herramienta una encuesta con los diferentes temas a
evaluar, para tener información detallada de lo que
ocurre en la sede política. VIII. CRONOGRAMA DE TIEMPOS Y ACTIVIDADES
● Realizar las respectivas recomendaciones de acuerdo
con los resultados obtenidos de la auditoría de la
organización política CREO. El cronograma general de tiempos y actividades del proyecto
● Realizar la propuesta de implementación del SGSI se describe a continuación:
para la organización política CREO.
● Identificar los grupos de interés en especial en el Actividad Mes Mes Mes Mes Mes Mes
campo financiero o grupo interesado en la 1 2 3 4 5 6
implementación de un SGSI.
Recolección de
VI. ALCANCE
información

El alcance del proyecto tendrá como norte, el proponer a las Análisis de


partes interesadas de la organización política CREÓ, un información
esquema referente a la seguridad de la información de la sede
ubicada en la ciudad de Ibagué. El estudio tiene como objetivo Aplicación de
llegar a la brecha y la generación de documentos que permita instrumento de
el levantamiento de inventario de activos de Información diagnóstico
como pasos preliminares a la matriz de riesgos asociada a los
activos de información y las acciones pertinentes para un Análisis de
adecuado SGSI. instrumento

Resultados de
VII. PLAN POR FASES EN EL DESARROLLO Diagnóstico
La propuesta de la implementación del SGSI se va a dividir en
Propuesta de
4 fases con una duración de 6 meses:
implementación
A. Recolección de información SGSI
En esta fase se recogerá toda la información que se precisa
para la implementación del SGSI, esta fase tiene una duración
de 1 mes en total. La cual se subdivide en 2:
7
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

IX. METODOLOGÍA Act (actuar): en esta fase se realizan cambios cuando sea
necesario para llevar de vuelta el SGSI a máximo rendimiento.
En este proyecto se va a realizar una investigación y análisis
mediante la recolección de información, con una metodología H. ISO 27001
basada en el ciclo PHVA [16], para la recolección de la La norma ISO 27001 nació con el fin de formalizar una norma
información, teniendo en cuenta los siguientes pasos para el y un modelo para establecer en SGSI ya que con la llegada de
método a aplicar: las redes surgieron inconvenientes tecnológicos en la parte de
1. Diagnosticar y recolectar información necesaria con seguridad y esto ayudó a solucionar todos los inconvenientes
instrumento de medición tecnológicos de la red.
2. Verificar y analizar la información recogida mediante la Fue basado en la norma BS 7799-2:2002 quien la sustituyó
metodología ISO 27001 análisis GAP. luego por la norma BS 7799-2 hasta el 15 de octubre de 2005
Este sistema de gestión de seguridad de la información debe donde nació la familia de normas ISO 2700
ser planificado, supervisado, revisado y mejorado. Significa Sus funciones son:
que el sistema de gestión tiene sus responsabilidades 1. Diseñar una herramienta para la implementación del sistema
específicas, que se deben establecer, medir y revisar objetivos, de gestión de seguridad de la información teniendo en cuenta
que se deben realizar auditorías internas, etc. Todos esos la política, la estructura organizativa, los procedimientos y los
elementos están establecidos en la ISO 27001, pero no en la recursos.
ISO 27002. [17] 2. A la dirección gestionar las políticas y los objetivos de
3. Revisar y evaluar los resultados para la aplicación en la seguridad en términos de integridad, confidencialidad y
organización con respecto a la seguridad de la información. disponibilidad.
3. Determinar y analizar los riesgos, identificando amenazas,
La metodología es el plan concebido para dar respuesta a las vulnerabilidades e impactos en la actividad empresarial.
preguntas, con el fin de validar el estudio. Por lo tanto, el 4. Prevenir o reducir eficazmente el nivel de riesgo mediante
método aplicado va a ser el de hacer un diagnóstico de brechas la implantación de los controles adecuados, preparando la
claro utilizando un instrumento de medición para organización ante posibles emergencias, garantizando la
posteriormente brindar a la organización los resultados para continuidad del negocio [19]
poder realizar y evaluar con referencia a las brechas
encontradas. Esta metodología utilizada va a permitir dar
cumplimiento a los objetivos específicos hasta llegar al I. NORMA
objetivo principal.
Una norma es una regla donde se garantiza la
interoperabilidad también se puede decir que es una directriz
diseñada con el fin de alcanzar un grado de calidad alto.
X. MARCO TEÓRICO Para nuestra ayuda existen algunos documentos técnicos que
nos pueden ayudar.
Dentro de la implementación de un SGSI al interior del marco
teórico hablamos principalmente de conceptos tales como el J. CONTROLES
mismo SGSI también la norma ISO 27001, el concepto de
norma, estándar, calidad, seguridad de la información,
auditoría, ciberseguridad, vulnerabilidad, diagnóstico, Con los controles se puede obtener un conjunto de
Auditoria, Auditoria Informática, Auditoría Externa, Software, actividades o procesos que deben ser tenidos en cuenta o
Riesgos De Seguridad monitoreados para todos los temas de seguridad de la
información y en algunos casos estos son utilizados por medio
del nivel de aplicabilidad para determinar cómo será el manejo
de la data.
A. SGSI
Es la unión de diferentes políticas donde se busca que la En la organización se debe determinar el responsable y dueño
información tenga la mejor gestión. Se basa bajo la norma de los activos de informaciones los cuales deberá aplicar los
ISO 27001 y en la consigna: controles y los parámetros requeridos para la disponibilidad,
Plan (planificar): es una fase de diseño del SGSI de evaluación confidencialidad e integridad de la información. [25]
de riesgos de seguridad de la información y la selección de
controles adecuados. K. VULNERABILIDADES
Do (hacer): es una fase que envuelve la implantación y
operación de los controles.
Check (controlar): es una fase que tiene como objetivo revisar Las vulnerabilidades en los activos de información es la
y evaluar el desempeño (eficiencia y eficacia) del SGSI. posibilidad de que se materialice una amenaza causando
posibles daños o pérdidas de información.
8
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

Q. SOFTWARE
1. Accidente físico de origen natural fenómeno sísmico Equipamiento o soporte lógicos de un sistema informático,
o eléctrico. que comprende el conjunto de los componentes lógicos
necesarios que hacen posible la realización de tareas
2. Errores de diseños de desarrollo de software. específicas, en contraposición a los componentes físicos que
son llamados hardware. Los componentes lógicos incluyen,
entre muchos otros, las aplicaciones informáticas; tales como
3. Suplantación de origen de identidad. el procesador de texto, que permite al usuario realizar todas las
tareas concernientes a la edición de textos

4. Manipulación o modificación de información.

Las amenazas o vulnerabilidades son las situaciones que


desencadenan un incidente, con la modificación o el estado de R. GESTIÓN DE SEGURIDAD
la seguridad de los activos de información, a la hora de valorar
el grado de vulnerabilidad se debe considerar la información La información que se maneja al interior de la organización
más importante de la organización ya que estas nos podrían política CREO, debe contar con una buena administración,
traer hasta pérdidas económicas [24] aseguramiento, clasificación.

Esta información cumplirá con metodologías y buenas


prácticas siempre y cuando sea implementada con la norma
L. AUDITORÍA
ISO 27001.
Es el examen crítico y sistemático que realiza una persona o
grupo de personas independientes del sistema auditado, que Como objetivo para la organización política CREO, es contar
puede ser una persona, organización, sistema, proceso, con un sistema de gestión que se base en el PDCA de mejora
proyecto o producto. continua común a todos los estándares para la integración de
M. AUDITORÍA INFORMÁTICA la norma ISO [23]
Es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo S. RIESGOS DE SEGURIDAD
empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza El riesgo corresponde a la posibilidad de ocurrencia de un
eficientemente los recursos. evento que puede tener un impacto negativo o positivo para
N. EVIDENCIA una organización, por lo tanto, la gestión de riesgos es muy
pilar muy importante de la implementación del SGSI, ya que
Es un conocimiento que se nos aparece intuitivamente de tal
permite tener un marco de valoración para identificar los
manera que podemos afirmar la validez de su contenido, como
puntos de falla con el fin de elaborar los planes de tratamiento
verdadero, con certeza, sin sombra de duda.
para los riesgos. La actividad de riesgos permite poder atacar
de fondo los problemas que se puedan identificar de cara a la
O. AUDITORÍA INTERNA preservación de los tres pilares de la información, que hace
Es una actividad independiente y objetiva de aseguramiento y parte de un activo muy importante para la organización
consulta concebida para agregar valor y mejorar las política CREO.
operaciones de una organización. Ayuda a una organización a
cumplir sus objetivos aportando un enfoque sistemático y Los riesgos a través del tiempo han representado
disciplinado para evaluar y mejorar la eficacia de los procesos procedimientos y herramientas metodológicas que han
de gestión de riesgos, control y gobierno. apoyado a las organizaciones para que puedan contar con un
ambiente de control y medidas preventivas como correctivas
P. AUDITORÍA EXTERNA para evitar impactos negativos que se pueden presentar en el
Examina y evalúa cualquiera de los sistemas de información día a día de sus operaciones. Por lo tanto, la gestión de riesgos
de una organización y emite una opinión independiente sobre debe ser global y enfocada a los procesos y los activos [20]
los mismos, tiene por objeto averiguar la razonabilidad,
integridad y autenticidad de los estados, expedientes y
T. CIBERSEGURIDAD
documentos y toda aquella información producida por los
sistemas de la organización. debe hacerla una persona o firma
independiente de capacidad profesional reconocidas.
La ciberseguridad es un concepto muy aplicable para este
proyecto, ya que la misma debe estar intrínseca en la
9
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

seguridad de la información, permitiendo que la información Adquisición, desarrollo y mantenimiento sistemas 12%
que se dispone en la web, activos y tecnologías que están Relación con proveedores 9%
expuestas por la organización cuenten con las medidas de Gestión incidentes seguridad de información 10%
control para protegerla, más aún con la era digital en la cual Aspectos de seguridad en continuidad 5%
los ciberdelincuentes mejoran sus técnicas de malware con la Cumplimiento 15%
ayuda de expertos para afectar y robar información o activos Como parte de lo anterior el porcentaje de cumplimiento
de las organizaciones. promedio de los dominios de control de la norma es de 14% lo
que implica que la empresa está en un nivel inexistente de
La ciberseguridad también es un estándar relativamente nuevo controles de seguridad de la información, lo que se traduce en
que ha prestado mucha importancia y atención por parte de las un fuerte trabajo para el cierre de brechas.
empresas por la innovación tecnológica y porque cada vez las
empresas operan más por la web y de manera digital, por ello Dentro de la posible implementación de la organización
es importante considerarla en la implementación del SGSI CREO proponemos las siguientes soluciones de acuerdo con
para el partido político e implementar todos los controles la tabla de identificación de amenazas [ANEXO 1 Y 2] y a la
necesarios para la información con respecto a la tabla de activos informáticos anexos al trabajo:
ciberseguridad [21]
A. REDISTRIBUCION DE LAS REDES Y LOS
EQUIPOS INFORMATICOS
U. DIAGNÓSTICO Se propone la siguiente idea dentro de la propuesta de la
implementación del SGSI de toda la red para asi poder
El diagnóstico es una herramienta fundamental que consiste en implementar ciertas DMZ con el fin de aislar la información
un ejercicio inicial para hacer un análisis GAP de lo que tiene más relevante e importante además de segmentar la red.
la organización frente a la norma ISO 27001, para posterior a Como se muestra en el anexo 3.
ello realizar la implementación y nuevamente volver a realizar
V. CREACION DE PROTOCOLOS DE ACCESO A LA
un análisis GAP pero diferencial que realice una medición y
INFORMACION
comparación de los resultados obtenidos posterior a la
implementación para tener claridad de qué se debe mejorar y Se propone que se creen protocolos de acceso a los diferentes
cuáles los parámetros sobre los cuales se puede llegar a equipos informáticos tales como:
considerar mejores resultados organizacionales.
● Políticas de seguridad de la información con base en
Los diagnósticos son aplicados no solamente a los sistemas de los dominios de la norma.
gestión, también son aplicados a nivel de procesos, estructura, ● Definición e implementación de riesgos de seguridad
capacidad, metodologías, y demás consideraciones en el de la información y su plan de tratamiento.
entorno empresarial. Sin embargo, para el caso aplicable el ● Inventario y clasificación de activos de seguridad de
diagnóstico será una foto inicial y final para ver los cambios y la información y sus responsables.
su resultado el cual debe ser visible a las partes interesadas y ● Definición de roles y responsabilidades de seguridad
alta gerencia de la organización. [22] de la información.
● Definiciones y procedimiento de control y gestión de
accesos.
● Procedimiento de gestión de incidentes de seguridad
XI. SOLUCIÓN de la información y su respectivo soporte.
● Definición y aplicación de mecanismos de cifrado y
protección de la información recibida o enviada.
Dentro de la auditoria que se hizo para la identificación de ● Implementación procedimiento gestión de
posibles fallas en la norma ISO 27001 para poder proponer la vulnerabilidades.
implementación de un SGSI dentro de la organización CREO ● Medidas de protección contra software malicioso.
se hallaron en los 14 dominios de la norma, el porcentaje de ● Definición e implementación de controles de
cumplimiento se describe a continuación para cada uno de seguridad de la información asociados a los dominios
ellos: de la norma.
Políticas seguridad de la información 15% ● Ejecutar capacitación y sensibilización en seguridad
Organización seguridad de la información 12% de la información a todos los funcionarios de la
Seguridad de los recursos humanos 14% empresa.
Gestión de activos 8%
Control de acceso 19%
Criptografía 10% W. CREACIÓN DE PROTOCOLOS DE EMERGENCIA
Seguridad física y ambiental 20% Una vez que se identificó los posibles riesgos naturales como
Seguridad de las operaciones 11% informáticos se van a crear cada protocolo dependiendo de su
Seguridad de las comunicaciones 25% desastre para que se aplique una vez ocurra.
10
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

X. PLAN DE MEJORA CONTINUA DEL SGSI ● Los sistemas de gestión permiten que las
Se propone que se ponga en prueba el SGSI mínimo cada 6 organizaciones puedan crecer y mejorar
meses con el fin de que tenga mejora y no quede obsoleta continuamente, así mismo permiten la división y
prontamente. estructura organizada del trabajo para facilitar el
cumplimiento de los objetivos organizacionales
● La organización política CREO es un punto
Y. DEFINICION Y ASIGNACION DE ROLES Y importante de propuesta de implementación que
RESPONSABILIDADES requiere tener controles robustos para proteger los
Se propone que se defina y nombre un oficial de seguridad de tres pilares de la seguridad de la información. Los
la información que se haga cargo de todas las actividades y Propietarios de la Información son responsables de
funciones de seguridad de la información al interior de la clasificarla de acuerdo con el grado de sensibilidad y
compañía, así mismo que se encargue del manejo de control criticidad de esta, de documentar y mantener
de los accesos, seguridad, controles criptográficos y demás actualizada la clasificación efectuada, y de definir
aspectos dentro de la propuesta de implementación. De igual qué usuarios deberán tener permisos de acceso a la
manera esta persona estará a cargo de los comités de seguridad información de acuerdo con sus funciones y
de la información que se realicen en la organización como competencia
mecanismo de seguimiento y revisión de los temas y aspectos ● La metodología por utilizar en la implementación del
de seguridad de la información. proyecto va a ser una herramienta fundamental para
cumplir con los objetivos tanto generales como
Z. CONCIENTIZACION Y SENSIBILIZACION DEL
específicos.
SGSI
● La identificación de activos y clasificación de la
Se propone que posterior a la implementación del SGSI y los información es importante para poder realizar las
respectivos controles se realice capacitación sobre los implementaciones necesarias para proteger la
controles y la seguridad en general y se realice esta actividad información.
por lo menos cada año con el objetivo de que se genere cultura ● El partido político CREO es consciente de la
en seguridad de la información en los funcionarios y los importancia de cumplir con unos controles y
mismos asuman los roles y responsabilidades que les sean requisitos para proteger la información y generar
asignados. valor agregado a sus grupos de interés.
● Las organizaciones políticas manejan mucha
AA. IMPLEMENTACION CONTINUIDAD DEL información confidencial y CREO es consciente de
NEGOCIO ello

XIII. REFERENCIAS
Se propone que la organización implemente el plan de
continuidad del negocio, ya que es un proceso a través del cual
se identifican los impactos significativos que amenazan la [1] M. C. Alberto, Sistemas de Información y sus
continuidad de las organizaciones para la construcción de la aplicaciones, Gran Bretaña: Mc Graw Hill, 2008.
capacidad de una respuesta efectiva en caso de que se presente [2] M. G. Ernesto, sistemas de información integrada,
una catástrofe y la entidad siga operando sin novedad, con esto Madrid, 2010.
se permite proteger los intereses de las Entidades y en especial [3] powerdata, «powerdata,» [En línea]. Available:
la seguridad de la información. https://blog.powerdata.es/el-valor-de-la-gestion-de-
datos/la-importancia-de-la-seguridad-e-integridad-
en-base-de-datos.
[4] INAC, [En línea]. Available:
BB. GESTION DE INCIDENTES SEGURIDAD https://www.inac.uy/innovaportal/file/4736/1/politi
ca-sgsi.pdf.
Se propone que se implemente el modelo de Gestión de [5] pmg-ssi, «pmg-ssi,» 3 08 2017. [En línea].
Incidentes de seguridad de la información que sirva como Available: https://www.pmg-
lineamiento para tener un enfoque estructurado y bien ssi.com/2017/08/norma-iso-27002-politica-
planificado que permita manejar adecuadamente los incidentes seguridad/.
de seguridad de la información, minimizando los impactos [6] El Blog Ceupe, [En línea]. Available:
negativos asegurando que la disponibilidad se mantenga en el https://www.ceupe.com/blog/ejemplo-politica-
tiempo. seguridad-informacion-y-sgsi.html.
[7] P. Turmero, «Monografias.com,» [En línea].
Available:
XII. CONCLUSIONES https://www.monografias.com/trabajos102/adminis
tracion-del-control-accesos-adecuado-sistemas-
informacion/administracion-del-control-accesos-
11
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

adecuado-sistemas-informacion.shtml. la universidad católica de


Colombia del mismo país en el
año 2011. Posteriormente cursó
sus estudios de especialización
[8] R. Álvaro, La organización y su entorno, en gestión de riesgos financieros
Barcelona: Édison editores, 2011. de la universidad Sergio
[9] G. Ramiro, La era de los sistemas de información, arboleda, más adelante se graduó
Bogotá: Mc Graw Hill, 2013. como magister en calidad y
[10] G. Fernando, Ciberseguridad y sus implicaciones gestión integral de la universidad
en la economía, Bogotá: Editores unidos, 2010. Santo Tomás, posterior a ello
[11] L. A. David, Seguridad de la información y sus realizó un MBA en administración de negocios de la
pilares, Boston: Mc Graw Hill, 2013. universidad EAN en el año 2018. Actualmente se encuentra en
[12] C. L. Alfonso, Sistemas de información y su curso de una especialización en seguridad de la información
evolución, Bogotá: Imusa, 2009. de la universidad politécnico grancolombiano de la ciudad de
[13] R. y. Vargas, Sistemas de gestión integrados Bogotá.
empresariales, New York: Best Editions, 2009.
[14] T. Andres, Procesos de mejora continua en la Desde el año 2009 se desempeña como docente de importantes
organización., Bogotá: Editorial Editores, 2012. universidades en la capital colombiana, tiene una amplia
[15] FASK, [En línea]. Available: experiencia en el sector financiero colombiano en temas de
http://www.iso27000.es/sgsi.html. riesgos, sistemas de gestión, procesos, métodos y
[16] L. Jairo, Sistemas de gestión de calidad, Bogotá: movimientos, calidad. Posee amplia trayectoria en el sector
Limusa, 2014. privado en diferentes organizaciones, de igual forma posee
[17] D. Kosutic. [En línea]. Available: certificaciones como auditor interno ISO 22301 y 27001
https://advisera.com/27001academy/es/knowledge asociado a la gestión de continuidad del negocio y gestión de
base/diferencias-y-similitudes-entre-iso-27001-e- la seguridad de la información.
iso-27002/.
[18] J. Sosa. [En línea]. Available:
http://pegasus.javeriana.edu.co/~CIS1130SD03/Do El segundo autor, Camilo
cumentos_files/Clasificacion_de_la_Informacion.p Andrés Gutiérrez nació en
df. Colombia – Bogotá, el 14 de
[19] Universidad Javeriana trabajo sobre ISO noviembre de 1986. Se graduó de
27001:2005 en: la Fundación Universitaria San
http://pegasus.javeriana.edu.co/~edigital/Docs/ISO Martín, en ingeniería de Sistemas,
27001/ISO27001v0.1.pdf y en este momento estudia en el
[20] http://siga.unal.edu.co/images/informes- Politécnico Gran Colombiano la
presentaciones/ISO_31000_Gestion_riesgo.pdf especialización en Seguridad de la
[21] https://www.esan.edu.pe/pee/areas/tecnologias-de- información. También posee una
informacion/gestion-de-la-ciberseguridad/ certificación en la norma NIVEL
[22] https://www.isotools.org/2013/11/21/un-peligro- INTERMEDIO - Orientar formación presencial de acuerdo
diagnosticado-es-un-peligro-evitado-diagnostico- con procedimientos técnicos y normativa además de cursos de
de-la-seguridad-de-la-informacion/ AUTOCAD 2D Y 3D, entre otros cursos de docencia en el
[23] http://www.iso27000.es/download/doc_sgsi_all.pdf SENA

Su experiencia profesional está enfocada a la docencia


[24] https://www.pmg-ssi.com/2015/04/iso-27001- básicamente en el SENA por más de 7 años como tutor virtual
amenazas-y-vulnerabilidades/ en la tecnología ADSI.
[25] https://es.slideshare.net/VeidaDamara/controles-de-
seguridad

Primer autor, corresponde a Andrés Darío Olarte Rojas,


quien nació en Colombia en la ciudad de Bogotá, en el año de
1981. Inició sus estudios como técnico de sistemas del
Instituto Tecnisistemas. Es administrador de empresas
graduado de la universidad colegio mayor de Cundinamarca
en la ciudad de Bogotá. Graduado en ingeniería industrial de
12
>REMPLACE ESTA LÍNEA CON EL NÚMERO DE IDENTIFICACIÓN DE SU ARTÍCULO (DOBLE CLIC ACÁ) <

El tercer autor, Leidy Johanna


Velandia Cabra nació en
Colombia en la ciudad de Bogotá,
el 10 de agosto de 1992. Se
graduó de la Fundación
Universitaria Los libertadores, en
ingeniería de Sistemas, y en este
momento estudia en el Politécnico
Gran Colombiano la
especialización en Seguridad de la
información. También posee dos
certificaciones en la norma ISO 27001 e ITIL.
Su experiencia laboral está enfocada al sistema de calidad del
área de TI, y seguridad de la plataforma tecnológica,
actualmente trabaja para el sector defensa DIMAR.