Implementación de sistema de gestión de seguridad de la información by Patrick

INSTITUTO PROFESIONAL AIEP SEDE BELLAVISTA

Propuesta de proyecto: Implementación de sistema de gestión de seguridad de la información. NOMBRE ESTUDIANTES: Fabio Cárcamo. Patrick Ciudad. Álvaro Rodríguez. Vicente Vidal. CARRERA: Ingeniería de Ejecución en Informática mención Desarrollo de Sistemas. MÓDULO: Seguridad Informática. DOCENTE DEL MÓDULO: Sr. Juan José Martínez Castillo. SANTIAGO, ENERO 2020

ÍNDICE.

1. INTRODUCCIÓN …………………………………………………………………………… 03 2. OBJETIVOS DEL PLAN DIRECTOR …………………………………………………… 04 3. ANÁLISIS DE RIESGO……………………………………………………………………. 05 4. PROPUESTA DE PROYECTO…………………………………………………………… 11 5. AUDITORIA DE CUMPLIMIENTO ………………………………………………………

6. CONCLUSIÓN ……………………………………………………………………………… 19

1. INTRODUCCIÓN

Ágora web es una empresa fundada en el año 2014 en Chile, teniendo como principal objetivo la creación de sitios web para diversas personas o empresas de acuerdo con sus necesidades, dentro de las que se encuentran PYMES o sitios sociales. Como norma, esta empresa permite la flexibilidad del uso de lenguaje de programación según el cliente, además del almacenamiento de información dentro de una Base de datos de acuerdo con los intereses de él. Actualmente, la empresa cuenta con aproximadamente 500 trabajadores para diversos sitios web y el mantenimiento de estos; sumado a ello, Ágora Web también trabaja en proyectos internos, los cuales busca vender a potenciales clientes como soluciones informáticas a diversos problemas. En base a lo anterior, desde el año 2016, Ágora web se propuso implementar la norma ISO 27.001 para poder certificar la seguridad de la empresa, la cual consiguió recientemente el año pasado entregando a sus clientes una mayor confianza respecto a sus datos, lo cual forma parte fundamental de la política de la empresa.

2. OBJETIVOS DEL PLAN DIRECTOR

●

Mediante la implementación de un Plan Director de Seguridad se pretende conseguir el

alineamiento necesario para mantener el nivel de seguridad óptimo, tanto como el resguardo de datos de los clientes como los códigos propios de la empresa para la creación de sitios webs. ●

Análisis técnico de seguridad. Valoraremos el grado de implantación de ciertos controles

de seguridad de los sistemas de información de la empresa, tales como la disponibilidad de antivirus, cortafuegos, segmentación de red, controles de acceso físico, etc. ●

La accesibilidad inmediata de la información cuando se cuente con la autorización es de

vital importancia, dado que esta por sí sola no cuenta con la validez requerida, de lo contrario, no será capaz de interactuar con los sistemas y procesos actualizados o a su vez la alimentación de nueva información. ●

Se debe establecer de manera clara los requisitos de la seguridad de la información que

la empresa debe cumplir, así se logra maximizar la protección de datos vitales tanto de la empresa como de los clientes, garantizando la continuidad de esta. ●

Se ejecutará un análisis diferencial del estado actual de la seguridad de los activos de la

empresa versus el cumplimiento de la norma ISO 27.001 para que, a partir de las conclusiones del análisis, se logre identificar los recursos necesarios y se puedan establecer planes de acción.

3. ANÁLISIS DE RIESGO

Con el fin de contar con una mayor cantidad de información es que realizaremos un análisis de los riesgos a los que está sometida nuestra empresa, para ello seguiremos los siguientes pasos: ●

Identificación de activos susceptibles de sufrir amenazas.

●

Analizar las principales amenazas que pueden sufrir nuestros activos.

●

Medir las consecuencias de que un activo se vea afectado por una amenaza y estimar

las probabilidades de que eso ocurra. ●

Verificar las medidas de seguridad existentes que mitigan el impacto de las amenazas.

●

Determinar los riesgos residuales a los que la empresa puede estar expuestos.

Identificación de activos: En esta sección se da a demostrar los principales recursos que están involucrados en la empresa y que podrían ser afectados a futuro: Ambiente

Activos

Hardware

● ●

Servidores. Equipos de trabajo.

Software

● ● ●

Sistema operativo. Aplicaciones de desarrollo. Aplicaciones de base de Datos.

Servicios

●

Internet.

Personal

● ● ●

Empleados. Ayudantes. Gerentes.

Identificación de amenazas: Dados los activos presentes se puede obtener que amenazas podrían afectar y de qué manera, si es de aspecto Natural, Humana y/o por el Entorno en que se encuentra la empresa. N°

Amenaza

Origen

Motivo

Natural

Humano

Entorno

Hurto de códigos fuente.

Competencia, saqueo.

Dañar imagen de empresa, Robo de datos, plagio.

Falla en servidores.

Terceros, empleados, Mantenimiento.

Falta de mantenimiento, intento de robo, falla externa en ubicación de los servidores.

X X

Catástrofe natural.

Terremoto.

Catástrofe natural.

Incendio en empresa.

Terceros, Terrorismo, Competencia, Personal del recinto.

Falta de mantención del local, Intencionalidad de terceros.

X X X

Robo de equipos de trabajo.

Empleados, Terceros, Competencia, Personal del recinto.

Falta de guardias y cámaras, Inconformidad, Dañar imagen de la empresa.

X X

Falla en Respaldos.

Equipo de respaldo, Empleados, Conexión.

Falta de seguimiento a los respaldos, Problema de conexión al subir respaldo.

X 7

Filtraci贸n de datos.

Personal de la empresa.

Competencia, ejecuci贸n de posible Virus.

Virus.

Personal de la empresa, Competencia.

Ejecuci贸n de Virus, Instalaci贸n de Virus.

Plan de contingencia contra amenazas Dentro de esta sección nos enfocamos en el cómo se puede mantener a raya estas amenazas y que se aplicará al respecto. N°

Amenaza

Motivo

Qué hacer

Qué acciones tomar

Hurto de códigos fuente.

Dañar imagen de empresa, Robo de datos, plagio.

Encriptación de código, mantener respaldos de los mismos.

Denuncia al acusado, en caso de ser un interno despido y denuncia inmediata.

Falla en servidores.

Falta de mantenimiento, intento de robo, falla externa en ubicación de los servidores.

Mantener respaldos de los mismos, realizar mantenciones seguidas a servidores.

Generar respaldos diarios, mantener servidores de emergencia, generar un plan de mantención de servidores.

Catástrofe natural.

Mantener Búsqueda de nuevo local, respaldos al revisión de respaldos. día, buscar nuevo local (en caso de pérdida).

Incendio en empresa.

Falta de mantención del local, Intencionalidad de terceros.

Hacer mantenciones periódicas y revisiones semanales de las instalaciones.

Robo de equipos de trabajo.

Falta de guardias y cámaras, Inconformidad, Dañar imagen de la empresa.

Denunciar robo Usar respaldo de datos y de a las equipos para no perder el autoridades. tiempo invertido.

Búsqueda de nuevo local de trabajo y restauración con respaldos guardados.

Falla en Respaldos.

Falta de seguimiento a los respaldos, Problema de conexión al subir respaldo.

Informar de descuentos por incumplimiento , mejorar discos y conexión para evitar caídas de respaldo.

Siempre contar con más de un respaldo en caso de cualquier tipo de falla sea humana o no. Capacitar a personal a cargo.

Filtración de datos.

Competencia, ejecución de posible Virus.

Segmentación y resguardo de la salida de información.

Mejorar la implementación y entrega de información.

Virus.

Ejecución de Virus, Instalación de Virus.

Realizar análisis exhaustivos para búsqueda de virus. Mantener licencias de antivirus al día.

Siempre realizar búsquedas de virus y seguir las buenas prácticas entorno a la navegación web. Mantener respaldos limpios ante nuevos ataques (Disco y nube).

4. PROPUESTA DE PROYECTO En base a los diversos puntos afectados, la solución propuesta para este proyecto consiste en implementar un sistema capaz de automatizar la seguridad de los proyectos en la empresa, esto en base a respaldos automatizados, los cuales quedan dentro de un disco protegido y una nube, la cual solo el administrador y personal de la empresa tendrá acceso. Con esto se pretende lograr un cumplimiento con los estándares de seguridad de la ISO 27.001. Este sistema hará que la automatización y la protección de los datos tanto de la empresa como de los clientes sea resguardada de todos los factores que vimos anteriormente, el respaldo de la información será diario tanto a nivel físico (disco protegido) como digital (nube), el costo de estos implementos de seguridad serían pagados por la empresa llegando a al total de $108.510 de los cuales $99.990 seria para la compra de un disco duro de 4 TB de almacenamiento y el restante que sería de $8520 pesos para una suscripción de pago mensual en Dropbox que nos otorgaría un almacenamiento en la nube de 1 TB. La creación de la plataforma será web, tanto por la portabilidad que se le puede dar como la facilidad para poder acceder. estará conectado a una base de datos en MYSQL y estará implementado con el framework Bootstrap para el diseño. En cuanto al perfilamiento, como se estableció anteriormente, tendrá 2 tipos de usuarios: en primer lugar, tendremos al administrador, el cual contará con los privilegios para poder editar la información y establecer mejores tiempos para la generación de los respaldos diarios; también contaremos con el usuario común, que serán los trabajadores de la empresa quienes solo tendrán acceso para poder hacer los respaldos diarios, cada trabajador deberá hacer un respaldo al finalizar la jornada de trabajo para poder tener en resguardo toda la información disponible.

5. AUDITORIA DE CUMPLIMIENTO La empresa implementará el sistema de gestión de seguridad a través de la auditoria de cumplimiento con el fin de evaluar e identificar los niveles de cumplimiento de los temas de seguridad.

Metodología Para realizar la auditoria de cumplimiento, se usará el modelo de madurez de la capacidad (CMM) como la metodología para el análisis del grado de madurez en la implementación del SGSI. EFECTIVIDAD

CMM

10 %

50 %

90 %

SIGNIFICADO

DESCRIPCIÓN

Carencia completa de cualquier proceso reconocible. Inexistente No se ha reconocido siquiera que existe un problema a resolver. Estado inicial donde el éxito de las actividades de los procesos se basa la mayoría de las veces en el Inicial/Ad-hoc esfuerzo personal. Los procesos son inexistentes o localizados en áreas concretas. No existen plantillas definidas a nivel corporativo. Los procesos similares se llevan en forma similar por diferentes personas con la misma tarea. Se normalizan las buenas prácticas en base a la Repetible pero experiencia al método. No hay comunicación o intuitivo entrenamiento formal, las responsabilidades quedan a cargo de cada individuo. Se depende del grado de conocimiento de cada individuo. La organización entera participa en el proceso. Los Proceso definido procesos están implantados, documentados y comunicados mediante entrenamiento.

95 %

Gestionado y Medible

100 %

Optimizado

Se puede seguir con indicadores numéricos y estadísticos la evolución de los procesos. Se dispone de tecnología para automatizar el flujo de trabajo, se tienen herramientas para mejorar la calidad y la eficiencia. Los procesos están bajo constante mejora. En base a criterios cuantitativos se determinan las desviaciones más comunes y se optimizan los procesos.

Evaluación de la madurez El objetivo de esta fase del proyecto es evaluar la madurez de la seguridad en lo que respecta a los diferentes dominios de control y los 114 controles planeados por la ISO 27.001:2013. Esta auditoría se lleva a cabo partiendo de que todos los proyectos del punto anterior se han ejecutado con éxito. De forma resumida los dominios a analizar serán los siguientes: •

Política de seguridad.

•

Organización de la seguridad de la información.

•

Gestión de activos.

•

Seguridad en los recursos humanos.

•

Seguridad física y ambiental.

•

Gestión de comunicaciones y operaciones.

•

Control de acceso.

• •

Adquisición, desarrollo y mantenimiento de sistemas de información. Gestión de incidentes.

•

Gestión de continuidad de negocio.

•

Cumplimiento. Tabla de Control

CONTEXTO DE LA ORGANIZACIÓN

Fase inicial

Fase final

4.1

COMPRENSION DE LA ORGANIZACIÓN Y DE SU CONTEXTO

95%

4.2

COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

95%

4.3

DERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

80%

4.4

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

95 %

LIDERAZGO

5.1

LIDERZGO Y COMPROMISO

90%

5.2

POLITICA

80 %

5.3

ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA

90%

90% 13

ORGANIZACION 6 6.1

PLANIFICACION ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES

6.1.1

CONSIDERACIONES GENERALES

95 %

6.1.2

APRECIACION DE RIESGOS DE SEGURIDADDE LA INFORMACION

95 %

6.1.3

TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACION

95 %

6.2 7

OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANIFICACION PARA SU CONSECUCION SOPORTE

7.1

RECURSOS

95 %

7.2

COMPETENCIA

95 %

7.3

CONCIENCIACION

95 %

7.4

COMUNICACION

95 %

7.5

INFORMACION DOCUMENTADA

95 %

7.5.1

CONSIDERACIONES GENERALES

95 %

7.5.2

CREACION Y ACTUALIZACION

95 %

7.5.3

CONTROL DE LA INFORMACION DOCUMENTADA

95 %

8 8.1

OPERACION PLANIFICACION Y CONTROL\OPERACIONAL

8.2

APRECIACION DE LOS RIESGOS DE SEGURIDAD DE INFORMACION

95 %

8.3

TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE INFORMACION

95 %

60 %

95 %

50%

90%

9 9.1

EVALUACION DEL DESEMPEÃ&#x2018;O SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION AUDITORIA INTERNA

9.2 9.3 10 10.1 10.2

REVISION POR LA DIRECCION MEJORA NO CONFORMIDAD Y ACCIONES CORRECTIVAS MEJORA CONTINUA

Tabla de normas

5 5.1 5.1.1 5.1.2 6 6.2

POLITICAS DE SEGURIDAD

80% 95% CONJUNTO DE POLITICAS PARA LA SEGURIDAD DE LA INFORMACION REVISION DE LAS POLITICAS PARA LA SEGURIDAD DE LA 80% 95% INFORMACION ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION DISPOSITIVOS PARA MOVILIDAD Y TELETRABAJO POLITICA DE USO DE DISPOSITIVOS PARA MOVILIDAD

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

7.1.1 8 8.1

Fase final

DIRECTRICES DE LA DIRECCION EN SEGURIDAD DE L A INFORMACION

6.2.1 7.1

Fase inicial

80%

95%

70%

ANTES DE LA CONTRATACION INVESTIGACION DE ANTECEDENTES GESTION DE ACTIVOS RESPONSABILIDAD SOBRE LOS ACTIVOS

8.1.1

INVENTARIO DE ACTIVOS

70%

8.1.2

PROPIEDAD DE LOS ACTIVOS

70%

8.1.3

USO ACEPTABLE DE LOS ACTIVOS

70%

8.1.4

DEVOLUCION DE LOS ACTIVOS

70%

8.3

MANEJO DE LOS SOPORTES DE ALMACENAMIENTO

8.3.1

GESTION DE SOPORTES EXTRAIBLES

50%

8.3.2

ELIMINACION DE SOPORTES

50%

8.3.3

SOPORTES FISICOS EN TRANSITO

50%

14 14.2 14.2.3 14.2.4 15 15.1 15.1.1

ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE REVISION TECNICA DE LAS APLICACIONES TRAS EFECTUAR CAMBIOS EN EL SISTEMA OPERATIVO RESTRICCIONES A LOS CAMBIOS EN LOS PAQUETES DE SOFTWARE RELACIONES CON SUMINISTRADORES

50%

95%

80%

95%

SEGURIDAD DE LA INFORMACION EN LAS RELACIONES CON SUMINISTRADORES POLITICA DE SEG. DE LA INFORMACION PARA 50% SUMINISTRADORES

50% 15

15.1.2 15.1.3 17

17.1.1 17.1.2 17.1.3 17.1.1 17.2 17.2.1

TRATAMIENTO DEL RIESGO DENTRO DE ACUERDOS DE SUMINISTRADORES CADENA DE SUMINISTRO EN TIC

50%

ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTION DE LA CONTINUIDAD DEL NEGOCIO CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION PLANIFICACION DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION IMPLANTACION DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION VERIFICACION, REVISION Y EVALUACION DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION. PLANIFICACION DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION REDUNDANCIAS

50 %

95 %

50 %

95 %

50 %

95 %

50 %

95 %

DISPONIBILIDAD DE INSTALACIONES PARA EL PROCESAMIENTO DE LA INFORMACION

50 %

95 %

Presentación de resultados A continuación, se muestra el resultado de las valoraciones para cada uno de los controles de la norma a modo resumen en una tabla para una mejor comprensión. Compararemos el estado inicial con el estado final una vez aplicados los planes de trabajo de la fase anterior. En la siguiente gráfica vemos un resumen de los controles y el nivel en el que se encuentran. Según el modelo de madurez que se ha utilizado (CMM) el 40% de los controles está en condiciones óptimas. Por el contrario, existen controles con un nivel L3(90% o menor) o un nivel L2(50% o menor) sumando 7 controles a los cuales se les deberá prestar especial atención en próximas revisiones.

Controles y norma CMM

Antes

Después

L4(95%)

L3(90%)

L2(50%)

Resumen de los Nivel de conformidad A continuación, podremos ver el resumen de las no conformidades obtenidas en la auditoría y acto seguido se podrá ver la auditoria en detalle. La evaluación en esta auditoria se regirá según los siguientes niveles de inconformidad.

TIPO

DESCRIPCION

No conformidad mayor

Se incumple por completo un apartado del estándar.

No conformidad menor

Se incumple un punto del estándar o se incumple un procedimiento propio de la organización.

Observación Oportunidad de mejora

No se incumple nada, pero si no se hace un tratamiento adecuado, en el futuro se puede convertir en no conformidad menor. Es solo una recomendación, que nunca se convertirá ni en observación ni en no conformidad.

Resumen no conformidades

Puntos de la norma & Controles

No conformidades No conf. mayor

No conf. menor

Obsv.

Mejora

4 - CONTEXTO DE LA ORGANIZACIÓN 4.3 - DERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

5 - LIDERAZGO 1

5.2 - POLITICA

9 – EVALUACION DEL DESEMPEÑO 1

9.2 - AUDITORIA INTERNA 10 - MEJORA 10.1 – NO CONFORMIDAD Y ACCIONES CORRECTIVAS

7 - SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 7.1.1 - INVESTIGACION DE ANTECEDENTES

8 - GESTION DE ACTIVOS 8.1.1 - INVENTARIO DE ACTIVOS

8.1.2 - PROPIEDAD DE LOS ACTIVOS

8.1.3 - USO ACEPTABLE DE LOS ACTIVOS

8.1.4 - DEVOLUCION DE LOS ACTIVOS

8.3.1 - GESTION DE SOPORTES EXTRAIBLES

8.3.2 - ELIMINACION DE SOPORTES

8.3.3 - SOPORTES FISICOS EN TRANSITO

11 - SEGURIDAD FISICA Y AMBIENTAL 11.1.1 - PERIMETRO DE SEGURIDAD FISICA

11.1.2 - CONTROLES FISICOS DE ENTRADA

11.1.3 - SEGURIDAD DE OFICINAS, DESPACHOS Y RECURSOS

11.1.4 - PROTECCION CONTRA LAS AMENAZAS EXTERNAS Y AMBIENTALES

15 - RELACIONES CON SUMINISTRADORES 15.1.1 - POLITICA DE INFORMACION PARA SUMINISTRADORES

6. CONCLUSIÓN

Visto el plan de implementación de un sistema de gestión de la información, basado en normas ISO 27001, este se considera una herramienta de gran ayuda para identificar los aspectos para tener en cuenta en el momento que las organizaciones toman la decisión de establecer un modelo de seguridad de la información. Puesto que, de lograrse el objetivo de la norma ISO, la organización podrá lograr la sostenibilidad del Sistema de Gestión de Seguridad de la Información. En conclusión, se consideró necesario que las empresas que disponen de sistemas de información y por tanto de empleados encargados de gestionar dichos sistemas, dispongan de un Sistema de Gestión de Seguridad de la Información, ya que este les proporcionará ayuda en sus gestiones y solicitudes para evitar problemas de seguridad. La empresa cual se consideró para la implementación de sistema de gestión de seguridad de la información, a través de la auditoria de complimiento, se identificaron los niveles de cumplimiento, donde se puede reflejar que en su nivel de conformidad solo se puede ver un solo punto de no conformidad mayor, pero este puede ser reducido aplicando los diversos puntos que el SGSI puede implementar en la empresa. Además, el hecho de valorar que propuestas puede llevar a cabo una empresa para mitigar o reducir los riesgos a los que se encuentra expuesta, se hace reflexionar sobre diferentes medidas que el día de mañana como consultor puedo proponer a una entidad con una casuística similar. Por lo tanto, la implementación del SGSI se considera beneficiosa para la entidad, ya que genera mayor seguridad en los sistemas de información y contribuye a obtener una mejora continua en cada proceso de auditoría interna, todo lo cual aumenta la confianza y mejora de imagen corporativa.