1

Modelo de Ciberseguridad para la empresa Space

Cargo(SPC) Colombia

Cristian Alejandro Gómez Prada

Cristian David González Calderón

Ivan Dario Landinez Duarte

Johan Steven Espinosa Carrillo

Fundación Universitaria Unipanamericana – Compensar

Facultad de Ingeniería, Ingeniería de Telecomunicaciones

Bogotá, Colombia

2019

2

Modelo de Ciberseguridad para la empresa SPC

Colombia

Cristian Alejandro Gómez Prada

Cristian David Gonzalez Calderon

Ivan Dario Landinez Duarte

Johan Steven Espinosa Carrillo

Trabajo de grado presentado como requisito parcial para optar al título de:

Ingeniero de Telecomunicaciones

Director (a):

Ingeniero Flavio Andrés Cuellar Arias.

Línea de Investigación:

Redes, telemática y telecomunicaciones.

Grupo de Investigación:

GIIS

Fundación Universitaria Unipanamericana – Compensar

Facultad de Ingeniería, Ingeniería Telecomunicaciones

Bogotá, Colombia

2019

3

Resumen

Actualmente las organizaciones públicas y privadas desarrollan sus procesos de negocios por

medio de sistemas de información, generando un ahorro en costos y tiempo sobre la ejecución de

sus actividades, esta sistematización conduce a que las organizaciones sean competitivas y

eficientes frente al mercado.

De acuerdo al Ministerio de Tecnologías de la Información y las Comunicaciones (Mintic)

entre los años 2017 y 2018 se concluye que las conexiones a internet de banda ancha en el país

han aumentado en 1.9 millones de acuerdo a las estadísticas reportadas por las empresas de

telecomunicaciones al Mintic. (Mintic. 2018. Pag.08).

La aplicabilidad de los Sistemas de información genera nuevos retos para las organizaciones

debido a que la información trasmitida deberá cumplir con medidas para la reducción de riesgos y

control de amenazas, logrando que los activos de la información cumplan con los tres pilares,

seguridad, confidencialidad y disponibilidad. De acuerdo con las cifras obtenidas del informe

anual 2018 sobre ciberseguridad que realizó la empresa Cisco, se observa un aumento del 300%

en ciberataques a las redes de comunicación ocasionados por Malware, durante un periodo de 12

meses se analizaron más de 400.000 códigos maliciosos, los cuales alrededor del 70% causaron

encriptación de información afectando a empresas y personas naturales. (Cisco. 2018. Pag.09).

Referente a los antecedentes anteriormente mencionados es correcto concluir que existe un

comportamiento exponencial entre las conexiones a internet y los ciberataques, es por ello por lo

que se hace necesario generar un modelo de ciberseguridad que permita reducir la materialización

de los ciberataques a organizaciones.

4

El modelo de ciberseguridad está basado en la Norma Técnica Colombiana NTC-ISO/IEC

27002 y estará aplicada a la organización Space Cargo Colombia (SPC).

La organización SPC Colombia categorizada como Pyme, ubicada en la cuidad, Bogotá D.C,

es una empresa dedicada al trasporte internacional de mercancías; dentro de la organización

laboran en total once personas que se establecen dentro del organigrama Comercial, logística,

Gerencia y Operaciones. La organización cuenta con una infraestructura o elementos propios de

telecomunicaciones la cual se compone de Switch, Router, Virtual Network Private (VPN),

equipos de cómputo (computadores de escritorios o portátiles) los elementos anteriormente

mencionados no cuentan con herramientas y controles de protección básicos como los son

antivirus, firewalls, actualización de Sistemas Operativos (S.O), contraseñas de usuarios y copias

de seguridad.

Para laborar un modelo de Ciberseguridad es necesario realizar un levantamiento de

información de todos los activos que se encuentran de forma física y digital de la organización,

para lo cual es necesario clasificar los activos en Hardware, Software, equipamientos auxiliares y

periféricos. Posteriormente se generar un inventario de equipos informáticos en donde se tomaron

en cuenta las siguientes de varíales, placa de inventario, serial, área correspondiente, nombre del

activo, clasificación del activo y criticidad.

Para poder realizar la clasificación de los activos de información se propone, la metodología

de Análisis y Gestión de Riesgo de los Sistemas de Información de las Administraciones Públicas

(Magerit versión 3), el cual se compone de tres libros, el primero titulado «Método», segundo

«Catalogo de Elementos» y tercero «Guía de Técnicas». Lo que permite especificar la

valorización del activo según la confidencialidad, integridad y disponibilidad en dimensiones

cuantitativas y cualitativas. Magerit propone identificar las amenazas a la que está expuesto un

5

activo de la organización, segmentándolas de la siguiente forma: desastres naturales, de origen

industrial, errores y fallos no intencionados y ataques intencionados. De acuerdo con la

identificación previamente realizada, se establece una relación directa con los tres pilares de la

información.

En consecuencia, de lo anterior los activos de información son víctimas de amenazas sin

producir una afectación total del mismo, por consiguiente, al perjudicar el activo este se ve

impactado el valor en dos criterios; la primera hace referencia a degradación y segundo define la

probabilidad. La degradación mide el daño causado por un incidente en dado caso de que se

materialice la amenaza; la probabilidad se modela cualitativamente por medio de una escala

nominal donde se recurre a una tasa anual de ocurrencia. Para Magerit los activos de información

deben ser evaluados según su degradación en función del tiempo, tomando horas, días, meses y

años.

Una vez realizado el análisis siguiendo los parámetros establecidos por Magerit para la

identificación de las amenazas se concluye que es conveniente seleccionar, generar y proponer

controles y políticas para garantizar la reducción de las amenazas. Los controles y políticas deben

ser aplicables a toda la organización para satisfacer la gestión de continuidad de los procesos

informáticos.

Palabras clave: Seguridad Informática, Ciberseguridad, Política de Seguridad, Metodología

Magerit.

6

Abstract

At present the public and private organizations develop its business processes by means of

information systems, generating a saving in costs and time on the execution of its activities, this

systematization drives to that the organizations are competitive and efficient opposite to the

market.In accordance with.

The Department of Information technologies and the Communications (Mintic) between the

year 2017 and 2018 it ends that the connections to Internet of wide band in the country, have

increased in 1.9 millions in accordance with the statistics brought by the companies of

telecommunications to the Mintic. (Mintic. 2018. P. 08).

The applicability of the information Systems generates new challenges for the organizations

because the transmitted information will have to expire with measurements for the reduction of

risks and control of threats, achieving that the assets of the information expire with three props,

safety, confidentiality and availability. In accordance with the obtained numbers of the annual

report 2018 on cybersafety that the company Slack realized, observes an increase of 300 % in

cyberattacks on the networks of communication caused by Malware, during a period of 12

months there were analyzed more than 400.000 malicious codes, which about 70 % caused

encriptación of information affecting companies and natural persons. (Slack. 2018. P. 09).

Regarding the precedents previously mentioned it is correct to conclude that an exponential

behavior exists between the connections to Internet and the cyberattacks, it is for it therefore it

becomes necessary to generate a cybersafety model that allows to limit the materialization of the

cyberattacks to organizations.

7

The cybersafety model is based on the Colombian Technical Norm NTC-ISO/IEC 27002 and

it will be applied to the organization Space Cargo Colombia (SPC).

The organization SPC Colombia categorized like Pyme, located in take care of Bogota D.C, it

is a company dedicated to the international trasporte of goods; inside the organization there work

in whole eleven persons who settle inside the Commercial flow chart, logistics, Management and

Operations. The organization is provided with an infrastructure or proper elements of

telecommunications which consists of Switch, Router, Virtual Network Private (VPN), teams of

calculation (offices computers or portable) the elements previously mentioned are not provided

with hardware and basic control panel of protection as there them are antiviruses, firewalls,

update of Operating systems (S.O), users' passwords and safety copies.

To work a cybersafety model is necessary to realize a raising of information of all the assets

that are of physical and digital form of the organization, for which it is necessary to classify the

assets under Hardware, Software, auxiliary and peripheral equipments. Later to generate an

inventory of computer teams where they were taken into consideration

In order to make the classification of information assets is proposed, the methodology of Risk

Analysis and Management of Public Administration Information Systems (Magerit version 3),

which consists of three books, the first entitled «Method» , second «Catalog of Elements» and

third «Guide of Techniques». This allows us to specify the valuation of the asset according to

confidentiality, integrity and availability in quantitative and qualitative dimensions. Magerit

proposes to identify the threats to which an asset of the organization is exposed, segmenting them

as follows: natural disasters, of industrial origin, errors and unintentional failures and deliberate

attacks. According to the identification previously made, a direct relationship is established with

the three pillars of the information. Consequently, the information assets are victims of threats

8

without producing a total impact, therefore, by damaging the asset, the value is impacted in two

criteria; the first one refers to degradation and the second one defines probability. Degradation

measures the damage caused by an incident in case the threat materializes; the probability is

modeled qualitatively by means of a nominal scale where an annual rate of occurrence is used.

For Magerit, information assets must be evaluated according to their degradation as a function of

time, taking hours, days, months and years.

Once the analysis has been carried out following the parameters established by Magerit for the

identification of the threats, it is concluded that it is convenient to select, generate and propose

controls and policies to guarantee the reduction of threats. The controls and policies must be

applicable to the entire organization to satisfy the management of continuity of the computer

processes. Keywords: Computer Security, Cybersecurity, Security Policy, Magerit Methodology.

9

Contenido

Resumen ........................................................................................................................................................ 3

Abstract ......................................................................................................................................................... 6

Contenido ...................................................................................................................................................... 9

Lista de Tablas ............................................................................................................................................. 11

Lista de Figuras ............................................................................................................................................ 12

Introducción ................................................................................................................................................ 13

Antecedentes y Justificación ....................................................................................................................... 15

Objetivo General ......................................................................................................................................... 17

Objetivos Específicos ................................................................................................................................... 17

Alcances y Limitaciones ............................................................................................................................... 18

1. Alcances ........................................................................................................................................... 18

2. Limitaciones ..................................................................................................................................... 18

Capitulo Estado del Arte .............................................................................................................................. 19

1. Estrategia De Fundamentos Teóricos .............................................................................................. 19

1.1. Descripción de la norma ISO/IEC 27000. ................................................................................. 19

2. Disponibilidad .................................................................................................................................. 21

3. Integridad ........................................................................................................................................ 21

4. Confidencialidad .............................................................................................................................. 22

5. Prueba ............................................................................................................................................. 22

6. Autenticación .................................................................................................................................. 22

7. Trazabilidad ..................................................................................................................................... 23

8. Método PDCA o rueda de Deming .................................................................................................. 23

8.1. Planificar. ................................................................................................................................. 24

8.2. Hacer. ...................................................................................................................................... 24

8.3. Verificar. .................................................................................................................................. 24

8.4. Actuar. ..................................................................................................................................... 25

Capítulo 2 Gestión de Riesgos ..................................................................................................................... 25

2. Metodología de la gestión de riesgos en la toma de decisiones .................................................... 26

2.1 Cobit. ....................................................................................................................................... 27

2.2 Magerit. ................................................................................................................................... 29

10

2.2.1 Objetivos de Magerit. .......................................................................................................... 30

2.2.2 Pasos de la metodología. ..................................................................................................... 31

2.3 Pilar Basic. ................................................................................................................................ 38

Marco Conceptual ....................................................................................................................................... 43

Resultados ................................................................................................................................................... 45

Bibliografía................................................................................................................................................... 49

11

Lista de Tablas

Tabla 1 Tabla de Normas ISO27000. ......................................................................................... 1.

Tabla 2 Tipos de activos ............................................................................................................. 2.

Tabla 3 Relación de amenazas típicas ........................................................................................ 3.

Tabla 4 Degradación del valor del activo. .................................................................................. 4.

Tabla 5 Probabilidad de ocurrencia ........................................................................................... 5.

Tabla 6 Identificación, clasificación, descripción de activos de información ............................ 6.

12

Lista de Figuras

Ilustración 1 Ciclo PDCA Original ............................................................................................ 1

Ilustración 2 Gestión de Riesgo ................................................................................................... 2

Ilustración 3 Elementos de análisis potenciales .......................................................................... 3

Ilustración 4 Impacto repercutido de una amenaza sobre un activo ............................................ 4

Ilustración 5 Coste de la [interrupción de la] disponibilidad ...................................................... 5

Ilustración 6 Elementos de análisis residual. ............................................................................... 6

Ilustración 7 Creación y clasificación de activos. ....................................................................... 7

13

Introducción

La evolución de las tecnologías en las últimas décadas ha generado un incremento en las

conexiones a internet. De acuerdo con las estadísticas reveladas en el último informe del 2018

trimestral del Ministerio de Tecnologías de la Información y las Telecomunicaciones (MINTIC)

de 2,2 millones de conexiones en el 2010 se pasó a 8.8 millones de conexiones en el 2014. Este

comportamiento incremental requiere más activos de la información para empresas públicas,

privadas y personas naturales, los cuales están expuestos a ataques o delitos informáticos que

amenazan no solo la integridad, disponibilidad y confidencialidad (C.I.A por su sigla en inglés),

sino que pone en riesgo la infraestructura tecnológica tanto de entidades públicas como privadas.

(Marcela, D. 2015).

Desde este escenario, la información es sensible y valiosa para las organizaciones, ya que la

afectación de los activos implica un costo directo en la rentabilidad y puede generar una

degradación de la organización, en general. Tal es el caso de la empresa SPC Colombia, la cual

no cuenta con un modelo de ciberseguridad que garantice salvaguardar la información. Dentro de

la organización SPC Colombia se evidencia la necesidad de establecer metodologías para la

seguridad de la información, con el fin de salvaguardar la información dentro de los tres pilares

(C.I.A). Por consiguiente, el objetivo de este estudio es presentar una serie de análisis elaborados

a partir de la identificación de las amenazas, a las cuales los activos de información están

expuestos, generando la elaboración de diferentes documentos que permitan mitigar el impacto

14

que puede generar una amenazas sobre algún activo de la información, estos documentos en

conjunto representan un modelo de ciberseguridad y le permiten a la organización establecer

controles y políticas para que el objetivo se cumpla.

Dado esta situación, se propone un modelo de ciberseguridad con el objetivo de mitigar las

amenazas identificadas durante el proceso, de acuerdo a la ISO 27002 y Magerit. El presente

estudio realizado como consultoría propone un modelo de ciberseguridad. Para lograr ese modelo

de seguridad de la información se estableció; primero, por qué es necesario la seguridad de la

información; segundo, cómo se deben establecer los requerimientos de seguridad; tercero, evaluar

los riesgos y por último proponer una política referente a las amenazas.

El modelo propuesto cumple con las consideraciones, normativa ISO 27002, Magerit versión

3.0, politicas MinTic de seguridad informática las cuales son utilizadas «para brindar un soporte

y desarrollo al productor y protección al consumidor» (Incontec, 2007, Pag2).

15

Antecedentes y Justificación

La organización SPC Colombia identificada como una Pyme dentro del sector del Trasporte y

almacenamiento refleja en el año 2018 un aumento de empresas Pymes en el sector comercio con

una creación de 185.330 unidades productivas en el sector del Transporte y Almacenamiento,

según señala Confecámaras en su Informe de dinámica empresarial en el primer semestre del

2008.

La constitución de nuevas sociedades demuestra que la dinámica productiva de Colombia está

en incremento en un 2.9% respecto a un 2.7% del año 2007, de acuerdo a esta variación positiva

en la creación de nuevas sociedades se requiere incorporar Transformaciones Digitales (TD)

concepto que destaca el autor Marulanda, para lograr la eficiencia y optimización de los recursos

de las organizaciones; sin embargo, refiere otro concepto de tecnología industrial digital llamada

la Industria 4.0, indicando que es la industria del futuro ya que se presenta una evolución,

aplicación y crecimiento exponencial en toda su cadena de valor para desarrollar información en

tiempo real para nuevas oportunidades de negocio. (Marulanda L,Pag 4 , 2018)

La industria 4.0 recomienda tener nueve pilares [1], para el modelo de ciberseguridad se

enfatizará en el sexto pilar el cual referencia la Ciberseguridad como una serie de protocolos y

sistemas de seguridad que permite proteger, procesar y blindar la información contra acceso no

permitidos que se llegasen a presentar (Boston Consulting Group, 2015).

Debido al desarrollo tecnológico de las empresas se generan vulnerabilidades, exponiéndose a

métodos de ataques cibernéticos, para hacer mal uso de la información, causando que se pierda

16

reputación y disminuyendo los activos; según lo expone “la inversión en ciberseguridad es una

decisión financiera y operativa importante. Las inversiones típicas en tecnología de la

información apuntan a crear valor, mientras que las inversiones en ciberseguridad apuntan a

minimizar las pérdidas incurridas por los ciberataques.” (Chronopoulos M, 2017).

Una de las formas en que se puede utilizar para determinar el estado de seguridad de la

empresa es mediante una evaluación de riesgos. Este estudio propone un sistema experto para

determinar la posición o el nivel del sistema de seguridad de una empresa mediante una

evaluación de riesgos. El estándar de evaluación de riesgos se basa en la norma ISO 27002.

(Sihwi, S, 2016).

Por consiguiente, se evidencia que la organización SPC Colombia en su infraestructura no

cuenta con controles ni políticas de seguridad de la informática. Surge la necesidad de proteger

uno de los activos más importantes en la actualidad “La Información” por medio de una serie de

análisis, controles y políticas que minimicen y mitiguen la materialización de las amenazas y que,

a su vez, esto no represente una degradación general de la organización. Por esta razón y por los

antecedentes anteriormente mencionados se realiza un modelo de ciberseguridad que cumpla con

los tres pilares de la seguridad informática en la información.

17

Objetivo General

Presentar un modelo de ciberseguridad basado en la norma ISO 27002 que le permita a la

empresa SPC Colombia tener seguridad informática organizacional.

Objetivos Específicos

1. Realizar un inventario de los activos informáticos (hardware y software).

2. Elaborar la matriz de amenazas basándose en el inventario de los activos de información

de la organización.

3. Estipular controles que mitiguen las amenazas encontradas dentro de la organización.

4. Plantear modelo de ciberseguridad conforme a la metodología en gestión de análisis y

riesgos (Magerit).

5. Generar políticas de seguridad según lo evaluado en la matriz de amenazas

18

Alcances y Limitaciones

1. Alcances

1. Según el análisis presentado y en conjunto con la elaboración de las políticas, se espera

que dentro de la organización no haya una materialización de las amenazas.

2. Asegurar que la información se encuentre protegida a través de la política de seguridad

enfatizándose en el control de acceso a las cuentas de correo electrónico, plataformas en

la nube y cuentas de dominio, en cada una de las estaciones de trabajo de los

colaboradores.

3. Concientizar a los usuarios de la organización sobre la responsabilidad y el compromiso

de salvaguardar la información para garantizar la confidencialidad, disponibilidad e

integridad de la información.

2. Limitaciones

1. Dentro de la organización no se ejecutará la implementación del modelo de

ciberseguridad ni las políticas elaboradas en este documento, ya que este proceso debe ser

evaluado por la Organización SPC Colombia.

2. La utilización de software como Pilar para la evaluación de amenazas se descarta, ya que

la ejecución he implementación requiere licenciamiento y esto genera costos para la

organización.

3. Las amenazas se encuentran en constante evolución, por lo cual el modelo de

ciberseguridad en SPC Colombia debe de estar en constante actualización.

19

4. Cada control o política debe ser avalada por la compañía al momento de querer

implementarlas.

Capitulo Estado del Arte

Antes de ejecutar un sistema de seguridad de la información es necesario entender las normas

y los conceptos técnicos implicados en las metodologías de gestión de riesgo. Por eso, en este

capítulo se exponen los conceptos de norma ISO/IEC 27002, los tres pilares de Seguridad de la

Información, metodología PDCA ; cuya claridad es indispensable para el desarrollo del análisis y

modelo de ciberseguridad.

1. Estrategia De Fundamentos Teóricos

1.1. Descripción de la norma ISO/IEC 27000.

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica

cómo puede una organización implantar un sistema de gestión de seguridad de la información

(SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27000 y otros sistemas de

gestión.

A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados

por ISO (International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable

por cualquier tipo de organización, pública o privada, grande o pequeña.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan. En su

particularidad, la ISO 27001 argumenta que es una solución de mejora continúa con base a la cual

20

puede desarrollarse un SGSI que permita evaluar todo tipo de riesgos o amenazas susceptibles de

poner en peligro la información de una organización.

Tabla 1 Tabla de Normas ISO27000.

Fuente: Recuperado de Guía de Iniciación a Actividad Profesional Implantación de Sistemas de Gestión de la

Seguridad de la Información (SGSI) según la norma ISO 27001.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información

permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios

para mitigarlos o eliminarlos. La aplicación de ISO-27001 significa una diferenciación respecto

al resto, que mejora la competitividad y la imagen de una organización, en consecuencia, la

Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles

establecidos en la norma ISO 27002. La misma ISO27001 completa las buenas prácticas y

controles para implementar un sistema de seguridad informática y nos sugiere la guía de la iso

27002 para poder diseñar controles de ciberseguridad.

21

La norma ISO 27001 constituye uno de los referentes cuando se habla sobre la seguridad de la

información. Esta norma es muy relevante dentro de las organizaciones ya que tiene como

objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la

información.

Sin embargo, esta no es la única norma, hay otras que complementan las prácticas que

garantizan la seguridad de la información. La norma ISO 27002 es otra de las normas que orienta

el proceso de la seguridad informática, pues establece un catálogo de buenas prácticas que

determina, desde la experiencia, una serie de objetivos de control y controles que se integran

dentro de todos los requisitos de la norma ISO 27001 en relación con el tratamiento de los

riesgos.

2. Disponibilidad

La disponibilidad la podemos entender de acuerdo al seguimiento de quien, como, donde y

cuando acceden a la información, lo cual no significa que todos los documentos ya sean físicos y

virtuales estén a la disposición cuando sean requeridos; por lo tanto, podemos concluir que las

documentación en la organización tiene condiciones preestablecidas de acuerdo al grado de

acceso o permisos de usuarios. (Rodriguez, Garcia, & Lam, 2007).

La disponibilidad afecta directamente a la productividad de las organizaciones, ya que la no

disposición o interrupción de los recursos y servicios representan un costo que refleja en el

tiempo de producción y ejecución de actividades.

3. Integridad

Las características de la integridad es uno de los compendios más importantes para la

preservación y la confianza de un documento; en las organizaciones se debe garantizar la no

22

modificación o alteración fuera de los controles de manera no autorizada, por lo tanto, se debe

garantizar la preservación de todo tipo de dato. Un documento no debe presentar alteraciones o

corrupción (Voutssas M, 2010), no debe aparecer manipulado o incompleto; pues en caso de

presentarse alguna de estas anomalías dejaría de ser un documento confiable; afectando

directamente al correcto desempeño de las funciones de una Organización.

4. Confidencialidad

Confidencialidad refiere, por un lado, a que el acceso a la información solo será posible por

parte de las personas autorizadas que no será divulgada fuera del entorno determinado. Por otro,

se trata de la no divulgación de la información fuera del entorno determinado, lo cual implica la

protección contra la consulta de datos almacenados o intercambiados. La confidencialidad es

factible mediante un mecanismo de cifrado que garantiza la transferencia o almacenamiento de

datos. (Carpentier, 2016).

No proteger y no garantizar la confidencialidad supone minar la confianza de los demás en la

organización y el incumplimiento de leyes y compromisos contractuales relativos a la custodia de

los datos.

5. Prueba

Este concepto hace referencia al proceso por el cual se garantiza que el emisor de la

información está identificado y que tiene los derechos y accesos lógicos, además de que el

receptor identificado se encuentra autorizado para acceder a la información (Carpentier, 2016).

6. Autenticación

Propiedad o característica consistente en que una entidad es quien dice ser o bien que

garantiza la fuente de la que proceden los datos. Contra la autenticidad de la información

23

podemos tener manipulación del origen o el contenido de los datos. Contra la autenticidad de los

usuarios de los servicios de acceso, podemos tener suplantación de identidad (Carpentier, 2016).

7. Trazabilidad

Trazabilidad garantiza y proporciona los datos necesarios para determinar quién hizo qué y en

qué momento. La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y

aprender de la experiencia. La trazabilidad se materializa en la integridad de los registros de

actividad. ((Magerit Libro I Metodo), 2012)

8. Método PDCA o rueda de Deming

Esta herramienta tiene como objetivo identificar procesos dinámicos para el desarrollo

sistemático de la mejora continua dentro de la organización; es una adaptación japonesa del

“ciclo o rueda de Diming” donde resalta la interacción del avance en función de la continuidad

para cualquier proceso. (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997).

El ciclo de Deming, tiene su origen en la historia en 1940 con el estadounidense Walter A.

Shewart quien introduce tres palabra claves “Planificar, Desarrollar, y Ver” o en inglés “Plan, Do

and See”, varios años después el estadístico Edward W. Deming añadió la última fase “Actuar”;

donde se incluyó este nuevo termino dentro del ciclo para implementarlo en las empresas niponas

después de la segunda guerra mundial, aplicando la metodología a empresas de seguridad vial

(Monclús, 2007)

Ilustración 1 Ciclo PDCA Original

24

Fuente: Recuperado de (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997)

8.1. Planificar.

Se establecen procesos y objetivos para los resultados de acuerdo a las políticas de la

organización lo cual conlleva a desarrollar diferentes etapas para este plan de mejora; la primera

etapa consta del análisis o diagnostico actual; segundo, establecer objetivos; tercero,

identificación de los medios para lograr los objetivos y por último adjudicación de los recursos

para gestionar los medios (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997).

8.2. Hacer.

Implementar los procesos o efectuar diagnóstico de la situación actual que pueda dar solución

a todas las labores necesaria para alcanzar el objetivo propuesto (Vilar Barrios, Gómez Fraile, &

Tejero Monzón, 1997).

8.3. Verificar.

Los inspectores o la persona de la organización de calidad comprueban que la guía si las

acciones de mejora permiten alcanzar los objetivos planificados; por lo cual los directivos y los

25

inspectores verifican los resultados en el análisis de riego que se realizó para su éxito. (Vilar

Barrios, Gómez Fraile, & Tejero Monzón, 1997).

8.4. Actuar.

La dirección analiza los resultados, tomando medidas para implantar los programas que han

conseguido los objetivos planificados haciendo que las mejoras sean permanentes y tomando

acciones correctoras en caso de que los resultados fueran no satisfactorios. (Vilar Barrios, Gómez

Fraile, & Tejero Monzón, 1997).

Capítulo 2 Gestión de Riesgos

Una vez aclarado los conceptos claves para el desarrollo del proyecto de grado, es

indispensable mencionar la metodología para gestionar los riesgos a los cuales están expuestos

los activos de información; por lo cual se establece una metodología de gestión de riesgos y toma

de daciones en cuanto a los criterios por fases de apoyo para la evaluación de riesgos (la cual

contempla una descripción en valoración de los activos dentro de los términos de CIA, amenazas

a los activos, vulnerabilidades y probabilidad de ocurrencia de las amenazas). La segunda fase se

describe la gestión de riesgo (Objetivos para determinar el nivel de riesgo aceptable). Fase tres

evoluciones (modificaciones realizadas desde la primera versión hasta la actualidad). Fase cuatro,

idioma (idioma del método, es esencial para dominar el vocabulario utilizado). Fase cinco,

cumplimiento. (la organización establece los criterios necesarios para la implementación y su

respectiva comunicación interna a sus colaboradores).

26

La correlación de los criterios para la evaluación de riesgos anteriormente mencionados nos

lleva a evaluar dos instrumentos para la evaluación de riesgos Magerit y Cobit; estas dos

metodologías son explicadas en detalle en este capítulo; pero es necesario establecer que el

modelo Magerit es el que más aplicabilidad tiene para la gestión de riesgos de Riesgo de los

Sistemas de Información y en la cual se basara el desarrollo de este proyecto, ya que evalúa el

análisis de riesgos con el tratamiento de los mismo y así poder obtener una gestión de riesgos.

Veamos con un poco más de detalle en qué consiste esta metodología.

2. Metodología de la gestión de riesgos en la toma de decisiones

Dentro de las organizaciones, específicamente en el departamento de TI la información hace

parte de los activos de la organización, esto conlleva a que la información deberá tener un

tratamiento adecuado que garantiza que no se presenten incidentes como fugas de información o

degradación de esta; esto genera argumentos y acciones que implican una adecuada preservación

y utilización de metodologías en el análisis de gestión de riesgos. (Abril, A; Pulido, J; Bohada A,

2013).

Ahora bien, las metodologías escogidas se orientan al mismo objetivo; gestionar por medio de

metodologías los riesgos para optimizar el uso de los recursos informáticos, las cuales tratan la

información en cuanto a la integridad, confidencialidad y disponibilidad garantizando el éxito en

cada proceso para su control y generando valores cuantitativos o cualitativos los activos de la

organización.

Dado que los elementos que componen un modelo (identificación de activos de información,

identificación de amenazas, impacto de una amenaza sobre el activo de información, costo que

representa la no disponibilidad del activo, la degradación y la probabilidad de ocurrencia), es

27

necesario que la organización plantee objetivos específicos con el fin de consolidar todos los

eventos que se pueden desencadenar en un incidente. Para esto se requiere especificar aquello que

«produzca daños en sus activos, la posibilidad de la materialización de una amenaza, las

consecuencias de la misma, la posibilidad de que se genere un impacto en los bienes de la

organización y finalmente los procedimientos que se llevan a cabo para reducir un riesgo (Abril,

A; Pulido, J; Bohada A, 2013).

Una vez realizado esto, se establece el análisis de riesgo que dé respuesta a tres interrogantes:

saber qué se quiere proteger, contra quién y cómo se va a hacer» (Abril, A; Pulido, J; Bohada A,,

2013).

2.1 Cobit.

Actualmente encontramos varios instrumentos para la gestión y control de la información uno

de ellos es COBIT específicamente la versión 5, la cual se define como «un marco de trabajo

integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI

corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde

TI manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de

riesgo y el uso de recursos.» ( ISACA, Un Marco de Negocio para el Gobierno y la Gestion de

las TI de la Empresa, p.13.) COBIT como instrumento para mitigar los riesgos a los cuales están

expuestos los activos de la organización, es aplicable para cualquier tipo de empresa sin importar

su tamaño o su actividad de negocio.

28

Dentro del modelo de ciberseguridad que se plante para la organización SPC Colombia se

hace necesario analizar y evaluar más de una herramienta que cumpla con el análisis, evaluación

y mitigación de riesgos a los que están expuestos los activos de Información. A continuación, se

ilustrarán las principales variables que Cobit, como instrumento mitigador de riesgos, solicita

para ser aplicado.

1. «Dar voz a más partes interesadas para determinar que es lo que esperan de la

información y las tecnologías relacionadas, cuáles son sus prioridades para asegurarse que

el valor esperado es realmente proporcionado.» ( ISACA, Un Marco de Negocio para el

Gobierno y la Gestión de las TI de la Empresa, p.15.)

El modelo de ciberseguridad requiere inicialmente generar un levantamiento de información

por medio de entrevistas a los usuarios de la organización, con el fin de obtener información y

opinión por parte de los usuarios sobre las expectativas que se tienen en relación con la

confiabilidad, disponibilidad y integridad de los activos de información. Al final del ejercicio es

posible generar de forma cualitativa el nivel de riesgo al cual está expuesto un activo dentro de la

organización.

2. Manejo en relación con la cantidad de información, la cual a crecido significantemente en

el tiempo. «¿Como seleccionan las empresas la información relevante y fidedigna que

conduzca a decisiones empresariales eficaces y eficientes? La información también

necesita ser gestionada eficazmente y un modelo eficaz de la información puede asistir en

este empeño.» ( ISACA, Un Marco de Negocio para el Gobierno y la Gestión de las TI de

la Empresa, p.15.)

29

Es de vital importancia que a la Organización SPC tenga identificado los activos que en ella

hay, así mismo su dimensión con relación a la confiabilidad, disponibilidad e integridad con el

fin de tomar la mejor decisión en caso de llegar a ver una materialización de una amenaza sobre

algún activo de la organización.

3. Al interior de la organización se debe lograr la mitigación de riesgos, cuando este objetivo

se cumple se determinar que se está produciendo un valor para los accionistas, que es

reflejado en beneficios a un costo óptimo. (ISACA, 2012).

La importancia que tiene la evaluación de los riesgos dentro de una organización es muy alta,

ya que ayuda a determinar que activos son de vital importancia para el negocio y así mismo

ayuda a generar acciones preventivas, que de manera conjunta pueden lograr la no

materialización de los riesgos en amenazas. Dentro de un ámbito financiero el beneficio se ve

reflejado en un valor de costo favorable para la organización ya que se puede destinar recursos a

otras áreas de esta.

Para el modelo de ciberseguridad propuesto en la organización SPC es importante evaluar y

tener en cuenta las variables de Cobit anteriormente mencionadas, ya se orientan hacia el objetivo

de mejorar la seguridad de la información, pero Cobit no es una guía práctica para el

procesamiento y mitigación de riesgos, por lo cual es tomada en cuenta en este documento como

referencia para la identificación de los activos y la importancia que tiene la realización eficaz de

un modelo para la seguridad de la información.

2.2 Magerit.

Las tecnologías de la información y las comunicaciones (TIC) están en constante

actualización, debido a esto la confianza es un valor critico que la organización debe garantizar

30

para poder ofrecer sus servicios a los usuarios, por lo cual la improvisación metódica en los

medios electrónicos, informáticos y telemáticos (MEIT) no dejan lugar a las vulnerabilidades que

generan riesgos existentes, por lo cual se debe promover con la alta gerencia la necesidad de

poder afrontarlos y así controlarlos cumpliendo los objetivos de servicio de la organización.

Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgo de los Sistemas de

Información de las Administraciones Publicas”, por lo cual su uso es de carácter público,

perteneciendo al Ministerio de Administraciones Publica (MAP) de España, se crea con el fin de

ser un instrumento para la implementación y aplicación de ENISA (Agencia Europea de

Seguridad de las Redes y de la Información).

Las estrategias que llevan las organizaciones aplicando Magerit como herramienta para el

proceso de gestión de los riesgos dentro de un marco de trabajo incluyen promover una

terminología, criterios que permitan dimensionar la valorización de la existencia de inseguridades

por lo tanto se crea la necesidad de gestionar medidas sobre los riegos generados por el uso de

tecnologías de la información.

En la actualidad Magerit se encuentra la versión 3.0 en idioma español, su última publicación

y edición la realiza el MAP en octubre 2012, donde cuenta con tres libros los cuales contienen;

Libro I El Método, Libro II Catalogo de Elementos y Libro III Guía de técnicas (Portal de

Administración Electrónica (PAe), 2019).

2.2.1 Objetivos de Magerit.

Busca objetivar el análisis de riesgos propone los siguientes tres objetivos directos y

consecutivo a los tres el indirecto para facilitar los resultados integrales de acuerdo a las

siguientes:

31

1. Concienciar a las altas directivas de la presencia de riesgos y la necesidad de mitigarlos.

((PAe), 2019)

2. Implementar la metodología para la evaluación cuantitativa y cualitativa de los riesgos

que se determinara la organización. ((PAe), 2019)

3. Dimensionar los activos para planificar el control de riesgos según su valor crítico.

4. Preparar la organización según la visión y misión que tenga acerca del riesgo de la

información.

2.2.2 Pasos de la metodología.

La metodología consta de seis pasos para la gestión de seguridad, permitiendo realizar un

análisis de riesgo (lo tiene la organización, activos) estimando que podría pasar si el riesgo se

materializara, por lo tanto, el tratamiento de riesgo permitirá a la organización considerar la

defensa ante estos incidentes o amenazas con el fin de generar contramedidas o salvaguardas y

reducir el nivel de residual que la dirección asume.

Ilustración 2 Gestión de Riesgo

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

La metodología para determinar el riesgo se presenta en la tabla 1, donde se debe determinar

los riesgos de los activos, los cuales tienen una interrelación con su valor o coste monetario, esta

32

degradación corresponde al impacto que puede ocasionar una vulnerabilidad dependiendo de la

probabilidad que puede ocasionar si no existe una contramedida derivada en estimaciones

realistas.

Ilustración 3 Elementos de análisis potenciales

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

2.2.2.1 Paso 1 Identificación y valorización de los activos de información.

Son los componentes de un sistema susceptibles a una acción deliberada ocasionando

consecuencias para la organización, por ello existen activos esenciales de acuerdo con la

información que se maneja y los servicios que esta presta.

No todos los activos son del mismo tipo, no tiene las mismas amenazas y distintas

contramedidas, un ejemplo son: los datos, los servicios, las aplicaciones informáticas, equipos

informáticos equipamiento auxiliar, redes de comunicaciones y las personas. La tipificación de

los activos está a criterio a quien aplica esta metodología y se realiza una jerarquía determinando

un código, un nombre una descripción de qué tipo de activo se está documentando, para este caso

33

en la tabla 1 se toma ejemplo las recomendaciones que realiza Magerit. ((Magerit Libro III),

2012)

Tabla 2 Tipos de activos

Fuente: Recuperado (SOLARTE SOLARTE, Estándar MAGERIT de análisis, evaluación y gestión de riesgos, 2016)

Las dependencias es la relación de los activos de información con el nivel de servicio que

cada una presta, es decir hay activos que se encuentran más arriba de la estructura o son

superiores y dependen de los activos que se encuentran en niveles inferiores, por este motivo se

pueden materializar las amenazas si el daño esta de nivel inferior a superior: un ejemplo, cuando

a un usuario le roban su contraseña, este robo puede ocasionar un daño deliberado en la base de

datos de la organización o puede haber un desfalco dependiendo a la dependencia que ataquen; en

la figura 3 podemos ver el impacto repercutido de una amenaza sobre el activo ((Magerit Libro

III), 2012).

34

Ilustración 4 Impacto repercutido de una amenaza sobre un activo

Fuente: Recuperado ((Magerit Libro III), 2012)

Se deben valorar la materialización de una amenaza; dicho de otro modo, no se habla de

cuánto cuestan los objetos, sino lo que vale prescindir del activo por tal motivo eso es lo que hay

que proteger; este puede hacer diferentes dimensiones (faceta o aspecto del activo), las

dimensiones se utilizan para valorar las consecuencias.

Confidencialidad ¿qué daño causaría que lo conociera quien no debe? […], integridad ¿qué

perjuicio causaría que estuviera dañado o corrupto? […], disponibilidad ¿qué perjuicio causaría

no tenerlo o no poder utilizarlo? […], autenticidad ¿qué perjuicio causaría no saber exactamente

quien hace o ha hecho cada cosa?, trazabilidad del uso del servicio: ¿qué daño causaría no saber a

quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? […], trazabilidad del acceso a

los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos? ((Magerit

Libro I Metodo), 2012).

Los criterios para las valorizaciones pueden determinarse en escala cualitativa y cuantitativa

en consecuencia a la disponibilidad de un activo, esto quiere decir si un activo con alto riesgo

durara horas, días o meses podría afectar toda la operación de la organización y podría llegar a

tener consecuencias o sanciones económicas, legales y jurídicas, en la figura 4 se resume.

Ilustración 5 Coste de la [interrupción de la] disponibilidad

35

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

2.2.2.2 Paso 2 Identificación, valorización de amenazas y vulnerabilidades

La estimación de las vulnerabilidades es un perjuicio ya que provoca incidentes deseados y no

deseados hacia todos los activos de la organización. Cuando se hace reales estas amenazas ponen

en peligro la CIA de un activo (Gaona Vásquez, 2013).

Se deben estimar la influencia en el valor del activo de acuerdo con la proporcionalidad de la

amenaza en proporción de la frecuencia de ocurrencia (cada cuanto se materializa) y en

degradación con el fin de saber que tan dañino ha sido, para lo cual se relacionan en la tabla dos

cuatro tipos de amenazas.

Tabla 3 Relación de amenazas típicas

36

Fuente: Recuperado (SOLARTE SOLARTE, Estándar MAGERIT de análisis, evaluación y gestión de riesgos, 2016)

La degradación se valora cualitativamente por la razón en que se está midiendo el daño

causado al activo, lo podemos ver, uno totalmente degradado o degradado en una pequeña

fracción, en la tabla tres se modela en escala nominal.

Tabla 4 Degradación del valor del activo.

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

La frecuencia de ocurrencia se valora cuantitativamente, tomado de referencia un año como

tasa anual nominal que algún incidente sea materializado, en la tabla cuatro se puede apreciar la

escala.

Tabla 5 Probabilidad de ocurrencia

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

2.2.2.3 Paso 3 salvaguardas

Los salvaguardas o contramedidas se miden por los impactos y riesgos que están expuestos los

activos; estos procedimientos o mecanismos cuentan con tres aspectos; el primero son los tipos a

37

proteger por lo tanto se debe tener en cuenta que cada tipo de riesgo se debe proteger de una

forma específica; segundo, se debe tener en cuenta las dimensiones de seguridad el cual se debe

proteger; tercero, las amenazas de las cuales se quiere proteger y por último se debe investigar si

existen salvaguardas alternativos. ((Magerit Libro I Metodo), 2012)

Magerit señala que se debe realizar un cálculo de riesgo de dos formas; reduciendo la

probabilidad (impedir que la amenaza se materialice) y limitando el daño causa (limitar la posible

degradación); por lo cual podemos ver el flujograma en la figura 7 de los elementos residual del

análisis de riesgo. ((Magerit Libro I Metodo), 2012)

Ilustración 6 Elementos de análisis residual.

38

Fuente: Recuperado ((Magerit Libro I Metodo), 2012)

2.3 Pilar Basic.

Magerit define a Pilar como « Procedimiento Informatico-Logico para el Análisis de Riesgos”

es una herramienta desarrollada bajo especificación del Centro Nacional de Inteligencia para

soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit.»(

Dirección General de Modernización Administrativa, Procedimientos e Impulso de la

Administración Electrónica, 2012, p.125)

Pilar como herramienta de análisis soportan las principales fases del método Magerit.;

inicialmente el uso de la herramienta Pilar demanda una parametrización sobre el proyecto u

organización que se valla a trabajar.

Pilar recomienda una identificación del sobre el proyecto u organización que se valla a trabajar

se define los siguientes parámetros:

39

1. Código: refiere al código del proyecto el cual es deberá ser único.

2. Nombré: para la identificación textual del proyecto “Modelo de Ciberseguridad para la

empresa SPC Colombia.”

3. Clasificación: Refiere a la clasificación del Proyecto en general, dentro de las opciones se

escoge Confidencial ya que es accesible únicamente a la organización SPC Colombia.

4. Datos: se ingresan los datos referentes a la fecha de ejecución o iniciación del proyecto,

versión y los responsables de la seguridad de la información.

2.3.1 Análisis de Riesgos

Pilar identifica diferentes clases de Activos y los categoriza según la función que ejerce en

la organización.

1. Caracterización de los activos.

2. Activo Esencial.

Son activos esenciales la información y los servicios manejados por el sistema. Representan

los requisitos de seguridad establecidos por sus dueños. Los activos esenciales existen antes de

detallar la implementación del sistema de información.

Para la organización SPC se identifica inicialmente un activo esencial la Red Local, ya que

sustenta la disponibilidad de todos los sistemas de información.

Los activos esenciales pueden ser de tipo ‘información’ o de tipo ‘servicio’. O una mezcla de

ambos. Es importante que se logre identificar por un nombre que se entienda por la organización

y sus colaboradores.

40

2.3.2 Clasificación.

En Pilar los Activos puede ser clasificado según el servicio o la necesidad que solventen.

Dentro de la organización se pueden identificar como Servicios Internos aquellos que cumplen

con una determinada funcionalidad, en el caso de la intranet esta maneja información,

divulgación de información y procesos internos. De esta manera también es posible identificar

activos que tiene que ver con equipos, aplicaciones, comunicaciones y activos de la información

como se muestra en la siguiente imagen:

Ilustración 7 Creación y clasificación de activos.

2.3.3 Amenazas

Todo Activo de la información está expuesto a un número finito de amenazas la cuales se

pueden identificar según el servicio que preste, la locación, la dependencia de otros servicios o

factores ambientales entre muchos más. Un ejemplo de ello son las amenazas a la que está

expuesta la red local, la herramienta PILAR presenta una serie de amenazas viables para

cualquier activo por ejemplo Desastres Naturales, de origen industrial, ataques deliberados por

terceros entre otros como bien lo menciona (Magerit V3.0 Metodología de Análisis y Gestión de

Riesgo de los Sistemas de Información, 2012, p27.) El proceso de identificación de amenazas

41

sobre un activo como por ejemplo La Red Local tiene como origen el análisis en sitio que se

realizó a ese activo y es posible especificar amanezcas como:

1. Alteración de la información: Por medio de la visita en sitio se logra evidenciar que el

Rack de Comunicaciones de la organización SPC no cuenta con seguridad física lo que puede

ocasionar manipulación de la información o cambios en su configuración física y lógica.

2. Intercepción de la información: Por medio de la visita en sitio se logra evidenciar que el

Rack de Comunicaciones de la organización SPC no cuenta con seguridad física, lo que genera

que los puertos Etherner de los equipos de comunicación (Switch y Router) se encuentren

disponibles a la conexión de herramientas de intercepción de la información por parte de terceros.

Se logra identificar que la organización SPC Colombia cuenta con un firewall en su

infraestructura lo que generan amenazas para la intercepción de la información.

2.3.4 Variable medición de riesgo

Magerit recomienda como mejora continua analizar los riesgos que se encuentran en un

sistema de información dentro de una organización con el fin de determinar los siguientes

factores sobre un sistema informáticos.

Como es, cuánto vale y como protegerlo. «En coordinación con los objetivos, estrategia y

política de la Organización, las actividades de tratamiento de los riesgos permiten elaborar un

plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de

riesgo que acepta la Dirección. Al conjunto de estas actividades se le denomina Proceso de

Gestión de Riesgos.» (MAGERIT, 2012)

Al generar procesos de mejora continua que reduzcan los riesgos a los que está expuesta una

organización y sus sistemas de información, involucra la participación de todos los colaboradores

42

o personal que tiene un contacto directo y/o indirecto con los sistemas y activos de la

información, gracias a la divulgación de los objetivos que contiene una política de seguridad de la

información permite que los usuarios en conjunto cumplan con los objetivos de las misma. El

conjunto de estas actividades se le identifica como Proceso de Gestión de Riesgos.

En la actualidad los sistemas de información presentan modificaciones y actualizaciones

constantes ya que estos están unidos directamente a las tecnologías de hardware las cuales están

en constante evolución. De acuerdo con la anterior afirmación existe «evolución continua tanto

propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica

en la que se aprende de la experiencia y se adapta al nuevo contexto.» (MAGERIT Versión 3

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información libro 1, 2012, p10)

43

Marco Conceptual

• Sistemas de Información: «Un Sistema es un conjunto de componentes que interactúa

entre sí para lograr un objetivo en común» (Fernández Alarcón, 2006, p11.)

• Trasformación Digita: «es la aplicación de tecnología para desarrollar nuevos modelos,

procesos software y sistemas de negocio para así generar ingresos más rentables, mayor

ventaja competitiva y mayor eficacia» (Marulanda L,Pag 8 , 2018)

• Ciberataque: «Actos que los delincuentes informáticos llevan a cabo como parte de sus

actividades delictivas virtuales» (Digital, 2018)

• Hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o

un sistema informático.

• Software: «Término genérico que se aplica a los componentes no físicos de un sistema

informático, como p. ej. los programas, sistemas operativos, etc., que permiten a este

ejecutar sus tareas: compré el ordenador con el software necesario para llevar la

contabilidad del negocio.» (WordReference, 2019)

• INCONTEC: entidad de carácter privado, sin ánimo de lucro, cuya misión es fundamental

para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el

sector gubernamental y apoya el sector privado del país, para lograr ventajas competitivas

en los mercados interno y externo”

• Pyme: Empresa pequeña o mediana en cuanto a volumen de ingresos, valor del

patrimonio y número de trabajadores.

• Ciberseguridad: «Es la protección de activos de la información a través de tratamientos de

amenazas, que ponen en riesgo la información que es procesada, almacenada y

44

transportada por los sistemas de Información.» (Gualotuña Guato, & Quilumbaqui

Muenala, 2016, P.548)

• Malware: Programa con código malicioso que produce daños a ordenadores, celulares y

otros dispositivos electrónicos.

• Antivirus: Software que gestiona y mitiga los Malware.

• Firewall: «Firewall puede ser un dispositivo físico o un software sobre un sistema

operativo.» (Esperanza Morrocho, 2013, p.9)

• Switch: Dispositivo de interconexión a otros equipos que generan paquetes de

información que requieren ser transportados entre host.

• VPN: Red Privada Virtual.

• SGSI: Sistema de Gestión de Seguridad de la Información, concepto para la gestión de la

seguridad de la información.

45

Resultados

Se presenta un modelo de Ciberseguridad para la empresa SPC Colombia, basado en la norma

ISO 27002 la cual «establece directrices y principios generales para iniciar, implementar,

mantener y mejorar la gestión de la seguridad de la información en una organización.» (Incontec,

2007). El modelo tiene como fundamentos iniciales el análisis y gestión de riesgos de los activos

de información según la metodología Magerit. El modelo consta con una estructura de varios

anexos donde se presentan análisis, controles, políticas; el conjunto de esta documentación

representa un modelo de Ciberseguridad para la Organización SPC Colombia.

A continuación, se procede a describir los diferentes resultados encontrados:

Caracterización de los activos

El objetivo de estas tareas es reconocer los activos que componen el sistema, definir las

dependencias entre ellos, y determinar que parte del valor del sistema se soporta en cada activo.

Levantamiento de información y estructuración.

Se procedió a generar un inventario de todos los activos de la información físicos, encontrando

así 28 equipos informáticos los cuales fueron estructurados de la siguiente forma:

1. Numero de ID: cada activo de información se le asigna un ID único.

2. Serial: Cada Activo de información contempla un numero serial es cual es documentado.

3. Tipo: Se clasifica el activo de información según el tipo ejemplo: Impresora, ordenador,

equipo de comunicación, periférico.

4. Ubicación: se establece la ubicación física del activo.

5. Clasificación: Se establecen tres criterios de clasificación (custodio, reservada y publica)

esta clasificación esta evaluada por el tipo de información.

46

6. Criticidad: se establece tres niveles de criticidad (Alta, Media Baja) esta asignación se

determinó por el grado de impacto que tiene el activo dentro de la organización.

7. Responsable del Activo: A cada activo de información se le asigna un responsable

(usuario).

Clasificación de Activos.

«Un activo es un Componente o funcionalidad de un sistema de información susceptible de ser

atacado deliberada o accidentalmente con consecuencias para la organización. Incluye:

información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones,

recursos administrativos, recursos físicos y recursos humanos.» ((Magerit Libro I Metodo),

2012). Dentro de la identificación de activos de información se encontraron un total de 34

activos; de acuerdo con esto se procedió a estructurar los activos en una tabla de la siguiente

forma:

1. Sigla de tipo de Activo: Cada Activo se le asigna una sigla para su que su identificación

sea asertiva.

2. Tipo de Activo: asociando al activo según corresponda según servicio, dato de

información, software, equipos informáticos y redes de comunicaciones.

47

Tabla 6 Identificación, clasificación, descripción de activos de información

Dimensión de Valorización del activo

La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más

valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de

seguridad que sean pertinentes. ((Magerit Libro I Metodo), 2012)

Es importante que la valoración se oriente sobre los tres pilares de la información

(Confidencialidad, Integridad y Disponibilidad). En donde el grado de confidencialidad lo

determinaría la propiedad que tiene la información de estar disponible a ciertos niveles de

usuarios, colaboradores o entidades.

Convencion Tipo Activo Clasificacion Descripcion de la Clasificacion Sigla de Tipo de Activo Descripcon de tipo de Activo

www(Word Wide Web) Pagina Web admminstrada por la organización de uso publ ico

EXT(Usuarios Externos Bajo relacion Contractual ) Correos eletronicos generados por la organiacion enviados a Terceros .

emai l (correo electronico) Correos eletronicos generados por la organiacion de uso interno

edi (Intercambio electronico de Datos) Intercambio de datos por medio de correos electronicos

pki (infrestructura de clave publ ica) fi rmas digi ta les

INT(internos a usuarios de la propia

organización)Intranet, Licencia de Office

BD (base de Datos) Base de Datos Cl ientes , usuarios internos y externos .

FTP(tranferencia de ficheros) Servidor FTP de transferencia de archivos internos .

PTEL (Proveedor Telecumunicaciones) Proveedor de servicio de Internet y telefonia

VPN(Virtual Nekword Private) Red vi rtual Privada

PIMP(Proveedor de Impres ión) Proveedor de servicios de Impres ión

COM (Datos comercia les ) Bases de datos , correo electronico.

INT (Datos de gestion interna) Excel , carpetas compartidas , FTP.

LOG (Regis tro de actividades) Log de eventos ,

SECRET (Datos clas i ficados) S(nivel confidencia l ), R(di fus ion l imitada), UC(s in clas i ficar), PV(carácter publ ico).

MULTI (Multimedia) Video conferencia , fotos , presentaciones , chat (Skype).

PER (Datos de carácter personal ) Socia l Media (Whatasapp, Facebook, Instagram, Twitter).

MF (Medios Fis icos)Documentos impresos , copias , regis tros , contratos , otros i , hojas de respuestas ,

memorandums.

SW Software N/A N/A SOFT (Software)

Servidor de ficheros , Desarrol lo sub contratado, IMAIL (correo corporativo), DBMS

(Sis tema de gestion de Base de datos), Ofimatica , AV (Antivi rus ), OS (Sis tema

Operativo).

EqG(Equipos grandes) Servidor

EqM(Equipos medianos) PC Corpotativos , Portati les

EqV(Equipos Virtuales ) Maquinas Virtuales

BK(Equipos de respaldo) N/A

Permet(Equipos peri fericos) Camaras de PC, Al tavoces , Diademas, Microfonos , Teclados , Mouse.

SW(Switch) Equipo capa 2.

WAP( Punto de acceso ina lambrico) AP(Access Point)

PABX(Centra l i ta telefonica) Planta Telefonica

CCTV(Circuito cerrado de TV) Camaras de monitoreo

FW(Firewal l ) Equipo perimetra l .

RO(Enrutador) Equipo capa 3.

RTC(Red Telefonica Conmutada) Planta Telefonica

LAN(Red Local ) Red de Area Local

VPN(Virtual Netword Private) Red de conexión privada

WLAN(Wireless Local Area Network) Red Ina lambrica

Servicios Indirectos

S

Finales

HW Equipos Informaticos

PROPIOS

CONTRATADOS

COM

DF

Prestados por la organización a terceros

Instrumentales Medios y usuarios Propios

Otra organización que porporciona otros mediosContratados

Redes de

ComunicacionesN/A N/A

Privado Datos impres indibles para la Organización

Datos de Informacion

Sens ible Datos Impres indibles para los colaboradores

Servicios

48

Sigla de Tipo de Activo Descripcon de tipo de Activo Confidencia l idad Integridad Disponibi l idad

www(Word Wide Web) Pagina Web admminstrada por la organización de uso publ ico Publ ico Sens ible Alta

EXT(Usuarios Externos Bajo relacion Contractual ) Correos eletronicos generados por la organiacion enviados a Terceros . Publ ico Baja Alta

emai l (correo electronico) Correos eletronicos generados por la organiacion de uso interno Interno Normal Alta

edi (Intercambio electronico de Datos) Intercambio de datos por medio de correos electronicos Publ ico Normal Alta

pki (infrestructura de clave publ ica) fi rmas digi ta les Interno Sens ible Alta

INT(internos a usuarios de la propia

organización)Intranet, Licencia de Office Interno Sens ible Alta

BD (base de Datos) Base de Datos Cl ientes , usuarios internos y externos . Confidencia l Sens ible Alta

FTP(tranferencia de ficheros) Servidor FTP de transferencia de archivos internos . Interno Sens ible Alta

PTEL (Proveedor Telecumunicaciones) Proveedor de servicio de Internet y telefonia Interno Sens ible Alta

VPN(Virtual Nekword Private) Red vi rtua l Privada Interno Sens ible Alta

PIMP(Proveedor de Impres ión) Proveedor de servicios de Impres ión Interno Baja Media

COM (Datos comercia les ) Bases de datos , correo electronico. Interno Sens ible Alta

INT (Datos de gestion interna) Excel , carpetas compartidas , FTP. Interno Sens ible Media

LOG (Regis tro de actividades) Log de eventos , Confidencia l Normal Baja

SECRET (Datos clas i ficados) S(nivel confidencia l ), R(di fus ion l imitada), UC(s in clas i ficar), PV(carácter publ ico). Confidencia l Sens ible Alta

MULTI (Multimedia) Video conferencia , fotos , presentaciones , chat (Skype). Publ ico Normal Baja

PER (Datos de carácter personal ) Socia l Media (Whatasapp, Facebook, Instagram, Twitter). Publ ico Baja Baja

MF (Medios Fis icos )Documentos impresos , copias , regis tros , contratos , otros i , hojas de respuestas ,

memorandums.Interno

Sens ibleAlta

SOFT (Software)

Servidor de ficheros , Desarrol lo sub contratado, IMAIL (correo corporativo), DBMS

(Sis tema de gestion de Base de datos), Ofimatica , AV (Antivi rus ), OS (Sis tema

Operativo).

Confidencia l

Sens ible

Alta

EqG(Equipos grandes) Servidor Confidencia lSens ible

Alta

EqM(Equipos medianos) PC Corpotativos , Portati les Interno Normal Media

EqV(Equipos Virtua les ) Maquinas Virtua les Confidencia l Sens ible Alta

BK(Equipos de respaldo) N/A Interno Sens ible Media

Permet(Equipos peri fericos) Camaras de PC, Al tavoces , Diademas, Microfonos , Teclados , Mouse. Interno Normal Baja

SW(Switch) Equipo capa 2. Confidencia l Normal Alta

WAP( Punto de acceso ina lambrico) AP(Access Point) Interno Baja Baja

PABX(Centra l i ta telefonica) Planta Telefonica Interno Sens ible Alta

CCTV(Circui to cerrado de TV) Camaras de monitoreo Confidencia l Sens ible Alta

FW(Firewal l ) Equipo perimetra l . Confidencia l Sens ible Alta

RO(Enrutador) Equipo capa 3. Confidencia l Sens ible Alta

RTC(Red Telefonica Conmutada) Planta Telefonica InternoSens ible

Alta

LAN(Red Local ) Red de Area Local Interno Sens ible Alta

VPN(Virtual Netword Private) Red de conexión privada Interno Sens ible Alta

WLAN(Wireless Local Area Network) Red Ina lambrica Interno Baja Baja

Dimension de Valoracion del Activo

49

Bibliografía

(Magerit Libro I Metodo). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información . Recuperado el 01 de 04 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.XL0CDTAzbIX

(Magerit Libro III). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información, Libro III - Guía de Técnicas. Recuperado el 01 de 04 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.XL0CDTAzbIX

(PAe). (2019). Portal de Administración Electrónica. Recuperado el 09 de 03 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.XLvRyTAzbIW

Abril, A; Pulido, J; Bohada A. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista

Ciencia, Innovación y Tecnolog, 40.

Abril, A; Pulido, J; Bohada A,. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista

Ciencia, Innovación y Tecnolog, 40.

Boston Consulting Group. (Abril de 2015). The Future of Productivity and growth in Manufacturing

Industries. Recuperado el Febrero de 2019, de https://www.zvw.de/media.media.72e472fb-

1698-4a15-8858-344351c8902f.original.pdf

Carpentier, J. (Mayo de 2016). La seguridad informática en la PYME, Situación actual y mejoras de

prácticas. Barcelona: Eni Ediciones.

Confecámaras. (Julio de 2018). Informe de Dinámica Empresarial en Colombia. Recuperado el 15 de

Enero de 2019, de https://incp.org.co/Site/publicaciones/info/archivos/Informe-de-Dinamica-

Empresarial-2018-16072018.pdf

Gaona Vásquez, K. R. (Octubre de 2013). Aplicación de la Metodología Magerit para el análisis y gestion

de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito

S.A en la ciudad de Machala. Recuperado el 05 de 04 de 2019, de

https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf

Imagine Easy Solutions. (09 de 2016). Normas APA. Obtenido de http://normasapa.net/

(s.f.). La norma ISO 27001 Aspectos claves de su diseño e implementación. ISOTOOLS Excellence.

Leiva, E. A. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en Enfoque

Top-Down desde una Visión Global a una Visión Local. Obtenido de

https://www.researchgate.net/publication/283665002_Estrategias_Nacionales_de_Cibersegurid

ad_Estudio_Comparativo_Basado_en_Enfoque_Top-

Down_desde_una_Vision_Global_a_una_Vision_Local

MAGERIT. (2012). Metodologia de analisis y Gestion de Riesgos de los Sistemas Informacion.

50

Marcela, D. (2015). pediente. Obtenido de pendiente: www.pendiente.com.co

Marulanda L, , L. M. (2018). Retos y Tendencias de la Transformación Digital para la Empresa

Colombiana: Desafío de personas no de tecnología. Bogotá: Universidad Militar NUeva Granada,

Facultad de Ciencias Economicas, Programa de Administracion de Empresas. Recuperado el 18

de 03 de 2019, de

https://repository.unimilitar.edu.co/bitstream/handle/10654/17490/MarulandaLopezLuisaMari

a2018.pdf?sequence=1&isAllowed=y

Mendeley. (09 de 2016). Mendeley. Obtenido de https://www.mendeley.com/

Monclús, J. (2007). Planes Estratégicos de seguridad vial, Fundamentos y casos practicos. España: Etrasa.

Rodriguez, J. R., Garcia, M., & Lam, J. (2007). Gestión de proyectos informaticos: métodos, herramientas y

casos. Barcelona: UOC.

Roy Rosenzweig Center for History and New Media. (09 de 2016). Zotero. Obtenido de

https://www.zotero.org

Sáenz, J. (09 de 09 de 2016). Wiki Sistemas Digitales. Obtenido de http://sistdig.wikidot.com

SOLARTE SOLARTE, F. N. (4 de Julio de 2016). Sistema de gestión de seguridad informática - SGSI.

Obtenido de http://blogsgsi.blogspot.com/2016/07/eatandar-magerit-de-analisis-

evaluacion.html

SOLARTE SOLARTE, F. N. (04 de 07 de 2016). Sistema de gestión de seguridad informática - SGSI.

Recuperado el 08 de 04 de 2019, de http://blogsgsi.blogspot.com/

Suárez, R. (2015). Energías renovables, Impacto y Efectividad. Revista Científica Ingeniería y Desarrollo en

Energía, 48-53.

Thomson Reuters. (09 de 2016). EndNote. Obtenido de http://endnote.com/

Vilar Barrios, J. F., Gómez Fraile, F., & Tejero Monzón, M. (1997). Las 7 nuevas herramientas para la

mejora de calidad. FC Editorial.

Voutssas M, J. (2010). Preservación documental digital y seguridad informática. Coyoacán: Centro

Universitario de Investigaciones Bibliotecológicas de la UNAM.

(Magerit Libro I Metodo). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información . Recuperado el 01 de 04 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri

t.html#.XL0CDTAzbIX

(Magerit Libro III). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información, Libro III - Guía de Técnicas. Recuperado el 01 de 04 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.XL0CDTAzbIX

51

(PAe). (2019). Portal de Administración Electrónica. Recuperado el 09 de 03 de 2019, de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae

_Magerit.html#.XLvRyTAzbIW

Abril, A; Pulido, J; Bohada A. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista

Ciencia, Innovación y Tecnolog, 40.

Abril, A; Pulido, J; Bohada A,. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista

Ciencia, Innovación y Tecnolog, 40.

Boston Consulting Group. (Abril de 2015). The Future of Productivity and growth in Manufacturing

Industries. Recuperado el Febrero de 2019, de https://www.zvw.de/media.media.72e472fb-

1698-4a15-8858-344351c8902f.original.pdf

Carpentier, J. (Mayo de 2016). La seguridad informática en la PYME, Situación actual y mejoras de

prácticas. Barcelona: Eni Ediciones.

Confecámaras. (Julio de 2018). Informe de Dinámica Empresarial en Colombia. Recuperado el 15 de

Enero de 2019, de https://incp.org.co/Site/publicaciones/info/archivos/Informe-de-Dinamica-

Empresarial-2018-16072018.pdf

Gaona Vásquez, K. R. (Octubre de 2013). Aplicación de la Metodología Magerit para el análisis y gestion

de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito

S.A en la ciudad de Machala. Recuperado el 05 de 04 de 2019, de

https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf

Imagine Easy Solutions. (09 de 2016). Normas APA. Obtenido de http://normasapa.net/

(s.f.). La norma ISO 27001 Aspectos claves de su diseño e implementación. ISOTOOLS Excellence.

Leiva, E. A. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en Enfoque

Top-Down desde una Visión Global a una Visión Local. Obtenido de

https://www.researchgate.net/publication/283665002_Estrategias_Nacionales_de_Cibersegurid

ad_Estudio_Comparativo_Basado_en_Enfoque_Top-

Down_desde_una_Vision_Global_a_una_Vision_Local

MAGERIT. (2012). Metodologia de analisis y Gestion de Riesgos de los Sistemas Informacion.

Marcela, D. (2015). pediente. Obtenido de pendiente: www.pendiente.com.co

Marulanda L, , L. M. (2018). Retos y Tendencias de la Transformación Digital para la Empresa

Colombiana: Desafío de personas no de tecnología. Bogotá: Universidad Militar NUeva Granada,

Facultad de Ciencias Economicas, Programa de Administracion de Empresas. Recuperado el 18

de 03 de 2019, de

https://repository.unimilitar.edu.co/bitstream/handle/10654/17490/MarulandaLopezLuisaMari

a2018.pdf?sequence=1&isAllowed=y

Mendeley. (09 de 2016). Mendeley. Obtenido de https://www.mendeley.com/

Monclús, J. (2007). Planes Estratégicos de seguridad vial, Fundamentos y casos practicos. España: Etrasa.

52

Rodriguez, J. R., Garcia, M., & Lam, J. (2007). Gestión de proyectos informaticos: métodos, herramientas y

casos. Barcelona: UOC.

Roy Rosenzweig Center for History and New Media. (09 de 2016). Zotero. Obtenido de

https://www.zotero.org

Sáenz, J. (09 de 09 de 2016). Wiki Sistemas Digitales. Obtenido de http://sistdig.wikidot.com

SOLARTE SOLARTE, F. N. (4 de Julio de 2016). Sistema de gestión de seguridad informática - SGSI.

Obtenido de http://blogsgsi.blogspot.com/2016/07/eatandar-magerit-de-analisis-

evaluacion.html

SOLARTE SOLARTE, F. N. (04 de 07 de 2016). Sistema de gestión de seguridad informática - SGSI.

Recuperado el 08 de 04 de 2019, de http://blogsgsi.blogspot.com/

Suárez, R. (2015). Energías renovables, Impacto y Efectividad. Revista Científica Ingeniería y Desarrollo en

Energía, 48-53.

Thomson Reuters. (09 de 2016). EndNote. Obtenido de http://endnote.com/

Vilar Barrios, J. F., Gómez Fraile, F., & Tejero Monzón, M. (1997). Las 7 nuevas herramientas para la

mejora de calidad. FC Editorial.

Voutssas M, J. (2010). Preservación documental digital y seguridad informática. Coyoacán: Centro

Universitario de Investigaciones Bibliotecológicas de la UNAM.