modelo de ciberseguridad para la empresa space cargo(spc
TRANSCRIPT
1
Modelo de Ciberseguridad para la empresa Space
Cargo(SPC) Colombia
Cristian Alejandro Gómez Prada
Cristian David González Calderón
Ivan Dario Landinez Duarte
Johan Steven Espinosa Carrillo
Fundación Universitaria Unipanamericana – Compensar
Facultad de Ingeniería, Ingeniería de Telecomunicaciones
Bogotá, Colombia
2019
2
Modelo de Ciberseguridad para la empresa SPC
Colombia
Cristian Alejandro Gómez Prada
Cristian David Gonzalez Calderon
Ivan Dario Landinez Duarte
Johan Steven Espinosa Carrillo
Trabajo de grado presentado como requisito parcial para optar al título de:
Ingeniero de Telecomunicaciones
Director (a):
Ingeniero Flavio Andrés Cuellar Arias.
Línea de Investigación:
Redes, telemática y telecomunicaciones.
Grupo de Investigación:
GIIS
Fundación Universitaria Unipanamericana – Compensar
Facultad de Ingeniería, Ingeniería Telecomunicaciones
Bogotá, Colombia
2019
3
Resumen
Actualmente las organizaciones públicas y privadas desarrollan sus procesos de negocios por
medio de sistemas de información, generando un ahorro en costos y tiempo sobre la ejecución de
sus actividades, esta sistematización conduce a que las organizaciones sean competitivas y
eficientes frente al mercado.
De acuerdo al Ministerio de Tecnologías de la Información y las Comunicaciones (Mintic)
entre los años 2017 y 2018 se concluye que las conexiones a internet de banda ancha en el país
han aumentado en 1.9 millones de acuerdo a las estadísticas reportadas por las empresas de
telecomunicaciones al Mintic. (Mintic. 2018. Pag.08).
La aplicabilidad de los Sistemas de información genera nuevos retos para las organizaciones
debido a que la información trasmitida deberá cumplir con medidas para la reducción de riesgos y
control de amenazas, logrando que los activos de la información cumplan con los tres pilares,
seguridad, confidencialidad y disponibilidad. De acuerdo con las cifras obtenidas del informe
anual 2018 sobre ciberseguridad que realizó la empresa Cisco, se observa un aumento del 300%
en ciberataques a las redes de comunicación ocasionados por Malware, durante un periodo de 12
meses se analizaron más de 400.000 códigos maliciosos, los cuales alrededor del 70% causaron
encriptación de información afectando a empresas y personas naturales. (Cisco. 2018. Pag.09).
Referente a los antecedentes anteriormente mencionados es correcto concluir que existe un
comportamiento exponencial entre las conexiones a internet y los ciberataques, es por ello por lo
que se hace necesario generar un modelo de ciberseguridad que permita reducir la materialización
de los ciberataques a organizaciones.
4
El modelo de ciberseguridad está basado en la Norma Técnica Colombiana NTC-ISO/IEC
27002 y estará aplicada a la organización Space Cargo Colombia (SPC).
La organización SPC Colombia categorizada como Pyme, ubicada en la cuidad, Bogotá D.C,
es una empresa dedicada al trasporte internacional de mercancías; dentro de la organización
laboran en total once personas que se establecen dentro del organigrama Comercial, logística,
Gerencia y Operaciones. La organización cuenta con una infraestructura o elementos propios de
telecomunicaciones la cual se compone de Switch, Router, Virtual Network Private (VPN),
equipos de cómputo (computadores de escritorios o portátiles) los elementos anteriormente
mencionados no cuentan con herramientas y controles de protección básicos como los son
antivirus, firewalls, actualización de Sistemas Operativos (S.O), contraseñas de usuarios y copias
de seguridad.
Para laborar un modelo de Ciberseguridad es necesario realizar un levantamiento de
información de todos los activos que se encuentran de forma física y digital de la organización,
para lo cual es necesario clasificar los activos en Hardware, Software, equipamientos auxiliares y
periféricos. Posteriormente se generar un inventario de equipos informáticos en donde se tomaron
en cuenta las siguientes de varíales, placa de inventario, serial, área correspondiente, nombre del
activo, clasificación del activo y criticidad.
Para poder realizar la clasificación de los activos de información se propone, la metodología
de Análisis y Gestión de Riesgo de los Sistemas de Información de las Administraciones Públicas
(Magerit versión 3), el cual se compone de tres libros, el primero titulado «Método», segundo
«Catalogo de Elementos» y tercero «Guía de Técnicas». Lo que permite especificar la
valorización del activo según la confidencialidad, integridad y disponibilidad en dimensiones
cuantitativas y cualitativas. Magerit propone identificar las amenazas a la que está expuesto un
5
activo de la organización, segmentándolas de la siguiente forma: desastres naturales, de origen
industrial, errores y fallos no intencionados y ataques intencionados. De acuerdo con la
identificación previamente realizada, se establece una relación directa con los tres pilares de la
información.
En consecuencia, de lo anterior los activos de información son víctimas de amenazas sin
producir una afectación total del mismo, por consiguiente, al perjudicar el activo este se ve
impactado el valor en dos criterios; la primera hace referencia a degradación y segundo define la
probabilidad. La degradación mide el daño causado por un incidente en dado caso de que se
materialice la amenaza; la probabilidad se modela cualitativamente por medio de una escala
nominal donde se recurre a una tasa anual de ocurrencia. Para Magerit los activos de información
deben ser evaluados según su degradación en función del tiempo, tomando horas, días, meses y
años.
Una vez realizado el análisis siguiendo los parámetros establecidos por Magerit para la
identificación de las amenazas se concluye que es conveniente seleccionar, generar y proponer
controles y políticas para garantizar la reducción de las amenazas. Los controles y políticas deben
ser aplicables a toda la organización para satisfacer la gestión de continuidad de los procesos
informáticos.
Palabras clave: Seguridad Informática, Ciberseguridad, Política de Seguridad, Metodología
Magerit.
6
Abstract
At present the public and private organizations develop its business processes by means of
information systems, generating a saving in costs and time on the execution of its activities, this
systematization drives to that the organizations are competitive and efficient opposite to the
market.In accordance with.
The Department of Information technologies and the Communications (Mintic) between the
year 2017 and 2018 it ends that the connections to Internet of wide band in the country, have
increased in 1.9 millions in accordance with the statistics brought by the companies of
telecommunications to the Mintic. (Mintic. 2018. P. 08).
The applicability of the information Systems generates new challenges for the organizations
because the transmitted information will have to expire with measurements for the reduction of
risks and control of threats, achieving that the assets of the information expire with three props,
safety, confidentiality and availability. In accordance with the obtained numbers of the annual
report 2018 on cybersafety that the company Slack realized, observes an increase of 300 % in
cyberattacks on the networks of communication caused by Malware, during a period of 12
months there were analyzed more than 400.000 malicious codes, which about 70 % caused
encriptación of information affecting companies and natural persons. (Slack. 2018. P. 09).
Regarding the precedents previously mentioned it is correct to conclude that an exponential
behavior exists between the connections to Internet and the cyberattacks, it is for it therefore it
becomes necessary to generate a cybersafety model that allows to limit the materialization of the
cyberattacks to organizations.
7
The cybersafety model is based on the Colombian Technical Norm NTC-ISO/IEC 27002 and
it will be applied to the organization Space Cargo Colombia (SPC).
The organization SPC Colombia categorized like Pyme, located in take care of Bogota D.C, it
is a company dedicated to the international trasporte of goods; inside the organization there work
in whole eleven persons who settle inside the Commercial flow chart, logistics, Management and
Operations. The organization is provided with an infrastructure or proper elements of
telecommunications which consists of Switch, Router, Virtual Network Private (VPN), teams of
calculation (offices computers or portable) the elements previously mentioned are not provided
with hardware and basic control panel of protection as there them are antiviruses, firewalls,
update of Operating systems (S.O), users' passwords and safety copies.
To work a cybersafety model is necessary to realize a raising of information of all the assets
that are of physical and digital form of the organization, for which it is necessary to classify the
assets under Hardware, Software, auxiliary and peripheral equipments. Later to generate an
inventory of computer teams where they were taken into consideration
In order to make the classification of information assets is proposed, the methodology of Risk
Analysis and Management of Public Administration Information Systems (Magerit version 3),
which consists of three books, the first entitled «Method» , second «Catalog of Elements» and
third «Guide of Techniques». This allows us to specify the valuation of the asset according to
confidentiality, integrity and availability in quantitative and qualitative dimensions. Magerit
proposes to identify the threats to which an asset of the organization is exposed, segmenting them
as follows: natural disasters, of industrial origin, errors and unintentional failures and deliberate
attacks. According to the identification previously made, a direct relationship is established with
the three pillars of the information. Consequently, the information assets are victims of threats
8
without producing a total impact, therefore, by damaging the asset, the value is impacted in two
criteria; the first one refers to degradation and the second one defines probability. Degradation
measures the damage caused by an incident in case the threat materializes; the probability is
modeled qualitatively by means of a nominal scale where an annual rate of occurrence is used.
For Magerit, information assets must be evaluated according to their degradation as a function of
time, taking hours, days, months and years.
Once the analysis has been carried out following the parameters established by Magerit for the
identification of the threats, it is concluded that it is convenient to select, generate and propose
controls and policies to guarantee the reduction of threats. The controls and policies must be
applicable to the entire organization to satisfy the management of continuity of the computer
processes. Keywords: Computer Security, Cybersecurity, Security Policy, Magerit Methodology.
9
Contenido
Resumen ........................................................................................................................................................ 3
Abstract ......................................................................................................................................................... 6
Contenido ...................................................................................................................................................... 9
Lista de Tablas ............................................................................................................................................. 11
Lista de Figuras ............................................................................................................................................ 12
Introducción ................................................................................................................................................ 13
Antecedentes y Justificación ....................................................................................................................... 15
Objetivo General ......................................................................................................................................... 17
Objetivos Específicos ................................................................................................................................... 17
Alcances y Limitaciones ............................................................................................................................... 18
1. Alcances ........................................................................................................................................... 18
2. Limitaciones ..................................................................................................................................... 18
Capitulo Estado del Arte .............................................................................................................................. 19
1. Estrategia De Fundamentos Teóricos .............................................................................................. 19
1.1. Descripción de la norma ISO/IEC 27000. ................................................................................. 19
2. Disponibilidad .................................................................................................................................. 21
3. Integridad ........................................................................................................................................ 21
4. Confidencialidad .............................................................................................................................. 22
5. Prueba ............................................................................................................................................. 22
6. Autenticación .................................................................................................................................. 22
7. Trazabilidad ..................................................................................................................................... 23
8. Método PDCA o rueda de Deming .................................................................................................. 23
8.1. Planificar. ................................................................................................................................. 24
8.2. Hacer. ...................................................................................................................................... 24
8.3. Verificar. .................................................................................................................................. 24
8.4. Actuar. ..................................................................................................................................... 25
Capítulo 2 Gestión de Riesgos ..................................................................................................................... 25
2. Metodología de la gestión de riesgos en la toma de decisiones .................................................... 26
2.1 Cobit. ....................................................................................................................................... 27
2.2 Magerit. ................................................................................................................................... 29
10
2.2.1 Objetivos de Magerit. .......................................................................................................... 30
2.2.2 Pasos de la metodología. ..................................................................................................... 31
2.3 Pilar Basic. ................................................................................................................................ 38
Marco Conceptual ....................................................................................................................................... 43
Resultados ................................................................................................................................................... 45
Bibliografía................................................................................................................................................... 49
11
Lista de Tablas
Tabla 1 Tabla de Normas ISO27000. ......................................................................................... 1.
Tabla 2 Tipos de activos ............................................................................................................. 2.
Tabla 3 Relación de amenazas típicas ........................................................................................ 3.
Tabla 4 Degradación del valor del activo. .................................................................................. 4.
Tabla 5 Probabilidad de ocurrencia ........................................................................................... 5.
Tabla 6 Identificación, clasificación, descripción de activos de información ............................ 6.
12
Lista de Figuras
Ilustración 1 Ciclo PDCA Original ............................................................................................ 1
Ilustración 2 Gestión de Riesgo ................................................................................................... 2
Ilustración 3 Elementos de análisis potenciales .......................................................................... 3
Ilustración 4 Impacto repercutido de una amenaza sobre un activo ............................................ 4
Ilustración 5 Coste de la [interrupción de la] disponibilidad ...................................................... 5
Ilustración 6 Elementos de análisis residual. ............................................................................... 6
Ilustración 7 Creación y clasificación de activos. ....................................................................... 7
13
Introducción
La evolución de las tecnologías en las últimas décadas ha generado un incremento en las
conexiones a internet. De acuerdo con las estadísticas reveladas en el último informe del 2018
trimestral del Ministerio de Tecnologías de la Información y las Telecomunicaciones (MINTIC)
de 2,2 millones de conexiones en el 2010 se pasó a 8.8 millones de conexiones en el 2014. Este
comportamiento incremental requiere más activos de la información para empresas públicas,
privadas y personas naturales, los cuales están expuestos a ataques o delitos informáticos que
amenazan no solo la integridad, disponibilidad y confidencialidad (C.I.A por su sigla en inglés),
sino que pone en riesgo la infraestructura tecnológica tanto de entidades públicas como privadas.
(Marcela, D. 2015).
Desde este escenario, la información es sensible y valiosa para las organizaciones, ya que la
afectación de los activos implica un costo directo en la rentabilidad y puede generar una
degradación de la organización, en general. Tal es el caso de la empresa SPC Colombia, la cual
no cuenta con un modelo de ciberseguridad que garantice salvaguardar la información. Dentro de
la organización SPC Colombia se evidencia la necesidad de establecer metodologías para la
seguridad de la información, con el fin de salvaguardar la información dentro de los tres pilares
(C.I.A). Por consiguiente, el objetivo de este estudio es presentar una serie de análisis elaborados
a partir de la identificación de las amenazas, a las cuales los activos de información están
expuestos, generando la elaboración de diferentes documentos que permitan mitigar el impacto
14
que puede generar una amenazas sobre algún activo de la información, estos documentos en
conjunto representan un modelo de ciberseguridad y le permiten a la organización establecer
controles y políticas para que el objetivo se cumpla.
Dado esta situación, se propone un modelo de ciberseguridad con el objetivo de mitigar las
amenazas identificadas durante el proceso, de acuerdo a la ISO 27002 y Magerit. El presente
estudio realizado como consultoría propone un modelo de ciberseguridad. Para lograr ese modelo
de seguridad de la información se estableció; primero, por qué es necesario la seguridad de la
información; segundo, cómo se deben establecer los requerimientos de seguridad; tercero, evaluar
los riesgos y por último proponer una política referente a las amenazas.
El modelo propuesto cumple con las consideraciones, normativa ISO 27002, Magerit versión
3.0, politicas MinTic de seguridad informática las cuales son utilizadas «para brindar un soporte
y desarrollo al productor y protección al consumidor» (Incontec, 2007, Pag2).
15
Antecedentes y Justificación
La organización SPC Colombia identificada como una Pyme dentro del sector del Trasporte y
almacenamiento refleja en el año 2018 un aumento de empresas Pymes en el sector comercio con
una creación de 185.330 unidades productivas en el sector del Transporte y Almacenamiento,
según señala Confecámaras en su Informe de dinámica empresarial en el primer semestre del
2008.
La constitución de nuevas sociedades demuestra que la dinámica productiva de Colombia está
en incremento en un 2.9% respecto a un 2.7% del año 2007, de acuerdo a esta variación positiva
en la creación de nuevas sociedades se requiere incorporar Transformaciones Digitales (TD)
concepto que destaca el autor Marulanda, para lograr la eficiencia y optimización de los recursos
de las organizaciones; sin embargo, refiere otro concepto de tecnología industrial digital llamada
la Industria 4.0, indicando que es la industria del futuro ya que se presenta una evolución,
aplicación y crecimiento exponencial en toda su cadena de valor para desarrollar información en
tiempo real para nuevas oportunidades de negocio. (Marulanda L,Pag 4 , 2018)
La industria 4.0 recomienda tener nueve pilares [1], para el modelo de ciberseguridad se
enfatizará en el sexto pilar el cual referencia la Ciberseguridad como una serie de protocolos y
sistemas de seguridad que permite proteger, procesar y blindar la información contra acceso no
permitidos que se llegasen a presentar (Boston Consulting Group, 2015).
Debido al desarrollo tecnológico de las empresas se generan vulnerabilidades, exponiéndose a
métodos de ataques cibernéticos, para hacer mal uso de la información, causando que se pierda
16
reputación y disminuyendo los activos; según lo expone “la inversión en ciberseguridad es una
decisión financiera y operativa importante. Las inversiones típicas en tecnología de la
información apuntan a crear valor, mientras que las inversiones en ciberseguridad apuntan a
minimizar las pérdidas incurridas por los ciberataques.” (Chronopoulos M, 2017).
Una de las formas en que se puede utilizar para determinar el estado de seguridad de la
empresa es mediante una evaluación de riesgos. Este estudio propone un sistema experto para
determinar la posición o el nivel del sistema de seguridad de una empresa mediante una
evaluación de riesgos. El estándar de evaluación de riesgos se basa en la norma ISO 27002.
(Sihwi, S, 2016).
Por consiguiente, se evidencia que la organización SPC Colombia en su infraestructura no
cuenta con controles ni políticas de seguridad de la informática. Surge la necesidad de proteger
uno de los activos más importantes en la actualidad “La Información” por medio de una serie de
análisis, controles y políticas que minimicen y mitiguen la materialización de las amenazas y que,
a su vez, esto no represente una degradación general de la organización. Por esta razón y por los
antecedentes anteriormente mencionados se realiza un modelo de ciberseguridad que cumpla con
los tres pilares de la seguridad informática en la información.
17
Objetivo General
Presentar un modelo de ciberseguridad basado en la norma ISO 27002 que le permita a la
empresa SPC Colombia tener seguridad informática organizacional.
Objetivos Específicos
1. Realizar un inventario de los activos informáticos (hardware y software).
2. Elaborar la matriz de amenazas basándose en el inventario de los activos de información
de la organización.
3. Estipular controles que mitiguen las amenazas encontradas dentro de la organización.
4. Plantear modelo de ciberseguridad conforme a la metodología en gestión de análisis y
riesgos (Magerit).
5. Generar políticas de seguridad según lo evaluado en la matriz de amenazas
18
Alcances y Limitaciones
1. Alcances
1. Según el análisis presentado y en conjunto con la elaboración de las políticas, se espera
que dentro de la organización no haya una materialización de las amenazas.
2. Asegurar que la información se encuentre protegida a través de la política de seguridad
enfatizándose en el control de acceso a las cuentas de correo electrónico, plataformas en
la nube y cuentas de dominio, en cada una de las estaciones de trabajo de los
colaboradores.
3. Concientizar a los usuarios de la organización sobre la responsabilidad y el compromiso
de salvaguardar la información para garantizar la confidencialidad, disponibilidad e
integridad de la información.
2. Limitaciones
1. Dentro de la organización no se ejecutará la implementación del modelo de
ciberseguridad ni las políticas elaboradas en este documento, ya que este proceso debe ser
evaluado por la Organización SPC Colombia.
2. La utilización de software como Pilar para la evaluación de amenazas se descarta, ya que
la ejecución he implementación requiere licenciamiento y esto genera costos para la
organización.
3. Las amenazas se encuentran en constante evolución, por lo cual el modelo de
ciberseguridad en SPC Colombia debe de estar en constante actualización.
19
4. Cada control o política debe ser avalada por la compañía al momento de querer
implementarlas.
Capitulo Estado del Arte
Antes de ejecutar un sistema de seguridad de la información es necesario entender las normas
y los conceptos técnicos implicados en las metodologías de gestión de riesgo. Por eso, en este
capítulo se exponen los conceptos de norma ISO/IEC 27002, los tres pilares de Seguridad de la
Información, metodología PDCA ; cuya claridad es indispensable para el desarrollo del análisis y
modelo de ciberseguridad.
1. Estrategia De Fundamentos Teóricos
1.1. Descripción de la norma ISO/IEC 27000.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica
cómo puede una organización implantar un sistema de gestión de seguridad de la información
(SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27000 y otros sistemas de
gestión.
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados
por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización, pública o privada, grande o pequeña.
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan. En su
particularidad, la ISO 27001 argumenta que es una solución de mejora continúa con base a la cual
20
puede desarrollarse un SGSI que permita evaluar todo tipo de riesgos o amenazas susceptibles de
poner en peligro la información de una organización.
Tabla 1 Tabla de Normas ISO27000.
Fuente: Recuperado de Guía de Iniciación a Actividad Profesional Implantación de Sistemas de Gestión de la
Seguridad de la Información (SGSI) según la norma ISO 27001.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información
permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios
para mitigarlos o eliminarlos. La aplicación de ISO-27001 significa una diferenciación respecto
al resto, que mejora la competitividad y la imagen de una organización, en consecuencia, la
Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles
establecidos en la norma ISO 27002. La misma ISO27001 completa las buenas prácticas y
controles para implementar un sistema de seguridad informática y nos sugiere la guía de la iso
27002 para poder diseñar controles de ciberseguridad.
21
La norma ISO 27001 constituye uno de los referentes cuando se habla sobre la seguridad de la
información. Esta norma es muy relevante dentro de las organizaciones ya que tiene como
objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la
información.
Sin embargo, esta no es la única norma, hay otras que complementan las prácticas que
garantizan la seguridad de la información. La norma ISO 27002 es otra de las normas que orienta
el proceso de la seguridad informática, pues establece un catálogo de buenas prácticas que
determina, desde la experiencia, una serie de objetivos de control y controles que se integran
dentro de todos los requisitos de la norma ISO 27001 en relación con el tratamiento de los
riesgos.
2. Disponibilidad
La disponibilidad la podemos entender de acuerdo al seguimiento de quien, como, donde y
cuando acceden a la información, lo cual no significa que todos los documentos ya sean físicos y
virtuales estén a la disposición cuando sean requeridos; por lo tanto, podemos concluir que las
documentación en la organización tiene condiciones preestablecidas de acuerdo al grado de
acceso o permisos de usuarios. (Rodriguez, Garcia, & Lam, 2007).
La disponibilidad afecta directamente a la productividad de las organizaciones, ya que la no
disposición o interrupción de los recursos y servicios representan un costo que refleja en el
tiempo de producción y ejecución de actividades.
3. Integridad
Las características de la integridad es uno de los compendios más importantes para la
preservación y la confianza de un documento; en las organizaciones se debe garantizar la no
22
modificación o alteración fuera de los controles de manera no autorizada, por lo tanto, se debe
garantizar la preservación de todo tipo de dato. Un documento no debe presentar alteraciones o
corrupción (Voutssas M, 2010), no debe aparecer manipulado o incompleto; pues en caso de
presentarse alguna de estas anomalías dejaría de ser un documento confiable; afectando
directamente al correcto desempeño de las funciones de una Organización.
4. Confidencialidad
Confidencialidad refiere, por un lado, a que el acceso a la información solo será posible por
parte de las personas autorizadas que no será divulgada fuera del entorno determinado. Por otro,
se trata de la no divulgación de la información fuera del entorno determinado, lo cual implica la
protección contra la consulta de datos almacenados o intercambiados. La confidencialidad es
factible mediante un mecanismo de cifrado que garantiza la transferencia o almacenamiento de
datos. (Carpentier, 2016).
No proteger y no garantizar la confidencialidad supone minar la confianza de los demás en la
organización y el incumplimiento de leyes y compromisos contractuales relativos a la custodia de
los datos.
5. Prueba
Este concepto hace referencia al proceso por el cual se garantiza que el emisor de la
información está identificado y que tiene los derechos y accesos lógicos, además de que el
receptor identificado se encuentra autorizado para acceder a la información (Carpentier, 2016).
6. Autenticación
Propiedad o característica consistente en que una entidad es quien dice ser o bien que
garantiza la fuente de la que proceden los datos. Contra la autenticidad de la información
23
podemos tener manipulación del origen o el contenido de los datos. Contra la autenticidad de los
usuarios de los servicios de acceso, podemos tener suplantación de identidad (Carpentier, 2016).
7. Trazabilidad
Trazabilidad garantiza y proporciona los datos necesarios para determinar quién hizo qué y en
qué momento. La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y
aprender de la experiencia. La trazabilidad se materializa en la integridad de los registros de
actividad. ((Magerit Libro I Metodo), 2012)
8. Método PDCA o rueda de Deming
Esta herramienta tiene como objetivo identificar procesos dinámicos para el desarrollo
sistemático de la mejora continua dentro de la organización; es una adaptación japonesa del
“ciclo o rueda de Diming” donde resalta la interacción del avance en función de la continuidad
para cualquier proceso. (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997).
El ciclo de Deming, tiene su origen en la historia en 1940 con el estadounidense Walter A.
Shewart quien introduce tres palabra claves “Planificar, Desarrollar, y Ver” o en inglés “Plan, Do
and See”, varios años después el estadístico Edward W. Deming añadió la última fase “Actuar”;
donde se incluyó este nuevo termino dentro del ciclo para implementarlo en las empresas niponas
después de la segunda guerra mundial, aplicando la metodología a empresas de seguridad vial
(Monclús, 2007)
Ilustración 1 Ciclo PDCA Original
24
Fuente: Recuperado de (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997)
8.1. Planificar.
Se establecen procesos y objetivos para los resultados de acuerdo a las políticas de la
organización lo cual conlleva a desarrollar diferentes etapas para este plan de mejora; la primera
etapa consta del análisis o diagnostico actual; segundo, establecer objetivos; tercero,
identificación de los medios para lograr los objetivos y por último adjudicación de los recursos
para gestionar los medios (Vilar Barrios, Gómez Fraile, & Tejero Monzón, 1997).
8.2. Hacer.
Implementar los procesos o efectuar diagnóstico de la situación actual que pueda dar solución
a todas las labores necesaria para alcanzar el objetivo propuesto (Vilar Barrios, Gómez Fraile, &
Tejero Monzón, 1997).
8.3. Verificar.
Los inspectores o la persona de la organización de calidad comprueban que la guía si las
acciones de mejora permiten alcanzar los objetivos planificados; por lo cual los directivos y los
25
inspectores verifican los resultados en el análisis de riego que se realizó para su éxito. (Vilar
Barrios, Gómez Fraile, & Tejero Monzón, 1997).
8.4. Actuar.
La dirección analiza los resultados, tomando medidas para implantar los programas que han
conseguido los objetivos planificados haciendo que las mejoras sean permanentes y tomando
acciones correctoras en caso de que los resultados fueran no satisfactorios. (Vilar Barrios, Gómez
Fraile, & Tejero Monzón, 1997).
Capítulo 2 Gestión de Riesgos
Una vez aclarado los conceptos claves para el desarrollo del proyecto de grado, es
indispensable mencionar la metodología para gestionar los riesgos a los cuales están expuestos
los activos de información; por lo cual se establece una metodología de gestión de riesgos y toma
de daciones en cuanto a los criterios por fases de apoyo para la evaluación de riesgos (la cual
contempla una descripción en valoración de los activos dentro de los términos de CIA, amenazas
a los activos, vulnerabilidades y probabilidad de ocurrencia de las amenazas). La segunda fase se
describe la gestión de riesgo (Objetivos para determinar el nivel de riesgo aceptable). Fase tres
evoluciones (modificaciones realizadas desde la primera versión hasta la actualidad). Fase cuatro,
idioma (idioma del método, es esencial para dominar el vocabulario utilizado). Fase cinco,
cumplimiento. (la organización establece los criterios necesarios para la implementación y su
respectiva comunicación interna a sus colaboradores).
26
La correlación de los criterios para la evaluación de riesgos anteriormente mencionados nos
lleva a evaluar dos instrumentos para la evaluación de riesgos Magerit y Cobit; estas dos
metodologías son explicadas en detalle en este capítulo; pero es necesario establecer que el
modelo Magerit es el que más aplicabilidad tiene para la gestión de riesgos de Riesgo de los
Sistemas de Información y en la cual se basara el desarrollo de este proyecto, ya que evalúa el
análisis de riesgos con el tratamiento de los mismo y así poder obtener una gestión de riesgos.
Veamos con un poco más de detalle en qué consiste esta metodología.
2. Metodología de la gestión de riesgos en la toma de decisiones
Dentro de las organizaciones, específicamente en el departamento de TI la información hace
parte de los activos de la organización, esto conlleva a que la información deberá tener un
tratamiento adecuado que garantiza que no se presenten incidentes como fugas de información o
degradación de esta; esto genera argumentos y acciones que implican una adecuada preservación
y utilización de metodologías en el análisis de gestión de riesgos. (Abril, A; Pulido, J; Bohada A,
2013).
Ahora bien, las metodologías escogidas se orientan al mismo objetivo; gestionar por medio de
metodologías los riesgos para optimizar el uso de los recursos informáticos, las cuales tratan la
información en cuanto a la integridad, confidencialidad y disponibilidad garantizando el éxito en
cada proceso para su control y generando valores cuantitativos o cualitativos los activos de la
organización.
Dado que los elementos que componen un modelo (identificación de activos de información,
identificación de amenazas, impacto de una amenaza sobre el activo de información, costo que
representa la no disponibilidad del activo, la degradación y la probabilidad de ocurrencia), es
27
necesario que la organización plantee objetivos específicos con el fin de consolidar todos los
eventos que se pueden desencadenar en un incidente. Para esto se requiere especificar aquello que
«produzca daños en sus activos, la posibilidad de la materialización de una amenaza, las
consecuencias de la misma, la posibilidad de que se genere un impacto en los bienes de la
organización y finalmente los procedimientos que se llevan a cabo para reducir un riesgo (Abril,
A; Pulido, J; Bohada A, 2013).
Una vez realizado esto, se establece el análisis de riesgo que dé respuesta a tres interrogantes:
saber qué se quiere proteger, contra quién y cómo se va a hacer» (Abril, A; Pulido, J; Bohada A,,
2013).
2.1 Cobit.
Actualmente encontramos varios instrumentos para la gestión y control de la información uno
de ellos es COBIT específicamente la versión 5, la cual se define como «un marco de trabajo
integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI
corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde
TI manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de
riesgo y el uso de recursos.» ( ISACA, Un Marco de Negocio para el Gobierno y la Gestion de
las TI de la Empresa, p.13.) COBIT como instrumento para mitigar los riesgos a los cuales están
expuestos los activos de la organización, es aplicable para cualquier tipo de empresa sin importar
su tamaño o su actividad de negocio.
28
Dentro del modelo de ciberseguridad que se plante para la organización SPC Colombia se
hace necesario analizar y evaluar más de una herramienta que cumpla con el análisis, evaluación
y mitigación de riesgos a los que están expuestos los activos de Información. A continuación, se
ilustrarán las principales variables que Cobit, como instrumento mitigador de riesgos, solicita
para ser aplicado.
1. «Dar voz a más partes interesadas para determinar que es lo que esperan de la
información y las tecnologías relacionadas, cuáles son sus prioridades para asegurarse que
el valor esperado es realmente proporcionado.» ( ISACA, Un Marco de Negocio para el
Gobierno y la Gestión de las TI de la Empresa, p.15.)
El modelo de ciberseguridad requiere inicialmente generar un levantamiento de información
por medio de entrevistas a los usuarios de la organización, con el fin de obtener información y
opinión por parte de los usuarios sobre las expectativas que se tienen en relación con la
confiabilidad, disponibilidad y integridad de los activos de información. Al final del ejercicio es
posible generar de forma cualitativa el nivel de riesgo al cual está expuesto un activo dentro de la
organización.
2. Manejo en relación con la cantidad de información, la cual a crecido significantemente en
el tiempo. «¿Como seleccionan las empresas la información relevante y fidedigna que
conduzca a decisiones empresariales eficaces y eficientes? La información también
necesita ser gestionada eficazmente y un modelo eficaz de la información puede asistir en
este empeño.» ( ISACA, Un Marco de Negocio para el Gobierno y la Gestión de las TI de
la Empresa, p.15.)
29
Es de vital importancia que a la Organización SPC tenga identificado los activos que en ella
hay, así mismo su dimensión con relación a la confiabilidad, disponibilidad e integridad con el
fin de tomar la mejor decisión en caso de llegar a ver una materialización de una amenaza sobre
algún activo de la organización.
3. Al interior de la organización se debe lograr la mitigación de riesgos, cuando este objetivo
se cumple se determinar que se está produciendo un valor para los accionistas, que es
reflejado en beneficios a un costo óptimo. (ISACA, 2012).
La importancia que tiene la evaluación de los riesgos dentro de una organización es muy alta,
ya que ayuda a determinar que activos son de vital importancia para el negocio y así mismo
ayuda a generar acciones preventivas, que de manera conjunta pueden lograr la no
materialización de los riesgos en amenazas. Dentro de un ámbito financiero el beneficio se ve
reflejado en un valor de costo favorable para la organización ya que se puede destinar recursos a
otras áreas de esta.
Para el modelo de ciberseguridad propuesto en la organización SPC es importante evaluar y
tener en cuenta las variables de Cobit anteriormente mencionadas, ya se orientan hacia el objetivo
de mejorar la seguridad de la información, pero Cobit no es una guía práctica para el
procesamiento y mitigación de riesgos, por lo cual es tomada en cuenta en este documento como
referencia para la identificación de los activos y la importancia que tiene la realización eficaz de
un modelo para la seguridad de la información.
2.2 Magerit.
Las tecnologías de la información y las comunicaciones (TIC) están en constante
actualización, debido a esto la confianza es un valor critico que la organización debe garantizar
30
para poder ofrecer sus servicios a los usuarios, por lo cual la improvisación metódica en los
medios electrónicos, informáticos y telemáticos (MEIT) no dejan lugar a las vulnerabilidades que
generan riesgos existentes, por lo cual se debe promover con la alta gerencia la necesidad de
poder afrontarlos y así controlarlos cumpliendo los objetivos de servicio de la organización.
Magerit es el acrónimo de “Metodología de Análisis y Gestión de Riesgo de los Sistemas de
Información de las Administraciones Publicas”, por lo cual su uso es de carácter público,
perteneciendo al Ministerio de Administraciones Publica (MAP) de España, se crea con el fin de
ser un instrumento para la implementación y aplicación de ENISA (Agencia Europea de
Seguridad de las Redes y de la Información).
Las estrategias que llevan las organizaciones aplicando Magerit como herramienta para el
proceso de gestión de los riesgos dentro de un marco de trabajo incluyen promover una
terminología, criterios que permitan dimensionar la valorización de la existencia de inseguridades
por lo tanto se crea la necesidad de gestionar medidas sobre los riegos generados por el uso de
tecnologías de la información.
En la actualidad Magerit se encuentra la versión 3.0 en idioma español, su última publicación
y edición la realiza el MAP en octubre 2012, donde cuenta con tres libros los cuales contienen;
Libro I El Método, Libro II Catalogo de Elementos y Libro III Guía de técnicas (Portal de
Administración Electrónica (PAe), 2019).
2.2.1 Objetivos de Magerit.
Busca objetivar el análisis de riesgos propone los siguientes tres objetivos directos y
consecutivo a los tres el indirecto para facilitar los resultados integrales de acuerdo a las
siguientes:
31
1. Concienciar a las altas directivas de la presencia de riesgos y la necesidad de mitigarlos.
((PAe), 2019)
2. Implementar la metodología para la evaluación cuantitativa y cualitativa de los riesgos
que se determinara la organización. ((PAe), 2019)
3. Dimensionar los activos para planificar el control de riesgos según su valor crítico.
4. Preparar la organización según la visión y misión que tenga acerca del riesgo de la
información.
2.2.2 Pasos de la metodología.
La metodología consta de seis pasos para la gestión de seguridad, permitiendo realizar un
análisis de riesgo (lo tiene la organización, activos) estimando que podría pasar si el riesgo se
materializara, por lo tanto, el tratamiento de riesgo permitirá a la organización considerar la
defensa ante estos incidentes o amenazas con el fin de generar contramedidas o salvaguardas y
reducir el nivel de residual que la dirección asume.
Ilustración 2 Gestión de Riesgo
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
La metodología para determinar el riesgo se presenta en la tabla 1, donde se debe determinar
los riesgos de los activos, los cuales tienen una interrelación con su valor o coste monetario, esta
32
degradación corresponde al impacto que puede ocasionar una vulnerabilidad dependiendo de la
probabilidad que puede ocasionar si no existe una contramedida derivada en estimaciones
realistas.
Ilustración 3 Elementos de análisis potenciales
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
2.2.2.1 Paso 1 Identificación y valorización de los activos de información.
Son los componentes de un sistema susceptibles a una acción deliberada ocasionando
consecuencias para la organización, por ello existen activos esenciales de acuerdo con la
información que se maneja y los servicios que esta presta.
No todos los activos son del mismo tipo, no tiene las mismas amenazas y distintas
contramedidas, un ejemplo son: los datos, los servicios, las aplicaciones informáticas, equipos
informáticos equipamiento auxiliar, redes de comunicaciones y las personas. La tipificación de
los activos está a criterio a quien aplica esta metodología y se realiza una jerarquía determinando
un código, un nombre una descripción de qué tipo de activo se está documentando, para este caso
33
en la tabla 1 se toma ejemplo las recomendaciones que realiza Magerit. ((Magerit Libro III),
2012)
Tabla 2 Tipos de activos
Fuente: Recuperado (SOLARTE SOLARTE, Estándar MAGERIT de análisis, evaluación y gestión de riesgos, 2016)
Las dependencias es la relación de los activos de información con el nivel de servicio que
cada una presta, es decir hay activos que se encuentran más arriba de la estructura o son
superiores y dependen de los activos que se encuentran en niveles inferiores, por este motivo se
pueden materializar las amenazas si el daño esta de nivel inferior a superior: un ejemplo, cuando
a un usuario le roban su contraseña, este robo puede ocasionar un daño deliberado en la base de
datos de la organización o puede haber un desfalco dependiendo a la dependencia que ataquen; en
la figura 3 podemos ver el impacto repercutido de una amenaza sobre el activo ((Magerit Libro
III), 2012).
34
Ilustración 4 Impacto repercutido de una amenaza sobre un activo
Fuente: Recuperado ((Magerit Libro III), 2012)
Se deben valorar la materialización de una amenaza; dicho de otro modo, no se habla de
cuánto cuestan los objetos, sino lo que vale prescindir del activo por tal motivo eso es lo que hay
que proteger; este puede hacer diferentes dimensiones (faceta o aspecto del activo), las
dimensiones se utilizan para valorar las consecuencias.
Confidencialidad ¿qué daño causaría que lo conociera quien no debe? […], integridad ¿qué
perjuicio causaría que estuviera dañado o corrupto? […], disponibilidad ¿qué perjuicio causaría
no tenerlo o no poder utilizarlo? […], autenticidad ¿qué perjuicio causaría no saber exactamente
quien hace o ha hecho cada cosa?, trazabilidad del uso del servicio: ¿qué daño causaría no saber a
quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? […], trazabilidad del acceso a
los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos? ((Magerit
Libro I Metodo), 2012).
Los criterios para las valorizaciones pueden determinarse en escala cualitativa y cuantitativa
en consecuencia a la disponibilidad de un activo, esto quiere decir si un activo con alto riesgo
durara horas, días o meses podría afectar toda la operación de la organización y podría llegar a
tener consecuencias o sanciones económicas, legales y jurídicas, en la figura 4 se resume.
Ilustración 5 Coste de la [interrupción de la] disponibilidad
35
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
2.2.2.2 Paso 2 Identificación, valorización de amenazas y vulnerabilidades
La estimación de las vulnerabilidades es un perjuicio ya que provoca incidentes deseados y no
deseados hacia todos los activos de la organización. Cuando se hace reales estas amenazas ponen
en peligro la CIA de un activo (Gaona Vásquez, 2013).
Se deben estimar la influencia en el valor del activo de acuerdo con la proporcionalidad de la
amenaza en proporción de la frecuencia de ocurrencia (cada cuanto se materializa) y en
degradación con el fin de saber que tan dañino ha sido, para lo cual se relacionan en la tabla dos
cuatro tipos de amenazas.
Tabla 3 Relación de amenazas típicas
36
Fuente: Recuperado (SOLARTE SOLARTE, Estándar MAGERIT de análisis, evaluación y gestión de riesgos, 2016)
La degradación se valora cualitativamente por la razón en que se está midiendo el daño
causado al activo, lo podemos ver, uno totalmente degradado o degradado en una pequeña
fracción, en la tabla tres se modela en escala nominal.
Tabla 4 Degradación del valor del activo.
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
La frecuencia de ocurrencia se valora cuantitativamente, tomado de referencia un año como
tasa anual nominal que algún incidente sea materializado, en la tabla cuatro se puede apreciar la
escala.
Tabla 5 Probabilidad de ocurrencia
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
2.2.2.3 Paso 3 salvaguardas
Los salvaguardas o contramedidas se miden por los impactos y riesgos que están expuestos los
activos; estos procedimientos o mecanismos cuentan con tres aspectos; el primero son los tipos a
37
proteger por lo tanto se debe tener en cuenta que cada tipo de riesgo se debe proteger de una
forma específica; segundo, se debe tener en cuenta las dimensiones de seguridad el cual se debe
proteger; tercero, las amenazas de las cuales se quiere proteger y por último se debe investigar si
existen salvaguardas alternativos. ((Magerit Libro I Metodo), 2012)
Magerit señala que se debe realizar un cálculo de riesgo de dos formas; reduciendo la
probabilidad (impedir que la amenaza se materialice) y limitando el daño causa (limitar la posible
degradación); por lo cual podemos ver el flujograma en la figura 7 de los elementos residual del
análisis de riesgo. ((Magerit Libro I Metodo), 2012)
Ilustración 6 Elementos de análisis residual.
38
Fuente: Recuperado ((Magerit Libro I Metodo), 2012)
2.3 Pilar Basic.
Magerit define a Pilar como « Procedimiento Informatico-Logico para el Análisis de Riesgos”
es una herramienta desarrollada bajo especificación del Centro Nacional de Inteligencia para
soportar el análisis de riesgos de sistemas de información siguiendo la metodología Magerit.»(
Dirección General de Modernización Administrativa, Procedimientos e Impulso de la
Administración Electrónica, 2012, p.125)
Pilar como herramienta de análisis soportan las principales fases del método Magerit.;
inicialmente el uso de la herramienta Pilar demanda una parametrización sobre el proyecto u
organización que se valla a trabajar.
Pilar recomienda una identificación del sobre el proyecto u organización que se valla a trabajar
se define los siguientes parámetros:
39
1. Código: refiere al código del proyecto el cual es deberá ser único.
2. Nombré: para la identificación textual del proyecto “Modelo de Ciberseguridad para la
empresa SPC Colombia.”
3. Clasificación: Refiere a la clasificación del Proyecto en general, dentro de las opciones se
escoge Confidencial ya que es accesible únicamente a la organización SPC Colombia.
4. Datos: se ingresan los datos referentes a la fecha de ejecución o iniciación del proyecto,
versión y los responsables de la seguridad de la información.
2.3.1 Análisis de Riesgos
Pilar identifica diferentes clases de Activos y los categoriza según la función que ejerce en
la organización.
1. Caracterización de los activos.
2. Activo Esencial.
Son activos esenciales la información y los servicios manejados por el sistema. Representan
los requisitos de seguridad establecidos por sus dueños. Los activos esenciales existen antes de
detallar la implementación del sistema de información.
Para la organización SPC se identifica inicialmente un activo esencial la Red Local, ya que
sustenta la disponibilidad de todos los sistemas de información.
Los activos esenciales pueden ser de tipo ‘información’ o de tipo ‘servicio’. O una mezcla de
ambos. Es importante que se logre identificar por un nombre que se entienda por la organización
y sus colaboradores.
40
2.3.2 Clasificación.
En Pilar los Activos puede ser clasificado según el servicio o la necesidad que solventen.
Dentro de la organización se pueden identificar como Servicios Internos aquellos que cumplen
con una determinada funcionalidad, en el caso de la intranet esta maneja información,
divulgación de información y procesos internos. De esta manera también es posible identificar
activos que tiene que ver con equipos, aplicaciones, comunicaciones y activos de la información
como se muestra en la siguiente imagen:
Ilustración 7 Creación y clasificación de activos.
2.3.3 Amenazas
Todo Activo de la información está expuesto a un número finito de amenazas la cuales se
pueden identificar según el servicio que preste, la locación, la dependencia de otros servicios o
factores ambientales entre muchos más. Un ejemplo de ello son las amenazas a la que está
expuesta la red local, la herramienta PILAR presenta una serie de amenazas viables para
cualquier activo por ejemplo Desastres Naturales, de origen industrial, ataques deliberados por
terceros entre otros como bien lo menciona (Magerit V3.0 Metodología de Análisis y Gestión de
Riesgo de los Sistemas de Información, 2012, p27.) El proceso de identificación de amenazas
41
sobre un activo como por ejemplo La Red Local tiene como origen el análisis en sitio que se
realizó a ese activo y es posible especificar amanezcas como:
1. Alteración de la información: Por medio de la visita en sitio se logra evidenciar que el
Rack de Comunicaciones de la organización SPC no cuenta con seguridad física lo que puede
ocasionar manipulación de la información o cambios en su configuración física y lógica.
2. Intercepción de la información: Por medio de la visita en sitio se logra evidenciar que el
Rack de Comunicaciones de la organización SPC no cuenta con seguridad física, lo que genera
que los puertos Etherner de los equipos de comunicación (Switch y Router) se encuentren
disponibles a la conexión de herramientas de intercepción de la información por parte de terceros.
Se logra identificar que la organización SPC Colombia cuenta con un firewall en su
infraestructura lo que generan amenazas para la intercepción de la información.
2.3.4 Variable medición de riesgo
Magerit recomienda como mejora continua analizar los riesgos que se encuentran en un
sistema de información dentro de una organización con el fin de determinar los siguientes
factores sobre un sistema informáticos.
Como es, cuánto vale y como protegerlo. «En coordinación con los objetivos, estrategia y
política de la Organización, las actividades de tratamiento de los riesgos permiten elaborar un
plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Dirección. Al conjunto de estas actividades se le denomina Proceso de
Gestión de Riesgos.» (MAGERIT, 2012)
Al generar procesos de mejora continua que reduzcan los riesgos a los que está expuesta una
organización y sus sistemas de información, involucra la participación de todos los colaboradores
42
o personal que tiene un contacto directo y/o indirecto con los sistemas y activos de la
información, gracias a la divulgación de los objetivos que contiene una política de seguridad de la
información permite que los usuarios en conjunto cumplan con los objetivos de las misma. El
conjunto de estas actividades se le identifica como Proceso de Gestión de Riesgos.
En la actualidad los sistemas de información presentan modificaciones y actualizaciones
constantes ya que estos están unidos directamente a las tecnologías de hardware las cuales están
en constante evolución. De acuerdo con la anterior afirmación existe «evolución continua tanto
propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica
en la que se aprende de la experiencia y se adapta al nuevo contexto.» (MAGERIT Versión 3
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información libro 1, 2012, p10)
43
Marco Conceptual
• Sistemas de Información: «Un Sistema es un conjunto de componentes que interactúa
entre sí para lograr un objetivo en común» (Fernández Alarcón, 2006, p11.)
• Trasformación Digita: «es la aplicación de tecnología para desarrollar nuevos modelos,
procesos software y sistemas de negocio para así generar ingresos más rentables, mayor
ventaja competitiva y mayor eficacia» (Marulanda L,Pag 8 , 2018)
• Ciberataque: «Actos que los delincuentes informáticos llevan a cabo como parte de sus
actividades delictivas virtuales» (Digital, 2018)
• Hardware: Conjunto de elementos físicos o materiales que constituyen una computadora o
un sistema informático.
• Software: «Término genérico que se aplica a los componentes no físicos de un sistema
informático, como p. ej. los programas, sistemas operativos, etc., que permiten a este
ejecutar sus tareas: compré el ordenador con el software necesario para llevar la
contabilidad del negocio.» (WordReference, 2019)
• INCONTEC: entidad de carácter privado, sin ánimo de lucro, cuya misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya el sector privado del país, para lograr ventajas competitivas
en los mercados interno y externo”
• Pyme: Empresa pequeña o mediana en cuanto a volumen de ingresos, valor del
patrimonio y número de trabajadores.
• Ciberseguridad: «Es la protección de activos de la información a través de tratamientos de
amenazas, que ponen en riesgo la información que es procesada, almacenada y
44
transportada por los sistemas de Información.» (Gualotuña Guato, & Quilumbaqui
Muenala, 2016, P.548)
• Malware: Programa con código malicioso que produce daños a ordenadores, celulares y
otros dispositivos electrónicos.
• Antivirus: Software que gestiona y mitiga los Malware.
• Firewall: «Firewall puede ser un dispositivo físico o un software sobre un sistema
operativo.» (Esperanza Morrocho, 2013, p.9)
• Switch: Dispositivo de interconexión a otros equipos que generan paquetes de
información que requieren ser transportados entre host.
• VPN: Red Privada Virtual.
• SGSI: Sistema de Gestión de Seguridad de la Información, concepto para la gestión de la
seguridad de la información.
45
Resultados
Se presenta un modelo de Ciberseguridad para la empresa SPC Colombia, basado en la norma
ISO 27002 la cual «establece directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestión de la seguridad de la información en una organización.» (Incontec,
2007). El modelo tiene como fundamentos iniciales el análisis y gestión de riesgos de los activos
de información según la metodología Magerit. El modelo consta con una estructura de varios
anexos donde se presentan análisis, controles, políticas; el conjunto de esta documentación
representa un modelo de Ciberseguridad para la Organización SPC Colombia.
A continuación, se procede a describir los diferentes resultados encontrados:
Caracterización de los activos
El objetivo de estas tareas es reconocer los activos que componen el sistema, definir las
dependencias entre ellos, y determinar que parte del valor del sistema se soporta en cada activo.
Levantamiento de información y estructuración.
Se procedió a generar un inventario de todos los activos de la información físicos, encontrando
así 28 equipos informáticos los cuales fueron estructurados de la siguiente forma:
1. Numero de ID: cada activo de información se le asigna un ID único.
2. Serial: Cada Activo de información contempla un numero serial es cual es documentado.
3. Tipo: Se clasifica el activo de información según el tipo ejemplo: Impresora, ordenador,
equipo de comunicación, periférico.
4. Ubicación: se establece la ubicación física del activo.
5. Clasificación: Se establecen tres criterios de clasificación (custodio, reservada y publica)
esta clasificación esta evaluada por el tipo de información.
46
6. Criticidad: se establece tres niveles de criticidad (Alta, Media Baja) esta asignación se
determinó por el grado de impacto que tiene el activo dentro de la organización.
7. Responsable del Activo: A cada activo de información se le asigna un responsable
(usuario).
Clasificación de Activos.
«Un activo es un Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización. Incluye:
información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones,
recursos administrativos, recursos físicos y recursos humanos.» ((Magerit Libro I Metodo),
2012). Dentro de la identificación de activos de información se encontraron un total de 34
activos; de acuerdo con esto se procedió a estructurar los activos en una tabla de la siguiente
forma:
1. Sigla de tipo de Activo: Cada Activo se le asigna una sigla para su que su identificación
sea asertiva.
2. Tipo de Activo: asociando al activo según corresponda según servicio, dato de
información, software, equipos informáticos y redes de comunicaciones.
47
Tabla 6 Identificación, clasificación, descripción de activos de información
Dimensión de Valorización del activo
La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más
valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de
seguridad que sean pertinentes. ((Magerit Libro I Metodo), 2012)
Es importante que la valoración se oriente sobre los tres pilares de la información
(Confidencialidad, Integridad y Disponibilidad). En donde el grado de confidencialidad lo
determinaría la propiedad que tiene la información de estar disponible a ciertos niveles de
usuarios, colaboradores o entidades.
Convencion Tipo Activo Clasificacion Descripcion de la Clasificacion Sigla de Tipo de Activo Descripcon de tipo de Activo
www(Word Wide Web) Pagina Web admminstrada por la organización de uso publ ico
EXT(Usuarios Externos Bajo relacion Contractual ) Correos eletronicos generados por la organiacion enviados a Terceros .
emai l (correo electronico) Correos eletronicos generados por la organiacion de uso interno
edi (Intercambio electronico de Datos) Intercambio de datos por medio de correos electronicos
pki (infrestructura de clave publ ica) fi rmas digi ta les
INT(internos a usuarios de la propia
organización)Intranet, Licencia de Office
BD (base de Datos) Base de Datos Cl ientes , usuarios internos y externos .
FTP(tranferencia de ficheros) Servidor FTP de transferencia de archivos internos .
PTEL (Proveedor Telecumunicaciones) Proveedor de servicio de Internet y telefonia
VPN(Virtual Nekword Private) Red vi rtual Privada
PIMP(Proveedor de Impres ión) Proveedor de servicios de Impres ión
COM (Datos comercia les ) Bases de datos , correo electronico.
INT (Datos de gestion interna) Excel , carpetas compartidas , FTP.
LOG (Regis tro de actividades) Log de eventos ,
SECRET (Datos clas i ficados) S(nivel confidencia l ), R(di fus ion l imitada), UC(s in clas i ficar), PV(carácter publ ico).
MULTI (Multimedia) Video conferencia , fotos , presentaciones , chat (Skype).
PER (Datos de carácter personal ) Socia l Media (Whatasapp, Facebook, Instagram, Twitter).
MF (Medios Fis icos)Documentos impresos , copias , regis tros , contratos , otros i , hojas de respuestas ,
memorandums.
SW Software N/A N/A SOFT (Software)
Servidor de ficheros , Desarrol lo sub contratado, IMAIL (correo corporativo), DBMS
(Sis tema de gestion de Base de datos), Ofimatica , AV (Antivi rus ), OS (Sis tema
Operativo).
EqG(Equipos grandes) Servidor
EqM(Equipos medianos) PC Corpotativos , Portati les
EqV(Equipos Virtuales ) Maquinas Virtuales
BK(Equipos de respaldo) N/A
Permet(Equipos peri fericos) Camaras de PC, Al tavoces , Diademas, Microfonos , Teclados , Mouse.
SW(Switch) Equipo capa 2.
WAP( Punto de acceso ina lambrico) AP(Access Point)
PABX(Centra l i ta telefonica) Planta Telefonica
CCTV(Circuito cerrado de TV) Camaras de monitoreo
FW(Firewal l ) Equipo perimetra l .
RO(Enrutador) Equipo capa 3.
RTC(Red Telefonica Conmutada) Planta Telefonica
LAN(Red Local ) Red de Area Local
VPN(Virtual Netword Private) Red de conexión privada
WLAN(Wireless Local Area Network) Red Ina lambrica
Servicios Indirectos
S
Finales
HW Equipos Informaticos
PROPIOS
CONTRATADOS
COM
DF
Prestados por la organización a terceros
Instrumentales Medios y usuarios Propios
Otra organización que porporciona otros mediosContratados
Redes de
ComunicacionesN/A N/A
Privado Datos impres indibles para la Organización
Datos de Informacion
Sens ible Datos Impres indibles para los colaboradores
Servicios
48
Sigla de Tipo de Activo Descripcon de tipo de Activo Confidencia l idad Integridad Disponibi l idad
www(Word Wide Web) Pagina Web admminstrada por la organización de uso publ ico Publ ico Sens ible Alta
EXT(Usuarios Externos Bajo relacion Contractual ) Correos eletronicos generados por la organiacion enviados a Terceros . Publ ico Baja Alta
emai l (correo electronico) Correos eletronicos generados por la organiacion de uso interno Interno Normal Alta
edi (Intercambio electronico de Datos) Intercambio de datos por medio de correos electronicos Publ ico Normal Alta
pki (infrestructura de clave publ ica) fi rmas digi ta les Interno Sens ible Alta
INT(internos a usuarios de la propia
organización)Intranet, Licencia de Office Interno Sens ible Alta
BD (base de Datos) Base de Datos Cl ientes , usuarios internos y externos . Confidencia l Sens ible Alta
FTP(tranferencia de ficheros) Servidor FTP de transferencia de archivos internos . Interno Sens ible Alta
PTEL (Proveedor Telecumunicaciones) Proveedor de servicio de Internet y telefonia Interno Sens ible Alta
VPN(Virtual Nekword Private) Red vi rtua l Privada Interno Sens ible Alta
PIMP(Proveedor de Impres ión) Proveedor de servicios de Impres ión Interno Baja Media
COM (Datos comercia les ) Bases de datos , correo electronico. Interno Sens ible Alta
INT (Datos de gestion interna) Excel , carpetas compartidas , FTP. Interno Sens ible Media
LOG (Regis tro de actividades) Log de eventos , Confidencia l Normal Baja
SECRET (Datos clas i ficados) S(nivel confidencia l ), R(di fus ion l imitada), UC(s in clas i ficar), PV(carácter publ ico). Confidencia l Sens ible Alta
MULTI (Multimedia) Video conferencia , fotos , presentaciones , chat (Skype). Publ ico Normal Baja
PER (Datos de carácter personal ) Socia l Media (Whatasapp, Facebook, Instagram, Twitter). Publ ico Baja Baja
MF (Medios Fis icos )Documentos impresos , copias , regis tros , contratos , otros i , hojas de respuestas ,
memorandums.Interno
Sens ibleAlta
SOFT (Software)
Servidor de ficheros , Desarrol lo sub contratado, IMAIL (correo corporativo), DBMS
(Sis tema de gestion de Base de datos), Ofimatica , AV (Antivi rus ), OS (Sis tema
Operativo).
Confidencia l
Sens ible
Alta
EqG(Equipos grandes) Servidor Confidencia lSens ible
Alta
EqM(Equipos medianos) PC Corpotativos , Portati les Interno Normal Media
EqV(Equipos Virtua les ) Maquinas Virtua les Confidencia l Sens ible Alta
BK(Equipos de respaldo) N/A Interno Sens ible Media
Permet(Equipos peri fericos) Camaras de PC, Al tavoces , Diademas, Microfonos , Teclados , Mouse. Interno Normal Baja
SW(Switch) Equipo capa 2. Confidencia l Normal Alta
WAP( Punto de acceso ina lambrico) AP(Access Point) Interno Baja Baja
PABX(Centra l i ta telefonica) Planta Telefonica Interno Sens ible Alta
CCTV(Circui to cerrado de TV) Camaras de monitoreo Confidencia l Sens ible Alta
FW(Firewal l ) Equipo perimetra l . Confidencia l Sens ible Alta
RO(Enrutador) Equipo capa 3. Confidencia l Sens ible Alta
RTC(Red Telefonica Conmutada) Planta Telefonica InternoSens ible
Alta
LAN(Red Local ) Red de Area Local Interno Sens ible Alta
VPN(Virtual Netword Private) Red de conexión privada Interno Sens ible Alta
WLAN(Wireless Local Area Network) Red Ina lambrica Interno Baja Baja
Dimension de Valoracion del Activo
49
Bibliografía
(Magerit Libro I Metodo). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información . Recuperado el 01 de 04 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.XL0CDTAzbIX
(Magerit Libro III). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información, Libro III - Guía de Técnicas. Recuperado el 01 de 04 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.XL0CDTAzbIX
(PAe). (2019). Portal de Administración Electrónica. Recuperado el 09 de 03 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.XLvRyTAzbIW
Abril, A; Pulido, J; Bohada A. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista
Ciencia, Innovación y Tecnolog, 40.
Abril, A; Pulido, J; Bohada A,. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista
Ciencia, Innovación y Tecnolog, 40.
Boston Consulting Group. (Abril de 2015). The Future of Productivity and growth in Manufacturing
Industries. Recuperado el Febrero de 2019, de https://www.zvw.de/media.media.72e472fb-
1698-4a15-8858-344351c8902f.original.pdf
Carpentier, J. (Mayo de 2016). La seguridad informática en la PYME, Situación actual y mejoras de
prácticas. Barcelona: Eni Ediciones.
Confecámaras. (Julio de 2018). Informe de Dinámica Empresarial en Colombia. Recuperado el 15 de
Enero de 2019, de https://incp.org.co/Site/publicaciones/info/archivos/Informe-de-Dinamica-
Empresarial-2018-16072018.pdf
Gaona Vásquez, K. R. (Octubre de 2013). Aplicación de la Metodología Magerit para el análisis y gestion
de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito
S.A en la ciudad de Machala. Recuperado el 05 de 04 de 2019, de
https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
Imagine Easy Solutions. (09 de 2016). Normas APA. Obtenido de http://normasapa.net/
(s.f.). La norma ISO 27001 Aspectos claves de su diseño e implementación. ISOTOOLS Excellence.
Leiva, E. A. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en Enfoque
Top-Down desde una Visión Global a una Visión Local. Obtenido de
https://www.researchgate.net/publication/283665002_Estrategias_Nacionales_de_Cibersegurid
ad_Estudio_Comparativo_Basado_en_Enfoque_Top-
Down_desde_una_Vision_Global_a_una_Vision_Local
MAGERIT. (2012). Metodologia de analisis y Gestion de Riesgos de los Sistemas Informacion.
50
Marcela, D. (2015). pediente. Obtenido de pendiente: www.pendiente.com.co
Marulanda L, , L. M. (2018). Retos y Tendencias de la Transformación Digital para la Empresa
Colombiana: Desafío de personas no de tecnología. Bogotá: Universidad Militar NUeva Granada,
Facultad de Ciencias Economicas, Programa de Administracion de Empresas. Recuperado el 18
de 03 de 2019, de
https://repository.unimilitar.edu.co/bitstream/handle/10654/17490/MarulandaLopezLuisaMari
a2018.pdf?sequence=1&isAllowed=y
Mendeley. (09 de 2016). Mendeley. Obtenido de https://www.mendeley.com/
Monclús, J. (2007). Planes Estratégicos de seguridad vial, Fundamentos y casos practicos. España: Etrasa.
Rodriguez, J. R., Garcia, M., & Lam, J. (2007). Gestión de proyectos informaticos: métodos, herramientas y
casos. Barcelona: UOC.
Roy Rosenzweig Center for History and New Media. (09 de 2016). Zotero. Obtenido de
https://www.zotero.org
Sáenz, J. (09 de 09 de 2016). Wiki Sistemas Digitales. Obtenido de http://sistdig.wikidot.com
SOLARTE SOLARTE, F. N. (4 de Julio de 2016). Sistema de gestión de seguridad informática - SGSI.
Obtenido de http://blogsgsi.blogspot.com/2016/07/eatandar-magerit-de-analisis-
evaluacion.html
SOLARTE SOLARTE, F. N. (04 de 07 de 2016). Sistema de gestión de seguridad informática - SGSI.
Recuperado el 08 de 04 de 2019, de http://blogsgsi.blogspot.com/
Suárez, R. (2015). Energías renovables, Impacto y Efectividad. Revista Científica Ingeniería y Desarrollo en
Energía, 48-53.
Thomson Reuters. (09 de 2016). EndNote. Obtenido de http://endnote.com/
Vilar Barrios, J. F., Gómez Fraile, F., & Tejero Monzón, M. (1997). Las 7 nuevas herramientas para la
mejora de calidad. FC Editorial.
Voutssas M, J. (2010). Preservación documental digital y seguridad informática. Coyoacán: Centro
Universitario de Investigaciones Bibliotecológicas de la UNAM.
(Magerit Libro I Metodo). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información . Recuperado el 01 de 04 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.XL0CDTAzbIX
(Magerit Libro III). (Octubre de 2012). Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información, Libro III - Guía de Técnicas. Recuperado el 01 de 04 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.XL0CDTAzbIX
51
(PAe). (2019). Portal de Administración Electrónica. Recuperado el 09 de 03 de 2019, de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae
_Magerit.html#.XLvRyTAzbIW
Abril, A; Pulido, J; Bohada A. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista
Ciencia, Innovación y Tecnolog, 40.
Abril, A; Pulido, J; Bohada A,. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista
Ciencia, Innovación y Tecnolog, 40.
Boston Consulting Group. (Abril de 2015). The Future of Productivity and growth in Manufacturing
Industries. Recuperado el Febrero de 2019, de https://www.zvw.de/media.media.72e472fb-
1698-4a15-8858-344351c8902f.original.pdf
Carpentier, J. (Mayo de 2016). La seguridad informática en la PYME, Situación actual y mejoras de
prácticas. Barcelona: Eni Ediciones.
Confecámaras. (Julio de 2018). Informe de Dinámica Empresarial en Colombia. Recuperado el 15 de
Enero de 2019, de https://incp.org.co/Site/publicaciones/info/archivos/Informe-de-Dinamica-
Empresarial-2018-16072018.pdf
Gaona Vásquez, K. R. (Octubre de 2013). Aplicación de la Metodología Magerit para el análisis y gestion
de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito
S.A en la ciudad de Machala. Recuperado el 05 de 04 de 2019, de
https://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
Imagine Easy Solutions. (09 de 2016). Normas APA. Obtenido de http://normasapa.net/
(s.f.). La norma ISO 27001 Aspectos claves de su diseño e implementación. ISOTOOLS Excellence.
Leiva, E. A. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en Enfoque
Top-Down desde una Visión Global a una Visión Local. Obtenido de
https://www.researchgate.net/publication/283665002_Estrategias_Nacionales_de_Cibersegurid
ad_Estudio_Comparativo_Basado_en_Enfoque_Top-
Down_desde_una_Vision_Global_a_una_Vision_Local
MAGERIT. (2012). Metodologia de analisis y Gestion de Riesgos de los Sistemas Informacion.
Marcela, D. (2015). pediente. Obtenido de pendiente: www.pendiente.com.co
Marulanda L, , L. M. (2018). Retos y Tendencias de la Transformación Digital para la Empresa
Colombiana: Desafío de personas no de tecnología. Bogotá: Universidad Militar NUeva Granada,
Facultad de Ciencias Economicas, Programa de Administracion de Empresas. Recuperado el 18
de 03 de 2019, de
https://repository.unimilitar.edu.co/bitstream/handle/10654/17490/MarulandaLopezLuisaMari
a2018.pdf?sequence=1&isAllowed=y
Mendeley. (09 de 2016). Mendeley. Obtenido de https://www.mendeley.com/
Monclús, J. (2007). Planes Estratégicos de seguridad vial, Fundamentos y casos practicos. España: Etrasa.
52
Rodriguez, J. R., Garcia, M., & Lam, J. (2007). Gestión de proyectos informaticos: métodos, herramientas y
casos. Barcelona: UOC.
Roy Rosenzweig Center for History and New Media. (09 de 2016). Zotero. Obtenido de
https://www.zotero.org
Sáenz, J. (09 de 09 de 2016). Wiki Sistemas Digitales. Obtenido de http://sistdig.wikidot.com
SOLARTE SOLARTE, F. N. (4 de Julio de 2016). Sistema de gestión de seguridad informática - SGSI.
Obtenido de http://blogsgsi.blogspot.com/2016/07/eatandar-magerit-de-analisis-
evaluacion.html
SOLARTE SOLARTE, F. N. (04 de 07 de 2016). Sistema de gestión de seguridad informática - SGSI.
Recuperado el 08 de 04 de 2019, de http://blogsgsi.blogspot.com/
Suárez, R. (2015). Energías renovables, Impacto y Efectividad. Revista Científica Ingeniería y Desarrollo en
Energía, 48-53.
Thomson Reuters. (09 de 2016). EndNote. Obtenido de http://endnote.com/
Vilar Barrios, J. F., Gómez Fraile, F., & Tejero Monzón, M. (1997). Las 7 nuevas herramientas para la
mejora de calidad. FC Editorial.
Voutssas M, J. (2010). Preservación documental digital y seguridad informática. Coyoacán: Centro
Universitario de Investigaciones Bibliotecológicas de la UNAM.